660 likes | 888 Views
虚拟局域网技术 -vlan. 邵雪梅. 冲突域. 物理上连在一起可能发生冲突的网络分段。 一个冲突域的典型特征就是同一时刻只允许一台主机发送数据,否则冲突就会产生。 分割或者隔离冲突域的行为称之为分段( segmentation ) 典型特征:只允许一个主机发送数据. 广播域. 广播域是指网段上所有设备的集合,这些设备收听该网络中所有的广播。当网络中一台主机发送广播时,网络上的每个设备必须收听并且处理此广播,即使这个广播对接收它的设备没有任何的帮助 !
E N D
虚拟局域网技术-vlan 邵雪梅
冲突域 • 物理上连在一起可能发生冲突的网络分段。一个冲突域的典型特征就是同一时刻只允许一台主机发送数据,否则冲突就会产生。 • 分割或者隔离冲突域的行为称之为分段(segmentation) • 典型特征:只允许一个主机发送数据
广播域 • 广播域是指网段上所有设备的集合,这些设备收听该网络中所有的广播。当网络中一台主机发送广播时,网络上的每个设备必须收听并且处理此广播,即使这个广播对接收它的设备没有任何的帮助! • 在一个安静的教室中,同学A向所有人大声的说了一句话。他的传播范围称之为广播域。因为他的接收者是所有人。而且广播的另外一个特征是接收者必须听他所说的内容,这是强制的。 • 注:广播的特征除了传播范围面向所有设备外,强制性也是它的特征。
路由器工作在的第OSI三层,用来分割广播域,路由器的每个端口连接的网络就是一个单独的广播域。路由器工作在的第OSI三层,用来分割广播域,路由器的每个端口连接的网络就是一个单独的广播域。 • 交换机工作在OSI第二层,数据链路层,互联的多个网络仍然属于同一个,也就是说属于同一个广播域。 • 交换机可以分割冲突域,但不能分割广播域。 • 集线器工作在OSI的第一层,连接在集线器上的多个网络上的所有主机即属于同一个冲突域,又属于同一个广播域。集线器会导致网络中的拥塞增加,降低网络带宽的使用率。
缩减网络流量 • 使用路由器,大多数的流量将会被限制在本地网络中,而只有那些被标明发送其他网络的数据包,才会通过路由器。路由器创建了广播域。 • 广播域的减小,创建的广播域越多,其广播域的规模就越小,并且在每个网络段上流量也就会越低。
引言 • 传统的交换机不能够分割广播域, • 如果A主机发送一个广播,那么下图网络中所有主机都能够收到广播。 • 如果要分割广播域必须使用路由器!!! • 问题,能否有一种不使用路由器,却能够在交换式网络中限制广播的方法???
采用VLAN 技术可以分割广播域。即一个VLAN即是一个广播域。在一个VLAN中所有的机器都能够接收到广播,其它的VLAN则不能够接收。就像路由器的一个端口划分一个广播域一样。采用VLAN 技术可以分割广播域。即一个VLAN即是一个广播域。在一个VLAN中所有的机器都能够接收到广播,其它的VLAN则不能够接收。就像路由器的一个端口划分一个广播域一样。 • 主机A、C、D在同一个VLAN 2中, • 如果主机A发送一个单播给主机D,C是否能够收到?不能够 • 如果主机A发送一个广播,谁能够收到?C、D均可以 VLAN 2
VLAN技术 • VLAN (Virtual Local Area Network) • VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的第二层网络。 • VLAN的划分不受网络端口的实际物理位置的限制; • VLAN 有着和普通物理网络同样的属性; • 第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。 • VLAN只是分割广播域,不会改变广播、单播的实质。增加了广播域的个数,减少了广播域的大小。
1 2 3 4 广播帧 广播帧 广播域 广播域 VLAN技术 交换机收到广播 帧后,只转发到 属于同一VLAN 的其他端口。
172.16.20.4 VLAN20 VLAN10 VLAN30 隔离的广播域
一个VLAN 相当于一个逻辑网络(子网)。意味着 • 在一个VLAN中的所有的主机间通信相当于是接在同一个交换机上主机通信一样,通过目的MAC地址就可以了。 • 而在不同VLAN中的主机间通信相当于在不同LAN间通信需要通过路由器选择路由,或者是具有路由功能设备(三层交换机),主机间不能够随意访问,从某种程度上说,增加了网络的安全性。
A VLAN = A Broadcast Domain = Logical Network (Subnet) 一个VLAN = 一个广播域 = 一个逻辑网络(子网)
VLAN与网络管理 • 由于实现了广播域分隔,VLAN可以将广播风暴控制在一个VLAN内部,划分VLAN后,随着广播域的缩小,网络中广播包消耗的带宽所占的比例大大降低,网络性能得到显著提高; • 不同的VLAN间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络; • 同时,由于VLAN是逻辑的而不是物理的,因此在规划网络时可以避免地理位置的限制。
VLAN具有的功能 • 控制网络广播、提高网络性能; • 分隔网段、确保网络安全; • 简化网络管理、提高组网灵活性。
