管理交换网络中的广播流量.ppt

控制交换网络中的广播流量 锐捷网络工程师培训 交换机的访问方式配置文件的管理VLAN的基本概念VLAN的类型 PortVLAN和TagVLAN如何在交换机上配置VLANVLAN间通信的方法 本章内容 VLAN课题引入 随着网络技术的发展 现在很多企业和部门都建立了内部局域网 但是 随着网络规模的增大也带来了一些问题 网内数据传输量增大 网速变得越来越慢 计算机遭受黑客攻击 关键部门存在安全隐患 同一部门的人员分布不同的地域 不能相对集中办公 VLAN的产生原因 广播风暴 广播 知识链接 广播 知识链接 广播 主机之间 一对所有 的通讯模式 广播的优点 1 网络设备简单 维护简单 布网成本低廉2 由于服务器不用向每个客户机单独发送数据 所以服务器流量负载极低 广播的缺点 1 无法针对每个客户的要求和时间及时提供个性化服务 2 网络允许服务器提供数据的带宽有限 客户端的最大带宽 服务总带宽 3 广播禁止在Internet宽带网上传输 知识链接 单播 知识链接 单播 单播是单一的源头发送到单一的目的接收者的一种网络服务 也就是客户端与服务器之间的点到点连接 单播的优点 1 服务器及时响应客户机的请求2 服务器针对每个客户不同的请求发送不同的数据 容易实现个性化服务 单播的缺点 1 服务器针对每个客户机发送数据流 服务器流量 客户机数量 客户机流量 在客户数量大 每个客户机流量大的流媒体应用中服务器不堪重负 2 现有的网络带宽是金字塔结构 城际省际主干带宽仅仅相当于其所有用户带宽之和的5 如果全部使用单播协议 将造成网络主干不堪重负 知识链接 多播 或组播 知识链接 组播 组播是主机之间 一对一组 的通讯模式 也就是加入了同一个组的主机可以接受到此组内的所有数据 网络中的交换机和路由器只向有需求者复制并转发其所需数据 组播的优点 1 需要相同数据流的客户端加入相同的组共享一条数据流 节省了服务器的负载 具备广播所具备的优点 2 由于组播协议是根据接受者的需要对数据流进行复制转发 所以服务端的服务总带宽不受客户接入端带宽的限制 IP协议允许有2亿6千多万个 268435456 组播 所以其提供的服务可以非常丰富 3 此协议和单播协议一样允许在Internet宽带网上传输 知识链接 组播 组播是主机之间 一对一组 的通讯模式 也就是加入了同一个组的主机可以接受到此组内的所有数据 网络中的交换机和路由器只向有需求者复制并转发其所需数据 组播的缺点 1 与单播协议相比没有纠错机制 发生丢包错包后难以弥补 但可以通过一定的容错机制和QOS加以弥补 2 现行网络虽然都支持组播的传输 但在客户认证 QOS等方面还需要完善 这些缺点在理论上都有成熟的解决方案 只是需要逐步推广应用到现存网络当中 交换网络中的问题 在交换机组成的校园网络里所有主机都在同一个广播域内 广播域 安全 广播 通过路由器将网络分段 广播 路由器 交换网络中问题的解决 VLAN VLAN20 通过VLAN技术可以对网络进行一个安全的隔离 分割广播域 VLAN10 VLAN30 VLAN40 通过VLAN划分广播域 广播域1VLAN10 广播域2VLAN20 广播域3VLAN30 市场部 工程部 财务部 VLAN实例 某公司有100台计算机左右 主要使用网络的部门有 生产部 20 财务部 15 人事部 8 和信息中心 12 四大部分 如图1所示 VLAN2 VLAN3 VLAN5 VLAN4 VLAN在交换机中的实现 分段灵活性安全性 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN 一个广播域 逻辑网段 子网 VLAN VirtualLocalAreaNetwork VLAN是在一个物理网络上划分出来的逻辑网络 这个网络对应于OSI模型的第二层网络 VLAN的划分不受网络端口的实际物理位置的限制 VLAN有着和普通物理网络同样的属性 第二层的单播 广播和多播帧在一个VLAN内转发 扩散 而不会直接进入其他的VLAN之中 VLAN技术 VLAN的定义注意事项 VLAN VirtualLocalAreaNetwork 的中文名为 虚拟局域网 是一种将局域网设备从逻辑上划分 注意 不是从物理上划分 成一个个网段 从而实现虚拟工作组的新兴数据交换技术 例如 对于我校的校园网 有不同的部分组成 办公部门 学校机房 教师家属楼等部分组成 为了保证各部分的相对独立 又使每部分处于同一个网络内 内部能互相访问 这就需要划分VLAN 使办公部门处于一个VLAN内 学校机房处于一个VLAN内 教师家属楼处于一个VLAN内 这样就能保证他们之间的数据互不干扰 也不影响各自的通信效率了 VLAN特点 安全隔离 不同VLAN之间不能直接访问 需通过路由设备相连隔离广播不受物理位置限制 基于网络性能的考虑大型网络中有大量的广播信息 如果不加以控制 会使网络性能急剧下降 甚至产生网络风暴 使网络阻塞 因此需要采用VLAN将网络分割成多个广播域 将广播信息限制在每个广播域内 从而降低了整个网络的广播流量 提高了性能 基于安全性的考虑在规模较大的网络系统内 各网络节点的数据需要相对保密 譬如公司的网络中 财务部门的数据不应被其他部门的人员采集到 可以通过划分VLAN 进行部门隔离 不同部门使用不同的VLAN 可以实现一定的安全性 基于组织结构的考虑同一部门的人员分布在不同的地域 需要数据的共享 则可以跨地域 跨交换机 将其设置在同一个VLAN中 对VLAN的划分主要是基于下列因素的 划分VLAN的方法 基于端口的VLAN基于协议的VLAN基于MAC层分组的VLAN基于子网的VLAN 基于交换机的端口 一个端口只属于一个VLAN VLAN的类型 PortVLAN F0 1 F0 2 F0 3 基于端口的VLAN Port vlan原理 F0 1 F0 2 F0 3 A B C Vlan10 Vlan20 Vlan10 ABAC X VLAN在交换机中的实现 数据1 交换机内部 数据1 数据2 数据2 101 102 Portvlan的配置 将一组接口加入某一个VLANSwitch config interfacerangefastethernet0 1 10 0 15 0 20Switch config if range switchportaccessvlan20注 连续接口0 1 10 不连续接口用逗号隔开 但一定要写明模块编号 创建VLAN100 将它命名为test的例子Switch configureterminalSwitch config vlan100Switch config vlan