CH3+交换机VLAN技术及配置(控制交换网络中的广播流量).ppt

虚拟局域网,第3章补充2,教学目标,1、掌握Vlan的定义，了解Vlan技术在网络中的重要性；2、熟悉掌握Vlan的分类；3、熟悉掌握配置Vlan的方法；4、熟悉掌握测试方法。,本章学习内容,Vlan概述Vlan的分类配置Vlan的方法测试Vlan的方法,课程议题,3.8.1VLAN概述,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,3.8.1VLAN概述,VLAN概述（VirtualLocalAreaNetwork）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN隔离广播域。,3.8.1VLAN概述,VLAN的定义VLAN（VirtualLocalAreaNetwork），称为虚拟局域网，是指在一个物理网络上划分出来的逻辑网络，这个划分出来的逻辑网络是可以跨越不同网段、不同网络的端到端的逻辑网络。注意：VLAN的划分不受网络端口的实际物理位置的限制，可以覆盖多个网络设备。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网:VLAN1,VLAN2和VLAN3,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网VLAN1,VLAN2和VLAN3的构成,当B1向VLAN2工作组内成员发送数据时，工作站B2和B3将会收到广播的信息。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网VLAN1,VLAN2和VLAN3的构成,B1发送数据时，工作站A1,A2和C1都不会收到B1发出的广播信息。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网VLAN1,VLAN2和VLAN3的构成,虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。,3.8.1VLAN概述,VLAN的优点：控制广播风暴提高网络整体安全性网络管理简单、直观,课程议题,3.8.2VLAN的种类,3.8.2VLAN的种类,基于端口的VLAN针对交换机的端口进行VLAN的划分，不受主机的变化影响PORTVLANTAGVLAN基于协议的VLAN在一个物理网络中针对不同的网络层协议进行安全划分基于MAC地址的VLAN基于主机的MAC地址进行VLAN划分，主机可以任意在网络移动而不需要重新划分基于组播的VLAN基于组播应用进行用户的划分基于IP子网的VLAN针对不同的用户分配不同子网的IP地址，从而隔离用户主机，一般情况下结合基于端口的VLAN进行应用,1.VLAN的类型:PortVLAN,基于交换机的端口(一个端口只属于一个VLAN，PortVLAN设置在连接主机的端口),F0/1,F0/2,F0/3,Port-VLAN原理,通过查找MAC地址表，交换机对发往不同VLAN的数据不转发,F0/1,F0/2,F0/3,A,B,C,Vlan10,Vlan20,Vlan10,ABAC,X,VLAN表,MAC地址,所属VLAN,MACD,VLAN10,VLAN5,VLAN10,VLAN5,主机A,主机B,主机C,主机D,以太网交换机,MACA,MACB,MACC,MACD,VMPS服务器,当主机发送数据帧，交换机查看了数据帧的源MAC地址后，才能判断主机属于哪个VLAN,2.基于MAC地址划分的动态VLAN,VMPS服务器通过MAC地址数据库将MAC地址映射成相应的VLAN,基于MAC地址动态VLAN的工作原理,1.PC机连接到交换机的某个端口，该端口被激活。交换机缓存该PC的MAC地址2.交换机向VMPS（VLAN管理策略服务器，对于cisco设备，要使用CISCOWORK2000作为VLAN管理策略服务器）请求下载VLAN和MAC地址映射对应表的文件3.对PC的MAC地址进行查询比较，把该端口分配到对应的VLAN中间；如果没有该MAC地址的映射，该端口不激活,源MAC地址0000.6509.a080,第一个帧的源MAC地址被缓存,与端口1/1连接,VMPS被要求下载数据库，并检查源MAC地址,端口1/1应分配至哪个VLAN,地址00a0.24a6.fddevlan-名字会计地址0000.6509.a080vlan-名字管理地址aabb.ccdd.eeffvlan-名字工程地址1223.5678.9abcvlan-名字HR,VLAN,端口将分配给管理VLAN,源MAC地址0000.6509.a080,地址00a0.24a6.fddevlan-名字会计地址0000.6509.a080vlan-名字管理地址aabb.ccdd.eeffvlan-名字工程地址1223.5678.9abcvlan-名字HR,课程议题,3.8.3一台交换机上VLAN的实现,3.8.3配置PortVLAN,配置VLAN的步骤创建VLAN将端口加入到相应的VLAN中验证,3.8.3配置PortVLAN（1）,1.