前言

之前的提到了交换机的概念和实验。不过交换机的一些功能还没有说完，我们的实验也仅仅是阻止相同地址段的IP地址互通，也没有用到子接口和路由器。显然，那样的配置过于简单。

 

端口安全 

  Port Security（端口安全）的功能会通过MAC表项记录连接到交换机端口的以太网MAC地址，我们可以设置交换机允许哪些MAC地址通过本端口通信。而未知的设备（也就是未知的MAC）发来的数据会被阻止通信。

  因为使用端口安全功能可以防止未经允许的设备访问网络，所以增强了安全性。另外，端口安全功能也可用于防止MAC地址泛洪造成的MAC地址表填满。这就意味着我们可以设置最大的设备访问数量。

总而言之有两个优点：

通过MAC表项绑定设备以拒绝外来电脑访问公司网络，以保障安全；

通过设置最大可学习的MAC数量防止设备过多导致的MAC地址泛洪从而造成地址表填满。

端口安全实验

我们构建如下拓扑，并配置好Access的用户接入和到设备的Trunk功能：

 我在此默认划分到Vlan 1可放行所有设备通过

下面，我们开始配置端口安全： 

接着我们为路由器配置好相应的网关后，ping以下路由器网关查看结果：

可以发现能够连通

此时我们更换设备，将PC1换成PC4，将其划分到Vlan 1后再次ping路由器：

 

 可以发现无法Ping通

  这个是因为我们换了设备以后，虽然仍然使用的是交换机曾划分过VLAN的接口，但是MAC地址变更了，且交换机该接口限制学习的MAC表项数量为1个，且与该MAC绑定了。因此设备从PC1换成PC4以后，原交换机int g0/0/2接口的Mac地址表与PC1的Mac地址绑定了，且学习接口限制为1个已经无法继续学习其它Mac表项了。这才导致无法Ping通。 

VLAN间通信

  我们知道交换机隔离冲突域；路由器隔离冲突域和广播域；而VLAN也是可以隔离广播域和冲突域的技术。VLAN可以减小广播域或冲突域的范围，提高网络通信能力。我们上述的通信一直是以同一IP段的方式进行Vlan间通信。那么不同Vlan之间可以通信吗？当然能，不同的Vlan间通信是可以实现的。这也是Vlan技术的另一大特点。其中有两种配置方式：VLAN IF接口或者单臂路由。

子接口

  如果一个网络中需要很多VLAN，路由器不可能有无数的物理接口提供给交换机，交换机也不具备如此多的物理接口连接设备。子接口是为了打破了物理接口的局限性，路由器可以把物理接口通过划分为多个子接口的方式，从而实现多个VLAN间的路由与通信。

  VlAN IF接口就是虚拟接口，我们也可以管它叫子接口。子接口是逻辑链路，它需要物理接口作为承载，一个物理接口可以创建4096个子接口。如果物理接口断了，其通过该物理接口创建的子接口也会消失。

子接口的优缺点

优点：打破物理接口的数量限制，一个接口实现多个VLAN间的通信。

缺点：子接口太多会导致争抢带宽，导致数据传输效率受到抑制。

因此，建议不要把子接口全部配置在一条物理接口上面，尽量把子接口分布在不同的物理接口上，以避免传输效率问题。

二层交换机和三层交换机

  二层交换机主要用于网络接入层和汇聚层，而三层交换机主要用于网络核心层，但是也可以在汇聚层应用。

  二层交换机支持物理层和数据链路层协议，而三层交换机支持物理层、数据链路层及网络层协议。

  二层交换机查找MAC表，通过MAC地址表跟ARP协议进行二层转发；三层交换机的原理也是如此，只不过在二层无法通信时，三层交换机会判断是否需要进行三层通信，就将数据交给网络层，进行三层处理，最终一般是将数据发到网关来完成三层通信的。

  因此我们可以得知，三层交换机是可以配置IP地址的——在vlanif（子接口）配置不同vlan的IP地址，使得不同vlan之间可通过三层路由实现通讯。但是二层交换机无法配置IP地址。不过实际上，在交换机看来，只是让它们三层（网络）互通了而已、它的二层仍然是隔离的。

配置VLAN IF接口

VLAN IF口可以配置IP地址，三层交换机的VLAN IF接口会自动生成对应网段的直连路由。只需在终端将网关设置为VLAN IF接口地址，就能在隔离广播域的同时，通过三层实现通信。接下来我们就完成三层交换实验的配置。

准备好下列拓扑，并配置相应IP地址和网关（注意线和接口的选择）：

随后创建Access并划分VLAN：

随后，我们为相应VLAN的接口地址作为VLAN主机的网关地址：

最后发现我们可以ping通： 

重点

[Huawei-GigabitEthernet0/0/2]int vlanif 10
[Huawei-Vlanif10]ip add 10.1.1.2 24
[Huawei-Vlanif10]int vlanif 20
[Huawei-Vlanif20]ip add 20.1.1.2 24

配置单臂路由

二层设备不像三层设备，无法配置vlanif接口。那么可以使用单臂路由。

我们在路由器连接交换机的那个接口上开启子接口，并为每一个子接口配置对应的IP地址和dot1q vid。随后把终端的子接口地址设置为网关之后就能实现和vlanif相同的效果。

注：dot1q就是802.1q，是vlan的一种封装方式。dot为点，就是“.1q”

下面我们开始配置，构建一下拓扑及信息：

之后我们配置好交换机的Access和Trunk，这块儿配置就省略了 。

接下来配置路由器的子接口（注：华为的子接口没有开启ARP请求，需要开启ARP请求获取对端MAC后才能通信）以子接口int g0/0/0.1为例 ：

此时，我们可以看到PC1对网关和地址都能Ping通：

重点

[Huawei]int g0/0/0.1 //进入子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10 //允许为802.1q的Vlan 10流量通行
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[Huawei-GigabitEthernet0/0/0.1]ip add 10.1.1.2 24 //添加IP网关

 

后续 

基本上就这样，熟悉指令背后的原理后，就是多打命令，不敲手太生了