VLAN原理培训胶片(PPT 60页)

1、0VLAN原理ISSUE 1.01lVLAN的产生为传统的LAN网络注入了新的活力，引起了LAN应用的一场变革。2学习指南l本课程主要针对VLAN相关的技术和应用进行讲解。l共分四章，其中第一章为基础，第二章是VLAN学习的重点，第三、四章除VLAN特性部分需要会配置，其它内容作为了解。3参考资料lIEEE 802.1QlIEEE 802.1DlRFC3096lVRP手册4l学习完此课程，您将会：掌握VLAN的基本概念掌握VLAN的网络功能了解VLAN动态注册协议了解VLAN的网络应用5第第2 2章章 VLANVLAN的网络功能的网络功能第第3 3章章 VLANVLAN动态注册协议动态注册协议

2、第第4 4章章 VLANVLAN的网络应用的网络应用6VLAN的产生7通过路由器将网络分段8通过VLAN划分广播域9VLAN的优点l隔离广播域，抑制广播报文.l分隔不同用户,提高网络安全性.l虚拟工作组,超越传统网络的工作方式.10IEEE802.1Q概述VLAN架构VLAN提供的服务VLAN涉及的协议和算法IEEE 802.1Q11VLAN的帧格式12基于端口的VLAN端口所属VLANPort1VLAN5Port2VLAN10Port7VLAN5Port10VLAN1013基于MAC地址的VLANMAC地址所属VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DV

3、LAN1014基于协议的VLAN协议类型所属VLANIPX协议VLAN5IP协议VLAN1015基于子网的VLANIP网络所属VLANIP 1.1.1.0/24VLAN5IP 1.1.2.0/24VLAN1016第第1 1章章 VLANVLAN的基本概念的基本概念第第3 3章章 VLANVLAN动态注册协议动态注册协议第第4 4章章 VLANVLAN的网络应用的网络应用17VLAN的网络功能l二层交换l三层路由18Access Link和Trunk Link19三种端口类型lAccess端口：以untagged形式属于一个VLANlTrunk端口：以tagged形式属于一个或多个VLANlHy

4、brid端口：以untagged形式属于某些VLAN，同时以tagged形式属于另外一些VLAN.20VLAN与二层交换lVLAN在一个交换机内部实现二层交换MAC端口端口VLAN21VLAN与二层交换lVLAN跨交换机实现二层交换VLAN2标签报文标签报文非标签报文非标签报文Trunk 端口端口Trunk 端口端口VLAN2VLAN222VLAN 与三层路由lVLAN在隔离广播的同时也限制了各个VLAN之间的数据流，分属不同VLAN的用户不能通过二层交换机实现通信。VLAN 100VLAN 200VLAN 30023VLAN与三层路由lVLAN之间的用户要实现通信,需要使用三层路由，通过路由

5、将报文从一个VLAN转发到另外一个VLAN。VLAN 100VLAN 200VLAN 30024VLAN与三层路由l在主机上配置默认网关，对于非本地的通信，主机会自动寻找默认网关，并把报文交给默认网关转发而不是直接发给目的主机。Ping 2.2.2.20非本地通信使用默认网关网络1.1.1.0/24在接口1网络2.2.2.0/24在接口225VLAN与三层路由VLAN TRUNKINGVLAN3标签报文标签报文VLAN2标签报文标签报文非标签报文非标签报文VLAN21.1.1.2/24VLAN32.1.1.2/2426交换和路由的集成l二层交换机上和路由器在功能上的集成构成了三层交换机，三层交

6、换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。27三层交换机功能模型28三层交换机中的路由和二层交换l二层交换引擎：实现同一网段内的快速二层转发l三层路由引擎：实现跨网段的三层路由转发29报文到报文的三层交换技术l传统三层技术对每个报文进行处理，并基于第三层地址转发报文。这一方法称为报文到报文（PXP）。30基于流交换的三层交换技术l不在三层处理所有报文的的方法称之为流交换（FS）。第一个报文后续报文31网络地址子网掩码接口编号其他10.111.0.0255.255.0.03.10.111.1.0255.255.255.02.10.119.0.0255.255

7、.0.02.最长匹配算法Intf 1Intf 2Intf 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.32网络地址路由接口端口号其他10.111.1.8812.10.111.1.9912.10.119.6.19933.精确匹配算法Port 1Port 2Port 3SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-x

8、x-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.SIP:10.110.0.113DIP:10.111.1.88.DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx.33第第1 1章章 VLANVLAN的基本概念的基本概念第第2 2章章 VLANVLAN的网络功能的网络功能第第4 4章章 VLANVLAN的网络应用的网络应用34GVRP协议lGVRP（GARP VLAN Registration Protocol）是一种基于GARP（ IEEE802.1d）的VLAN注册协议，它为处于同一个交换网内的交换成员之间提供了分发、传播、注册，注销VLAN信息

9、的一种手段。声明声明注册注册回收声明回收声明注销注销35GVRP协议l当GVRP在交换机上启动的时候，每个启动GVRP的Trunk端口对应一个GVRP应用实体。lGVRP实体之间的VLAN信息的注册，注销通过具有特定MAC地址的报文交互来实现。lGVRP五种报文类型：Leave all ,Join empty ,Join in ,Leave empty,leave in ,empty。36VLAN的单向注册VLAN10VLAN10注册注册声明声明37VLAN的双向注册VLAN10VLAN10注册注册声明声明38GVRP-GVRP注册类型l NORMAL允许在该聚合端口动态创建、注册和注销VLA

