第9章 虚拟局域网

第9章虚拟局域网,学习目标,理解VLAN的概念、优点及分类掌握VLAN中继协议掌握VLAN的配置、管理和排错掌握VLAN之间的通信实现方法及配置,VLAN简介,采用路由器划分逻辑网段,采用VLAN划分逻辑网段,VLAN的优点,1、可以有效控制广播域的范围2、提高了网络的安全性3、简化了网络管理,VLAN的分类,VLAN的实现方式分为静态VLAN和动态VLAN两种实现方式。1）静态VLAN：静态VLAN是指由网络管理员手工将交换机端口指派给某个VLAN2）动态VLAN：动态VLAN是指根据交换机端口所连用户的MAC地址、逻辑地址或协议等信息将交换机端口动态分配给某个VLAN,VLAN的分类（续）,在交换网络中实施VLAN时，会涉及到默认VLAN、管理VLAN以及本征VLAN等术语：默认VLAN：是指交换机端口默认所属的VLAN。交换机的默认VLAN是VLAN1，VLAN1不能被重命名，也不能被删除VLAN1。管理VLAN：管理VLAN是用于远程访问交换机管理功能的VLAN。本征VLAN（NativeVLAN）：交换机的端口被配置为802.1Q中继端口时，需要指定本征VLAN，中继端口默认的本征VLAN为VLAN1,VLAN技术原理,VLAN示例,中继链路,中继协议,标记协议标志符：长度为2个字节，其值为固定值“0X8100”，表示该帧是带有802.1Q标记信息的帧。标签控制信息字段：共2个字节，包含是的帧的控制信息。它包括3个比特用户优先级（UserPriority）、1个比特规范格式指示器（CanonicalFormatIndicator，简称CFI）和12个比特VLAN标记（VLANIdentifier，简称VID）VID的有效值为0到4095，其中0、1和4095被保留。,VLAN链路的类型,据链路上可传输的数据帧的类型，可以把链路分为以下三种类型：1、接入链路2、中继链路3、混合链路,接入链路,交换机端口为接入链路表示该交换机端口属于一个并且只属于一个VLAN接入链路只能是一个VLAN成员接入链路上传输的是普通以太网帧,中继链路,中继链路可以承载多个VLAN。除了本征VLAN的数据帧在中继链路上传输时不需要打上VLAN标签，中继链路在传输其它VLAN的数据帧时传输的都是打上VLAN标记的VLAN帧中继链路通常用于交换机与交换机之间的连接，以及交换机与路由器之间的连接,混合链路,混合链路可发传输带VLAN标签的VLAN帧以及不带VLAN信息的以太网帧。,VLAN标签工作过程,使用了VLAN技术的交换网络环境中，接入链路上传输的普通以太网帧当数据帧需要从中继链路上转发出去时，执行以下操作：1）如果数据帧所属VLAN是本征VLAN，数据帧不打VLAN标签，直接从中继链路发送出去；2）如果数据帧所属VLAN不是本征VLAN，打上对应的VLAN标签，并从中继链路发送出去。中继链路另一端（即接收端）收到一个数据帧，执行以下操作：1）如果收到的数据帧没有VLAN标签，则该数据帧所属VLAN为本征VLAN，从所有属于本征VLAN所在VLAN的接入端口和中继端口转发出去；2）如果收到的数据帧是带有VLAN标签的802.1Q帧，根据VLAN标签判断数据帧所属的VLAN，然后去掉数据帧中的VLAN标签，并从所有属于该VLAN的接入端口和中继端口转发。,VLAN标记工作过程示例,中继链路两端本征VLAN不一致现象,VLAN的规划要点,VLAN的规划要点有：1）确定在局域网中需要创建的VLAN个数，每个VLAN的ID、VLAN的名称，每个VLAN的类型以及每个VLAN对应的IP网络号；2）确定交换机的哪些端口为中继端口，中继端口的封装协议是什么，中继链路允许哪些VLAN帧通过，哪个VLAN作为中继链路上的本征VLAN；3）确定交换机的哪些端口为接入端口，该接入端口指派给哪个VLAN。