交換與路由技術(shù)課件 第3章 VLAN技術(shù)

第八章IPv6技術(shù)01

VLAN概述02

VLAN工作原理與VLAN技術(shù)類型03

中繼鏈接與VLANTrunk協(xié)議CONTENT目錄04

VLAN通信05

VLAN的配置06

項目實驗

概述VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是比較普遍使用的邏輯網(wǎng)絡(luò)劃分技術(shù)，是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段，使得位于的物理位置不同的用戶根據(jù)業(yè)務(wù)需求進行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。鎖。3.1VLAN概述3.1.1VLAN的概念及意義對于一臺交換機而言，缺省情況下，它的所有接口都屬于同一個廣播域。所謂廣播域，指的是一個廣播數(shù)據(jù)所能到達的范圍。當多臺主機連接到同一臺交換機時，它們可以直接進行通信（只需配置相同的網(wǎng)段的IP地址），而且無需借助路由設(shè)備這種通信行為被稱為二層通信，由于這些主機同都屬于同一個廣播域，因此當其中一臺主機發(fā)出一份廣播數(shù)據(jù)時，連接在交換機上的其他所有主機都會收到這份數(shù)據(jù)的拷貝。當然，如果交換機在某個接口上接到目的MAC地址未知的單波數(shù)據(jù)幀會將這個數(shù)據(jù)中進行泛洪，如圖3-1所示，然而并非所有的主機都需要這些數(shù)據(jù)稱。此時對于他們而言，這些廣播幀或者MAC地址未知的單播幀實際上是增加了設(shè)備性能損耗，而且對于網(wǎng)絡(luò)帶寬而言也是一種浪費，設(shè)想一下。如果存在一個由許多二層交換機構(gòu)成的大型二層網(wǎng)絡(luò)，那么在這個大規(guī)模的廣播域中，一旦出現(xiàn)廣播幀或目的MAC地址未知的單播幀便將引發(fā)大量的泛紅現(xiàn)象，從而給該網(wǎng)絡(luò)帶來沉重的負擔。3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意義實際的網(wǎng)絡(luò)中經(jīng)常存在這樣的業(yè)務(wù)要求。某個企業(yè)由于人員較少，每個部門也只有幾個人，而用一臺交換機足以把所有人都能聯(lián)網(wǎng)，但是，由于不同的業(yè)務(wù)部門的數(shù)據(jù)有著不同安全性要求，所以用戶希望對每個部門進行隔離，并能夠提高網(wǎng)絡(luò)的性能，對廣播域進行隔離管理。那么網(wǎng)絡(luò)中就迫切的需要一種技術(shù)，一種能夠在交換機上實現(xiàn)二層隔離的技術(shù)。否則網(wǎng)絡(luò)管理員就不得不為不同的業(yè)務(wù)部門分配不同的交換機，并且搭配其他設(shè)備，從而實現(xiàn)二層隔離。