580 likes | 754 Views
专题 2 VLAN åŠäº¤æ¢æœºé…ç½®. 1 局域网业务隔离. 业务隔离的必è¦æ€§. ä¸åšä¸šåŠ¡éš”离的网络带æ¥çš„问题 二层交æ¢æœºä¸èƒ½é˜»éš”广æ’域,网络规模越大,广æ’å±å®³ä¹Ÿè¶Šä¸¥é‡ 路由器å¯ä»¥é˜»éš”广æ’,但是会æˆä¸ºæ€§èƒ½ç“¶é¢ˆ 大é‡çš„未知å•æ’æµé‡å’Œæ— æ„组æ’æµé‡ 带æ¥å®‰å…¨éšæ‚£ 难以管ç†å’Œç»´æŠ¤. 局域网业务隔离技术.
E N D
业务隔离的必要性 • 不做业务隔离的网络带来的问题 • 二层交换机不能阻隔广播域,网络规模越大,广播危害也越严重 • 路由器可以阻隔广播,但是会成为性能瓶颈 • 大量的未知单播流量和无意组播流量 • 带来安全隐患 • 难以管理和维护
局域网业务隔离技术 • 设计网络时,最好的办法是将广播流量限制在仅需要该广播的网络区域中。出于业务考虑,有些主机需要配置为能相互访问,有些则不能这样配置。例如,财务部的服务器就只能由财务部的成员访问。在交换网络中,人们通过创建虚拟局域网 (VLAN) 来按照需要将广播限制在特定区域并将主机分组。
VLAN • VLAN 是一种逻辑广播域,可以跨越多个物理 LAN 网段 • 广播不会在 VLAN 之间转发,而是被限制在各自的 VLAN 中 • VLAN 主要有两项作用: • VLAN 可以限制广播。 • VLAN 可以分组设备。不同 VLAN 中的设备相互不可见。 • VLAN 之间需要第 3 层设备才能相互传输流量
VLAN分割广播域 广播 广播域 VLAN 1 VLAN 2 广播 广播域 广播域
VLAN的规划 • VLAN 的划分方法 • 基于端口划分的VLAN • 基于MAC地址划分VLAN • 基于网络层协议划分VLAN • 根据IP组播划分VLAN • 根据子网划分VLAN • 根据用户认证授权划分VLAN
基于MAC地址划分的动态VLAN 我正在将该端口分配到VLAN 18
交换机VLAN的范围 • VLAN 的范围 • 一共4096个可用VLAN • 0,4095 – 保留 • 1 – 本地VLAN • 2~~1001 – 用于以太网 • 1002:FDDI-Default • 1003:Token-Ring-Default • 1004:FDDInet-Defaul • 1005:TRnet-default • 1024~~4094 – 用于扩展的以太网
VLAN基本配置 • 创建VLAN • 方法一: • 进入vlan database配置模式 • Switch# vlan database • 创建vlan并给vlan命名 • Switch(vlan)# vlan vlan-id name vlan-name • 方法二: • 进入全局配置模式 • Switch# configure terminal • 创建vlan并进入vlan配置模式 • Switch(config)#vlan vlan-id • 为vlan命名 • Switch(config-vlan)#name vlan-name
VLAN基本配置(续) • 删除VLAN • 方法一: • 进入vlan database配置模式 • Switch# vlan database • 创建vlan并给vlan命名 • Switch(vlan)# no vlan vlan-id name vlan-name • 方法二: • 进入全局配置模式 • Switch# configure terminal • 创建vlan并进入vlan配置模式 • Switch(config)#no vlan vlan-id
VLAN基本配置(续) • 将交换机端口静态绑定到VLAN • 从全局配置模式进入端口配置模式 • Switch(config)#interface interface-id • 为端口定义vlan成员模式 • Switch(config-if)# switchport mode access • 将端口加入到指定vlan中 • Switch(config-if) #switchport access vlan vlan-id • 将一个端口从某个vlan中移出 • Switch(config-if) #no switchport access vlan vlan-id
配置实例 Switch# configure terminal Swtich(conifig)# vlan 10 Swtich(config-vlan)# name Jiaofei Swtich(config-vlan)# exit Swtich(config)# vlan 20 Swtich(config-vlan)# name OA Swtich(config-vlan)#exit Swtich(config)# vlan 30 Swtich(config-vlan)# name NM Swtich(config-vlan)# exit Swtich(conifig)# interface range fastEthernet 0/1 - 2 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 10 Swtich(conifig-if)# exit Swtich(conifig)# interface fastEthernet 0/3 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 20 Swtich(conifig-if)# exit Swtich(conifig)# interface fastEthernet 0/4 Swtich(conifig-if)# switchport mode access Swtich(conifig-if)# swtichport access vlan 30
查看VLAN信息 Switch#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/0, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 10 Jiaofei active Fa0/1, Fa0/2 20 OA active Fa0/3 30 NM active Fa0/4 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active
