VLAN技术详细解析ppt课件

.,VLANVirtualLAN,.,2,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,3,VLAN概念的提出,某单位内部网络情况如上图，其中有3个部门：工程部；销售部；财务部。现要实现各个部门之间不能互相访问，但部门内部又可以互相访问，而且这些电脑又要分别组成一个小局域网,.,4,什么是VLAN,VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地，而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。,.,5,什么是VLAN（续）,VLAN允许管理员创建基于功能或者部门的网络段，而不必受到地理位置的限制。一个VLAN就是一个广播域。每个VLAN都有一个VLANID，在整个局域网中可以唯一的标识该VLAN。VLAN的目的是为了分隔不同类型的网络流量。VLAN间的通信需要通过三层路由引擎或路由软件模块来实现。,.,6,VLAN的好处,共用物理的交换机设备虚拟工作组，管理上的便利性实现端口逻辑上的隔离，增强网络安全性限制广播报文在整个网络中泛洪，控制广播风暴减少网络移动和改变的代价，节省成本,.,7,VLAN的作用,每一个逻辑上的VLAN相当于一个物理上的一个交换机或者网桥VLAN可以跨越多个交换机Trunk可以承载多个VLAN信息,.,8,VLAN的种类,基于端口的VLAN基于MAC的VLAN基于IP的VLAN基于协议的VLAN,.,9,基于端口的VLAN,SwitchA的VLAN表,优点:配置简单缺点:当连接的网络设备改变时需要对端口进行重新配置,.,10,基于MAC的VLAN,优点:随意改变网络设备的位置缺点:交换机管理能力要求高,Host-1,Host-2,Host-3,Host-4,Host-5,Host-6,Host-7,Host-8,BDCOMSwitch,Host-9,VLAN2,VLAN4,VLAN3,Host-10,BDCOMSwitch,Sniffer,.,11,基于IP的VLAN,Host-1x.x.40.1,Host-2x.x.10.2,Host-3x.x.10.3,Host-4x.x.40.4,Host-5x.x.10.6,Host-6x.x.30.7,Host-7x.x.40.8,Host-8x.x.40.9,EtherSwitch-12,Host-9x.x.30.10,VLAN-10,VLAN-40,VLAN-30,Host-11x.x.30.11,EtherSwitch-13,Sniffer,优点:容易管理缺点:需要检查每个ip包的三层报头,.,12,基于协议的VLAN,IPXuser-1,IPuser-2,UNIXIP,IPuser-6,AppleTalkuser-7,IPXServer,EtherSwitch-12,AppleTalkuser-10,VLAN-2,VLAN-4,VLAN-27,AppleTalkServer,IPXuser-4,IP&IPXuser-9,IPuser-5,EtherSwitch-13,优点:基于应用的，可随意改变网络设备的位置缺点:需要查看数据包的三层报文头,.,13,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN、PVLAN,Portprotect,GMRP、GVRP,PVLAN,.,14,802.1Q帧格式,IEEE802.1Q:是国际标准协议，被几乎所有的网络设备生产商所共同支持；,.,15,802.1Q标签头,TagProtocolIdentifier（TPID）801.1Q标签帧标识，值为0 x8100TagControlInformation（TCI）标签控制信息，包含：VLANIdentified（VLANID）CanonicalFormatIndicator（CFI）Priority,.,16,802.1Q标签头,VLANIdentified（VLANID）：这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己所属的VLANCanonicalFormatIndicator（CFI）：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式Priority：这3位指明帧的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送优先级高的数据包,.,17,.,18,VLAN端口状态,Switch_config#showvlanid2VLANid:2,Name:VLAN0002Mode:Static,TotalPorts:8InterfaceAtttributesF0/4Trunk,TaggedF0/5Trunk,TaggedF0/6AccessF0/7AccessF0/8AccessF0/9AccessF0/10AccessF0/11AccessF0/12AccessF0/13AccessF0/14AccessF0/15AccessF0/16Access,Switch_config#showvlanid1VLANid:1,Name:DefaultMode:Static,TotalPorts:18InterfaceAtttributesF0/1AccessF0/2AccessF0/3AccessF0/4Trunk,unTagged,PVIDF0/5Trunk,unTagged,PVIDF0/17AccessF0/18AccessF0/19AccessF0/20AccessF0/21AccessF0/22AccessF0/23AccessF0/24Access,.,19,802.1QVLAN名词解释,access接口和trunk口Tagged帧和untagged帧,.,20,交换机端口处理报文的流程,是否有VLAN信息,打上PVID,转发,丢弃,Access端口收报文,N,Y,将报文的VLAN信息剥离,转发,Access端口发报文,Access口用于连接PC,.,21,交换机端口处理报文的流程(续),是否有VLAN信息,打上端口PVID,N,