《VLAN的配置应》PPT课件.ppt

1 第7章 VLAN的配置应用 7.1、目的： 1 熟悉交换机VLAN的工作原理； 2 掌握VLAN的分类方法； 3 了解VLAN技术应用的特点； 4 掌握基于端口划分的VLAN设置方法； 5 掌握位于不同VLAN之间，计算机进行通 信的检验方法。 2 第7章 VLAN的配置应用 7.2、要求与环境 1 应用要求 （1）用一台PC作为交换机的控制终端，并通过交换机的 console端口与交换机相连； （2）利用show命令查看交换机相关的VLAN信息；如，查看交 换机各端口的VLAN特征等。 （3）对交换机进行基于端口的VLAN划分； （4）验证 VLAN2的成员之间能够互相通信； VLAN3的成员能够互相通信； VLAN2和VLAN3成员之间不能互相通信； 交换机缺省出厂设置情况下，计算机之间能够互相通信。 2 环境要求 联想iSpirit2924G/F以太网交换机1-2台，2-3台PC机，专 用配置电缆一根，网线若干。 3 第7章 VLAN的配置应用 7.3、虚拟局域网VLAN技术： 7.3.1 VLAN工作原理； 7.3.2 VLAN的特点； 7.3.3 VLAN的分类； 7.3.4 VLAN的互连； 7.3.5 VLAN应用案例 。 4 第7章 VLAN的配置应用 7.3.1 VLAN工作原理： 在计算机网络发展初期，许多单位由于人员较少、 业务单纯，对计算机网络的应用要求不高，为了节约 成本，这些单位的网络大多采用通过路由器实现网络 分段的简单结构，如图7.1所示。 随着企业规模的不断扩大以及业务种类的多样化， 特别是多媒体在企业网中的应用，这样的网络环境使 内部的数据传输量非常大。此外，由于移动办公等的 需要，使得一个部门的员工不能相对集中办公。这些 新出现的需求，诞生了虚拟局域网（Virtual LAN）技 术。 5 图7.1早期的计算机网络应用 6 第7章 VLAN的配置应用 7.3.1 VLAN工作原理： VLAN是指在物理网络基础 架构上，利用交换机和路由器 的功能，配置网络的逻辑拓扑 结构，从而允许网络管理员任 意地将一个局域网内的任何数 量网段聚合成一个用户组，就 好像它们是一个单独的局域网 。简单地说，VLAN将区域分 散的组织在逻辑上成为一个新 的工作组，而且同一工作组的 成员能够改变其物理地址而不 必重新配置节点。 VLAN的工作原理如图7.2所 示。 7 图7.2 VLAN的原理图 8 第7章 VLAN的配置应用 7.3.1 VLAN工作原理： 用交换机建立虚拟网就是使原来的一个大广播域（ 如：交换机的所有端口）逻辑的分为若干个“子广播域 ”，在子广播域里的广播只会在该广播域内传送，其它 的广播域是收不到的。如图7.3所示。 图7.3中，交换机原来的广播域18 端口被划分成 了两个子广播域，VLAN1包括了原来的12，68 端口，VLAN2 包括了原来的35 端口，因此12， 68 端口收到的广播数据帧就不会转发到VLAN 2中 的端口上，同样，35 端口上收到的广播报文也不会 转发到VLAN 1 中的端口上。这种结构就减少了整个 交换式以太网中广播报文的数量，从而增加了网络的 安全性。 9 图7.3 使大广播域划分 成若干个子广播域 10 第7章 VLAN的配置应用 7.3.2 VLAN的特点： 在使用带宽、灵活性、安全性能等方面，虚拟局域网显示 出了很大的优势，能够方便地进行用户的增加、删除、移动等 工作，提高网络管理的效率。此外，虚拟局域网具有以下特点 ： 1 灵活的、软定义的、边界独立于物理媒质的设备群。VLAN 概念的引入，使交换机承担了网络的分段工作，而不再使用路 由器来完成。通过使用VLAN，能够把原来一个物理的局域网 划分成很多个逻辑意义上的子网，而不必考虑具体的物理位置 ，每一个VLAN都可以对应于一个逻辑单位，如部门、车间和 项目组等。 2 广播流量被限制在软定义的控制边界内，阻止广播风暴，将 信息有效隔离，从而提高了网络的安全性。如图7.4所示。由于 在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的 主机，因此减少了数据窃听的可能性，极大地增强了网络的安 全性。 11 第7章 VLAN的配置应用 7.3.2 VLAN的特点： 3 在同一个虚拟局域网成员之间提供低延迟、线速 的通信。能够在网络内划分网段或者子网段，提高网 络分组的灵活性。VLAN技术通过把网络分成逻辑上 的不同广播域，使网络上传送的包只在与位于同一个 VLAN的端口之间交换。这样就限制了某个局域网只 与同一个VLAN的其它局域网互相连，避免浪费带宽 ，从而消除了传统的桥接交换网络的固有缺陷 包经常被传送到并不需要它的局域网中。也改善了网 络配置规模的灵活性，尤其是在支持广播多播协议 和应用程序的局域网环境中，会遭遇到如潮水般涌来 的包。