vlan技术与交换机配置

电子信息工程系网络教研室电子信息工程系网络教研室第二层交换式网络的缺点与划分VLAN的好处教学内容：交换机的基本配置教学准备：教材、课件目的与要求：了解交换机的基本配置过程重点：交换机的命令行操作模式的掌握教学方法：讲授、演示电子信息工程系网络教研室3.1第二层交换式网络的缺点与划分VLAN的好处使用网桥或未划分VLAN的交换机做集中设备的网络，称为第二层交换式网络。第二层交换式网络存在许多缺点，用户与带宽管理功能不强。1.1第二层交换式网络的缺点与VLAN技术第二层交换式网络存在如下缺点：a.全网属于一个广播域，每一次广播的数据帧无论是否需要，b.都会到达网络中的所有设备，这就必然会造成带宽资源的极大浪费。b.全网属于一个广播域，极易引起广播碰撞和广播风暴等问题。c.网络的安全性不够高。在这种网络结构中，所有用户都可以监听到服务器以及其他设备端口发出的数据包，因此是极不安全的。电子信息工程系网络教研室一个简单的第二层交换式网络如图3.1所示。图3.1第二层交换式网络事实上，集线器和通常意义下的网桥在现在的网络组建中已基本不用，而代之以交换机。为了解决上述问题，提高网络的效率与可操作性，在交换机中引入了VLAN技术。电子信息工程系网络教研室VLAN允许一组不限物理位置的用户群共享一个独立的广播域，可在一个物理网络中划分多个VLAN，即可使得不同的用户群属于不同的广播域。这样，通过划分用户群，控制广播范围等方式，VLAN技术能够从根本上解决网络效率与安全性等问题。VLAN对广播域的划分是通过交换机软件完成的。它通过对用户分类来规划自己的用户群。如按项目组、部门或管理权限等来进行VLAN划分。划分VLAN时能够超越地域的界限，做到真正意义上的逻辑分组。在划分VLAN的交换机上，每个端口都能被赋予一个VLAN号，只有那些相同VLAN号的用户才同属于一个独立的广播域。广播被限制在各自的VLAN之内。因此，VLAN能够最大限度地控制广播的影响范围以及减少由于共享介质所造成的安全隐患。电子信息工程系网络教研室。。图中Client1和Client3属于VLAN1，图3.2划分VLAN后的网络Client2和Client4属于VLAN2。VLAN1和VLAN2的数据帧和广播帧都不能直接到达对方的区域，彼此的访问需通过路由器来实现。图中还可看到计算机虽然所处的物理位置不同，但却可以划归在同一个VLAN中。电子信息工程系网络教研室3.1.2划分VLAN的好处划分VLAN的好处如下：a.广播控制（BroadcastControl）通过将一个网络划分成多个VLAN（即多个广播域），可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。b.灵活性（Flexibility）VLAN技术能够在逻辑上将不同地理位置的计算机划分在同一个广播域内。而无VLAN技术时，在更改一台主机的所属组时，必须将此主机直接接到该组所在的交换机上。这样，VLAN可以非常灵活地添加或删除域内主机而不受主机物理位置的限制。这给网络管理带来了极大的方便，如对网络流量的均衡性（Scalability）控制就很容易实现了。c.安全性（Security）不同VLAN之间是不能够直接相互访问的。因此，按职责权限把用户(主机)划归在不同的VLAN里，就可使得各自的内部信息得到保护，从而增强了安全性。电子信息工程系网络教研室3.1虚拟局域网简介虚拟局域网（VirtualLocalAreaNetwork）通常简称为VLAN。它是将局域网从逻辑上划分为一个个的网段，从而实现虚拟工作组的一种交换技术。使用集线器或交换机所构成的一个物理局域网，整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧，因此任何一个广播帧或多播帧（MulticastFrame）都将被广播到整个局域网中的每一台主机。在网络通讯中，广播信息是普遍存在的，这些广播帧将占用大量的网络带宽，导致网络速度和通讯效率的下降，并额外增加了网络主机为处理广播信息所产生的负荷。目前，蠕虫病毒相当泛滥，如果不对局域网进行有效的广播域隔离，一旦病毒发起泛洪广播攻击，将会很快占用完网络的带宽，导致网络的阻塞和瘫痪。电子信息工程系网络教研室路由器具有路由转发、防火墙和隔离广播的作用，路由器不会转发广播帧，因此，要实现对网络的分段和广播域的隔离，应使用路由器来实现。可以使用路由器上的以太网接口为单位来划分网段，从而实现对广播域的分割和隔离。路由器所能划分出的网段，取决于路由器上以太网接口的数目，但通常情况下，路由器所带的以太网接口数量很少，一般为1~4个，远远不能满足对网络分段的需要，而交换机则配备有较多的以太网端口，为了实现利用交换机端口来对网络进行分段隔离，从而诞生了VLAN交换技术。一个VLAN就是一个网段，通过在交换机上划分VLAN，可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能进行直接通信的，从而就实现了对广播域的分割和隔离。电子信息工程系网络教研室若要实现VLAN间的通讯，就必须为VLAN设置路由，这可使用路由器或三层交换机来实现。二层交换机可以划分VLAN，若没有路由器，则无法实现VLAN间的通讯，由于三层交换机具备路由功能，在实际应用中，通常在三层交换机中来划分VLAN，以支持VLAN间的相互通讯。从中可见，通过在局域网中划分VLAN，可起到以下方面的作用：控制网络的广播，增加广播域的数量，减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组，不受任何物理连接的限制，同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，增加了网络连接、组网和管理的灵活性。电子信息工程系网络教研室增加网络的安全性。由于默认情况下，VLAN间是相互隔离的，不能直接通讯，对于保密性要求较高的部门，比如财务处，可将其划分在一个VLAN中，这样，其他VLAN中的用户，将不能访问该VLAN中的主机，从而起到了隔离作用，并提高了VLAN中用户的安全性。