第 6 讲 虚拟局域网（ 1 ）

1. 第6讲 虚拟局域网（1）

2. 学习目标 • 通过本讲的学习，希望您能够： • 理解虚拟局域网的概念 • 理解虚拟局域网的用途和优点 • 理解虚拟局域网的类型 • 掌握802.1Q标准 • 掌握VLAN的配置方法 • 掌握Trunk的配置方法

3. 集线器 交换机 1 1 24 24 交换机 24 1 交换机 交换机 24 1 1 24 复习 • 广播域： 1.一台24端口的集线器，其广播域有多大？ 2.一台24端口的交换机，其广播域有多大？ 3.三台级联在一起的24端口的交换机，其广播域有多大？

4. 复习 • 交换机什么时候将采用广播通信？ • TCP/IP网络中什么协议采用广播式通信？

5. 引言——交换网络中广播的问题 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 I J H F G E B C A 发送未知帧——广播！发送不在同一交换机中的帧——还是广播！！ 在交换机组成的网络里所有主机都在同一个广播域内。

6. 引言——交换网络中的数据安全问题 • 交换网络在数据安全上存在的问题 • 学校或公司各部门组成局域网，并共享一条链路访问互联网。但其中有些重要部门的数据不能被其他部门随意访问； • 一台交换机内所有主机直接可以访问，如何隔离？ • 解决办法之二：用路由器划分子网：路由技术 • 解决办法之一：VLAN（虚拟局域网） • 将物理网络进行逻辑划分，不受地理位置限制。每个VLAN具有物理网络的所有特性。 要点：通过VLAN技术可以分割广播域，对网络进行一个安全的隔离

7. 引言—交换网络中问题的解决—路由技术 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 I J H F G E B C A 将网络进行物理划分，通过路由器实现不同网络互相访问，此受地理位置限制，不够灵活，且代价较高。

8. 引言—交换网络中问题的解决—VLAN技术 VLAN20 VLAN10 VLAN30 VLAN40 将物理网络进行逻辑划分，不受地理位置限制。每个VLAN具有物理网络的所有特性。 要点：通过VLAN技术可以对网络进行一个安全的隔离、分割广播域

9. 第3章 控制交换网络中的广播流量——VLAN技术

10. 教学大纲要求： • 理解虚拟局域网的概念 • 理解虚拟局域网的用途和优点 • 理解虚拟局域网的类型 • 掌握802.1Q标准 • 掌握VLAN的配置方法 • 掌握Trunk的配置方法

11. 本章内容 第0节 引言 第一节 VLAN技术及单交换机VLAN基本配置 第二节 跨交换机VLAN技术及基本配置 第三节 VLAN间的通信 第四节 VLAN排错

12. 第一节 VLAN技术及基本配置 1 3 4 2 交换机 交换机 广播帧 广播帧 广播帧 广播帧 广播域 广播域 VLAN 20 VLAN 10 • VLAN （Virtual Local Area Network） • VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的第二层网络。 • VLAN的划分不受网络端口的实际物理位置的限制。 • VLAN 有着和普通物理网络同样的属性。 • VLAN 隔离广播域，第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。也就是说，只有位于同一个VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。

13. VLAN的概念 • VLAN的特点： • 基于逻辑的分组 • 不受物理位置限制 • 在同一VLAN内和真实局域网相同 • 不同VLAN内用户要通信需要借助三层设备

14. VLAN的用途 • 控制不必要的广播报文的扩散 • 提高网络带宽利用率，减少资源浪费 • 划分不同的用户组，对组之间的访问进行限制 • 增加安全性

15. 与物理位置无关的VLAN 三层 二层 一层 工程部 销售部 财务部

16. VLAN的优点 • 限制广播包 • 安全性 • 虚拟工作组 • 减少移动和改变的代价

17. 3.1.1 VLAN概述 VLAN的种类: • 基于端口的VLAN • 针对交换机的端口进行VLAN的划分，不受主机的变化影响 • 基于协议的VLAN • 在一个物理网络中针对不同的网络层协议进行安全划分 • 基于MAC地址的VLAN • 基于主机的MAC地址进行VLAN划分，主机可以任意在网络移动而不需要重新划分 • 基于组播的VLAN • 基于组播应用进行用户的划分 • 基于IP子网的VLAN • 针对不同的用户分配不同子网的IP地址，从而隔离用户主机，一般情况下结合基于端口的VLAN进行应用