创建VLAN10，将它命名为test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#end,进入VLAN数据库创建VLAN,Switch#vlandatabaseSwitch(vlan)#vlan2VLAN2added:Name:VLAN0002Switch(vlan)#exitAPPLYcompleted.Exiting.,进入VLANdatabase,添加VLAN2,如果不给VLAN指定名称，交换机自动添加VLAN2的名称为默认的VLAN0002,保存退出,删除已创建的VLAN,Switch#vlandatabaseSwitch(vlan)#novlan2DeletingVLAN2.或：Switch(config)#novlan2,如果配置错误，或配置修改，需要删除VLAN时。需要注意的是：确定这个VLAN中不包含任何的端口,3.8.3配置PortVLAN（2）,2.把接口0/10加入VLAN10Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end,3.8.3配置PortVLAN（3）,3.将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：连续接口0/1-8，不连续接口用逗号隔开，但一定要写明模块编号,4，.验证VLAN的配置,Switch#showvlanbriefSwitch#showvlanidvlan-id,查看所有VLAN的摘要信息,查看指定VLAN的信息,课程议题,3.8.4多台交换机上VLAN,1.VLAN内的通信,我们从以下两种情况讨论在一个交换机上的同一VLAN内通信在不同交换机上的同一VLAN内通信,1)同一个交换机,物理上,逻辑上,2)不同交换机,VLAN可以把在同一个交换机上端口组合成一个VLAN，也可以不同交换机上的端口组合成一个VLAN。当一个VLAN跨过不同的交换机时，在同一个VLAN上但是接在不同的交换机上的计算机如何实现通信？,A与C,B与D通信,交换机1,交换机2,A,C,B,D,直观的方法是每增加一个VLAN，都需要添加一条互联网线，并且还需要额外的端口。,上述措施扩展性和管理效率来看都不好.交换机间互联的网线集中到一根上，这时使用的就是汇聚链接（TrunkLink）,VLAN标识,交换机给每个去往其他交换机的数据帧打上VLAN标识,VLAN1,VLAN2,VLAN3,VLAN1,VLAN2,VLAN3,中继链路（Trunk）,接入链路（Access）,VLAN1标记,VLAN3标记,3)跨交换机的VLAN,当使用多台交换机分别配置VLAN后，可以使用Trunk（干道）方式实现跨交换机的VLAN内部连通，交换机的Trunk端口不隶属于某个VLAN，而是可以承载所有VLAN的帧。这种实现跨交换机的VLAN技术在早期使用帧过滤，而目前的国际标准规定采用帧标记。网络管理的逻辑结构可以完全不受实际物理连接的限制，极大地提高了组网的灵活性。,何谓TRUNK,所谓的Trunk是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯；其中交换机之间互联用的端口就称为Trunk端口。Trunk这个词是干线或者树干的意思，不过一般不翻译，直接用原文。注意：与一般的交换机的级联不同，Trunk是基于OSI第二层的。,VLANTrunk,在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。要求Trunk至少要100M帧的格式分为两种：ISL：Inter-Switchlink，是Cisco交换机独有的协议IEEE802.1Q：是国际标准协议，被几乎所有的网络设备生产商所共同支持；,课程议题,3.8.5VLAN协议介绍,有两种帧标记技术：802.1Q和ISL帧标记是数据链路上的技术，故说VLAN是第二技术。帧标记是在原有数据帧中加入特定的字段表示不同的VLAN信息。802.1Q:IEEE规定的标准，该技术是在原有帧的源MAC地址后加入标记字段，同时用的FCS字段替代了原有的FCS字段。ISL:是Cisco特有技术,该技术是在原有的帧的两头加26字节的ISL包头和4字节的CRC。,1.IEEE802.1Q数据帧,目的MAC地址,源MAC地址,类型,数据,帧检测序列,IEEE802.3帧,IEEE802.1Q帧,重新计算帧检测序列,802.1Q工作原理,802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。,A,交换机1,交换机2,B,数据帧,Tag标签,Trunk,Trunk,2.ISL（InterSwitchLink）封装,ISL头26bytes,以太网帧数据,CRC4bytes,使用ASIC执行对计算机透明，计算机看不到ISL头部封装技术（Encapsulated）协议无关的（Protocolindependent）,DA,Type,User,SA,LEN,AAAA03,HSA,VLAN,BPDU,BPDU,INDEX,RES,将原有的帧封装在新的帧中可以支持多个VLAN(1024)VLAN号BPDU控制位,采用Trunk技术实现了VLAN的跨计算机通信,VLAN2,VLAN1,VLAN1,VLAN2,带有VLAN1标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的以太网帧,ISL和802.1Q的异同,相同点都是显式标记，即帧被显式标记了VLAN的信息不同点IEEE802.1Q是公有的标记方式，ISL是Cisco私有的ISL采用外部标记的方法，802.1Q采用内部标记的方法ISL标记的长度为30字节，802.1Q标记的长度为4字节,3.VTP协议,VTP协议(VLANTrunkingProtocol)VTP（vlan中继协议），是设备之间定期广播vlan信息，从而最终实现网络中所有设备的vlan同步的协议，主要是为了简化管理和维护。