而在 VLAN结构中，可以轻松地拒绝其他 VLAN的包，从而大大减少网络流量。 12图7.4控制广播风暴 13 第7章 VLAN的配置应用 7.3.2 VLAN的特点： 4 简化了网络管理。一方面，可以不受网络用户 的物理位置限制而根据用户需求进行网络管理，如同 一项目或部门中的协作者，功能上有交叉的工作组， 共享相同网络应用或软件的不同用户群。另一方面， 由于VLAN 可以在单独的交换设备或跨多个交换设备 实现，也会大大减少在网络中增加、删除或移动用户 时的管理开销。增加用户时只要将其所连接的交换机 端口指定到其所属于的VLAN 中即可；而在删除用户 时只要将其VLAN 配置撤销或删除即可；在用户移动 时，只要他们还能连接到任何交换机的端口，则无须 重新布线。 14 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 常见的虚拟局域网VLAN划分有三种方式：基于端口、基 于硬件MAC地址和基于网络协议应用等。 1 基于端口划分的VLAN 基于端口的虚拟局域网划分是比较流行和最早的划分方式， 其特点是将交换机按照端口进行分组，每一组定义为一个虚拟 局域网。 按端口划分VLAN, 只需针对网络设备的交换端口进行重新 分配并组合到不同的逻辑网段中即可, 不用考虑该端口所连接 的设备是什么。基于端口划分的VLAN有如图7.5所示的结构。 15 图7.5基于端口划分的VLAN 16 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 图7.5中，将一个LAN划分为三个VLAN，即：财务部 、工程部以及业务部门，端口划分到哪个VLAN,端口所连 接的设备就属于哪个VLAN。分配到同一VLAN网段上的 所有站点都在同一个广播域中,可以直接通信,不同VLAN站 点间的通信则需要通过路由器或支持3 层路由协议的交换 机进行。 基于端口划分VLAN是最常用、最有效的一种方式, 这 种划分的方法的优点是定义 VLAN 成员时非常简单，只要 将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN 的用户离开了原来的端口，到了一个新的交换机的 某个端口，那么就必须重新定义。 17 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 2 基于MAC地址划分VLAN 按MAC地址划分VLAN是一种基于用户的划分法，根据需 要将某些设备的MAC地址划分在同一个VLAN中,交换机跟踪 属于自己VLAN的MAC地址。 这种方式允许网络设备从一个物理位置移动到另一个物理 位置,能够很好地解决网络站点的移动问题。 基于MAC地址划分的VLAN其工作原理如图7.6所示。 18 图7.6基于MAC地址划分的VLAN 19 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 2 基于MAC地址划分VLAN 图7.6中，假定有一个MAC地址“A”的计算机被交换机 设定为属于VLAN“10”，那么不论MAC地址为“A”的这台 计算机连在交换机的哪个端口，该端口都会被划分到 VLAN10中去。如果计算机连在端口1时，端口1属于 VLAN10；而计算机连在端口2时，则是端口2属于 VLAN10。 这种方式在网络规模较小时是一个好方法,但随着网络规 模的扩大,网络设备、用户的增加,就会在很大程度上加大网 络管理的难度。此外，在多个不同VLAN的成员同时存在 于同一个交换端口时可能会导致网络性能下降,在大规模的 VLAN交换设备之间进行VLAN成员身份信息的交换也可能 引起网络性能下降。 20 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 3 基于网络协议划分VLAN VLAN按网络协议来划分,就是将根据IP和IPX协议以及其 他一些协议进行分类，对同一协议的工作站划分为一个 VLAN。 对使用IP协议的计算机而言，基于网络协议的VLAN，可 通过所连计算机的IP地址来决定端口所属的VLAN。只要计 算机的IP地址不变，其VLAN就不会改变。 基于网络协议的VLAN其工作原理如图7.7所示。 21 图7.7 基于网络协议的VLAN 22 第7章 VLAN的配置应用 7.3.3 VLAN的分类： 3 基于网络协议划分VLAN 基于网络协议的VLAN方式容许一个VLAN跨越多个交换机, 不但大大减少人工配置VLAN的工作量,而且用户可以在网络内 部自由移动工作站而无需重新配置网络地址,从而大大提高网络 管理的效率。 