《网络互联交换技术》课件-模块七：虚拟局域网（VLAN）

主讲：李安邦VLAN概述01传统以太网问题02VLAN划分03VLAN划分.01传统以太网问题广播流量广播可以将信息发送到广播域内的所有设备，这种通信方式对发起者来说是很方便。但对于接收者来说就不太友好了，时不时的就会收到广播，还得去处理它。大量的广播流量也会影响网络性能。ARP、DHCP都使用广播方式通信泛洪处理单播帧PC1PC2有效流量垃圾流量SW1SW2SW3SW4SW5SW6（注：假定此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。）二层广播域(广播域)SW7广播域越大，网络安全问题和垃圾流量问题就越严重。广播域学生172.16.20.0/24VLAN20教师172.16.10.0/24VLAN10访客172.16.30.0/24VLAN30学生172.16.20.0/24VLAN20教师172.16.10.0/24VLAN10访客172.16.30.0/24VLAN30如果没有VLAN技术，我们想要实现同样的效果必然成本也会增加。同时，VLAN也为我们后续的网络管理带来很大的便利。不同VLAN之间的PC，是收不到对方的广播报文，也不能通信。只有处于同一个VLAN内的主机，才能收到对方的广播进而通信。.02VLAN划分根据实际需求灵活地划分同一个VLAN内的设备很容易实现互访，不同VLAN可以根据实际需要灵活制定相应管理策略。使用VLAN不需要我们去插拔线缆就实现了隔离，但是物理结构上所有设备还是连接在一起的。我们也可以创建上千个VLAN，并且它们可以共存。根据实际需求灵活地划分每个VLAN都是一个广播域，在规划设计时，通常一个VLAN对应一个子网。不同VLAN间是相互隔离的，它们想要通信，必须借助三层设备，比如路由器。对于用户而言，使用了VLAN还是没使用VLAN，用户是不知情的。VLAN的划分方式最常见的VLAN应用方式基于接口基于MAC地址基于IP子网基于协议基于策略.03VLAN配置如何进行配置10.1.1.0/24VLAN1010.2.2.0/24VLAN2010.3.3.0/24VLAN30G0/0/1G0/0/2还有一种批量创建vlan的方式，vlan后面跟batch，再跟多个vlan-ID，vlan-ID用空格隔开。如果是多个连续的VLAN，可以直接使用to来表示。VLAN10VLAN201020vlan-ID10.1.1.0/24VLAN1010.2.2.0/24VLAN2010.3.3.0/24VLAN30G0/0/1G0/0/2portlink-typeaccessportdefaultvlan10建议大家开始输入命令的全称，熟练后开始使用简写。如何进行配置验证配置代表这两个接口已经被划分到VLAN了。组播帧在做实验时，一定要使用查看命令检查配置结果，形成人机对话，不要只顾配命令。01传统以太网带来的问题02Vlan的作用03如何进行VLAN划分04VLAN配置和应用主讲：李安邦VLAN中继-TRUNK01VLAN跨设备通信02VLAN标签03TRUNK配置.01VLAN跨设备通信172.16.20.10/24VLAN20172.16.10.10/24VLAN10172.16.30.10/24VLAN30172.16.10.10/24VLAN10172.16.20.10/24VLAN20172.16.30.10/24VLAN30172.16.20.10/24VLAN20172.16.10.10/24VLAN10172.16.30.10/24VLAN30[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typeaccess[Huawei-GigabitEthernet0/0/1]portdefaultvlan10？G0/0/1G0/0/1SW1SW2SW3因此，ACCESS模式在大多数情况下不适用于交换机相连的接口。交换机内部；交换机内部Access接口GE0/0/1Access（VLAN10）接收流量10无标记帧接口收到Untagged帧：接收该帧，并打上该接口PVID的Tag。GE0/0/1Access（VLAN10）10接口收到Tagged帧：当该帧的VLANID与该接口的PVID相同时，接收该帧；不同时，丢弃该帧。10交换机内部交换机内部Access接口发送流量GE0/0/1Access（VLAN10）无标记帧帧的VLANID与接口PVID相同：先剥离该帧的Tag，然后再将其从该接口发出。GE0/0/1Access（VLAN10）20帧的VLANID与接口PVID不同：禁止将该帧从该接口发出。10无标记帧标记帧10.02VLAN标签自身的配置VLAN10VLAN2020SW1SW2每台交换机在处理报文时，接收接口是ACCESS模式还是TRUNK模式，进一步的参数是什么，本交换机是明确知晓的。自身的配置VLAN10VLAN2020SW1SW2比如我们刚才提到的ACCESS接口，交换机尽管收到普通的、没任何标记的流量，但是通过接口的配置可以知晓该流量应该属于哪个VLAN。流量识别VLAN10VLAN2020SW1SW2其做法是在普通流量的帧头部插入一个标签，接收设备通过读取标签里的信息，就知道该流量的归属。流量识别VLAN10VLAN2020SW1SW2插入标签的方式可能有所不同，现在大多数厂商采用的标准是IEEE802.1Q。这种加标签的方式是在传统的以太网帧中插入4个字节的标签，又称VLANTAG。帧标签帧标记是将VLAN标签添加到帧的过程帧标签帧标记用于通过中继链路正确传输多个VLAN帧。交换机标记帧，以确定它们所属的VLAN。存在不同的标签协议；IEEE802.1Q是常用的协议。在将标记后的帧放入中继链路（TRUNK链路）前，交换机会将VLAN标签添加到帧。一旦正确标记，帧可以通过中继链路经过任意数量的交换机，并在VLAN中进行转发。TRUNK接口最大的不同在于该模式可以允许多个VLAN通过第一点允许放行第二点标记华为设备默认是只允许VLAN1的流量通过，其他VLAN都被阻拦。我们希望该接口发送和接收哪些VLAN的流量，就应该将相应VLAN放行。TRUNK接口有个PVID的概念，如果将PVID设置成某个VLAN，则接收到不带标记的流量；发送流量时，该VLAN流量不带标记，其他需要带标记。PVID主要用于同不支持VLAN标记的设备兼容。.03TRUNK配置如何进行配置[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typetrunk[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlan10AP将接口设置为TRUNK模式portlink-typetrunk接口放行VLAN10和VLAN20porttrunkallow-passvlan1020将该接口的PVID设置为VLAN10porttrunkpvidvlan10如何进行配置172.16.20.10/24VLAN20172.16.10.10/24VLAN10172.16.30.10/24VLAN30172.16.10.10/24VLAN10172.16.20.10/24VLAN20172.16.30.10/24VLAN30172.16.20.10/24VLAN20172.16.10.10/24VLAN10172.16.30.10/24VLAN30[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typetrunk[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan102030√G0/0/1G0/0/1G0/