VLAN技术原理与配置-文档资料

1、Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. VLAN技术原理与配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page1前 言 虚拟局域网（VLAN）技术为以太网引入了灵活的控制手段，被广泛应用。 本文旨在介绍VLAN及相关技术的基本原理和实现。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page2培训目标 学完本课程后，您应该能：l

2、了解VLAN的基本原理及基本配置l了解VLAN相关技术的基本原理及配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page3目 录lVLAN的基本原理lVLAN相关技术的基本原理及配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page4目 录lVLAN的基本原理的基本原理1.1 VLAN起源1.2 VLAN数据帧结构1.3 VLAN划分方式1.4 VLAN接口方式Copyright 2012 Huawei Techno

3、logies Co., Ltd. All rights reserved. Page5用户：我不想收到C的广播报文管理员：B不能访问ACBA以太网缺少转发控制手段VLAN的产生原因Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page6VLAN技术的目标组1组2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page7通过标签管理实现VLAN5Permit VLAN 1 onlySWASWB组 1组 2ABCopyright

4、2012 Huawei Technologies Co., Ltd. All rights reserved. Page8VLAN标签介绍DASATYPEDATAFCSSAFCSDATATYPETAGDAUntagged frameTagged framePRIVLAN ID（12b）CFI0 x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2BCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page9如何生成VLAN标签主机主机A主机主机B主机主机C主机主机DP

5、ort 1Port 2 Port 7Port 10端口PVIDPort15Port210Port75Port1010Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page10VLAN划分方式 根据端口划分: 基于端口的VLAN 根据MAC划分: 基于MAC的VLAN 根据IP进行划分: 基于IP子网的VLAN 根据协议划分: 基于协议的VLAN 根据几种划分依据组合进行划分: 基于策略的VLANCopyright 2012 Huawei Technologies Co., Ltd. All rights re

6、served. Page11基于端口划分VLANVLAN信息表信息表Port 4Port 2Port 1VLAN 10VLAN 20VLAN 30Port1Port 2Port 3Port4Port 3主机主机C主机主机A主机主机B主机主机DCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page12基于MAC划分VLANVLAN信息表信息表VLAN 10VLAN 20VLAN 30主机A MAC主机B MAC主机C MAC主机D MACPort 4Port 2Port 1Port 3主机主机C主机主机A主机主

7、机B主机主机DVlan10mac-vlan mac-address 0011-0011-0011Int e/0/0mac-vlan enable Port hy unt vlan 10Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page13基于IP网段划分VLANVLAN信息表信息表Port 4Port 2Port 1VLAN 10VLAN 20VLAN 301.1.1.*1.1.2.*1.1.3.*Port 3主机主机CIP: 1.1.1.2主机主机AIP:1.1.1.1主机主机BIP: 1.1.2.1主

8、机主机DIP:1.1.3.1Vlan 10ip-subnet-vlan ip 12.12.12.0 24Int e/0/0ip-subnet-vlan enCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page14VLAN信息表信息表VLAN 10VLAN 20VLAN 30IP 协议号.IPX 协议号.运行运行IPX协议协议运行运行IP协议协议运行运行IPX协议协议运行运行IP协议协议基于协议划分VLANPort 4Port 2Port 1Port 3Vlan 10protocol-vlan ipv4Int

9、 e/0/0protocol-vlan vlan 10 allCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page15基于策略划分VLANVLAN信息表信息表VLAN 10VLAN 20VLAN 30IP 1 + MAC1IP2+MAC2+Port2IP3+MAC3+Port3 IP4 +MAC4+Port4 IP 3, MAC 3IP1,MAC1IP2,MAC2 IP 4, MAC 4Port 4Port 2Port 1Port 3Vlan 10policy-vlan mac-address 0011-0

10、011-0011 ip 1.1.1.1 int Ethernet 0/0/1Int e/0/0/1常规配置就可以 不用额外配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page16VLAN接口类型 Access 端口 Trunk 端口 Hybrid端口Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page17Access端口VLAN属性Quidway-2-GigabitEthernet2/0/2display this#

11、interface GigabitEthernet2/0/2 port link-type access port default vlan 2#return端口默认VLAN为2,Untagged帧添加VLAN 2后再转发Access端口，一般用于连接主机Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page18配置Access端口属性Port-0/1:VLAN-3Port-0/2:VLAN-5Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2p

