1 / 58

专题 2 VLAN 及交换机配置

专题 2 VLAN 及交换机配置. 1 局域网业务隔离. 业务隔离的必要性. 不做业务隔离的网络带来的问题 二层交换机不能阻隔广播域,网络规模越大,广播危害也越严重 路由器可以阻隔广播,但是会成为性能瓶颈 大量的未知单播流量和无意组播流量 带来安全隐患 难以管理和维护. 局域网业务隔离技术.

hagen
Download Presentation

专题 2 VLAN 及交换机配置

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 专题2 VLAN及交换机配置

  2. 1 局域网业务隔离

  3. 业务隔离的必要性 • 不做业务隔离的网络带来的问题 • 二层交换机不能阻隔广播域,网络规模越大,广播危害也越严重 • 路由器可以阻隔广播,但是会成为性能瓶颈 • 大量的未知单播流量和无意组播流量 • 带来安全隐患 • 难以管理和维护

  4. 局域网业务隔离技术 • 设计网络时,最好的办法是将广播流量限制在仅需要该广播的网络区域中。出于业务考虑,有些主机需要配置为能相互访问,有些则不能这样配置。例如,财务部的服务器就只能由财务部的成员访问。在交换网络中,人们通过创建虚拟局域网 (VLAN) 来按照需要将广播限制在特定区域并将主机分组。

  5. VLAN • VLAN 是一种逻辑广播域,可以跨越多个物理 LAN 网段 • 广播不会在 VLAN 之间转发,而是被限制在各自的 VLAN 中 • VLAN 主要有两项作用: • VLAN 可以限制广播。 • VLAN 可以分组设备。不同 VLAN 中的设备相互不可见。 • VLAN 之间需要第 3 层设备才能相互传输流量

  6. VLAN分割广播域 广播 广播域 VLAN 1 VLAN 2 广播 广播域 广播域

  7. VLAN的规划 • VLAN 的划分方法 • 基于端口划分的VLAN • 基于MAC地址划分VLAN • 基于网络层协议划分VLAN • 根据IP组播划分VLAN • 根据子网划分VLAN • 根据用户认证授权划分VLAN

  8. 基于端口划分的静态VLAN

  9. 基于MAC地址划分的动态VLAN 我正在将该端口分配到VLAN 18

  10. 交换机VLAN的范围 • VLAN 的范围 • 一共4096个可用VLAN • 0,4095 – 保留 • 1 – 本地VLAN • 2~~1001 – 用于以太网 • 1002:FDDI-Default • 1003:Token-Ring-Default • 1004:FDDInet-Defaul • 1005:TRnet-default • 1024~~4094 – 用于扩展的以太网

  11. VLAN基本配置 • 创建VLAN • 方法一: • 进入vlan database配置模式 • Switch# vlan database • 创建vlan并给vlan命名 • Switch(vlan)# vlan vlan-id name vlan-name • 方法二: • 进入全局配置模式 • Switch# configure terminal • 创建vlan并进入vlan配置模式 • Switch(config)#vlan vlan-id • 为vlan命名 • Switch(config-vlan)#name vlan-name

  12. VLAN基本配置(续) • 删除VLAN • 方法一: • 进入vlan database配置模式 • Switch# vlan database • 创建vlan并给vlan命名 • Switch(vlan)# no vlan vlan-id name vlan-name • 方法二: • 进入全局配置模式 • Switch# configure terminal • 创建vlan并进入vlan配置模式 • Switch(config)#no vlan vlan-id

  13. VLAN基本配置(续) • 将交换机端口静态绑定到VLAN • 从全局配置模式进入端口配置模式 • Switch(config)#interface interface-id • 为端口定义vlan成员模式 • Switch(config-if)# switchport mode access • 将端口加入到指定vlan中 • Switch(config-if) #switchport access vlan vlan-id • 将一个端口从某个vlan中移出 • Switch(config-if) #no switchport access vlan vlan-id

  14. 配置实例 Switch# configure terminal Swtich(conifig)# vlan 10 Swtich(config-vlan)# name Jiaofei Swtich(config-vlan)# exit Swtich(config)# vlan 20 Swtich(config-vlan)# name OA Swtich(config-vlan)#exit Swtich(config)# vlan 30 Swtich(config-vlan)# name NM Swtich(config-vlan)# exit Swtich(conifig)# interface range fastEthernet 0/1 - 2 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 10 Swtich(conifig-if)# exit Swtich(conifig)# interface fastEthernet 0/3 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 20 Swtich(conifig-if)# exit Swtich(conifig)# interface fastEthernet 0/4 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 30

  15. 查看VLAN信息 Switch#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/0, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 10 Jiaofei active Fa0/1, Fa0/2 20 OA active Fa0/3 30 NM active Fa0/4 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

  16. 2 跨越交换机部署VLAN

  17. VLAN 1 VLAN 1 1 VLAN 2 2 VLAN 2 3 VLAN s VLAN 3 VLAN 3 VLAN 1 VLAN 1 中继链路 VLAN 2 VLAN 2 VLAN 1、2、3 VLAN 3 VLAN 3 跨越多个交换机的VLAN

