1 / 40

HL-006 VLAN 高级特性

HL-006 VLAN 高级特性. ISSUE 1.1. 江西陶瓷工艺美术职业技术学院. 课程目标. 学习完本课程,您应该能够:. 掌握各种 VLAN 高级特性的基本原理 灵活应用 VLAN 高级特性构建网络 掌握 VLAN 高级应用的配置. 目录. 第一章 协议 VLAN 第二章 Isolate-user-VLAN 第三章 Super VLAN 第四章 VLAN VPN 第五章 GVRP. DA. SA. Tag. Type. Data. CRC. TPID. Priority. CFI. VLAN ID.

bevan
Download Presentation

HL-006 VLAN 高级特性

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HL-006 VLAN高级特性 ISSUE 1.1 江西陶瓷工艺美术职业技术学院

  2. 课程目标 学习完本课程,您应该能够: • 掌握各种VLAN高级特性的基本原理 • 灵活应用VLAN高级特性构建网络 • 掌握VLAN高级应用的配置

  3. 目录 • 第一章 协议VLAN • 第二章 Isolate-user-VLAN • 第三章 Super VLAN • 第四章 VLAN VPN • 第五章 GVRP

  4. DA SA Tag Type Data CRC TPID Priority CFI VLAN ID VLAN技术概述 • VLAN技术以802.1Q为标准规定了协议的工作原理、基本构架 • VLAN技术核心在于对标准以太网数据帧的改造 • 802.1Q数据帧 • TPID:0X8100 • Priority:802.1P优先级 • CFI:地址信息格式 • VLAN ID:数据的VLAN归属

  5. VLAN中以太网端口类型 • VLAN网络中的端口类型: • Access端口 • Trunk端口 • Hybrid端口

  6. 划分VLAN的方法 • 划分VLAN的方法: • 基于端口划分VLAN • 基于协议划分VLAN • 基于IP子网划分VLAN • 基于MAC地址划分VLAN • 协议VLAN • 基于协议划分的VLAN • 基于IP子网划分的VLAN有时也被称为协议VLAN

  7. 协议VLAN的组网应用 • 协议VLAN的应用 • 根据数据帧指示的上层协议类型进行VLAN的划分 • 运行同一协议的主机属于同一个VLAN • 同一端口可能存在不同的协议类型 • 不同的协议类型可能属于不同的VLAN • 端口可能属于多个协议VLAN

  8. 协议VLAN的协议分类 • 协议VLAN根据帧格式将所有数据帧分为如下几类: • 标准以太网帧(Ethernet) • RFC1042格式帧 • SNAP_8021H格式帧 • SNAP_Other格式帧 • LLC_Other格式帧 • 确定IEEE 802.3类型(EtherType)参数 • 标准以太网、RFC1042或SNAP_8021H格式帧需要确定此参数 • 确定数据帧的LLC_snaps参数 • LLC_Other需要确定此参数,也即是DSAP和SSAP • 确定数据帧的snap_pid参数 • SNAP_Other 需要确定此参数,也即是PID

  9. 协议VLAN的协议模板 • 协议模板根据用户配置形成,主要用于数据帧的协议分类。可以分为如下几类: • 标准以太网帧类型参数+16比特的IEEE 802.3类型参数 • RFC1042帧类型参数+16比特的IEEE 802.3 类型参数 • SNAP_8021H帧类型参数+16比特的IEEE 802.3 类型参数 • SNAP_Other帧类型参数+40比特的PID参数 • LLC_Other帧类型参数+DSAP参数+SSAP参数 • 协议组ID • 标识一组协议 ,并最终将这一组协议映射到某一VLAN

  10. 协议VLAN的协议组数据库 • 协议组数据库是一个分配了协议组ID的多组协议的集合 • 协议模板 • 协议组ID • 每个数据帧得到唯一的协议组ID

  11. 协议组与VLAN的映射 • 协议组与VLAN的映射 • 协议组ID与VLAN ID形成唯一映射 • 每端口一张映射表 • 映射表必须包含一个特殊表项 • 无协议ID,VLAN ID为端口的PVID

  12. 协议VLAN的配置 • 协议VLAN的配置主要分为两个步骤: • 配置协议VLAN的协议模板(VLAN视图) • protocol-vlan [ procotol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetiietypeetype-id | llc { dsapdsap-id [ ssapssap-id ] | ssapssap-id } | snapetypeetype-id } • 统一协议VLAN最多包含5个协议模板(即协议索引) • 配置端口为Hybrid并下发协议VLAN • port hybrid protocol-vlanvlanvlan-id { protocol-index [ to protocol-index ] | all }

  13. 协议VLAN的维护命令 • 协议VLAN提供如下维护命令 • 查询协议VLAN的协议模板 • display protocol-vlan vlan-id • 查询端口的协议VLAN • display protocol-vlan interface interface-number

