1 / 65

虚拟局域网技术 -vlan

虚拟局域网技术 -vlan. 邵雪梅. 冲突域. 物理上连在一起可能发生冲突的网络分段。 一个冲突域的典型特征就是同一时刻只允许一台主机发送数据,否则冲突就会产生。 分割或者隔离冲突域的行为称之为分段( segmentation ) 典型特征:只允许一个主机发送数据. 广播域. 广播域是指网段上所有设备的集合,这些设备收听该网络中所有的广播。当网络中一台主机发送广播时,网络上的每个设备必须收听并且处理此广播,即使这个广播对接收它的设备没有任何的帮助 !

elise
Download Presentation

虚拟局域网技术 -vlan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 虚拟局域网技术-vlan 邵雪梅

  2. 冲突域 • 物理上连在一起可能发生冲突的网络分段。一个冲突域的典型特征就是同一时刻只允许一台主机发送数据,否则冲突就会产生。 • 分割或者隔离冲突域的行为称之为分段(segmentation) • 典型特征:只允许一个主机发送数据

  3. 广播域 • 广播域是指网段上所有设备的集合,这些设备收听该网络中所有的广播。当网络中一台主机发送广播时,网络上的每个设备必须收听并且处理此广播,即使这个广播对接收它的设备没有任何的帮助! • 在一个安静的教室中,同学A向所有人大声的说了一句话。他的传播范围称之为广播域。因为他的接收者是所有人。而且广播的另外一个特征是接收者必须听他所说的内容,这是强制的。 • 注:广播的特征除了传播范围面向所有设备外,强制性也是它的特征。

  4. 路由器工作在的第OSI三层,用来分割广播域,路由器的每个端口连接的网络就是一个单独的广播域。路由器工作在的第OSI三层,用来分割广播域,路由器的每个端口连接的网络就是一个单独的广播域。 • 交换机工作在OSI第二层,数据链路层,互联的多个网络仍然属于同一个,也就是说属于同一个广播域。 • 交换机可以分割冲突域,但不能分割广播域。 • 集线器工作在OSI的第一层,连接在集线器上的多个网络上的所有主机即属于同一个冲突域,又属于同一个广播域。集线器会导致网络中的拥塞增加,降低网络带宽的使用率。

  5. 缩减网络流量 • 使用路由器,大多数的流量将会被限制在本地网络中,而只有那些被标明发送其他网络的数据包,才会通过路由器。路由器创建了广播域。 • 广播域的减小,创建的广播域越多,其广播域的规模就越小,并且在每个网络段上流量也就会越低。

  6. 引言 • 传统的交换机不能够分割广播域, • 如果A主机发送一个广播,那么下图网络中所有主机都能够收到广播。 • 如果要分割广播域必须使用路由器!!! • 问题,能否有一种不使用路由器,却能够在交换式网络中限制广播的方法???

  7. 采用VLAN 技术可以分割广播域。即一个VLAN即是一个广播域。在一个VLAN中所有的机器都能够接收到广播,其它的VLAN则不能够接收。就像路由器的一个端口划分一个广播域一样。采用VLAN 技术可以分割广播域。即一个VLAN即是一个广播域。在一个VLAN中所有的机器都能够接收到广播,其它的VLAN则不能够接收。就像路由器的一个端口划分一个广播域一样。 • 主机A、C、D在同一个VLAN 2中, • 如果主机A发送一个单播给主机D,C是否能够收到?不能够 • 如果主机A发送一个广播,谁能够收到?C、D均可以 VLAN 2

  8. VLAN技术 • VLAN (Virtual Local Area Network) • VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的第二层网络。 • VLAN的划分不受网络端口的实际物理位置的限制; • VLAN 有着和普通物理网络同样的属性; • 第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。 • VLAN只是分割广播域,不会改变广播、单播的实质。增加了广播域的个数,减少了广播域的大小。

  9. 1 2 3 4 广播帧 广播帧 广播域 广播域 VLAN技术 交换机收到广播 帧后,只转发到 属于同一VLAN 的其他端口。

  10. 172.16.20.4 VLAN20 VLAN10 VLAN30 隔离的广播域

  11. 一个VLAN 相当于一个逻辑网络(子网)。意味着 • 在一个VLAN中的所有的主机间通信相当于是接在同一个交换机上主机通信一样,通过目的MAC地址就可以了。 • 而在不同VLAN中的主机间通信相当于在不同LAN间通信需要通过路由器选择路由,或者是具有路由功能设备(三层交换机),主机间不能够随意访问,从某种程度上说,增加了网络的安全性。