當然，我們規(guī)劃一個網(wǎng)絡(luò)時，也需要關(guān)注網(wǎng)絡(luò)中廣播域的大小，因為只有對廣播域進行好的劃分，才能夠提升整個網(wǎng)絡(luò)的性能。所以，需要采用適當?shù)募夹g(shù)，將一個大的廣播域劃分為更小的范圍，3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意義路由器的每個三層接口連接著一個獨立的廣播域，因此在網(wǎng)絡(luò)中部署路由器確實可以起到隔離廣播的作用，畢竟一個廣播數(shù)據(jù)缺省時會被終結(jié)在路由器的三層接口上不會被透傳，然而路由器接口資源相對于交換機而言更為有限，而且增加模塊的成本會更高，再者為什么不能直接在交換機上實現(xiàn)廣播域的隔離或規(guī)劃呢？VLAN就是這樣的一個技術(shù)。它可以將一個物理上連成的LAN，在邏輯上，劃分成多個小的廣播域。3.1VLAN概述3.1.2VLAN的特征及優(yōu)點劃分VLAN是二層交換領(lǐng)域中，非常重要一種優(yōu)化技術(shù)，同時，也是學(xué)習(xí)網(wǎng)絡(luò)工程技術(shù)必須要掌握的非?；A(chǔ)的技術(shù)。通過給網(wǎng)絡(luò)進行VLAN的劃分，其能給網(wǎng)絡(luò)帶來很多好處，下面分別進行介紹：隔絕廣播當管理人員對交換機進行VLAN規(guī)劃與劃分后，連接交換機上所有端口的計算機發(fā)送的廣播數(shù)據(jù)都會被限制在其所屬于的VLAN內(nèi)。其他VLAN內(nèi)的計算機不會接收到該廣播信息，因此，采用VLAN技術(shù)，可以輕松、簡單的將一個大的廣播域劃分出成多個較小的廣播域，同樣，減少了泛洪對原來整個網(wǎng)絡(luò)帶來的帶寬資源的消耗以及降低設(shè)備性能。3.1VLAN概述3.1.2VLAN的特征及優(yōu)點提高網(wǎng)絡(luò)組件的靈活度管理人員采用VLAN技術(shù)對原網(wǎng)絡(luò)劃分，能將網(wǎng)絡(luò)設(shè)計及部署更具備靈活性，比如，同屬于一個部門或工作組的用戶，可以位于不同的地理位置，但他們的組網(wǎng)可以安排在一個VLAN內(nèi)。提高網(wǎng)絡(luò)的可管理性管理人員按照不同的業(yè)務(wù)范圍，將不同類型的終端規(guī)劃到不同的VLAN，從而將每個業(yè)務(wù)規(guī)劃在一個小的范圍內(nèi)，并進行IP地址配置。這樣的話，在今后的日常網(wǎng)絡(luò)管理和維護過程，極大提高管理員的工作效率。3.1VLAN概述3.1.2VLAN的特征及優(yōu)點提高網(wǎng)絡(luò)的安全性，管理人員采用VLAN技術(shù)手動，將不同的業(yè)務(wù)部門的終端設(shè)備進行二層隔離，這樣一來，當某個VLAN內(nèi)發(fā)生病毒感染等安全事件時，不會蔓延到其他VLAN，這樣極大的提高了整個網(wǎng)絡(luò)的安全性，同時，也可以保證了不同業(yè)務(wù)部門之間的數(shù)據(jù)不會輕易的被其他部門的網(wǎng)絡(luò)進行攻擊。3.2