VLAN 1 VLAN 1 1 VLAN 2 2 VLAN 2 3 VLAN s VLAN 3 VLAN 3 VLAN 1 VLAN 1 中继链路 VLAN 2 VLAN 2 VLAN 1、2、3 VLAN 3 VLAN 3 跨越多个交换机的VLAN
VLAN标识 • 交换机给每个去往其他交换机的数据帧打上VLAN标识 VLAN 1 VLAN 1 VLAN 1标记 接入链路(Access) 中继链路(Trunk) VLAN 2 VLAN 2 VLAN 3 VLAN 3 VLAN 3标记
Trunk与Access端口 • Trunk端口 • 一条物理链路同时承载多个VLAN的数据 • Cisco默认属于所有VLAN,H3C默认只属于本地VLAN • 必须100M以上端口 • 连接交换机-交换机,交换机-路由器 • Access端口 • 仅属于某个特定VLAN • 连接交换机-终端
VLAN中继-Trunk • Trunk的封装格式:ISL、dot1Q • ISL是Cisco专用的标准。 • 在以太网报文中增加了26byte作为VLAN tag. • Dot1Q是IEEE制订的标准802.1Q,几乎所有的厂商设备都支持。 • 在以太网报文中增加了4byte作为VLAN tag. • 802.1Q 标签帧比ISL 标签帧包含更少的域,因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。
Cisco ISL工作原理和帧格式 VLAN 2 中继链路 接入链路 ISL头 26字节 CRC 4字节
ISL帧格式 • DA:一个多播地址(01.00.0c.00.00)它向接受方发出信号:这是一个isl帧 • Type:4位封装帧类型描述符——Ethernet(0000)、令牌环(0001)、FDDI(0010)、ATM(0011)。 • User:类型域扩展或定义Ethernet优先级的4位描述符,这是从最低优先级0开始到最高优先级3的二进制值。 • SA:正在传输的Catalyst交换机的48位源MAC地址。 • LEN:减去DA、类型、user、SA、LEN和CRC的16位帧长度描述符。 • AAAA03:标准SNAP 802.2LLC头。 • HSA:SA的头3个字节(制造商ID或组织机构惟一ID)。 • VLAN:15位VLAN ID。低10位用于1024个VLAN。 • BPDU:说明帧是否是生成树BPDU的1位描述符。如果封装的是CDP帧,此位也设置。 • INDEX:说明传输端口ID的16位描述符,用于诊断。 • RES:用于其他附加信息的16位保留域,如FDDI帧的FCS域。
IEEE802.1Q的工作原理和帧格式 接入链路 中继链路 802.1Q 标记 4字节
802.1Q 帧格式(续) • 标记协议标识符(TPID) • 是被全局分配的。定义值为0x8100,表明一个帧是802.1Q VLAN数据帧。 • 标记控制信息(TCI) • 用户优先级(priority):该域用来标记帧穿过交换机时携带用户优先级信息,主要是802.1p 使用(qos里面有介绍)。其长度为3,取值从0---7。 • 规范格式指示器(CFID):cfid值为0说明是规范格式 ,如运行802.3数据帧 ,为1说明是非规范格式(用在令牌环/FDDI介质访问方法中)。其长度为1。 • VLAN ID :标识帧所属的VLAN ,其长度为12,可以标识4096个VLAN从0—4095 。
802.1Q Trunk 特性 • tag和untag • 在trunk中,有两情形的数据,打上VLAN tag和没有VLAN tag(untag)的数据。 • Tag数据:需要在trunk中透传的数据带有VLAN tag,在不同交换机中相同vlan tag的数据即是同一个VLAN。 • Untag数据:在trunk中,untag数据不带VLAN tag,交换机从trunk上发送native vlan的数据时,将数据以untag方式发送到trunk。 • native VLAN • Native vlan就是本地VLAN,交换机上每个端口都有一个Native vlan。在Cisco交换机和华为交换机上默认native VLAN为VLAN 1。
Native VLAN的作用 • Vlan 1 成为一个特殊的vlan是因为第2层设备需要一个默认vlan作为它们端口的归属,包括他们的管理端口,此外很多第2层协议,例如BPDU , CDP, VTP, PAgP和DTP需要在一个特定的vlan中发送消息,由于这些原因,选择了vlan 1 • 默认Vlan • 本地Vlan
Trunk的配置方法 • 通过DTP协议配置 • DTP (Dynamic Trunking Protocol), 用来动态协商端口类型为Access或者Trunk。要完成自动协商,2端口必须在同一个VTP domain中。每30s发送一次DTP的frame. 该协议仅在交换机间协商。 • 手动指定接口为Trunk
DTP配置方法 • DTP自动协商 • switchport mode dynamic auto • switchport mode dynamic desirable • switchport mode trunk • Access端口 • 禁止DTP协商,禁止Trunk,将端口设置为终端接入模式 • switchport mode access • 禁止DTP,强制设置Trunk • switchport nonegotiate • Trunk封装类型 • switchport trunk encapsulation isl • switchport trunk encapsulation dot1q
Trunk端口配置示例 SW1 SW2 • SW1(config)#interface fa 0/24 • SW1(config-if)#switchport trunk encapsulation dot1q • SW1(config-if)#switchport mode trunk • SW2(config)#interface fa 0/24 • SW2(config-if)#switchport trunk encapsulation dot1q • SW2(config-if)#switchport mode trunk
