任务4控制交换网中的广播流量.ppt

交换机的配置与管理,任务4控制交换网中的广播流量,学习目标,不同业务部门网络的隔离跨交换机的相同业务网络的连通使用三层交换机实现VLAN之间互访,学习完本任务，应该能够掌握：,不同业务部门网络的隔离,多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？不同部门使用不同网段地址不同部门使用相同网段地址，设置VLAN,任务描述,任务分析,多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法一不同部门使用不同网段地址使用PT模拟器演示,任务分析,多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法二：不同部门使用相同网段地址，但设置不同VLAN使用PT模拟器演示,4.1.1VLAN概述,广播帧指目的MAC地址是FFFF.FFFF.FFFF的数据帧，其目的是要让本地网络中的所有设备都收到，如ARP请求包。,二层交换机3,广播帧,二层交换机工作在数据链路层的设备，端口收到数据帧后根据目的MAC地址进行转发。因此，把广播帧从源端口之外的所有端口转发出去，所以二层交换机不能隔离广播域。,设备发出的广播帧在广播域中传播，占用网络带宽，降低设备性能。,二层交换机2,二层交换机1,三层交换机或路由器,PCA,PCB,PCC,PCD,广播帧1,广播帧2,三层交换机或路由器工作在网络层的设备，端口收到数据帧后，对帧进行解封装，取出其中的IP数据包，然后根据IP数据包中的IP地址进行路由。因此，三层交换机或路由器不会转发广播帧，广播在三层端口被隔离。,在网络中使用三层交换机或路由器，可以减小广播域，减少网络带宽浪费。,4.1.1VLAN概述,二层交换机,PCA,PCB,PCC,PCD,广播帧,二层交换机使用VLAN隔离广播，减小广播域范围。每个VLAN就是一个广播域，不同VLAN间不能直接互通，只能通过路由。,4.1.1VLAN概述,4.1.1VLAN概述,VLAN是virtuallocalareanetwork(虚拟局域网)的缩写。VLAN主要为了解决交换机在进行局域网互连时无法限制广播的问题。VLAN是一种将物理局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。每个VLAN就是一个广播域。每个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。每个VLAN内的主机间可通信，而不同VLAN间的主机则不可以直接互通。,VLAN基本概念,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。只有处于同一个vlan之间的端口才能相互转发报文，能将网络划分为多个广播域，从而可以有效地防止网络广播风暴。,4.1.2VLAN产生的原因及优点,VLAN产生的原因：基于网络性能的考虑基于安全因素的考虑基于组织结构的考虑基于网络成本的考虑参看教材自学本节内容,VLAN优点：有效控制广播域范围广播域被限制在一个VLAN内，广播流量仅在VLAN中传播，节省了带宽，提高了网络处理能力增强局域网的安全性不同VLAN不能直接通信，杜绝了广播信息的不安全性端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的灵活构建虚拟工作组同一VLAN的用户不必局限于某一固定的物理范围更改用户所属的VLAN网络不必换端口和连线，只需更改软件配置,4.1.2VLAN产生的原因及优点,在VLAN中，由于数据帧只能被发往同一VLAN内的成员，在实际应用中需要解决两个问题：交换机如何区分不同VLAN？交换机间如何交换相同VLAN的信息？,4.1.3VLAN标准,IEEE802.1Q标准,帧标记法不支持VLAN的设备会把这种帧当成无效帧而丢弃各个厂商之间的兼容性问题,每台交换机上可以连接主机的接口数量随着VLAN数量的增加会大大减少,标记法（补充）,交换机内部,数据1,数据2,VLAN标签,可用showmac-address-table命令查看,VLAN标签,交换机内部,VLAN101,不考虑VLAN时，以太网交换机根据MAC地址表来转发数据帧，如果是广播帧，则从源端口外的所有端口转发出去。在VLAN技术中，通过给以太网帧附加一个标签(Tag)来标识该帧能够在哪个VLAN中传播。交换机在转发数据帧时，不仅要查找MAC地址表来决定转发到哪个端口，还要检查端口上的VLAN标签是否匹配。IEEE在802.1Q中定义了在以太网帧中所附加标签的格式。,数据1,带有VLAN101标签的以太网数据帧1,VLAN102,IEEE802.1Q,802.1Q定义了两种数据帧：,2BTPID：是固定的数值0X8100，表示该数据帧承载了802.1q的tag信息,思考：1、交换机如何确定给流进的数据帧打上何种标签？2、交换机如何确定把带标签的数据帧转发给哪个端口？,PVID,2B,2B,2BTCI：3b用户优先级；1b规范格式指示符，0表示规范；12b的VIDVLAN标识符。