目录
前言
一、分割广播域的方法
二、VLAN
1、VLAN的概述及优势
1.1VLAN的概述
1.2VLAN的优势
2、VLAN的种类
3、VLAN的三种端口类型
4、VLAN 的工作原理
4.1VLAN数据帧
4.2VLAN的范围
4.2VLAN的access类型工作原理
4.3VLAN的trunk类型工作原理
4.4VLAN的Hybird类型工作原理(了解)
5、配置静态VLAN的步骤(使用eNSP软件配置)
三、VLAN间通讯之单臂路由
1、单臂路由的概述
2、单臂路由的缺陷
3、单臂路由的工作原理
4、配置单臂路由的步骤
4.1案例一
4.2案例二
前言
以太网是一种基于CSMA/CD的数据网络通信技术,其特征是共享通信介质。在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。广播域越大,产生的网络安全问题、垃圾流量问题就越严重
在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题,将介绍VLAN技术的相关概念,介绍不同二层接口的工作原理,并且会介绍VIAN的应用及其数据转发原理和相关配置
一、分割广播域的方法
- 物理分割:将网络从物理上划分为若干个小网络,再使用能隔离广播的路由设备将不同的网络连接起来实现通信,如加入多个路由器
- 逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN。VLAN 工作在OSI参考模型的数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在同一个广播域中,各 VLAN 通过路由设备连接实现通信
二、VLAN
1、VLAN的概述及优势
1.1VLAN的概述
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN之间不能直接通信,从而将广播报文限制在一个VLAN内
1.2VLAN的优势
- 控制广播
- 增强网络安全性
- 简化网络管理
2、VLAN的种类
- 静态VLAN:基于端口划分,是目前最常见的vlan实现方式,在交换机的接口处需要管理员手动配置vlan,当用户主机连接到该交换机接口上时,就被划分到对应的vlan
- 动态VLAN:基于MAC地址划分,将设备的mac地址上添加到vlan,该设备就属于该vlan
3、VLAN的三种端口类型
- access:交换机与PC主机连接,数据进入交换机时打上vlan标签,出交换机脱掉vlan标签
- trunk:交换机与交换机连接,用于识别可放行的VLAN标签
- Hybird:混杂模式,手动控制了解(华为特有模式)
4、VLAN 的工作原理
4.1VLAN数据帧
4.2VLAN的范围
| VLAN ID | 范围 | 用途 |
|---|---|---|
| 0~4095 | 保留 | 仅限系统使用,用户不能查看和使用这些vlan |
| 1 | 正常 | 默认vlan用户能够使用但不能删除 |
| 2~1001 | 正常 | 用于FDDI和令牌环的,默认vlan用户不能删除 |
| 1002~1005 | 正常 | 用于以太网的vlan用户可以创建,使用和删除这些vlan |
| 1006~1024 | 保留 | 仅限系统使用,用户不能查看和使用这些vlan编婚 |
| 1025~4096 | 扩展 | 仅用于以太网的vlan |
4.2VLAN的access类型工作原理
①如果收到一个没有vlan标签的数据帧,会接收数据,并打上自己端口的vlan标签
②如果收到一个带有vlan标签的数据帧,会和自己的vlan标签比较,如果一样放行并且脱掉标签,如果不一样则拒收
4.3VLAN的trunk类型工作原理
①如果收到一个没有vlan标签的数据帧,会接收数据,并打上自己端口的vlan标签:vlan 1
②如果收到一个带有vlan标签的数据帧,会对比vlan list(vlan通行列表)在list中放行,并且不脱掉标签,如果不在list中就直接拒收
4.4VLAN的Hybird类型工作原理(了解)
5、配置静态VLAN的步骤(使用eNSP软件配置)
5.1新建拓扑,添加两个交换机、四个PC端,两个服务端,再连接它们对应的接口,最后开启这些设备。
根据vlan原理,需要实现的要求:
①蓝色方框区域的财务部内的设备可以互相通信
②橙色方框区域的人事部内的设备可以互相通信
③但蓝色方框区域的财务部内的设备与橙色方框区域的人事部内的设备不可以实现通信
5.2设置所有PC机和所有服务端处于同一网段,这样更方便测试处于不同vlan的设备能否实现互相通信。再分别添加他们的IP地址以及子网掩码
PC1:192.168.11.1/24 PC2:192.168.11.2/24 PC3:192.168.11.3/24