VLAN工作原理與VLAN技術(shù)類型3.2.1VLAN的工作原理為了提高VLAN內(nèi)或不同VLAN之間的數(shù)據(jù)處理效率，在交換機內(nèi)部，針對數(shù)據(jù)幀都會封裝上VLANTag（VLAN標簽）。當交換機從某個端口接收到一個數(shù)據(jù)幀時，如果該數(shù)據(jù)幀沒有帶VLANTag，但該接口上配置了PVID（PortDefaultVLANID），這時，該數(shù)據(jù)幀就會將接口的PVID封裝上。另外一種情況，假如該數(shù)據(jù)幀已標志有VLANTag，這時，即使接口已經(jīng)配置了PVID，交換機不會將VLANTag給數(shù)據(jù)幀封裝上。3.2

VLAN工作原理與VLAN技術(shù)類型3.2

VLAN工作原理與VLAN技術(shù)類型3.2

VLAN工作原理與VLAN技術(shù)類型3.2

VLAN工作原理與VLAN技術(shù)類型3.2.2VLAN技術(shù)類型VLAN根據(jù)劃分方式由多種常見類型，比如：基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于協(xié)議的VLAN劃分和基于IP子網(wǎng)的VLAN劃分。在這幾種VLAN劃分方式中，其中基于端口的VLAN是最網(wǎng)絡(luò)規(guī)劃人員最為常用的VLAN劃分方法，由于其配置簡單，方便快捷，所以最為常見。而基于MAC地址的VLAN方式，則是依據(jù)接入網(wǎng)絡(luò)中的每臺計算機的網(wǎng)卡中的MAC地址進行配置，用此方式來劃分VLAN，這種劃分最大的優(yōu)點是，計算機可以隨意移動，不受物理位置限制，只需要重新接入交換機，就可以獲得先前配置的VLAN中去，這種方式配置的VLAN場景，比較適用于經(jīng)常移動的辦公環(huán)境。3.3中繼鏈接與VLANTrunk協(xié)議3.3.1訪問鏈接與中繼鏈接交換機的端口可以依據(jù)對數(shù)據(jù)轉(zhuǎn)發(fā)的特性，可以分為訪問鏈接和匯聚鏈接兩種。訪問鏈接，指的是“只屬于一個VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。一般情況下，大多數(shù)廠商的交換機設(shè)備的端口連接模式默認情況下，都會預(yù)設(shè)置為訪問連接模式，在這種模型下，訪問鏈接的端口所連接的是客戶機。管理人員可以根據(jù)業(yè)務(wù)的實際需求出發(fā)，配置訪問鏈接的方法，事實上，可以是事先配置或者是根據(jù)所連的終端進行動態(tài)配置。這就是常見的“靜態(tài)VLAN”和“動態(tài)VLAN”兩種類型。3.3中繼鏈接與VLANTrunk協(xié)議1．靜態(tài)VLAN靜態(tài)VLAN就是提前配置的，一般是基于端口進行劃分的VLAN。從字面上理解，就是網(wǎng)絡(luò)管理人員在規(guī)劃網(wǎng)絡(luò)拓撲的時候，事先規(guī)劃好哪些主機屬于哪個VLAN，在網(wǎng)絡(luò)組建的時候，當在交換機進行配置過程中，明確指定交換機中的各個端口分別歸屬于哪個VLAN的設(shè)定方法。由于需要對交換機中的每個端口進行配置，所以，當配置的網(wǎng)絡(luò)足夠龐大且交換機數(shù)據(jù)足夠多的時候，管理人員的配置操作就會變得煩雜無比，配置過程中，也往往會出現(xiàn)誤差，導(dǎo)致網(wǎng)絡(luò)調(diào)試的時候，過程較長。此外，在網(wǎng)絡(luò)正常運行過程中，如果有客戶機需要進行變更所連端口時，管理人員都必須登錄上交換機，并更改該端口所屬VLAN的設(shè)定，因此，這樣的靜態(tài)VLAN配置方法很不適合于大型的、業(yè)務(wù)變換頻繁的網(wǎng)絡(luò)。3.3中繼鏈接與VLANTrunk協(xié)議2．動態(tài)VLAN動態(tài)VLAN則是根據(jù)管理人員在交換機中，設(shè)定好每個端口所連的計算機，隨時根據(jù)業(yè)務(wù)需求，改變端口所屬的VLAN。這樣的動態(tài)修改無需手工干預(yù)，因此，其靈活性大大高于基于靜態(tài)VLAN配置的網(wǎng)絡(luò)。動態(tài)VLAN可以大致分為3類：基于MAC地址的VLAN基于子網(wǎng)的VLAN基于用戶的VLAN3.3中繼鏈接與VLANTrunk協(xié)議3.3.2VLAN幀標記協(xié)議：IEEE802.1Q與ISLIEEE802.1Q是經(jīng)過IEEE認證的、對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議。IEEE802.1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域（TypeField）”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計4字節(jié)。在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容，那么CRC值自然也會有所變化。這時數(shù)據(jù)幀上的CRC是插入TPID、TCI后，對包括它們在內(nèi)的整個數(shù)據(jù)幀重新計算后所得的值。需要注意的是，不論是IEEE802.1Q的“TaggingVLAN”，還是ISL的“EncapsulatedVLAN”，都不是很嚴密的稱謂。不同的書籍與參考資料中，上述詞語有可能被混合使用，因此需要大家在學(xué)習(xí)時格外注意。3.3中繼鏈接與VLANTrunk協(xié)議3.3.3VLANTrunk協(xié)議VLAN

