IT架構(gòu)設(shè)計(jì)和VLAN技術(shù)分享.ppt

IT架構(gòu)設(shè)計(jì)和VLAN技術(shù)分享,Sep,2011 人力資源部信息處 王俊,一、基礎(chǔ)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 二、VLAN技術(shù) 三、VLAN配置實(shí)驗(yàn),層次化的網(wǎng)絡(luò)模型,核心層 網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。 推薦： S9500E/S7500E，能夠提供大容量的轉(zhuǎn)發(fā)能力，豐富的業(yè)務(wù)擴(kuò)展性。 匯聚層 對(duì)接入設(shè)備進(jìn)行初步的匯聚，應(yīng)該能夠承載企業(yè)園區(qū)的多種融合業(yè)務(wù)。 推薦：S7500E/S5800/S5500，能夠提供豐富的業(yè)務(wù)擴(kuò)展能力，可以在匯聚層實(shí)現(xiàn)初步的業(yè)務(wù)管理。 接入層 提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)單的二、三層交換，能夠提供相應(yīng)的安全、QoS等業(yè)務(wù)能力。 推薦：S5100/S3100，可以提供高密度的千兆/百兆接入能力，同時(shí)支持arp防攻擊等安全業(yè)務(wù)的部署。,核心層,匯聚層,接入層,采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，通過(guò)接入、匯聚、核心三層的組網(wǎng)模式， 不同層次關(guān)注不同的特性配置。,.,CCNA 模型一,模型一適用于不超過(guò)100個(gè)節(jié)點(diǎn)的小型網(wǎng)絡(luò)。 思科交換機(jī)推薦型號(hào)： 匯聚層交換機(jī) ：Cisco Catalyst 3750-X Series Switches 接入層交換機(jī)：Cisco Catalyst 2960 Series Switches H3C交換機(jī)推薦型號(hào)： 匯聚層交換機(jī)：H3C S5500系列以太網(wǎng)交換機(jī) 接入層交換機(jī)：H3C S3100 系列以太網(wǎng)交換機(jī)或H3C S1626-PWR,CCNA 模型二,思科交換機(jī)推薦型號(hào)： 匯聚層交換機(jī) ：Cisco Catalyst 4500E Series Switches 接入層交換機(jī)：Cisco Catalyst 2960 Series Switches H3C交換機(jī)推薦型號(hào)： 匯聚層交換機(jī)：H3C S7500E系列以太網(wǎng)交換機(jī) 接入層交換機(jī)：H3C S3100 系列以太網(wǎng)交換機(jī),CCNP 模型一,CCNP 模型二,CCIE 模型,H3C交換機(jī)產(chǎn)品選型和定位,VLAN技術(shù)內(nèi)容介紹,第1章 VLAN概述 第2章 VLAN的配置與實(shí)現(xiàn) 第3章 以太網(wǎng)鏈路聚合 第4章 VLAN路由,第1章 VLAN概述 1.1 VLAN的產(chǎn)生原因 1.2 VLAN的劃分方法,內(nèi)容介紹,廣 播 域,VLAN的產(chǎn)生原因廣播風(fēng)暴,廣播,廣播域,廣播域,通過(guò)路由器將網(wǎng)絡(luò)分段,廣播,廣播域,廣播域,通過(guò)VLAN劃分廣播域,廣播,Port 1 : VLAN-1,Port 2 : VLAN-2,VLAN的優(yōu)點(diǎn),相對(duì)與傳統(tǒng)的LAN技術(shù)，VLAN具有如下優(yōu)勢(shì)： 隔離廣播域，抑制廣播報(bào)文. 減少移動(dòng)和改變的代價(jià) 創(chuàng)建虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式 增強(qiáng)通訊的安全性 增強(qiáng)網(wǎng)絡(luò)的健壯性,第1章 VLAN概述 1.1 VLAN的產(chǎn)生原因 1.2 VLAN的劃分方法,內(nèi)容介紹,VLAN的劃分方法基于端口的VLAN,主機(jī)A,主機(jī)B,主機(jī)C,主機(jī)D,VLAN表,Port 1,Port 2,Port 7,Port 10,VLAN的劃分方法 基于MAC地址的VLAN,VLAN表,主機(jī)A,主機(jī)B,主機(jī)C,主機(jī)D,VLAN的劃分方法基于協(xié)議的VLAN,VLAN表,主機(jī)A,主機(jī)B,主機(jī)C,主機(jī)D,VLAN的劃分方法基于子網(wǎng)的VLAN,VLAN表,主機(jī)A,主機(jī)B,主機(jī)C,主機(jī)D,小結(jié),VLAN的優(yōu)點(diǎn)？ VLAN的劃分方法？,第1章 VLAN概述 第2章 VLAN的配置與實(shí)現(xiàn) 第3章 以太網(wǎng)鏈路聚合 第4章 VLAN路由,內(nèi)容介紹,第2章 VLAN的配置與實(shí)現(xiàn) 2.1 VLAN鏈路類型 2.2 VLAN標(biāo)簽 2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā),內(nèi)容介紹,VLAN的可跨越性,VLAN 3,VLAN 5,VLAN 3,VLAN 5,VLAN數(shù)據(jù)可以跨越多臺(tái)交換機(jī)被轉(zhuǎn)遞,SWA,SWB,VLAN的鏈路類型,接入鏈路 Access-Link,干道鏈路 Trunk-Link,SWA,SWB,以太網(wǎng)交換機(jī)的端口分類,Access端口： 一般用于接用戶計(jì)算機(jī)的端口，access端口只能屬于1個(gè)VLAN。 Trunk端口： 一般用于交換機(jī)之間連接的端口，trunk端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文。 Hybrid端口： 可以用于交換機(jī)之間連接，也可以用于接用戶的計(jì)算機(jī)，hybrid端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文。,端口的缺省ID（PVID）,Access端口只屬于一個(gè)VLAN，所以它的缺省ID就是它所在的VLAN，不用設(shè)置。 Hybrid端口和Trunk端口屬于多個(gè)VLAN， 所以需要設(shè)置缺省VLAN ID，缺省情況下為VLAN 1。,Access-Link配置,默認(rèn)情況下，交換機(jī)所有端口都是Access-Link端口，并屬于VLAN-1，即PVID (Port VLAN ID)為1,Port-0/1 : VLAN-3,Port-0/2 : VLAN-5,配置端口類型 Switch-Ethernet0/1port link-type access Switch-Ethernet0/2port link-type access 創(chuàng)建VLAN，并向VLAN中添加端口 Switchvlan 3 Switch-vlan1port ethernet 0/1 Switchvlan 5 Switch-vlan2port ethernet 0/2 另外的一種向VLAN中添加端口的方法 Switch-Ethernet0/1port access vlan 3 Switch-Ethernet0/2port access vlan 5,SWA,Trunk-Link配置,負(fù)責(zé)傳輸多個(gè)VLAN的數(shù)據(jù) Trunk-Link端口PVID默認(rèn)為1,配置端口類型 Switch-Ethernet0/3port link-type trunk 配置Trunk-Link所允許傳遞的VLAN Switch-Ethernet0/3port trunk permit vlan all 配置Trunk-Link端口PVID Switch-Ethernet0/3port trunk pvid vlan 1,SWA,SWB,第2章 VLAN的配置與實(shí)現(xiàn) 2.1 VLAN鏈路類型 2.2 VLAN標(biāo)簽 2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā),內(nèi)容介紹,IEEE802.1Q概述,VLAN架構(gòu),VLAN提供的服務(wù),VLAN涉及的協(xié)議和算法,IEEE 802.1Q,VLAN的幀格式,標(biāo)準(zhǔn)以太網(wǎng)幀,帶有IEEE802.1Q標(biāo)記的以太網(wǎng)幀,第2章 VLAN的配置與實(shí)現(xiàn) 2.1 VLAN鏈路類型 2.2 VLAN標(biāo)簽 2.3 VLAN數(shù)據(jù)轉(zhuǎn)發(fā),內(nèi)容介紹,802.1Q的轉(zhuǎn)發(fā)原則Access-Link,當(dāng)Access端口收到幀時(shí) 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，交換機(jī)不作處理，直接丟棄。 