补充+虚拟局域网.ppt-淘文阁

资源描述

《补充+虚拟局域网.ppt》由会员分享，可在线阅读，更多相关《补充+虚拟局域网.ppt（53页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第六章虚拟局域网及其配置 1/21/20231第六章虚拟局域网及其配置 6.1 虚拟局域网概述6.1.1 虚拟局域网的概念6.1.2 VLAN产生的技术背景6.1.3 VLAN的分类6.2 VLAN的汇聚连接与封装协议6.2.1 VLAN的汇聚连接6.2.2 VLAN的封装协议1/21/202326.3 VLAN间主机的通信 6.3.1 利用路由器实验VLAN间通信1 6.3.2 利用路由器实验VLAN间通信2 6.3.3 利用路由器实验VLAN间通信3 6.3.4 利用三层交换机实验VLAN间通信6.4 VLAN的配置1/21/20233 1.什么是虚拟局域网（什么是虚拟局域网（VLAN

2、）VLANVLAN（Virtual Local Area NetworkVirtual Local Area Network）是建立在局域网交换机或ATM交换机之上的，它以软件方式来实现逻辑工作组的划分和管理，逻辑工作组的结点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接在同一个物理网段上，它们可以连接在同一个局域网交换机上，也可以连接在不同的局域网交换机上，只要这些交换机是互连的。当一个结点从一个逻辑工作组转移到另一个逻辑工作组时，只要通过软件设定，而不需要改变它在网络中的物理位置。同一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。VLA

3、NVLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个网段，从而实现虚拟工作组的新兴数据交换技术。6.1.1 虚拟局域网的概念虚拟局域网的概念1/21/202342.2.虚拟局域网技术 VLANVLAN是在一个物理网络上划分出来的逻辑网络。这是在一个物理网络上划分出来的逻辑网络。这个网络对应于个网络对应于OSI OSI 模型的第二层网络。模型的第二层网络。VLANVLAN的划分的划分不受网络端口的实际物理位置的限制。不受网络端口的实际物理位置的限制。VLAN VLAN 有着和有着和普通物理网络同样的属性。第二层的单播、广播和多普通物理网络同样的属性。第二层的单播、广播和多播帧

4、在一个播帧在一个VLANVLAN内转发、扩散，而不会直接进入其内转发、扩散，而不会直接进入其他的他的VLANVLAN之中。之中。1234交换机交换机广播帧广播帧广播域广播域广播帧广播帧广播域广播域交换机收到广播帧后,只转发到属于同一VLAN的其它端口1/21/20235以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成 1/21/20236以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域

5、网 VLAN1,VLAN2和 VLAN3 的构成当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。1/21/20237以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成 B1 发送数据时，工作站 A1,A2 和 C1都不会收到 B1 发出的广播信息。1/21/20238以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1,VLAN2

6、和 VLAN3 的构成虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。1/21/202396.1.2 VLAN产生的技术背景 1.基于网络性能的考虑传统的共享的以太网中所有用户共同处于一个广播域解决冲突域、广播域、带宽的问题1/21/2023106.1.2 VLAN产生的技术背景2.基于安全的因素限制不同工作组间的用户二层之间的互访基于组织结构的考虑3.将物理LAN逻辑地划分为不同的广播域，每个VLAN有着相同的需求。突破物理地理范围的限制1/21/202311 6.1.3 VLAN的分类 v基于端口的VLAN（Port-Base

7、d）v基于协议的VLAN（Protocol-Based）v基于MAC层分组的VLAN（MAC-Layer Grouping）v基于网络层分组的VLAN（Network-Layer Grouping）v基于IP组播分组的VLAN（IP Multicast Grouping）v基于策略的VLAN（Policy-Based）1/21/202312基于端口的VLAN v基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法。它是交换机的若干个端口（可以连续也可以不连续）的集合，按交换机的端口来划分，管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。v属于一个VLAN的端口可以连续也可以不连

8、续，可以在同一个交换机上，也可以跨越多个交换机。v这种方法的优点在于只需定义端口，非常灵活、简单方便。缺点在于连接到某VLAN上的用户离开原来的端口，到了一个新的交换机的端口，就要重新定义其所属的VLAN。1/21/202313基于端口的VLAN 1/21/202314基于协议的VLAN v基于协议的VLAN是通过区分承载的数据所采用的三层协议的不同来确定VLAN的成员，然而这需要工作在一个多类型协议的环境下，在一个主要以IP为基础的网络上，这种方法不是特别有用。1/21/202315基于MAC层分组的VLAN v这类VLAN是依据连接在交换机端口上的工作站和服务器的MAC地址来进行划分的。网