转发,Istrunkallow?,Y,Y,N,丢弃,Trunk口收报文,Trunk口发报文,端口的PVID和将要发送报文的VLAN信息是否相等,Y,剥离VLAN信息,转发,N,Trunk口一般用于VLAN交换机之间的级联,.,22,TAG和UNTAG的区别,Tag?Untag?,tag,数据是否携带VLAN信息,加上端口缺省PVID,转发,N,Y,untag,Istrunkallow?,Y,丢弃,N,加上端口缺省PVID,端口接受数据,.,23,TAG和UNTAG的区别,Tag?Untag?,tag,untag,端口发送数据,端口缺省PVID是否等于发送的数据包所含的PVID,转发,去掉VLAN标记,Y,N,tagged一般用于VLAN交换机之间的级联untagged则用于连接PC,.,24,VLANTrunk,VLANtrunk：在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。,SwitchA,SwitchB,.,25,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,26,创建VLAN,该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#vlan2,vlanvlan_id,.,27,删除VLAN,该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#novlan2,novlanvlan_id,.,28,给VLAN命名,该命令在VLAN配置模式下操作Switch_config_vlan_id#SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameEngineering,nameword,.,29,分配交换机端口到VLAN中,以下命令在端口模式Switch_config_fsoltnum/portnum#Switch_config_fsoltnum/portnum#Switch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportmodeaccessSwitch_config_f0/2#switchportpvid2,Switchportmodetrunk|access,Switchportpvidvlan_id,.,30,配置举例VLAN基本配置,用在BDOCMSwitch上划分VLAN的方式来隔离交换机中的广播，并且提高局域网的安全性需求：1.PC1所在的部门是sale，PC2所在的部门是Engineering2.PC1和PC2在不同的广播域3.PC1和PC2不能互相访问,.,31,VLAN基本配置,SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameSaleSwitch_config_vlan2#exitSwitch_config#vlan3Switch_config_vlan3#nameEngineeringSwitch_config_vlan3#exitSwitch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportpvid2Switch_config_f0/2#exitSwitch_config#interfacefastEthernet0/3Switch_config_f0/3#switchportpvid3Switch_config_f0/3#exitSwitch_config#exit,.,32,查看VLAN信息,Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7F0/8,F0/9,F0/10,F0/11,F0/12F0/13,F0/14,F0/15,F0/16,F0/17F0/18,F0/19,F0/20,F0/21,F0/22F0/23,F0/242StaticsaleF0/23StaticEngineeringF0/3,可以看到交换机里面配置的所有VLAN信息，并且可以清楚的看出VLAN和端口的对应状态,.,33,VLAN间路由,在二层交换机上划分VLAN之后，各个不同的VLAN之间是不能进行通信的，如果要使各个不同的VLAN之间可以互相通信，那么就要用到路由技术。例如：1.二层交换机上联路由器2.二层交换机上联三层交换机3.直接使用三层交换机,.,34,VLAN间路由（1）,二层交换机上联路由器不论VLAN有多少个，路由器与二层交换机都只用一条网线连接。在二层交换机和路由器上配置它们之间相连的端口使用Trunk，使多个VLAN共享同一物理链路连接到同一路由器。这种连接方式要求路由器支持子接口，每个子接口对应一个VLAN，对应一个逻辑子网。,.,35,配置举例,拓扑结构如图：在二层交换机上划分VLAN2，VLAN3，VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。,.,36,相关的配置,交换机的所需的配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3,路由器所需的配置interfaceFastEthernet0/0.2ipaddressencapsulationdot1Q2！interfaceFastEthernet0/0.3ipaddressencapsulationdot1Q3!,.,37,PC所需要的配置,PC1(VLAN2中的PC)IPAddress.:5SubnetMask.:DefaultGateway.:PC2(VLAN3中的PC)IPAddress.:5SubnetMask.:DefaultGateway.:,.,38,VLAN间路由（2）,二层交换机上联三层交换机不论VLAN有多少个，三层交换机与二层交换机都只用一条网线连接。在二层交换机和三层交换机之间相连的端口使用Trunk，使多个VLAN共享同一物理链路连接到同一台三层交换机。,.,39,配置举例,拓扑结构如图：在二层交换机上划分VLAN2，VLAN3，VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。