當(dāng)Access端口發(fā)送幀時(shí) 剝離802.1Q tag header，發(fā)出的幀為普通以太網(wǎng)幀,Trunk,802.1Q的轉(zhuǎn)發(fā)原則Trunk-Link,當(dāng)Trunk端口收到幀時(shí) 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。 當(dāng)Trunk端口發(fā)送幀時(shí) 當(dāng)該幀的VLAN ID與端口的PVID不同時(shí)，直接透?jìng)鳎划?dāng)該幀的VLAN ID與端口的PVID相同時(shí)，則剝離802.1Q tag header,發(fā)送方向,Trunk,802.1Q的轉(zhuǎn)發(fā)原則Hybird-Link,當(dāng)Hybird端口收到幀時(shí) 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。 當(dāng)Hybird端口發(fā)送幀時(shí) 判斷VLAN在本端口的屬性。用“dis interface”可看到該端口對(duì)哪些 VLAN是untag，哪些VLAN是tag，如果是untag則剝離802.1Q tag header 再發(fā)送，如果是tag則直接透?jìng)鳌?VLAN-2,幀在網(wǎng)絡(luò)通信中的變化,SWA,SWB,VLAN 2,交換機(jī)單播報(bào)文轉(zhuǎn)發(fā)機(jī)制,交換機(jī)的報(bào)文轉(zhuǎn)發(fā)機(jī)制分兩種：SVL和IVL SVL：Shared VLAN learning，共享式VLAN學(xué)習(xí)。在這種方式下，MAC地址在整張表中是唯一的，一個(gè)MAC地址在地址表中只能有一條記錄，一個(gè)MAC只能被學(xué)習(xí)到一個(gè)端口上。 IVL：Independent VLAN learning，獨(dú)立式VLAN學(xué)習(xí)。在這種方式下，MAC地址表在邏輯上可以被看成根據(jù)VLAN信息分成了很多張表，一個(gè)MAC地址可學(xué)習(xí)到不同VLAN對(duì)應(yīng)的“地址表”上。,小結(jié),VLAN的端口分類有多少種？ VLAN數(shù)據(jù)幀與標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀有什么區(qū)別？ 當(dāng)Trunk端口收到一個(gè)沒(méi)有打標(biāo)簽的數(shù)據(jù)幀時(shí)會(huì)怎么辦？,第1章 VLAN概述 第2章 VLAN的配置與實(shí)現(xiàn) 第3章 以太網(wǎng)鏈路聚合 第4章 VLAN路由,內(nèi)容介紹,第3章 以太網(wǎng)鏈路聚合 3.1 鏈路聚合的基本概念 3.2 LACP 3.3 鏈路聚合的方式,內(nèi)容介紹,鏈路聚合 （Link Aggregation），也稱為端口捆綁、端口聚集或鏈路聚集，鏈路聚合是將多個(gè)端口聚合在一起形成1個(gè)匯聚組，以實(shí)現(xiàn)出/入負(fù)荷在各成員端口中的分擔(dān)。從外面看起來(lái)，1個(gè)匯聚組好象就是1個(gè)端口。 使用鏈路匯聚服務(wù)的上層實(shí)體把同一聚合組內(nèi)多條物理鏈路視為一條邏輯鏈路 鏈路聚合在數(shù)據(jù)鏈路層上實(shí)現(xiàn),鏈路聚合的概念,鏈路聚合的基本概念,鏈路聚合的基本概念,提高鏈路帶寬 流量負(fù)荷分擔(dān) 提高可靠性：同組成員彼此動(dòng)態(tài)備份,鏈路聚合的優(yōu)點(diǎn),traffic,聚合鏈路兩端的物理參數(shù)必須保持一致 進(jìn)行聚合的鏈路的數(shù)目 進(jìn)行聚合的鏈路的速率 進(jìn)行聚合的鏈路的雙工方式 聚合鏈路兩端的邏輯參數(shù)必須保持一致 同一個(gè)匯聚組中端口的基本配置必須保持一致，基本配置主要包括STP、QoS、VLAN、端口等相關(guān)配置,鏈路聚合的限制條件,鏈路聚合的基本概念,第3章 以太網(wǎng)鏈路聚合 3.1 鏈路聚合的基本概念 3.2 LACP 3.3 鏈路聚合的方式,內(nèi)容介紹,LACP: Link Aggregation Control Protocol , 鏈路聚合控制協(xié)議（IEEE802.3ad） 。 為交換數(shù)據(jù)的設(shè)備提供一種標(biāo)準(zhǔn)的協(xié)商方式，供系統(tǒng)根據(jù)自身配置自動(dòng)形成聚合鏈路并啟動(dòng)聚合鏈路收發(fā)數(shù)據(jù)。