您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 其它行业文档 > 第9章 虚拟局域网(VLAN)
第9章虚拟局域网(VLAN)学习目标:•VLAN简介1、在纯交换式网络中,通过创建虚拟局域网(VLAN)可以隔离广播域。VLAN是两个部分的逻辑组合:①网络用户②在管理上连接到交换机所定义端口资源2、VLAN简化网络管理的方式:①通过将某个端口配置到合适的VLAN中,就可以实现网络的添加、移动和改变②将对安全性要求高的一组用户放入VLAN中,这样VLAN外部的用户就无法与它们通信③作为功能上的逻辑用户组,VLAN独立于它们的物理位置或地理位置④VLAN可以增加网络安全性⑤VLAN增加了广播域的数量,减小了广播域的范围3、VLAN的特性⑴广播域的控制每种协议都会产生广播域,产生广播域的频度取决于:①协议类型②运行在互联网上的应用程序③怎样使用这些服务⑵安全性⑶灵活性和可扩展性4、VLAN成员关系⑴静态VLAN:将交换机端口分配到每个VLAN中,是常用的方法。静态VLAN是最安全的,容易设置和监控,根据VLAN成员关系手工配置每个交换机端口。⑵动态VLAN:基于MAC地址、协议甚至应用程序创建VLAN。⑶VLAN的识别交换机端口是第2层接口,与物理端口相联系。如果交换机端口是访问端口,那么它只能属于某一个VLAN;如果交换机端口是中继端口,那么它将属于所有VLAN。①访问端口:只能属于某一个VLAN,只能承载某一个VLAN流量,流量只以本机格式接收和发送,不会带有VLAN标记。②语音访问端口:交换机允许向交换机上的访问端口添加第二个VLAN,以传送语音流量,称为语音VLAN,又称为辅助VLAN,它将被覆盖在数据VLAN之上,使得两种类型的流量能够通过同一个端口进行传送。③中继端口:中继链路是两台交换机之间的点对点链路,也可以是交换机与路由器之间的或者是交换机与服务器之间的链路,能够承载多个VLAN的通信量。中继可以使单个端口同时成为多个不同VLAN的一部分。⑷帧标记不同VLAN的主机跨越多台交换机的工作原理:接收到帧的每台交换机必须首先识别帧标记中的VLANID,然后通过查看过滤表中的信息,就知道该对帧进行哪些处理,如果接收到帧的交换机有另一条中继链路,帧就从中继链路端口转发出去。中继端口同时支持有标记的和非标记的流量,对于非标记的流量要穿越的VLAN,中继端口将被分配一个默认的端口VLANID,这种VLAN也称为本机VLAN,默认时,始终是VLAN1⑸VLAN识别方法①交换机间链路(ISL):是一种在以太网帧上显式地标记VLAN信息的方法,通过一种外部封装方法(ISL),这种标记信息允许VLAN在中继链路上实现多路复用,从而允许交换机在中继链路上识别出帧的VLAN成员关系。运行ISL可将多台交换机互联起来,流量在交换机之间的中继链路上传送时,仍然维持VLAN信息,ISL在第2层起作用,并用新的报头和循环冗余校验(CRC)对数据帧进行封装。ISL是Cisco交换机的专用方法。②IEEE802.1Q:由IEEE创建,作为帧标记的标准方法,在帧中插入一个字段,以表示VLAN。原理是:首先指定准备采用802.1q封装来实现中继的每个端口,必须为端口分配特定的VLANID,使它们称为本机VLAN,以便它们通信。属于同一个中继链路的端口所创建的工作组成为本机VLAN,每个端口用反映本机VLAN的标识号作为标记,默认为VLAN1,本机VLAN允许中继链路传送所接收到的没有任何VLAN标记或帧标记信息。⑹VLAN中继协议(VTP)VTP的基本目标是跨越交换式互联网络管理所有已经配置好的VLAN,并在那个网络上维护其一致性,VTP允许管理员对VLAN进行添加、删除和更名,并将这些信息传播到VTP域中的所有其他交换机上。VTP的好处:①在网络中所有的交换机上实现VLAN配置一致性②允许VLAN在混合式网络中实现中继链路③VLAN精确跟踪和监控④将所添加的VLAN动态报告给VTP域中的所有交换机⑤添加VLAN时的即插即用对于VTP在交换机之间传送VLAN信息,要求是:①两台交换机的VTP管理域名必须设置为一样②其中一台交换机必须配置为VTP服务器③不需要路由6、VTP操作模式①服务器:默认模式②客户机:接收VTP服务器信息,发送和接收更新。③透明:不参与VTP域的工作,不与其他交换机共享VLAN数据库,仍然将通过任何已经配置好的中继链路转发VTP通告。7、VTP修剪VTP提供一种方式来保存带宽,通过配置它来减小广播、组播和单播的数量,VTP修剪只将广播发送到真正需要该信息的中继链路上。VTP修剪的命令:Switch#showinterfacetrunkPortModeEncapsulationStatusNativevlanFa0/1on802.1qtrunking1Fa0/2on802.1qtrunking1PortVlansallowedontrunkFa0/11-1005Fa0/21-1005PortVlansallowedandactiveinmanagementdomainFa0/11Fa0/21PortVlansinspanningtreeforwardingstateandnotprunedFa0/11Fa0/21Switch(config-if)#switchporttrunkpruningvlanID8、VLAN之间的路由单臂路由的配置9、配置VLANSwitch(config)#vlan?1-1005ISLVLANIDs1-1005Switch(config)#vlanIDSwitch(config-vlan)#name名称10、将交换机端口分配到VLANSwitch(config)#interfacef0/1Switch(config-if)#switchportaccessvlan1010、配置中继端口Switch(config)#interfacef0/2Switch(config-if)#switchportmodetrunk11、在3560交换机上配置中继Switch(config)#interfacef0/1Switch(config-if)#switchporttrunkencapsulationdot1q12、在中继端口上定义允许的VLANSwitch(config)#interfacef0/10Switch(config-if)#switchporttrunk?allowedSetallowedVLANcharacteristicswheninterfaceisintrunkingmodenativeSettrunkingnativecharacteristicswheninterfaceisintrunkingmodeSwitch(config-if)#switchporttrunkallowed?vlanSetallowedVLANswheninterfaceisintrunkingmodeSwitch(config-if)#switchporttrunkallowedvlan?WORDVLANIDsoftheallowedVLANswhenthisportisintrunkingmodeaddaddVLANstothecurrentlistallallVLANsexceptallVLANsexceptthefollowingnonenoVLANsremoveremoveVLANsfromthecurrentlistSwitch(config-if)#switchporttrunkallowedvlanall13、变更或修改中继端口本机VLANSwitch(config)#interfacef0/10Switch(config-if)#switchporttrunknativevlanID14、配置VLAN之间的路由15、配置VTP⑴VTP服务器端Switch(config)#vtpmodeserverDevicemodealreadyVTPSERVER.Switch(config)#vtpdomain123ChangingVTPdomainnamefromNULLto123Switch(config)#vtppasswordtoddSettingdeviceVLANdatabasepasswordtotodd⑵VTP客户端配置Switch(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.Switch(config)#vtpdomain123Domainnamealreadysetto123Switch(config)#vtppasswordtoddSettingdeviceVLANdatabasepasswordtotodd⑶查看命令:showvlanbrief16、VTP故障排除二层交换机、三层交换机和多层交换机⑴交换(Switch)是在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。⑴路由器或者三层交换机的路由模块使用三层交换路由数据包,二层交换机使用二层交换转发数据帧。⑵二层交换是基于MAC地址的,三层交换是基于网络层地址。⑶二层交换机通过读取封装数据帧头理的目的MAC地址,了解该数据帧所要去的物理位置,然后通过和MAC地址表里的条目对比,找到该数据帧所要被发送去的端口或接口,将它转发。交换机向所有端口发送相同数据帧的操作叫“洪泛”。⒉二层交换机、三层交换机和多层交换机⑴二层交换机的特点:①基于硬件的交换。②线速转发的能力。③良好的可扩展性。④低反应时间。⑤低开销。⑥使用MAC地址作为转发数据帧的依据。⑵三层交换机的特点:①基于硬件的数据包路由能力。②高性能的包交换能力。③优秀的可扩展性。④低反应时间。⑤更低的端口开销。⑥流量统计。⑦提供网络安全。⑧提供QOS。项目背景某公司计划建设自己的内部局域网络,希望通过这个新建的网络,提供一个可靠、可扩展、高效的内部网络环境,将同一个部门的两个办公地点连接到一起,使公司内能够方便快捷互相访问,实现网络资源共享、信息传递等目标,网络必须具备如下的特性:1、采用先进的网络通信技术完成公司网络的建设,连接不同办公地点2、在整个公司网络内控制广播域的范围3、在整个公司内部实现资源共享项目背景介绍该公司的具体环境如下:1、公司内部具有2个办公地点2、公司具有的3个部门,业务部、财务部、技术部为主要的办公场所,因此这部分的交换网络对可用性和可靠性要求较高3、办事处只有较少办公人员,但需要公司的内网互相访问的能力4、公司内部使用私网地址项目需求•在接入层采用二层交换机,并且要采取一定方式分隔广播域•核心交换机采用高性能的三层交换机,接入层交换机分别通过1条上行链路连接到三层交换机,由三层交换机实现VLAN之间的路由•2台二层交换机之间分布在两个不同的办公地点。•接入交换机上实现对VLAN的分配,将广播域控制在一个部门实验拓扑SW-A:VLAN10:192.168.10.1/24VLAN20:192.168.20.1/24VLAN30:192.168.30.1/24VLAN10VLAN20业务部财务部VLAN30技术部SW-1SW-AVLAN10VLAN20业务部财务部VLAN30技术部SW-2F0/23F0/24F0/1F0/1项目需求分析•需求一–在接入层采用二层交换机,并且要采取一定方式分隔广播域•分析一–在接入层交换机上划分VLAN可以实现对广播域的分隔–划分业务部VLAN10、财务部VLAN20、技术部VLAN30,并分配接口VLAN10VLAN20业务部财务部VLAN30综合部SW-1项目需求分析•需求二–核心交换机采用高性能的三层交换机,接入层交换机分别通过1条上行链路连接到核心交换机,由三层交换机实现VLAN之间的路由•分析二–交换机之间的链路配置为Trunk链路–三层交换机上采用SVI方式(switchvirtualinterface)实现VLAN之间的路由VLAN10VLAN20业务部财务部VLAN30综合部SW-1SW-A项目实施步骤•在核心交换机(S3750)与接
本文标题:第9章 虚拟局域网(VLAN)
链接地址:https://www.777doc.com/doc-3774575 .html