项目一虚拟局域网组建.ppt

1 通信工程系 交换与路由技术 精品课程 数据交换网组建与维护 项目名称 虚拟局域网组建 2 通信工程系 交换与路由技术 精品课程 项目描述 某电脑教育培训机构为了提高办公效率 减少因纸张浪费带来的办公开支 现欲构建一个局域网络 该培训机构现有各类办公人员8人 财务部有3台电脑 培训学员有30台电脑 为了保证网络的正常使用 建设的时候必须满足以下要求 1 培训学员网络要与办公网络能够隔离 不能互访 2 财务部门只能内部之间互访 其他部门不能访问财务部的网络 根据这个要求 我采用VLAN技术进行隔离 将整个局域网分为培训子网 行政办公子网 财务子网三个子网 分别采用不同的VLAN达到隔离要求 并设计以下网络拓扑结构 如图1 1所示 3 通信工程系 交换与路由技术 精品课程 项目目标 图1 1某电脑教育培训机构网络拓扑图 项目描述 该设计方案选用两台中兴通讯股份有限公司的S3928交换机作为网络的接入设备 将财务 培训 行政分别划分成三个不同的VLAN以达到隔离不同用户的要求 为了对设备资源的有效利用并考虑一定的可扩展性 我们将SW1与SW2进行互联 并在SW1中分配10个端口给行政子网 在SW1上分配4个端口个财务网 在SW1上分配8个端口给培训子网 在SW2上分配10个端口给行政子网 在SW2上分配10个端口给培训子网 4 通信工程系 交换与路由技术 精品课程 5 通信工程系 交换与路由技术 精品课程 任务分解 该设计方案得到认可 并进入工程的施工建设阶段 公司技术员小李承担了该项目的建设 根据项目设计要求 小李需要完成以下工作任务 财务 培训 行政三个子网的IP规划 管理和登陆SW1 SW2交换机 SW1 SW2上VLAN的配置和调试 SW1与SW2之间级联端口的配置和调试 为了完成以上4个工作任务 我们需要具备以下相关基础知识和职业技能知识 任务分解 1 基础知识子网规划的计算方法 VLAN技术的概念和优点 VLAN技术的标记 2 职业技能计算机与交换机如何连接 才能实现通过计算机管理和登录交换机 交换机的基本操作和信息检查方法 交换机中VLAN划分的基本步骤 交换机中VLAN的配置和检查 6 通信工程系 交换与路由技术 精品课程 1 1VLAN基础 7 通信工程系 交换与路由技术 精品课程 1 1 1产生背景在一个广播域中 数据帧对该局域网上的所有设备都是可见的 因此 广播 多点广播 未知的单点传送数据帧都有可能占用过多的带宽 广播数据流随着网络的增长而增长 过多的广播会占用用户的带宽 最坏的情况下 广播风暴可以使整个网络瘫痪 如图1 2所示 图1 2广播风暴 1 1VLAN基础 另一方面 在实现用户的LAN接入时 应该考虑的一个重要问题就是用户之间的隔离 这是因为在局域网环境中 接入到局域网的用户一般都处于同一个广播域之中 也就是一个用户在通过局域网进行通信时 发出的广播信息同样能够被其它用户监听到 在一般的局域网网络环境下 由于用户处于互相信任的关系 这种情况并不会产生严重的安全问题 但对于LAN的接入 各个接入到LAN的用户之间一般都互不相干 不存在互相信任的基础 接入到LAN中的用户一般都不希望自己的网络通信信息被其它的用户所获得 这就要求在实现LAN的接入中要充分考虑各个接入用户的隔离问题 为了实现LAN接入时各个接入用户的隔离以及减少广播泛滥 虚拟局域网 VirtualLocalAreaNetwork VLAN 技术就应运而生 VLAN技术通过将局域网络划分为不同的广播域从而实现安全和隔离广播的目的 减少了网络中的广播信息 从而提高了网络的性能 如图1 3所示 8 通信工程系 交换与路由技术 精品课程 1 1VLAN基础 9 通信工程系 交换与路由技术 精品课程 图1 3VLAN隔离广播 VLAN VirtualLocalAreaNetwork 简称VLAN 技术即虚拟局域网技术 它是将一个物理上互联的局域交换网络划分为逻辑上互相隔离的虚拟网络 一个VLAN在逻辑上等价于一个广播域 如图1 4所示 1 1VLAN基础 10 通信工程系 交换与路由技术 精品课程 图1 4VLAN划分示意图 VLAN技术的出现打破了传统网络的许多固有观念 使网络结构变得灵活 方便 在局域网交换技术中 虚拟局域网是一种迅速发展的技术 此种技术的核心是通过路由和交换设备 在网络的物理拓朴结构基础上建立一个逻辑网络 以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网 