控制交换网中的广播流量培训课件

交换机的配置与管理任务4控制交换网中的广播流量学习目标不同业务部门网络的隔离跨交换机的相同业务网络的连通使用三层交换机实现VLAN之间互访学习完本任务，应该能够掌握：不同业务部门网络的隔离多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？不同部门使用不同网段地址不同部门使用相同网段地址，设置VLAN任务描述

任务分析

多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法一不同部门使用不同网段地址使用PT模拟器演示任务分析

多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法二：不同部门使用相同网段地址，但设置不同VLAN使用PT模拟器演示4.1.1VLAN概述广播帧指目的MAC地址是FFFF.FFFF.FFFF的数据帧，其目的是要让本地网络中的所有设备都收到，如ARP请求包。二层交换机3二层交换机1二层交换机2PCAPCBPCCPCD广播帧二层交换机工作在数据链路层的设备，端口收到数据帧后根据目的MAC地址进行转发。因此，把广播帧从源端口之外的所有端口转发出去，所以二层交换机不能隔离广播域。设备发出的广播帧在广播域中传播，占用网络带宽，降低设备性能。

二层交换机2二层交换机1三层交换机或路由器PCAPCBPCCPCD广播帧1广播帧2三层交换机或路由器工作在网络层的设备，端口收到数据帧后，对帧进行解封装，取出其中的IP数据包，然后根据IP数据包中的IP地址进行路由。因此，三层交换机或路由器不会转发广播帧，广播在三层端口被隔离。在网络中使用三层交换机或路由器，可以减小广播域，减少网络带宽浪费。

4.1.1VLAN概述二层交换机PCAPCBPCCPCD广播帧二层交换机使用VLAN隔离广播，减小广播域范围。每个VLAN就是一个广播域，不同VLAN间不能直接互通，只能通过路由。VLAN10VLAN204.1.1VLAN概述4.1.1VLAN概概述VLAN是是virtuallocalareanetwork(虚拟拟局域域网)的缩缩写。。VLAN主主要为为了解解决交交换机机在进进行局局域网网互连连时无无法限限制广广播的的问题题。VLAN是是一种种将物物理局局域网网（LAN）设设备从从逻辑辑上划划分（（注意意，不不是从从物理理上划划分））成一一个个个网段段（或或者说说是更更小的的局域域网LAN），，从而而实现现虚拟拟工作作组（（单元元）的的数据据交换换技术术。每每个VLAN就就是一一个广广播域域。每个VLAN都都包含含一组组有着着相同同需求求的计计算机机工作作站，，与物物理上上形成成的LAN有着着相同同的属属性。。每个个VLAN内的的主机机间可可通信信，而而不同同VLAN间的的主机机则不不可以以直接接互通通。VLAN基基本概概念一个VLAN内内部的的广播播和单单播流流量都都不会会转发发到其其他VLAN中中，从从而有有助于于控制制流量量、减减少设设备投投资、、简化化网络络管理理、提提高网网络的的安全全性。。只有处处于同同一个个vlan之间间的端端口才才能相相互转转发报报文，，能将将网络络划分分为多多个广广播域域，从从而可可以有有效地地防止止网络络广播播风暴暴。4.1.2VLAN产产生的的原因因及优优点VLAN产产生的的原因因：基于网网络性性能的的考虑虑基于安安全因因素的的考虑虑基于组组织结结构的的考虑虑基于网网络成成本的的考虑虑参看教教材自自学本本节内内容VLAN优优点：：有效控控制广广播域域范围围广播域域被限限制在在一个个VLAN内，，广播播流量量仅在在VLAN中传传播，，节省省了带带宽，，提高高了网网络处处理能能力增强局局域网网的安安全性性不同VLAN不不能直直接通通信，，杜绝绝了广广播信信息的的不安安全性性端口的的分隔隔。即即便在在同一一个交交换机机上，，处于于不同同VLAN的端端口也也是不不能通通信的的灵活构构建虚虚拟工工作组组同一VLAN的的用户户不必必局限限于某某一固固定的的物理理范围围更改用用户所所属的的VLAN网络络不必必换端端口和和连线线，只只需更更改软软件配配置4.1.2VLAN产产生的的原因因及优优点在VLAN中中，由由于数数据帧帧只能能被发发往同同一VLAN内内的成成员，，在实实际应应用中中需要要解决决两个个问题题：交换机机如何何区分分不同同VLAN？？交换机机间如如何交交换相相同VLAN的的信息息？？4.1.3VLAN标标准IEEE802.1Q标标准帧标记记法不支持持VLAN的设设备会会把这这种帧帧当成成无效效帧而而丢弃弃各个厂厂商之之间的的兼容容性问问题每台交交换机机上可可以连连接主主机的的接口口数量量随着着VLAN数量量的增增加会会大大大减少少标记法法（补补充））交换机机内部部数据1数据2数据1数据2VLAN1VLAN2数据1数据2VLAN标标签签可用showmac-address-table命命令查查看VLAN标标签交换机机内部部数据1VLAN101不考虑虑VLAN时，，以太太网交交换机机根据据MAC地地址表表来转转发数数据帧帧，如如果是是广播播帧，，则从从源端端口外外的所所有端端口转转发出出去。。