（因为212=4096）,VID,VID5;7-9;12,基于端口划分VLAN的命令(思科),创建VLAN,将端口划分到对应的VLAN中,SwitchenableSwitch#configtSwitch(config)#vlan100,Switch(config)#interfacef0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan100,Switch(config)#interfacerangef0/7,f0/10-12,f0/20Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan100,VLAN的验证,利用PT模拟器验证VLAN构建拓扑图配置主机的IP地址（192.168.1.1192.168.1.4/24）验证连通性（PC1、PC2、PC3、PC4之间互Ping）创建VLAN100和Vlan200，并将PC1和PC2所连的交换机端口划分到VLAN100，PC3和PC4所连的交换机端口划分到VLAN200验证连通性（PC1、PC2、PC3、PC4之间互Ping）,跨交换机相同业务网络的连通,需求分析,要让301房间A公司的网络可以访问到201房间A公司，但不能让其他公司的职员访问201房间,业务需求：同一楼层的每个房间内可以互访，不同房间内不可以互访不同楼层的同一公司内可以互访如何实现？,需求分析（PT演示）,分析以下几种连接情况VLAN的连通性：通过24口将3楼和2楼交换机连接,通过5口将3楼和2楼交换机连接,通过15口将3楼和2楼交换机连接,根据以上分析得到结论？,如何使得跨交换机的所有相同VLAN内互通？,跨交换机的相同VLAN内互通,解决方法:上图中交换机的互连端口a和b必须能通过多个VLAN帧，如何实现？VID必须有多个值，即属于多个VLAN让交换机之间传送VLAN数据时，可以明确为每个VLAN数据加标记如：301房数据要传到201房时，3楼交换机的a端口为数据加VLAN100标记，2楼交换机在识别这个标记后，根据标记会在VLAN100的201房的端口中查找目的地址，而不会在其它vLAN的端口中查找，从而避免发送给202房间。如何保留帧中的802.1Q标签？端口的PVID值与帧中的VLAN标记值不同,a,b,VLAN技术原理TRUNK技术,不同的交换机之间互联，要达到承载所有VLAN流量的目的，就必须实行TRUNK技术。TRUNK又可以叫做VLAN中继线路，主要是用来互联交换机达到传输不同VLAN的流量的目的。,TRUNK链路,传输多个VLAN的信息实现同一VLAN跨越不同的交换机,在Trunk链路上传输多个VLAN信息要求Trunk至少要100M。,思考：如何实现TRUNK链路？,跨交换机相同VLAN通信,PCA,PCB,PCC,PCD,带有VLAN标签的以太网帧在交换机间传递,不带VLAN标签的以太网帧,带VLAN标签的以太网帧,Tag=10,Tag=20,SwitchA,SwitchB,VLAN技术原理端口类型,划分VLAN后，交换机的端口类型：Access链路类型端口仅接收和发送一个VLAN的数据帧Access端口收到数据帧后打VLAN标签，转发出端口时剥离VLAN标签一般用于连接用户设备Trunk链路类型端口允许多个VLAN通过，接收和发送多个VLAN的数据帧缺省VLAN的以太网帧不带标签一般用于交换机之间的连接,Access链路类型端口,PCA,PCB,PCC,PCD,VLAN10：PCA、PCCVLAN20：PCB、PCD,Tag=10,Tag=20,不带VLAN标签的以太网帧,仅接收和发送一个VLAN的数据帧Access端口收到数据帧后打VLAN标签，转发出端口时剥离VLAN标签,Switch,Trunk链路类型端口,PCA,PCB,PCC,PCD,Access端口PVID：10,Access端口PVID：10,Access端口PVID：20,Access端口PVID：20,Trunk端口PVID：20VID：1，10，20,允许多个VLAN通过，接收和发送多个VLAN的数据帧，而且接收和发送过程中不对帧中的标签进行任何操作默认VLAN是特例。发送帧时，Trunk端口要剥离默认VLAN帧中的标签，Trunk端口接收到不带标签的帧时，要打上默认VLAN标签Trunk端口默认是属于交换机上面的所有Vlan，但可通过许可列表限制一般用于交换机之间的连接,Trunk端口PVID：20VID：1，10，20,IEEE802.1Q,假设switch1与switch2通过0/0/24口级联，则要把两个交换机的e0/0/24都配成Trunk口。Switch#configSwitch(config)#interfacee0/0/24Switch(config-Ethernet0/0/24)#switchportmodetrunk配置端口24拥有所有VLAN的VIDSwitch(config-Ethernet0/0/24)#switchporttrunkallowedvlanall注意：Trunk链路两端的端口必须属于相同的默认VLAN，一般为VLAN1;修改Trunk端口的默认VLAN（为端口设置PVID）switchporttrunknativevlan为端口设置VIDswitchporttrunkallowedvlan;,配置Trunk链路（神码设备）,二层交换机：Switch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlanSwitch(config-if)#switchporttrunkallowedvlan,三层交换机：Switch(config)#interfacef0/24Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlanSwitch(config-if)#switchporttrunkallowedvlan,配置Trunk链路（思科设备）,使用三层交换机实现VLAN之间互访,三层交换机实现VLAN互访,VLAN间路由,三层交换机,VLAN间路由的实现,在三层交换机上划分VLAN100和200,配置PC1、pc2的IP地址：192.168.1.10/24、192.16