,VLAN的配置要点,VLAN的配置一般需要三个步骤：1）在局域网所有的交换机上根据规划的VLAN创建VLAN，并配置VLAN的名称；2）在局域网所有的交换机上根据规划配置中继端口；3）在局域网所有的交换机上根据规划配置接入端口，并指定接入端口属于哪个VLAN,VLAN配置与调试验证命令,Switch(config)#vlanvlan-id/创建VLAN注：交换机VLAN信息保存在“flash：vlan.dat”中Switch(config)#novlanvlan-id/删除VLANSwitch(config-vlan)#namevlan-name/配置VLAN的名称Switch(config-if)#switchporttrunkencapsulationdot1q|isl/配置中继端口的封装协议Switch(config-if)#switchportmodetrunk/配置端口链路类型为中继链路Switch(config-if)#switchporttrunknativevlanvlan-id/配置中继链路的本征VLANSwitch(config-if)#switchporttrunkallowedvlanall/配置中继链路允许承载所有VLAN帧,VLAN配置与调试验证命令（续）,Switch(config-if)#switchporttrunkallowedvlanadd|remove|exceptvlan-id/配置中继链路所承载的VLAN帧Switch(config-if)#switchportmodeaccess/设置端口链路类型为接入链路Switch(config-if)#switchportaccessvlanvlan-id/此端口指派给VLANSwitch#showvlan/查看VLAN信息Switch#showvlanbrief/查看VLAN的简要信息Switch#showinterfacesinterface-id|vlanvlan-id|switchport/显示交换机接口信息,VLAN的规划与配置实例,VLAN之间的通信,传统使用路由器实现VLAN之间的通信,单臂路由,路由器的F0/0端口配置两个逻辑子接口：一个逻辑子接口属于VLAN1，配置的IP地址为VLAN1中主机的默认网关地址；另一个逻辑子接口属于VLAN2，配置的IP地址为VLAN2中主机的默认网关地址。,单臂路由存在的问题,1）单臂路由的路由器与交换机之间的链路成为网络瓶颈2）路由器成为转发性能的瓶颈,使用三层交换机虚拟端口实现VLAN之间的通信,使用三层交换机实现VLAN之间的通信是使用三层交换机的虚拟端口（SwitchVirtualInterface，简称SVI）一个SVI对应一个VLAN，可以为交换机上的任何VLAN创建SVI,使用单臂路由实现VLAN之间通信的规划要点,规划要点如下：1）确定连接到交换机的路由器物理端口的逻辑子接口数目及逻辑子接口标识。交换网络中有多少个VLAN，就需要多个少逻辑子接口；2）确定每个逻辑子接口为哪个VLAN的网关、逻辑子接口的IP地址及子网掩码。,使用单臂路由实现VLAN之间通信的配置要点,使用单臂路由实现VLAN之间通信的配置一般需要三个步骤：1）将与路由器相连的交换机端口配置为中继端口；2）把与交换机相连的路由器物理端口的IP地址删除，并启用物理端口；3）在路由器上为每个逻辑子接口根据规划进行VLAN的封装、IP地址与子网掩码的配置。,单臂路由配置与调试验证命令,以CISCO路由器与交换机为例的单臂路由配置与调试验证命令：Router(config-if)#noipaddress/删除路由器端口的IP地址Router(config-subif)#encapsulationdot1Qvlan-id/配置逻辑子接口vlan标识，其封装格式为802.1q，参数“vlan-id”为VLAN标识Router#showinterface/查看路由器接口状态Router#showiproute/查看路由表,使用单臂路由实现VLAN之间通信的规划与配置实例,F0/0,使用三层交换实现VLAN之间通信的规划要点,使用三层交换实现实现VLAN之间的通信，其规划要点如下：1）如果交换网络中有多台三层交换机，确定VLAN之间的通信在哪一台三层交换机上实施；2）根据交换网络中的VLAN确定三层交换上需要创建的SVI端口，需要为每个VLAN创建一个SVI作为该VLAN的网关；3）根据SVI对应的VLAN分配IP地址及子网掩码。,使用三层交换实现VLAN之间通信的配置要点,使用三层交换机实现VLAN之间通信的配置一般需要三个步骤：1）在三层交换机上创建VLAN，并将三层交换机与其它交换机相连的链路端口配置为中继模式；2）在三层交换机上使用“iprouting”命令启用IP路由转发功能。