A模块 系统与网络安全 第三门课 网络通信原理-2

今日目标

• 数据链路层解析
• 理解冲突域
• 交换机工作原理
• 理解广播域
• VLAN概述
• VLAN配置

1 数据链路层解析

数据链路层概述

• 功能
  数据链路的建立、维护与拆除
  帧形成、帧传输
  

以太网概述

• 以太网
  以太网(Ethernet)是一种计算机局域网技术
  以太网是目前最通用，使用最广泛的局域网通信协议标准
  通常使用的局域网即“以太网”
  
• 主机A与主机B之间的通信，可能遇见的问题：
  如何区分不同设备
  如何识别设备发送的数据
  
• 以太网地址(MAC)
  MAC地址用来标识以太网上唯一的一个设备
  
• Ethernet llf帧格式
  

2 理解冲突域

冲突域概述

• 什么是冲突域
  早期以太网是多个网络节点共享同一链路，在同一传输介质上的多个节点共享同一条链路，多个节点争用链路的使用权，这样就会发生冲突；
  连接在同一传输介质上的产生冲突的所有节点的集合就是一个冲突域；
  

分割冲突域

为了提高传输效率，分割冲突域

单工、半双工与全双工

• 单工

只有一个信道，传输方向只能是单向的

• 半双工

只有一个信道，在同一时刻，只能是单向传输

• 全双工

双信道，同时可以有双向数据传输

交换机分割冲突域

• 早期的以太网利用物理层设备HUB来构建网络，不能隔绝冲突。
• 交换机设备取代了HUB设备组建以太网后，交换机的每个接口访问另一个接口时，都有一条专有的线路，不会产生冲突，所以交换机的每个接口，都是一个不同的冲突域，所以交换机可以分割冲突域。
• 全双工从根本上解决了以太网的冲突问题。
  

3 交换机工作原理

交换机概述

• 交换机是用来连接局域网的主要设备：
  交换机能够根据以太网帧中目标MAC地址智能的转发数据，因此交换机工作在数据链路层
  交换机可以分割冲突域，实现全双工通信
  交换机转发数据，主要依靠的是核心工作表：MAC地址表
  

交换机工作原理

• 交换机的转发原理
• 初始状态，MAC地址表是空的
  
• MAC地址学习
  
• 广播未知数据帧
  
• 接收方回应
  
• 交换机实现单播通信
  
• 学习

通过学习数据帧的源MAC地址来形成MAC地址表

• 广播

若目标MAC地址在MAC地址表中没有，交换机就向该数据帧的入接口外的其他所有接口
广播该数据帧

• 转发

交换机根据MAC地址表和目标MAC地址，单播转发数据帧

• 更新

交换机MAC地址表中的转发条目是动态学习到的，老化时间是300秒
如果发现一个帧的入接口和MAC地址表中该源MAC地址所对应的接口不同，交换机将MAC地址重新学习到新的接口

4 理解广播域

广播域概述

• 定义

• 广播域指接收同一广播消息的节点的集合，比如：一个节点发送目的MAC地址为全FFFF-FFFF-FFFF的广播报文，其余能够收到这条广播报文的节点的集合，就是一个广播域。

• 通常“一个P网段，就是一个广播域”。
  

广播域过大所带来的问题

• 广播域中网络节点过多所带来的问题：

1. 一个广播域中的网络节点越多，广播报文也必然会越多
2. 当广播报文越多，当前广播域的带宽占用就越多，网络不可用风险增大
3. 当广播报文越多，当前广播域中的设备资源占用高，转发数据速度慢
4. 所以当一个广播域中的节点过多，网络的稳定性和安全性会越低

5 VLAN概述

VLAN概述

• 什么是VLAN

1. Virtual LAN(虚拟局域网)
2. 将一个物理的局域网(LAN)在逻辑上划分成多个虚拟局域网(VLAN)的通信技术

• 为什么引入VLAN

1. 交换机分割了冲突域，但是不能分割广播域
2. 随着交换机端口数量的增多，网络中广播增多，降低了网络的效率
3. 为了分割广播域，引入了VLAN

VLAN分割广播域

• VLAN的作用

• 广播控制

• 安全性

• 带宽利用

• 延迟

VLAN的划分种类

• 基于端口划分的静态VLAN
  

通常是基于接口划分

• 基于MAC地址划分的动态VLAN

6 VLAN配置

PVID

**

• PVID:Port Default VLAN ID,也称缺省VLAN

**
表示接口所属的VLAN
每个接口都有一个PVID
交换机中所有接口的PVID默认都为VLAN1,但是可以手动修改

配置VLAN的步骤

• 创建VLAN
  创建单个VLAN
  批量创建VLAN
• 将接口加入到相应的VLAN中
• 验证

创建VLAN

• 创建单个VLAN

[Huawei]vlan 10                 //创建vlan10

• 批量创建VLAN

[Huaweilvlan batch 10 15 20    //创建多个不连续的vlan
[Huawei]vlan batch30to35       //创建多个连续的vlan

