实施 VLAN 和VLAN间路由PPT课件

实施VLAN和VLAN间路由,设计欠佳的网络中存在的问题,极大的故障域较大的广播域大量的未知MAC单播流量极大的组播流量管理上的挑战可能存在安全漏洞,VLAN概述,一个VLAN=一个广播域=逻辑网络（子网）,分段灵活提高安全性提高性能（隔离广播域）,应用IP地址空间的指导原则,为每个VLAN分配一个IP子网。在连续的地址块内分配IP地址空间。,End-To-EndVLAN(端到端VLAN),分段灵活流量不合理故障难定位,LocalVLAN（本地VLAN）,LocalVLAN是指将同一个机架的交换机划分成同一个VLAN，这样划分就便于故障分析定位，同时可以减轻汇聚层交换机的负担。,本地VLAN的优点,VLAN划分方式,VLAN管理策略服务器（VMPS）上存有VLAN与MAC地址表映射关系的文本文件,VLANAccess端口,连接终端设备一个access端口划分到一个VLAN中，它只能属于一个VLAN一个access端口接收和发送的数据为标准EthernetII数据帧，不能携带802.1Q的tag,802.1Q帧,标记（tag）位占4个字节：2个字节用来标识以太网类型，3bit:标识优先级（PRI），1bit:令牌环封装标志（CFI=1）12bit:VLAN-ID0,4095：保留，仅限系统使用。用户不能查看。1：CISCO默认VLAN，不能删除。21001：用于以太网的VLAN，用户可自己创建的VLAN10021005：用于FDDI和令牌环的默认VLAN，不能删除。10061024：保留，仅限系统使用。用户不能查看。10254094：仅用于以太网的VLAN.扩展的VLAN，只有3550以上的交换机才能配，且必须将VTP模式设为透明模式。,VLANAccess端口,接收：（1）若数据帧无tag：则根据端口所属的VLAN，添加tag（2）若数据帧有tag：丢弃发送（从交换机内部往外发送）：（1）若数据帧无tag：不可能出现（2）若数据帧有tag：去除tag后，再发送,VLANTrunk端口,通常用于交换机之间或交换机与路由器之间的互连一个Trunk端口并不属于任何一个VLAN，类似一个公共通道，它允许多个VLAN通过一个Trunk端口接收和发送的数据，可以携带802.1Q的tag发送：（1）若数据帧无tag：不可能出现（2）若数据帧有tag：若该数据帧所属的VLAN等于该trunk端口的nativeVLAN，则删除tag后发送；否则，保留Tag发送。接收：（1）若数据帧无tag：则根据该Trunk端口的nativeVLAN，添加tag（2）若数据帧有tag：保留该Tag,802.1Q中继,802.1QNativeVLAN(本征VLAN),注:(1)中继链路两端802.1Q中继的本征VLAN要相同。(2)本征VLAN帧是无标记帧。,注:(1)中继链路两端802.1Q中继的本征VLAN要相同。(2)本征VLAN帧是无标记帧。,添加VLAN,SwitchX#configureterminalSwitchX(config)#vlan2SwitchX(config-vlan)#nameswitchlab99,全局模式,VlanDatabase模式,分配交换机端口到VLAN,SwitchX#configureterminalSwitchX(config)#interfacerangefastethernet0/2-4SwitchX(config-if)#switchportaccessvlan2SwitchX#showvlanVLANNameStatusPorts-1defaultactiveFa0/12switchlab99activeFa0/2,Fa0/3,Fa0/4,switchportaccessvlanvlan_id,SwitchX(config-if)#,常用show命令,（1）showinterface:查看第一层，第二层的工作状态，查看该接口的报文收发统计信息。（2）showipinterface:查看第三层IP的相关信息（3）showinterfaceinterfaceswitchport查看交换端口属性（4）showinterfaceinterfacetrunk查看交换机上的trunk端口,VLAN操作,封装方式,ISL(Inter-SwitchLink):思科私有若采用ISL封装，所有VLAN数据经过Trunk链路时，均需要进行ISL封装，不存在NativeVlan的概念。802.1Q:IEEE标准（1）在交换机内部进行数据帧处理时，所有VLAN的数据均加Tag（2）存在NativeVLAN,ISL与802.1Q的比较,ISL封装,ISL封装（续）,802.1Q中继,Trunk配置命令,静态配置switchtrunkencapsulationdot1qswitchmodetrunk通过DTP(DynamicTrunkingProtocol)协议进行动态协商switchmodedynamicdesirableswitchmodedynamicauto,配置交换机端口模式,关闭DTP协商：switchportnonegotiate(接口模式),配置工作方式,switchportmodeaccess|trunk|dynamicauto|dynamicdesirable,SwitchX(config-if)#,配置端