交换与路由技术课件 第3章 VLAN技术

第八章IPv6技术01

VLAN概述02

VLAN工作原理与VLAN技术类型03

中继链接与VLANTrunk协议CONTENT目录04

VLAN通信05

VLAN的配置06

项目实验

概述VLAN（VirtualLocalAreaNetwork，虚拟局域网）是比较普遍使用的逻辑网络划分技术，是对连接到的第二层交换机端口的网络用户的逻辑分段，使得位于的物理位置不同的用户根据业务需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。锁。3.1VLAN概述3.1.1VLAN的概念及意义对于一台交换机而言，缺省情况下，它的所有接口都属于同一个广播域。所谓广播域，指的是一个广播数据所能到达的范围。当多台主机连接到同一台交换机时，它们可以直接进行通信（只需配置相同的网段的IP地址），而且无需借助路由设备这种通信行为被称为二层通信，由于这些主机同都属于同一个广播域，因此当其中一台主机发出一份广播数据时，连接在交换机上的其他所有主机都会收到这份数据的拷贝。当然，如果交换机在某个接口上接到目的MAC地址未知的单波数据帧会将这个数据中进行泛洪，如图3-1所示，然而并非所有的主机都需要这些数据称。此时对于他们而言，这些广播帧或者MAC地址未知的单播帧实际上是增加了设备性能损耗，而且对于网络带宽而言也是一种浪费，设想一下。如果存在一个由许多二层交换机构成的大型二层网络，那么在这个大规模的广播域中，一旦出现广播帧或目的MAC地址未知的单播帧便将引发大量的泛红现象，从而给该网络带来沉重的负担。3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意义实际的网络中经常存在这样的业务要求。某个企业由于人员较少，每个部门也只有几个人，而用一台交换机足以把所有人都能联网，但是，由于不同的业务部门的数据有着不同安全性要求，所以用户希望对每个部门进行隔离，并能够提高网络的性能，对广播域进行隔离管理。那么网络中就迫切的需要一种技术，一种能够在交换机上实现二层隔离的技术。否则网络管理员就不得不为不同的业务部门分配不同的交换机，并且搭配其他设备，从而实现二层隔离。当然，我们规划一个网络时，也需要关注网络中广播域的大小，因为只有对广播域进行好的划分，才能够提升整个网络的性能。所以，需要采用适当的技术，将一个大的广播域划分为更小的范围，3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意义路由器的每个三层接口连接着一个独立的广播域，因此在网络中部署路由器确实可以起到隔离广播的作用，毕竟一个广播数据缺省时会被终结在路由器的三层接口上不会被透传，然而路由器接口资源相对于交换机而言更为有限，而且增加模块的成本会更高，再者为什么不能直接在交换机上实现广播域的隔离或规划呢？VLAN就是这样的一个技术。它可以将一个物理上连成的LAN，在逻辑上，划分成多个小的广播域。3.1VLAN概述3.1.2VLAN的特征及优点划分VLAN是二层交换领域中，非常重要一种优化技术，同时，也是学习网络工程技术必须要掌握的非常基础的技术。通过给网络进行VLAN的划分，其能给网络带来很多好处，下面分别进行介绍：隔绝广播当管理人员对交换机进行VLAN规划与划分后，连接交换机上所有端口的计算机发送的广播数据都会被限制在其所属于的VLAN内。其他VLAN内的计算机不会接收到该广播信息，因此，采用VLAN技术，可以轻松、简单的将一个大的广播域划分出成多个较小的广播域，同样，减少了泛洪对原来整个网络带来的带宽资源的消耗以及降低设备性能。3.1VLAN概述3.1.2VLAN的特征及优点提高网络组件的灵活度管理人员采用VLAN技术对原网络划分，能将网络设计及部署更具备灵活性，比如，同属于一个部门或工作组的用户，可以位于不同的地理位置，但他们的组网可以安排在一个VLAN内。提高网络的可管理性管理人员按照不同的业务范围，将不同类型的终端规划到不同的VLAN，从而将每个业务规划在一个小的范围内，并进行IP地址配置。这样的话，在今后的日常网络管理和维护过程，极大提高管理员的工作效率。3.1VLAN概述3.1.2VLAN的特征及优点提高网络的安全性，管理人员采用VLAN技术手动，将不同的业务部门的终端设备进行二层隔离，这样一来，当某个VLAN内发生病毒感染等安全事件时，不会蔓延到其他VLAN，这样极大的提高了整个网络的安全性，同时，也可以保证了不同业务部门之间的数据不会轻易的被其他部门的网络进行攻击。3.2

