"同志,你快醒醒,你的交换机出广播风暴了,CPU飙到99%了!"一场突如其来的重感冒把小张击倒了,昏昏欲睡间却被人给晃醒了。
睁眼一看,眼前白色的天花板下面,是主管焦急的眼神。
"小张,你可算是醒了,快去机房看看,怎么交换机全都瘫了啊,我就说没了小张不行吧,你看他一病,机房一出问题,你们都解决不了了吧!"主管对病床旁边的几个年轻人大发脾气。
小张心底暗暗苦笑,说实在的,整个信息部一共四个人,一个主管,两个裙带亲戚,只剩下自己无权无势无后台,再加上对于自己的工作环境有种病态的执着,哪怕同事一般,但是既然自己负责机房,就要把机房管理维护好,前几天熬了两个通宵进行割接和升级,出门淋了一场雨,就生病了。
"主管,你看我这情况,实在坚持不到机房了,你先把我的主机down掉,然后把备机开一下吧,保证公司能够正常运行最重要。然后看一下IDS(入侵检测系统)有没有什么检测报警,把日志数据导出一份给我吧,这样的话我可以分析一下。"小张有气无力的说着,
主管一愣,旋即问道:"你不在的这几天,我对那个IDS做了一些配置,但是不知道为什么这个IDS老是出问题,于是我就把它拆下来了。"
小张痛苦的闭上眼睛,片刻后开口道:"那给我导一份交换机的日志吧,我看看VLAN和STP状态。"
"是这样的,小张啊,这个交换机的配置啊,上次不知道做了什么,开了个VTP好像是,反正现在的VLAN数据全部丢失了,就是小张啊,你有备份吗?"
小张一愣,旋即眼前一黑,颤声道:"主管,你知道什么是VLAN吗?"
VLAN (Virtual Local Area Network)虚拟本地区域网络,也就是虚拟局域网。
前文我们提到过,一台交换机只有一个广播域,当从某一端口收到一个数据而本地MAC地址表项种没有该映射关系时,就会进行泛洪,从除接收端口外的所有端口进行转发。
而此时如果交换机下接设备够多,就会无端的造成交换机资源的浪费,假如此时有一种病毒借助广播的传播,那么就会遍及全网,整台交换机下的设备都会中毒,此时就会造成业务流量的无法正常访问。
VLAN技术应运而生,它存在的一个巨大的意义,就是能够分割广播域,每个vlan区域内的设备都可以看作是一个独立的个体,
在这个环境中,如果进行如图中所示的VLAN分割,那么就可以将其看作在一台交换机上,被重新分割成为了三台交换机,每个vlan之间的广播域互不牵扯,广播包只会在本地的VLAN内进行泛洪。
既然能够分割广播域,那么自然而然的就是一定程度上抑制广播风暴,广播风暴数据只会在单一的VLAN数据内进行传播影响,不会影响其他区域。
而这不仅仅是VLAN技术的优点。
Vlan技术同时可以增强局域网的安全性。
不同的vlan之间不可以通信,假如本局域网络中存在财务和项目两个部门,如果财务部有敏感数据,而如果不进行vlan划分的话
而使用了vlan划分技术之后,就可以增强局域网的安全性,含有敏感数据的用户组与网络的其余部分隔离,从而降低泄露机密信息的可能性。
要使设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用以标识VLAN信息。
1、 TPID:Tag Protocol Identifier(标签协议标识符),表示数据帧类型。
表示帧类型,取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
在VLAN的类型中,默认是802.1Q,而思科有他单独的一个类型被称为ISL( 交换链路内协议)。
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时, 为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致。
2. PRI(Priority):3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧。
3. CFI(Canonical Format Indicator)1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0。
4. VLAN Identifier:VLAN ID,12比特,用于指明可以使用的VLAN ID,为2的12次方,可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用。
提到vlan,那便不得不提他的三种接口类型:
Access,trunk,hybrid;
在讲解这三个接口类型时,我们首先引入两个概念,叫做tagged和untagged。
Tagged:叫做带有vlan的标签,同理,untagged叫做不带vlan的标签。
Access:又被叫做接入端口,是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。