,.,40,二层交换机所需要的配置,interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3,.,41,三层交换机所需要的配置,interfaceFastEthernet0/1switchportmodetrunk!interfaceVLAN1ipaddressnoipdirected-broadcast!interfaceVLAN2ipaddressnoipdirected-broadcast!interfaceVLAN3ipaddressnoipdirected-broadcast!vlan1-3,.,42,PC所需要的配置,PC1(VLAN2中的PC)IPAddress.:5SubnetMask.:DefaultGateway.:PC2(VLAN3中的PC)IPAddress.:5SubnetMask.:DefaultGateway.:,.,43,VLAN间路由（3）,使用三层交换机在三层交换机上建立相应的逻辑接口，VLAN与逻辑接口一一对应。使用三层交换机自带的三层路由引擎，就可以实现各个VLAN（逻辑子网）之间的通信了。,.,44,配置举例,拓扑结构如图，在三层交换机上划分VLAN2,VLAN3,VLAN4,每个VLAN都是单独的逻辑子网，现要使VLAN2,VLAN3,VLAN4可以互相通信。,.,45,三层交换机所需要的配置,interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!interfaceFastEthernet0/4switchportpvid4!,interfaceVLAN2ipaddress!interfaceVLAN3ipaddress!interfaceVLAN4ipaddress！vlan1-4,.,46,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,47,为什么要有SuperVLAN,按照传统的VLAN做法，每个部门对应一个VLAN，对应着一个三层逻辑子网,如果销售部再增加两个人，网络会有什么变化呢？,.,48,SuperVLAN,SuperVLAN是一种VLAN聚合技术，提供一种机制使处于同一个交换机中分属不同VLAN的主机分配在相同的Ipv4子网中，而且使用同一个默认网关。当不同SubVLAN中的主机需要相互之间通讯时，需要在SuperVLAN开启ARP代理。,.,49,SuperVLAN的特点,若干个小VLAN（SubVLAN）同属于一个大VLAN（SuperVLAN）。SuperVLAN对应IPv4子网地址，所有该SuperVLAN的SubVLAN都属于该子网。SubVLAN实现广播域隔离。不同的SubVLAN仍保留各自独立的广播域，实现同一子网中的广播的隔离，避免广播风暴的产生。同一子网SuperVLAN中的不同SubVLAN互通需要SuperVLAN开启arp-proxy。SuperVLAN是一个三层的逻辑接口。,.,50,配置举例,用户PC1，PC2连接在交换机的2和3端口下，这些PC机的ip地址属于/24网段，PC的默认网关是。要求PC1和PC2可以互相通信，但是PC1和PC2处在不同的二层广播域内。,.,51,交换机所需要的配置,interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3！,interfaceSuperVLAN2ipaddressipproxy-arpsubvlannoipdirected-broadcastsubvlanadd2-3!vlan1-3,.,52,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,53,（三）PVLAN,PC1和PC2可以互相访问，PC3和PC4可以互相访问，但PC1和PC2不可以访问PC3和PC4，但这些PC1/2/3/4都可以访问几台服务器SERVER这样的应用就要使用PVLAN来完成,.,54,PVLAN端口介绍,PVLAN（PrivateVLAN）中端口扮演三种角色1.Promiscuous（混杂端口）这种端口一般为上联端口，网络出口。这种端口可以和同一PVLAN里面得所有端口互相通讯2.Isolated（孤立端口）这种端口就是孤立端口，一般用于接各个用户。这种端口只能和Promiscuous端口进行通讯。Isolated端口之间不能互相通讯。3.Community（大众端口）这种类型得端口之间可以互相通讯，也可以和Promiscuous端口通讯，但是不能同其他Isolated端口互相通讯，这种端口主要应用同一PVLAN中给那些需要互相通讯得一组用户使用,.,55,配置举例PVLAN应用一,（1）业务VLAN与服务器VLAN之间通信用户在二层交换机上划分了VLAN2，VLAN3，VLAN4；VLAN2和VLAN3中是客户机，VLAN4中是服务器。现要实现所有的VLAN在同一个子网，VLAN2和VLAN3之间不能互访，但是VLAN2和VLAN3均能访问VLAN4。,.,56,二层交换机所需要的配置,interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed2,4switchporttrunkvlan-untagged2,4!,interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed3-4switchporttrunkvlan-untagged3-4!interfaceFastEthernet0/4switchportmodetrunkswitchportpvid4switchporttrunkvlan-untaggedall!,.,57,查看VLAN配置,Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/4,F0/5,F0/6,F0/7,F0/8F0/9,F0/10,F0/11,F0/12,F0/13F0/14,F0/15,F0/16,F0/17,F0/18F0/19,F0/20,F0/21,F0/22,F0/23F0/242StaticVLAN0002F0/1,F0/2,F0/43StaticVLAN0003F0/3,F0/44StaticVLAN0004F0/1,F0/2,F0/3,F0/4,.,58,配置举例PVLAN应用二,（2）业务VLAN与上联设备之间进行通信用户在二层交换机上划分了VLAN2，VLAN3；VLAN2和VLAN3中是客户机。