Download
1 / 19
190 likes | 515 Views
第 3 章 VLAN 技术. 教学大纲要求:. 掌握 VLAN 的基本概念(包括 Native Vlan 、技术标准的规定) 掌握 VLAN 的定义: Port VLAN 和 Tag VLAN 掌握 VLAN 配置方法 掌握 VLAN 间路由(原理介绍) 掌握 VTP 协议原理及配置方法. 本章内容. 3.1 引言 3.2 VLAN 技术及基本配置 3.3 VLAN 间的通信 3.4 VLAN 中继协议 (VTP). 引言 —— 交换网络中广播的问题. F0/2. F0/3. F0/1. F0/2. F0/3. F0/1. F0/2.
E N D
教学大纲要求: • 掌握VLAN的基本概念(包括Native Vlan、技术标准的规定) • 掌握VLAN的定义:Port VLAN和Tag VLAN • 掌握VLAN配置方法 • 掌握VLAN间路由(原理介绍) • 掌握VTP协议原理及配置方法
本章内容 3.1 引言 3.2 VLAN技术及基本配置 3.3 VLAN间的通信 3.4VLAN中继协议(VTP)
引言——交换网络中广播的问题 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 F0/2 F0/3 F0/1 I J H F G E B C A 发送未知帧——广播!发送不在同一交换机的帧——还是广播!! 在交换机组成的网络里所有主机都在同一个广播域内。
引言——交换网络中的数据安全问题 • 交换网络在数据安全上存在的问题 • 学校或公司各部门组成局域网,并共享一条链路访问互联网。但其中有些重要部门的数据不能被其他部门随意访问; • 交换机不能隔离广播; • 一台交换机内所有主机直接可以访问,如何隔离? • 解决办法之一:VLAN(虚拟局域网) • 将物理网络进行逻辑划分,不受地理位置限制。每个VLAN具有物理网络的所有特性。 • 解决办法之二:用路由器划分子网:路由技术 要点:通过VLAN技术可以分割广播域,对网络进行一个安全的隔离、
引言—交换网络中问题的解决—VLAN技术 VLAN20 VLAN10 VLAN30 VLAN40 要点:通过VLAN技术可以对网络进行一个安全的隔离、分割广播域
VLAN的优点 • 减少移动和改变的代价 • 虚拟工作组 • 限制广播包 • 安全性
VLAN标准 • 802.1Q协议
VLAN BPDU • ISL协议 CRC 4 bytes ISL 头 26 bytes 以太帧数据 DA Type User SA LEN AAAA03 HSA VLAN BPDU INDEX RES BPDU • 用ISL头与CRC进行帧封装 • 可以支持多个VLAN (1024) • VLAN号 • BPDU控制位
3.2 VLAN技术及基本配置 1 3 4 2 交换机 广播帧 广播帧 广播域 广播域 • VLAN (Virtual Local Area Network) • VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。
3.2.1 VLAN概述 • VLAN的分类 • 基于端口的VLAN:是某些交换端口的集合,是目前应用最多的,最基本的划分方式,目前几乎所有交换机都支持该种VLAN的划分方式; • 基于协议的VLAN:根据承载数据的三层协议来确定VLAN的成员,如基于IP,IPX等协议的VLAN; • 基于MAC地址的VLAN:根据计算机网卡的MAC地址划分VLAN。其特点是用户的物理位置可以任意移动,但是交换机的执行效率较低;
3.2.1 VLAN概述 • VLAN的分类(续) • 基于子网的VLAN:根据主机的网络层地址,如IP地址划分VLAN。它根据第三层子网信息划分不同的VLAN; • 根据IP组播地址划分VLAN:根据组播地址划分VLAN,一个组播组就是一个VLAN,这种划分方法将VLAN扩展到广域网; • 基于策略的VLAN:根据高层协议(应用)划分VLAN。它可以根据不同的应用、策略进行应用级的划分。
F0/2 F0/1 F0/6 F0/7 VLAN20广播域 VLAN10广播域 3.2.2 单交换机基于端口的VALN:Port VLAN • 概述:将单个交换机的不同的端口划分为不同的VLAN。
2.Port-vlan原理:在MAC地址表中增加VLAN ID字段 3.2.2 单交换机基于端口的VALN:Port VLAN(续) A B A C X F0/2 F0/3 F0/1 Vlan 10 Vlan 10 Vlan 20 B C A
3.配置Port VLAN-Access:创建VLAN,并加入一个端口 3.2.2 单交换机基于端口的VALN:Port VLAN(续) • 创建VLAN100,将它命名为test的例子 • Switch# configure terminal • Switch(config)# vlan 100 • Switch(config-vlan)# name test • Switch(config-vlan)# end • 把ethernet 0/10作为access口加入了VLAN100 • Switch# configure terminal • Switch(config)# interface fastethernet0/10 • Switch(config-if)# switchport mode access • Switch(config-if)# switchport access vlan 100 • Switch(config-if)# end 注:端口模式可分为access模式及trunk模式。 Port VLAN,即将连接主机的端口设成access模式。
3.2.2 单交换机基于端口的VALN:Port VLAN(续) 4.配置Port VLAN-Access:将一组端口加入VLAN • 将一组接口加入某一个VLAN • Switch(config)# vlan 20 //创建VLAN20 • Switch(config-vlan)# exit • Switch(config)#interface range fastethernet 0/1-10,0/15,0/20 //选择端口组fastethernet 0/1-10, 0/15,0/20 • Switch(config-if-range)#switchport access vlan 20 //将该端口组加入到VLAN20中; • 注:连续接口 0/1-10,不连续接口用逗号隔开,但一定要写明模块编号
3.2.2 单交换机基于端口的VALN:Port VLAN(续) 5.验证Port VLAN-Access: • 将不同的PC机接入同一VLAN中的不同端口ping • 结果:可以ping通 • 将不同的PC机接入不同VLAN中的不同端口ping • 结果:不能ping通 • 注意:各PC机的IP地址要在同一子网中
实验 单交换机基于端口的VALN的配置与验证 【试验目的】通过三层交换机实现VLAN间的相互通信。 【试验设备】1台S2126G(SA)、1台S3550(SB)。 【试验拓扑】:见下图 F0/7 F0/2 F0/6 F0/1 Vlan 10 Vlan 20 Vlan 20 Vlan 10 PC4 PC1 PC3 PC2 【地址规划】: PC1:192.168.0.1 PC3:192.168.0.3 PC2:192.168.0.2 PC4:192.168.0.4
实验 单交换机基于端口的VALN的配置与验证 • 试验步骤与验证测试: 1. 未划分VLAN时 将不同的PC机接入同一交换机的不同端口ping 结果:可以ping通 2.划分VLAN后 (1)将不同的PC机接入同一VLAN中的不同端口ping 结果:可以ping通 (2)将不同的PC机接入不同VLAN中的不同端口ping 结果:不能ping通 注意:各PC机的IP地址要在同一子网中
