HCIP第十五天笔记（企业网的三层架构、VLAN以及VLAN 的配置）

一、企业网的三层架构（企业网搭建时的一个参考建议方案）：

园区----工厂、政府机关、写字楼、商场、校园等这些公共场所为了实现数据互通而搭建的网络称为园区网（“城市，除了街道，都是园区”），不同园区搭建网络其侧重点不同，但是都可以参考三层架构来进行搭建。

1、接入层:

    提供终端设备（电脑等）接入网络------主要由接入层交换机构成----接入层交换机主要由二层交换机组建，二层交换机指的是通过识别MAC地址查询MAC地址表来进行二层转发的设备。（//二层交换机自身不需要MAC地址）

    “无线永远是有线的最后一公里”----主要是因为无线收发设备最终还是需要通过网线接入到有线网络中，

    AP-----无线接入点

    WLAN（//家庭中WLAN的接入小区部署的运营商）------无线局域网------从广义上来讲，指以无线电波、激光，红外等来代替有线局域网中的部分或全部传输介质所构成的网络。

    无线的缺陷：

     1、传输速率低于有线，并且信号强度存在波动，和信号发射点位置越远，信号越弱。
     2、无线信号穿透性较差（//信号越高，穿透性较差，基站越多，比如5G）
    以太网可以实现频分
    3、上网用户数量增多，则网络卡顿严重
    CSMA/CD----载波侦多路访问/冲突检测（//类似于排队，将信号依次排序好，然后检测前一个是否发完，看前一个是否有信号，如果前一个信号没有了，那就发第二个）

    无线网络没有使用冲突检测技术的原因：

    1、无线网络本身信号强度动态范围非常大，往往收到的信号强度可能远小于发出时的强度，所以，检测冲突比较困难。
    2、在无线网络的应用场景中，存在很多冲突无法检测的场景

CSMA/CA------载波侦听多路访问/冲突避免

    1、即使没有侦听到信号时，也不立即发送信息，而是先执行避让动作，给自己设计一个随机的计时器，时间到了之后，在发送信息。

     2、CSMA/CA技术，为了保证传输的数据的可靠性，采用了停等式流控----每发一个数据包，要求对方回复ACK进行确认，否则重传。

2、汇聚层（//使用三层交换机)----- 接入层交换机将收集到的流量，需要进行汇聚，则形成了汇聚层.

     汇聚层设备一般选用三层交换机来完成，三层交换机特点：既有二层交换机实心二层转发所使用的二层口，也有类似路由器可以实现三层转发的三层口。

    三层口和二层口最直接的一个区别：三层口需要配置IP地址，则也需要具有MAC地址），所以，在三层 交换机当中，即拥有MAC地址表以及路由表，相当于是二层交换机和路由器集成的产物。

    企业网的三层架构-----核心思想------冗余（备份）------保证网络的稳定性

1、线路冗余
2、设备冗余
3、网关冗余
4、UPS冗余-----UPS-----不间断电源

3、核心层--------主要作用完成私网和公网之间的数据的快速转发。

    核心层一般是使用路由器作为核心设备。

二、VLAN

      V-----虚拟
      LAN---局域网------广播域

     虚拟局域网-------可以理解为虚拟的广播域，交换机和路由器协同工作后，将原来一个广播域逻辑上划分成多个虚拟的广播域。

VLAN的配置：

step：

       1、创建VLAN
         [lsw]vlan 2
         [lsw-vlan2]

[lsw]display vlan ------查看VLAN

[lsw]vlan batch 4 to 100----批量创建VLAN
[lsw]undo vlan batch 4 to 100----批量删除VLAN

VID-----VLAN ID-----用来区分和标定不同的VLAN-----IEEE组织在802.1Q标准中进行了规定，规定VID必须由12位二进制构成------0-4095，其中0和4095为保留----所以，VID取值范围为1-4094。

 2、将接口划入到VLAN
       将VID配置映射到交换机的接口上，实现VLAN的划分-----物理VLAN/一层VLAN。
      将VID配置映射到数据包中的MAC地址，实现VLAN的划分------二层VLAN
      将数据帧中的类型字段所标记的上层协议和VID进行映射，实现VLAN的划分-----三层VLAN

    因为设备的层次叫法主要是根据其转发特性来决定的，并不代表设备没有处理上层的能力，所以VLAN也可以基于IP地址进行划分，也可以基于策略进行划分。

    在交换机中为了区分不同的VLAN的流量，需要给数据帧打上标签，于是有了802.1Q帧，在普通的以太网Ⅱ型帧的基础上，在其源MAC和类型字段之间增加了4个字节的标签，称为TAG，里面包含12位的VID，这样的帧称为tagged帧，没有打标签的帧也可以被称为untagged帧。

    依靠802.1Q帧的特性，交换机和PC之间的链路称为Access链路，Access链路中的交换机侧的接口被称为Access接口，Access链路中，只能通过untagged帧，并且，这些帧一定属于某一个特定的VLAN；我们将交换机和交换机之间的链路称为trunk链路（trunk干道），trunk链路中交换机侧的接口被称为trunk接口。trunk链路中可以tagged帧，并且这些帧可以属于多个VLAN。

   3、配置trunk干道
          1、 将接口划入VLAN    
	[lsw1]int g 0/0/1
	[lsw1-GigabitEthernet0/0/1]port link-type access ------使用access链路
	[lsw1-GigabitEthernet0/0/1]port default vlan 2----默认接口为VLAN2
	[lsw1-GigabitEthernet0/0/1]
	