聚合鏈路形成后，負(fù)責(zé)維護(hù)鏈路狀態(tài)，在聚合條件發(fā)生變化時(shí)，自動(dòng)調(diào)整或解散鏈路聚合。,LACP,LACP,LACP,LACP報(bào)文結(jié)構(gòu),系統(tǒng)通過(guò)交換協(xié)議報(bào)文實(shí)現(xiàn)自協(xié)商，報(bào)文中包含本系統(tǒng)的配置和當(dāng)前狀態(tài) 協(xié)議報(bào)文分事件觸發(fā)和周期發(fā)送兩種發(fā)送方式： 事件觸發(fā)本端狀態(tài)或配置變化等事件引發(fā)新協(xié)議報(bào)文的產(chǎn)生和發(fā)送 周期發(fā)送聚合鏈路穩(wěn)定工作時(shí)，系統(tǒng)間定時(shí)發(fā)送當(dāng)前狀態(tài)以維護(hù)聚合 協(xié)議報(bào)文不帶編號(hào)，因此雙方不采用檢測(cè)和重發(fā)丟失的協(xié)議報(bào)文，而是用定時(shí)器和周期發(fā)送機(jī)制來(lái)避免信息丟失 慢速協(xié)議：平均每秒發(fā)送的協(xié)議報(bào)文不超過(guò)5個(gè),LACP,協(xié)議特征,操作Key是在鏈路聚合時(shí)，LACP協(xié)議根據(jù)端口的配置（即速率、雙工、基本配置、管理Key）生成的一個(gè)配置組合 聚合關(guān)心的端口配置主要有： 端口速率 端口雙工特性 端口的硬件限制 端口的基本配置，包括VLAN, ACL, QOS, RSTP, MSTP, GVRP等 端口的KEY值包含在LACP報(bào)文中，參與聚合組的選擇。,LACP,KEY值計(jì)算,第3章 以太網(wǎng)鏈路聚合 3.1 鏈路聚合的基本概念 3.2 LACP 3.3 鏈路聚合的方式,內(nèi)容介紹,手工聚合 用戶配置聚合組號(hào)和端口成員，端口不運(yùn)行LACP 靜態(tài)聚合 用戶配置聚合聚合組號(hào)和端口成員，端口運(yùn)行LACP 動(dòng)態(tài)聚合 基于IEEE802.3ad的LACP 聚合組號(hào)根據(jù)協(xié)議自動(dòng)創(chuàng)建 聚合端口根據(jù)key值自動(dòng)匹配添加,鏈路聚合的方式,聚合方式,以下這些端口不能加入聚合組： 鏡像的監(jiān)控端口 鏡像的目的端口 配置了靜態(tài)MAC地址的端口 配置了靜態(tài)ARP的端口 使能802.1x的端口 POS端口 VPN端口等,鏈路聚合的方式,不能加入聚合組的端口,端口鏡像的作用和分類 鏈路聚合的原理和聚合類型,小結(jié),第1章 VLAN概述 第2章 VLAN的配置與實(shí)現(xiàn) 第3章 以太網(wǎng)鏈路聚合 第4章 VLAN路由,內(nèi)容介紹,第4章 VLAN路由 4.1 VLAN 路由原理 4.2 VLAN路由配置與實(shí)現(xiàn),內(nèi)容介紹,VLAN的缺點(diǎn),VLAN隔離了二層廣播域，也就嚴(yán)格地隔離了各個(gè)VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信。,Port 1,Port 2,VLAN互通的實(shí)現(xiàn)每個(gè)VLAN一個(gè)物理連接,在二層交換機(jī)上配置VLAN，每一個(gè)VLAN使用一條獨(dú)占的物理連接連接到路由器的一個(gè)接口上。,VLAN 100,VLAN 300,Ethernet2,Ethernet0,VLAN 200,Ethernet1,VLAN互通的實(shí)現(xiàn)使用VLAN Trunking,二層交換機(jī)上和路由器上配置他們之間相連的端口使用VLAN Trunking，使多個(gè)VLAN共享同一條物理連接到路由,VLAN 100,VLAN 300,VLAN 200,Trunk,Ethernet0.300,Ethernet0.200,Ethernet0.100,VLAN互通的實(shí)現(xiàn)交換和路由的集成,二層交換機(jī)和路由器在功能上的集成構(gòu)成了三層交換機(jī)，三層交換機(jī)在功能上實(shí)現(xiàn)了VLAN的劃分、VLAN內(nèi)部的二層交換和VLAN間路由的功能。