现要实现所有的VLAN在同一个子网，VLAN2和VLAN3之间不能互访，但是VLAN2和VLAN3均能与路由器通信。,.,59,交换机所需的配置,interfaceFastEthernet0/1switchportmodetrunkswitchporttrunkvlan-untaggedall!interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed1-2switchporttrunkvlan-untagged1-2,interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed1,3switchporttrunkvlan-untagged1,3,.,60,路由器所需的配置,interfaceFastEthernet0/0ipaddress！在这里只需要这样一条命令就可以了，如果有其他应用，就适当增加其他应用的配置。,.,61,查看VLAN配置,Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/2,F0/3,F0/4,F0/5F0/6,F0/7,F0/8,F0/9,F0/10F0/11,F0/12,F0/13,F0/14,F0/15F0/16,F0/17,F0/18,F0/19,F0/20F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/1,F0/23StaticVLAN0003F0/1,F0/3,.,62,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,63,PortProtect,PortProtect：端口隔离，就是说一台交换机的下联端口之间不允许相互通讯，每个下联口都只能与上连口通讯，它能解决多种与以太广播相关的安全问题。设置隔离功能的端口之间不能再有数据包通信，其他没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发。端口隔离是靠硬件进行处理的。,.,64,配置举例,拓扑结构如图要使PC1和PC2之间不能互相访问，但是PC1和PC2都能和Server互相通信。,.,65,二层交换机所需要的配置,interfaceFastEthernet0/1!interfaceFastEthernet0/2switchportprotected!interfaceFastEthernet0/3switchportprotected!,.,66,802.1QVLAN的基本配置,本章学习重点,VLAN的基本概念,802.1QVLAN,SuperVLAN,Portprotect,GMRP、GVRP,PVLAN,.,67,VLAN的配置形式,VLAN的配置的形式有两种：1.静态手工配置对逐个交换机进行手工配置VLAN如果有大量的交换机，这种做法就比较麻烦，网络工程师要一台一台的配置VLAN信息和状态，将会有大量的工作要做，并且容易出错。2.动态配置VTPGVRP,.,68,动态配置,VTP：VLANTrunkProtocol，用于维护全网VLAN信息的一致性；有三种工作模式，服务器模式，客户模式和透明模式。Cisco私有协议GARP，在一台开启了GVRP的交换机上配置了需要的VLAN信息之后，这种信息会自动的传递到其他的开启了GVRP的交换机上，从而减少了网络工程师的工作量和出错几率，并且节省了很多时间。,.,69,服务器模式,客户模式,透明模式,发送/转发信息宣告同步不会存贮于NVRAM,创建vlan修改vlan删除vlan发送/转发信息宣告同步存贮于NVRAM,创建vlan修改vlan删除vlan转发信息宣告不同步存贮于NVRAM,VTP模式,.,70,VTP是如何工作的,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生,.,71,VTP是如何工作的,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生（30s）,.,72,GARP,GARP（GenericAttributeRegistrationProtocol）是一种通用的属性注册协议，该协议提供了一种机制用于协助同一个交换网内的交换成员之间分发、传播和注册某种信息（如VLAN、组播地址等）。GARP本身不作为一个实体存在于交换机中，遵循GARP协议的应用实体称为GARP应用，目前主要的GARP应用为GVRP和GMRP。当GARP应用实体存在于交换机的某个端口上时，该端口对应于一个GARP应用实体。,.,73,GARP定时器,GARP成员之间的信息交换借助于消息完成，GARP起主要作用的消息类型有三类，分别为Join、Leave和LeaveAll。GarpJoinTime:20centisecondsGarpLeaveTime:60centisecondsGarpLeaveAllTime:1000centisecondsGarpHoldTime:10centiseconds,.,74,GMRP&GVRP,GMRP（GARPMulticastRegistrationProtocol）GARP组播注册协议GMRP是通用属性注册协议GARP的一种应用，主要提供一种类似于IGMPsnooping技术的强制组播扩散功能。GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）是GARP的一种应用，它基于GARP的工作机制，维护交换机中的VLAN动态注册信息，并传播该信息到其它的交换机中。,.,75,GARP工作流程,属性声明和注册,属性声明和注册,GARP报文,上图：GARP模型右图：GARP工作过程,a:表示某个需要注册的属性A：对这