高职大赛培训01-vlan技术.ppt

VLAN技术 本章内容 VLAN基本配置使用SVI实现VLAN间通信使用单臂路由实现VLAN间通信PrivateVLAN原理与配置SuperVLAN原理与配置 课程议题 VLAN配置 交换网络中的问题 在交换机组成的校园网络里所有主机都在同一个广播域内 广播域 安全 广播 交换网络中的问题 通过VLAN技术可以对网络进行一个安全的隔离 分割广播域 VLAN10 VLAN40 VLAN30 VLAN20 VLAN技术 1 2 3 4 交换机 广播帧 广播域 广播帧 广播域 VLAN概述 VirtualLocalAreaNetwork VLAN是划分出来的逻辑网络 是第二层网络 VLAN端口不受物理位置的限制 VLAN隔离广播域 VLAN技术的好处 通过在交换网络中的VLAN技术的实施 可以为网络带来很多诸如隔离广播 安全 负载分担等好处 隔离广播 在交换网络中 通过广播域的隔离 可以大大减少网络中泛洪的广播包 从而提高网络中的带宽利用率 安全性 通过在二层网络划分VLAN 可以实现在二层网络中不同VLAN间的数据隔离 故障隔离 通过VLAN的划分 由于将设备划分到不同的广播域当中 可以减小网络故障的影响 IEEE802 1Q数据帧 标记协议标识 TPID 固定值0 x8100 表示该帧载有802 1Q标记信息标记控制信息 TCI Priority 3比特 表示优先级Canonicalformatindicator 1比特 表示总线型以太网 FDDI 令牌环网VlanID 12比特 表示VID 范围1 4094 Trunk端口工作原理 802 1Q工作特点 Trunk上默认会转发交换机上存在的所有VLAN的数据 交换机在从Trunk口转发数据前会在数据打上个Tag标签 在到达另一交换机后 再剥去此标签 NativeVLAN 这类VLAN可以省略掉打标签的过程 但是网络中只能有一个NativeVLAN 默认情况下 锐捷交换机上的NativeVLAN是VLAN1 数据帧 Tag标签 Trunk Trunk 数据帧 A B 配置VLAN 创建VLAN 步骤1 进入全局配置模式Switch configureterminal步骤2 创建VLANSwitch config vlanvlan id步骤3 可选 命名VLANSwitch config vlan namevlan name 配置VLAN 将端口加入VLAN 步骤1 进入端口配置模式Swtich config interfaceinterface步骤2 将端口模式设置为接入端口Switch config if switchportmodeaccess步骤3 将端口添加到特定VLANSwitch config if switchportaccessvlanvlan id 配置VLAN 将端口加入VLAN 示例 将端口FastEthernet0 1加入VLANSwitch configureterminalSwitch config interfacefastEthernet0 1Switch config if switchportmodeaccessSwitch config if switchportaccessvlan10Switch config if end 配置VLAN 将一组端口加入VLAN 步骤1 进入到一组需要添加到VLAN的端口中Swtich config interfacerangeinterface range步骤2 将端口模式设置为接入端口Switch config range if switchportmodeaccess步骤3 将一组端口划分到指定VLANSwitch config range if swtichportaccessvlanvlan id 配置VLAN 将一组端口加入VLAN 示例 将端口fastEthernet0 1 5 0 7同时划分到VLAN10Switch configureterminalSwitch config interfacerangefastEthernet0 1 5 0 7Switch config if range switchportmodeaccessSwitch config if range switchportaccessvlan10Switch config if range exit VLAN配置 配置Trunk和NativeVLAN 将级联端口设置为Trunk步骤1 进入需要配置的端口swtich config interfaceinterface步骤2 将端口的模式设置为TrunkSwitch config if switchportmodetrunk配置NativeVLAN步骤1 进入到需要配置的Trunk端口中swtich config interfaceinterface步骤2 配置Trunk的NativeVLANSwitch config if switchporttrunknativevlanvlan id 配置VLAN 配置VLAN许可列表 步骤1 进入全局配置模式Switch configureterminal步骤2 进入需要配置为Trunk的端口Switch config interfaceinterface步骤3 定义该端口模式为TrunkSwitch config range if switchportmodetrunk步骤4 定义Trunk的VLAN列表Switch config if switchporttrunkallowedvlan all add remove except vlan list 配置VLAN 查看 删除VLAN 删除VLANSwitch config novlanVLAN id验证配置信息Switch showinterfacesfastethernet0 20switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists Fa0 20EnabledTrunk11Enabled1 3 4094Switch