上次内容复习问题

1. 上次内容复习问题 • 如何带外管理交换机？ • 本实验室如何管理交换机？ • 交换机有哪些命令管理模式？ • 如何在命令行获取帮助？ • 如何查看交换机的当前生效配置？ • 交换机主要依靠MAC地址表工作，如何查看MAC地址表？ • 要实现交换机的远程登陆管理，如何配置？

2. 学习资源 • 参考书：《网络设备互连实验指南》，科学出版社。 • 网络资源：

4. 一、交换机技术 —— 2、VLAN技术 周金玲

5. 教学目标 • 通过本次学习能够： 1、掌握VLAN技术的工作原理； 2、精通VLAN技术配置。

6. 交换网络中的问题 不安全 广播 广播域 在交换机组成的校园网络里所有主机都在同一个广播域内

7. 交换网络中问题的解决 VLAN20 VLAN10 VLAN30 VLAN40 通过VLAN技术可以对网络进行一个安全的隔离、分割广播域

8. VLAN技术 1 3 4 2 交换机 • 划分VLAN （Virtual Local Area Network）主要目的是隔离广播域。 • VLAN 是划分出来的逻辑网络，是第二层网络。 • VLAN端口不受物理位置的限制。 • 在没有三层路由的情况下，不同VLAN是不能互相通信的，只有同一VLAN才能互相通信。 • 一个VLAN就是一个子网。 • 交换机在默认情况下，只有一个VLAN1，24个端口全部属于VLAN1。 广播帧 广播帧 广播域 广播域

9. VLAN的种类 • 基于端口的VLAN • 针对交换机的端口进行VLAN的划分，不受主机的变化影响 • 基于协议的VLAN • 在一个物理网络中针对不同的网络层协议进行安全划分 • 基于MAC地址的VLAN • 基于主机的MAC地址进行VLAN划分，主机可以任意在网络移动而不需要重新划分 • 基于组播的VLAN • 基于组播应用进行用户的划分 • 基于IP子网的VLAN • 针对不同的用户分配不同子网的IP地址，从而隔离用户主机，一般情况下结合基于端口的VLAN进行应用

10. 基于端口的VLAN原理 MAC地址表增加VLAN信息，对不同VLAN的数据交换机不转发。 F0/2 F0/3 F0/1 Vlan 10 Vlan 10 Vlan 20 A B C X A B A C

11. 实验项目1、单台交换机VLAN划分(P117) • 【背景描述】 • 你在某小区组建了宽带小区城域网，其中有1台楼道交换机，住户PC1连接在交换机的0/10口；住户PC2连接在交换机的0/20口。现要两家用户要求安全隔离，不能相互访问。 • 【实验目的】 • 掌握交换机vlan的配置，理解VLAN隔离的作用 • 【实验设备】 • S2126G（1台），PC（2台）、直连线（2条）

12. 交换机端口属性 • 交换机以太网有两种端口属性：access和trunk。 • 连接计算机等终端时，交换机端口使用默认的类型access。 • access口只能属于一个VLAN； • 当多个级联的交换机里有相同VLAN，而且相同VLAN有通信要求时，就要考虑将级联口设置为trunk口。 • Trunk可以属于多个VLAN。

13. Switch B 干道 Switch A VLAN10 VLAN20 VLAN30 VLAN10 VLAN20 VLAN30 trunk特点 • trunk特点 • 传输多个VLAN的信息 • 实现同一VLAN跨越不同的交换机 • 要求trunk口至少要100M

14. 交换机对数据的处理过程 • 交换机为了区分VLAN，使用802.1Q标准在以太网帧中增加了一个特殊的标志帧。交换机内部的数据都是802.1q数据。 • 当交换机发送数据给计算机时，必须检查数据，假如数据带有标志，则把标志部分去掉； • 当交换机发送数据给交换机时，应该将从主机来的数据加上标志部分再发送。

15. PVID和VID • PVID指端口的默认VLAN的ID。 • VID指端口所属的VLAN的ID。 • 一个Access口只有一个PVID和一个VID,而且PVID=VID。 • 一个trunk口只有一个PVID，但可以有多个VID。而且PVID=其中某个VID。

