第五次课虚拟局域网VLAN的实现

1、网络实验室 2010年2月控制交换网络中的广播流量控制交换网络中的广播流量虚拟局域网（虚拟局域网（VLANVLAN）网络实验室 2010年2月本章内容网络实验室 2010年2月VLAN课题引入课题引入 网络实验室 2010年2月VLAN的定义注意事项：的定义注意事项：VLAN（Virtual Local Area Network）的中文名为）的中文名为虚拟局域虚拟局域网网，是一种将局域网设备从，是一种将局域网设备从逻辑上逻辑上划分划分（注意，不是从物理上划分）（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 例如

2、：例如： 对于对于，有不同的部分组成：，有不同的部分组成：办公部门办公部门、学校机房学校机房、教教师家属楼师家属楼等部分组成。为了保证各部分的等部分组成。为了保证各部分的相对独立相对独立，又使每部分，又使每部分处于同处于同一个网络内一个网络内，内部能互相访问，这就需要，内部能互相访问，这就需要划分划分VLAN，使，使办公部门处于办公部门处于一个一个VLAN内内、学校机房处于一个学校机房处于一个VLAN内内、教师家属楼处于一个教师家属楼处于一个VLAN内内，这样就能保证他们之间的，这样就能保证他们之间的数据互不干扰数据互不干扰，也不影响各自的，也不影响各自的通信效率通信效率了。了。网络实验室 2

3、010年2月VLAN在交换机中的实现 分段分段 灵活性灵活性 安全性安全性第三层第三层第二层第二层第一层第一层销售部销售部人力资源部人力资源部工程部工程部一个一个VLAN =一个广播域一个广播域 = 逻辑网段逻辑网段 (子网子网) 网络实验室 2010年2月VLANVLAN技术技术1234交换机交换机广播帧广播帧交换机收到广交换机收到广播帧后，只转播帧后，只转发到属于同一发到属于同一VLAN的其他的其他端口。端口。广播域广播域广播帧广播帧广播域广播域网络实验室 2010年2月VLAN特点网络实验室 2010年2月基于安全性的考虑基于安全性的考虑 在规模较大的网络系统内，在规模较大的网络系统内，

4、各网络节点的数据需要相对保密各网络节点的数据需要相对保密。譬如公司的网络中，财务部门的数据不应被其他部门的人员采集到，譬如公司的网络中，财务部门的数据不应被其他部门的人员采集到，可以通过划分可以通过划分VLANVLAN，进行部门隔离，不同部门使用不同的，进行部门隔离，不同部门使用不同的VLANVLAN，可以，可以实现一定的安全性。实现一定的安全性。基于网络性能的考虑基于网络性能的考虑 大型网络中有大量的广播信息，如果不加以控制，会使网络性大型网络中有大量的广播信息，如果不加以控制，会使网络性能急剧下降，甚至能急剧下降，甚至产生网络风暴，使网络阻塞产生网络风暴，使网络阻塞。因此需要采用。因此需要

5、采用VLANVLAN将将网络分割成多个广播域，将广播信息限制在每个广播域内，从而降低网络分割成多个广播域，将广播信息限制在每个广播域内，从而降低了整个网络的广播流量，提高了性能。了整个网络的广播流量，提高了性能。基于组织结构的考虑基于组织结构的考虑 同一部门的人员分布在不同的地域，需要数据的共享，则可以同一部门的人员分布在不同的地域，需要数据的共享，则可以跨地域（跨交换机）将其跨地域（跨交换机）将其设置在同一个设置在同一个VLANVLAN中。中。对对VLAN的划分主要是基于下列因素的：的划分主要是基于下列因素的：网络实验室 2010年2月划分VLAN的方法网络实验室 2010年2月 VLAN的

6、类型:Port VLANF0/1F0/2F0/3网络实验室 2010年2月Port-vlan原理F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX网络实验室 2010年2月VLAN在交换机中的实现在交换机中的实现数据1交换机内部数据数据1数据2数据数据2101102网络实验室 2010年2月Port vlan的配置的配置网络实验室 2010年2月创建创建VLAN100，将它命名为，将它命名为test的例子的例子Switch # configure terminalSwitch(config) # vlan 100Switch(config-vlan) # n

