《网络连接设备及技术.ppt》由会员分享,可在线阅读,更多相关《网络连接设备及技术.ppt(119页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第8章章 网络连接设备及技术网络连接设备及技术臧海娟臧海娟ZHJJSTU.EDU.CN2网络中心(图书馆)网络中心(图书馆)1010常州技术师范学院校园网二期网络拓扑图常州技术师范学院校园网二期网络拓扑图100Base-TX1000Base100Base-FX10Base-FL图例:图例:E-mailE-mailDNSDNS网管工作站网管工作站CiscoCisco36403640CERNETCERNETCatalyst 2980Catalyst 2980行政楼行政楼1 1CatalystCatalyst3548354810Base-FX学生公寓学生公寓2121数据库数据库辅辅DNSDNS新教
2、学楼新教学楼Catalyst 3548Catalyst 3548东方分院东方分院-别墅楼群别墅楼群CATALYSTCATALYST35483548新实验楼(在建)新实验楼(在建)二台二台总务处总务处9 9Catalyst Catalyst 1924F1924F实验工厂实验工厂8 8Catalyst 2924CCatalyst 2924CDDNDDNPSTNPSTNCatalystCatalyst 3548 3548(五(五台)台)化工实验楼化工实验楼5-65-6学生公寓学生公寓2020学生公寓学生公寓1212、1313、1414新学生宿舍楼新学生宿舍楼东方分院东方分院教学楼教学楼3 3、4 4
3、综合实验楼综合实验楼2 2Catalyst3548Catalyst3548经济干部经济干部管理学院管理学院Catalyst 1924Catalyst 1924ProxyProxyCATALYSTCATALYST55055505CATALYSTCATALYST65096509Catalyst 2924MCatalyst 2924MCatalyst1912MFCatalyst1912MF34本章主要内容l网络传输介质和互联设备 l物理层互联设备 l数据链路层互联设备 l网络层互联设备 l应用层互联设备 l交换机l路由器l网络设备的配置与管理l虚拟局域网 VLAN l网络地址转换NAT 5网络传输介
4、质10M Ethernet10M Ethernet:l10Base2-细缆l10Base5-粗缆l注意:路由器支持AUI(连接同轴电缆的Interface),可以接一个收发器转换。10BaseT-双绞线100Mbps FastEthernet:100Mbps FastEthernet:l100BaseTX-使用使用5类类UTP和和1类类STP,传输,传输100M,距离,距离100米。米。6网络传输介质智能智能MDI/MDIX(自动协商及自动跳线自动协商及自动跳线)自动侦测并调整速率与双工模式的自动跳线功能(MDI/MDIX),无论使用交叉式或直连式数据线,皆可连接至其他PC机或级联至其他交换机
5、;7网络传输介质-光纤1000BASE-SX 1000BASE-SX 代表代表1000M1000M传输速率,多模光纤,传输距离为传输速率,多模光纤,传输距离为500500米。米。1000BASE-LX1000BASE-LX代表单模代表单模/多模接口,传输距离从多模接口,传输距离从550550米米-10-10千米,千米,1000BASE-TX1000BASE-TX代表代表RJ45RJ45接口接口 FCPC型光尾纤接头外形图型光尾纤接头外形图SCPC型光尾纤接头外形图型光尾纤接头外形图ST-PC型光尾纤接头外形图型光尾纤接头外形图FC/PCSC/PC型光尾纤外形图型光尾纤外形图8物理层互联设备-中
6、继器 l负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。9物理层互联设备-集线器 l中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。10数据链路层互联设备-网桥 l网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于网络层的一种设备,它的作用是扩展网络和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将有地址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中无关紧要的通信。11交换机 l交换机是一种具有低价、高性能和高端口密集特点的交换产品。l二层交换机属数据链路
7、层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。12ROMFlashInterfaceCPURAM 交换机组件交换机组件组件13交换机组件交换机组件Flash:Flash ROM快闪存储器,存储系统软件映像,启动配置文件等,是可擦可编程的ROM。ROM 存储开机诊断程序、引导程序和操作系统软件。RAM/DRAM 主存储器,存储运行配置NVRAM 非易非易失性RAM,存储备份配置文件等。CPU 中央处理器 交换机使用特殊用途集成电路芯片,以实现高速的数据传输。Interface 接口14局域网交换机分类局域网交换机分类