在VLAN技术术中，，通过过给以以太网网帧附附加一一个标标签(Tag)来标标识该该帧能能够在在哪个个VLAN中传传播。。交换机机在转转发数数据帧帧时，，不仅仅要查查找MAC地址址表来来决定定转发发到哪哪个端端口，，还要要检查查端口口上的的VLAN标签签是否否匹配配。IEEE在在802.1Q中定定义了了在以以太网网帧中中所附附加标标签的的格式式。数据1带有VLAN101标签签的以以太网网数据据帧1VLAN102IEEE802.1Q802.1Q定定义了了两种种数据据帧：：2BTPID：是是固定定的数数值0X8100，，表示示该数数据帧帧承载载了802.1q的的tag信信息思考：：1、交交换机机如何何确定定给流流进的的数据据帧打打上何何种标标签？？？2、交交换机机如何何确定定把带带标签签的数数据帧帧转发发给哪哪个端端口？？？PVID2B2B3b1b12b2BTCI：3b用户优先先级；1b规范格式式指示符，，0表示规规范；12b的VIDVLAN标识识符。（因因为212=4096）VIDVID&PVIDVID(VLANID)：：表示端口口从交换机机内部能够够接受哪些些VLAN的数据，，是VLAN属性。。PVID(PortVLANID)：表示示端口能够够将从外部部接收的数数据发向哪哪个VLAN，也可可以说表示示当端口收收到一个未未标记的帧帧时，则把把该帧转发发到VID和本端口口PVID相等的VLAN中中去，是端端口属性。。VID&PVID交换机端口口默认VLAN是VLAN1，所所有端口的的VID和和PVID都是1。划分VLAN后，每每个VLAN都有一一个VLANID，该值值就是VLAN号(1-4096)。。如果一个端端口只属于于一个Vlan时，，端口的PVID和和VID相相同。如果一个端端口属于多多个Vlan时，端端口就有几几个VID，但只能能有一个PVID，，并且PVID号应应该是这些些VID号号中的一个个，默认为为1，除非非用命令修修改。VID&PVID234PVID值值VID值值AABBCCVID(VLANID)：：表示端口口从交换机机内部能够够接受哪些些VLAN的数据，，是VLAN属性。。PVID(PortVLANID)：表示示端口能够够将从外部部接收的数数据发向哪哪个VLAN，是端端口属性。。51VLAN20VLAN10VLAN40VLAN30VLAN30单交换机VLAN标标签操作交换机内部部数据1数据2101102数据1数据2带有VLAN101标签的以太网数据帧1带有VLAN102标签的以太网数据帧2VLAN标标签是由交交换机端口口在数据帧帧进入交换换机时添加加的。当终端主机机发出的以以太网帧到到达交换机机端口时，，将其PVID值封封装到进入入端口的帧帧中，即成成为数据帧帧的VID值，这就就是所谓的的“打标记记”交换机可以以将数据转转发到那些些端口的VID与数数据帧中VID相同同的端口当带标签的的帧出交换换机端口时时，端口检检查自己的的PVID是否与数数据帧中的的VID相相同。如果果相同，则则剥离帧中中的802.1Q标标签再转发发，否则直直接转发。。查看：Showinterfacee0/0/nswitchport4.1.4VLAN的种类类VLAN在在交换机上上的实现方方法：基于端口的的VLAN基于MAC地址的VLAN基于网络层层协议的VLAN按策略划分分的VLAN基于端口的的VLAN根据以太网网交换机的的交换端口口来划分的的，它是将将VLAN交换机上上的物理端端口和VLAN交换换机内部的的PVC（（永久虚电电路）端口口分成若干干个组，每每个组构成成一个虚拟拟网，相当当于一个独独立的VLAN交换换机。它的缺点是是用户离开开了原来的的端口，到到了一个新新的端口时时，如果新新端口与旧旧端口不属属于同一个个VLAN，则必须须重新定义义。基于MAC地址的VLAN根据设备的的MAC地地址来划分分VLAN。优点：无论论网络用户户在网络中中如何移动动，只要其其MAC地地址保持不不变，其所所属的VLAN的成成员身份也也保持不变变,VLAN不用用重新配置置。适宜移移动设备。。缺点：初始化时，，所有用户户的MAC地址都需需要收集，，并逐个配配置，配置置工作量很很大。导致了交换换机执行效效率的降低低，因为在在每一个交交换机的端端口都可能能存在很多多个VLAN组的成成员，保存存了许多用用户的MAC地址，，查询起来来相当不容容易，也无无法限制广广播帧。对于使用笔笔记本电脑脑的用户来来说，他们们的网卡可可能经常更更换，这样样VLAN就必须经经常配置。。4.2任任务实施在交换机上上实施VLAN可分分为两个步步骤：创建VLAN；配置VLAN成员。。基于端口划划分VLAN的命令（神神码）创建VLAN将端口划入入到对应的的VLAN中注意：创建VLAN时，VLAN号号为1-4096，但VLAN号号不能为1。VLAN1为初初始默认VLAN，，交换机机所有端口口都属于VLAN1。