口的中继特征,配置trunk工作方式,将端口配置为VLAN中继,SwitchX(config-if)#,switchportmodetrunk,设置trunk端口的封装方式,SwitchX(config-if)#,Switchporttrunkencapsulationdot1q|isl|negotiate,设置trunk端口的nativevlan,缺省时为1,SwitchX(config-if)#,Switchporttrunknativevlanvlan_id,设置trunk端口允许哪些VLAN通过,SwitchX(config-if)#,Switchporttrunkallowedvlanword|add|all|excep|none|remove,SwitchX#showvlanid2VLANNameStatusPorts-2switchlab99activeFa0/2,Fa0/12VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2-2enet1000021500-00.SwitchX#,检验VLAN,SwitchX#showvlanbrief|idvlan-id|namevlan-name,SwitchX#showvlanbriefVLANNameStatusPorts-1defaultactiveFa0/12switchlab99activeFa0/2,Fa0/3,Fa0/43vlan3active4vlan4active1002fddi-defaultact/unsup1003token-ring-defaultact/unsupVLANNameStatusPorts-1004fddinet-defaultact/unsup1005trnet-defaultact/unsup,SwitchX#showvlanbrief,检验VLAN,SwitchX#showinterfacesfa0/11switchportName:Fa0/11Switchport:EnabledAdministrativeMode:trunkOperationalMode:downAdministrativeTrunkingEncapsulation:dot1qNegotiationofTrunking:OnAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default).,SwitchX#showinterfacesfa0/11trunkPortModeEncapsulationStatusNativevlanFa0/11desirable802.1qtrunking1PortVlansallowedontrunkFa0/111-4094PortVlansallowedandactiveinmanagementdomainFa0/111-13,检验中继,SwitchX#showinterfacesinterfaceswitchport|trunk,如何配置中继链路（Trunking）,802.1Q中继配置,VLAN间的路由连接方法,1、将路由器与交换机上的每个VLAN分别连接将交换机上用于和路由器互联的每个端口设为access端口，然后分别用网线与路由器上的独立端口互联。如下图所示，交换机上有2个VLAN，那么就需要在交换机上预留2个端口用于与路由器互联；路由器上同样需要有2个端口；两者之间用2条网线分别连接。,该种连接方法的缺点：如果采用这个办法，大家应该不难想象它的扩展性很成问题。每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的访问链接端口，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。,VLAN间的路由连接方法,2、不论VLAN有多少个，路由器与交换机都只用一条网线连接首先将用于连接路由器的交换机端口设为trunk端口，而路由器上的端口也必须支持trunk链路。接着在路由器上定义对应各个VLAN的“子接口（SubInterface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。VLAN将交换机从逻辑上分割成了多台，因而用于VLAN间路由的路由器，也必须拥有分别对应各个VLAN的虚拟接口。,VLAN间的路由连接方法,该连接方法的缺点：进行VLAN间通信时，即使通信双方都连接在同一台交换机上，也必须经过：发送方交换机路由器交换机接收方这样一个流程。如果使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，流量会集中到路由器和交换机互联的trunk链路部分，这一部分尤其特别容易成为整个网络的速度瓶颈。,VLAN间的路由连接方法,三层交换机（Layer3Switch）,为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是“带有路由功能的（二层）交换机”。路由属于OSI参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。关于三层交换机的内部结构，可以参照下面的简图。,三层交换机内部数据究竟是怎样传播的呢？,基