7、ame testSwitch(config-vlan) # end 把把ethernet 0/10作为作为access口加入了口加入了VLAN100 Switch # configure terminalSwitch(config) # interface fastethernet0/10Switch(config-if) # switchport mode accessSwitch(config-if) # switchport access vlan 100Switch(config-if) # end配置配置Port VLAN-AccessPort VLAN-Access网络实验室 20

8、10年2月Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10跨交换机跨交换机VLANVLAN间通信间通信网络实验室 2010年2月Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLAN传输多个传输多个VLANVLAN的信息的信息, ,实现同一实现同一VLANVLAN跨越不同的交换机跨越不同的交换机只需要交换机之间有一条级联线，并将对应的端口设置为只需要交换机之间有一条级联线，并将对应的端口设置为TrunkTrunk，这条线路就可以承载交换机上所有，这条线路就可以承载交换机

9、上所有VLANVLAN的信息。的信息。跨交换机跨交换机VLANVLAN之间的通信之间的通信:Tag VLAN:Tag VLAN网络实验室 2010年2月目的目的,源源MAC地址地址类型类型,数据数据重新计算帧检测序列重新计算帧检测序列2字节标记协议标识字节标记协议标识2字节标记控制信息字节标记控制信息 IEEE802.1QIEEE802.1Q数据帧数据帧网络实验室 2010年2月IEEE802.1Q网络实验室 2010年2月A A802.1Q工作原理B B网络实验室 2010年2月配置配置Tag VLAN-TrunkTag VLAN-Trunk把把FaFa 0/1 0/1配成配成TrunkTr

10、unk口口Switch# configure terminalSwitch# configure terminalSwitch(configSwitch(config)# interface fastethernet0/1)# interface fastethernet0/1Switch(config-if)# switchportSwitch(config-if)# switchport mode trunk mode trunk网络实验室 2010年2月配置Tag VLAN-Trunk网络实验室 2010年2月下面是一个把端口下面是一个把端口0/15 配置为配置为TRUNK端口，但是不包

11、含端口，但是不包含VLAN 2的的例子：例子：Switch(config)# interface fastethernet0/15Switch(config-if)# switchport trunk allowed vlan remove 2Switch(config-if)# endSwitch# show interfaces fastethernet0/15 switchportInterface Switchport Mode Access Native Protected VLAN lists- - - - - - -Fa0/15 Enabled Trunk 1 1 Enabled

12、 1,3-4094Switch# show vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/18, Fa0/19, Fa0/20, Fa0/212 VLAN0002 active Fa0/5, Gi0/24 VLAN0004 active Fa0/14, Fa0/15, Fa0/16, Fa0/17 5 VLAN0005 active Fa0/22, Fa0/23,

13、Fa0/24, Gi0/1配置配置Tag VLAN-TrunkTag VLAN-Trunk网络实验室 2010年2月VLAN的实现网络实验室 2010年2月将将VLAN信息保存到信息保存到flash中中Switch#write memory从从flash中清除中清除VLAN信息信息Switch#delete flash:vlan.dat保存保存/ /清除清除VLANVLAN信息信息网络实验室 2010年2月VLAN间路由网络实验室 2010年2月VLAN10VLAN20172.16.20.4VLAN30隔离的广播域隔离的广播域网络实验室 2010年2月VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通信的方法网络实验室 2010年2月VLAN10VLAN30VLAN20使用路由器进行VLAN间路由网络实验室 2010年2月VLAN10VLAN30VLAN20Interface FA 1Subinterface 1.1Subinterface 1.2Subinterface 1.3使用路由器进行VLAN间路由网络实验室 2010年2月VLAN20Network 172.16.20.4VLAN30Network 172.16.30.5VLAN10Network 172.16.10.3使