查看端口状态 SW1#show interface f0/24 switchport Name: Fa0/24 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL 接口模式配置为Trunk 接口工作模式为Trunk Trunk协议类型为802.1q Trunk可以承载所有的VLAN
查看Trunk链路的状态 • SW1#show interfaces trunk • Port Mode Encapsulation Status Native vlan • Fa0/24 on 802.1q trunking 1 • Port Vlans allowed on trunk • Fa0/24 1-4094 • Port Vlans allowed and active in management domain • Fa0/24 1,20 • Port Vlans in spanning tree forwarding state and not pruned • Fa0/24 1,20
从Trunk中添加、删除Vlan • 去除VLAN • Switch (config-if )# switchport trunk allowed vlan remove vlan-list • 添加VLAN • Switch (config-if)# switchport trunk allowed vlan add vlan-list • 检查中继端口允许VLAN的列表 • Switch # show interface interface-id switchport
从Trunk中删除Vlan配置实例 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport trunk allowed vlan remove 2 SW1(config-if)#end SW1#show interface f0/24 switchport Name: Fa0/24 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Operational private-vlan: none Trunking VLANs Enabled: 1,3-1005 Pruning VLANs Enabled: 2-1001 Capture Mode Disabled VALN 2已经被移除,此时,连接在SW1上的VLAN 2的主机与连接在SW2上的VLAN 2的主机之间不能互通
VLAN间路由 • 不同VLAN三层互访需求 • 二层隔离:不同VLAN二层隔离,在企业网中,一般将部门/业务划分多个VLAN,服务器组有独立的VLAN。 • 三层互访需求:处在各个部门(各个VLAN)的企业员工存在互访需求,各个部门需要访问服务器。这些VLAN之间的互访需要经过三层设备进行互通。 • VLAN间路由方法:单臂路由、三层交换 • 单臂路由:在交换机上直接挂接路由器,也称之为旁挂路由器。 • 三层交换:交换机集成路由引擎,具备三层路由功能。
不适当的VLAN间路由方式 • 路由器与每个VLAN建立一条物理连接,浪费大量的端口 E0/0 Router E1/0 10.1.1.1/24 10.1.3.1/24 E0/1 交换机 10.1.2.1/24 VLAN1 VLAN2 VLAN3 IP=10.1.2.2/24 GW=10.1.2.1 IP=10.1.1.2/24 GW=10.1.1.1 IP=10.1.3.2/24 GW=10.1.3.1
用802.1Q和子接口实现VLAN间路由 Router F0/0 F0/0.1 10.1.1.1/24 F0/0.2 10.1.2.1/24 802.1Q Trunk链路 F0/0.3 10.1.3.1/24 交换机 VLAN1 VLAN2 VLAN3 HostA HostB HostC IP=10.1.2.2/24 GW=10.1.2.1 IP=10.1.1.2/24 GW=10.1.1.1 IP=10.1.3.2/24 GW=10.1.3.1
单臂路由转发原理 • tag VLAN间转发 • 交换机将数据打上各自的VLAN tag(将除native VLAN之外)发送到路由器,路由器接口收到数据后剥离vlan tag进行路由选择,然后从接口上打上另一个VLAN tag发送给交换机。 • 交换机接口native VLAN与路由器主接口互通 • Native vlan在trunk上不带tag
单臂路由配置案例(1) Router(config)#interface fastethernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface fastethernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet 0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.30.1 255.255.255.0 主接口对应Native VLAN的流量 Switch(config)#interfcefastethernet 0/24 • Switch(config-if)#switchport trunk encapsulation dot1Q Switch(config-if)#switchport mode trunk
单臂路由配置案例(2) Router(config)#interface fastethernet 0/0.1 Router(config-subif)#encapsulation dot1Q 1 native Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface fastethernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet 0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.30.1 255.255.255.0 子接口对应Native VLAN的流量 Switch(config)#interfcefastethernet 0/24 • Switch(config-if)#switchport trunk encapsulation dot1Q Switch(config-if)#switchport mode trunk