18. 3.1.1 VLAN概述 • VLAN的实现 从实现的方式上看，所有VLAN 均是通过交换机软件实现的。从实现的机制或策略划分，VLAN分为静态VLAN 和动态VLAN。 • （1）静态VLAN静态VLAN 中，由网络管理员根据交换机端口进行静态的VALN分配，当在交换机上将其某一个端口分配给一个VLAN时，将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN。 • （2）动态VLAN动态VLAN是指交换机上以联网用户的MAC 地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。当用户的主机连入交换机端口时，交换机通过检查VLAN管理数据库中相应的关于MAC 地址、逻辑地址（如IP地址）或数据包协议的表项，以相应的数据库表项内容动态地配置相应的交换机端口。

19. F0/2 F0/1 F0/6 F0/7 VLAN20广播域 VLAN10广播域 3.1.2 单交换机基于端口的VALN:Port VLAN • 概述：将单个交换机的不同的端口划分为不同的VLAN。 一个端口只属于一个VLAN， 该端口用于连接终端主机。

20. 基于端口的VLAN • 目前是最常用的划分VLAN的方法 VLAN 20 2 4 6 8 10 12 14 16 18 20 22 24 1 3 5 7 9 11 13 15 17 19 21 23 VLAN 10

21. 3.1.2 单交换机基于端口的VALN:Port VLAN(续) 2.Port-vlan原理：在MAC地址表中增加VLAN ID字段，通过查找MAC地址表，交换机对发往不同VLAN的数据不转发。 A B A C X F0/2 F0/3 F0/1 Vlan 10 Vlan 10 Vlan 20 B C A

22. VLAN标准 • 802.1Q协议

23. 3.配置Port VLAN： 3.1.2 单交换机基于端口的VALN:Port VLAN(续) • 配置过程： 第一步：创建VLAN 第二步：将端口加入VLAN

24. 3.配置Port VLAN-Access：创建VLAN，并加入一个端口 3.1.2 单交换机基于端口的VALN:Port VLAN(续) • 创建VLAN100，将它命名为test的例子 • Switch# configure terminal ！ 由特权模式进入全局模式 • Switch(config)# vlan 100 ！ 创建VLAN100，并进入到VLAN模式 • Switch(config-vlan)# name test ！ 将VLAN100命名为test • Switch(config-vlan)# end（或exit) ！ 退出VLAN模式，返回模式

25. 创建VLAN注意事项： 3.1.2 单交换机基于端口的VALN:Port VLAN(续) 1.编号为1的VLAN为系统默认VLAN，用户无法创建， 也无法删除。 2.所创建VLAN的编号介于2～4094 。 3. 创建VLAN时编号不必连续。 4. 语句 Switch(config)# vlan 100 Switch(config-vlan)# name test 可以合并为 Switch(config)# vlan 100 name test

26. 3.配置Port VLAN-Access：创建VLAN，并加入一个端口 3.1.2 单交换机基于端口的VALN:Port VLAN(续) • 把ethernet 0/10作为access口加入了VLAN100 • Switch# configure terminal • Switch(config)# interface fastethernet 0/10 • Switch(config-if)# switchport mode access • Switch(config-if)# switchport access vlan 100 • Switch(config-if)# end 注：端口工作模式可分为access模式及trunk模式。 Port VLAN，即将连接主机的端口设成access模式。

27. 交换机端口工作模式： Trunk模式 access模式 F0/1 F0/5 access模式 F0/1 F0/6 Vlan 10 Vlan 20 Vlan 10 Vlan 20

