一、铺垫

1.拓扑结构

常见的拓扑结构：总线型、星型、扩展星型、环型、全网型

总线型并不是有一根线将所有终端连接在一起，而是通过集线器（hub）相连。数据在此区域中以广播形式传播，所有节点通过CSMA/CD“侦听，竞争，发送”（先听后发送，边听变发与冲突停止，随机延时发送）的机制共享有限的带宽资源。

2.层次化局域网

（1）层次化网络架构

        核心层：高速数据交换

        汇聚层：设备汇聚及流量收敛

        接入层：终端接入及访问控制

        (广域网、城域网、局域网是网络类型，层次化网络是一种网络设计架构)

(2）层次化网络中路由器和交换机的作用

层级	核心设备	核心作用
接入层	二层交换机	连接终端，内网小范围转发
汇聚层	三层交换机	汇聚流量，网段间转发，策略控制
核心层	三层交换机	内网核心流量高速转发
核心层	路由器	跨网络互联（内网-外网），路由选择，出口网关

3.冲突域与广播域

（1）冲突域

        冲突域是指能够发生电信号冲突的网段

        hub的所有接口都在同一个冲突域，终端主机共享hub的所有带宽

        交换机每个接口都是一个冲突域，终端主机独占接口的全部带宽

（2）广播域

        广播域是指广播帧（目的mac：FFFF-FFFF-FFFF）能够到达的范围

        路由器的三层接口处独立的广播域中，终端主机发出的广播帧能在三层接口被终止（不能跨网段）

（3）补充

        物理层（集线器）：所有接口既是一个广播域又是一个冲突域

        数据链路层(二层交换机)：所有接口都是一个独立的冲突域，所有接口都属于一个广播域

        网络层（路由器）：所有接口都是一个独立的广播域和冲突域

二、VLAN

传统网络的广播域划分方式无法满足企业网路的发展需求，于是vlan诞生了。vlan是在一个物理网络上划分出来的逻辑网络，不受网络端口的实际物理位置的限制。就是将一台物理交换机划分位若干台逻辑上完全就独立的交换机

1.vlan的作用

        分割广播域，抑制广播风暴，提升网络整体性能

        实现二层网络隔离，提高网络数据传输的安全性

        灵活构建虚拟工作组，提高规划、布线灵活性

2.vlan的工作原理

（1）vlan划分方式

划分方式	依据
基于端口划分	交换机的物理端口
基于mac地址划分	设备的mac地址
基于IP地址/子网划分	设备的IP地址或子网段
基于协议划分	网络协议
基于策略划分	结合MAC、IP、端口等多条件

（2）核心工作原理

vlan通过给数据帧打vlan标签（Tag）实现帧的vlan归属识别（交换机用vlan标签来区分不同vlan的以太网帧从而决定在哪些端口转发），让交换机只能在同一vlan内转发广播/单播帧，从而将物理端口逻辑拆分多个独立广播域,核心为标签封装、端口类型转发、跨交换机trunk链路转发三个关键环节，所有操作均在数据链层完成。

802.1q

802.1q是在传统以太网帧的基础上，插入一个4字节的vlan标签（Tag），扩展的帧格式。

802.1Qtag为12位，最多的可配置vlan个数2^12-2=4094（不包括vlan0）

access接口

只允许端口所属vlan通过，仅接受和发送一个vlan的数据帧，一般用于连接用户设备。一个access口只能属于一个vlan（称为该端口的PVID）

        入站（终端-交换机）：接受终端发送的无标签普通帧，自动给帧封装上该端口的PVID对应的vlan标签（变为802.1q帧），再送入交换机内部转发。

        出战（交换机-终端）：从交换机内部接受带本端口PVID标签的帧（802.1q），先剥离该vlan标签，将帧恢复为普通帧后发送给终端；若接受到非本端口PVID的标签帧，直接丢弃（实现vlan隔离的关键）。

trunk接口

允许多个vlan通过，可以接收和发送多个vlan的数据帧。缺省vlan的以太网帧（Native vlan帧）不带标签（默认为vlan1），一般交换机与交换机相连。