3）根据规划创建SVI端口，并配置IP地址与子网掩码,使用三层交换机实现VLAN之间通信的配置与调试验证命令,Switch(config)#iprouting/启用IP路由功能Switch(config)#interfacevlanvlan-id/创建SVI端口，并进入SVI接口子配置模式Switch#showipinterfacebrief/简单查看交换机端口的状态信息Switch#showiproute/查看路由表,使用三层交换实现VLAN之间通信的规划与配置实例,工程案例,工程案例拓扑图,工程案例背景,1）教学楼A、B、C中所以接入层交换机（其名称以AS开始的交换机）的F0/1到F0/12用来连接教室的信息点、F0/13到F0/24用来连接教师办公室的信息点；2）行政楼的交换机AS_SW1-1、AS_SW1-2、AS_SW1-3的F0/1到F0/24端口，以及交换机AS_SW1-4的F0/1到F0/10端口用于连接校领导的信息点；3）行政楼的交换机AS_SW1-4、AS_SW1-5的F0/1到F0/24端口，以及交换机AS_SW1-4的F0/11到F0/24端口用于连接财务科的信息点；4）行政楼的交换机AS_SW1-6、AS_SW1-7、AS_SW1-8、AS_SW1-9和AS_SW1-10的F0/1到F0/24端口用于连接总务科的信息点；5）行政楼的交换机AS_SW1-11、AS_SW1-12、AS_SW1-13和AS_SW1-14的F0/1到F0/24端口用于连接教务科的信息点；6）行政楼的其它接入层交换机的F0/1到F0/24端口用于连接其它部门的信息点。,工程案例需求,1）根据部门划分VLAN，以减小广播域的大小，隔离不同部门的广播，；2）VLAN之间的通信在汇聚层三层交换机DS_SW1、DS_SW2、DS_SW3和DS_SW4上完成；3）整个校园网络使用单域OSPF实现校园网内部网络所有网段的互连互通；4）在核心层交换机Core_SW1上做镜像端口，镜像端口的源为G3/1、G3/2、G3/3、G3/4和G3/5端口，镜像目的端口为监控主机所连端口；5）优化OSPF路由，如果路由设备的端口所连网络不存在别的路由设备，需把该端口设置为“被动接口”以优化网络性能,IP地址及VLAN规划,OSPF规划设计,工程案例部署与实施,1）交换机AS_SW2-1上IP及VLAN相关的配置AS_SW2-1(config)#vlan2AS_SW2-1(config-vlan)#nameA-JSAS_SW2-1(config-vlan)#vlan3AS_SW2-1(config-vlan)#nameA-BGSAS_SW2-1(config-vlan)#vlan90AS_SW2-1(config-vlan)#nameGLAS_SW2-1(config-vlan)#exitAS_SW2-1(config)#interfacerangef0/1-12AS_SW2-1(config-if-range)#switchportmodeaccessAS_SW2-1(config-if-range)#switchportaccessvlan2AS_SW2-1(config-if-range)#interfacerangef0/13-24AS_SW2-1(config-if-range)#switchportmodeaccessAS_SW2-1(config-if-range)#switchportaccessvlan3,工程案例部署与实施,1）交换机AS_SW2-1上IP及VLAN相关的配置AS_SW2-1(config)#interfaceg0/1AS_SW2-1(config-if)#switchporttrunkencapsulationdot1qAS_SW2-1(config-if)#switchportmodetrunkAS_SW2-1(config-if)#switchporttrunknativevlan90AS_SW2-1(config-if)#exitAS_SW2-1(config)#ipdefault-gateway10.0.18.254AS_SW2-1(config)#interfacevlan90AS_SW2-1(config-if)#ipaddress10.0.18.1255.255.255.0,工程案例部署与实施,2）交换机DS_SW2上IP及VLAN相关的配置DS_SW2(config)#vlan2DS_SW2(config-vlan)#nameA-JSDS_SW2(config-vlan)#vlan3DS_SW2(config-vlan)#