PC4:192.168.11.4/24 server1:192.168.11.100/24 server2:192.168.11.200/24
5.3更改交换机LSW1的名称和交换机LSW2的名称,并建立vlan10、vlan20
5.4交换机端口配置vlan
为交换机LSW1的端口e1、e2配置access类型的vlan10,端口e3、e4配置access类型的vlan20。为交换机LSW1的端口e5配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
为交换机LSW2的端口e1配置access类型的vlan10,端口e2配置access类型的vlan20。为交换机LSW2的端口e3配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
5.5如果配置trunk、vlan出错,可用以下代码删除trunk、vlan再重新配置
5.6查看PC1与PC3、PC1与PC2、PC1与sever1、PC1与sever2能否ping通,如果PC1与PC3、PC1与sever2ping不通,如果PC1与PC2、PC1与sever2能ping通,则成功配置好静态vlan,也验证了vlan的工作原理
5.7抓包验证
三、VLAN间通讯之单臂路由
1、单臂路由的概述
单臂路由实现不同VLAN间通信
链路类型:
- 交换机连接主机的端口为access链路
- 交换机连接路由器的端口为Trunk链路
子接口:
- 路由器的物理接口可以被划分成多个逻辑接口
- 每个子接口对应一个VLAN网段的网关
2、单臂路由的缺陷
- “单臂”为网络骨干链路,容易形成网络瓶颈
- 子接口依然依托于物理接口,应用不灵活
- VLAN间转发需要查看路由表,严重浪费设备资源
3、单臂路由的工作原理
①pc1 和 pc2 通信由于不在同一个网段
②pc 会生成一个不带vlan标签的报文(源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac: aaaa、目的mac: 111111)
③到达交换机后:交换机f0/1口是 access链路,收到不带vlan标签的数据包,会打上自己端口vlan10的标签,然后从f0/24口出去,f0/24是trunk链路肯定允许所有链路通过, 所以数据会携带vlan标签发往路由器(vlan-id: 10、源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac:aaaa、目的mac: 111111)
④路由器 f0/0.1口收到数据,因为它是van10的网关 10.0.0.1,拆包分析发现你要去往20网段,查找路由表发现是直连路由。从f0/0.2口转发还发现这个端口属于van 20,所以重新封装数据包。把vlan-id改成20,再发arp广播得到pc2的mac,所以最后数据包(vlan-id: 20、源ip: 10.0.0.10、目的ip: 20.0.0.20、源mac:111111、目的mac: bbbbbb)
4、配置单臂路由的步骤
4.1案例一
4.1.1新建拓扑,添加一个路由器、两个PC端、一个交换机,再连接它们对应的接口,最后开启这些设备。
4.1.2设置PC7和PC8不同网络区域的IP地址和网关以及子网掩码
4.1.3为交换机LSW3的端口g1配置access类型的vlan10,端口g2配置access类型的vlan20。为交换机LSW3的端口g3配置trunk类型,允许所有的vlan通过
输入“display vlan”,查看上述设置的vlan信息是否正确
4.1.4为路由器AR1设置单臂路由
4.1.5检测PC7能否ping通PC8,可以则说明单臂路由设置成功,可以实现跨网络区域跨vlan的通讯
4.2案例二
4.2.1在配置静态vlan的基础上添加一个路由器AR2,来配置单臂路由,实现全设备之间的通讯
修改蓝色方框区域的财务部内的设备的ip地址,使之与橙色方框区域的人事部内的设备的ip地址不在同一网络区域,再给方框内的所有设备上配置网关
如PC1:
4.2.2为路由器AR2设置单臂路由
4.2.3为交换机LSW2的e4端口添加vlan的trunk类型,允许所有的vlan通过
4.2.3检测PC1与PC3、PC1与PC2、PC1与server1、PC1与server2能否ping通,如果全部ping通就说明单臂路由配置成功,可以实现跨网络区域跨vlan的通讯
![[Vulnhub靶机] DriftingBlues: 7](https://img-blog.csdnimg.cn/direct/f8fe28ec88684c11b0223d1cc0bc4e10.png)
