2情境二控制交换网络中的广播流量.ppt

,中小企业网络设备配置与管理,情境二：控制交换网络中的广播流量,情境描述,在上一案例的使用过程中，发现了一个棘手的问题，就是网络性能不是很好，在一些装有防火墙的终端计算机上还会不时看到ARP攻击，新生接待工作是新生及家长第一次了解和接触学校，直接关系到学校的形象和影响，必须改造网络，保证接待工作的稳定高效。,本情境内容,VLAN技术的使用VLAN内的通信VLAN间的通信,学习目标,通过本情景的学习，希望您能够：理解虚拟局域网的概念理解虚拟局域网的用途和优点理解虚拟局域网的类型掌握802.1Q标准掌握VLAN的配置方法掌握Trunk的配置方法掌握利用路由器和三层交换机实现VLAN间路由的方法,网络中的广播数据,课程议题,网络中的广播数据,一个数据帧或数据包被传输到本地网段上的每个节点的操作方式就是广播，在实际应用中由于查询、通知等网络通信方式的需求，可能会发送一些数据包要求他们到达一定区域范围内的每个节点（比如下面将要用到的ARP协议），这个可传送范围就称为广播域。,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,为什么需要分割广播域？,交换网络是平面网络结构，必须依赖广播广播域过大会导致：带宽浪费安全性降低不易管理分割广播域的方法使用路由器连接多个子网使用虚拟局域网VLAN,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,带宽浪费,安全隐患,广播,广播数据的隔离,课程议题,如何解决广播带来的问题,价格不菲,经济实惠,VLAN的概念,虚拟局域网（VirtualLocalAreaNetwork，VLAN）位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上它们分布在不同的局域网段中,VLAN的概念,VLAN的特点：基于逻辑的分组不受物理位置限制在同一VLAN内和真实局域网相同不同VLAN内用户要通信需要借助三层设备,VLAN的用途,控制不必要的广播报文的扩散提高网络带宽利用率，减少资源浪费划分不同的用户组，对组之间的访问进行限制增加安全性,与物理位置无关的VLAN,VLAN的优点,限制广播包安全性虚拟工作组减少移动和改变的代价,VLAN的定义方法,基于端口的VLAN根据以太网交换机的端口来划分基于MAC地址的VLAN根据每个主机网卡的MAC地址来划分基于网络层的VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分的基于IP组播的VLAN一个组播组就是一个VLAN,基于端口的VLAN,目前最常用的划分VLAN的方法,VLAN10,24681012141618202224,VLAN20,1357911131517192123,VLAN的标准,不同交换机上的相同VLAN之间如何连接？,VLAN10,VLAN20,VLAN30,VLAN10,VLAN20,VLAN30,802.1Q,定义了基于端口的VLAN模型规定如何标识带有VLAN成员信息的以太帧定义VLAN标签的格式,VLAN10,VLAN20,VLAN30,VLAN10,VLAN20,VLAN30,802.1Q帧格式,交换机的端口,ACCESS端口UnTagged端口，即接入端口Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口Trunk端口TagAware端口，即干道接口可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口,Trunk的工作示例,PC1发送广播给VLAN10的主机PC3发送广播给VLAN30的主机S2是配置了Trunk的交换机，给每个数据帧打标签S1和S2之间的Trunk上传输带标签的数据帧并且发送到相应的VLAN10和VLAN30的端口S1和S3之间的Trunk上传输带标签的数据帧S3把不带标签数据帧发送到正确端口上,802.1Q的缺省VLAN,一个802.1Q的Trunk端口有一个缺省VLAN的ID值802.1Q不为缺省VLAN的帧打标签,没有打标签的VLAN流量（缺省VLAN）,VLAN3,VLAN2,VLAN1,VLAN3,VLAN2,VLAN1,Trunk,Trunk,集线器,VLAN的配置,课程议题,VLAN的配置,添加或者修改VLAN删除VLAN,Switch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name,Switch(config)#novlanvlan-id,VLAN的配置,查看VLAN,Switch#showvlanVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410gongchengactive20 xiaoshouactive30caiwuactive,向VLAN内添加端口,将端口分配给一个VLAN,Switch(config)#interfaceinterface-idSwitch(config)#interfacerangeport-rangeSwitch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlanvlan-id,配置VLANTrunk,将端口设置成Trunk端口指定Trunk端口的缺省VLAN默认的缺省VLAN是VLAN1Trunk链路两端必须一致,Switch(config)#interfaceinterface-idSwitch(config-if)#switchportmodetrunk,Switch(config-if)#switchporttrunknativevlanvlan-id,配置VLANTrunk举例,Trunk,F0/1,F0/1,Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end,配置VLANTrunk举例,Switch#showvlanVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720 xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,配置VLANTrunk举例,Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists-Fa0/1On1All,定义Trunk端口的许可VLAN列表,all：许可列表包含所有支持的VLANadd：将指定VLAN列表加入许可VLAN列表。