9、络管理员需要管理MAC地址，当用户发生物理位置移动时，即从一个交换机换到另一台交换机时，VLAN不用重新配置。但初始化时，需要配置所有的MAC地址，如果有几百个甚至上千个用户的话，工作量是非常巨大的。而且这种划分的方法也导致了交换机运行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。1/21/202316基于网络层划分VLANv根据每个主机的网络层地址或协议类型来进行划分的。虽然这种划分方法是依据网络地址（如IP地址），但这不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以没有RIP、OSPF等路由协议，而是根据

10、生成树算法进行桥交换。v优点:如果用户的物理位置变化了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对于网络管理者来说很重要。另外，不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。v缺点:效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。1/21/202317根据IP组播划分VLAN vIP组播实际上也是一种VLAN，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此有更大的灵活性，而且也很容易通过路由器进行扩展，但由于效率不高，不适用于局域网。1/21/202318基于策略的VLAN v它是一种比较灵活有效的VLAN

11、划分方法，该方法的核心是采用什么样的策略。常用的策略有：按MAC地址、按IP地址、按以太网的协议类型、按网络应用等。1/21/202319VLAN的优越性 1可以有效地控制网络的广播风暴2增加网络的安全性3简化网络管理，提高网络灵活性1/21/2023206.2 VLAN的汇聚连接与封装协议6.2.1 VLAN的汇聚连接 1.跨多台交换机实现VLAN 2.跨交换机实现VLAN内主机间通信 3.利用Trunk Link实现跨交换机VLAN内主机通信 1/21/2023211.跨多台交换机实现VLAN 1/21/2023222.跨交换机实现VLAN内主机间通信 v解决的办法就是在交换机上各提供一

12、个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。v缺点:效率低,对交换机端口的大量占用 1/21/2023233.利用Trunk Link实现跨交换机VLAN 内主机通信 v交换机间的互连链路汇集到一条链路上，让该链路允许各个VLAN的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链路或主干链路（Trunk Link)。v用于提供汇聚链路的端口，称为汇聚端口。1/21/2023246.2 VLAN的汇聚连接与封装协议6.2.2 VLAN的封装协议 1.IEEE 802.1Q产生 2.IEEE 802

13、.1Q帧格式 3.IEEE 802.1Q工作原理1/21/2023251.Tag VLAN封装协议IEEE 802.1Q v1996年3月，IEEE 802.1 Internet Working委员会制定出802.1Q VLAN标准。vIEEE 802.1Q的帧在原来的以太网帧的基础上增加了4个字节的Tag信息，其中包括2个字节的TPID（Tag Protocol Identifier）和2个字节的TCI（Tag Control Information）。vTPID是一个固定值：0X8100，而TCI中又包含3位的优先级，一位的CFI（Canonical Format Indicator）,其

14、默认值为0，其余的12位作为VID（VLAN Identifier）。1/21/2023262.IEEE 802.1Q帧格式目的MAC源MAC长度DATAFCS目的MAC源MAC长度DATAFCSVPIDVCL0X8100 2B优先级 3bitCFI 1bitVID 12bits4Bytes1/21/2023273.IEEE 802.1Q工作原理vv802.1q802.1q数据帧只在交换机的数据帧只在交换机的trunktrunk链路上传输，对于链路上传输，对于用户是完全透明的。用户是完全透明的。vv默认条件下，默认条件下，TrunkTrunk上会转发交换机上存在的所有上会转发交换机上存在的所有

15、VLANVLAN的数据。的数据。数据帧数据帧数据帧数据帧TagTag标签标签标签标签A A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B BDES SRCFCSFCSDES SRC去掉去掉去掉去掉TagTag标签标签标签标签1/21/2023286.3 VLAN间主机的通信 6.3.1 利用路由器实验VLAN间通信1 6.3.2 利用路由器实验VLAN间通信2 6.3.3 利用路由器实验VLAN间通信3 6.3.4 利用三层交换机实验VLAN间通信1/21/2023291.利用路由器实现VLAN间通信1 当每个交换机上只一个VLAN时，路由器和交换机的接线方式，

16、如图4-7所示，每个交换机中留出一个端口用作与路由器的相应接口连接。1/21/2023302.利用路由器实现VLAN间通信2将路由器与交换机上的每个VLAN分别连接。实现的方法即把路由器和交换机以VLAN为单位分别用网线连接。将交换机上用于和路由器互连的每个端口设为Access模式，然后分别用网线与路由器上的独立端口互连。1/21/2023313.利用路由器实现VLAN间通信3不论VLAN有多少个，路由器与交换机都只用一条网线连接.此时路由器的快速以太网端口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个VLAN创建一个对应的虚拟子接口（SVI），并设置

