《TCPIP路由交换技术》课件-第6章虚拟局域网技术

第6章虚拟局域网技术课程议题通过本章内容的学习，希望您能够：了解VLAN的产生及其划分方式掌握VLAN的工作原理学会VLAN的配置掌握GVRP协议原理学会GVRP的基本配置学习目标6.1

VLAN协议原理二层交换机可以隔离冲突域，但不能限制广播域。

广播的问题……广播组播、广播和未知目的的帧都可能导致全局的泛洪用物理方法隔离广播域如何分割广播域方法一：路由器……广播路由器广播域1VLAN10广播域2VLAN20广播域3VLAN30市场部工程部财务部方法二：使用VLAN技术VLAN概念VLAN：VirtualLocalAreaNetwork(虚拟局域网)是一种通过将局域网内的设备逻辑的划分成一个个网段从而实现虚拟工作组的技术

划分Vlan的主要作用：隔离广播域使用VLAN来分割广播域区段化灵活性

安全性3rdfloor2ndfloor1stfloor销售人事工程一个VLAN=一个广播域=一个逻辑子网VLAN10VLAN20VLAN30VLAN划分方式基于端口根据以太网交换机的端口来划分，明确指定各端口属于哪个VLAN。基于MAC地址即使计算机改变了所连接的端口，交换机仍会查出它的MAC地址，并正确指定端口所属的VLAN。基于网络层协议将物理网络划分成基于协议的逻辑VLAN。在端口接收帧时，它的VLAN由该信息包中的协议类型决定。基于IP子网即使计算机改变了所连接的端口，交换机仍会通过IP地址正确指定端口所属的VLAN。基于端口划分VLAN1VLAN2VLAN3端口1

端口2端口3端口4VLAN1VLAN2VLAN3端口1

端口2端口4端口3VLAN信息表基于MAC划分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3主机AMAC主机BMAC主机CMAC主机DMACVLAN信息表基于协议划分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3EthernetⅡSNAPLLCVLAN信息表基于IP子网划分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN310.1.1.*10.2.1.*10.3.1.*VLAN信息表IEEE802.1Q(1)TAGNewCRC目的MAC源MACTPIDPriorityCFIVLANIDTCI2byte带有802.1Q标记的帧2byte数据类型数据CRC类型标准以太网帧目的MAC源MACIEEE802.1Q802.1Q标签头包含了2个字节的TPID和2个字节的TCI：1、TPID：TagProtocolIdentifier协议标志固定值为0x8100，该值表明该帧承载的是802.1Q/802.1p标签信息2、TCI：TagControlInformation控制信息Priority：3bit,帧的优先级,共有8种优先级，0－7CanonicalFormatIndicator(CFI)：CFI值为0说明是规范格式，1为非规范格式VLANIdentified(VLANID):12bit,指明VLAN的ID，共4096个报文类型在一个交换网络环境中，以太网的帧有两种格式：不带标签的报文untaggedframe带标签的报文taggedframeMAC数据MAC数据Vlan标识6．2VLAN链路类型VLAN的链路类型

VLAN有三种链路类型：

AccessTrunkHybridTrunkVLAN1VLAN2VLAN3AccessVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3AccessAccessAccess链路一般是指网络设备与主机之间的链路一个Access端口只属于一个VLANAccess端口发送不带标签的报文缺省所有端口都包含在vlan1中，且都是AccessportVLAN1VLAN3VLAN2AccessTrunkTrunk链路一般是指网络设备与网络设备之间的链路一个Trunk端口可以属于多个VLANTrunkport通过发送带标签的报文来区别某一数据包属于哪一VLAN标签遵守IEEE802.1q协议标准VLAN1VLAN2VLAN3TrunkHybrid1、Hybrid端口可以用于交换机之间连接，也可以用于接用户的计算机2、Hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文3、Hybrid端口与Trunk端口的不同之处Hybrid端口可以允许多个VLAN的报文不打标签Trunk端口只允许缺省VLAN的报文不打标签在同一个交换机上Hybrid端口和Trunk端口不能并存802.1Q的转发原则802.1Q的转发原则