Trunk（虛擬局域網(wǎng)中繼技術(shù)）是指能讓連接在不同交換機上的相同VLAN中的主機互通。如果交換機A的VLAN1中的機器要訪問交換機B的VLAN1中的，我們可以把兩臺交換機的直連端口設(shè)置為Trunk端口，這樣，當交換機把數(shù)據(jù)包從級聯(lián)口發(fā)出去的時候，會在數(shù)據(jù)包中做一個標記（TAG），以使其它交換機識別該數(shù)據(jù)包屬于哪一個VLAN，這樣，其它交換機收到這樣一個數(shù)據(jù)包后，只會將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標記中指定的VLAN，從而完成了跨越交換機的VLAN內(nèi)部數(shù)據(jù)傳輸。VLANTrunk目前有兩種標準，ISL和802.1q，前者是Cisco專有技術(shù)，后者則是IEEE的國際標準，除了Cisco兩者都支持外，其它廠商都只支持后者。3.4VLAN通信3.4.1VLAN內(nèi)跨越交換機通信在進行網(wǎng)絡(luò)規(guī)劃與組建時，經(jīng)常會將屬于同一個VLAN的用戶主機，根據(jù)業(yè)務(wù)的實際要求，被分配到到不同的交換機上。那么，這個時候，當同屬于一個VLAN的不同主機需要跨越交換機進行通信時，就需要識別交換機間的接口，并將要在跨越交換機傳輸?shù)腣LAN報文。面臨這樣的問題，怎么解決？這就需要用到接下來要介紹的TrunkLink技術(shù)。TrunkLink有兩個作用：中繼作用在相互連接的交換機之間透傳VLAN報文。干線作用TrunkLink通道上，可以用來傳輸交換機上配置的所有VLAN的報文。3.4VLAN通信例如在下圖3-4所示，為了讓交換機A和B之間的鏈路不但要支持VLAN2內(nèi)的用戶通訊，同時需要支持VLAN3內(nèi)的用戶通訊，那么這個時候，就需要將配置連接接口同時加入VLAN2和VLAN3中去。3.4VLAN通信3.4.2VLAN間通信原理當交換機的所有端口劃分歸屬到不同VLAN后，這些端口所連接的計算機之間是不能直接通信的。如果要實現(xiàn)VLAN間通信，可以采取以下方案：（1）子接口如下圖3-5所示，交換機A為支持配置子接口的三層設(shè)備，交換機B則為普通型的二層交換設(shè)備。從圖中可以看出，用線路連接交換機B的端口與交換機A的端口。而局域網(wǎng)中的用戶主機則被劃分到兩個VLAN：一個是VLAN2，一個是VLAN3。為了實現(xiàn)這兩個VLAN的數(shù)據(jù)通信，可通過下面的詳細配置，來實現(xiàn)兩個VLAN之間的互聯(lián)互通。3.5VLAN的配置3.5.1VLAN配置步驟及命令在華為交換機上，需要熟練配置VLAN的Access接口和Trunk接口，允許特定VLAN通過。并能夠根據(jù)實際需要，將網(wǎng)絡(luò)劃分為多個VLAN進行接口配置。下面將從最基礎(chǔ)的VLAN配置步驟進行學(xué)習(xí)。VLAN配置步驟及命令網(wǎng)絡(luò)拓撲圖如圖3-7所示。3.5VLAN的配置步驟1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步驟1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步驟2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步驟2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步驟3：測試過程3.5VLAN的配置3.5.2查看VLAN參數(shù)在完成交換機VLAN配置后，能夠通過displayvlan命令進行查看VLAN的配置信息。在上述例子中，在交換機SW1系統(tǒng)視圖中執(zhí)行displayvlan的結(jié)果如圖所示：3.6項目實驗3.6.1項目實驗四VLAN劃分與配置實驗1．項目描述四（1）項目背景。某企業(yè)有兩個部門，辦公室分布在同一棟樓的兩層，每層辦公室都同時有兩個部門的人員辦公。兩部門計算機共30臺，交換機兩臺，請以部門為單位進行網(wǎng)絡(luò)規(guī)劃，保證同部門的計算機二層互通。使用VLAN技術(shù)將兩個部門的計算機分別劃分到VLAN10和VLAN20中進行二層隔離。（2）邏輯拓撲如圖3-10所示。3.6項目實驗3.6.1項目實驗四VLAN劃分與配置實驗（3）網(wǎng)絡(luò)規(guī)劃如表3.2所示。3.6項目實驗3.6.1項目實驗四VLAN劃分與配置實驗（4）任務(wù)內(nèi)容。第1部分：連接設(shè)備、配置PC的IP地址。第2部分：VLAN劃分與配置。第3部分：連通性測試（5）所需資源，如表3.3所示。3.6項目實驗3.6.1項目實驗四VLAN劃分與配置實驗2．項目實施一第1部分：連接設(shè)備、配置PC的IP地址。步驟1：按拓撲要求使用以太網(wǎng)線連接所有設(shè)備的相應(yīng)端口。步驟2：配置PC的IP地址。配置計算機IP地址部門a的計算機PC1和PC3的IP及掩碼分別配置為192.168.1.1。和192.168.1.3。部門逼的計算機pcr和PC4的IP及掩碼分別配置為192.168.2.2。和192.168.2.4。注意：