删除VLAN

• 删除VLAN

[Huawei]undo vlan 10
[Huawei]undo vlan batch 10 15
[Huawei]undo vlan batch 30 to 35

Access接口配置

• 场景

通常用于连接终端设备（主机、服务器）

• 特点

同时只能属于一个VLAN

将接口加入VLAN

• 接口加入VLAN

创建VLAN
设置接口模式成Access
将接口加入VLAN

[Huawei]interface go/0/1               //进入g0/0/1接口
[Huawei-g0/0/1]port link-type access   //将接口设置为access模
[Huawei-g0/0/1]port default vlan 2     //将接口加入lan2

验证VLAN的配置

• 检查VLAN信息

[Huawei]display vlan                 //显示所有vlan信息
[Huawei]display vlan 2               //显示指定vlan信息
[Huawei]display port vlan            //显示VLAN中包含的接口信息

---

案例

1 理解交换机工作原理

1.1 问题

主机11给44发送数据帧，交换机如何转发？

1.2 方案

使用eNSP搭建实验环境，如图-1所示：

图-1

1.3 步骤

实现此案例需要按照如下步骤进行。

1）交换机SW1在接收到数据帧后，执行以下操作：

• 交换机SW1学习主机11的MAC地址
• 交换机SW1查找目标MAC地址表
• 交换机SW1向除接收接口外其他所有接口发送广播

2）交换机SW2在接收到数据帧后，执行以下操作：

• 交换机SW2学习源MAC地址和接口号
• 交换机SW2查看目标MAC地址表
• 交换机SW2向除接收接口以外的所有接口广播数据帧

3）主机44处理完数据帧后，回复数据帧给主机11

4）交换机SW2在接收到数据帧后，执行以下操作：

• 交换机SW2学习源MAC地址和接口号
• 交换机SW2查看MAC地址表，根据MAC地址表中的条目，单播转发数据到接口3

5）交换机SW1在接收到数据帧后，执行以下操作：

• 交换机SW1学习源MAC地址和接口号
• 交换机SW1查看MAC地址表，根据MAC地址表中的条目，单播转发数据到接口1

6）主机11收到数据帧，从而主机11和主机44之间的通信成功

2 配置VLAN，配置Access接口

2.1 问题

1）创建VLAN 2

2）将接口加入VLAN

3）查看VLAN信息

4）验证与测试

:同vlan内的主机可以通信

2.2 方案

使用eNSP搭建实验环境，如图-2所示。

图-2

2.3 步骤

实现此案例需要按照如下步骤进行。

1）创建VLAN 2

<Huawei>system-view 
[Huawei]sysname SW1
[Huawei]vlan 2

2）将接口设置为Access模式，并加入指定VLAN

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port default vlan 2
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 2

3）显示VLAN信息

[SW1]display vlan
[SW1]display port vlan

3 练习交换机创建vlan并将端口加入vlan

3.1 问题

1）需求1：
如下图，配置PC1、PC2、PC3、PC4的IP 地址，PC1主机ping 测试连通性2）将接口加入VLAN

PC1主机ping 192.168.1.2
192.168.1.3
192.168.1.4

2)需求2：
创建vlan10 vlan20
（g0/0/1、g0/0/2加入vlan10）
（g0/0/3、g0/0/4加入vlan20）

3.2 方案

使用eNSP搭建实验环境，如图所示。

3.3 步骤

实现此案例需要按照如下步骤进行。

1）创建VLAN 2

<Huawei>system-view 
[Huawei]sysname S1
[S1]vlan  batch  10  20

2）将接口设置为Access模式，并加入指定VLAN

[S1]interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]port link-type access 
[S1-GigabitEthernet0/0/1]port default vlan 10
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 10 
[S1]interface GigabitEthernet 0/0/3 
[S1-GigabitEthernet0/0/3]port link-type access 
[S1-GigabitEthernet0/0/3]port default vlan 20
[S1-GigabitEthernet0/0/3]quit
[S1]interface GigabitEthernet 0/0/4
[S1-GigabitEthernet0/0/4]port link-type access
[S1-GigabitEthernet0/0/4]port default vlan 20

3）显示VLAN信息

<S1>display vlan查看vlan

4）ping 测试

PC1可以ping 通PC2
PC1不可以ping 通PC3
PC3可以ping 通PC4