这种方法的优点是用户的物理位置改变了，不需要重新配置 所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络 管理者来说很重要，还有，这种方法不需要附加的帧标签来识 别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层 地址是需要消耗处理时间的，一般的交换机芯片都可以自动检 查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需 要更高的技术，同时也更费时。 23 第7章 VLAN的配置应用 7.3.4 VLAN的互连 ： 1 传统路由器方法 所谓传统路由器方法，就是使用路由器将位于不同VLAN 的交 换端口连接起来，这种方法的缺点是：对路由器的性能有较高 要求；同时如果路由器发生故障，则VLAN之间就不能通信。 2 采用路由交换机 如果交换机本身带有路由功能，则VLAN 之间的互连就可在交 换机内部实现，即采用第3 层交换技术。第3层交换技术也叫路 由交换技术，是各网络厂家最新推出的一种局域网技术，具有 良好的发展前景。它将交换技术（Switching）和路由技术（ Routing）相结合，很好地解决了在大型局域网中以前难以解 决的一些问题。如图7.8所示。 24 第7章 VLAN的配置应用 7.3.4 VLAN的互连 ： 图7.8中，有9 个工作站被分配在3 个楼层中， 构成了3 个局域网，即LAN3：（A1，B1，C1）， LAN2：（A2，B2，C2），LAN1：（A3，B3， C3）。这9 个用户划分为3 个工作组，也就是说划 分为3 个虚拟局域网（VLAN）。即：VLAN1：（ A1，A2，A3），VLAN2：（B1，B2，B3）， VLAN3：（C1，C2，C3）。VLAN1、VLAN2和 VLAN3之间的互连通过路由交换机实现。 25 图7.8采用路由交换机实现VLAN之间的连接 26 第7章 VLAN的配置应用 7.3.5 VLAN的应用案例： (1)需求 假设某单位由A、B、C 三个部门组成,每个部门 大约有10台主机需要上网,并且该单位有两个办公地点, 分别在一幢楼的1 楼和2 楼,两个办公地点都能提供A、 B、C三个部门的用户上网的服务,每个部门在一个办公 地点各有5台主机需要上网。该单位申请了3个合法的 网段,网络地址分别为211.69.1.0/24、211.69.2.0/24 、 211.69.3.0/24 ,该单位要实现相同部门之间的主机通过 二层交换机能快速通信,不同部门之间的主机经过三层 设备相互通信。 27 第7章 VLAN的配置应用 7.3.5 VLAN的应用案例： (2)需求分析 该单位由三个部门组成,又申请了三个网段,考虑 到用VLAN 技术在交换机上来实现各部门间的隔离,因 此,把三个部门划分在不同的VLAN 中。由于该部门1 楼和2 楼都有三个部门的用户,所以,可以采用基于端口 的VLAN 技术,在1楼放置一个三层交换机和两个二层 交换机,在2 楼放置1 个二层交换机。1楼和2楼交换机 之间,直接用双绞线相连,这样同一部门的用户可以只经 过二层交换机快速通信,而部门间要通信需要路由设备 。而从速度方面考虑,采用三层交换机而不采用路由器 来实现VLAN 间信息的快速转发,为了节省三层交换机 的端口,只使用三层交换机的一个端口来实现。 28 第7章 VLAN的配置应用 7.3.5 VLAN的应用案例： (3) 设计 设计结构如图7.9所示。 用四台华为交换机,分别是3526三层交换机一台 ,2403二层交换机三台。给3526交换机命名为S3526 , 其余三台2403 交换机分别命名为S2403A、S2403B 、S2403C ,交换机S3526 、S2403C 和S2403A 放在 1楼,交换机S2403B放在2楼。其中在S2403B和 S2403C交换机上进行VLAN划分,并用这两台交换机 的E0/25端口分别和S2403C交换机的E0/ 2、E0/3相 连,S2403C交换机通过E0/1和三层交换机S3526的 E0/1相连。 29 第7章 VLAN的配置应用 7.3.5 VLAN的应用案 例： (4) 实施 经过设计,A部门的主机 用二层交换机的E0/1- E0/8 端口进行上网,B部门的主 机用二层交换机的E0/9- E0/16端口进行上网,C部门 的主机用二层交换机的 E0/17- E0/24端口进行上网 ,这样满足了用户的要求。 具体步骤参见教程。 图7.9 VLAN应用案例拓扑图 30 第7章 VLAN的配置应用 7.4 VLAN的简单配置命令： 下面结合联想iSpirit2924G/F以太网交换机，介绍常用 的交换机VLAN配置命令。其他品牌的交换机，其VLAN设 置方法参考该产品的使用手册。 为了使用户能够很方便地使用、配置VLAN功能， iSpirit2924G/F以太网交换机给出多样化的命令，这些命 令主要在VLAN配置模式以及Port Range配置模式下进行 。 