12、ort link-type access配置端口类型Switchvlan 3Switchvlan 5创建VLANSwitch-Ethernet0/1port default vlan 3Switch-Ethernet0/2port default vlan 5设置端口PVIDSWACopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page19Trunk端口VLAN属性Quidway-GigabitEthernet2/0/3display this#interface GigabitEthernet2/0/3 po

13、rt link-type trunk port trunk pvid vlan 3 port trunk allow-pass vlan 5 100 undo negotiation auto speed 100#return端口为trunk类型允许多个VLAN通过为untagged报文加上默认VLANCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page20配置Trunk端口属性Switchvlan 3创建VLANSwitch-Ethernet0/3port link-type trunk配置端口类型Swi

14、tch-Ethernet0/3port trunk pvid vlan 3配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk allow-pass vlan 5配置Trunk-Link所允许通过的VLANPort-0/3Port-0/3SWASWBCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page21Hybird端口VLAN属性Quidway-GigabitEthernet2/0/6display this#interface GigabitEthernet2/0

15、/6 port hybrid pvid vlan 5 port hybrid tagged vlan 100 101 port hybrid untagged vlan 10 to 12#return端口默认模式为Hybrid对untagged报文加VLAN标签指接口在发送帧时不将帧中的标签移除移除标签后转发Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page22配置Hybrid端口Quidway-Ethernet1/0/1port link-type hybridQuidway-Ethernet1/0/1

16、port hybrid pvid vlan 2Quidway-Ethernet1/0/1port hybrid untagged vlan 2Quidway-Ethernet1/0/24port link-type hybridQuidway-Ethernet1/0/24port hybrid pvid vlan 3Quidway-Ethernet1/0/24port hybrid untagged vlan 3Quidway-Ethernet2/0/0port link-type hybridQuidway-Ethernet2/0/0port hybrid pvid vlan 99Quidw

17、ay-Ethernet2/0/0port hybrid untagged vlan 2 to 3Port-2/0/0Port-1/0/1Port-1/0/24Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page23目 录 VLAN的基本原理 VLAN相关技术的基本原理及配置相关技术的基本原理及配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page242. VLAN相关技术的基本原理及配置相关技术的基本原理及配置2.1

18、Mux VLAN 基本原理及配置2.2 Super VLAN原理2.3 ARP Proxy2.4 VLAN mapping2.5 端口隔离目 录Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page25Mux VLAN基本原理 MUX VLAN 提供了一种在VLAN 的端口间进行二层流量隔离的机制。部门 AVLAN 2部门 AVLAN 2部门B VLAN 3部门 BVLAN 3ServerCopyright 2012 Huawei Technologies Co., Ltd. All rights reser

19、ved. Page26Mux VLAN 配置Quidwayvlan batch 2 3 10/创建VLANQuidwayvlan 10Quidway-vlan10mux-vlan/配置主VLANQuidway-vlan10subordinate group 3/配置MUX VLAN中的互通型从VLANQuidway-vlan10subordinate separate 2/配置MUX VLAN中的隔离型从VLANQuidwayinterface gigabitethernet1/0/1Quidway-GigabitEthernet1/0/1port mux-vlan enableQuidway

20、-GigabitEthernet1/0/2port mux-vlan enableQuidway-GigabitEthernet1/0/3port mux-vlan enableQuidway-GigabitEthernet1/0/4port mux-vlan enable/使能端口下的MUX-VLAN功能部门 AVLAN 2部门 AVLAN 2部门B VLAN 3部门 BVLAN 3GE1/0/1 GE1/0/2GE1/0/3GE1/0/4Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page27Super

21、 VLAN原理Super VLAN 10Vlanif10:10.1.1.1/24 VLAN聚合，只在super-VLAN 接口上配置IP 地址，而不必为每个sub-VLAN 分配IP 地址。所有sub-VLAN 共用IP 网段，解决了IP 地址资源浪费的问题。10.1.1.2/24网关:10.1.1.1/24Sub-vlan: VLAN 310.1.1.2/2410.1.1.2/2410.1.1.3/24网关:10.1.1.1/24Sub-van: VLAN 2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. P

