厂区园区做网络架构 园区网的三层架构

网络的三层架构 --- 园区网搭建的建议方案

园区 --- 工厂，政府机关，商场，写字楼，校园，公园等，这些公共场所为了实现数据的互通

而搭建的网络称为园区网。

接入层 --- 有接入层交换机（一般就是二层交换机）组成，为终端设备提供接入网络条件。

WLAN --- 无线局域网 --- 从广义上来讲，指以无线电波，激光，红外线等代替有线局域网中

的部分或全部传输介质所以构成的网络。

“无线是有线的最后一公里”

AP -- 无线接入点

无线网络的缺陷

1，传输速率本身较低并且信号强弱波动较大

2，无线信号本身穿透性较差

         2.4G，5G

3，接入人数较多时，会出现明显的卡顿

CSMA/CD --- 载波侦听多路访问/冲突检测 --- 将设备通过AP接入到无线网络中，也相当

于接入到一个冲突域中，所以需要去进行冲突避免。但是，因为无线网络本身信号强度

的动态范围非常大，往往接收到的信号强度远小于发出时的信号，导致冲突检测不易进

行；并且再某些场景下，无线当中的冲突是检测不到的，所以，无法使用CD冲突检测技

术，只能使用CA冲突避免技术。

CSMA/CA --- 载波侦听多路访问/冲突避免

1，即使侦听到没有信号，也不会立即发送信息，而是先给自己施加一个随机的计时

器，尽可能的再发送之前避免冲突。

2，CSMA/CA技术，采用了停等式流控。即每发送一个数据包，都需要对方回复ACK进

行确认。

汇聚层 --- 汇聚接入层收集到的流量，一般使用三层交换机来组成。

        三层交换机和二层交换机最显著的区别是三层交换机即拥有像二层交换机一样的二层接

        口（不需要配置IP地址，也不需要MAC地址）同时也拥有像路由器一样的三层接口（需

        要配置IP地址，同时拥有MAC地址）。可以理解为是交换机和路由器的集成设备。既可

        以完成交换机的二层转发，也可以完成路由器的三层转发。其内部既有MAC地址表也存

        在IP路由表。

三层架构的核心 --- 冗余（备份）

1，线路冗余

2，设备冗余

3，网关冗余

4，UPS冗余 --- UPS --- 不间断电源 --- 99.9999%的可用性

核心层 --- 作用是完成私网和公网之间数据的快速转发。

VLAN

LAN --- 局域网 --- 地理覆盖范围较小的网络

VLAN --- 虚拟局域网 --- 交换机和路由器协同工作，将原来的一个广播域逻辑上切分成为多

个。

第一步：创建VLAN

<Huawei>display vlan

VID --- VLAN ID --- 用来区分和标识不同VLAN --- IEEE组织在802.1Q标准定义VLAN ----

由12位二进制构成 --- 0 - 4095 --- 其中0和4095保留 --- 真正的取值范围 --- 1 - 4094

所有设备默认存在VLAN 1，并且，所有接口默认属于VLAN 1

[Huawei]vlan 2 --- 创建VLAN

[Huawei]vlan batch 4 to 100 --- 批量创建VLAN

第二步：将接口划入VLAN

VID配置映射到交换机的接口，实现VLAN的划分 --- 物理VLAN/一层VLAN

VID配置映射到数据帧中的MAC地址，实现VLAN的划分 --- 二层VLAN

数据帧中的类型字段映射VID进行VLAN的划分 --- 三层VLAN

通过IP地址划分VLAN ，通过策略来划分VLAN

802.1Q帧 --- 在以太网Ⅱ型帧的基础上，在源MAC地址和类型字段之间，添加了4个字

节的TAG（包含12位的VID）。也可以将这种打了标签的帧称为tagged帧，正常没有打

标签的帧可以称为untagged帧。

因为我们的电脑是无法识别tagged帧，只有交换机（支持802.1Q的设备）才能识别。

根据这个特性，我们把交换机和电脑之间的链路称为Access链路，交换机侧的接口称为

Access接口，这些链路中只能通过untagged帧，并且这些帧只能属于某一种特定

VLAN；交换机和交换机之间的链路称为trunk链路（trunk干道），交换机侧的接口称

为trunk接口，这些链路中可以通过tagged帧，并且，这些帧可以属于多个vlan。

第三步：配置trunk干道

        第二步配置

        [sw1-GigabitEthernet0/0/1]port link-type access

        [sw1-GigabitEthernet0/0/1]port default vlan 2

        [sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4

        [sw1-port-group] --- 创建接口组

        第三步配置

        [sw1-GigabitEthernet0/0/5]port link-type trunk

        [sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3

        [sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan all

        hybrid --- 混杂接口

        [sw1]display port vlan active

        华为交换机设备所有接口默认情况下都是hybrid 类型，混杂接口。

        PVID --- 接口所对应的VID值，可以理解为接口所属VLAN。华为设备，默认情况下，所

        有接口的PVID值为1。

        华为设备VLAN技术中规定，所有通过接口进入到交换机的数据，都必须打上接口对应

        PVID的标签。也就是说，交换机内部的所有数据都是带标签的数据。

        VLAN List --- 接口允许通过的VLAN列表 --- ACCESS接口因为只允许通过接口所属的

