TCPIP路由交换技术（第二版）课件 项目4 配置管理虚拟局域网

项目4配置管理虚拟局域网授课教师：管秀君吉林交通职业技术学院学习目标

了解VLAN的产生及其划分方式掌握VLAN的工作原理学会VLAN的典型配置掌握GVRP协议及基本配置思维导图

了解VLAN技术0

1VLAN的典型配置02组建安全隔离的小型局域网03CONTENTS目录GVRP协议及配置04学习任务4.1了解VLAN技术4.1.1

VLAN概念VLAN介绍VirtualLocalAreaNetwork（虚拟局域网），简称VLAN，是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。划分VLAN的主要作用就是隔离广播域。VLAN在网络中的应用示意图：VLAN优势虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分在一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：1．减少移动和改变的代价2．虚拟工作组3．不受设备限制4．限制广播包，提高带宽的利用率5．增强通讯的安全性6．增强网络的健壮性7．降低管理维护的成本4.1.2

VLAN的划分方式基于端口划分VLAN基于端口划分VLAN的这种方法是根据以太网交换机的端口来划分。下面我们来几个例子。如图所示，交换机的端口1为VLAN1，端口2为VLAN2，端口3、4为VLAN3。当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定。基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分的，即对所有主机都根据它的MAC地址配置主机属于哪个VLAN。下图所示，交换机维护一张VLAN映射表，这个VLAN表记录着MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN。基于协议划分VLAN根据二层数据帧中协议字段进行VLAN的划分。如果一个物理网络中既有EthernetⅡ又有LLC等多种数据帧通信的时候，可以采用这种VLAN的划分方法，如图所示。基于IP子网划分VLAN基于IP子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN。这样可以将同一个IP子网中的用户划分在一个VLAN内。如图所示，交换机根据IP地址划分了VLAN。主机设置的IP地址处于10.1.1.0地址段的同属于一个VLAN1，处于10.2.1.0地址段的主机处于VLAN2，处于10.3.1.0地址段的主机属于VLAN3。10.1.1.010.2.1.010.3.1.04.1.3

VLAN的帧格式IEEE802.1Q帧结构中兴系列交换机，均采用的是IEEE组织定义的802.1Q协议来实现VLAN功能。IEEE802.1Q是VLAN的正式标准，定义了同一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法，有利于保证不同厂家设备配置的VLAN可以互通。IEEE802.1Q帧结构802.1Q标签头包含了2个字节的TPID和2个字节的TCI：1、TPID：TagProtocolIdentifier协议标志固定值为0x8100，该值表明该帧承载的是802.1Q/802.1p标签信息2、TCI：TagControlInformation控制信息Priority：3bit,帧的优先级,共有8种优先级，0－7CanonicalFormatIndicator(CFI)：CFI值为0说明是规范格式，1为非规范格式VLANIdentified(VLANID):12bit,指明VLAN的ID，共4096个以太网帧报文类型在一个交换网络环境中，以太网的帧有两种格式：不带标签的报文untaggedframe带标签的报文taggedframe4.1.4

VLAN链路类型VLAN的链路类型VLAN的链路类型VLAN有三种链路类型：

Access

Trunk

HybridTrunkVLAN1VLAN2VLAN3AccessVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3AccessAccess链路Access链路一般是指网络设备与主机之间的链路一个Access端口只属于一个VLANAccess端口发送不带标签的报文缺省所有端口都包含在vlan1中，且都是AccessportTrunk链路Trunk链路一般是指网络设备与网络设备之间的链路一个Trunk端口可以属于多个VLANTrunkport通过发送带标签的报文来区别某一数据包属于哪一VLAN标签遵守IEEE802.1q协议标准Hybrid链路1、Hybrid端口可以用于交换机之间连接，也可以用于接用户的计算机2、Hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文3、Hybrid端口与Trunk端口的不同之处Hybrid端口可以允许多个VLAN的报文不打标签Trunk端口只允许缺省VLAN的报文不打标签在同一个交换机上Hybrid端口和Trunk端口不能并存VLAN帧的转发过程VLAN帧的转发过程