当Access端口收到帧时

该帧不包含802.1Qtagheader，将被打上端口的PVID

当Access端口发送帧时剥离802.1Qtagheader，发出的帧为普通以太网帧802.1Q的转发原则1、当Trunk端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID

如果该帧包含802.1Qtagheader，则不改变2、当Trunk端口发送帧时当该帧的VLANID与端口的PVID不同时，直接透传当该帧的VLANID与端口的PVID相同时，则剥离802.1Qtagheader802.1Q的转发原则1、当Hybrid端口收到帧时如果该帧不包含802.1Qtagheader，将打上端口的PVID

如果该帧包含802.1Qtagheader，则不改变2、当Hybrid端口发送帧时该帧包含802.1Qtagheader,是否保留tagheader需根据Hybrid端口的设置来决定若端口设置为允许该VLAN的帧tagged，则保留tagheader

若端口设置为允许该VLAN的帧untagged，则剥离802.1Qtagheader6．3

VLAN典型配置VLAN的配置命令1、创建指定VLAN，并进入VLAN模式ZXR10(config)#vlan<vlan-id>3、设置端口的VLAN链路类型ZXR10(config)#interface<interface-name>ZXR10（config-if）#switchportmode{access|trunk|hybrid}2、为创建的VLAN命名Switch(config-vlan)#name<vlan-name>VLAN的配置命令4．把以太网端口加入到指定VLANAccess端口只能加入到1个VLAN，Trunk端口和Hybrid端口可以加入到多个VLAN中。（1）把Access端口加入到指定VLANSwitch(config)#interface

<interface-name>Switch(config-if)#switchportaccessvlan{<vlan-id>|<vlan-name>}（2）让Trunk端口透传指定VLANSwitch(config)#interface<interface-name>Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowedvlan

<vlan-id>VLAN的配置命令5．设置以太网端口的nativeVLAN（PVID）（1）设置Trunk端口的NativeVLANSwitch(config)#interface<interface-name>Switch(config-if)#switchporttrunknativevlan{<vlan-id>|<vlan-name>}（2）设置Hybrid端口的NativeVLANSwitch(config)#interface

<interface-name>VLAN的配置命令6．创建VLAN三层接口Switch(config)#interfacevlan<vlan-id>7．打开/关闭VLAN三层接口Switch(config)#interfacevlan

<vlan-id>Switch(config-if)#noshutdown8．显示VLAN配置Switch#showvlan

{<brief>|<vlan-id>|<vlan-name>}9．把某一端口从VLAN中删除Switch(config)#interface

<interface-name>Switch(config-if)#noswitchportaccessvlanTrunk端口许可VLAN列表10、

VLAN许可、删除等命令格式：Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

其中：vlan-list可以是一个VLAN或以vlann-vlan

m表示一组VLAN，如10～20；all是许可VLAN列表包含所有VLAN；add表示将指定VLAN列表加入许可VLAN列表；remove表示将指定VLAN列表从许可VLAN列表中删除；except表示将除列出的VLAN列表外的所有VLAN加入许可VLAN列表。VLAN的配置命令实训案例任务1描述：某企业内有销售部和市场部，两部门各有计算机2台，使用一台交换机划分两个VLAN10和VLAN20，分别供两个部门使用。F0/1销售部:vlan10市场部:vlan20F0/2F0/11F0/12配置实例1--跟着我做实训案例任务1实施：网络拓扑设计；设备连接；创建两个VLAN；将相应的端口划分到VLAN；验证测试；F0/1销售部:vlan10市场部:vlan20F0/2F0/11F0/12192.168.10.0/24192.168.20.0/24配置实例1--跟着我做问题提出在组建办公区域网络时发现有些部门的办公地点不在一起，一个部门的办公人员可能分布在不同办公楼内。要求将公司分别在不同地点的多个办公室（二三个办公室）的计算机连接起来，形成一个公司办公区域局域网络，实现公司办公室内部可以相互访问。配置实例2--跟着我做BADC销售部销售部财务部财务部实训案例任务验证：ApingC:连通BpingD:连通ApingB:不通配置实例2--跟着我做三楼的搂层交换机SW3四楼的搂层交换机SW4Fa0/24Fa0/24Fa0/10Fa0/20Fa0/10Fa0/201．交换机SW3上的配置如下：Switch(config)#hostname