8、l以大网交换机;l令牌环交换机;lFDDI交换机;lATM交换机;l快速以太网交换机等 15交换机的主要功能交换机的主要功能交换机具有三种主要功能:交换机具有三种主要功能:地址学习、转发地址学习、转发/过滤、回环避免。过滤、回环避免。16MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444ABCD 交换机工作原理交换机工作原理交换机初始化时交换机初始化时MAC地址表是空的。地址表是空的。F0/1F0/3F0/2F0/417MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01
9、.33330260.8c01.4444F0/1:0260.8c01.1111DCBA 交换机工作原理交换机工作原理主机之间互相发送数据,交换机会学习数据主机之间互相发送数据,交换机会学习数据帧的源帧的源MAC地址。地址。F0/1F0/3F0/2F0/4地址学习地址学习18F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444X XX XDCABMAC地址表地址表 交换机工作原理交换机工作
10、原理已知单播帧:地址表中已存在其地址,则只把数据帧从相已知单播帧:地址表中已存在其地址,则只把数据帧从相应的端口发出。其他地址被过滤掉。过滤操作应的端口发出。其他地址被过滤掉。过滤操作(Filtering)F0/1F0/3F0/2F0/4转发转发/过滤过滤190260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4DCABF0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444MAC 地址表地址表 交换机工作原理
11、交换机工作原理未知单播帧,广播帧:地址表中没有该地址时,采未知单播帧,广播帧:地址表中没有该地址时,采用广播形式发送。执行广播操作(用广播形式发送。执行广播操作(Flooding)转发转发/过滤过滤20回环避免回环避免回环避免 采用生成树协议来实现,生成树协议既支持路径采用生成树协议来实现,生成树协议既支持路径冗余,又可以防止路径回环。冗余,又可以防止路径回环。A网段网段1网段网段2AB21广播地址在数据链路层表示为广播地址在数据链路层表示为FFFF.FFFF.FFFF该地址不会被交换机学习到该地址不会被交换机学习到目的地址为该地址的数据帧将被交换机扩散目的地址为该地址的数据帧将被交换机扩散0
12、260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0F1F2F3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MAC 地址表地址表 交换机工作原理交换机工作原理Console任何任何InterfaceTelnetTFTP 常用的交换机配置方法常用的交换机配置方法23交换机配置波特率:波特率:9600 数据位:数据位:8停止位:停止位:1 无校验,无流量控制无校验,无流量控制程序程序附件附件通讯通讯超级终端超级终端24交换机配置命令模式l
13、用户模式用户模式 Switch l特权模式特权模式 Switch#l全局模式全局模式 Switch(config)#l端口模式端口模式 Switch(config-if)#lVLAN配置模式配置模式 lSwitch(config-vlan)#25EXECEXEC模式:模式:用户模式用户模式switch 交换机信息的查看,简单测试命令交换机信息的查看,简单测试命令特权模式特权模式switch#查看、管理交换机配置信息,测试、调试查看、管理交换机配置信息,测试、调试交换机配置命令模式261.1.在用户模式下进入特权模式在用户模式下进入特权模式SwitchenableSwitch#2.2.返回用户模
14、式返回用户模式Switch#disable或或Switch#exit交换机配置命令模式27配置模式:配置模式:全局配置模式全局配置模式switch(config)#配置交换机的整体参数配置交换机的整体参数接口配置模式接口配置模式switch(config-if)#配置交换机的接口参数配置交换机的接口参数交换机配置命令模式281.1.进入全局配置模式下进入全局配置模式下Switch#configure terminalSwitch(config)#exitSwitch#2.2.进入接口配置模式进入接口配置模式Switch(config)#interface fastethernet 0/1Swi