10、N。lFIXED允许手工创建和注册VLAN，并且防止VLAN的注销和在其它trunk端口注册此端口所知的VLAN。lFORBIDDEN注销除VLAN 1之外的所有VLAN，并且禁止在该端口上创建和注册任何其它VLAN。39第第1 1章章 VLANVLAN的基本概念的基本概念第第2 2章章 VLANVLAN的网络功能的网络功能第第3 3章章 VLANVLAN动态注册协议动态注册协议40VLAN在企业网中的应用lVLAN的引入，为企业网用户实现不同企业或同一企业不同部门间的隔离和互通提供了更加灵活的组网方式。下面以商务楼宇为例，说明VLAN在企业网中的应用。41公司公司A A公司公司B B公司公司

11、CC企业网虚拟工作组l商务楼宇内的中心交换机，根据楼宇内不同公司对端口需求，将每个公司所拥有的端口划分到不同的VLAN，实现公司间业务数据的完全隔离，可以认为每个公司拥有独立的“虚拟交换机”，每个VLAN就是一个“虚拟工作组”。VLAN2 VLAN3 VLAN442公司公司A A公司公司B B公司公司CC公司公司A A公司公司B B公司公司CCVLAN2VLAN3VLAN4VLAN2VLAN3VLAN4Trunk企业网跨交换机虚拟工作组l公司业务发展，部门需要跨越不同的商务楼宇，通过TRUNK端口连接不同楼宇的中心交换机，实现跨不同的交换机的不同公司的业务数据隔离，以及同一公司内业务数据的互通

12、43公司公司A A公司公司B B公司公司CC公司公司A A公司公司B B公司公司CC企业网多层级联虚拟工作组l随着商业楼宇内的用户的增多，需要通过级联交换机来达到扩展用户数量的目的，为了继续保证用户的隔离和互通，将在级联交换机间采用TRUNK连接，并且可以运行GVRP或VTP协议，来自动配置各个中心交换机上的VLAN。VLAN2VLAN3VLAN4TrunkVLAN3VLAN4VLAN244VLAN2VLAN2路由虚接口路由虚接口VLAN3VLAN3路由虚接口路由虚接口VLAN4VLAN4路由虚接口路由虚接口公司公司A A公司公司B B公司公司CC公司公司A A公司公司B B公司公司CC企业网

13、虚拟工作组互通l对于不同的公司之间的互通需求，可以通过VLAN间互通来解决。对于VLAN终结在一个三层交换机上的组网方式，可以直接在三层交换机上为每个VLAN配置路由虚接口，实现VLAN间路由。如果不允许VLAN之间互通，则可以配置ACL规则。VLAN2VLAN3VLAN4TrunkVLAN3VLAN4VLAN245VLAN2VLAN2路由虚接口路由虚接口VLAN3VLAN3路由虚接口路由虚接口VLAN4VLAN4路由虚接口路由虚接口公司公司A A公司公司B B公司公司CC公司公司A A公司公司B B公司公司CC企业网虚拟工作组互通l为了管理上的方便，以及分担一定的互通流量，VLAN终结在不同

14、的三层交换机。VLAN间的互通需要三层交换机之间的路由来实现，在交换机上需要配置配置静态路由或运行路由协议。VLAN2VLAN3VLAN4TrunkVLAN3VLAN4VLAN2三层路由三层路由46园区网Isolate-user-vlanl优点：节约交换机VLAN的使用数量l特点：isolate-user-vlan是个纯二层的概念，在单个交换机上配置的VLAN对于其他交换机是不可见的,不能与Trunk同时使用47Isolate-user-vlan-实现原理241vlan 1vlan 3vlan 2vlan 43Primary VLANSecondary VLANLanSwitch48园区网-I

15、solate-user-vlanIsolate-user-vlan 5Isolate-uservlan 65612Secondary vlan10SecondaryVlan20L3L234Secondaryvlan10Secondaryvlan1078骨干网络骨干网络49园区网Isolate-user-vlan区别业务IPL3L3GKNMSVODL2L2HUBHUB服务器群服务器群50园区网-VLAN聚合lVLAN Aggregation：RFC 3069 SuperVLAN，SubVLANl概念：在一个物理网络内，用VLAN隔离广播域，不同的VLAN属于同一个子网l优点：节约大量的IP地址：

16、子网地址、广播地址、 网关地址，扩展容易51241Sub vlan 3Sub vlan 2Sub vlan 43Super VLAN 1路由接口路由接口1.1.1.1/24LanSwitchIP地址：地址：1.1.1.2/24网关：网关：1.1.1.1IP地址：地址：1.1.1.3/24网关：网关：1.1.1.1VLAN聚合-工作原理52园区网-VLAN聚合ARP ProxyL3L2SuperVLAN1骨干网络骨干网络网网 管管SubVLAN1SubVLAN2SubVLAN3SubVLAN4SuperVLAN2.m.m.m.m53城域网-异地局域网互联异地互联用户IP Address:192.

17、1.1.2VLANVLAN TrunkVLAN 100IP Address:192.1.1.1VLAN 100二层交换层面异地互联用户54虚拟城域网l虚拟城域网-双Tag交换MANDomain ADomain B55专线用户AIP Address:198.1.1.*专线用户BIP Address:198.1.2.*VLANVLAN TrunkPPP路由园区网-专线用户接入专线用户CIP Address:199.1.1.*VLAN 100三层路由平面VLAN 200VLAN100路由接口路由接口:198.1.1.1VLAN200路由接口路由接口:198.1.2.1VLAN100路由接口路由接口:199.1.1.1VLAN 10056园区网-PPPOE用户接入PPPoe用户A