22、age28ARP Proxy概述 ARP（Address Resolution Protocol）用于将一个IP地址映射到正确的MAC地址。 一个物理网络的子网（Subnet）中的源主机向另一个物理网络的子网中的目的主机发ARP request，和源主机直连的网关用自己接口的MAC地址代替目的主机回ARP reply，这个过程称为ARP 代理。默认默认ARP不能跨跳，在路由上不能跨跳，在路由上 如果如果ARP request的目的地址的目的地址不是路由器接收接口，路由器不回应，会造成无法通信。不是路由器接收接口，路由器不回应，会造成无法通信。Copyright 2012 Huawei Tech

23、nologies Co., Ltd. All rights reserved. Page29ARP Proxy基本原理 当主机上没有配置缺省网关地址,它可以发送一个ARP请求,请求目的主机的MAC地址。使能ARP Proxy功能的交换机收到这样的请求后，会使用自己的MAC地址作为该ARP请求的回应，使得处于不同物理网络但网络号相同的主机之间可以正常的相互通信。 思科默认开启思科默认开启 ARP Proxy ，华为默认关闭，华为默认关闭 ARP Proxy需要进入接口手工开启需要进入接口手工开启 ARP Proxy int g0/0/0 arp-proxy enable#Dis arp 可查可查

24、ARP表表Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page30ARP Proxy方式ARP Proxy方式方式解决的问题解决的问题路由式ARP Proxy 解决同一网段不同物理网络上计算机的互通问题。VLAN 内ARP Proxy 解决相同VLAN 内，且VLAN 配置用户隔离后的网络上计算机互通问题。VLAN 间ARP Proxy 解决不同VLAN 之间对应计算机的三层互通问题。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserv

25、ed. Page31路由式ARP ProxyHost BARP proxyVlanif 20De0-fc39-80aa172.16.2.2/160De0-fc39-80ab172.16.2.1/240De0-fc39-80bb172.16.4.4/160De0-fc39-80bb172.16.4.1/24Host ASWASWBVlanif 3ARP proxyCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page32VLAN内ARP ProxyGE1/0/0VLANIF10(ARP Proxy)172.16

26、.2.10/24DSLAMSWAVLAN 10HOSTAHOSTB172.16.2.20/24172.16.2.30/24在端口隔离时，需要使用。在端口隔离时，需要使用。隔离隔离vlan 不能使用不能使用interface Vlanif10 ip address 1.1.1.1 255.255.255.0 arp-proxy inner-sub-vlan-proxy enableInner 内部内部Inter 外部外部interface Ethernet0/0/2 port link-type access port default vlan 10 port-isolate enable gr

27、oup 1#Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page33VLAN间ARP ProxyGE1/0/0VLANIF30(ARP Proxy )172.16.2.10/24DSLAMSWAVLAN 20VLAN 10HOSTBVLANIF 20172.16.2.30/24HOSTAVLANIF 10172.16.2.20/24interface Vlanif10 ip address 1.1.1.1 255.255.255.0 arp-proxy inter-sub-vlan-proxy enable

28、用于super VLAN使vlan间可通信Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page34VLAN Mapping概述 VLAN Mapping 也叫做VLAN translation，可以实现在用户VLAN ID（私有VLAN）和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page35VLAN Mapping原理Internet

29、VLAN Mapping from 100 to 10VLAN Mapping from 10 to 100VLAN 10VLAN 100VLAN 100VLAN 10VLAN 10GE1/0/1Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page36VLAN Mapping的配置Quidway interface gigabitethernet 2/0/1 Quidway-GigabitEthernet2/0/1port link-type trunk/配置接口的类型配置接口的类型Quidway-Giga

30、bitEthernet2/0/1port trunk allow-pass vlan 100/配置接口允许通过的配置接口允许通过的VLAN，为，为mapping后的后的VLANQuidway-GigabitEthernet2/0/1qinq vlan-translation enable /使能接口使能接口VLAN转换功能转换功能Quidway-GigabitEthernet2/0/1port vlan-mapping vlan 1 to 20 map-vlan 100/配置接口配置接口2/0/1上上VLAN 120的报文的报文mapping成成VLAN100Copyright 2012 Hu

31、awei Technologies Co., Ltd. All rights reserved. Page37端口隔离GE3/0/1GE3/0/2GE3/0/3GE5/0/0端口隔离是交换机端口之间的一种访问控制安全控制机制。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Page38端口隔离配置Quidway port-isolate mode all /配置端口隔离模式Quidway interface gigabitethernet2/0/1Quidway-GigabitEthernet2/0/1port-isolate enable/在端口GE2/0/1使能端口隔离功能Quidway-Gig