15、tch(config-if)#exitSwitch(config)#交换机配置命令模式29从子模式下直接返回特权模式从子模式下直接返回特权模式Switch(config-if)#endSwitch#交换机配置命令模式30命令行其他功能l获得帮助 l命令简写l使用历史命令l编辑快捷键 Ctrl+A 光标移动到命令行的开始位置Ctrl+E 光标移动到命令行的结束位置ESC+B 回移一个单词Ctrl+F 下移一个字符Ctrl+B 回移一个字符ESC+F 下移一个单词Ctrl+D 删除当前字符 Ctrl+P or 上方向键上方向键 调出最近调出最近(前一前一)使用过的命令使用过的命令 Ctrl+N o
16、r 下方向键下方向键 调出更近调出更近 用过的命令用过的命令 Ctrl+shift+6 终止一个进程311.1.支持命令简写支持命令简写(按按TABTAB键将命令补充完整键将命令补充完整)2.2.在每种操作模式下直接输入在每种操作模式下直接输入“?”显示该模式下所显示该模式下所有的命令有的命令3.3.命令空格命令空格 “?”显示命令参数并对其解释说明显示命令参数并对其解释说明4.4.字符字符“?”显示以该字符开头的命令显示以该字符开头的命令5.5.命令历史缓存命令历史缓存:(Ctrl+PCtrl+P)显示上一条命令显示上一条命令,(,(Ctrl+NCtrl+N)显示下一条命令显示下一条命令6.
17、6.错误提示信息错误提示信息 交换机操作帮助特点交换机操作帮助特点32显示交换机硬件及软件的信息显示交换机硬件及软件的信息Switch#show version显示当前运行的配置参数显示当前运行的配置参数Switch#show running-config显示保存的配置参数显示保存的配置参数 Switch#show configure显示接口配置参数显示接口配置参数Switch#show interfaces交换机常用命令交换机常用命令33交换机的配置命令特权模式主机名特权模式主机名#下的基本操作下的基本操作清空清空FlashFlash中的配置参数中的配置参数#delete flash:con
18、fig.text设置系统时间设置系统时间#clock set 时间值时间值#show clock ;显示系统时间信息显示系统时间信息重新启动交换机重新启动交换机#reload查看查看MAC地址表地址表#show mac-address-table显示接口状态显示接口状态#show interface进入全局模式进入全局模式#configure terminal34交换机的配置命令全局模式主机名(全局模式主机名(config)#config)#下的基本操作下的基本操作设置主机名设置主机名#hostname 新主机名新主机名#no hostname ;将系统主机名恢复为缺省值将系统主机名恢复为缺省
19、值配置交换机的登陆密码配置交换机的登陆密码#enable secret level 1 0 star配置交换机的特权密码配置交换机的特权密码#enable secret level 15 0 Star注:注:用户级别用户级别0 0至至1515,其中,其中1 1为普通用户级别,为普通用户级别,1515为最高授权级别;为最高授权级别;加密加密类型类型“0 0”表示加密类型是明文形式,表示加密类型是明文形式,“1 1”表示为密文形式;表示为密文形式;口令格式:最大长度口令格式:最大长度2525个字符,不能包含空格,问号或其他不个字符,不能包含空格,问号或其他不可显示的字符。可显示的字符。35交换机的
20、配置命令接口模式主机名(接口模式主机名(configconfigif)#if)#下的基本操作下的基本操作 配置接口速率配置接口速率#speed 10|100|auto 配置双工模式配置双工模式#duplex auto|full|half 自动全双工半双工10Mb100Mb10/100Mb自适应36半双工半双工(右图右图)1.接口只能同时发送或者接收数据接口只能同时发送或者接收数据2.接口按照接口按照CSMA/CD的工作机制的工作机制3.接口点对点连接或点对多点连接接口点对点连接或点对多点连接全双工全双工1.接口能够同时发送接收数据接口能够同时发送接收数据2.任何时刻发送数据不会产生冲突任何时刻
21、发送数据不会产生冲突3.接口点对点连接接口点对点连接点对点点对多点 交换机接口的双工模式交换机接口的双工模式强调强调HUB只支持半双工。只支持半双工。37交换机的配置文件的管理 保存文件保存文件:将当前运行的参数保存到flash中用于系统初始化时初始化参数。Switch#copy running-config startup-config Switch#write memorySwitch#write 删除文件删除文件:永久性的删除flash中不需要的文件。使用命令delete flash:config.text删除删除VLAN数据库数据库:永久性的删除flash中VLAN数据库文件。使用命令