  18. VLAN标识 • 交换机给每个去往其他交换机的数据帧打上VLAN标识 VLAN 1 VLAN 1 VLAN 1标记 接入链路(Access) 中继链路(Trunk) VLAN 2 VLAN 2 VLAN 3 VLAN 3 VLAN 3标记

  19. Trunk与Access端口 • Trunk端口 • 一条物理链路同时承载多个VLAN的数据 • Cisco默认属于所有VLAN,H3C默认只属于本地VLAN • 必须100M以上端口 • 连接交换机-交换机,交换机-路由器 • Access端口 • 仅属于某个特定VLAN • 连接交换机-终端

  20. Trunk与Access端口(续)

  21. VLAN中继-Trunk • Trunk的封装格式:ISL、dot1Q • ISL是Cisco专用的标准。 • 在以太网报文中增加了26byte作为VLAN tag. • Dot1Q是IEEE制订的标准802.1Q,几乎所有的厂商设备都支持。 • 在以太网报文中增加了4byte作为VLAN tag. • 802.1Q 标签帧比ISL 标签帧包含更少的域,因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。

  22. Cisco ISL工作原理和帧格式 VLAN 2 中继链路 接入链路 ISL头 26字节 CRC 4字节

  23. ISL帧格式 • DA:一个多播地址(01.00.0c.00.00)它向接受方发出信号:这是一个isl帧 • Type:4位封装帧类型描述符——Ethernet(0000)、令牌环(0001)、FDDI(0010)、ATM(0011)。 • User:类型域扩展或定义Ethernet优先级的4位描述符,这是从最低优先级0开始到最高优先级3的二进制值。 • SA:正在传输的Catalyst交换机的48位源MAC地址。 • LEN:减去DA、类型、user、SA、LEN和CRC的16位帧长度描述符。 • AAAA03:标准SNAP 802.2LLC头。 • HSA:SA的头3个字节(制造商ID或组织机构惟一ID)。 • VLAN:15位VLAN ID。低10位用于1024个VLAN。 • BPDU:说明帧是否是生成树BPDU的1位描述符。如果封装的是CDP帧,此位也设置。 • INDEX:说明传输端口ID的16位描述符,用于诊断。 • RES:用于其他附加信息的16位保留域,如FDDI帧的FCS域。

  24. IEEE802.1Q的工作原理和帧格式 接入链路 中继链路 802.1Q 标记 4字节

  25. 802.1Q 帧格式

  26. 802.1Q 帧格式(续) • 标记协议标识符(TPID) • 是被全局分配的。定义值为0x8100,表明一个帧是802.1Q VLAN数据帧。 • 标记控制信息(TCI) • 用户优先级(priority):该域用来标记帧穿过交换机时携带用户优先级信息,主要是802.1p 使用(qos里面有介绍)。其长度为3,取值从0---7。 • 规范格式指示器(CFID):cfid值为0说明是规范格式 ,如运行802.3数据帧 ,为1说明是非规范格式(用在令牌环/FDDI介质访问方法中)。其长度为1。 • VLAN ID :标识帧所属的VLAN ,其长度为12,可以标识4096个VLAN从0—4095 。

  27. 802.1Q Trunk 特性 • tag和untag • 在trunk中,有两情形的数据,打上VLAN tag和没有VLAN tag(untag)的数据。 • Tag数据:需要在trunk中透传的数据带有VLAN tag,在不同交换机中相同vlan tag的数据即是同一个VLAN。 • Untag数据:在trunk中,untag数据不带VLAN tag,交换机从trunk上发送native vlan的数据时,将数据以untag方式发送到trunk。 • native VLAN • Native vlan就是本地VLAN,交换机上每个端口都有一个Native vlan。在Cisco交换机和华为交换机上默认native VLAN为VLAN 1。

  28. 802.1Q Native VLAN

  29. Native VLAN的作用 • Vlan 1 成为一个特殊的vlan是因为第2层设备需要一个默认vlan作为它们端口的归属,包括他们的管理端口,此外很多第2层协议,例如BPDU , CDP, VTP, PAgP和DTP需要在一个特定的vlan中发送消息,由于这些原因,选择了vlan 1 • 默认Vlan • 本地Vlan

  30. Trunk的配置方法 • 通过DTP协议配置 • DTP (Dynamic Trunking Protocol), 用来动态协商端口类型为Access或者Trunk。要完成自动协商,2端口必须在同一个VTP domain中。每30s发送一次DTP的frame. 该协议仅在交换机间协商。 • 手动指定接口为Trunk

  31. DTP的工作模式

  32. DTP的工作模式(续)

  33. DTP配置方法 • DTP自动协商 • switchport mode dynamic auto • switchport mode dynamic desirable • switchport mode trunk • Access端口 • 禁止DTP协商,禁止Trunk,将端口设置为终端接入模式 • switchport mode access • 禁止DTP,强制设置Trunk • switchport nonegotiate • Trunk封装类型 • switchport trunk encapsulation isl • switchport trunk encapsulation dot1q