（（利用Showvlan命命令查看））ethernet0/0/1-3;5;7-9;12基于端口划划分VLAN的命令(思思科)创建VLAN将端口划分分到对应的的VLAN中Switch>enableSwitch#configtSwitch(config)#vlan100Switch(config)#interfacef0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan100Switch(config)#interfacerangef0/7,f0/10-12,f0/20Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan100VLAN的的验证利用PT模模拟器验证证VLAN构建拓扑图图配置主机的的IP地址址（192.168.1.1—192.168.1.4/24））验证连通性性（PC1、PC2、PC3、PC4之间互Ping））创建VLAN100和Vlan200，并将将PC1和和PC2所所连的交换换机端口划划分到VLAN100，PC3和PC4所连连的交换机机端口划分分到VLAN200验证连通性性（PC1、PC2、PC3、PC4之间互Ping））跨交换机相相同业务网网络的连通通需求分析要让301房间A公公司的网络络可以访问问到201房间A公公司，但不不能让其他他公司的职职员访问201房间间301房间A公司302房间B公司303房间C公司201房间A公司业务需求：：同一楼层的的每个房间间内可以互互访，不同同房间内不不可以互访访不同楼层的的同一公司司内可以互互访如何实现？？？需求分析（（PT演示示）3楼交换机2楼交换机1-1011-201-1011-20301房VLA100302房VLAN200201房VLAN100202房VLAN200分析以下几几种连接情情况VLAN的连通性：：通过24口口将3楼和和2楼交换换机连接通过5口将将3楼和2楼交换机机连接通过15口口将3楼和和2楼交换换机连接根据以上分分析得到结结论？？？？如何使得跨跨交换机的的所有相同同VLAN内互通？？？？跨交换机的的相同VLAN内互通3楼交换机2楼交换机1-1011-201-1011-20301房VLA100302房VLAN200201房VLAN100202房VLAN200解决方法:上图中交换换机的互连连端口a和和b必须能能通过多个个VLAN帧，如何何实现？VID必须须有多个值值，即属于于多个VLAN让交换机之之间传送VLAN数数据时，可可以明确为为每个VLAN数据据加标记如：301房数据要传传到201房时，3楼交换机的的a端口为数据据加VLAN100标记，2楼交换机在在识别这个个标记后，，根据标记记会在VLAN100的201房的端口中中查找目的的地址，而而不会在其其它vLAN的端口中查查找，从而而避免发送送给202房间。如何保留帧帧中的802.1Q标签？？？端口的PVID值与帧中的的VLAN标记值不同同abVLAN技技术原理———TRUNK技术不同的交换换机之间互互联，要达达到承载所所有VLAN流量的的目的，就就必须实行行TRUNK技术。。TRUNK又可以叫叫做VLAN中继线线路，主要要是用来互互联交换机机达到传输输不同VLAN的流流量的目的的。TRUNK链路传输多个VLAN的的信息实现同一VLAN跨跨越不同的的交换机SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10Trunk链路在Trunk链路上上传输多个个VLAN信息要求求Trunk至少要要100M。思考：如何实现TRUNK链路？？？？跨交换机相相同VLAN通信PCAPCBPCCPCD带有VLAN标签的的以太网帧帧在交换机机间传递不带VLAN标标签的以以太网帧帧带VLAN标签签的以太太网帧Tag=10Tag=20SwitchASwitchBVLAN技术原原理———端口类型型划分VLAN后后，交交换机的的端口类类型：Access链链路类型型端口仅接收和和发送一一个VLAN的的数据帧帧Access端端口收到到数据帧帧后打VLAN标签，，转发出出端口时时剥离VLAN标签一般用于于连接用用户设备备Trunk链路路类型端端口允许多个个VLAN通过过，接收收和发送送多个VLAN的数据据帧缺省VLAN的的以太网网帧不带带标签一般用于于交换机机之间的的连接Access链链路类型型端口PCAPCBPCCPCDVLAN10：：PCA、PCCVLAN20：：PCB、PCDTag=10Tag=20不带VLAN标标签的以以太网帧帧仅接收和和发送一一个VLAN的的数据帧帧Access端端口收到到数据帧帧后打VLAN标签，，转发出出端口时时剥离VLAN标签SwitchTrunk链路路类型端端口PCAPCBPCCPCDAccess端端口PVID：：10Access端端口PVID：：10Access端端口PVID：：20Access端端口PVID：：20Trunk端口口PVID：20VID：：1，10，20允许多个个VLAN通过过，接收收和发送送多个VLAN的数据据帧，而而且接收收和发送送过程中中不对帧帧中的标标签进行行任何操操作默认VLAN是是特例。。发送帧帧时，Trunk端口口要剥离离默认VLAN帧中的的标签，，Trunk端端口接收收到不带带标签的的帧时，，要打上上默认VLAN标签Trunk端口口默认是是属于交交换机上上面的所所有Vlan，，但可通通过许可可列表限限制一般用于于交换机机之间的的连接Trunk端口口PVID：20VID：：1，10，20IEEE802.1Q假设switch1与switch2通过0/0/24口口级联，，则要把把两个交交换机的的e0/0/24都配配成Trunk口。