HM-022VLAN基础(V5.1).ppt

HM-022 VLAN基础,ISSUE 5.1,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解VLAN产生背景 掌握VLAN协议 掌握VLAN动态注册协议 掌握VLAN配置 掌握VLAN的新特性,课程目标,学习完本课程，您应该能够：,第一节 虚拟局域网概述 第二节 IEEE802.1Q协议 第三节 VLAN注册协议 第四节 VLAN的配置 第五节 VLAN新特性,目录,VLAN的产生原因广播风暴,广播,通过路由器将网络分段,路由器,广播,通过VLAN划分广播域,Broadcast Domain 1 VLAN 10,Broadcast Domain 2 VLAN 20,Broadcast Domain 3 VLAN 30,市场部,工程部,财务部,基于端口的VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port 1,VLAN 5,Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,基于MAC地址的VLAN,VLAN表,MAC地址,所属VLAN,MAC D,VLAN 10,VLAN 5,VLAN 10,VLAN 5,MAC A,MAC B,MAC C,MAC D,主机A,主机B,主机C,主机D,以太网交换机,Port 1,Port 2,Port 7,Port 10,基于协议的VLAN,VLAN表,协议类型,所属VLAN,IPX协议,IP协议,VLAN 5,VLAN 10,使用IPX协议,运行IP协议,使用IPX协议,运行IP协议,主机A,主机B,主机C,主机D,以太网交换机,Port 1,Port 2,Port 7,Port 10,基于子网的VLAN,VLAN表,所属VLAN,VLAN 5,VLAN 10,1.1.1.5,1.1.2.88,1.1.1.8,1.1.2.99,主机A,主机B,主机C,主机D,以太网交换机,Port 1,Port 2,Port 7,Port 10,第一节 虚拟局域网概述 第二节 IEEE802.1Q协议 第三节 VLAN注册协议 第四节 VLAN的配置 第五节 VLAN新特性,目录,IEEE802.1Q概述,VLAN帧格式,标准以太网帧,带有IEEE802.1Q标记的以太网帧,Access Link和Trunk Link,Access link,Trunk link,Hybrid Link,Access link：只能允许某一个VLAN的untagged数据流通过。 Trunk link：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。 Hybrid link：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。 发送数据时，VLAN ID在tagged list中时携带tag标记，VLAN ID在untagged list中时删除tag标记。 接收数据时，untagged数据流属于PVID的VLAN，tagged数据流保持VLAN ID不变。 Hybrid link 是实现Isolate-user-VLAN的关键。 Hybrid link可以实现资源共享网络连接。,数据帧在网络通信中的变化,VLAN2,VLAN3,VLAN3,VLAN2,带有VLAN3标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的 以太网帧,Trunk Link和VLAN,VLAN10,VLAN2,VLAN10,VLAN3,VLAN2,VLAN10,VLAN5,VLAN5,VLAN2,VLAN5,广播报文发送,Trunk Link,第一节 虚拟局域网概述 第二节 IEEE802.1Q协议 第三节 VLAN注册协议 第四节 VLAN的配置 第五节 VLAN新特性,目录,GARP基础,属性声明和注册,属性声明和注册,GARP报文,上图：GARP模型 右图：GARP工作过程,a:表示某个需要注册的属性 A：对这个属性的声明,属性会通过GARP“声明注册声明”的过程传播到整个网络中,GVRP裁剪,A,B,A,B,GVRP实体,GVRP实体,trunk,trunk,由于对端只有VLAN 1，GVRP协议配置该Trunk链路只传送VLAN 1的报文,对端新增VLAN 2，GVRP协议动态注册VLAN 2信息，同时配置Trunk 链路允许传送VLAN 2的报文,C,C,GVRP实体,trunk,GVRP实体,trunk,VLAN 1,VLAN 1,VLAN 1,VLAN 1,VLAN 2,VLAN 2,VLAN 2,第一节 虚拟局域网概述 第二节 IEEE802.1Q协议 第三节 VLAN注册协议 第四节 VLAN的配置 第五节 VLAN新特性,目录,Port-based VLAN基本配置,创建删除VLAN Vlan vlan-id undo vlan vlan-id 给VLAN增加删除成员端口 port interface-list Undo port interface-list Interface-list ：由端口类型和端口序号组成 端口类型有Ethernet，GigabitEthernet或TenGigabitEthernet 端口序号由槽号/端口号的二元组或者单元号/槽位号/端口号的三元组组成,Protocol-based VLAN基本配置,创建VLAN vlan vlan-id 配置protocol-based VLAN protocol-vlan protocol-index at |ip (subnet (mask)|ipx (encap)| mode mode encap ：指定IPX报文的封装格式，可选ethernetii，llc，raw，snap。 