VLAN简介及应用说明(个人总结、汇报报告).docx

VLAN简介及应用说明(V1.0)编 写 者：赵永亮编写日期：2011年11月14日审 核 者：审核日期： 年 月 日批 准 者：批准日期： 年 月 日修改记录版本修改时间修改内容责任人目录1.VLAN的基本概念-42.VLAN的转发方式-43.Tag/Untag报文的处理原则-54.VLAN的划分方式-55.ISCOM上VLAN配置-61. VLAN的基础知识 1.1 VLAN的概念： VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新型技术。不同VLAN间只有通过三层交换机或者路由器才能实现互通。1.2 VLAN的优点： （1）广播域被限制在一个VLAN内，节省了带宽，提高了网络能力。 （2）增强局域网的安全性（不同VLAN之间是不可以通讯的，各自的内部结点也不可以。如果想通讯必须通过三层交换机和路由器）。 （3）构建灵活。用VLAN可以划分不同的用户到不同的工作组（即使是同一工作组的也可以不受限于物理范围）。2. VLAN的转发方式 VLAN的转发方式总共有三种，分别为Access、Trunk、Hybrid. 2.1: Access连接指报文不带TAG标签，一般用于和tag-unware设备相连。或者不需要区分不同VLAN成员时使用。ACCESS端口模式仅能被用户指定到一个VLAN中，从access端口转发出的数据包不携带802.1Q标记，不同VLAN的access端口不能互通。access端口主要用于连接终端用户；缺省情况下,所有端口以access模式存在于VLAN 1中。 2.2: Trunk连接指在PVID(端口的虚拟局域网ID号)所属的VLAN不带tag标签转发，其他VLAN中的报文都必须带tag标签。用于tag-aware设备相连，一般用于交换机之间的互连。Trunk端口模式缺省情况存在于所有VLAN中，并且从该端口转发的数据包除Native VLAN外全部携带802.1Q标记。但是，用户可以通过allowed vlans属性限制Trunk端口所能转发的VLAN数据包。当交换机端口作为上联TAG端口时，可配置为trunk模式。 2.3: Hybrid连接指可根据需要设置某些VLAN报文带tag ,某些报文不带tag.与trunk 连接最大的不同在于，trunk连接只有PVID所属的VLAN不带tag，其他VLAN都必须带 tag，而Hybrid连接是可以设置多个VLAN不带tag. 注释：Hybrid和Trunk接口一样，Hybrid接口也能够允许多个VLAN帧通过并且还可以指定哪些VLAN数据帧被剥离标签。在设置允许指定的VLAN通过Hybrid端口之前，该VLAN必须已经存在。 Hybrid端口和Trunk端口在接收数据时，处理思路方法是一样的，唯一区别之处在于发送数据时，Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。 需要注意的是Hybrid端口和Trunk端口不能直接切换，只能先设为Access端口，再设置为其他类型端口。3. Tag/Untag报文的处理原则1) 端口接收报文时的处理： 端口接收到的报文类型报文帧结构中携带VLAN标记报文帧结构中不携带VLAN标记Access端口丢弃该报文为该报文打上VLAN标记为本端口的PVIDTrunk端口判断本端口是否允许携带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发，否则丢弃该报文同上Hybrid端口同上同上2) 端口发送报文时的处理： Access端口剥掉报文所携带的VLAN标记，进行转发Trunk端口首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等，则剥掉报文所携带的VLAN标记，进行转发；否则报文将携带原有的VLAN标记进行转发Hybrid端口首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发，则处理方式同Access端口；如果是tagged方式转发，则处理方式同Trunk端口4. VLAN的划分方式 VLAN在交换机上的划分方式有如下几种：1）基于端口：根据以太网交换机的端口来划分。 2）基于子网：根据每个主机的网络层地址来划分。 3）基于MAC：根据每个主机的MAC地址来划分。 4）基于协议：通过识别报文的协议类型和封装格式来划分。还有基于基于组播、基于业务、基于应用。5. ISCOM上VLAN配置- 5.1: access 和trunk混用 拓朴结构如图1所示： 图1 拓朴结构图如图1拓朴结构所示，交换机SWITCH A和SWITCH B都使用PORT1相连。设两个SWITCH的PORT1为Trunk端口，允许VLAN1VLAN100通过；两个SWITCH的PORT3为ACCESS端口，ACCESS VALN 为VLAN6.其配置如下：SWITCH A:Raisecom#configRaisecom(config)#vlan 6Raisecom(config-vlan)#state activeRaisecom(config-valn)#exitRaisecom(config)#interface port 1Raisecom(config-port)#switchport mode trunkRaisecom(config-port)#switchport truck allowed vlan 1-100Raisecom(config-port)#exitRaisecom(config)#interface port 3Raisecom(config-port)#switchport mode accessRaisecom(config-port)#switchport access vlan 6Raisecom(config-port)#exitRaisecom(config)#exitRaisecom#SWITCH B 与SWITCH A 配置一致。 5.2： Hybrid 应用Hybrid端口的应用比较灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上，利用Hybrid端口收发报文时的处理机制，来完成对同一网段的PC机之间的二层访问控制。1)功能须求及组网说明：交换机Hybrid端口隔离配置 图1配置环境参数1. PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3，端口分属于VLAN10、20和30，服务器连接到端口G2/1，属于VLAN100。2.PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，PC3的IP地址为10.1.1.3/24，服务器的IP地址为10.1.1.254/24。组网需求1. PC1和PC2之间可以互访；2. PC1和PC3之间可以互访；3. PC1、PC2和PC3都可以访问服务器；4.其余的PC间访问均禁止。【SwitchA相关配置】1. 创建（进入）VLAN10，将E0/1加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12. 创建（进入）VLAN20，将E0/2加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23. 创建（进入）VLAN30，将E0/3加入到VLAN30SwitchAvlan 30SwitchA-vlan30port Ethernet 0/34. 创建（进入）VLAN100，将G2/1加入到VLAN100SwitchAvlan 100SwitchA-vlan100port GigabitEthernet 2/15. 配置端口E0/1为Hybrid端口，能够接收VLAN20、30和100发过来的报文SwitchAinterface Ethernet 0/1SwitchA-Ethernet0/1port link-type hybridSwitchA-Ethernet0/1port hybrid vlan 20 30 100 untagged6. 配置端口E0/2为Hybrid端口，能够接收VLAN10和100发过来的报文SwitchAinterface Ethernet 0/2SwitchA-Ethernet0/2port link-type hybridSwitchA-Ethernet0/2port hybrid vlan 10 100 untagged7. 配置端口E0/3为Hybrid端口，能够接收VLAN10和100发过来的报文SwitchAinterface Ethernet 0/3SwitchA-Ethernet0/3port link-type hybridSwitchA-Ethernet0/3port hybrid vlan 10 100 untagged8. 配置端口G2/1为Hybrid端口，能够接收VLAN10、20和30发过来的报文SwitchAinterface GigabitEthernet 2/1SwitchA-GigabitEthernet2/1port link-