  14. 目录 • 第一章 协议VLAN • 第二章 Isolate-user-VLAN • 第三章 Super VLAN • 第四章 VLAN VPN • 第五章 GVRP

  15. Isolate-user-VLAN的应用 • Isolate-user-VLAN是一种纯二层的VLAN技术。它的主要目标是在解决大量接入层用户隔离问题的同时又不增加汇聚层设备负担。 • 接入交换机SA或SB的所有用户共享同一个VLAN接入到汇聚交换机SC(Isolate-user-VLAN ) • 接入交换机的用户之间采用独立的VLAN ID进行用户隔离(Secondary VLAN )

  16. Isolate-user-VLAN的基本原理 • Isolate-user-VLAN的基本原理基于两个基本技术: • Hybrid端口技术 • MAC地址同步技术 • Hybrid端口技术的应用 • 所有端口都为Hybrid • 上行端口允许所有VLAN通过 • 下行端口允许isolate-user VLAN和自己的Secondary VLAN • MAC地址同步技术 • 各Secondary VLAN学习的MAC地址同步到isolater-user VLAN • Isolater-user VLAN学习的MAC地址同步到各Secondary VLAN

  17. MAC地址同步结果 • 下面是MAC地址同步后的结果: MAC ADDR VLAN ID STATE PORT INDEX AGING TIME 0000-0000-0001 10 Learned Ethernet0/1 AGING 0000-0000-0001 2 Learned Ethernet0/1 AGING 0000-0000-0002 10 Learned Ethernet0/2 AGING 0000-0000-0002 3 Learned Ethernet0/2 AGING 0000-0000-0005 10 Learned Ethernet0/10 AGING 0000-0000-0005 2 Learned Ethernet0/10 AGING 0000-0000-0005 3 Learned Ethernet0/10 AGING

  18. Isolate-user-VLAN的特点及特殊应用 • Isolate-user-VLAN采用的技术决定了自身的特点: • 节省上层交换机的VLAN数量,屏蔽接入VLAN • 降低汇聚层交换机的VLAN接口数量 • 浪费大量的MAC地址表项 • Isolate-user-VLAN的特殊应用 • 资源共享 • 连接共享资源的为isolate-user VLAN • 连接客户端的为secondary VLAN

  19. Isolate-user-VLAN的配置 • Isolate-user-VLAN的配置分为如下几个步骤: • 配置各VLAN的端口成员 • 使能isolate-user-VLAN(VLAN视图) • isolate-user-vlan enable • 建立isolate-user-vlan与secondary vlan的映射(系统视图) • isolate-user-vlan isolate-user-vlan secondary vlan-id-list • 建立映射关系前必须配置好各secondary vlan和isolate-user-vlan的端口成员。

  20. 目录 • 协议VLAN • Isolate-user-VLAN • Super VLAN • VLAN VPN • GVRP

  21. Super VLAN的应用 • Super VLAN是一种节省VLAN接口及IP地址的三层VLAN技术 • 普通VLAN组网应用 • N个VLAN,需要N个VLAN接口,N个IP子网 • 每个IP子网固定的三个IP地址不能使用(网关地址、广播地址、网段地址) • Super VLAN组网应用 • 唯一的VLAN接口为所有sub VLAN服务 • 节省3(N-1)个IP地址

  22. Super VLAN的工作原理 • Super VLAN中的概念 • Super VLAN • 提供VLAN三层接口并为所有Sub VLAN提供三层转发服务 • Sub VLAN • 隔离各Sub VLAN用户之间的二层广播 • ARP Proxy • 完成各Sub VLAN之间的ARP学习和IP报文转发

  23. Super VLAN的实现模型 • Super VLAN的实现 • Super VLAN与Sub VLAN形成映射 • 不同Sub VLAN主机在不同的广播域 • 各sub VLAN借用super VLAN的VLAN接口进行三层通行 • Sub VLAN间的通信依靠Super VLAN接口的ARP Proxy完成

  24. Super VLAN的通信 • Super VLAN中存在如下几种通信: • Sub VLAN到外部的三层通信 • 等同于Super VLAN到外部的三层通信 • Sub VLAN之间的通信 • ARP Proxy • Super VLAN与外部的二层通信(不存在) • 禁止super VLAN包含用户 • Trunk链路禁止super VLAN

  25. Super VLAN的配置 • Super VLAN的配置分为如下几个步骤: • 配置Sub VLAN • 配置Super VLAN • supervlan(VLAN视图) • 配置Super VLAN和Sub VLAN的映射 • subvlan sub-vlan-list(VLAN视图) • 配置Super VLAN的三层接口 • Super VLAN的三层接口一旦配置将自动使能ARP代理,且不能手工关闭。 • Super VLAN的状态检查 • display supervlan

