交换

园区网架构

交换机实现了一下功能

1. 无限的传输距离——识别，重写电信号（帧）保证信息完整
2. 彻底解决了冲突
3. 二层单播——MAC地址表
4. 提高端口密度

MAC

单播地址：MAC地址第一个字节第8位为0
组播地址：MAC地址第一个字节第8位为1
广播地址：全1

MAC地址表

源MAC 接口 VID 老化时间（300s）

在一个城市中，除了马路和家庭住所外，都是园区

广域网+局域网=城域网

传统的园区网一般是在一个连续的、有限的地理区域相互连接的局域网，不连续区域的网络会被视为不同的园区网络

AP：无线访问接入点

无线是有线的最后一公里

无线网络的缺陷：

1. 无线信号穿透性较差
2. 无线网传输速率和信号强度有关
3. 信号强度存在波动，距离信号发射点越远，信号越弱
4. 上网用户数量增多，网络卡顿

CSMA/CD
停等式流控

企业网三层架构
接入层

• 接入层可以被看做是网络的边界，主要的功能是提供终端用户接入网络的接口，并负责将终端用户产生的数据发送到外部网络。
• 典型设备:二层交换机
  汇聚层
• 汇聚层是流量的汇聚地，该层面也通常是终端设备的网关所在地
• 由于汇聚层设备是接入层设备的网关所在地，需要保障其可靠性，防止大面积网络故障产生。一般会在汇聚层放置多台设备实现备份冗余。
• 典型设备:三层交换机
  • 同时具备二层交换功能和路由功能的交换机
  • 有二层接口和三层接口
    核心层
• 网络的骨干层面
• 负责高速转发数据，因为其处于的网络位置极其重要，必须充分考虑其高可靠性和高容错性

路由器的转发效率比三层交换机低（交换机是硬件转发看MAC，路由器是软件转发CPU计算）

园区网设计的原则

• 可靠性——冗余能力
  • 线路冗余、设备冗余、网关冗余、UPS冗余（电源）
• 可信任性——安全能力
• 可管理性

三层交换机为什么没有代替路由器：功能不同（路由转发）、环境不同（路由器可以在更加复杂的环境）

VLAN-虚拟局域网

垃圾流量问题
网络安全问题

VLAN的特点+ 一个VLAN就是一个广播域；不同VLAN内部的数据无法进行跨广播域通讯

• VLAN的划分是不受地域限制的

VLAN的实现

主机的网卡一般只能发送和接收无标记帧（Untagged Frame）. Tagged Frame——标记帧
注意：在交换机内部，所有的数据都是标记帧，原因在于所有的数据需要区分不同VLAN的数据

VLAN标签

IEEE 802.1Q标准，对以太帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。802.1Q Tag也称为VLAN Tag，带有VLAN Tag的以太帧称为VLAN帧。——Dot1Q

VLAN的划分方式

• 基于接口划分——根据交换机的接口划分
  • PVID——缺省VLAN
    • Port VLAN ID ——接口上的缺省VLAN
    • 0-4095
  • 配置简单直观，该方式是目前现网环境中应用最广泛的划分VLAN的方式
• 基于MAC地址划分——根据数据帧的源MAC地址划分
  • VLAN映射表——记录了MAC地址与VLAN ID的关联情况
  • 灵活性高
• 基于IP子网划分——根据数据帧中的源IP地址和子网掩码来划分
• 基于协议划分——根据数据帧所属的协议类型及封装格式来划分VLAN
• 基于策略的划分——根据配置的策略划分VLAN，能够实现多种组合的划分方式

接口划分VLAN——接口类型

[Huawei]display vlan	查看接口VLAN

交换机默认存在VLAN1，所有接口都在VLAN1

第一步：创建VLAN

[Huawei]vlan 2
[Huawei]vlan batch 10 20 30
[Huawei]vlan batch 100 to 200

第二步：将接口划入VLAN

[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEtherneto/0/1]port default vlan 2	//设置缺省VLAN