22、delete flash:vlan.dat查看配置文件内容:查看配置文件内容:Switch#more flash:config.textSwitch#show configureSwitch#show running-config。38交换机互连方式级联:级联:通过交换机的普通端口通过普通线缆通过交换机的普通端口通过普通线缆简单联接起来简单联接起来堆叠堆叠:通过堆叠线缆将交换机的背板连接起通过堆叠线缆将交换机的背板连接起来,扩大级联带宽来,扩大级联带宽391.级联 级联端口:普通端口和级联端口 级联线缆 双绞线 有层次限制,每层 的性能不同 网络设备的连接方式40直连线和交叉线示意图交换机交换
23、机集线器集线器集线器集线器级联端口级联端口MDI-IIMDI-II普通端口普通端口MDI-XMDI-X直连线直连线直连线直连线交叉线交叉线交叉线交叉线直连线直连线PCPC交叉线交叉线41交换机(或集线器)级联以太网的级联422.堆叠 通过专用的端口将集线器或交换机连接起来,逻辑上形成一个设备。43堆叠菊花链44堆叠-主从式45转发方式 l直通式 l存储转发式 l无碎片直通式(更高级的直通式转发)46直通式l直通式(Cut Through)方式在输入端口检测到一个数据包后,只检查其包头,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口这样就完成了交换。因为它只检查数据
24、包的包头(通常只检查14个字节)。47存储转发式 l存储转发(Store and Forward)是计算机网络领域使用得最为广泛的技术之一,在这种工作方式下交换机的控制器先缓存输入到端口的数据包,然后进行CRC校验,滤掉不正确的帧,确认包正确后,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口。48无碎片直通式 l无碎片直通(Fragment Free Cut Through)是介于直通式和存储转发式之间的种解决方案,它检查数据包的长度是否够64 Bytes(512bit)如果小于64 Bytes,说明该包是碎片(即在信息发送过程中由于冲突而产生的残缺不全的帧),则
25、丢弃该包,如果大于64 Bytes,则发送该包。该方式的数据处理速度比存储转发方式快,但比直通式慢。路由器网络层互联设备50低端路由器外观51高端路由器外观52核心路由器外观53InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfaceconsole54内存:ROMl只读存储器(ROM)l只读存储器,存放引导程序和IOS的一个最小子集,相当于PC的BIOS。l闪存(Flash)l包含压缩的IOS和微代码,是一种可擦写、可编程的ROM,系统掉电时数据不会丢失。lNVRAM(No-Voliate RAM)l存放路由器的配置文件,系
26、统掉电时数据不会丢失。55内存:RAMlRAMl动态内存,系统掉电,内容丢失l操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区56路由器的启动过程l首先运行ROM的程序,系统自检和引导l读Flash内的IOS,装入RAM中l从NVRAM中读入路由器的配置信息l计算并生成初始路由表l通过与相邻路由器交换路由信息,更新、完善路由表57路由器功能l在网络间截获发送到远地网段的报文,起转发的作用。l选择最合理的路由,引导通信。l按照预定的规则把大的数据包分解成适当大小的数据包,到达目的地后再把分解的数据包包装成原有形式。l多协议的路由器可以连接使用不同通信协议的网络段,作为不同通信协议
27、网络段通信连接的平台。l路由器的主要任务是把通信引导到目的地网络,然后到达特定的节点站地址。58路由器工作原理l中间节点路由器在网络中传输时,提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况,选择最好的路径传送报文。59路由表的作用路由表的作用路由器就像网络中的向导一样,当IP包来到路由器后有一个很重要的任务就是查看该路由器是否知道这个IP数据包要去的目的地。路由器采用自动学习,依靠路由协议学习或网络管理员手动配置等方式获得IP数据包要去往的目的地信息。路由器将这些信息形成“档案”有选择的存放在路由表中,以便提供路由服务。路由表路由表Packet60路由表的产生方式路由表的产生方
28、式l直连路由路由器会自动生成本路由器激活端口所在网段的路由条目路由器会自动生成本路由器激活端口所在网段的路由条目1.1.1.01.1.2.01.1.3.061路由表的产生方式路由表的产生方式l静态路由在简单拓扑结构的网络里,网络管理员手动输入路由条目。在简单拓扑结构的网络里,网络管理员手动输入路由条目。62路由表产生的方式路由表产生的方式l动态路由协议学习到的路由在大型网络环境下,依靠路由协议比如OSPF、BGP路由协议学习Console任何任何InterfaceTFTPtelnet、webAUXMODEM常用的路由器配置方法641.1.线路配置模式线路配置模式Router(config-li