  34. Trunk端口配置示例 SW1 SW2 • SW1(config)#interface fa 0/24 • SW1(config-if)#switchport trunk encapsulation dot1q • SW1(config-if)#switchport mode trunk • SW2(config)#interface fa 0/24 • SW2(config-if)#switchport trunk encapsulation dot1q • SW2(config-if)#switchport mode trunk

  35. 查看端口状态 SW1#show interface f0/24 switchport Name: Fa0/24 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL 接口模式配置为Trunk 接口工作模式为Trunk Trunk协议类型为802.1q Trunk可以承载所有的VLAN

  36. 查看Trunk链路的状态 • SW1#show interfaces trunk • Port Mode Encapsulation Status Native vlan • Fa0/24 on 802.1q trunking 1 • Port Vlans allowed on trunk • Fa0/24 1-4094 • Port Vlans allowed and active in management domain • Fa0/24 1,20 • Port Vlans in spanning tree forwarding state and not pruned • Fa0/24 1,20

  37. 从Trunk中添加、删除Vlan • 去除VLAN • Switch (config-if )# switchport trunk allowed vlan remove vlan-list • 添加VLAN • Switch (config-if)# switchport trunk allowed vlan add vlan-list • 检查中继端口允许VLAN的列表 • Switch # show interface interface-id switchport

  38. 从Trunk中删除Vlan配置实例 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport trunk allowed vlan remove 2 SW1(config-if)#end SW1#show interface f0/24 switchport Name: Fa0/24 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Operational private-vlan: none Trunking VLANs Enabled: 1,3-1005 Pruning VLANs Enabled: 2-1001 Capture Mode Disabled VALN 2已经被移除,此时,连接在SW1上的VLAN 2的主机与连接在SW2上的VLAN 2的主机之间不能互通

  39. 3 VLAN间单臂路由

  40. VLAN间路由 • 不同VLAN三层互访需求 • 二层隔离:不同VLAN二层隔离,在企业网中,一般将部门/业务划分多个VLAN,服务器组有独立的VLAN。 • 三层互访需求:处在各个部门(各个VLAN)的企业员工存在互访需求,各个部门需要访问服务器。这些VLAN之间的互访需要经过三层设备进行互通。 • VLAN间路由方法:单臂路由、三层交换 • 单臂路由:在交换机上直接挂接路由器,也称之为旁挂路由器。 • 三层交换:交换机集成路由引擎,具备三层路由功能。

  41. 不适当的VLAN间路由方式 • 路由器与每个VLAN建立一条物理连接,浪费大量的端口 E0/0 Router E1/0 10.1.1.1/24 10.1.3.1/24 E0/1 交换机 10.1.2.1/24 VLAN1 VLAN2 VLAN3 IP=10.1.2.2/24 GW=10.1.2.1 IP=10.1.1.2/24 GW=10.1.1.1 IP=10.1.3.2/24 GW=10.1.3.1

  42. 用802.1Q和子接口实现VLAN间路由 Router F0/0 F0/0.1 10.1.1.1/24 F0/0.2 10.1.2.1/24 802.1Q Trunk链路 F0/0.3 10.1.3.1/24 交换机 VLAN1 VLAN2 VLAN3 HostA HostB HostC IP=10.1.2.2/24 GW=10.1.2.1 IP=10.1.1.2/24 GW=10.1.1.1 IP=10.1.3.2/24 GW=10.1.3.1

  43. 单臂路由转发原理 • tag VLAN间转发 • 交换机将数据打上各自的VLAN tag(将除native VLAN之外)发送到路由器,路由器接口收到数据后剥离vlan tag进行路由选择,然后从接口上打上另一个VLAN tag发送给交换机。 • 交换机接口native VLAN与路由器主接口互通 • Native vlan在trunk上不带tag

  44. 单臂路由配置案例(1) Router(config)#interface fastethernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface fastethernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet 0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.30.1 255.255.255.0 主接口对应Native VLAN的流量 Switch(config)#interfcefastethernet 0/24 • Switch(config-if)#switchport trunk encapsulation dot1Q Switch(config-if)#switchport mode trunk

  45. 单臂路由配置案例(2) Router(config)#interface fastethernet 0/0.1 Router(config-subif)#encapsulation dot1Q 1 native Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface fastethernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet 0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.30.1 255.255.255.0 子接口对应Native VLAN的流量 Switch(config)#interfcefastethernet 0/24 • Switch(config-if)#switchport trunk encapsulation dot1Q Switch(config-if)#switchport mode trunk

  46. 4 案例相关网络产品介绍

  47. Cisco交换机产品线

  48. Cisco Catalyst 2960 系列交换机定位

  49. Catalyst 2960系列产品概述

  50. Catalyst 2960系列产品型号

More Related