[Huawei]display port vlan----查看vlan与端口的对应关系
[Huawei]display port vlan active ---查看映射简便

PVID——端口的VLAN-ID
华为给每一个接口都配置一个PVID，也就是接口所属的VID。每个接口只能有一个PVID值。在默认情况下，PVID为1

Access类型

Access类型的二层接口通常用于连接终端设备，原因在于Access接口所连接的设备网卡只能处理无标记帧

Access接口接收数据帧

• Access接口接收到一个Untagged帧
  • 交换机会接收这个数据帧，并将数据帧打上接口缺省VLAN的Tag
• 当Access接口收到一个Tagged帧
  • 如果该帧携带的VID与接口的PVID相同，则交换机接收该数据帧。
  • 若帧携带的VID与接口的PVID不同，则交换机丢弃该数据帧

Access接口发送数据帧

• 该数据一定是带tagged数据帧
• 会剥离tag，然后将数据恢从该接口发送出去。----Access接口发送的数据帧一定当交换机接收到该数据帧后，是无标记帧。

第三步：配置Trunk干道

[sw1-GigabitEthernet0/0/5]port link-type trunk
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3

[sw2-GigabitEthernet0/0/3]port trunk pvid vlan 10 ----修改Trunk干道的缺省VLAN，修改后一定要将PVID放入允许列表中

trunk千道创建时默认放通vlan 1，且创建时缺省vlan为vlan 1。

Trunk类型

该接口可以接收或发送多人VLAN的数据帧。所以Trunk类型的接口多见于交换机之间互联的接口

Trunk接口接收数据帧

• 当Trunk接口收到一个Untagged帧
  • 交换机会给该接口打上缺省VLAN的Tag，并检查该vlan是否属于允许列表中 (VLAN-List)，如果允许则接收该数据帧，否则丢弃。

Trunk接口发送数据帧

• 当发送的数据帧的VID与Trunk接口的PVID相同，且在允许列表中
  • 剥离数据帧的VLAN-ID字段，并发送数据
• 当发送的数据帧的VID与Trunk接口的PVID不同，且在允许列表中。
  • 直接携带VLAN-ID数值发送
    当数据帧的VID不再允许列表中，不管PVID为多少，都拒绝发送数据

Hybrid——混杂接口

该接口类型是华为私有设计的接口类型。华为交换机默认接口类型为Hybrid类型。
VLAN List----允许列表，标识了该接口允许放通的流量，并且标识了交换机在发送数据时，是否要携带标签
U----untagged----发送数据不携带标签
T----tagged-----发送数据携带标签

总结：

• Access
  • 可以修改PVID，可以修改允许列表，但是PVID和允许列表中必须相同且只能允许一个VLAN通过
  • 出口封装方式只能是不携带标签
• Trunk
  • 可以修改PVID，可以修改允许列表
  • 允许列表中可以通过多个VLAN流量
  • 出口封装方式仅为携带标签 (若PVID在允许列表中，则不携带）
• Hybrid
  • 可以修改PVID，修改允许列表
  • 而且允许列表中可以通过多个VLAN的流量
  • 可以修改出口的封装方式

Hybrid工作方式

• PVID----接口缺省vlan
• tagged----接口允许通过列表，且携带标签
• untagged----接口允许通过列表，不允许携带标签

Hybrid接口接收数据时

• Hybrid接口收到一个无标记帧
  • 数据帧被打上PVID的数值
  • 且该PVID在允许列表中，不管是属于U还是T，都会将数据接收
  • 且此PVID不在允许列表中，则丢弃数据
• Hybrid接口收到一个标记帧
  • 若在允许列表则接收数据
  • 若不在允许列表则丢弃数据

Hybrid接口发送数据时

• 若数据帧中的VID不在允许列表中则丢弃
• 若数据帧中的VID在允许列表中
  • 在tagged列表，则携带标签转发
  • 在untagged列表，则剥离标签转发