VLAN工作原理与VLAN技术类型3.2.1VLAN的工作原理为了提高VLAN内或不同VLAN之间的数据处理效率，在交换机内部，针对数据帧都会封装上VLANTag（VLAN标签）。当交换机从某个端口接收到一个数据帧时，如果该数据帧没有带VLANTag，但该接口上配置了PVID（PortDefaultVLANID），这时，该数据帧就会将接口的PVID封装上。另外一种情况，假如该数据帧已标志有VLANTag，这时，即使接口已经配置了PVID，交换机不会将VLANTag给数据帧封装上。3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2.2VLAN技术类型VLAN根据划分方式由多种常见类型，比如：基于端口的VLAN划分、基于MAC地址的VLAN划分、基于协议的VLAN划分和基于IP子网的VLAN划分。在这几种VLAN划分方式中，其中基于端口的VLAN是最网络规划人员最为常用的VLAN划分方法，由于其配置简单，方便快捷，所以最为常见。而基于MAC地址的VLAN方式，则是依据接入网络中的每台计算机的网卡中的MAC地址进行配置，用此方式来划分VLAN，这种划分最大的优点是，计算机可以随意移动，不受物理位置限制，只需要重新接入交换机，就可以获得先前配置的VLAN中去，这种方式配置的VLAN场景，比较适用于经常移动的办公环境。3.3中继链接与VLANTrunk协议3.3.1访问链接与中继链接交换机的端口可以依据对数据转发的特性，可以分为访问链接和汇聚链接两种。访问链接，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。一般情况下，大多数厂商的交换机设备的端口连接模式默认情况下，都会预设置为访问连接模式，在这种模型下，访问链接的端口所连接的是客户机。管理人员可以根据业务的实际需求出发，配置访问链接的方法，事实上，可以是事先配置或者是根据所连的终端进行动态配置。这就是常见的“静态VLAN”和“动态VLAN”两种类型。3.3中继链接与VLANTrunk协议1．静态VLAN静态VLAN就是提前配置的，一般是基于端口进行划分的VLAN。从字面上理解，就是网络管理人员在规划网络拓扑的时候，事先规划好哪些主机属于哪个VLAN，在网络组建的时候，当在交换机进行配置过程中，明确指定交换机中的各个端口分别归属于哪个VLAN的设定方法。由于需要对交换机中的每个端口进行配置，所以，当配置的网络足够庞大且交换机数据足够多的时候，管理人员的配置操作就会变得烦杂无比，配置过程中，也往往会出现误差，导致网络调试的时候，过程较长。此外，在网络正常运行过程中，如果有客户机需要进行变更所连端口时，管理人员都必须登录上交换机，并更改该端口所属VLAN的设定，因此，这样的静态VLAN配置方法很不适合于大型的、业务变换频繁的网络。3.3中继链接与VLANTrunk协议2．动态VLAN动态VLAN则是根据管理人员在交换机中，设定好每个端口所连的计算机，随时根据业务需求，改变端口所属的VLAN。这样的动态修改无需手工干预，因此，其灵活性大大高于基于静态VLAN配置的网络。动态VLAN可以大致分为3类：基于MAC地址的VLAN基于子网的VLAN基于用户的VLAN3.3中继链接与VLANTrunk协议3.3.2VLAN帧标记协议：IEEE802.1Q与ISLIEEE802.1Q是经过IEEE认证的、对数据帧附加VLAN识别信息的协议。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（TypeField）”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。需要注意的是，不论是IEEE802.1Q的“TaggingVLAN”，还是ISL的“EncapsulatedVLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。3.3中继链接与VLANTrunk协议3.3.3VLANTrunk协议VLAN