VTP存在一个作用范围，称为VTP域，也就是说，VLAN信息只在VTP域范围内同步。VTP只能在主干端口发送要宣告的信息,1）VTP概述,引入原因分析：企业网环境通常由许多相互连接的交换机组成。对数量众多的交换机、VLAN和VLAN中继进行配置和管理非常复杂。VTP利用第二层中继帧，在一组交换机之间进行VLAN通信VTP从一个中心控制点开始，维护整个企业网上VLAN的添加、删除和重命名工作,2）VTP的作用,保持配置的一致性跨不同介质类型配置虚拟局域网跟踪和监视虚拟局域网检测加到另一个交换机上的虚拟局域网从一个交换机在整个管理域中增加虚拟局域网,VTP允许管理域中的交换机相互交换虚拟局域网信息管理域的域名配置的修订号已知虚拟局域网的配置信息,VTP域VTP域的组成一个以上共享VTP域名的相互连接的交换机VTP域的要求域内的每台交换机必须使用相同的VTP域名交换机必须相邻连接所有的Catalyst交换机之间必须启动了中继链路,3）VTP工作模式,服务器模式控制所在域中VLAN的生成和修改客户机模式不允许管理员创建、修改或删除VLAN监听本域其他交换机的VTP通告，并相应修改VTP配置情况透明模式不参与VTP,VTP模式,服务器模式,客户模式,透明模式,发送/转发信息宣告同步不会存贮于NVRAM,创建vlan修改vlan删除vlan发送/转发信息宣告同步存贮于NVRAM,创建vlan修改vlan删除vlan转发信息宣告不同步存贮于NVRAM,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生,1.新增VLAN2.版本3-版本4,服务器,客户,客户,4.版本3-版本45.同步新的VLAN信息,3,3,4.版本3-版本45.同步新的VLAN信息,4）VTP是如何工作的,5）VTP修剪,VTP修剪能减少在中继端口上不必要的信息量缺省情况下，发给某个VLAN的广播会送到每个在中继链路上承载该VLAN的交换机VTP通过修剪，减少没有必要扩散的通信量，来提高中继线带宽的利用效率仅当中继链路接收端上的交换机在那个VLAN中有端口时，才会将该VLAN的广播和未知单播帧转发到该中继链路上,通过阻止不必要数据的泛洪传送来增加可用的带宽例如:主机A发出广播，广播仅仅泛洪到已有端口被分配到红色VLAN的所有交换机,交换机4,交换机2,交换机6,交换机3,交换机1,端口2,被泛洪的数据在这些地方被阻止,红色VLAN,端口1,交换机5,A,B,VTP裁减,4.Switch的端口类型,cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/trunk/multi/dot1q-tunnel。Access口:主要用来接入终端设备，只属于一个VLAN,仅向该VLAN转发数据的端口Trunk口:主要用在连接其它交换机，以便在线路上承载多个VLAN。转发多个不同VLAN的通信端口对于trunk口的要求条件:a.干线端口速率至少是百兆b.干线介质速率至少是百兆c.在干线端口上启用“干线功能”d.在干线端口上配置“干线协议”（能够区分不同VLAN的数据帧.）multi口:在一个线路中承载多个vlan，但不像trunk，它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在Cisco的网络设备中，也基本不支持此类接口了。dot1q-tunnel口:用在Q-in-Q隧道配置中。,Cisco交换机接口模式的设置,switchportmodeaccess：强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。switchportmodetrunk：强制接口成为trunk接口，并且主动诱使对方成为trunk模式，所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。switchportmodedynamicdesirable：主动协商建立trunk，发送并接收DTP信号。如果邻居交换机模式为trunk/desirable/auto之一，则接口将变成trunk接口。如果不能形成trunk模式，则工作在access模式。switchportmodedynamicauto：被动协商建立trunk，只接收不发送DTP信号。当邻居接口为trunk/desirable之一时，才会成为trunk。如果不能形成trunk模式，则工作在access模式。switchportnonegotiate：严格的说，这不算是种接口模式，它的作用只是阻止交换机接口发出DTP数据包，它必须与switchportmodetrunk或者switchportmodeaccess一起使用。switchportmodedot1q-tunnel：配置交换机接口为隧道接口（非trunk），以便与用户交换机的trunk接口形成不对称链路。,课程议题,3.8.6多台交换机上VLAN的配置,1.