29、ne)#配置路由器的线路参数配置路由器的线路参数2.2.路由协议配置模式路由协议配置模式Router(config-router)#配置路由器的接口参数配置路由器的接口参数 路由器的操作模式:配置模式651.1.进入全局配置模式下进入全局配置模式下Red-Giant#configure terminal2.2.进入线路配置模式进入线路配置模式Red-Giant(config)#line vty 0 4Red-Giant(config-line)#exitRed-Giant(config)#3.3.进入接口配置模式进入接口配置模式Red-Giant(config)#interface seria
30、l 0Red-Giant(config-if)#exitRed-Giant(config)#4.进入路由协议配置模式进入路由协议配置模式Red-Giant(config)#router ripRed-Giant(config-router)#路由器的操作模式:配置模式66显示当前运行的配置参数显示当前运行的配置参数Red-Giant#show running-config显示显示NVRAMNVRAM中配置参数的副本中配置参数的副本Red-Giant#show startup-config将配置信息保存到将配置信息保存到NVRAMRed-Giant#write删除删除NVRAM中配置信息中配置信
31、息Red-Giant#erase startup-config常用路由器显示命令67配置配置consoleconsole登陆密码登陆密码Red-Giant(config)#line console 0Red-Giant(config-line)#loginRed-Giant(config-line)#password star配置配置VTYVTY登陆密码登陆密码Red-Giant(config)#line vty 0 4Red-Giant(config-line)#loginRed-Giant(config-line)#password star配置路由器登陆口令68配置特权密码配置特权密码R
32、ed-Giant(config)#enable password starRed-Giant(config)#enable secret star配置路由器特权口令69配置接口配置接口IPIP地址地址Red-Giant(config-if)#ip address IP address IPsubnet mask secondary将接口启用将接口启用Red-Giant(config-if)#no shutdown将接口关闭将接口关闭Red-Giant(config-if)#shutdown路由器接口配置命令70显示接口的状态显示接口的状态Red-Giant#show interfaces显示接
33、口的摘要信息显示接口的摘要信息Red-Giant#show ip interface brief路由器接口显示命令71Red-Giant#show interfaces fastethernet 0FastEthernet0 is up,line protocol is up(表示物理层协议工作正常表示物理层协议工作正常)()(表示数据链路层协议工作正常表示数据链路层协议工作正常)FastEthernet0 is up,line protocol is down(表示物理层协议工作正常表示物理层协议工作正常)()(表示数据链路层协议工作不正常表示数据链路层协议工作不正常)FastEtherne
34、t0 is down,line protocol is down(表示物理层协议工作不正常表示物理层协议工作不正常)FastEthernet0 is administratively down,line protocol is down(表示从管理上将该接口处于关闭状态表示从管理上将该接口处于关闭状态)路由器接口显示命令72远程登陆到其它设备远程登陆到其它设备Red-Giant#telnet IP address测试目的端的可达性测试目的端的可达性Red-Giant#ping IP address路由器测试命令73将配置参数上传到将配置参数上传到TFTPTFTP服务器服务器Red-Giant#
35、copy running-config tftp从从TFTPTFTP服务器上下载配置参数服务器上下载配置参数Red-Giant#copy tftp running-config路由器TFTP命令74实验练习l实验目的:熟练交换机、路由器的基本操作。通过telnet远程管理交换机、路由器。熟练RACK的使用l实验内容:学员通过ACS分别登陆交换机和路由器,练习交换机、路由器常用命令。配置交换机和路由器的远程登陆,通过PC远程TELNET到设备进行配置。75网络层互联设备-三层交换机l三层交换(也称多层交换技术,或IP交换技术)是在网络模型中的第三层实现了数据包的高速转发。l三层交换技术就是:二层
