基于端口的VLAN实现

-1-实验6：基于端口的VLAN模拟实现2011/4/22一．实训目的1．理解VLAN的基本概念。2．掌握VLAN的分类方法和实现原理。3．掌握交换机上实现静态VLAN的基本命令。二．实训器材及环境1．安装Windows2000Server操作系统的计算机。2．安装BosonNetsim5.31模拟软件。3．实验环境见实训步骤中的描述。三．实训理论基础1．虚拟局域网简介VirtualLocalAreaNetwork（VLAN），翻译成中文是“虚拟局域网”。VLAN所指的LAN特指使用路由器分割的网络，也就是广播域。是指在逻辑上将物理的LAN分成不同的小的逻辑子网，每一个逻辑子网就是一个单独的广播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。2．VLAN的作用使用集线器或交换机所构成的一个物理局域网，整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧，因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。在网络通讯中，广播信息是普遍存在的，这些广播帧将占用大量的网络带宽，导致网络速度和通讯效率的下降，并额外增加了网络主机为处理广播信息所产生的负荷。目前，蠕虫病毒相当泛滥，如果不对局域网进行有效的广播域隔离，一旦病毒发起泛洪广播攻击，将会很快占用完网络的带宽，导致网络的阻塞和瘫痪。一个VLAN就是一个网段，通过在交换机上划分VLAN，可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能进行直接通信的，从而就实现了对广播域的分割和隔离。从中可见，通过在局域网中划分VLAN，可起到以下方面的作用：控制网络的广播，增加广播域的数量，减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组，不受任何物理连接的限制，同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，增加了网络连接、组网和管理的灵活性。增加网络的安全性。由于默认情况下，VLAN间是相互隔离的，不能直接通讯，对于保密性要求较高的部门，比如财务处，可将其划分在一个VLAN中，这样，其他VLAN中的用户，将不能访问该VLAN中的主机，从而起到了隔离作用，并提高了VLAN中用户的安全性。VLAN间的通讯，可通过应用VLAN的访问控制列表，来实现VLAN间的安全通讯。3.VLAN的分类（1）静态VLAN静态VLAN就是明确指定各端口所属VLAN的设定方法，通常也称为基于端口的VLAN，其特点是将交换机按端口进行分组，每一组定义为一个VLAN，属于同一个VLAN的端口，可来自一台交换机，也可来自多台交换机，即可以跨越多台交换机设置VLAN。静态指定各端口所属的VLAN，需要对每一个端口地进行设置，当要设定的端口数目较多时，工作量会比较大，通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。-2-（2）动态VLAN动态VLAN是根据每个端口所连的计算机，动态设置端口所属VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基于子网的VLAN和基于协议的VLAN等。基于MAC地址的VLAN，就是根据端口所连计算机的网卡MAC地址，来决定该端口所属的VLAN。在这种方式下，端口所属的VLAN，不是事先固定的，而是由所连计算机的MAC地址来决定的。比如，若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2，则该台计算机无论接到交换机的哪个端口，其所连端口就会被自动划归为VLAN2。基于子网的VLAN，是根据端口所连计算机的IP地址，来决定端口所属的VLAN。基于协议的VLAN，是根据协议字段划分（如：IP协议和IPX协议）。4．VLAN的汇聚链接与封装协议在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。图10-1跨越多台交换机的VLAN跨越多台交换机的VLAN，VLAN内的主机彼此间应可以自由通讯，当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通讯呢？解决的办法就是在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示。图10-2VLAN内的主机在交换机间的通讯这种方法虽然解决了VLAN内主机间的跨交换机通讯，但每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，这对保贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差。为了避免这种低效率的连接方式和对交换机端口的大量占用，人们想办法让交换机间的互联链路汇集到一条链路上，让该链路允许各个VLAN的通讯流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通讯的链路，称为交换机的汇聚链路或主干链路-3-（TrunkLink），如下图所示。用于提供汇聚链路的端口，称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量，因此要求只有通讯速度在100Mbps或以上的端口，才能作为汇聚端口使用。图10-3利用汇聚链路实现各VLAN内主机跨交换机的通讯在引入VLAN后，交换机的端口按用途就分为了：访问连接端口（AccessLink）和汇聚连接（TrunkLink）端口两种。访问连接端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作nativevlan。汇聚连接端口属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。