16. IEEE802.1Q数据帧 源MAC 目的MAC 长度 DATA FCS 源MAC 目的MAC 级联端口 Tagged frame vlan30 vlan10 vlan30 vlan10 vlan20 vlan20 级联端口 Untagged 帧 Tagged 帧 Type 0x8100 802.1p (3bit) 0 802.1q tag 长度 DATA FCS 2字节标记协议标识2字节标记控制信息 IEEE802.1Q使跨交换机相同VLAN间通信成为可能，是交换机标准，即交换机传输的数据均是IEEE802.1Q数据帧。

17. 2字节标记协议标识2字节标记控制信息 重新计算帧检测序列 类型,数据 目的,源MAC地址 IEEE802.1Q数据帧 • 2字节标记协议标识（TPID）:固定值0x8100,表示该帧载有802.1Q标记信息 • 标记控制信息（TCI）: • Priority：3比特，表示优先级 • Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网 • VlanID：12比特，表示PVID，范围1－4094

18. 802.1Q工作原理 Tag标签 • 802.1Q工作特点： • 802.1Q数据帧传输对于用户是完全透明的。 • Trunk上默认会转发交换机上存在的所有VLAN的数据。 • 交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。 交换机2 交换机1 数据帧 Trunk Trunk B A

19. 理解交换机对数据的处理过程 VID和我的VID一样 A VID和我的PVID一样，需去掉标识 1 2 3 4 Access端口 Trunk端口 B 1 2 3 4 Access端口 Trunk端口

20. 理解交换机对数据的处理过程 VID和我的VID一样 VID和我的PVID不一样，不能去掉标识 A 1 2 3 4 Access端口 Trunk端口 B 1 2 3 4 Access端口 Trunk端口

21. 进入交换机的数据发送 • 进入交换机的数据寻找出口时，使用数据的封装值与端口的VID值比较得出第一个可发送范围 • 在可发送的范围中，再寻找具体端口时，依据MAC地址表进行。

22. trunk口的属性：许可VLAN列表 • Trunk口默认可以传输本交换机可支持的所有VLAN(1~4094).但是也可以通过设置trunk口的许可VLAN列表来限制某些VLAN的流量。 • 配置命令： • Switch(config)# interface fastethernet 0/20 • Switch(config-if)# switchport trunk allowed vlan remove 2 • switchport trunk allowed vlan {all/add/remove/except} vlan-list • 蓝色部分为可选参数。 • All 许可所有vlan; • Add 增加某些vlan到许可列表； • Remove 把某些vlan从许可列表中删除； • Except 将列出的vlan外所有vlan添加到许可列表。 • vlan-list可为一个vlan，也可以是一系列vlan。

23. 理解交换机对数据的处理过程 限制VLAN2通过trunk，使不同交换机上的同一VLAN不能通信。 思考：那同一台交换机上的VLAN2还能通信吗？ VID和我的VID不一样 A 1 2 3 4 Access端口 Trunk端口 B 1 2 3 4 Access端口 Trunk端口

24. trunk口的属性：Native VLAN • 指定trunk的native vlan即指定trunk口的PVID值。 • 当一个帧带有native vlan的VID，则通过trunk口转发时，会自动剥去802.1qTAG。 • 配置命令： • Switch(config-if)# switchport trunk native vlan 2 • Switch(config-if)# end • 注意： • 每个Trunk口的缺省native VLAN是VLAN 1 • 在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的native VLAN

25. 理解交换机对数据的处理过程 VID和我的VID一样 VID和我的PVID不一样，不需去掉标识 trunk口的PVID值改为vlan 2 A 1 2 3 4 Access端口 Trunk端口 B 1 2 3 4 Access端口 Trunk端口

26. 实验项目2、多台交换机VLAN管理（P122） • 【背景描述】 • 你是企业的网管，企业有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离，但相同部门可以互相通信。 • （要求技术部门的主机可以相互通信，但只有同办公室的销售人员可以相互通信，不同办公室的销售人员不能通信。） • 【实验目的】 • 掌握trunk口的不同属性的配置及其在多交换机VLAN的使用； • 【实验设备】 • S2126G（1台）， S3750（1台）， PC（2台）、直连线（4条）

27. 下次课内容 • STP和RSTP（P104-107）