  12. A VLAN = A Broadcast Domain = Logical Network (Subnet) 一个VLAN = 一个广播域 = 一个逻辑网络(子网)

  13. VLAN与网络管理 • 由于实现了广播域分隔,VLAN可以将广播风暴控制在一个VLAN内部,划分VLAN后,随着广播域的缩小,网络中广播包消耗的带宽所占的比例大大降低,网络性能得到显著提高; • 不同的VLAN间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络; • 同时,由于VLAN是逻辑的而不是物理的,因此在规划网络时可以避免地理位置的限制。

  14. VLAN具有的功能 • 控制网络广播、提高网络性能; • 分隔网段、确保网络安全; • 简化网络管理、提高组网灵活性。

  15. VLAN划分方法 • 基于端口的VLAN(Port-Based) • 基于协议的VLAN(Protocol-Based) • 基于MAC层分组的VLAN(MAC-Layer Grouping) • 基于网络层分组的VLAN(Network-Layer Grouping) • 基于IP组播分组的VLAN(IP Multicast Grouping) • 基于策略的VLAN(Policy-Based)

  16. 基于端口的静态VLAN • 基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法,它实际上是某些交换机端口的集合,网络管理员只需要管理和配置交换机端口,而不管交换机端口连接什么设备; • 这种划分VLAN的方法是根据以太网交换机的端口来划分的,是目前业界定义VLAN最广泛的方法; • IEEE802.1Q规定了这种划分VLAN的国际标准。

  17. VLAN的基本配置命令 • 基于端口的VLAN在实现上包括两个步骤: • 首先启用VLAN(用VLAN ID标识); • 而后将交换机端口指定到相应VLAN下。

  18. VLAN的基本配置命令 • vlan命令 • 语法格式为:vlan vlan-id • 该命令执行于全局配置模式下,是进入VLAN配置模式的导航命令。 • 使用该命令的no选项可以删除VLAN:no vlan vlan-id • 注意:缺省的VLAN(VLAN 1)不允许删除。 • 例如启用VLAN 10,执行如下: • Switch(config)# vlan 10 • Switch(config-vlan)#

  19. VLAN的基本配置命令 • switchport access命令 • 语法格式为:switchport access vlan vlan-id • no switchport access vlan • 该命令将端口设置为 statics accessport,并将它指派为一个VLAN的成员端口;使用该命令的no选项将该端口指派到缺省的VLAN中;switch port缺省模式为access,缺省的VLAN为VLAN 1; • 如果输入的是一个新的VLAN ID,则交换机会创建一个 VLAN,并将该端口设置为该 VLAN 的成员;如果输入的是已经存在的 VLAN ID,则增加VLAN的成员端口; • 例如将交换机F0/5端口指定到VLAN 10的配置为: • Switch(config)# interface fastEthernet 0/5 • Switch(config-if)# switchport access vlan 10

  20. 跨交换机的VLAN • 基于端口的VLAN(Port VLAN)将交换机按照端口的VLAN ID指定实现了逻辑划分,广播域被限定在相同VLAN的端口集合中,不同VLAN间不能直接通信; • 当使用多台交换机分别配置VLAN后,可以使用Trunk(干道)方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧。

  21. Switch A Switch B Trunk Fast Ethernet Red VLAN Red VLAN Black VLAN Black VLAN Green VLAN Green VLAN 跨交换机的VLAN • 这种实现跨交换机的VLAN技术在早期使用帧过滤,而目前的国际标准规定采用帧标记。 • 网络管理的逻辑结构可以完全不受实际物理连接的限制,极大地提高了组网的灵活性。

  22. 何谓TRUNK • Trunk是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯; • 其中交换机之间互联用的端口就称为Trunk端口。

  23. 访问链路:VLAN中每个主机接入到交换机的链路,该链路上传输的数据不携带VLAN标识。访问链路:VLAN中每个主机接入到交换机的链路,该链路上传输的数据不携带VLAN标识。 • 中继链路:需要同时承载多个VLAN数据的链路,如交换机间、交换机与路由器间有多个VLAN需要区分的链路。 • 问题,一个主机接入到中继端口,能否通信?? • 在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式,使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。