1 1VLAN基础 1 1 2VLAN的优点VLAN与普通局域网从原理上讲没有什么不同 但从用户使用和网络管理的角度 VLAN与普通局域网最基本的差异体现在 VLAN并不局限于某一网络或物理范围 VLAN用户可以是位于城市内的不同区域 甚至位于不同的国家 总体来说 VLAN具有以下优点 1 能控制网络的广播风暴 2 能确保网络的安全性 3 简化网络管理 4 虚拟工作组 11 通信工程系 交换与路由技术 精品课程 1 1VLAN基础 1 1 3VLAN的实现方式VLAN划分方法指的是在一个VLAN中包含哪些站点 包括服务器和客户站 采用何种方法将这些站点划分到同一个VLAN中 处在同一个VLAN中的所有成员 站点 将共享广播数据 而这些广播数据将不会被扩散到其他不在此VLAN中的站点那里 VLAN划分的方法如下 1 按交换机端口号的VLAN按交换机端口号来划分的VLAN是划分虚拟局域网最简单也是最有效的方法 这实际上是某些交换机端口的集合 网络管理员只需管理和配置交换机端口 而不管交换机端口连接什么设备 如图1 5所示 包括两个VLAN 即VLAN2 以太网端口1 2 和VLAN3 以太网端口3 4 12 通信工程系 交换与路由技术 精品课程 1 1VLAN基础 13 通信工程系 交换与路由技术 精品课程 图1 5按端口划分VLAN 1 1VLAN基础 1 优点 易于理解和管理 是厂商常用的方法 在一个企业中 对于连接不同交换机的用户 可以创建用户的逻辑分组 由于端口可以连接集线器 而集线器支持共享介质的多用户网络 因此 按交换端口号的分组方案能够将两个或多个共享介质的网络分为一组 2 缺点 当工作站移动到新的端口时 必须对用户进行配置 每个端口不能加入多个VLAN 14 通信工程系 交换与路由技术 精品课程 1 1VLAN基础 2 按MAC地址的VLAN由于只有网卡才分配有MAC地址 因此按MAC地址来说 事实上 该VLAN是一些MAC地址的集合 如图1 6所示 当设备移动时 网络管理需要管理和配置设备的MAC地址 很显然 如果网络规模很大 设备很多 则会给管理带来难度 15 通信工程系 交换与路由技术 精品课程 图1 6基于MAC地址的VLAN 1 1VLAN基础 3 按第3层协议划分的VLAN基于第3层协议的VLAN实现 在决定VLAN成员身份时 主要是考虑协议类型 支持多协议的情况下 或网络层地址 如TCP IP网络的子网地址 如图1 7所示 16 通信工程系 交换与路由技术 精品课程 图1 7基于第3层协议划分的VLAN 1 1VLAN基础 4 IP组播划分VLANIP组播代表着一种与众不同的VLAN定义方法 但在此种分组方法中 VLAN作为广播域的基本概念仍然适用 各站点可以自由地动态决定参加到哪一个或哪一些IP组播组中 一个IP组播组实际上是用一个D类地址表示的 当向一个组播组发送一个IP报文时 此报文将被传送到此组中的各个站点处 从这个意义上讲 我们可以将一个IP组播组看成是一个VLAN 但此VLAN中的各个成员都只具有临时性的特点 由IP组播定义VLAN的动态特性可以达到很高的灵活性 并且借助于路由器 此种VLAN可以是很容易地扩展到整个WAN上 17 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 1 2 1VLAN的运行方式每个VLAN相当于一个物理上独立的网桥 不同VLAN成员不能直接访问 VLAN可以跨越交换机 不同交换机上相同VLAN的成员处于一个广播域 可以直接相互访问 由于VLAN的划分是基于交换机的物理端口 交换机从连接主机的某个端口上接收到一个数据帧 交换机知道这个数据帧是属于哪个VLAN的 因为在交换机上面我们将不同的端口划分到了不同的VLAN中 从哪个端口收到的数据帧就属于该端口所属的VLAN 所以从这个角度进行分析 计算机并不对VLAN进行判别 决定属于哪个VLAN是由交换机来决定的 所以交换机的端口如果是与一台计算机相连接 那么这个端口只能属于一个VLAN 既然属于一个VLAN 这种端口不需要进行VLAN标记 如图1 8所示 18 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 19 通信工程系 交换与路由技术 精品课程 图1 8VLAN标签 1 2VLAN标记 但是对于连接2台交换机的链路而言 由于在一个交换机中可能会划分多个VLAN 