mode：指定数据帧的封装格式， ethernetii，llc，snap。 应用协议VLAN到端口 port hybrid protocol-vlan vlan vlan-id protocol-index 必须要求端口链路类型为hybrid。,Access Link 的VLAN配置,配置端口的链路类型为Access Port link-type access 端口的缺省链路类型为access 配置恢复Access Link所属的VLAN port access vlan vlan-id Undo port access vlan vlan-id Access link的缺省属于VLAN 1。 Vlan-id的取值范围为14094。 Access link只能属于某一个VLAN。,Trunk Link的VLAN配置,配置端口的链路类型为Trunk port link-type trunk 端口的链路类型缺省为access 配置Trunk link的PVID Port trunk pvid vlan vlan-id Trunk link的缺省PVID为1 配置Trunk link允许通过的VLAN Port trunk permit vlan vlan-id-list | all,Hybrid Link的VLAN配置,设置端口的链路类型为Hybrid port link-type hybrid 设置Hybrid端口的PVID port hybrid pvid vlan vlan_id undo port hybrid pvid 将Hybrid端口加入到指定的已经存在的VLAN port hybrid vlan vlan_id_list tagged| untagged Tagged：发送流量时携带tag标记 Untagged：发送流量时不携带tag标记 undo port hybrid vlan vlan_id_list,Hybrid Link配置实例,PCA和PCC均属于VLAN 2 PCB和PCD均属于VLAN 3 配置Hybrid端口的tagged list为VLAN 2，untagged list为VLAN 3 保持Hybrid端口的PVID为默认值1,access,access,Hybrid,Hybrid,PCA,PCD,S3000A,S3000B,PCC,PCB,VLAN 特殊功能简介,某些交换机支持的VLAN数量不足而又需要完成大量VLAN ID的上传时，交换机因为不能创建足够的VLAN而不能胜任。 H3C交换机支持关闭VLAN功能来解决上述问题。 关闭了VLAN特性的交换机不具备VLAN隔离的功能，交换机在转发数据时不再考虑数据帧中的VLAN ID。,S3500,S3000,S2000,S2000,S3000上行连接3500，下行连接多个S2000，要求所有S2000的端口在二层进行两两隔离，并同时要求S2000上所有的VLAN ID都能够被S3500感知。,VLAN 特性配置,使能VLAN 特性 S3000 vlan enable 缺省情况下，VLAN特性开启 关闭VLAN特性： S3000 vlan disable H3C公司的如下交换机支持关闭VLAN特性 S2000系列交换机中的S2016-EI，2403H-EI S3000系列交换机中的S3026，S3026C S3500系列交换机中的S3526E，S3526C,VLAN的常用维护命令,增加/删除VLAN描述字符： description string undo description 显示交换机上的VLAN信息 display vlan static| dynamic Static：显示静态VLAN信息 Dynamic： 显示动态VLAN信息 无参数时，显示所有VLAN信息 显示某个VLAN的端口成员信息 display vlan vlan-id 显示所有VLAN的端口成员信息 display vlan all,VLAN的常用维护命令,显示指定VLAN上配置的协议信息及协议的索引 display protocol-vlan vlan vlan_id to vlan_id | all 显示指定端口上配置的协议信息及协议的索引 display protocol-vlan interface interface-type interface-number | interface-name to interface-type interface-num | interface-name | all ,GVRP配置,开启/关闭GVRP协议： gvrp undo gvrp 设置每个Trunk链路的GVRP注册类型： gvrp registration normal | fixed | forbidden normal：允许在该接口静态和动态创建、注册和注销VLAN。 normal是接口的缺省注册模式 fixed ：允许手工静态创建和注册VLAN，禁止动态的注册，声明和注销VLAN forbidden：将注销除VLAN1之外的所有VLAN，并且禁止在该接口上创建，声明和注册任何其它VLAN undo gvrp registration,GVRP监控和维护,显示GVRP统计信息 display gvrp statistics ports_list 显示GVRP全局状态信息 display gvrp status 开启/关闭GVRP的数据包或事件调试开关 undo debug gvrp packet | event,GVRP配置案例（1）,VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,VLAN 5VLAN10,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1,GVRP配置案例（2）,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1 (Fixed),VLAN 5VLAN10,VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,GVRP配置案例（3）,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1(forbidden),VLAN 5VLAN10,VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,GVRP配置案例（4）,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1 (trunk 15-24),VLAN 5VLAN10,VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,GVRP配置举例,配置Switch_A 创建VLAN 配置以太网端口Ethernet0/10为Trunk端口，并允许所有VLAN通过 开启全局GVRP 在Trunk端口上开启端口GVRP 配置Switch_B 创建VLAN 配置以太网端口Ethernet0/11为Trunk端口，并允许所有VLAN通过 开启全局GVRP 在Trunk端口上开启端口GVRP,trunk,Switch_A,Switch_B,0/10,0/11,第一节 虚拟局域网概述 第二节 IEEE802.1Q协议 第三节 VLAN注册协议 第四节 VLAN的配置 第五节 VLAN新特性,目录,Super VLAN简介,Super VLAN是在网络地址日益紧张的基础上提出来的，它解决VLAN虚接口占用大量IP地址的问题。 支持Super VLAN功能的交换机允许在Super VLAN上配置一个IP地址，而其它Sub VLAN通过ARP代理借用Super VLAN的接口IP地址进行三层通信。,VLAN2,VLAN3,VLAN4,Super VLAN5,Super VLAN配置,配置VLAN类型为Super VLAN super vlan undo super vlan Super VLAN中不能包含任何端口 Super VLAN开启后，ARP proxy自动开启 Super VLAN开启后，对应VLAN接口的ARP proxy不能关闭 配置Sub VLAN（同普通VLAN的配置） 配置Super VLAN和Sub VLAN的映射关系 subvlan sub-vlan-list 建立映射前，Sub VLAN必须已经包含了端口 映射关系一旦建立，不能修改Sub VLAN的端口列表,Super VLAN配置举例,在如图所示网络中，配置VLAN10 为Super VLAN，VLAN2，3，4为Sub VLAN。要求Sub VLAN的主机能够与远端三层互通。 两交换机之间运行路由协议或配置静态路由。,VLAN2,VLAN3,VLAN4,VLAN10,VLAN1,VLAN5,Switch_A,Switch_B,Isolate-user-VLAN简介,Isolate-user-VLAN采用二层结构，可以节省VLAN ID资源： 支持Isolate-user-VLAN的交换机上存在一个或多个Isolate-user-VLAN 和多个Secondary VLAN。 一个Isolate-user-VLAN包含多个Secondary VLAN，对于上层交换机只能见到 Isolate-user-VLAN。 一个Isolate-user-VLAN对应一个IP子网，即同一个Isolate-user-VLAN 中包含的所有Secondary VLAN处在同一个子网中。,S3026,access,access,S2016,S2016,Isolate-user-VLAN的配置,配置Isolate-user-VLAN isolate-user-vlan enable undo isolate-user-vlan enable 设置Isolate-user-VLAN和Secondary VLAN的映射关系 isolate-user-vlan isolate_user_vlan_num secondary secondary_vlan_numlist undo Isolate-user-vlan isolate_user_vlan_num secondary secondary_vlan_numlist ,Isolate-user-VLAN的配置举例,S3026,e0/7,e0/8,e0/9,e0/9,e0/1,e0/2,