1 创建或删除VLAN 下面的命令在全局配置模式下创建VLAN。 （1）如果输入VLANID，此时只创建一个VLAN，并进入 VLAN配置模式；如果该VLAN已经存在，则不创建，只进 入该ID的VLAN配置模式。 命令格式：vlan （2）删除VLAN 命令格式：no vlan 31 第7章 VLAN的配置应用 7.4 VLAN的简单配置命令： 2 显示VLAN的信息 iSpirit2924G/F以太网交换机支持多种模式下查看VLAN 的信息，包括VLAN的总体信息和VLAN内端口成员的相关 信息。 （1）show vlan 不带任何参数的show vlan命令则显示出所有VLAN的 总体信息。 （2）show vlan 指定vlanid参数的show vlan命令则显示出该VLAN内 端口成员的相关信息。 32 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.1网络环境 将二台（或更多计算机）通过 iSpirit2924G以太网交换机相连接 ，如图7.10所示。 实验所定义的VLAN成员之间的 关系表如下。 表7-1 交换机VLAN成员关系表 33图7.10 交换机VLAN的配置环境图 34 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.2 VLAN的配置 步骤1 交换机缺省设置情况下VLAN的特点 （1）利用第6章交换机的基本配置知识，在本地配置方式下， 打开【超级终端】，进入交换机的配置界面； （2） 交换机缺省设置情况下，查看交换机的VLAN的号 Switch# show vlan 对于一个未做任何VLAN划分的交换机而言，此时应该有全部交 换机的端口都属于一个VLAN（即VLAN1），而且只有一个VLAN存 在。 （3）如果此时查看到多个VLAN存在，可以用如下命令，恢复交 换机的出厂参数。 Switch# reset factory /将交换机恢复到出厂模式，再观察 VLAN的特点。 35 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.2 VLAN的配置 步骤2 验证交换机的VLAN （1） 按照图7.10所示的结构，将两个PC机连接成局域网； （2）为两个PC机设置好不同的IP地址，要求两个IP地址位于同一个网 段。例如user1的IP地址为192.168.1.10, user2的IP地址为 192.168.1.20，子网掩码全部设置为255.255.255.0。 （3）任意选择一个PC机，在DOS提示符 C:下，利用ping命令检验 联网的二台PC机之间能否进行通讯。 本例中，由于两个PC机的IP地址位于同一个网段，并且联网所用的 交换机只有一个VLAN存在（如果有多个VLAN存在，则按照步骤1的（3 ）将交换机恢复出厂设置），因此，此时二台PC机之间应能进行正常 的通讯。 36 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.2 VLAN的配置 步骤 具体配置语句如下： Switch# vlan 2 Vlan 2 added Switch(vlan-2)# untag 1 3 Switch(vlan-2)#exit Switch# vlan 3 Vlan 3 added Switch(vlan-3)# untag 2 4 Switch(vlan-3)# exit Switch# show vlan Switch# show vlan 2 Switch# show vlan 3 37 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.2 VLAN的配置 步骤4 验证位于不同VLAN之间的两个PC机的通信情况 （1）通过ping命令方式验证 任意选择一个PC机，在DOS提示符 C:下，利用ping命令检验联网的二 台PC机之间能否进行通讯。 本例中，尽管两个PC机的IP地址位于同一个网段，但由于两个PC分属于不同 的VLAN，因此，此时两台PC机之间不能进行正常的通信。 （2） 通过show命令查看 查看此时交换机共有哪些VLAN， Switch# show vlan 查看连接特定PC机的端口是否在那个VLAN内，并且是以”U”的形势加入的 Switch# show vlan 2 查看那个特定的端口，端口的id号必须和端口所在vlan的号一致 Switch# show port 2 38 第7章 VLAN的配置应用 7.5、方法和主要步骤： 7.5.2 VLAN的配置 步骤5 验证位于同一个VLAN之间的两个PC机的通信情况 （3） 设法将两个PC机连接在同一个VLAN中。如，将user2接在 VLAN2的另外一个端