同时两个交换机之间会出现多个相同VLAN之间需要通信的需求 此时进行交换机级联的链路需要承载多个不同VLAN的数据 连接此链路的交换机的端口不属于某个特定VLAN 如果不对数据帧做VLAN标记 交换机对从这样的链路上接收到的数据帧将无法确定所属的VLAN 所以交换机将数据帧发送到这样的链路前必须对数据帧做标记 即为每一个数据帧都被加上了一个标记 用来确定该数据帧所属的VLAN 如图1 9所示 20 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 21 通信工程系 交换与路由技术 精品课程 图1 9主干链路 1 2VLAN标记 1 2 2VLAN的帧结构传统的以太网数据帧格式是不包含VLAN信息的 无法用这种传统的以太网数据帧来传送VLAN信息 我们要想让跨越交换机的VLAN能正常工作 必须重新提出一种帧格式 该帧格式与传统以太网帧格式不同的是包含了VLAN信息 这便是在1996年3月 由IEEE802委员会发布的IEEE802 lQVLAN标准 其帧结构如图1 10 22 通信工程系 交换与路由技术 精品课程 图1 10802 1Q帧格式 1 2VLAN标记 可以看出 该帧格式跟传统以太网帧格式不同的是 在传统的以太网帧格式的类型 长度字段前面 附加了一个4字节的额外部分 称为802 1Q标记 标记字段分为四部分 TYPE 这是一个两字节长度的字段 来指出该数据帧类型 目前来说都是0X8100 PRI 这是一个三比特的数据字段 该字段用来表示数据帧的优先级 CFI 这是一个比特的字段 该字段用在一些环形结构的物理介质网络中 比如令牌环 FDDI等 VID 这就是802 1Q数据帧的核心部分 即VLANID 用来表示该数据帧所属的VLAN 23 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 1 2 2TAG与UNTAGUNTAG就是普通的Ethernet报文 普通PC机的网卡是可以识别这样的报文进行通信 不带标签的报文格式为 24 通信工程系 交换与路由技术 精品课程 TAG报文结构的变化就是在源MAC地址和目的MAC地址之后 加上了4bytes的VLAN信息 也就是VLANTAG头 一般来说这样的报文普通PC机的网卡是不能识别的 主要用于交换机级联时报文的传递 带有标签的报文格式为 1 2VLAN标记 1 2 3交换机端口类型接入链路 Accesslink 是用来将没有VLAN识别能力 non VLAN aware 的工作站连接到一个VLAN交换机端口的链路 即接入链路用于终端设备和交换机相连 如图1 11所示 如果VLAN是基于端口进行划分的 一个接入链路只能属于某一个特定VLAN 接入链路可以是单独一个网段 也可以由非VLAN识别的网桥和交换机连接起来的多个网段或工作站组成 接入链路不能承载标记分组 25 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 26 通信工程系 交换与路由技术 精品课程 图1 11接入链路 1 2VLAN标记 干线链路 trucklink 是承载标记分组 即那些具有VID的数据帧 的链路 所以一个干线链路 trucklink 可以承载多个VLAN的数据 如图1 12所示 干线链路支持那些能够理解VLAN帧格式和成员资格的设备 干线链路最通常的使用场合就是连接两个VLAN交换机的链路 通过干线链路 trucklink 可使VLAN跨越多个交换机 干线链路也可以用于交换机和具有VLAN识别能力的 VLAN aware 工作站 服务器的连接 27 通信工程系 交换与路由技术 精品课程 1 2VLAN标记 28 通信工程系 交换与路由技术 精品课程 图1 12干线链路 1 3VLAN的配置 现行主要设备生产厂家生产的交换机 都支持和采用基于端口划分VLAN的方法 在交换机中对VLAN进行划分的具体步骤如下 1 创建对应的VLAN 2 为VLAN添加对应的成员端口 1 3 1VLAN的创建1 创建单个VLAN 29 通信工程系 交换与路由技术 精品课程 说明 vlan id表示具体的VLAN号码 对应你所要创建的VLAN 取值范围为1 4094 1 3VLAN的配置 2 批量创建VLAN 30 通信工程系 交换与路由技术 精品课程 3 设置VLAN的别名VLAN别名用于区分各个VLAN 可以是小组名称 部门 地区等 缺省情况下 