36、交换技术三层转发技术。l不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbps。76应用层互联设备 网关l在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备。l网关的功能体现在OSI模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事。l一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。用于网关转换的应用协议有电子邮件、文件传输和远程工作站登录等。77应用层互联设备 防火墙 l防火墙
37、一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。l防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的人可以访问因特网。l现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别,对信息进行安全(加密)处理等等。8.6 虚拟局域网79什么是VLANpVirtual Local Area Networks。虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组。p一个VLAN基本上是位于一个物理网络之上的一个逻辑广播域(broadcast domain),即在一个VLAN中的所有成员可以接收
38、到同一VLAN中各成员发送的每一个广播包(broadcast pocket)。p最早的VLAN技术是1996年由Cisco公司提出,它使网络管理员能根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,目前已成为最为热门的一种以太局域网技术。80以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成 81以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLA
39、N2和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时,工作站 B2 和 B3 将会收到广播的信息。82以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成 B1 发送数据时,工作站 A1,A2 和 C1都不会收到 B1 发出的广播信息。83以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成 虚拟局域网限制了接收广播信息的
40、工作站数,使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。84为什么要使用VLANl增加了网络连接的灵活性 网络管理员对网络上工作站可以按业务功能,而不必按地理位置分组。l控制网络上的广播风暴 随着网络向交换结构转变,网络内部路由器(其作用之一是阻隔广播)的使用越来越少。这样,广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量,缺点是增加了整个交换网络的广播风暴。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN
41、之外。同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。85为什么要使用VLANl增加网络的安全性 人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的资源。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。l实现网络集中化管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,
42、设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。86lVLAN的技术标准为1999年6月由IEEE颁布的IEEE 802.1Q。以太网交换机的VLAN还须参照IEEE 802.3ac,有些交换器则遵循CGMP(Cisco Group Management Protocol)专用标准。l所有VLAN的成员通过使用VLAN标记(VLAN Tag)进行指定和区分,在逻辑上组合到同一个广播域中,与其物理位置无关。VLAN通过交换机上的软件实现。
43、VLAN成员间无需通过路由技术进行通信。VLAN的技术标准87l虚拟局域网协议允许在以太网的帧格式中插入一个 4 字节的标识符,称为 VLAN 标记(tag),用来指明发送该帧的工作站属于哪一个虚拟局域网。8.6.3 虚拟局域网使用的以太网帧格式802.3MAC帧字节6624615004MAC帧目地地址源地址长度/类型数据FCS长度/类型=802.1Q标记类型标记控制信息1000000100000000VID2字节2字节插入4字节的VLAN标记4用户优先级CFI88VLAN的类型 lVLAN的划分方式通常有如下几种:最早的VLAN划分是基于端口(Port Based)的,即通过端口来划分VLA