28. 3.1.2 单交换机基于端口的VALN:Port VLAN(续) 4.配置Port VLAN-Access：将一组端口加入VLAN • 将一组接口加入某一个VLAN • Switch(config)# vlan 20 //创建VLAN20 • Switch(config-vlan)# exit • Switch(config)#interface range fastethernet 0/1-10，0/15，0/20 //选择端口组fastethernet 0/1-10， 0/15，0/20 • Switch(config-if-range)#switchport access vlan 20 //将该端口组加入到VLAN20中； • 注：连续接口 0/1-10，不连续接口用逗号隔开，但一定要写明模块编号

29. 3.1.2 单交换机基于端口的VALN:Port VLAN(续) 5.验证Port VLAN-Access： • 将不同的PC机接入同一VLAN中的不同端口ping • 结果：可以ping通 • 将不同的PC机接入不同VLAN中的不同端口ping • 结果：不能ping通 • 注意：各PC机的IP地址要在同一子网中，在我校网络实验室中，PC机的IP地址就是指本地连接2的IP地址，必须设置在192.168.1.X之外。

30. VLAN配置思考题： • 将端口加入VLAN时，如果该VLAN尚没有创建，怎么办？ • 创建VALN的方法有哪些种类？ • 如何删除一个VLAN？ • 删除VLAN的步骤是什么？ • 访问端口可以加入多个VLAN吗？

31. 实验 单交换机基于端口的VALN的配置与验证 【试验目的】通过VLAN技术的实现交换机端口隔离。 【试验设备】1台S2126G(SA) 【试验拓扑】：见下图 F0/7 F0/2 F0/6 F0/1 Vlan 10 Vlan 20 Vlan 20 Vlan 10 PC4 PC1 PC3 PC2 【地址规划】： PC1：192.168.10.1 PC3:192.168.10.3 PC2：192.168.10.2 PC4:192.168.10.4

32. 实验 单交换机基于端口的VALN的配置与验证 • 试验步骤与验证测试： 1. 未划分VLAN时 将不同的PC机接入同一交换机的不同端口ping 结果：可以ping通 2.划分VLAN后 （1）将不同的PC机接入同一VLAN中的不同端口ping 结果：可以ping通 （2）将不同的PC机接入不同VLAN中的不同端口ping 结果：不能ping通 注意：各PC机的IP地址要在同一子网中

33. 3.2.1 跨交换机VALN • 不同交换机上的相同VLAN之间如何连接？ VLAN 10 VLAN 20 VLAN 30 VLAN 10 VLAN 20 VLAN 30

34. 3.2.1 跨交换机基于端口的VALN:Tag VLAN VLAN 10 VLAN 20 VLAN 30 VLAN 10 VLAN 20 VLAN 30 • 概述：将多个交换机的不同的端口划分为不同的VLAN，实现同一VLAN的跨交换机通信。 在Trunk链路上传输多个VLAN信息 要求Trunk至少要100M。 • 1.传输多个VLAN的信息 • 2.实现同一VLAN跨越不同的交换机

35. 802.1Q帧格式

36. 2.Tag VALN标准—— IEEE802.1Q数据帧: 3.2.1 跨交换机基于端口的VALN:Tag VLAN（续） 2字节标签协议标识TPID2字节标签控制信息TCI 帧校验序列FCS 类型 数据 目的,源MAC地址 • 标签协议标识（Tag Protocol Identifier)：固定值0x8100,表示该帧载有802.1q标记信息 • 标签控制信息（Tag Control Information)：它包括如下几个子域： • Priority： 3比特。表示用户优先级； • CFI(Canonical format indicator)： 1比特。取值0，表示该数据帧为规范格式。否则为非规范格式。默认值为0； • VlanID ： 12比特，表示VLAN标识符VID，取值范围1－4094，锐捷交换机最多支持250个VLAN。默认为VLAN1。