VLAN的别名为 VLAN VLANID 其中VLANID部分为4位数字 不足4位用0补足 如ID为4的VLAN别名缺省为VLAN0004 1 3VLAN的配置 1 3 2端口类型配置ZXR10以太网端口的VLAN链路类型有三种 Access模式 Trunk模式和Hybrid模式 默认为Access模式 Access模式的端口只能属于一个VLAN 端口不能打标签 untagged 一般为连接计算机的端口 Trunk模式的端口可以属于多个VLAN 端口必须打标签 tagged 可以接收和发送多个VLAN的报文 一般作为交换机之间连接的Trunk端口 Hybrid模式的端口可以属于多个VLAN 是否打标签由用户自由指定 可以接收和发送多个VLAN报文 可以用于交换机之间的连接 也可以连接用户计算机 31 通信工程系 交换与路由技术 精品课程 1 3VLAN的配置 Hybrid端口和Trunk端口的不同之处在于 Hybrid端口可以发送带标签或无标签的帧 而Trunk端口一般只在发送缺省VLAN的报文时不打标签 交换机端口类型的配置如下 32 通信工程系 交换与路由技术 精品课程 1 3VLAN的配置 1 3 3把端口加入到指定VLAN的配置Access端口只能加入到1个VLAN Trunk端口和Hybrid端口可以加入到多个VLAN中 33 通信工程系 交换与路由技术 精品课程 1 3VLAN的配置 1 3 4VLAN配置实例如图1 13所示 交换机A的端口fei 3 1 fei 3 2和交换机B的端口fei 3 1 fei 3 2属于VLAN10 交换机A的端口fei 3 4 fei 3 5和交换机B的端口fei 3 4 fei 3 5属于VLAN20 均为Access端口 两台交换机通过端口gei 7 1以Trunk方式连接 两端口为Trunk端口 34 通信工程系 交换与路由技术 精品课程 1 3VLAN的配置 交换机A的配置 ZXR10 A config vlan10ZXR10 A config vlan switchportpvidfei 3 1 2ZXR10 A config vlan exitZXR10 A config vlan20ZXR10 A config vlan switchportpvidfei 3 4 5ZXR10 A config vlan exitZXR10 A config interfacegei 7 1ZXR10 A config if switchportmodetrunkZXR10 A config if switchporttrunkvlan10ZXR10 A config if switchporttrunkvlan20 35 通信工程系 交换与路由技术 精品课程 1 3VLAN的配置 交换机B的配置 ZXR10 B config vlan10ZXR10 B config vlan switchportpvidfei 3 1 2ZXR10 A config vlan exitZXR10 B config vlan20ZXR10 B config vlan switchportpvidfei 3 4 5ZXR10 A config vlan exitZXR10 B config interfacegei 7 1ZXR10 B config if switchportmodetrunkZXR10 B config if switchporttrunkvlan10ZXR10 B config if switchporttrunkvlan20 36 通信工程系 交换与路由技术 精品课程 项目实施 实训条件ZXR10系列产品3928交换机2台 计算机6台 配置电缆3根 电源插座7个 2米平行网线4根 交叉线2根 数据规划设备名称规划 37 通信工程系 交换与路由技术 精品课程 表1 1设备名称规划 项目实施 VLAN和端口号分配 38 通信工程系 交换与路由技术 精品课程 表1 2VLAN和端口号分配 项目实施 实施步骤1 网络物理连接根据项目描述中的拓扑结构 进行网络物理连接 2 配置VLAN在交换机的系统视图下创建VLAN 然后在VLAN视图下添加对应VLAN的端口号 SW1和SW2的VLAN配置如下 见教材 39 通信工程系 交换与路由技术 精品课程 项目实施 3 配置交换机TRUNK端口SW1的接口配置 sw1 config interfacefei 1 24sw1 config if swi