remove：将指定VLAN列表从许可VLAN列表中删除。except：将除列出的VLAN列表外的所有VLAN加入许可VLAN列表,Switch(config-if)#switchporttrunkallowedvlanall|add|remove|exceptvlan-list,利用路由器实现VLAN间的通信,单臂路由：使用IEEE802.1Q来启动一个路由器上的子接口成为干道模式，实现VLAN之间的通信,802.1QTrunk,F0/0,VLAN10,VLAN20,VLAN30,FastEthernet0/0,FastEthernet0/0.1,FastEthernet0/0.2,FastEthernet0/0.3,单臂路由的配置,Router(config)#Interfaceinterface-idRouter(config-if)#noipaddressRouter(config-if)#exitRouter(config)#interfacefastethernetslot-number/interface-number.subinterface-numberRuijie(config-subif)#encapsulationdot1QVlanIDRouter(config-subif)#ipaddressip-addressmask,单臂路由配置举例,Router(config)#interfacefastEthernet0/0Router(config-if)#noipaddressRouter(config-if)#exitRouter(config)#interfacefastEthernet0/0.10Router(config-subif)#encapsulationdot1Q10Router(config-subif)#ipaddress192.168.10.1255.255.255.0Router(config-subif)#exitRouter(config)#interfacefastEthernet0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddress192.168.20.1255.255.255.0Router(config-subif)#exitRouter(config)#interfacefastEthernet0/0.30Router(config-subif)#encapsulationdot1Q30Router(config-subif)#ipaddress192.168.30.1255.255.255.0Router(config-subif)#end,检查单臂路由的配置,Router#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC192.168.10.0/24isdirectlyconnected,FastEthernet0/0.10C192.168.10.1/32islocalhost.C192.168.20.0/24isdirectlyconnected,FastEthernet0/0.20C192.168.20.1/32islocalhost.C192.168.30.0/24isdirectlyconnected,FastEthernet0/0.30C192.168.30.1/32islocalhost.,利用三层交换机配置VLAN间路由,单臂路由容易产生瓶颈端口带宽小转发速率低采用三层交换机实现VLAN间的路由内含交换机模块和路由器模块使用ASIC硬件处理路由，可以实现高速路由。路由与交换模块内部连接，可以确保大的带宽,SVI端口,VLAN的虚拟接口（Switchvirtualinterface，SVI）路由端口，可设置IP地址作为VLAN内主机的网关,SVI：VLAN10192.168.1.1,VLAN10IP：192.168.1.10,SVI：VLAN20192.168.2.1,VLAN20IP：192.168.2.10,配置三层交换,三层交换机的路由功能默认开启创建VLAN的虚拟接口并配置IP地址,Switch(config)#interfacevlanvlan-idSwitch(config-if)#ipaddressip-addressmask,三层交换配置举例,S3750(config)#interfacevlan10S3750(config-if)#ipaddress192.168.10.1255.255.255.0S3750(config-if)#exitS3750(config)#interfacevlan20S3750(config-if)#ipaddress192.168.20.1255.255.255.0S3750(config-if)#exitS3750(config)#interfacevlan30S3750(config-if)#ipaddress192.168.30.1255.255.255.0S3750(config-if)#end,检查三层交换的配置,S3750#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC192.168.10.0/24isdirectlyconnected,VLAN10C192.168.10.1/32islocalhost.C192.168.20.0/24isdirectlyconnected,VLAN20C192.168.20.1/32islocalhost.C192.168.30.0/24isdirectlyconnected,VLAN30C192.168.30.1/32islocalhost.,常规局域网排错方法,常见故障举例（附）,吞吐量很低：需要检查存在错误的类型，可能是