当Access端口收到帧时该帧不包含802.1Qtagheader，将被打上端口的PVID

当Access端口发送帧时剥离802.1Qtagheader，发出的帧为普通以太网帧VLAN帧的转发过程1、当Trunk端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID

如果该帧包含802.1Qtagheader，则不改变2、当Trunk端口发送帧时当该帧的VLANID与端口的PVID不同时，直接透传当该帧的VLANID与端口的PVID相同时，则剥离802.1QtagheaderVLAN帧的转发过程1、当Hybrid端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID

如果该帧包含802.1Qtagheader，则不改变2、当Hybrid端口发送帧时该帧包含802.1Qtagheader,是否保留tagheader需根据Hybrid端口的设置来决定若端口设置为允许该VLAN的帧tagged，则保留tagheader

若端口设置为允许该VLAN的帧untagged，则剥离802.1Qtagheader下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目4配置管理虚拟局域网授课教师：管秀君吉林交通职业技术学院学习任务4.2VLAN的典型配置4.2.1

VLAN的配置命令VLAN的配置命令1、创建指定VLAN，并进入VLAN模式ZXR10(config)#vlan<vlan-id>3、设置端口的VLAN链路类型ZXR10(config)#interface<interface-name>ZXR10（config-if）#switchportmode{access|trunk|hybrid}2、为创建的VLAN命名Switch(config-vlan)#name<vlan-name>VLAN的配置命令4、把以太网端口加入到指定VLANAccess端口只能加入到1个VLAN，Trunk端口和Hybrid端口可以加入到多个VLAN中。（1）把Access端口加入到指定VLANSwitch(config)#interface

<interface-name>Switch(config-if)#switchportaccessvlan{<vlan-id>|<vlan-name>}（2）让Trunk端口透传指定VLANSwitch(config)#interface<interface-name>Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowedvlan

<vlan-id>VLAN的配置命令5、设置以太网端口的nativeVLAN（PVID）（1）设置Trunk端口的NativeVLANSwitch(config)#interface<interface-name>Switch(config-if)#switchporttrunknativevlan{<vlan-id>|<vlan-name>}（2）设置Hybrid端口的NativeVLANSwitch(config)#interface

<interface-name>VLAN的配置命令6、创建VLAN三层接口Switch(config)#interfacevlan<vlan-id>7、打开/关闭VLAN三层接口Switch(config)#interfacevlan

<vlan-id>Switch(config-if)#noshutdown8、显示VLAN配置Switch#showvlan

{<brief>|<vlan-id>|<vlan-name>}9、把某一端口从VLAN中删除Switch(config)#interface

<interface-name>Switch(config-if)#noswitchportaccessvlanVLAN的配置命令10、VLAN许可、删除等命令格式：Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

其中：vlan-list可以是一个VLAN或以vlann-vlan

m表示一组VLAN，如10～20；all是许可VLAN列表包含所有VLAN；add表示将指定VLAN列表加入许可VLAN列表；remove表示将指定VLAN列表从许可VLAN列表中删除；except表示将除列出的VLAN列表外的所有VLAN加入许可VLAN列表。4.2.2

VLAN的基本配置实例问题提出在组建办公区域网络时发现有些部门的办公地点不在一起，一个部门的办公人员可能分布在不同办公楼内。要求将公司分别在不同地点的多个办公室（二三个办公室）的计算机连接起来，形成一个公司办公区域局域网络，实现公司办公室内部可以相互访问。BADC销售部销售部财务部财务部任务验证：ApingC:连通BpingD:连通ApingB:不通三楼的搂层交换机SW3四楼的搂层交换机SW4Fa0/24Fa0/24Fa0/10Fa0/20Fa0/10Fa0/201、交换机SW3上的配置如下：Switch(config)#hostname

SW3SW3(config)#vlan10SW3(config-vlan)#namexiaoshoubuSW3(config-vlan)#exitSW3(config)#vlan