由于汇聚链路承载了所有VLAN的通讯流量，为了标识各数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的数据帧进行打标（tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。目前交换机支持的打标封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议，属于国际标准协议，适用于各个厂商生产的交换机，该协议通常也简称为dot1q。5．如何设置交换机的TRUNK（1）设置TRUNK需要指定一个作为主干的端口，比如2/24，如把某个端口设成Trunk方式，命令如下：settrunkmod/port[on|off|desirable|auto|nonegotiate][vlan_range][isl|dot1qdot10|lane|negotiate]。该命令可以分成以下4个部分：mod/port：指定用户想要运行Trunk的那个端口；Trunk的运行模式，分别有：on|off|desirable|auto|nonegotiate。要想在快速以太网和千兆以太网上自动识别出Trunk，则必须保证在同一VTP域内。也可使用On或Nonegotiate模式来强迫一个端口上起Trunk，无论其是否在同一个VTP域内。承载的VLAN范围。缺省下是1～1005，可以修改，但必须有TRUNK协议。使用TRUNK时，相邻端口上的协议要一致。另外在中心交换机上需要把和下面的交换机相连的端口设置成TRUNK，这样下面的交换机中的多个VLAN就能够通过一条链路和中心交换机通信了。（2）配置TRUNK时的注意事项在一个TRUNK中，数据总是从一个特定的源点到目的点，一条单一的链路被设计去处理广播包或不知目的地的包。在配置TRUNK时，必须遵循下列规则：○1正确选择TRUNK的端口数目，必须是2，4或8。○2必须使用同一组中的端口，在交换机上的端口分成了几个组，TRUNK的所有端口必须来自同一组。○3使用连续的端口；TRUNK上的端口必须连续，如你可以用端口4，5，6和7组合成一个端-4-口汇聚。○4在一组端口只产生一个TRUNK；如对于安奈特的AT－8224XL以太网交换机有3组，假定没有扩展槽。所以该交换机可以支持3个端口聚合。加上扩展槽可以使得该交换机多支持一个端口汇聚。○5基于端口号维护接线顺序：在接线时最重要的是两头的连接线必须相同。在一端交换机的最低序号的端口必须和对方最低序号的端口相连接，依次连接。举例来说，假定你从OPF-8224E交换机端口聚合到另一台OPF-8288XL交换机，在OPF-8224E上你选择了第二组端口12、13、14、15，在OPF-8288XL上你选择了第一组端口5、6、7、8，为了保持连接的顺序，你必须把OPF-8224XL上的端口12和OPF-8288XL上的端口5连接，端口13对端口6，其它如此。○6为TRUNK配置端口参数：在TRUNK上的所有端口自动认为都具有和最低端口号的端口参数相同的配置（比如在VLAN中的成员）。比如如果你用端口4、5、6和7产生了TRUNK，端口4是主端口，它的配置被扩散到其他端口（端口5、6和7）。只要端口已经被配置成了TRUNK,你不能修改端口5、6和7的任何参数，可能会导致和端口4的设置冲突。○7使用扩展槽：有些扩展槽支持TRUNK。这要看模块上的端口数量。6．VTP协议VTP（VLANTrunkProtocol，VLAN干道协议）的功能与GVRP相似，也是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议。在一台VTPServer上配置一个新的VLAN信息，则该信息将自动传播到本域内的所有交换机，从而减少在多台设备上配置同一信息的工作量，且方便了管理。VTP信息只能在Trunk端口上传播。任何一台运行VTP的交换机可以工作在三种模式：VTPServer、VTPClient及VTPTransparent。（1）VTPServer维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN。（2）VTPClient也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTPServer发布的通告报文中接收。（3）VTPTransparent不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去。它只拥有本设备上的VLAN信息。其中，VTPServer和VTPClient必须处于同一个VTP域，且一个交换机只能位于一个VTP域中。四．实训内容1．进一步学习模拟软件BosonNetsim的使用方法。2．模拟实现基于端口的VLAN。五．实训步骤1．绘制网络拓扑结构。双击打开BosonNetworkDesigner，绘制出如下拓扑图。其中计算机PC1和PC2分别通过双绞线和交换机Switch1的e0/1以及e0/2端口连接。注意，选择硬件时，以够用为原则，这里我们使用1912系列的交换机。2.图形化配置计算机的IP地址。点击BosonNetworkDesigner中的“File下的LoadNetmapintothesimulator”,调用出命令行控制界面，既打开BosonNetsim。选择BosonNetsim上的“eStations”，可以看到PC1和PC2的选项。然后分别使用同一命令winipcfg，直接调用出设定各自IP属性的图形界面。具体设置如下：-5-PC1IP地址：192.168.1.2子网掩码：255.255.255.0默认网关：192.168.1.1PC2IP地址：192.168.1.3子网掩码：255.255.255.0默认网关：192.168.1.13．PC1和PC2相互Ping，二者此时显示连通，可见此时属于同一个LAN；4．接着选择BosonNetsim上的“eSwitches”进入Switch1的配置界面。注意：初始情况下PC1和PC2所在端口都在“默认的VLAN1”上，可采用命令showvlan查看；5．创建一个新的VLAN