SW3SW3(config)#vlan10SW3(config-vlan)#namexiaoshoubuSW3(config-vlan)#exitSW3(config)#vlan

20SW3(config-vlan)#namecaiwubuSW3(config-vlan)#exitSW3(config)#interfacefastEthernet0/10SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan

10SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/20SW3(config-if)#switchportmodeaccess

SW3(config-if)#switchportaccessvlan

20SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/24SW3(config-if)#switchportmodetrunk

配置Trunk端口

配置实例2--跟着我做配置Trunk端口SW3#showinterfacestrunk

PortModeEncapsulationStatusNativevlanFa0/24on802.1qtrunking1

PortVlansallowedontrunkFa0/241-1005

PortVlansallowedandactiveinmanagementdomainFa0/241,10,20

PortVlansinspanningtreeforwardingstateandnotprunedFa0/241,10,20配置实例2--跟着我做2、Fa0/24口的VＬＡＮ配置验证配置Trunk端口配置实例2--跟着我做3、SW3的VＬＡＮ配置验证6.4

GVRP协议原理快速生成树协议GVRP概述VLAN2的广播报文没有必要被传播到最右边的交换机上GARP（GenericAttributeRegistrationProtocol）是一种通用的属性注册协议，它为处于同一个交换网内的交换成员之间提供了分发、传播、注册某种信息的一种手段，如VLAN、多播组地址等。GVRP工作原理GVRP成员收发声明或回收GVRP实体GVRP注册过程GVRP端口注册模式（1）Normal模式允许该端口动态注册、注销VLAN，传播动态VLAN以及手动配置的VLAN信息，这是端口默认模式。（2）Fixed模式禁止该端口动态注册、注销VLAN，只传播手动配置的静态VLAN信息，不传播动态VLAN信息。也就是说被设置为fixed模式的Trunk口，即使允许所有VLAN通过，实际通过的VLAN也只能是手动配置的那些VLAN。（3）Forbidden模式禁止该端口动态注册、注销VLAN，不传播除VLAN1以外的任何的VLAN信息。也就是说被配置为forbidden模式的Trunk口，即使允许所有VLAN通过，实际通过的VLAN也只能是缺省VLAN，即VLAN1。GARP消息类型1．JoinIn：声明一个属性，声明者已注册该属性；2．Leave：注销一个属性；3．Empty：希望获得一个属性的声明；4．JoinEmpty：声明一个属性，声明者未注册该属性；5．LeaveAll：声明将注销所有的属性。GVRP配置1．使能/关闭系统GVRP功能zte(config)##setgvrp系统GVRP功能缺省处于关闭状态，该命令用于全局开启/关闭GVRP。GVRP使能要在GARP使能的情况下才能进行。2．使能/关闭端口GVRP功能zte(config)#setgvrpport

<portlist>{enable|disable}系统端口GVRP功能缺省处于关闭状态，该命令用于开启/关闭端口GVRP功能，端口GVRP功能开启后可以接受GVRP协议报文。3．配置端口的GVRP注册类型功能zte(config)#setgvrpport<portlist>registration