17、虚拟子接口的IP地址，该IP地址以后就成为该VLAN的默认网关。1/21/2023324.利用三层交换机实现VLAN间通信 1/21/202333 6.4 VLAN的配置v配置VLAN大致有以下几个步骤:1.VLAN配置分析规划，解决配置什么的问题。2.VLAN的具体配置，实现在交换机上配置VLAN。3.VLAN配置信息的查看、修改，确保配置合理正确。4.VLAN配置信息的保存。1/21/202334VLAN的默认配置参数默认值范围VLAN ID114094VLAN nameVLAN x其中x是VLAN Name，无范围VLAN stateactiveactive、inactiveV

18、LAN是以VLANID来标识的，遵循IEEE 802.1Q标准，最多支持250个VLAN（VLAN ID范围是14094）。在交换机上可以添加、删除、修改VLAN 2VLAN 4094，而VLAN 1则是由交换机自动创建，并且不可被删除。1/21/202335VLAN端口vVLAN端口类型有两种：Access端口和Trunk端口。v一个Access端口只能属于一个VLAN，并且是通过手工设置指定VLAN的。交换机上的所有端口默认都是Access端口，属于VLAN1。v一个Trunk端口，在默认情况下是属于本交换机所有VLAN的，它能够转发所有VLAN的帧，但是可以通过设置许可VLAN列表（al

19、lowed-VLANs）来加以限制。1/21/202336创建VLAN v创建VLAN是在全局模式下进行 vvlan vlan-id v其中vlan-id代表要创建的VLAN号。v默认情况下，交换机会自动创建和管理VLAN 1，所有交换机端口默认均属于VLAN 1，用户不能删除该VLAN。用户可创建的VLAN的ID范围是24094，但最多只能建立250个VLAN。如果输入的是一个新的VLAN ID，则交换机会创建一个VLAN，并进入到VLAN配置模式，如果输入的是已经存在的VLAN ID，则进入到vlan配置模式修改相应的VLAN配置。1/21/202337命名VLAN v为区分不同的VLAN

20、，应对VLAN取一个名字。vVLAN的名字默认为“VLAN+用0开头的4位VLAN ID号”。比如，VLAN 0004就是VLAN 4的默认名字。给VLAN命名的配置命令为：vname vlan-namev其中，vlan-name为VLAN的名字。v此命令在vlan模式下运行，如果想把VLAN的名字改回默认，输入no命令即可。1/21/202338删除VLANv删除已经创建的VLAN，使用的配置命令为：vno vlan vlan-idv其中，vlan-id是要删除的VLAN，VLAN删除后，原来属于该VLAN的交换机端口将仍然属于该VLAN，不会自动划归到VLAN 1。由于所属的VLAN已被删

21、除，此时这些端口将处于非活动状态，在查看VLAN时看不到这些端口。因此，在删除VLAN之前，最好先将属于该VLAN的端口划归到VLAN 1，然后再删除该VLAN。vVLAN 1是系统默认的，不能由用户删除。1/21/202339向VLAN分配Access端口 v在接口模式下可利用如下命令将选中的端口划分到一个已经创建的VLAN中。如果把一个接口分配给一个不存在的VLAN，那么这个VLAN将自动被创建。vswitchport access vlan vlan-idv其中，vlan-id是VLAN的ID号，表示将端口划入哪一个VLAN。可见,建立一个VLAN既可以在全局模式下建立,也可以在接口模式

22、下建立.1/21/202340显示VLAN信息 v在特权模式下，才可以查看VLAN的信息。v显示的信息包括vlan-id、VLAN状态、VLAN成员端口以及 VLAN 配置信息。显示命令为：vShow vlan vlan-idvvlan-id是可选项，如果有此项则显示某一VLAN的信息，如果没此项则显示所有已建立的VLAN的信息。1/21/202341显示接口状态信息 v在特权模式下，还可以使用如下命令来显示与VLAN配置有关的接口配置是否正确。vshow interfaces interface-id switchport 1/21/202342【例4-1】v在S2126上建立一个VLAN1

23、00，并将它命名为test。将15号口、8号口划分到VLAN100中，划分完毕后显示VLAN及接口信息。vSwitch#configure terminalvSwitch(config)#vlan 100vSwitch(config-vlan)#name vtestSwitch(config-vlan)#endvSwitch#show vlanVLAN Name Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3 Fa0/4,Fa0/5,Fa0/6 Fa0/7,Fa0/8,Fa0/9 Fa0/10,Fa0/11,Fa0/12 Fa0/13,Fa0/1

24、4,Fa0/15 Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24100 test active 1/21/202343vSwitch#configure terminalvSwitch(config)#interface range f 0/1-5vSwitch(config-if-range)#switchport mode accessvSwitch(config-if-range)#switchport access vlan 100vSwitch(config-if-range)#exitvSwitch(co