VLAN划分方法 • 基于端口的VLAN(Port-Based) • 基于协议的VLAN(Protocol-Based) • 基于MAC层分组的VLAN(MAC-Layer Grouping) • 基于网络层分组的VLAN(Network-Layer Grouping) • 基于IP组播分组的VLAN(IP Multicast Grouping) • 基于策略的VLAN(Policy-Based)
基于端口的静态VLAN • 基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法,它实际上是某些交换机端口的集合,网络管理员只需要管理和配置交换机端口,而不管交换机端口连接什么设备; • 这种划分VLAN的方法是根据以太网交换机的端口来划分的,是目前业界定义VLAN最广泛的方法; • IEEE802.1Q规定了这种划分VLAN的国际标准。
VLAN的基本配置命令 • 基于端口的VLAN在实现上包括两个步骤: • 首先启用VLAN(用VLAN ID标识); • 而后将交换机端口指定到相应VLAN下。
VLAN的基本配置命令 • vlan命令 • 语法格式为:vlan vlan-id • 该命令执行于全局配置模式下,是进入VLAN配置模式的导航命令。 • 使用该命令的no选项可以删除VLAN:no vlan vlan-id • 注意:缺省的VLAN(VLAN 1)不允许删除。 • 例如启用VLAN 10,执行如下: • Switch(config)# vlan 10 • Switch(config-vlan)#
VLAN的基本配置命令 • switchport access命令 • 语法格式为:switchport access vlan vlan-id • no switchport access vlan • 该命令将端口设置为 statics accessport,并将它指派为一个VLAN的成员端口;使用该命令的no选项将该端口指派到缺省的VLAN中;switch port缺省模式为access,缺省的VLAN为VLAN 1; • 如果输入的是一个新的VLAN ID,则交换机会创建一个 VLAN,并将该端口设置为该 VLAN 的成员;如果输入的是已经存在的 VLAN ID,则增加VLAN的成员端口; • 例如将交换机F0/5端口指定到VLAN 10的配置为: • Switch(config)# interface fastEthernet 0/5 • Switch(config-if)# switchport access vlan 10
跨交换机的VLAN • 基于端口的VLAN(Port VLAN)将交换机按照端口的VLAN ID指定实现了逻辑划分,广播域被限定在相同VLAN的端口集合中,不同VLAN间不能直接通信; • 当使用多台交换机分别配置VLAN后,可以使用Trunk(干道)方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧。
Switch A Switch B Trunk Fast Ethernet Red VLAN Red VLAN Black VLAN Black VLAN Green VLAN Green VLAN 跨交换机的VLAN • 这种实现跨交换机的VLAN技术在早期使用帧过滤,而目前的国际标准规定采用帧标记。 • 网络管理的逻辑结构可以完全不受实际物理连接的限制,极大地提高了组网的灵活性。
何谓TRUNK • Trunk是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯; • 其中交换机之间互联用的端口就称为Trunk端口。
访问链路:VLAN中每个主机接入到交换机的链路,该链路上传输的数据不携带VLAN标识。访问链路:VLAN中每个主机接入到交换机的链路,该链路上传输的数据不携带VLAN标识。 • 中继链路:需要同时承载多个VLAN数据的链路,如交换机间、交换机与路由器间有多个VLAN需要区分的链路。 • 问题,一个主机接入到中继端口,能否通信?? • 在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式,使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。
VLAN帧标识 • 帧的格式分为两种: • ISL:Inter-Switch link,是Cisco交换机独有的协议 • IEEE802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持; • frame tagging(帧标记) 实现原理: • 在每个帧被转发穿越网络中继链路(网络骨干network backbone )时,帧标记在每个帧的头部设置唯一的标识符。 • 当帧离开中继链路时,交换机会在帧被传输到目的终端之前,删除这个标识符。
交换机1 交换机2 DES SRC FCS DES SRC FCS DES SRC FCS SRC DES B A Data VLAN ID 帧标记的工作原理 • 默认条件下,Trunk上会转发交换机上存在的所有VLAN的数据; • 传输多个VLAN的信息; • 实现同一VLAN跨越不同的交换机。