	[lsw1-GigabitEthernet0/0/2]port link-type access 
	[lsw1-GigabitEthernet0/0/2]port default vlan 2
	[lsw1-GigabitEthernet0/0/2]
	
	[lsw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4-----批量创建VLAN3
	[lsw1-port-group]port link-type access 
	[lsw1-GigabitEthernet0/0/3]port link-type access 
	[lsw1-GigabitEthernet0/0/4]port link-type access 
	[lsw1-port-group]port default vlan 3
	[lsw1-GigabitEthernet0/0/3]port default vlan 3
	[lsw1-GigabitEthernet0/0/4]port default vlan 3
	[lsw1-port-group]
	    
       2、trunk配置       
	[lsw1]int g 0/0/5
	[lsw1-GigabitEthernet0/0/5]port link-type trunk ----使用trunk链路
	[lsw1-GigabitEthernet0/0/5]port trunk allow-pass vlan ?
	  INTEGER<1-4094>  VLAN ID
	  all              All
	[lsw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3-----允许trunk链路通过VLAN 2和VLAN 3
	[lsw1-GigabitEthernet0/0/5]
	
	[lsw2]int g 0/0/1
	[lsw2-GigabitEthernet0/0/1]port link-type trunk 
	[lsw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all ----允许通过所有VLAN
	[lsw2-GigabitEthernet0/0/1]
	

Hybrid-—混杂接口

[lsw1]display  port vlan active -----查看

   在不做任何配置的情况下，华为交换机默认的接口类型为hybrid类型。

   PVID-----代表接口所属的VID-----华为设备设定，所有接口在没有做设备配置的情况下，其PVID为1，即其默认属于VLAN 1

   华为设备规定，所有通过接口进入到交换机的数据都必须带标签，如果没有带标签，需要打上进入接口PVID的标签。

   VLAN  list----允许列表，该接口允许那些VLAN的流量通过，则列表中就有他们的VID

   这两个标记代表的是从该接口转出的数据是否允许带标签，T允许带标签，U不允许带标签：
     U----untagged
     T----tagged

    注意：在trunk干道中，只有和trunk接口PVID相同的VLAN流量出去就可以不带标签

Access接口:
    1、当Access接口从链路上收到一个untagged帧时，交换机首先会在数据帧中添加VID为PVID的标签，之后查看允许列表，如果允许列表中有该数据帧中的VID号，则转发（Access接口因为允许列表中的VID 号和自己的PVID相同，所以，这种情况下，一定可以转发）

    2、当一个tagged帧从交换机的其他端口到达一个Access端口后，交换机会检查这个帧中的tag的VID是否和允许列表中的VID相同，如果不同。则丢弃；如果相同，则需要先剥离标签后发出到链路上。

    3、如果Access接口在链路上收到一个tagged帧，则交换机会检查它的VID是否会在本地的允许列表中，如果在，则转发，不在，则丢弃。

trunk接口:
    1、当trunk接口从链路上接收到一个untagged帧，交换机首先会在数据帧中添加VID为PVID的标签，之后，查看允许列表，如果允许列表中有该数据帧标签中的VID号，则转发，如果没有，则丢弃。

    2、当一个tagged帧从交换机的其他接口到达一个trunk接口后，如果这个tag中的VID不在trunk接口中，那么允许列表会直接丢弃，如果在，则转发。如果VID和trunk接口的PVID相同，则剥离标签后发出，如果不相同，则不剥离标签，直接发出。

    3、当trunk接口在链路上收到tagged帧，交换机将先查看这个tagged帧中的VID是否在允许列表中，如果在，则转发，如果不在，则丢弃。

Access----可以修改PVID，可以修改允许列表（但是PVID和允许列表必须相同且只能允许一个VLAN的流量通过），出口的封装方式只能是不带标签封装

trunk----可以修改PVID，可以修改允许列表，而且允许列表中可以通过多个VLAN的流量，出口封装方式仅为带标签封装（PVID若在允许列表中，则默认认为封装不带标签）

[lsw1-GigabitEthernet0/0/5]port trunk pvid ?-------修改trunk接口的PVID
  vlan  Virtual LAN

hybrid------可以修改PVID，可以修改允许列表，而且允许列表中可以通过多个VLAN的流量，而且可以修改出口的封装方式。

[lsw3]int g 0/0/1
[lsw3-GigabitEthernet0/0/1]port link-type hybrid ------修改接口的类型为混杂模式
[lsw3-GigabitEthernet0/0/1]port hybrid pvid vlan 2------修改混杂口的PVID
[lsw3-GigabitEthernet0/0/1]
[lsw3-GigabitEthernet0/0/1]port hybrid  untagged  vlan 2 3 4----修改允许列表，并且出去的时候不带标签
[lsw3-GigabitEthernet0/0/1]port hybrid  tagged  vlan 2 3 4-----带标签

4、VLAN间路由
子接口------路由器的虚拟接口-----路由器将一个物理接口逻辑上的切分为多个虚拟的子接口。
	[R1]int g 0/0/0.1-----创建子接口
	[R1-GigabitEthernet0/0/0.1]
        [R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24

	[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2-----识别VLAN 2 
	
	[R1-GigabitEthernet0/0/0.1]arp broadcast enable -----开启ARP广播-----开启后子接口才会进行ARP应答