,VLAN 300,二層交換機(jī),三層交換機(jī),三層交換機(jī)功能模型,10.110.0.113/24 GW:10.110.0.254,10.110.1.69/24 GW:10.110.1.254,10.110.1.88/24 GW:10.110.1.254,10.110.2.200/24 GW:10.110.2.254,VLAN100 10.110.0.254/24,VLAN200 10.110.1.254/24,VLAN300 10.110.2.254/24,第4章 VLAN路由 4.1 VLAN 路由原理 4.2 VLAN路由配置與實(shí)現(xiàn),內(nèi)容介紹,單臂路由配置交換機(jī)配置,SWAvlan 100 SWA-vlan100port ethernet 0/1 SWAvlan 200 SWA-vlan200port ethernet 0/2 SWAinterface ethernet 0/24 SWA-Ethernet0/24port link-type trunk SWA-Ethernet0/24port trunk permit vlan all,單臂路由配置路由器配置,RTAinterface ethernet 0/1.1 RTA-Ethernet0/1.1vlan dot1q vid 100 RTA-Ethernet0/1.1ip address 192.168.10.1 255.255.255.0 RTAinterface ethernet 0.1/2 RTA-Ethernet0/1.2vlan dot1q vid 200 RTA-Ethernet0/1.2ip address 192.168.20.1 255.255.255.0,三層交換機(jī)配置,VLAN 100,VLAN 200,IP:192.168.20.30 GW:192.168.20.1,IP:192.168.10.10 GW:192.168.10.1,Port 2,Port 1,SWA,三層交換機(jī)配置交換機(jī)配置,SWA,SWAinterface vlan-interface 100 SWA-Vlan-interface100ip add 192.168.10.1 255.255.255.0 SWAinterface vlan-interface 200 SWA-Vlan-interface200ip add 192.168.20.1 255.255.255.0,創(chuàng)建VLAN三層接口,小結(jié),VLAN路由的目的是什么？ 實(shí)現(xiàn)VLAN間的通信有多少種方法？,VLAN配置實(shí)驗(yàn),組網(wǎng)需求 某企業(yè)有很多部門，要求業(yè)務(wù)相同部門之間的員工可以互相訪問(wèn)，業(yè)務(wù)不同部門之間的 員工不能互相訪問(wèn)。 如圖1-4 所示，現(xiàn)需要實(shí)現(xiàn)： l 部門1、部門2 與部門3、部門4 互相隔離。 l 部門1 與部門2 可以互相訪問(wèn)。 l 部門3 與部門4 可以互相訪問(wèn)。 圖1-4 配置基于接口劃分VLAN 組網(wǎng)圖 GE0/0/1 GE0/0/2 GE0/0/3 GE0/0/4 Group 2 VLAN 3 Switch,配置基于接口劃分VLAN組網(wǎng)圖,配置思路 采用如下的思路配置VLAN： 1. 創(chuàng)建VLAN，規(guī)劃員工所屬的VLAN。 2. 配置端口屬性，確定設(shè)備連接對(duì)象。 3. 關(guān)聯(lián)端口和VLAN，將連接部門1 和部門2 的交換機(jī)端口劃分到VLAN2，將連接 部門3 和部門4 的交換機(jī)端口劃分到VLAN3，隔離部門1、部門2 和部門3、部門 4 間的訪問(wèn)。 數(shù)據(jù)準(zhǔn)備 為完成此配置例，需準(zhǔn)備如下的數(shù)據(jù)： l 接口GigabitEthernet0/0/1、GigabitEthernet0/0/2 屬于VLAN2。 l 接口GigabitEthernet0/0/3、GigabitEthernet0/0/4 屬于VLAN3,步驟1 配置Switch # 創(chuàng)建VLAN2。 system-view Quidway vlan 2 Quidway-vlan2 quit # 將接口GigabitEthernet0/0/1 的類型為Trunk，并加入到VLAN2 中。 Quidway interface gigabitethernet 0/0/1 Quidway-GigabitEthernet0/0/1 port link-type trunk Quidway-GigabitEthernet0/0/1 port trunk allow-pass vlan 2 Quidway-GigabitEthernet0/0/1 quit # 配置接口GigabitEthernet0/0/2 的類型為Trunk，并加入到VLAN2 中。 Quidwayinterface gigabitethernet 0/0/2 Quidway-Gigabi