IEEE802.1Q标准 • 1996年3月,IEEE802.1 Internet Working委员会结束了对VLAN初期标准的修订工作; • 统一了Frame-Tagging(帧标记)方式中不同厂商的标签格式,制定IEEE802.1Q VLAN标准,进一步完善了VLAN的体系结构; • 802.1Q定义了VLAN的桥接规则,能够正确识别VLAN的帧格式,更好地支持多媒体应用; • 它为以太网提供了更好服务质量(QOS)保证和安全的能力。
IEEE802.1Q标准 • IEEE802.1Q使用4Byte的标记头来定义Tag(标记); • Tag头中包括2Byte的VPID(VLAN Protocol Identifier)和2Byte的VCI(VLAN Control Information)。
IEEE802.1Q Tag VLAN • 基于802.1Q Tag VLAN用VID来划分不同VLAN,当数据帧通过交换机的时候,交换机根据数据帧中Tag的VID信息来识别它们所在的VLAN(若帧中无Tag头,则应用帧所通过端口的默认VID来识别它们所在的VLAN); • 这使得所有属于该VLAN的数据帧,不管是单播帧、组播帧还是广播帧,都将被限制在该逻辑VLAN中传输。 • 当使用多台交换机分别配置VLAN后,可以使用Trunk方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧;
Port VLAN和Tag VLAN • 在VLAN配置中,我们使用switchport mode命令来指定一个二层接口(switch port)的模式,可以指定该接口为access port或者为trunk port。 • 使用该命令的no选项将该接口的模式恢复为缺省值(access)。 • 其命令执行在接口模式下,语法格式如下: • switchport mode {access | trunk} • no switchport mode
Port VLAN和Tag VLAN • 如果一个switch port的模式是access,则该接口只能为一个VLAN的成员;可以使用switchport access vlan命令指定该接口是哪一个VLAN的成员,这种接口又称为Port VLAN; • 如果一个 switch port 的模式是trunk,则该接口可以是多个 VLAN 的成员,这种配置被称为Tag VLAN。 • Trunk接口默认可以传输本交换机支持的所有VLAN(1~4094),但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个trunk口。在Trunk口 修改许可VLAN 列表的命令如下: • switchport trunk allowed vlan { all | [add | remove | except] vlan-list }
跨交换机的VLAN划分实例 • 假设,计算机PC1和PC3属于教务处,PC2和PC4属于财务处,PC1和PC2连接在S2126-1上,PC3和PC4连接在S2126-2上,而两个部门要求互相隔离,本实验的目的是实现跨两台交换机将不同端口划归不同的VLAN。
步骤一:配置 (1)在交换机S2126G-1上创建Vlan10,并将F0/1端口划分到Vlan10中。 S2126G-1>en 14 Password: S2126G-1#configure terminal S2126G-1(config)#vlan 10 S2126G-1(config-vlan)#name caiwuchu S2126G-1(config)#interface fastEthernet 0/1 S2126G-1(config-if)#switchport access vlan 10 S2126G-1#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------- 10 sales active Fa0/1
步骤一:配置 (2)在交换机S2126G-1上创建Vlan20,并将F0/2端口划分到Vlan20中。 S2126G-1#configureterminal S2126G-1(config)#vlan 20 S2126G-1(config-vlan)#name jiaowuchu S2126G-1(config)#interface fastEthernet 0/2 S2126G-1(config-if)#switchport access vlan 20 S2126G-1#show vlan id 20 VLAN Name Status Ports ---- -------------------------------- --------- ------- 20 technical active Fa0/2
步骤一:配置 (3)在交换机S2126G-2上创建Vlan10,并将F0/1端口划分到Vlan10中。 S2126G-2#configure terminal S2126G-2(config)#vlan 10 S2126G-2(config-vlan)#name caiwuchu S2126G-2(config)#interface fastEthernet 0/1 S2126G-2(config-if)#switchport access vlan 10 S2126G-2#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------- 10 sales active Fa0/1