nametestSwitch config vlan end把ethernet0 10作为access口加入了VLAN100Switch configureterminalSwitch config interfacefastethernet0 10Switch config if switchportmodeaccessSwitch config if switchportaccessvlan100Switch config if end 配置PortVLAN Access SwitchB VLAN30 VLAN20 VLAN10 跨交换机VLAN间通信 分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通 就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接 VLAN20也是这样 那么如果交换机上划了10个VLAN就需要分别连10条线作级联 端口效率就太低了 SwitchB VLAN30 VLAN20 VLAN10 TagVLAN 传输多个VLAN的信息 实现同一VLAN跨越不同的交换机只需要交换机之间有一条级联线 并将对应的端口设置为Trunk 这条线路就可以承载交换机上所有VLAN的信息 跨交换机VLAN之间的通信 TagVLAN 目的 源MAC地址 类型 数据 重新计算帧检测序列 2字节标记协议标识2字节标记控制信息 IEEE802 1Q数据帧 标记协议标识 TPID 固定值0 x8100 表示该帧载有802 1q标记信息标记控制信息 TCI Priority3比特表示优先级 Canonicalformatindicator1比特用于总线型以太网 FDDI 令牌环网 VlanID12比特表示VID 范围1 4094 IEEE802 1Q 802 1Q数据帧只在交换机的trunk链路上传输 对于用户是完全透明的 默认条件下 Trunk上会转发交换机上存在的所有VLAN的数据 A 交换机1 交换机2 802 1Q工作原理 B 数据帧 Tag标签 默认条件下 Trunk上会转发交换机上存在的所有VLAN的数据 802 1Q工作原理 A B 交换机1 交换机2 配置TagVLAN Trunk 把Fa0 1配成Trunk口 修改默认nativevlan为110 Switch configureterminalSwitch config interfacefastethernet0 1Switch config if switchportmodetrunk NativeVLAN Switch config if switchporttrunknativevlan20Switch config if end 每个Trunk口的缺省nativeVLAN是VLAN1 在配置Trunk链路时 请确保连接链路两端的Trunk口属于相同的nativeVLAN Nativevlan 1 配置了nativevlan的相关VLAN数据包在trunk链路上传输时不打4个字节的标签2 nativevlan默认是VLAN13 配置nativevlan时注意要求两端交换机端口nativevlan必须配置一致 下面是一个把端口0 20配置为TRUNK端口 但是不包含在VLAN2的例子 Switch config interfacefastethernet0 20Switch config if switchporttrunkallowedvlanremove2Switch config if end 配置TagVLAN Trunk 下面是一个把端口0 15配置为TRUNK端口 但是不包含VLAN2的例子 Switch config interfacefastethernet0 15Switch config if switchporttrunkallowedvlanremove2Switch config if endSwitch showinterfacesfastethernet0 15switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists Fa0 15EnabledTrunk11Enabled1 3 4094Switch showvlanVLANNameStatusPorts 1defaultactiveFa0 1 Fa0 2 Fa0 3 Fa0 4Fa0 6 Fa0 7 Fa0 8 Fa0 9Fa0 10 Fa0 11 Fa0 12 Fa0 13Fa0 18 Fa0 19 Fa0 20 Fa0 212VLAN0002activeFa0 5 Gi0 24VLAN0004activeFa0 14 Fa0 15 Fa0 16 Fa0 175VLAN0005activeFa0 22 Fa0 23 Fa0 24 Gi0 1 配置TagVLAN Trunk 在堆叠管理下如何配置VLAN Switch config interfacefastethernet1 0 10Switch config if switchportmodeaccessSwitch config if switchportaccessvlan100Switch config if exitSwitch config interfacefastethernet1 0 15Switch config if switchportmodetrunkSwitch config if endSwitch config member1Switch 1 config interfacefastethernet1 0 10Switch 1 config if switchportmodeaccessSwitch 1 config if switchportaccessvlan100Switch 1 config if exit 配置堆叠管理下的VLAN VLAN的实现 Portvlan基于交换机端口进行VLAN的划分一个端口只能属于一个VLAN一个VLAN可以包含多个端口接口模式为access用于连接最终用户设备Tagvlan一个端口可以属于多个VLAN默认情况下属于所有VLAN接口模式为trunk用于交换机之间级联 将VLAN信息保存到flash中Switch writememory从flash中清除VLAN信息Switch deleteflash vlan dat 保存 清除VLAN信息 VLAN技术VLAN间路由 课程议题 VLAN10 VLAN20 172 16 20 4 VLAN30 隔离的广播