VLAN间的通讯，可通过应用VLAN的访问控制列表，来实现VLAN间的安全通讯。电子信息工程系网络教研室3.2静态VLAN与动态VLANVLAN创建后，接下来就可指定端口所属的VLAN，默认情况下，交换机的所有端口均属于VLAN1，VLAN1是交换机默认创建和管理的VLAN。1．静态VLAN静态VLAN就是明确指定各端口所属VLAN的设定方法，通常也称为基于端口的VLAN，其特点是将交换机按端口进行分组，每一组定义为一个VLAN，属于同一个VLAN的端口，可来自一台交换机，也可来自多台交换机，即可以跨越多台交换机设置VLAN。基于端口的VLAN划分如下图所示。电子信息工程系网络教研室静态指定各端口所属的VLAN，需要一个端口一个端口地进行设置，当要设定的端口数目较多时，工作量会比较大，通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。2．动态VLAN动态VLAN是根据每个端口所连的计算机，动态设置端口所属VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。基于MAC地址的VLAN，就是根据端口所连计算机的网卡MAC地址，来决定该端口所属的VLAN。在这种方式下，端口所属的VLAN，不是事先固定的，而是由所连计算机的MAC地址来决定的。比如，若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2，则该台计算机无论接到交换机的哪个端口，其所连端口就会被自动划归为VLAN2。基于子网的VLAN，是根据端口所连计算机的IP地址，来决定端口所属的VLAN。基于用户的VLAN，是根据端口所连计算机的当前登录用户，来决定该端口所属的LAN。电子信息工程系网络教研室3.3VLAN的汇聚链接与封装协议在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。跨越多台交换机的VLAN电子信息工程系网络教研室VLAN内的主机彼此间应可以自由通讯，当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通讯呢？解决的办法就是在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示。VLAN内的主机在交换机间的通讯电子信息工程系网络教研室这种方法虽然解决了VLAN内主机间的跨交换机通讯，但每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，这对保贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差。为了避免这种低效率的连接方式和对交换机端口的大量占用，人们想办法让交换机间的互联链路汇集到一条链路上，让该链路允许各个VLAN的通讯流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通讯的链路，称为交换机的汇聚链路或主干链路（TrunkLink），如下图所示。用于提供汇聚链路的端口，称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量，因此要求只有通讯速度在100Mbps或以上的端口，才能作为汇聚端口使用。电子信息工程系网络教研室在引入VLAN后，交换机的端口按用途就分为了访问连接端口（AccessLink）和汇聚连接（TrunkLink）端口两种。访问连接端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作nativevlan。汇聚连接端口属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。利用汇聚链路实现各VLAN内主机跨交换机的通讯电子信息工程系网络教研室由于汇聚链路承载了所有VLAN的通讯流量，为了标识各数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的数据帧进行打标（tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。目前交换机支持的打标封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议，属于国际标准协议，适用于各个厂商生产的交换机，该协议通常也简称为dot1q。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”和“类别域（TypeField）”之间，所添加的内容为2字节的TPID和2字节的TCI，共计4个字节，其对数帧的封装过程如下图所示。电子信息工程系网络教研室IEEE802.1Q协议对数据帧的打标封装电子信息工程系网络教研室ISL是InterSwitchLink的缩写，是Cisco系列交换机支持的一种与IEEE802.1Q类似的，用于在汇聚链路上附加VLAN信息的协议，可用于以太网和令牌环网。ISL对数据帧进行打标封装时，采取在数据帧的头部附加26字节的ISL包头（ISLHeader），并且在数据帧的尾部带上对包括ISL包头在内的整个数据帧进行计算后得到的4字节的CRC值，即ISL协议保留数据帧原来的CRC，然后再附加上一个新的CRC，即封装时总共增加了30个字节的信息。当数据帧离开汇聚链路时，ISL只需简单地去除ISL包头和新CRC就可以了，由于数据帧原来的CRC被完整保留，因此无需重新计算。大多数Cisco设备都支持ISL。ISL与IEEE802.1Q协议互不兼容，ISL是Cisco独有的协议，只能用于Cisco网络设备之间的互联。电子信息工程系网络教研室跨交换机VLAN配置我们先来看一个跨交换机的实例假设某企业有两个部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，他们之间需要互相进行通讯，但是为了数据安全起见，销售部和技术