步骤一:配置 (4)在交换机S2126G-2上创建Vlan20,并将F0/2端口划分到Vlan20中。 S2126G-2#configure terminal S2126G-2(config)#vlan 20 S2126G-2(config-vlan)#name jiaowuchu S2126G-2(config)#interface fastEthernet 0/2 S2126G-2(config-if)#switchport access vlan 20 S2126G-2#show vlan id 20 VLAN Name Status Ports ---- -------------------------------- --------- ------- 20 technical active Fa0/2
步骤一:配置 (5)把S2126G-1和S2126G-2相连的端口F0/6定义为tag vlan模式 S2126G-1#configure terminal S2126G-1(config)#interface fastEthernet 0/6 S2126G-1(config-if)#switchport mode trunk S2126G-1#showinterfaces fastEthernet 0/6 switchport Interface Switchport Mode Access Native Protected VLAN lists ---------- ---------- -------- ------- -------- --------- ------ Fa0/6 Enabled Trunk 1 1 Disabled All
步骤一:配置 (6)把S2126G-2端口F0/6定义为tag vlan模式 S2126G-2#configureterminal S2126G-2(config)#interface fastEthernet 0/6 S2126G-2(config-if)#switchport mode trunk S2126G-2#show interfaces fastEthernet 0/6 switchport Interface Switchport Mode Access Native Protected VLAN lists ---------- ---------- -------- ------- -------- --------- ---- Fa0/6 Enabled Trunk 1 1 Disabled All (7) 显示总的配置结果。 S2126G-2#show vlan S2126G-2#show running
步骤二:验证 (1)按照拓扑图连接交换机与验证机 连接交换机,接入验证机:将两台交换机的TRUNK(F0/6)口用直连线相连,将PC1、PC2、PC3、PC4四台验证机按照拓扑规划图,接入交换机的向应端口。 验证机所设置的IP地址分别设为:192.168.10.10、192.168.20.20、192.168.10.30、192.168.20.40,24位子网掩码。 (2)验证PC1和PC3能互相通信,PC2和PC4能互相通信;但是PC2和PC3不能互相通信
步骤二:验证PC1 Ping PC3 C:\>ping 192.168.10.30 Pinging 192.168.10.30 with 32 bytes of data: Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC1与PC3能互相通信;
步骤二:验证PC2 Ping PC4 C:\>ping 192.168.20.40 Pinging 192.168.20.40 with 32 bytes of data: Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.20.40: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC2与PC4能互相通信;
步骤二:验证PC2 Ping PC3 C:\>ping 192.168.10.30 Pinging 192.168.10.30 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC2与PC3不通,因为进行了VLAN隔离。
实验结论 • 通过验证,可以得到结论:在同一VLAN10内的验证机PC1与PC3是连通的,同一VLAN20内的验证机PC2与PC4也是连通的;而PC1与PC4、 PC2与PC3之间是不通的,因为他们属于不同的两个VLAN。这说明,VLAN创建以后,起到了隔离广播域的作用!
VLAN间的路由 • VLAN之间的路由可以认为是不同网段之间的路由,因此,从原理上讲,凡是具有路由功能的软硬件设备均可担任VLAN之间的互连任务。 • 实际在工程中常用的是下面的两种解决方案:三层交换机(交换机的虚拟接口)和单臂路由。