Trunk（虚拟局域网中继技术）是指能让连接在不同交换机上的相同VLAN中的主机互通。如果交换机A的VLAN1中的机器要访问交换机B的VLAN1中的，我们可以把两台交换机的直连端口设置为Trunk端口，这样，当交换机把数据包从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据包属于哪一个VLAN，这样，其它交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。VLANTrunk目前有两种标准，ISL和802.1q，前者是Cisco专有技术，后者则是IEEE的国际标准，除了Cisco两者都支持外，其它厂商都只支持后者。3.4VLAN通信3.4.1VLAN内跨越交换机通信在进行网络规划与组建时，经常会将属于同一个VLAN的用户主机，根据业务的实际要求，被分配到到不同的交换机上。那么，这个时候，当同属于一个VLAN的不同主机需要跨越交换机进行通信时，就需要识别交换机间的接口，并将要在跨越交换机传输的VLAN报文。面临这样的问题，怎么解决？这就需要用到接下来要介绍的TrunkLink技术。TrunkLink有两个作用：中继作用在相互连接的交换机之间透传VLAN报文。干线作用TrunkLink通道上，可以用来传输交换机上配置的所有VLAN的报文。3.4VLAN通信例如在下图3-4所示，为了让交换机A和B之间的链路不但要支持VLAN2内的用户通讯，同时需要支持VLAN3内的用户通讯，那么这个时候，就需要将配置连接接口同时加入VLAN2和VLAN3中去。3.4VLAN通信3.4.2VLAN间通信原理当交换机的所有端口划分归属到不同VLAN后，这些端口所连接的计算机之间是不能直接通信的。如果要实现VLAN间通信，可以采取以下方案：（1）子接口如下图3-5所示，交换机A为支持配置子接口的三层设备，交换机B则为普通型的二层交换设备。从图中可以看出，用线路连接交换机B的端口与交换机A的端口。而局域网中的用户主机则被划分到两个VLAN：一个是VLAN2，一个是VLAN3。为了实现这两个VLAN的数据通信，可通过下面的详细配置，来实现两个VLAN之间的互联互通。3.5VLAN的配置3.5.1VLAN配置步骤及命令在华为交换机上，需要熟练配置VLAN的Access接口和Trunk接口，允许特定VLAN通过。并能够根据实际需要，将网络划分为多个VLAN进行接口配置。下面将从最基础的VLAN配置步骤进行学习。VLAN配置步骤及命令网络拓扑图如图3-7所示。3.5VLAN的配置步骤1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤3：测试过程3.5VLAN的配置3.5.2查看VLAN参数在完成交换机VLAN配置后，能够通过displayvlan命令进行查看VLAN的配置信息。在上述例子中，在交换机SW1系统视图中执行displayvlan的结果如图所示：3.6项目实验3.6.1项目实验四VLAN划分与配置实验1．项目描述四（1）项目背景。某企业有两个部门，办公室分布在同一栋楼的两层，每层办公室都同时有两个部门的人员办公。两部门计算机共30台，交换机两台，请以部门为单位进行网络规划，保证同部门的计算机二层互通。使用VLAN技术将两个部门的计算机分别划分到VLAN10和VLAN20中进行二层隔离。（2）逻辑拓扑如图3-10所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验（3）网络规划如表3.2所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验（4）任务内容。第1部分：连接设备、配置PC的IP地址。第2部分：VLAN划分与配置。第3部分：连通性测试（5）所需资源，如表3.3所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验2．项目实施一第1部分：连接设备、配置PC的IP地址。步骤1：按拓扑要求使用以太网线连接所有设备的相应端口。步骤2：配置PC的IP地址。配置计算机IP地址部门a的计算机PC1和PC3的IP及掩码分别配置为192.168.1.1。和192.168.1.3。部门逼的计算机pcr和PC4的IP及掩码分别配置为192.168.2.2。和192.168.2.4。注意：