VLAN应用介绍PPT课件

VLAN的中文名字1，2是“虚拟局域网”。VLAN是一种新的数据交换技术，它在逻辑上将局域网设备分成网段，以实现虚拟工作组。这一新兴技术主要用于交换机和路由器，但主流应用仍然是交换机。然而，并不是所有的开关都有这种功能。只有带VLAN协议的交换机才有此功能。这可以从相应开关的说明中看出。建立VLAN的主要目的是限制广播包的传播范围，减少广播包的影响。所有以太网数据包，如单播、多播、广播和未知数据包，将仅在VLAN内传输。这样，在一定程度上可以提高网络的安全性。在图中，它是一个由5个第2层交换机(交换机1 5)组成的网络，与大量客户端相连。假设此时计算机A需要与计算机B通信。在基于以太网的通信中，为了正常通信，必须在数据帧中指定目标媒体访问控制地址，因此计算机a必须首先广播“ARP请求”信息，以尝试获得计算机b的媒体访问控制地址。在接收到广播帧(ARP请求)后，交换机1将其转发到除接收端口之外的所有端口，即泛洪。然后，交换机2在接收到广播帧后也将泛洪。开关3、4和5也会泛洪。最后，ARP请求被转发到同一网络中的所有客户端。这个ARP请求最初是为了获取计算机B的MAC地址而发送的。也就是说，只要计算机B能接收到它，一切都会好的。但事实上，数据帧遍布整个网络，导致所有计算机都接收到它。结果，一方面，广播信息消耗整个网络的带宽，另一方面，接收广播信息的计算机也消耗部分中央处理器时间来处理它。导致大量不必要的网络带宽和中央处理器计算能力的消耗。以太网是一种基于CSMA/光盘(载波侦听多路访问/冲突检测)共享通信介质的数据网络通信技术。当主机数量很大时，会导致严重的冲突、广播泛滥、显著的性能下降，甚至使网络不可用。通过交换机实现局域网互联可以解决严重的冲突问题，但仍然不能隔离广播消息。在这种情况下，VLAN技术出现了。这项技术可以将一个局域网分成多个逻辑局域网。每个VLAN都是一个广播域。VLAN的主机之间的通信与局域网中的相同，而虚拟局域网之间不能直接通信，因此广播消息仅限于一个VLAN。同一VLAN的主机通过传统的以太网通信交换消息，而不同虚拟局域网中的主机需要通过网络层设备(如路由器或三层交换机)进行通信。(1)广播风暴预防限制了网络上的广播。将网络分成多个VLAN可以减少参与广播风暴的设备数量。局域网分段可以防止广播风暴影响整个网络。VLAN可以提供一种建立防火墙的机制来防止交换网络的过度广播。使用VLAN，交换机端口或用户可以被分配到特定的VLAN组，该组可以在交换机网络中或跨多个交换机，并且在VLAN的广播不会被发送到VLAN之外。同样，邻近的港口也不会接收来自其他VLAN的广播。这可以减少广播流量，向用户应用程序释放带宽，并减少广播生成。2.安全性增强了局域网的安全性。包含敏感数据的用户组可以与网络的其他部分隔离开来，从而降低泄露机密信息的可能性。不同虚拟局域网中的消息在传输过程中相互隔离，也就是说，一个VLAN的用户不能与其他虚拟局域网中的用户直接通信。如果不同的虚拟局域网想要通信，它们需要通过三层设备，如路由器或三层交换机。3.降低成本降低了对昂贵的网络升级的需求，并且现有带宽和上行链路的利用率更高，从而节省了成本。性能改进将第2层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。5.提高VLAN信息技术人员的效率给网络管理带来了便利，因为具有相似网络要求的用户将共享同一个VLAN。6.简化VLAN的项目管理或应用管理，将用户和网络设备结合在一起，以支持业务或地理需求。通过功能的划分，项目管理或特殊应用的处理变得非常方便，例如，教师的电子教学开发平台可以轻松管理。此外，还很容易确定升级网络服务的影响范围。7.增加网络连接的灵活性。利用VLAN技术，不同的位置、不同的网络和不同的用户可以组合成一个虚拟的网络环境，这与使用本地局域网一样方便、灵活和有效。VLAN可以降低移动或改变工作站地理位置的管理成本，特别是在一些业务变化频繁的公司使用VLAN后，这部分管理成本大大降低。8、VLAN的定义包括物理端口、MAC地址、协议、IP地址和用户定义的过滤方法。802.1Q是VLAN标准，它将VLANID封装在帧的报头中，以便帧可以跨越不同的设备，并且还可以保留VLAN信息。来自不同制造商的交换机可以跨越交换机，只要它们支持802.1QVLAN，并且可以被统一划分和管理。VLAN的最大数量不受交换机端口数量的限制，可以达到4094个。在802.1QVLAN中，网卡不需要识别数据包报头部分的802.1Q标签。网卡只需要发送和接收普通的以太网数据包。标签信息由交换机端口根据相应的PVID添加到数据包中。交换机根据包头中的标签信息决定如何转发数据包。VLAN港是VLAN的一个港口。