        入站（其他交换机-本交换机）：接收带vlan标签的帧，若该vlan在trunk口的“允许列表”内，直接送入内部转发；若不在，直接丢弃。

        出战（本交换机-其他交换机）：从内部接收带vlan标签的帧，若该vlan在允许列表内，保留标签直接发送，若不在直接丢弃。

场景分析

       1- pc1发送普通帧：pc1向pc3发送无标签的普通以太网帧（源mac pc1 目的mac pc2）发送至sw3fa1/10口（access口，PVID=vlan10）

        2-SW3access口入站封装：sw3的fa1/10接口接收无标签帧，自动封装vlan10标签，送入SW3内部

        3-SW3内部转发：SW3查找mac地址，发现pc3的mac地址对应sw3的fa1/3（trunk口），将带vlan10标签的帧转发该口

        4-trunk口跨交换机传输：SW3的fa1/3（trunk）检测到帧为vlam10，保留标签将帧发送至SW4的fa1/3（trunk）

        5-SW4内部转发：SW4fa1/3接收vlan10标签的帧，检测到在允许列表内，送入内部后查找mac地址表，发现pc3的mac对应SW4的fa1/10（access口，PVID=vlan10），将帧转发至改口

        6-SW4Access口出站剥离：SW4fa1/10接收vlan10标签的帧，匹配自身PVID，剥离vlan10标签，将帧恢复为普通帧后发送至pc3

3.vlan配置（思科）

三、vlan间互通   

        VLAN 的核心是二层隔离（每个 VLAN 一个独立广播域），但实际网络中，不同 VLAN 的设备并非永远需要完全隔离，VLAN 互通是企业网络部署的刚需，本质是在二层隔离的基础上，实现三层业务互通。在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。

        不同VLAN+不同广播域+不同IP网段+不同路由器接口=三层路由通信

        VLAN间互通原理=VLAN间路由

1.vlan间路由技术

（1）单臂路由

二层交换机和路由器之间相连的接口配置vlan trunking，使多个vlan共享同一个物理链路连接到路由器

（2）三层交换机

二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了vlan的划分、vlan内部的二层交换和vlan间路由的功能。三层交换机的每个物理接口，同一时间只能处于二层模式（switchport：access，trunk）或三层模式（no switchport）。此外，还有SVI（vlan路由接口）是虚拟的三层接口，与物理接口不冲突。我们可以让所有物理接口保持二层模式，然后通过创建SVI来实现vlan间的三层路由。

2.vlan间数通过程

（1）单臂路由

pc1去往pc4的数据流分析

       1- pc1与pc4不在同一网段，将通过网关192.168.10.1（rt5E0/10.10）访问pc4

        2-SW3fa0/10接口收到一个不带tag的mac帧，该接口为acess接口，属于vlan10，故将该帧打上vlan10的tag查找mac地址，查到出接口fa0/1，故0/1为dot1q（802.1q）trunk接口，故将该帧打上dot1q tag 10，从F0/1接口转发出去。

        3-RT5e0/0.10收到目的MAC是自己的数据包，拆除二层封装，查找路由表，查到直连路由，出接口0/0.11，将该包转发至e0/0.11接口，重新进行rt5e0.11-pc4的mac封装

        4-SW3法0/1接口收到一个带tag11的mac帧，该接口为dot1q trunk接口且允许vlan 11通过，所以带上该帧的tag查找mac表，查到mac接口f0/3，f0/3为dot1q trunk接口，所以保留该标签，从f0/3接口转发

        5-SW4 F0/3接口收到一个带 tag 11的MAC帧，该接口为dot1q Trunk接口且允许vlan 11通过，故带上该帧的tag查找MAC表， 查到出接口F0/11，F0/11为vlan 11的Access接口，故删除该帧的tag，从F0/11接口转发出去。

        6-PC4收到目的MAC是自己的数据帧（不带vlan tag）

（2）三层交换机报文处理

二层接口（switchport：Access/Trunk ）

三层接口（no switchport）

  SVI接口（interface vlan）

3.配置（思科）

1.单臂路由

2.三层交换机组网配置