        VLAN的流量，所以，其允许列表只能通过一个VLAN且和PVID相同。Trunk干道允许通

        过多个VLAN，默认放通VLAN 1的流量，之后，可以通过port trunk allow-pass vlan XX去

        放通其他VLAN的流量。

        U/T标记 --- U --- Untagged --- 代表后面允许列表中的VLAN数据在通过时不携带标签

        发出。

                        --- T --- Tagged --- 代表后面允许列表中的VLAN数据在通过时携带标签发

                               出。

        Trunk干道在发出流量时，为了区分不同VLAN的流量，需要带上标签，只有该TRUNK

        接口PVID对应的VLAN的流量需要剥离标签。

ACCESS接口

        1，当ACCESS接口从链路上接收到一个untagged帧时。 ---- 交换机接收到这个帧后，

        需要先添加vid为PVID的tag。然后，看允许列表，如果允许列表存在该VID（ACCESS

        接口必然存在），则转发。

        2，当一个tagged帧从交换机的其他端口到达一个ACCESS接口后。 --- 则交换机会先

        检查该数据帧标签中VID值在不在自己的允许列表中。如果在，则剥离标签后转发，如

        果不在，则丢弃。

        3，如果ACCESS接口从链路上接受到一个tagged帧。交换机不需要再打标签，而是查

        看他的VID是否再自己的允许列表中，如果在，则可以转发；如果不在，则丢弃。

Trunk接口

        1，当trunk接口从链路上收到一个untagged帧 --- 交换机会先在数据帧中打上和PVID

        相同VID的标签。之后查看允许列表，如果允许列表中存在该VID，则转发；如果不存

        在，则直接丢弃。

        2，当一个tagged帧从交换机的其他端口到达一个Trunk接口后。如果这个tag中的VID

        不在trunk接口的允许列表中，则直接丢弃；如果在，则进行转发。如果VID和TRUNK

        接口的PVID相同，则先剥离标签，之后转发；如果不同，则带标签转发

        3.如果Trunk接口从链路上接受到一个tagged帧。交换机不需要再打标签，而是查看他

        的VID是否再自己的允许列表中，如果在，则可以转发；如果不在，则丢弃。

ACCESS接口的修改权限 --- 可以修改PVID，可以修改允许列表，但是只能放通一个VLAN的

流量，并且这个VLAN必须和PVID相同。出口的封装方式不能修改，这能是不带标签发出

TRUNK接口的修改权限 --- 可以修改PVID，可以修改允许列表，可以放通多个VLAN的流量。

出口的封装方式不能修改，和PVID相同的VLAN的流量出去时需要剥离标签，其余的出去需

要携带标签。

[sw1-GigabitEthernet0/0/5]port trunk pvid vlan 2 --- 修改trunk接口的PVID

hybrid --- 混杂接口 --- 接口的修改权限 --- 可以修改PVID，可以修改允许列表，可以放通

多个VLAN的流量。可以定义出口的封装方式。

[SW1-GigabitEthernet0/0/1]port link-type hybrid---修改接口类型为混杂接口

[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 2---修改混杂接口的PVID值

[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 2 3 4-----修改允许列表，并且出去的时候

                                                                                                    不带标签

[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 4-----修改允许列表，并且出去的时候

                                                                                                 带标签

第四步：VLAN间路由

子接口---路由器的虚拟接口----路由器将一个物理接口逻辑上切分为多个虚拟的子接口

[r1]int g0/0/0.1----创建子接口

[r1-GiabitEehernet0/0/0.1]dot1q termination vid 2

[r1-GiabitEehernet0/0/0.1]ip address 192.168.1.1 24

[r1-GiabitEehernet0/0/0.1]arp broadcast enable---开启arp广播----开启后，子接口才会进行应答

SVI---交换机虚拟接口----在华为体系中被称为VLAN IF接口，这个接口是针对VLAN 来进行配置的虚拟的三层接口。

这个接口对于二层交换机来说，其主要目的是为了方便远程管理，所以，这个接口只需要一个，并且其属于哪个VLAN 都可以

管理VLAN---二层交换机只能存在一个SVI接口，起作用仅仅是为了满足远程登录控制，所以，他的SVI只能属于一个VLAN，这个所属VLAN就是管理VLAN

创建VLAN IF接口:

[sw1]interface Vlanif 2  创建vlanif 

[sw1-vlanif2]ip address 192.168.1.1 24  -----  网关

一个交换机上有几个VLAN 就能（要）创建几个vlanif接口