showvlanVLANNameStatusPorts 1defaultactiveFa0 1 Fa0 2 Fa0 3 Fa0 4 课程议题 SVI实现VLAN间通信 划分VLAN的问题 划分VLAN的问题在交换机上划分VLAN后 带来了隔离广播 提高安全性 隔离故障的好处 但是 问题是不同VLAN之间无法通过二层设备互相通信 解决办法通过三层设备实现VLAN间路由 F0 3 F0 1 F0 2 SVI实现不同VLAN间相互通信 三层交换机上配置SVI接口地址各VLAN中主机将三层交换机上相应VLAN的SVI接口地址作为本VLAN网关数据到达三层交换机后利用路由功能转发到其他VLAN 配置SVI 步骤1开启路由功能 默认 Switch config iprouting步骤2创建VLANSwitch config vlanvlan id步骤3进入VLAN的SVI接口配置模式Switch config interfacevlanvlan id步骤4给SVI接口配置IP地址Switch config if ipaddressip addressmask 配置SVI示例 Switch configureterminalSwitch config vlan10Switch config vlan exitSwitch config vlan20Switch config vlan exitSwitch config interfacevlan10Switch config if ipaddress192 168 1 1255 255 255 0Switch config if noshutdownSwitch config interfacevlan20Switch config if ipaddress192 168 2 1255 255 255 0Switch config if noshutdown 课程议题 使用单臂路由实现VLAN间通信 路由器实现VLAN间路由 在路由器上为每个VLAN划分一个子接口每个子接口配置IP地址 作为相应VLAN的网关利用路由器的路由功能 实现不同子接口数据的转发缺点是 部署不灵活 形成网络瓶颈 单臂路由配置 步骤1 创建以太网子接口Router config interfaceinterface sub port步骤2 为子接口封装802 1q协议 并指定接口所属的VLANRouter config subif encapsulationdot1qvlan id步骤3 为子接口配置IP地址Router config subif ipaddressip addressmask address步骤4 启用子接口Router config subif noshutdown 单臂路由配置示例 Router config interfacefastEthernet0 0 1Router config subif encapsulationdot1q10Router config subif ipaddress192 168 1 1255 255 255 0Router config subif noshutdownRouter config subif exitRouter config interfacefastEthernet0 0 2Router config subif encapsulationdot1q20Router config subif ipaddress192 168 2 1255 255 255 0Router config subif noshutdownRouter config subif end 课程议题 PrivateVLAN 划分VLAN的问题 可分配的VLAN编号是1 4094 需要划分更多的VLAN怎么办每一个VLAN都划分一个子网 当划分多个VLAN时 导致地址的浪费 F0 1 F0 2 F0 3 PrivateVLAN PrivateVLAN 私有VLAN PVLAN 是能够为相同VLAN内不同端口提供隔离的VLAN F0 1 F0 2 F0 3 PraviteVLAN的组成 PVLAN可以将一个VLAN的二层广播域划分成多个子域 每个子域都由一对VLAN组成 PrimaryVLAN 主VLAN 和SecondaryVLAN 辅助VLAN组成 SecondaryVLAN F0 2 F0 1 SecondaryVLAN PrimaryVLAN PraviteVLAN的组成 主VLAN 主VLAN是PVLAN的高级VLAN 每个PVLAN中只有一个主VLAN 辅助VLAN 辅助VLAN是PVLAN中的子VLAN 并且映射到一个主VLAN 每台接入设备都连接到辅助VLAN 隔离VLAN IsolatedVLAN 同一个隔离VLAN中的端口互相不能进行二层通信 一个私有VLAN域中只有一个隔离VLAN 团体VLAN CommunityVLAN 同一个团体VLAN中的端口可以进行二层通信 但是不能与其他团体VLAN中的端口进行二层通信 一个私有VLAN中可以有多个团体VLAN PraviteVLAN的端口类型 混杂端口 PromiscuousPort 混杂端口为主VLAN中的端口 可以与任意端口通信 包括同一个PVLAN中的隔离端口和团体端口 隔离端口 IsolatedPort 隔离端口为隔离VLAN中的端口 隔离端口只能与混杂端口进行通信 团体端口 CommunityPort 团体端口为团体VLAN中的端口 同一个团体VLAN中的团体端口之间可以互相通信 并且团体端口可以与混杂端口通信 但是不能与其他团体VLAN的端口进行通信 PrivateVLAN的实现 主VLAN中的混杂端口用于连接到网关设备 可以和本VLAN中所有端口通信隔离VLAN中的各端口均为隔离端口 互相不可通信 也不可与其他隔离VLAN或团体VLAN通信团体VLAN中的端口均为团体端口 可与本团体端口通信 不可与其他团体端口或隔离端口通信 配置PrivateVLAN 配置PrivateVLAN主要包括以下几个步骤 配置主VLAN与辅助VLAN关联辅助VLAN到主VLAN将辅助VLAN映射到主VLAN的3层接口配置主机端口配置混杂端口 