第六课 VLAN原理及其应用与配置

VLAN原理及其应用与配置孙钢锋Sungangfeng@gmail.com2009-10-25黄冈师范学院计算机学院提纲VLAN的产生原因－广播风暴划分VLAN的方法划分VLAN的好处VLAN帧的格式VLAN间路由交换和路由的集成－三层交换机一、VLAN的产生原因－广播风暴……广播广播风暴的解决方法（一）……广播路由器通过路由器将网络分段广播风暴的解决方法（二）广播域1VLAN10广播域2VLAN20广播域3VLAN30市场部工程部财务部通过VLAN划分广播域二、划分VLAN的方法基于端口划分VLAN基于协议划分VLAN基于IP的VLAN基于IP子网划分VLAN基于MAC地址划分VLAN基于端口的VLAN主机A主机B主机C主机D以太网交换机VLAN表Port1Port2Port7Port10端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10基于端口的VLAN按端口分组是早期定义VLAN成员关系的方法。在这种定义方法中，某个交换机上的端口（例如端口1、3、5）构成VLAN_A，而该交换机上的其他端口构成VLAN_B。早期基于端口的VLAN成员只能位于一个交换机中。第二代基于端口的VLAN支持多个交换机，例如交换机X上的端口1和端口2与交换机Y上的端口3和端口4构成一个VLAN。基于端口VLAN的示意图如后图所示。基于端口的VLANVLAN3VLAN2VLAN1基于MAC地址的VLANVLAN表主机A主机B主机C主机D以太网交换机MACAMACBMACCMACDMAC地址所属VLANMACAVLAN5MACBVLAN10MACCVLAN5MACDVLAN10基于协议的VLANVLAN可以根据协议的不同进行分组，例如，所有用IP地址分组的用户形成一个VLAN，而使用IPX（InternetPacketeXchange，NetWare系统使用的第3层协议）地址的用户形成第2个VLAN，等等。这种类型的VLAN称为基于协议的VLAN，基于协议的VLANVLAN表主机A主机B主机C主机D以太网交换机使用IPX协议运行IP协议使用IPX协议运行IP协议协议类型所属VLANIPX协议VLAN5IP协议VLAN10…………基于协议VLAN的优点允许用户同时属于不同的VLAN。支持多协议网络环境。允许IPX网络的加入。基于IP的VLAN更复杂的第3层VLAN是基于IP地址的VLAN（或者是基于IPX地址的VLAN，后者比较少见）。基于IP的VLAN如后图所示。基于IP地址的VLAN198.206.107.***198.206.107.***198.206.181.***198.206.181.***198.206.181.***198.206.107.***198.206.181.***198.206.107.***VLAN1VLAN2基于子网的VLANVLAN表主机A主机B主机C主机D以太网交换机1.1.1.51.1.2.881.1.1.81.1.2.99IP网络所属VLANIP1.1.1.1/24VLAN5IP1.1.2.1/24VLAN10…………第3层VLAN的优点是：（1）它允许以协议类型为依据对用户进行分组。这对于倾向于基于服务或应用的VLAN策略的网络管理员是有吸引力的。（2）用户可以物理地移动他们的工作站，而不用为每个工作站重新配置网络地址。注意，只有在纯TCP/IP网络中是这样的。（3）消除了（为通过交换机在VLAN成员间通信）给帧插入标签的需要，从而减少了传输成本。（4）网络管理员可以在VLAN管理程序中通过简单的鼠标拖动即可决定哪个子网属于哪个VLAN，子网的用户随着子网就被分配给VLAN。（5）如果是以IP子网为单位定义的，那么新加入的用户自动地被加入VLAN中。LAN、2层VLAN、2/3层VLAN区别VLAN种类定义功能LAN独立的物理网段与集线器或基本网桥的功能相同；支持即插即用。第二层VLAN由多个物理网段或LAN网段组成或由多个桥接的用户组成限制洪泛；静态网络配置；没有第3层路由的话，第2层VLAN之间将无法连通。第2/3层VLANLAN网段或用户之间的虚拟网络技术允许虚拟联网而无需第2层或第3层限制；同时保持第3层路由的可靠性和第2层面向连接交换的优点；集中式的访问管理，带宽分配、连接；无需硬件或软件的升级更新，即可为LAN用户提供ATM的优点。三、划分VLAN的好处隔离广播包，即广播包只在本VLAN中传播，从而在一定程度上可以提高整个网络的处理能力；虚拟的工作组，通过灵活的VLAN设置，可以把不同物理地点的用户划分到同一工作组内；提高安全性，一个VLAN内的用户和其它VLAN内的用户不能互访，提高了网络的安全性；四、VLAN帧的格式DASATypeDataCRCtagTPIDPriorityCFIVLANIDTCI带有IEEE802.1Q标记的以太网帧DASATypeDataCRC标准以太网帧标记协议标识（TPID）:固定值0x8100,表示该帧载有802.1q标记信息标记控制信息（TCI）:Priority3比特：表示优先级Canonicalformatindicator1比特：区别以太网、FDDIVlanID12比特：表示VID，范围1－4094VLAN编号的有效范围VLAN范围用途是否通过VTP传播0和4095保留用户不能使用不适用1正常范围默认VLAN,能使用，不能删除是2－1000正常范围用户能够创建、使用和删除是1001正常范围用户不能够创建、使用和删除是1002－1005保留为FDDI和令牌环提供不适用1006－1009保留不适用1010－1024保留不适用1025－4094保留有限使用否五、端口对接收报文的处理收报文：Acess端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID（portvlanid），并进行交换转发4、直接丢弃（缺省）trunk端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID，并进行交换转发4、判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃hybrid端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID，并进行交换转发4、判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃五、端口对发送报文的处理发报文：Acess端口：1、将报文的VLAN信息剥离，直接发送出去trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息2、如果两者相等则转到第3步，否则转到第4步3、剥离VLAN信息，再发送4、直接发送hybrid端口：1、判断该VLAN在本端口的属性（dispinterface即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则转到第3步，如果是tag则转到第4步3、剥离VLAN信息，再发送4、直接发送AccessLink和TrunkLink接入链路干道链路帧在网络通信中的变化VLAN2VLAN1VLAN1VLAN2带有VLAN1标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧Trunk和VLANVLAN1VLAN2VLAN1VLAN3VLAN2VLAN1VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLinkVLAN间路由没有路由的辅助VLAN1和VLAN200不能通信。（VLAN1and200cannotcommunicatewithoutassistanceofarouter.）VLAN间路由为了路由在一个非Trunk环境下VLAN1和200的信息，路由器必须用一个接口连接在VLAN1中，用一个接口连接在VLAN200中。VLAN间路由1.当在一个广播域中的主机想要访问在另一个广播域中的主机，必须通过路由器。Whenahostinonebroadcastdomainwishestocommunicatewithahostinanotherbroadcastdomain,aroutermustbeinvolved.2.如果一个VLAN跨越多个设备，在设备之间要用Trunk连接。IfaVLANspansacrossmultipledevicesatrunkisusedtointerconnectthedevices.VLAN互联问题（Inter-VLANIssues）当多个VLAN连接到一起时，几个技术问题随之出现WhenVLANsareconnectedtogether,severaltechnicalissueswillarise.1.端用户设备需要到达非本地主机Theneedforenduserdevicestoreachnon-localhosts2.不同vlan的主机需要通信TheneedforhostsondifferentVLANstocommunicateVLAN互联解决方案1.VLAN间通信可以通过逻辑的或者物理的连接来解决。Inter-VLANconnectivitycanbeachievedthrougheitherlogicalorphysicalconnectivity.2.逻辑连接涉及一个从交换机到路由器的单独Trunk连接Trunk链路携带多个VLAN的信息，这种拓扑称为独臂路由器。Logicalconnectivityinvolvesasingleconnection,ortrunk,fromtheswitchtotherouter.ThattrunkcansupportmultipleVLANs.Thistopologyiscalledarouteronastick3.物理连接需要为每一个VLAN指定一个单独的物理接口。PhysicalconnectivityinvolvesaseparatephysicalconnectionforeachVLAN.逻辑和物理连接独臂路由器（ARouteronaStick）物理和逻辑接口在传统情况下，有4个VLAN的网络需要交换机和路由器之间使用四个物理连接Inatraditionalsituation,anetworkwithfourVLANswouldrequirefourphysicalconnectionsbetweentheswitchandtheexternalrouter.随着技术的发展，向ISL变得应用更为广泛，网络设计者开始在交换机和路由器之间的连接使用Trunk。AstechnologiessuchasInter-SwitchLink(ISL)becamemorecommon,networkdesignersbegantousetrunklinkstoconnectrouterstoswitches.ISLand802.1qISL和802.1Q是快速以太口链路Trunk链路的封装格式。ISLand802.1qareusedtotrunkVLANsoverFastEthernetlinks一个单一的ISL或802.1Q链路可以传输多个VLAN信息AsingleISLor802.1qlinkcansupportmultiplevlansTrunk连接的路由器在路由器的接口上封装ISL或802.1q，可以连接交换机的Trunk接口。使用Trunk的主要好处是节省路由器和交换机的接口。不仅省钱，而且减少配置的复杂性。将物理接口划分为子接口将物理接口划分为子接口1.子接口是在物理接口上的逻辑接口。Asubinterfaceisalogicalinterfacewithinaphysicalinterface.2.每一个子接口支持一个VLAN,可以指定一个IP地址EachsubinterfacesupportsoneVLAN,andisass