VLAN培训V2.0

WirelessCurriculumDevelopmentSectionISSUEVLAN原理及问题分析1.02ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal引入VLAN（VirtualLocalAreaNetwork），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。3ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal学习目标了解VLAN产生背景掌握VLAN协议掌握VLAN动态注册协议掌握VLAN配置掌握VLAN的几个新特性学习完本课程，您应该能够：4ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal课程内容第一节虚拟局域网概述第二节IEEE802.1Q协议第三节VLAN注册协议第四节VLAN的配置第五节VLAN其他特性5ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalVLAN的产生原因－广播风暴……广播6ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal通过路由器将网络分段……广播路由器7ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal通过VLAN划分广播域广播域1VLAN10广播域2VLAN20广播域3VLAN30市场部工程部财务部8ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal课程内容第一节虚拟局域网概述第二节IEEE802.1Q协议第三节VLAN注册协议第四节VLAN的配置第五节VLAN的其他特性9ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalIEEE802.1Q概述10ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalVLAN的帧格式DASATypeDataCRC标准以太网帧DASATypeDataCRCtagTPIDPriorityCFIVLANIDTCI带有IEEE802.1Q标记的以太网帧11ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal基于端口的VLAN主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port1012ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal基于MAC地址的VLANVLAN表MAC地址所属VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主机A主机B主机C主机D以太网交换机MACAMACBMACCMACD13ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal基于协议的VLANVLAN表协议类型所属VLANIPX协议IP协议……VLAN5VLAN10……主机A主机B主机C主机D以太网交换机使用IPX协议运行IP协议使用IPX协议运行IP协议14ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal基于子网的VLANVLAN表IP网络所属VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主机A主机B主机C主机D以太网交换机1.1.1.51.1.2.881.1.1.81.1.2.9915ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalAccessLink和TrunkLink接入链路干道链路16ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal端口对接收报文的处理收报文：Acess端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID，并进行交换转发4、直接丢弃（缺省）trunk端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID，并进行交换转发4、判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃hybrid端口：1、收到一个报文2、判断是否有VLAN信息：如果没有则转到第3步，否则转到第4步3、打上端口的PVID，并进行交换转发4、判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃17ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal端口对发送报文的处理发报文：Acess端口：1、将报文的VLAN信息剥离，直接发送出去trunk端口：1、比较端口的PVID和将要发送报文的VLAN信息2、如果两者相等则转到第3步，否则转到第4步3、剥离VLAN信息，再发送4、直接发送hybrid端口：1、判断该VLAN在本端口的属性（dispinterface即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则转到第3步，如果是tag则转到第4步3、剥离VLAN信息，再发送4、直接发送18ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal帧在网络通信中的变化VLAN2VLAN1VLAN1VLAN2带有VLAN1标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧19ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalTrunklink和VLANVLAN1VLAN2VLAN1VLAN3VLAN2VLAN1VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLink20ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal课程内容第一节虚拟局域网概述第二节IEEE802.1Q协议第三节VLAN注册协议第四节VLAN的配置第五节VLAN的其他特性21ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalGARP基础属性声明和注册属性声明和注册GARP报文上图：GARP模型右图：GARP工作过程a:表示某个需要注册的属性A：对这个属性的声明属性会通过GARP“声明－注册－声明”的过程传播到整个网络中22ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:InternalGVRP裁减VLAN1VLAN2VLAN1VLAN1VLAN2VLAN1ABABGVRP实体GVRP实体trunktrunk由于对端只有VLAN1，GVRP协议配置该Trunk链路只传送VLAN1的报文对端新增VLAN2，GVRP协议动态注册VLAN2信息，同时自动配置Trunk链路，允许Trunk链路传送VLAN1和VLAN2的报文VLAN2新增VLAN2的端口23ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal课程内容第一节虚拟局域网概述第二节IEEE802.1Q协议第三节VLAN注册协议第四节VLAN的配置第五节VLAN的其他特性24ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal进入VLAN视图及创建/剔除VLAN用途：进入vlan视图，如果指定的vlan没有创建则先创建它[lanswitch]vlanvlan_idundovlan：剔除已创建的vlan25ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal给VLAN指定端口用途：给指定vlan增加/剔除以太网接口命令格式：portinterface_listundoportinterface_list参数含义：interface_list：由端口类型和端口序号组成；端口序号由槽号和端口号的二元组组成，如果是百兆口，则槽号为0，端口号取值范围为1～24；如果是千兆口，则槽号为1或2，端口号取值为1。26ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal给端口指定VLAN用途：给指定vlan增加/剔除以太网接口命令格式：portaccessvlanvlan-idUndoportaccessvlanvlan-id参数说明：vlan-id：VLAN接口的ID，取值范围为1～4094。27ConfidentialInformationofHuawei.NoSpreadingwithoutPermission.SecurityLevel:Internal设置/取消端口为VLANTrunk用途：打开/关闭以太网接口的vlantrunk功能，基于IEEE802.1Q标准命令格式：portlink-type{access|trunk