接收方向:当A口收到一个数据时,首先他会检查这个数据,是tagged还是untagged,如果该端口收到对端设备发送的帧是untagged,交换机将强制加上该端口的PVID。
如果该端口收到对端设备发送的帧是tagged,交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时,接收该报文。当VLAN ID与该端口的PVID不同时,丢弃该报文。
发送方向:A口发送数据帧时,总是先剥离帧的Tag,然后再发送。A口发往对端设备的以太网帧永远是不带标签的帧
Trunk:T口是交换机上用来和其他交换机连接的端口,它负责连接设备之间。T口允许多个VLAN的帧(带Tag标记)通过。
接收方向:当一个T口收到数据帧时,他会首先检查这个数据帧是否携带tag,如果时untagged数据,则添加端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。
当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。
注意:华为交换机种需要手动设置trunk允许的vlan。
发送方向:端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文。
当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。
Hybrid:Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。华为设备默认的端口类型是Hybrid。
它可以设置本地的PVID,当本地的数据要出去时,则添加本地的pvid标签,同时他也可以在端口下设置untagged与tagged。
在tagged标签中,表明了允许哪些VLAN的数据帧以tagged方式通过该端口。
在untagged标签中,表明了允许哪些VLAN的数据帧以untagged方式通过该端口。
华为配置实例:
[HuaWei-SW1]vlan 10//创建VLAN
[HuaWei-SW1]vlan 20//创建VLAN
[HuaWei-SW1]interface G0/0/2 //设置为trunk类型接口
[HuaWei-SW1]port link-type trunk //设置为trunk类型接口
[HuaWei-SW1] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口
[HuaWei-SW1]interface G0/0/1
[HuaWei-SW1]port link-type access //设置为access类型接口
[HuaWei-SW1]port default vlan 10//设置为分配到vlan10中
[HuaWei-SW1]interface G0/0/3
[HuaWei-SW1]port link-type hybrid//设置为hybrid类型接口
[HuaWei-SW1]port hybrid pvid vlan 20//设置pvid为 vlan 20
[HuaWei-SW1]port hybrid untagged vlan 20//设置vlan 20抵达此端口可去标签
[HuaWei-SW2]vlan 10
[HuaWei-SW2]vlan 20
[HuaWei-SW2]interface G0/0/1
[HuaWei-SW2]port link-type trunk //设置为trunk类型接口
[HuaWei-SW2] port trunk allow-pass vlan 10 20//允许VLAN 10和20通过该接口
[HuaWei-SW2]interface G0/0/3
[HuaWei-SW2]port link-type access
[HuaWei-SW2]port default vlan 10
[HuaWei-SW2]interface G0/0/2
[HuaWei-SW2]port link-type hybrid//同上
[HuaWei-SW2]port hybrid pvid vlan 20//同上
[HuaWei-SW2]port hybrid untagged vlan 20//同上
此时查看实验效果
从实验效果可以得知,PC1与PC3可以通信,PC2与PC4可以通信。
小张想到这里,从床上爬了起来,对着主管说道:"主管,备机上都有配置,你把配置都粘下来然后导进主设备上吧,IDS的配置在我电脑桌面上,你也把他导进去,然后接上吧,免得再出现问题了。"
"能一起共事这么久,也算是缘分,如今我累了,就先辞职吧。"小张摇了摇头,跌跌撞撞离开了病房,主管望着小张离开的身影,隐隐的觉得失去了什么东西……
一出门的小张,望着门外西装革履的男子,叹道:"麻烦让个路好吗。"
男子望着颤抖的小张,不由分说抗了起来,一边走一边说:"BOSS让我找你一趟,有个职位想要和你谈谈。"
,