25、nfig)#interface f 0/8vSwitch(config-if)#switchport mode accessvSwitch(config-if)#switchport access vlan 100vSwitch(config-if)#end1/21/202344【例4-2】v在S2126上删除在例4-1中已建立的VLAN 100。v在删除VLAN之前应先将此VLAN中的端口划回到VLAN 1，然后再删除。1/21/202345配置VLAN TrunkvTrunk可以在一条链路上传输多个VLAN的流量。Trunk采用802.1Q标准封装。使用switchpot mode命令可以

26、把一个普通的以太网端口在Access模式和Trunk模式之间切换。v将一个接口设置成为Access模式；switchpot mode access：v将一个接口设置成为Trunk模式。switchpot mode trunk：1/21/202346配置Native VLAN v所谓Native VLAN，就是指在这个接口上收发的UNTAG报文，都被认为是属于这个VLAN的。显然，这个接口的默认VLAN ID（即IEEE802.1Q中的PVID）就是Native VLAN的VLAN ID。同时，在Trunk上发送属于Native VLAN的帧，则必然采用UNTAG的方式。每个Trunk口的默认N

27、ative VLAN是VLAN 1。配置Trunk链路时，要确认连接链路两端的Trunk口属于相同的Native VLAN。v在接口模式下，利用如下命令可以为一个Trunk口配置Nativc VLAN。vswitchport trunk native vlan vlan-id1/21/202347定义Trunk口的许可VLAN列表 vTrunk口默认可以传输本交换机支持的所有VLAN（14094）的流量。但是也可以通过设置Trunk口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。v在接口模式下，可以修改一个Trunk口的许可VLAN列表：vswitchport trunk

28、 allowed vlan all|add|remove|except vlan-listv（1）参数vlan-list可以是一个VLAN，也可以是一系列VLAN，以值小的VLAN ID开头，以值大的VLAN ID结尾，中间用“-”号连接，如10-20。v（2）all的含义是许可VLAN列表包含所有支持的VLAN。1/21/202348配置Tag VLAN-Trunk口vlan 列表（3）add表示将指定VLAN列表加入许可VLAN列表。（4）remove表示将指定VLAN列表从许可VLAN列表中删除。（5）except表示将除列出的VLAN列表外的所有VLAN加入许可VLAN列表。下面是一个

29、把端口下面是一个把端口0/20 0/20 配置为配置为TRUNKTRUNK端口，但是不包含端口，但是不包含VLAN 2VLAN 2的的例子：例子：Switch(configSwitch(config)#)#interface interface interface interface fastethernetfastethernetfastethernetfastethernet 0/20 0/20 0/20 0/20Switch(configSwitch(config-if)#-if)#switchportswitchportswitchportswitchport trunk allowe

30、d trunk allowed trunk allowed trunk allowed vlanvlanvlanvlan remove 2 remove 2 remove 2 remove 2Switch(configSwitch(config-if)#end-if)#end1/21/202349【例4-3】v如图所示，S2126-1和S2126-2通过1号口连接，整个网络有2个VLAN，即VLAN10和VLAN20。S2126-1的57号口划入VLAN10，10、11号口划入VLAN20；S2126-2的57号口划入VLAN10，10、11号口划入VLAN20。要求在交换机上配置：v（1）使

31、两个交换机的1号口为Trunk口，使其Native VLAN号为VLAN 1；v（2）分别在两个交换机上配置VLAN，将相应端口划入VLAN；v（3）定义Trunk口的许可VLAN 列表，将VLAN20从列表中删除。1/21/202350利用三层交换机实现VLAN间通信的配置 vVLAN间要实现三层交换和相互通信，就必须在三层交换机上为每个VLAN创建一个虚拟的子接口，并设置接口的IP地址。这样就可实现虚拟子接口之间的路由，从而实现VLAN间的通信。各VLAN对应的虚拟子接口的IP地址，就成为该VLAN的默认网关地址。创建VLAN的虚拟子接口，并为其设置IP地址的配置命令为：vinterfac

32、e vlan vlan-idvip address adress netmaskvno shutdownv其中，interface vlan配置命令在全局配置模式下运行，用于选择指定VLAN的虚拟子接口；ip address配置命令用于为接口设置IP地址。v设置好VLAN虚拟子接口的IP地址后，路由模块会自动在路由表中添加相应的路由。1/21/202351【例4-4】v网络拓扑图如图4-12所示。在SW2126交换机上分别建立VLAN10、VLAN20、VLAN30，将fastethernet 0/1-5划入VLAN10中，将fastethernet 0/6-10划入VLAN20中，将fastethernet 0/11-15划入VLAN30中，两个交换机通过fastethernet0/24口连接，VLAN10、VLAN20、VLAN30通过SW3550进行路由通信。1/21/2023521/21/202353

展开阅读全文