{normal|fixed|forbidden}4．Trunk端口使能/关闭GVRP功能zte(config)#setgvrptrunk

<trunklist>{enable|disable}5．配置Trunk端口的GVRP注册类型zte(config)#setgvrptrunk

<trunklist>

registration

{normal|fixed|forbidden}系统Trunk端口的GVRP注册类型缺省处于normal状态，该命令用于设置Trunk端口GVRP注册类型，Trunk端口注册类型有三种，每种注册类型的功能和端口的功能相同。6．显示GVRP配置信息zte#showgvrp该命令用于显示GVRP配置信息，包括GVRP使能与否，各端口和Trunk端口GVRP的配置情况。GVRP配置GVRP配置实例1．交换机B上关于GVRP的主要配置命令如下：zte(config)##setgarpenablezte(config)#setgvrpenablezte(config)#setgvrpport2enablezte(config)#setgvrpport2registrationfixedGVRP配置实例2.在交换机B上查看GVRP状态zte(cfg)#showgvrpGVRPisenabled!

PortIdStatusRegistrationLastPduOrigin-------------------------------------------2EnabledFixed00.00.00.00.00.00

实训项目：组建安全隔离的小型局域网快速生成树协议项目背景某公司人力资源部、财务处、市场部、技术部分别建立了自己的局域网。并在这四个部门之间实现了资源共享。但是，网路规模的扩大，客户端的计算机配置越来超高，各个客户现之间通过网络传输文件的速度越来越慢，经过技术人员分析，公司交换以太网只隔离了冲突域，但AＲＰ等病毒是在一个广播域内的，为此需要将公司人力资源部、财务处、市场部、技术部各自的局城网划分为更小的迎辑网格，每个迎辑网格（VLAN），可以起到隔离广播和单播流量。而且随着公司业务的发展，公司为市场部新建了营销大楼，同时在市场部中设立了财务科，为了信息的安全，要求公司人力资源部、财务处、市场部、技术部各局域网之间隔离，但是各部门自己内部是连通的。方案设计C1BC2D技术部市场部财务处财务科公司总部SW1营销大搂SW2Fa0/24Fa0/24Fa0/6-17Fa0/18-23Fa0/1-15Fa0/16-20A人力资源部Fa0/1-5方案实施（一）绘制网络拓扑图方案实施（二）方案规划设计部门VLANVLAN名称计算机连接交换机/端口IP地址子网掩码默认网关人力资源部10RLZYBPC1-1SW1/Fa0/1192．168．10．1255．255．255．0192．168．10．254PC1-5SW1/Fa0/5192．168．10．5技术部20JSBPC1-6SW1/Fa0/6192．168．20．6192．168．20．254PC1-17SW1/Fa0/17192．168．20．17财务处30CWCPC1-18SW1/Fa0/18192．168．30．18192．168．30．254PC1-23SW1/Fa0/23192．168．30．23市场部40SCBPC2-1SW2/Fa0/1192．168．40．1192．168．40．254PC2-15SW2/Fa0/15192．168．40．15财务科30CWCPC2-16SW2/Fa0/16192．168．30．16192．168．30．254PC2-20SW2/Fa0/20192．168．30．20方案实施（三）交换机SW1的配置（１）为交换机命名为SW1并创建VLAN10，创建VLAN10命名为RLZYBSwitch(config)#hostnameSW1SW1(config)#vlan10SW1(config-vlan)#nameRLZYBSW1(config-vlan)#exit（2）创建VLAN20，创建VLAN20命名为JSBSW1(config)#vlan20SW1(config-vlan)#nameJSBSW1(config-vlan)#exit（3）创建VLAN30，创建VLAN10命名为CWCSW1(config)#vlan30SW1(config-vlan)#nameCWC方案实施（三）交换机SW1的配置4）将Fa0/1-5加入到VLAN10中SW1(config)#interfacerangefastEthernet0/1-5SW1(config-if-range)#switchportmodeaccess

SW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#exit（5）将Fa0/6-17加入到VLAN20中SW1(config)#interfacerangefastEthernet0/6-17SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan20SW1(config-if-range)#exit（6）将Fa0/8-23加入到VLAN30中SW1(config)#interfacerangefastEthernet0/18-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan30方案实施（三）交换机SW1的配置（7）将Fa0/24口设置成trunkSW1(config)#interfacefastEthernet