同一个VLAN的端口可以相互通信，这可以有效地屏蔽广播风暴，提高网络安全性。VLAN港具有实施简单、管理方便的优点。注：端口VLAN一般适用于同一交换机下的VLAN分部。对于跨交换机的VLAN分部，需要基于802.1Q的标记虚拟局域网。例如，端口VLAN 有两个部门：部门A和部门B，以及一个资源服务器。所有计算机和服务器都连接在同一个交换机下。要求部门a和部门b不能通信，但可以一起访问服务器。下图：首先确认VLAN 型端口VLAN。接着成立了VLAN集团部门的分部，A属于VLAN 1个；b部门属于VLAN2；该服务器同时属于虚拟局域网1和虚拟局域网2。雷科智能交换机都支持端口VLAN设置。10、MTUVLAN、MTUVLAN是VLAN港的一个特例，MTU VLAN (multi-tenantunity VLAN)是将每个用户占用的端口和上行端口划分成一个单独的VLAN。普通端口只能与预设的上行端口通信，不能相互通信，因此不同端口的用户不能直接通信，从而保证了网络的安全。这种情况非常适合在智能住宅区使用。用户之间不能直接访问，从而保证了居民的网络安全。以下是MTUVLAN的示意图：我们的NSW16XX(固化VLAN)与MTUVLAN的工作原理相同，只是它是在没有配置接口的情况下预先设置的。11，TAGVLAN。由于普通交换机工作在OSI模型的数据链路层，如果交换机可以识别不同VLAN的数据包，那么只有VLAN识别可以在数据包的数据链路层封装上进行。因此，VLAN标识字段被添加到数据链路层封装中。为了规范VLAN实施方案，IEEE802.1Q协议对具有VLAN标识的分组结构有统一的规定。该协议规定，在目的地和源媒体访问控制地址之后封装一个4字节的虚拟局域网，以识别与VLAN相关的信息，如图所示。虚拟标签包含四个字段，即TPID(标签协议标识符)、优先级、CFI(标准格式指示器)和虚拟标签号。雷科的NSW17XX/18XX和OSM3324/3308系列交换机具有基于802.1Q的标签虚拟局域网、开放系统互连模型。12，TAGVLAN，1)TPID:用于指示该数据帧是具有VLANTag的数据。这个字段的长度是16位。协议中指定的默认值为0 x8100。2)优先级：用于指示数据包的传输优先级。3)CFI:在以太网交换机中，CFI始终设置为0。由于兼容性，CFI通常用于以太网和令牌环网之间。如果在以太网端口接收的帧的CFI设置为1，这意味着该帧不会被转发，因为以太网端口是一个未标记的端口。4)VLANID:用于识别消息所属VLAN的号码。该字段长度为12位，取值范围为04095。由于通常不使用0和4095，因此VLANID值通常在1到4094的范围内。VLANID简称为VID。1。确定端口链接类型(为端口设置的进入/退出规则)2。确定每个端口3的默认VLAN标识(PVID)。当数据到达/离开端口时，根据上述两个原则处理数据，即标记虚拟局域网进程。13，TAGVLAN配置方法，14，标记虚拟局域网配置方法，15、互连网，互连网是另一种VLAN划分方法。根据每台主机的媒体访问控制地址划分虚拟局域网，即每台主机的媒体访问控制地址划分为虚拟局域网。互连虚拟局域网的优点是，当媒体访问控制地址与VLAN绑定后，只要连接到相应VLAN的成员端口，对应于该媒体访问控制地址的设备就可以随意切换端口，而不改变VLAN成员的配置。互连虚拟局域网中数据包的处理具有以下特点：1 .当端口接收到UNTAG数据包时，首先检查是否创建和配置相应的MACVLAN如果已经创建了主虚拟局域网，则插入标签；在数据包中加入虚拟局域网；如果没有相应的主虚拟局域网，则根据接收端口的PVID值将数据包插入标签，并在相应的VLAN转发。2.当端口接收到标签数据包时，交换机以802.1QVLAN的方式处理帧。如果接收端口允许这个VLAN的数据包通过，它将正常转发。否则，数据包将被丢弃。3.将主机的媒体访问控制划分为802.1个虚拟局域网后，为了保证主机在此VLAN能够正常通信，请将其接入端口设置为相应的802.1个VLAN成员。有关详细信息，请参见。16，协议VLAN，根据网络层协议分为VLAN，并可分为VLAN网络，如IP，IPX，DECnet，苹果语音，榕树等。这种由网络层协议组成的VLAN可以使广播域跨越多个交换机，同时用户可以在网络中自由移动，而无需改变他们的VLAN成员身份。希望管理特定应用程序和服务的用户的网络管理员可以通过划分协议VLAN来进行管理。该交换机可以根据常见的协议类型划分VLAN。常见协议类型的值见下表。请根据实际需要创建一个VLAN协议。协议VLAN中的数据分组处理具有以下特征：1 .当端口接收到UNTAG数据包时，首先检查是否创建和配置相应的协议VLAN；如果协议VLAN已经创建，插入标签；将协议VLAN转换成数据包；如果没有相应的协议