配置VLAN-Trunk,把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk把端口Fa0/20配置为Trunk端口，但是不包含VLAN2：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#end,NativeVLAN,配置命令：Switch(config-if)#switchporttrunknativevlan20Switch(config-if)#end注意：每个Trunk口的缺省nativeVLAN是VLAN1在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的nativeVLAN,2.VTP的配置,交换机VTP的配置VLAN配置的步骤启用VTP(可选)启用主干功能创建VLAN将端口加入VLAN,VTP域名VTP模式(server/client/transparent)VTP缺省是server模式VTP裁减(Pruning),VTP配置的内容,注意：当加入一新的交换机到一个已经存在的VTP域时，这个交换机会被以客户模式加入，以便防止该交换机宣告不正确的VLAN信息可以用命令deletevtp来复位VTP的版本号,2900系列VLAN的配置,Sw#vlandatabaseSw(vlan)#vtpmodeserver/client/transparent配置VTP模式Sw(vlan)#vtpdomaindomainname配置VTP管理域Sw(vlan)#vtppasswordSw(vlan)#vlanvlan-idnamevlan-name定义VLAN,Sw(config)#interfacefa0/1Sw(config-if)#switchportmodetrunk配置trunkSw(config-if)#switchporttrunkencapsulationdot1q|islSw(config-if)#switchporttrunkallowedvlanvlan-id-rangeSw(config-if)#switchportmodeaccessSw(config-if)#switchportaccessvlanvlan-idSw#showinterfaceinterface-idswitchport(查看接口所属VLAN和VTP信息),查看VLAN配置,验证配置信息Switch#showinterfacesfastethernet0/20switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-Fa0/20EnabledTrunk11Enabled1,3-4094Switch#showvlanVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/18,Fa0/19,Fa0/20,Fa0/21,Fa0/224VLAN0004activeFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/205VLAN0005activeFa0/20,Fa0/23,Fa0/24,保存/清除VLAN信息,将VLAN信息保存到flash中Switch#writememory从flash中只清除VLAN信息Switch#deleteflash:vlan.dat从RAM中删除VLANSwitch(config)#novlanVLAN-id,课程议题,3.8.7跨VLAN通信,由上述学习可知,每个VLAN是个广播域.是个子网,子网之间的通信是需要路由.,1.外部路由（单臂路由）,如果采用上述办法，大家应该不难想象它的扩展性很成问题;因为路由器，通常不会带有太多LAN接口的.使用一条网线连接路由器与交换机、进行VLAN间路由时，需要用到汇聚链接。具体实现过程：首先将用于连接路由器的交换机端口设为汇聚链接，而路由器上的端口也必须支持汇聚链路。双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口（SubInterface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。VLAN将交换机从逻辑上分割成了多台，因而用于VLAN间路由的路由器，也必须拥有分别对应各个VLAN的虚拟接口。,交换机上的VLAN之间如何通信？,VLAN1,VLAN2,VLAN3,192.168.1.2/24,192.168.2.2/24,f0/0,Trunk,发送方交换机路由器交换机接收方,交换机,路由器端口的MAC地址：R,连接蓝色VLAN的子接口,192.168.2.100/24,连接红色VLAN的子接口,192.168.1.100/24,1,2,3,4,5,6,A192.168.1.1/24GW192.168.1.100,B192.168.1.2/24GW192.168.1.100,C192.168.2.1/24GW192.168.2.100,D192.168.2.2/24GW192.168.2.100,数据帧,源MAC：A；目标MAC:R源IP：192.168.1.1/24目标IP：192.168.2.1/24,数据帧,数据帧,数据帧,源MAC：R；目标MAC:C源IP：192.168.1.1/24目标IP：192.168.2.1/24,单臂路由的配置,将物理接口划分为子接口1.子接口是在物理接口上的逻辑接口。2.每一个子接口支持一个VLAN,可以指定一个IP地址3.为了完成VLAN间路由，必须为每个VLAN创建一个子接口单臂路由