配置PrivateVLAN 配置主VLAN与辅助VLAN步骤1 进入配置模式Switch configureterminal步骤2 进入VLAN配置模式Switch config vlanvid步骤3 配置私有VLAN类型Switch config vlan private vlan community isolated primary 在802 1qVLAN中 有成员端口的VLAN不能配置为私有VLAN VLAN1不能配置为私有VLAN 配置PrivateVLAN 关联辅助VLAN到主VLAN步骤1 进入主VLAN的VLAN配置模式Switch config vlanp vid步骤2 关联辅助VLAN到主VLANSwitch config vlan private vlanassociation add remove svlist将辅助VLAN映射到主VLAN的三层接口步骤1 进入主VLAN的VLAN接口模式Switch config interfacevlanp vid步骤2 映射辅助VLAN到主VLAN的三层接口Switch config if private vlanmapping add remove svlist 配置PrivateVLAN 配置主机端口步骤1 进入主机端口Switch config interfaceport typeport步骤2 配置端口为主机端口Switch config if switchportmodeprivate vlanhost步骤3 关联主机端口到PVLANSwitch config if switchportprivate vlanhost associationp vids vid配置混杂端口步骤1 进入主机端口Switch config interfaceinterface步骤2 配置端口为混杂端口Switch config if switchportmodeprivate vlanpromiscuous步骤3 配置混杂端口所在的主VLAN以及关联的辅助VLANSwitch config if switchportprivate vlanmappingp vid add remove svlist 配置PrivateVLAN 配置PrivateVLAN注意事项一个PrivateVLAN处于Active状态必须满足下列条件 具有主VLAN具有辅助VLAN辅助VLAN和主VLAN进行关联主VLAN内有混杂端口 配置PrivateVLAN示例 配置PrivateVLAN示例 Swich configureterminalSwitch config vlan10Switch config vlan private vlanprimarySwitch config vlan exitSwitch config vlan20Switch config vlan private vlancommunitySwitch config vlan exitSwitch config vlan30Switch config vlan private vlanisolatedSwitch config vlan exitSwitch config vlan10Switch config vlan private vlanassociationadd20 30Switch config vlan exit 配置PrivateVLAN示例 Switch config interfacerangefastEthernet0 1 2Switch config if range switchportmodeprivate vlanhostSwitch config if range switchportprivate vlanhost association1030Switch config if range exitSwitch config if interfacerangefastEthernet0 3 4Switch config if range switchportmodeprivate vlanhostSwitch config if range switchportprivate vlanhost association1020Switch config if range exitSwitch config interfacefastEthernet0 5Switch config if switchportmodeprivate vlanpromiscuousSwitch config if switchportprivate vlanmapping10add20 30Switch config if end 课程议题 SuperVLAN SuperVLAN SuperVLAN又称为VLAN聚合 是一种专门优化IP地址管理的技术可以将一个网段的IP分给不同的子VLAN SubVLAN 这些SubVLAN同属于一个SuperVLAN SubVLAN F0 2 F0 1 SubVLAN SuperVLAN IP子网 SuperVLAN SuperVLAN特点每一个SubVLAN都是独立的广播域属于同一SuperVLAN的SubVLAN在同一子网中SubVLAN间的用户需要进行通信时 将使用SuperVLAN的VLAN接口的IP地址作为网关地址不同SubVLAN间的互通及SubVLAN与其他网络的互通 需要利用ARP代理 ProxyARP 功能 SubVLAN通信过程 同一SubVLAN中主机的通信可以直接进行不同SuperVLAN中的主机通信时 需要经过交换机进行ARP代理 SuperVLAN注意事项 部署SubVLAN的注意事项 SuperVLAN不能包含任何成员端口 只能包含SubVLAN SubVLAN包含物理端口 SuperVLAN不能作为其他SuperVLAN的SubVLAN PVLAN主要用于解决VLAN数量受限制的问题 SuperVLAN主要用于节省IP地址 SuperVLAN不能当正常的802 1qVLAN来使用