Switch#configSwitch(config)#interfacee0/0/24Switch(config-Ethernet0/0/24)#switchportmodetrunk配置端口口24拥拥有所有有VLAN的VIDSwitch(config-Ethernet0/0/24)#switchporttrunkallowedvlanall注意：Trunk链路路两端的的端口必必须属于于相同的的默认VLAN，一一般为VLAN1;修改Trunk端口的的默认VLAN（为端端口设置置PVID）switchporttrunknativevlan<序序号>为端口设设置VIDswitchporttrunkallowedvlan<序号1>;<序号2>;<序号号3>……配置Trunk链路（（神码设设备）二层交换换机：Switch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan<序号>Switch(config-if)#switchporttrunkallowedvlan<序号号1>,<序号2>,……三层交换换机：Switch(config)#interfacef0/24Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan<序号>Switch(config-if)#switchporttrunkallowedvlan<序号号1>,<序号2>,……配置Trunk链路（（思科设设备）使用三层层交换机机实现VLAN之间互互访三层交换换机实现现VLAN互访访PC1PC2vlan20PC3vlan10vlan10VLAN间路由由三层交换机VLAN间路由由的实现现在三层交交换机上上划分VLAN100和200配置PC1、pc2的的IP地地址：192.168.1.10/24、、192.168.2.10/24通吗？？？第一步：：VLAN间路由由的实现现为每个VLAN设置三层层属性，，即IP地址PC1、、pc2相互Ping通吗？？？第二步：：在PC1、pc2中增增加默认认网关为为对应的的VLAN的三三层地址址PC1、、pc2相互Ping通吗？？？三层交换换机实现现VLAN互访访实训内容容及步骤骤VLAN的划分分与配置置配置三层层交换机机各VLAN的的三层属属性，即即IP地地址配置PC的IP地址，并并将对应的VLAN的三三层IP地址址设为主机的的默认网关将PC设备连连接到交换机机，使用PING命令验验证配置结果果思考：二层交换机和和三层交换机机都可以设多多个IP地址址吗？谢谢1月-2320:47:1320:4720:471月-231月-2320:4720:4720:47:131月-231月-2320:47:132023/1/520:47:139、静夜夜四无无邻，，荒居居旧业业贫。。。1月-231月-23Thursday,January5,202310、雨中黄叶叶树，灯下下白头人。。。20:47:1320:47:1320:471/5/20238:47:14PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。1月月-2320:47:1420:47Jan-2305-Jan-2312、故故人人江江海海别别，，几几度度隔隔山山川川。。。。20:47:1420:47:1420:47Thursday,January5,202313、乍见见翻疑疑梦，，相悲悲各问问年。。。1月-231月-2320:47:1420:47:14January5,202314、他乡生生白发，，旧国见见青山。。。05一一月20238:47:14下午午20:47:141月-2315、比不了得得就不比，，得不到的的就不要。。。。一月238:47下下午1月-2320:47January5,202316、行行动动出出成成果果，，工工作作出出财财富富。。。。2023/1/520:47:1420:47:1405January202317、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。8:47:14下午午8:47下午午20:47:141月-239、没有有失败败，只只有暂暂时停停止成成功！！。1月-231月-23Thursday,January5,202310、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。20:47:1420:47:1420:471/5/20238:47:14PM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。1月-2320:47:1420:47Jan-2305-Jan-2312、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。20:47:1420:47:1420:47Thursday,January5,202313、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。1月月-231月月-2320:47:1420:47:14January5,202