20SW3(config-vlan)#namecaiwubuSW3(config-vlan)#exitSW3(config)#interfacefastEthernet0/10SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan

10SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/20SW3(config-if)#switchportmodeaccess

SW3(config-if)#switchportaccessvlan

20SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/24SW3(config-if)#switchportmodetrunk

SW3#showinterfacestrunk

PortModeEncapsulationStatusNativevlanFa0/24on802.1qtrunking1

PortVlansallowedontrunkFa0/241-1005

PortVlansallowedandactiveinmanagementdomainFa0/241,10,20

PortVlansinspanningtreeforwardingstateandnotprunedFa0/241,10,202、Fa0/24口的VＬＡＮ配置验证3、SW3的VLAN配置验证下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目4配置管理虚拟局域网授课教师：管秀君吉林交通职业技术学院项目实战任务4.3组建安全隔离的小型局域网项目背景某公司人力资源部、财务处、市场部、技术部分别建立了自己的局域网。并在这四个部门之间实现了资源共享。但是，网路规模的扩大，客户端的计算机配置越来超高，各个客户现之间通过网络传输文件的速度越来越慢，经过技术人员分析，公司交换以太网只隔离了冲突域，但AＲＰ等病毒是在一个广播域内的，为此需要将公司人力资源部、财务处、市场部、技术部各自的局城网划分为更小的迎辑网格，每个迎辑网格（VLAN），可以起到隔离广播和单播流量。而且随着公司业务的发展，公司为市场部新建了营销大楼，同时在市场部中设立了财务科，为了信息的安全，要求公司人力资源部、财务处、市场部、技术部各局域网之间隔离，但是各部门自己内部是连通的。实施条件C1BC2D技术部市场部财务处财务科公司总部SW1营销大搂SW2Fa0/24Fa0/24Fa0/6-17Fa0/18-23Fa0/1-15Fa0/16-20A人力资源部Fa0/1-5方案实施（一）绘制网络拓扑图数据规划（二）方案规划设计部门VLANVLAN名称计算机连接交换机/端口IP地址子网掩码默认网关人力资源部10RLZYBPC1-1SW1/Fa0/1192．168．10．1255．255．255．0192．168．10．254PC1-5SW1/Fa0/5192．168．10．5技术部20JSBPC1-6SW1/Fa0/6192．168．20．6192．168．20．254PC1-17SW1/Fa0/17192．168．20．17财务处30CWCPC1-18SW1/Fa0/18192．168．30．18192．168．30．254PC1-23SW1/Fa0/23192．168．30．23市场部40SCBPC2-1SW2/Fa0/1192．168．40．1192．168．40．254PC2-15SW2/Fa0/15192．168．40．15财务科30CWCPC2-16SW2/Fa0/16192．168．30．16192．168．30．254PC2-20SW2/Fa0/20192．168．30．20实施步骤（三）交换机SW1的配置（１）为交换机命名为SW1并创建VLAN10，创建VLAN10命名为RLZYBSwitch(config)#hostnameSW1SW1(config)#vlan10SW1(config-vlan)#nameRLZYBSW1(config-vlan)#exit（2）创建VLAN20，创建VLAN20命名为JSBSW1(config)#vlan20SW1(config-vlan)#nameJSBSW1(config-vlan)#exit（3）创建VLAN30，创建VLAN10命名为CWCSW1(config)#vlan30SW1(config-vlan)#nameCWC（三）交换机SW1的配置（4）将Fa0/1-5加入到VLAN10中SW1(config)#interfacerangefastEthernet0/1-5SW1(config-if-range)#switchportmodeaccess

SW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#exit（5）将Fa0/6-17加入到VLAN20中SW1(config)#interfacerangefastEthernet0/6-17SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan20SW1(config-if-range)#exit（6）将Fa0/8-23加入到VLAN30中SW1(config)#interfacerangefastEthernet0/18-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan30实施步骤（三）交换机SW1的配置（7）将Fa0/24口设置成trunkSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk

（8）让Fa0/24口透传VLAN30SW1(config-if)#switchporttrunkallowedvlan30SW1(config-if)#exit实施步骤（四）交换机SW2的配置（１）为交换机命名为SW2并创建VLAN30，创建VLAN30命名为CWCSwitch(config)#hostnameSW2SW2(config)#vlan30SW2(config-vlan)#nameCWCSW2(config-vlan)#exit（2）创建VLAN40，创建VLAN40命名为SCBSW2(config)#vlan40SW2(config-vlan)#nameSCBSW2(config-vlan)#exit实施步骤（四）交换机SW2的配置（3）将Fa0/16-20加入到VLAN30中SW2(config)#interfacerangefastEthernet0/16-20SW2(config-if-range)#switchportmodeaccess

SW2(config-if-range)#switchportaccessvlan30SW2(config-if-range)#exit（4）将Fa0/1-15加入到VLAN40中SW2(config)#interfacerangefastEthernet0/1-15SW2(config-if-range)#switchportmodeaccess

SW2(config-if-range)#switchportaccessvlan40SW2(config-if-range)#exit实施步骤（四）交换机SW2的配置（5）将Fa0/24口设置成trunkSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunk

（6）让Fa0/24口透传VLAN30SW2(config-if)#switchporttrunkallowedvlan30SW2(config-if)#exit（五）对各计算机机的IP进行配置实施步骤（六）测试各计算机机（部门）之间的连通性实施步骤（六）测试各计算机机（部门）之间的连通性实施步骤下课，谢谢！授课教师：管秀君吉林交通职业技术学院CLASSOVER,THANKYOU!项目4配置管理虚拟局域网授课教师：管秀君吉林交通职业技术学院拓展任务4.4GVRP协议及配置4.4.1GVRP协议交GARP（GenericAttributeRegistrationProtocol）是一种通用的属性注册协议，它为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的一种手段，如VLAN、多播组地址等。GARP本身不作为一个实体在交换机中存在。遵循GARP协议的应用实体称为GARP应用。目前主要的GARP应用为GVRP和GMRP。GVRP概述GVRP工作原理GVRP是VLAN注册协议，英文全称是GARPVLANRegistrationProtocol。GVRP基于GARP的工作机制，是GARP的一种应用，它维护交换机中的VLAN动态注册信息并传播该信息到其他的交换机中。根据VLAN注册信息，交换机了解到干道链路对端有哪些VLAN，自动配置干道链路，只允许对端交换机需要的VLAN在干道链路上传输。GVRP成员通过声明或回收声明告诉别的GVRP成员希望对方注册或注销自己的VLAN信息，并根据别的GVRP成员的声明或回收声明注册或注销对方的VLAN信息。GVRP的应用实体在协议中被称为GVRPParticipant，在交换机内每一个参与协议的端口可以看为一个应用实体，如图4-18所示。GVRP注册过程通过“声明→注册”的过程，使得链路两端口都具备VLAN2属性，则该VLAN2的帧允许在此链路上传递。GVRP端口注册模式GVRP端口注册模式（1）Normal模式允许该端口动态注册、注销VLAN，传播动态VLAN以及手动配置的VLAN信息，这是端口默认模式。（2）Fixed模式禁止该端口动态注册、注销VLAN，只传播手动配置的静态VLAN信息，不传播动态VLAN信息。也就是说被设置为fixed模式的Trunk口，即使允许所有VLAN通过，实际通过的VLAN也只能是手动配置的那些VLAN。（3）Forbidden模式禁止该端口动态注册、注销VLAN，不传播除VLAN1以外的任何的VLAN信息。也就是说被配置为Forbidden模式的Trunk口，即使允许所有VLAN通过，实际通过的VLAN也只能是缺省VLAN，即VLAN1。4.4.2GVRP配置中兴交换机中GVRP设置GVRP配置命令对接的是中兴的设备中兴交换机中GVRP设置主要包括以下内容：1．使能/关闭系统GVRP功能zte(config)##setgvrp