37. 3. 802.1Q工作原理 3.2.1 跨交换机基于端口的VALN:Tag VLAN（续） • 802.1Q工作特点： • 802.1Q数据帧传输对于用户是完全透明的。 • Trunk上默认会转发交换机上存在的所有VLAN的数据。 • 交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。 Tag标签 交换机2 交换机1 数据帧 Trunk Trunk B A Trunk链路

38. 总结：交换机的端口 • ACCESS端口 • UnTagged端口，即接入端口 • Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口 • Trunk端口 • Tag Aware端口，即干道接口 • 可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口

39. 4. 配置Tag VLAN-Trunk 3.2.1 跨交换机基于端口的VALN:Tag VLAN（续） • 把Fa 0/24配成Trunk口 • Switch# configure terminal • Switch(config)# interface fastethernet 0/24 • Switch(config-if)# switchport mode trunk • 注意： • 只有交换机间的连接端口才配置为trunk模式 • 连接计算机的端口一般配置为access模式（默认值）

40. 3.2.2 无标签（UNTAG）VLAN：Native VLAN • 1. Native VLAN概述 • Trunk口能够收发TAG或者UNTAG的802.1Q帧，其中UNTAG帧用于传输Native VLAN数据帧； • 所谓native VLAN，就是指在这个接口上收发的UNTAG报文，都被认为是属于这个VLAN的。显然，这个接口的缺省VLAN ID（即IEEE 802.1Q中的PVID）就是native VLAN的VLAN ID。 • 配置了Native VLAN的相关VLAN数据包，在trunk链路上传输时不打4个字节的标签(TAG)； • 作为Trunk，这个口要属于一个native VLAN。在Trunk上发送属于native VLAN的帧，则必然采用UNTAG的方式。 • 2.配置Native VLAN • Switch(config-if)# switchport trunk native vlan vlan-id • 如： Switch(config-if)# switchport trunk native vlan 20 • 3.注意： • 每个Trunk口的缺省Native VLAN是VLAN 1； • 在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的Native VLAN

41. 802.1Q的缺省VLAN • 一个802.1Q的Trunk端口有一个缺省VLAN的ID值 • 802.1Q不为缺省VLAN的帧打标签 VLAN 3 VLAN 3 集线器 Trunk Trunk VLAN 2 VLAN 2 VLAN 1 VLAN 1 没有打标签的VLAN流量（缺省VLAN）

42. 3.2.3 配置特殊的Tag VLAN-Trunk • 默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据。但是你可以定义Trunk上不传输特定VLAN的数据帧。其格式为 switchport trunk allowed vlan{all|add|remove|except}vlan-id • 下面是一个把端口0/20 配置为TRUNK端口，但是不包含VLAN 2的例子： Switch(config)# interface fastethernet 0/20 Switch(config-if)# switchport trunk allowed vlan remove 2 Switch(config-if)# end

43. 3.2.4 VLAN的管理 1.显示VLAN信息 Switch# show vlan [vlan-id] 2.将VLAN信息保存到flash中 Switch#write memory 3. 从RAM中删除VLAN • Switch(config)#no vlan VLAN-id 4.从flash中清除VLAN信息 Switch#delete flash:vlan.dat 注意：它需要15级密码。

44. 查看VLAN Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1 ,Fa0/2 ,Fa0/3 , Fa0/4 ,Fa0/6 ,Fa0/9 Fa0/16,Fa0/17,Fa0/18 , Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24 10 gongcheng active Fa0/1 ,Fa0/5 ,Fa0/7 20 xiaoshou active Fa0/1 ,Fa0/8 ,Fa0/10 ,Fa0/11,Fa0/12,Fa0/13 Fa0/14,Fa0/15

45. 3.2.5 VLAN总结 • Port vlan • 基于交换机端口进行VLAN的划分 • 一个端口只能属于一个VLAN • 一个VLAN可以包含多个端口 • 接口模式为access • 用于连接最终用户设备 • Tag vlan • 一个端口可以属于多个VLAN • 默认情况下属于所有VLAN • 接口模式为trunk • 用于交换机之间级联