vlan

• arp地址解析协议

  将一个已知的ip地址，解析成为一个mac地址
  正常情况下，一个ip地址对应一个mac地址
  如果出现一个mac地址对应多个ip地址的情况!(合法代理?非法欺骗)
  ARP安全问题(伪造arp响应报文)
  	1.mac地址是真实的(欺骗，数据劫持，用户不能直接感知)
  	2.mac地址是虚假的(攻击，通信故障，用户能直接感知)
  攻击对象
  	设备(影响设备的整个下游)
  	终端(但影响单个用户)	
  解决方案
  	1.DHCP snooping
  	2.ARP静态绑定(双向绑定)
  	[Huawei] arp static 172.16.1.10 5489-980a-805d(网络设备)
  	PC> arp -s 172.16.2.10 54-89-98-08-0D-FA(用户终端)
  	3.其他
  	<Huawei>display arp (设备查看arp缓存表)
  	pc: arp -a (用户终端查看arp缓存表)
  	pc: arp -d (用户终端删除arp缓存表)
  	ARP：老化时间

• vlan虚拟局域网

  	lan：本地区域网络"局域网"
  	vlan:虚拟局域网,对物理局域网进行逻辑划分
  
  为什么需要划分vlan?
  	1.故障上升
  	2.安全风险
  	3.广播流量增加
  	4.不便于管理
  
  物理隔离(路由器)
  	1.增加设备，增加成本
  	2.改变网络结构
  	3.不够灵活
  
  逻辑隔离(交换机)
  	默认情况下，交换机的所有接口都属于vlan1
  	<Huawei> display vlan 
  	
  	1.在交换机上创建vlan
  	命令: vlan <vid> [batch vid [to] vid ]
  	[Huawei] vlan 10 #创建进入vid为10的vlan
  	[Huawei] vlan batch 20  to 30  #创建vid为20到30的vlan
  	[Huawei] undo vlan batch 20 to 30 #删除vid为20到30vlan
  	[Huawei] vlan batch 4 9 #创建vid为4和9的vlan
  	[Huawei] display vlan #查看vlan
  	2.将接口加入vlan
  	[Huawei] int g0/0/1 #进入g0/0/1接口 
  	[Huawei-GigabitEthernet0/0/1] port link-type access #设置接口类型为access
  	[Huawei-GigabitEthernet0/0/1] port default vlan 10  #设置接口的默认vlan为10
  	[Huawei-vlan10] port g0/0/1 #将接口加入到vlan10,g0/0/1的接口类型要为access
  	[Huawei] port-group vlan_grop #创建vlan组
  	[Huawei-port-group-vlan_group] group-member g0/0/2 t0 g0/0/10 #把2到10的接口加入到组中
  	[Huawei-port-group-vlan_group] port link-type access #设置组中接口的类型
  	[Huawei-port-group-vlan_group] prot default vlan 20 #把组中的接口添加到vlan 20 中
  	3.用户终端接入什么端口就属于什么vlan