  26. 目录 • 第一章 协议VLAN • 第二章 Isolate-user-VLAN • 第三章 Super VLAN • 第四章 VLAN VPN • 第五章 GVRP

  27. VLAN VPN的应用 • VLAN VPN通过简单的增加Tag标签完成报文封装,并形成以VLAN ID标识的隧道。 • 每个VPN一个隧道或多个隧道(灵活QinQ)

  28. DA SA Tag Tag Type Data CRC VLAN VPN的原理 • VLAN VPN是一种提供简单二层VPN服务的VLAN技术 • 通过双层TAG标签隔离VPN和Public流量 • 通过外层VLAN ID区分VPN业务 • 通过保留内存VLAN ID区分客户业务

  29. VLAN VPN的配置 • VLAN VPN的配置包括: • 使能VLAN VPN(端口视图) • vlan-vpn enable • VLAN VPN不能与GVRP、GMRP、NTDP、STP、802.1X以及IRF在同一端口下共存 • 配置外层标签优先级信任(端口视图) • vlan-vpn inner-cos-trust enable • 配置外层标签的TPID(端口视图) • vlan-vpn tpid 9100

  30. BPDU Tunnel • BPDU Tunnel是为了解决VPN网络环路而出现的隧道技术之一 • 基本应用 • 当VPN网络存在多条公网链路而形成网络环路时,使能STP完成冗余链路阻塞,BPDU Tunnel设备能够准确区分自己网络的BPDU和客户网络的BPDU。 • 基本原理 • 构建BPDU协议报文隧道 • 修改BPDU的目的MAC • 01-80-c2-00-00-00 ----01-00-0c-cd-cd-d0

  31. BPDU Tunnel的配置 • BPDU Tunnel的配置 • 使能BPDU Tunnel(系统视图) • vlan-vpn tunnel • 使能BPDU tunnel必须同时开启STP • BPDU Tunnel的使能必须是对称的,即在ISP网络的入口设备和出口设备都需要使能

  32. 目录 • 第一章 协议VLAN • 第二章 Isolate-user-VLAN • 第三章 Super VLAN • 第四章 VLAN VPN • 第五章 GVRP

  33. GARP GARP全称通用属性注册协议(Generic Attribute Registration Protocol),它为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的手段

  34. GVRP • GVRP(GARP VLAN Registration Protocol)是GARP的一种应用 • GVRP基于GARP的工作机制,维护Switch中的VLAN动态注册信息 • GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其它Switch的动态注册信息

  35. GVRP • GVRP的MAC地址为:01-80-C2-00-00-21 • 在支持GARP特性的Switch中,接收到GARP应用实体报文时,根据MAC地址加以区分后,交由不同的进程处理 • GVRP有三种注册类型 • Normal:允许在该接口静态和动态创建、注册和注销VLAN。 Normal是接口的缺省注册模式 • Fixed :允许手工静态创建和注册VLAN,禁止动态的注册,声明和注销VLAN • Forbidden:将注销除VLAN1之外的所有VLAN,并且禁止在该接口上创建,声明和注册任何其它VLAN

  36. Port 1 Port 1 VLAN 5~VLAN10 Port 2 Port 3 Port 2 Port 3 Port 1 Port 1 Port 1 Port 1 C D E F VLAN 15~VLAN20 VLAN 25~VLAN30 VLAN 5~VLAN10 VLAN 15~VLAN20 GVRP注册类型举例(1) A B

  37. GVRP配置案例(2) A B Port 1 Port 1 (Fixed) VLAN 5~VLAN10 Port 2 Port 3 Port 2 Port 3 Port 1 Port 1 Port 1 Port 1 C D E F VLAN 15~VLAN20 VLAN 15~VLAN20 VLAN 25~VLAN30 VLAN 5~VLAN10

  38. GVRP配置案例(3) A B Port 1 Port 1 VLAN 5~VLAN10 Port 2 Port 3 Port 2 Port 3 Port 1 Port 1 Port 1 Port 1(forbidden) C D E F VLAN 15~VLAN20 VLAN 15~VLAN20 VLAN 25~VLAN30 VLAN 5~VLAN10

  39. GVRP的配置 • GVRP的配置如下 • 开启GVRP • gvrp • 设置每个Trunk链路的GVRP注册类型 • gvrp registration{normal | fixed | forbidden} • 必须先启动全局GVRP,才能开启端口GVRP,而GVRP注册类型在启动了端口GVRP以后才能生效。

  40. 本章总结 • 协议VLAN • Isolate-user-VLAN:Hybrid端口/MAC地址同步 • Super VLAN:ARP Proxy • VLAN VPN:BPDU Tunnel • GVRP

More Related