44、N;现在的交换器还支持通过MAC地址(MAC Based)和 IP地址(Protocol Based)来划分VLAN;一些较新的交换器,还可以通过策略服务(Policy Servie)来管理VLAN,进一步简化了VLAN的划分和管理。89基于端口(port-based)的VLANl特点:VLAN成员是通过交换机的端口组进行划分。l这种基于端口的方案仍是当前最常用的定义VLAN成员的方法。l优点:p所有的厂商都支持,而且设置相当方便p基于管理员(由管理员人工设置)p安全性很好(只有网络管理员能修改设置)l缺点:每个端口只能支持一个VLAN,不能支持多个VLAN使用同一个物理网段(即交换机端口)的
45、要求。不支持按业务分组。l应用:主要用于为了提高网络的运行效率的网络用于防止拥塞(flood)而非为了满足工作需要。它是VLAN中最简单的一种,却也能提供最大程度的控制和安全性。VLAN 2VLAN 1基于交换机的端口基于交换机的端口(一个端口只属于一个一个端口只属于一个VLAN)VLAN)基于交换机的端口基于交换机的端口Port VLAN设置在设置在连接主机的端口连接主机的端口91基于MAC地址(MAC-based)的VLANl特点:根据MAC地址划分VLAN。l优点:p工作站移动到网络的其他物理位置时其VLAN成员的身份不变(特别适用于各种便携式电脑)。“基于用户”p可实现按业务分组p可以
46、形成“交迭的”VLAN即一个站点可以同时属于多个VLAN。便于实现若干个业务群间的跨接通信(如销售主管和经理们需要同时在销售和市场两个VLAN中)。l缺点:不适用于工作于第三层网络的那些真正的远程用户(许多便携式电脑用户属于这种情况),因为MAC地址不能跨越网络层。VLAN设置时必须由人工完成,相当麻烦。l应用:需要按业务分组的企业和主机位置需要经常移动网络。92基于协议(protocol-based)的VLANl特点:根据协议来划分VLAN,如将所有基于MAC地址的用户划分到一个VLAN中,其他的可以通过IP地址或IPX等协议进行划分。l优点:p用户可以同时处于多个VLAN中。p“基于管理员
47、”如果他所管理一个大型网络运行有不同的协议,而不同的用户组则已经是不同通信类型的成员了。这种情况下,它可以用来分隔不同的通信类型。l缺点:其他站点可以随意加入某个VLAN,只要配备相应的协议。l应用:只是用来提高网络的效率。最大的优点则是允许IPX网络加入以简单的方式将IPX产生的SAP(服务广告协议)广播置于有效的控制中。93基于IP(IP-based)的VLANl特点:使用网络(如IP子网)地址确定VLAN成员资格。l优点:p可实现通过协议划分VLANp用户可以物理移动其工作站而不必重新设置每个工作站的网络地址(适用于纯TCP/IP网络)p可以不需要使用帧标识(tagging)在交换机间的
48、VLAN进行通信,降低了传输开销。p网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中,并将所有的用户与其子网一起分配。p新用户加入可以由VLAN自动调整(因为交换机会发现它们位于哪个子网)l缺点:需要解决IP地址盗用问题l应用:用于TCP/IP协议特别有效,但对那些无需在桌面人工设置的协议(如IPX、DECnet、或AppleTalk协议)效果就差些。94基于策略(policy-based)的VLAN l所谓“策略实际上就是各种可能行为的控制准则。它们按 if-then 结构工作,可以对网络中的不同对象(用户、管理员、应用软件及硬件的下部构造)的行为进行禁止、
49、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上:故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。l基于策略是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中,它在整个网络中就得到全面应用,有关设备就将被加入到各VLAN中。l基于策略的VLAN可以使用各种划分方法,包括上述所列的各种VLAN类型:MAC源地址,IP地址,及协议字段。也可以将不同的策略结合起来,形成一个策略,以满足网络管理员的特殊要求。l但使用这种VLAN技术的设备和控制软件相当复杂,目前只有极少网络使用。95VLAN间通信的方
50、法VLAN10VLAN20172.20.0.0VLAN30172.10.0.0172.30.0.096使用路由器进行VLAN间路由VLAN10VLAN30VLAN20多条链路连接多个多条链路连接多个VLANVLAN97使用路由器进行VLAN间路由VLAN10VLAN30VLAN20Interface FA 0/1Subinterface 0/1.1Subinterface 0/1.2Subinterface 0/1.3一条链路连接多个一条链路连接多个VLANVLAN98使用路由器进行VLAN间路由Switch CSwitch ASwitch BVLAN41Network 172.16.41.3