  24. VLAN帧标识 • 帧的格式分为两种: • ISL:Inter-Switch link,是Cisco交换机独有的协议 • IEEE802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持; • frame tagging(帧标记) 实现原理: • 在每个帧被转发穿越网络中继链路(网络骨干network backbone )时,帧标记在每个帧的头部设置唯一的标识符。 • 当帧离开中继链路时,交换机会在帧被传输到目的终端之前,删除这个标识符。

  25. 交换机1 交换机2 DES SRC FCS DES SRC FCS DES SRC FCS SRC DES B A Data VLAN ID 帧标记的工作原理 • 默认条件下,Trunk上会转发交换机上存在的所有VLAN的数据; • 传输多个VLAN的信息; • 实现同一VLAN跨越不同的交换机。

  26. IEEE802.1Q标准 • 1996年3月,IEEE802.1 Internet Working委员会结束了对VLAN初期标准的修订工作; • 统一了Frame-Tagging(帧标记)方式中不同厂商的标签格式,制定IEEE802.1Q VLAN标准,进一步完善了VLAN的体系结构; • 802.1Q定义了VLAN的桥接规则,能够正确识别VLAN的帧格式,更好地支持多媒体应用; • 它为以太网提供了更好服务质量(QOS)保证和安全的能力。

  27. IEEE802.1Q标准 • IEEE802.1Q使用4Byte的标记头来定义Tag(标记); • Tag头中包括2Byte的VPID(VLAN Protocol Identifier)和2Byte的VCI(VLAN Control Information)。

  28. IEEE802.1Q Tag VLAN • 基于802.1Q Tag VLAN用VID来划分不同VLAN,当数据帧通过交换机的时候,交换机根据数据帧中Tag的VID信息来识别它们所在的VLAN(若帧中无Tag头,则应用帧所通过端口的默认VID来识别它们所在的VLAN); • 这使得所有属于该VLAN的数据帧,不管是单播帧、组播帧还是广播帧,都将被限制在该逻辑VLAN中传输。 • 当使用多台交换机分别配置VLAN后,可以使用Trunk方式实现跨交换机的VLAN内部连通,交换机的Trunk端口不隶属于某个VLAN,而是可以承载所有VLAN的帧;

  29. Tag端口和Access端口

  30. Port VLAN和Tag VLAN • 在VLAN配置中,我们使用switchport mode命令来指定一个二层接口(switch port)的模式,可以指定该接口为access port或者为trunk port。 • 使用该命令的no选项将该接口的模式恢复为缺省值(access)。 • 其命令执行在接口模式下,语法格式如下: • switchport mode {access | trunk} • no switchport mode

  31. Port VLAN和Tag VLAN • 如果一个switch port的模式是access,则该接口只能为一个VLAN的成员;可以使用switchport access vlan命令指定该接口是哪一个VLAN的成员,这种接口又称为Port VLAN; • 如果一个 switch port 的模式是trunk,则该接口可以是多个 VLAN 的成员,这种配置被称为Tag VLAN。 • Trunk接口默认可以传输本交换机支持的所有VLAN(1~4094),但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个trunk口。在Trunk口 修改许可VLAN 列表的命令如下: • switchport trunk allowed vlan { all | [add | remove | except] vlan-list }

  32. 跨交换机的VLAN划分实例 • 假设,计算机PC1和PC3属于教务处,PC2和PC4属于财务处,PC1和PC2连接在S2126-1上,PC3和PC4连接在S2126-2上,而两个部门要求互相隔离,本实验的目的是实现跨两台交换机将不同端口划归不同的VLAN。

  33. 跨交换机的VLAN划分实例

  34. 步骤一:配置 (1)在交换机S2126G-1上创建Vlan10,并将F0/1端口划分到Vlan10中。 S2126G-1>en 14 Password: S2126G-1#configure terminal S2126G-1(config)#vlan 10 S2126G-1(config-vlan)#name caiwuchu S2126G-1(config)#interface fastEthernet 0/1 S2126G-1(config-if)#switchport access vlan 10 S2126G-1#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------- 10 sales active Fa0/1

  35. 步骤一:配置 (2)在交换机S2126G-1上创建Vlan20,并将F0/2端口划分到Vlan20中。 S2126G-1#configureterminal S2126G-1(config)#vlan 20 S2126G-1(config-vlan)#name jiaowuchu S2126G-1(config)#interface fastEthernet 0/2 S2126G-1(config-if)#switchport access vlan 20 S2126G-1#show vlan id 20 VLAN Name Status Ports ---- -------------------------------- --------- ------- 20 technical active Fa0/2

  36. 步骤一:配置 (3)在交换机S2126G-2上创建Vlan10,并将F0/1端口划分到Vlan10中。 S2126G-2#configure terminal S2126G-2(config)#vlan 10 S2126G-2(config-vlan)#name caiwuchu S2126G-2(config)#interface fastEthernet 0/1 S2126G-2(config-if)#switchport access vlan 10 S2126G-2#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------- 10 sales active Fa0/1

  37. 步骤一:配置 (4)在交换机S2126G-2上创建Vlan20,并将F0/2端口划分到Vlan20中。 S2126G-2#configure terminal S2126G-2(config)#vlan 20 S2126G-2(config-vlan)#name jiaowuchu S2126G-2(config)#interface fastEthernet 0/2 S2126G-2(config-if)#switchport access vlan 20 S2126G-2#show vlan id 20 VLAN Name Status Ports ---- -------------------------------- --------- ------- 20 technical active Fa0/2

  38. 步骤一:配置 (5)把S2126G-1和S2126G-2相连的端口F0/6定义为tag vlan模式 S2126G-1#configure terminal S2126G-1(config)#interface fastEthernet 0/6 S2126G-1(config-if)#switchport mode trunk S2126G-1#showinterfaces fastEthernet 0/6 switchport Interface Switchport Mode Access Native Protected VLAN lists ---------- ---------- -------- ------- -------- --------- ------ Fa0/6 Enabled Trunk 1 1 Disabled All

  39. 步骤一:配置 (6)把S2126G-2端口F0/6定义为tag vlan模式 S2126G-2#configureterminal S2126G-2(config)#interface fastEthernet 0/6 S2126G-2(config-if)#switchport mode trunk S2126G-2#show interfaces fastEthernet 0/6 switchport Interface Switchport Mode Access Native Protected VLAN lists ---------- ---------- -------- ------- -------- --------- ---- Fa0/6 Enabled Trunk 1 1 Disabled All (7) 显示总的配置结果。 S2126G-2#show vlan S2126G-2#show running

  40. 步骤二:验证 (1)按照拓扑图连接交换机与验证机 连接交换机,接入验证机:将两台交换机的TRUNK(F0/6)口用直连线相连,将PC1、PC2、PC3、PC4四台验证机按照拓扑规划图,接入交换机的向应端口。 验证机所设置的IP地址分别设为:192.168.10.10、192.168.20.20、192.168.10.30、192.168.20.40,24位子网掩码。 (2)验证PC1和PC3能互相通信,PC2和PC4能互相通信;但是PC2和PC3不能互相通信

  41. 步骤二:验证PC1 Ping PC3 C:\>ping 192.168.10.30 Pinging 192.168.10.30 with 32 bytes of data: Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Reply from 192.168.10.30: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC1与PC3能互相通信;

  42. 步骤二:验证PC2 Ping PC4 C:\>ping 192.168.20.40 Pinging 192.168.20.40 with 32 bytes of data: Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Reply from 192.168.20.40: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.20.40: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC2与PC4能互相通信;

  43. 验证动画效果

  44. 步骤二:验证PC2 Ping PC3 C:\>ping 192.168.10.30 Pinging 192.168.10.30 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 验证结论:PC2与PC3不通,因为进行了VLAN隔离。

  45. 验证动画效果

  46. 实验结论 • 通过验证,可以得到结论:在同一VLAN10内的验证机PC1与PC3是连通的,同一VLAN20内的验证机PC2与PC4也是连通的;而PC1与PC4、 PC2与PC3之间是不通的,因为他们属于不同的两个VLAN。这说明,VLAN创建以后,起到了隔离广播域的作用!

  47. VLAN间的路由

  48. VLAN间的路由 • VLAN之间的路由可以认为是不同网段之间的路由,因此,从原理上讲,凡是具有路由功能的软硬件设备均可担任VLAN之间的互连任务。 • 实际在工程中常用的是下面的两种解决方案:三层交换机(交换机的虚拟接口)和单臂路由。

More Related