《计算机网络技术》课件-3.虚拟局域网技术

3.1认识虚拟局域网虚拟局域网（VLAN）的基本概念是将物理上分散在不同位置的网络设备逻辑上划分成一个个独立的网络段，每个VLAN内部可以看作是一个独立的局域网。这些网络设备不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来。VLAN的基本概念VLAN是基于逻辑划分而非物理划分，这意味着不需要考虑物理位置，可以根据需求将不同物理位置的设备划分到同一VLAN中，或将同一物理位置的设备划分到不同的VLAN中。这种灵活性是传统物理网络无法比拟的。逻辑划分而非物理划分VLAN与传统网络的区别VLAN可以将广播域限制在单个VLAN内部，避免了广播风暴对整个网络的影响。每个VLAN都是一个独立的广播域，VLAN之间的通信需要通过第三层设备（如路由器）来实现。这有助于减少网络流量，提高网络性能。广播域的隔离VLAN技术可以增强网络的安全性。通过将不同部门或用户划分到不同的VLAN中，可以限制它们之间的通信，防止敏感数据泄露。此外，还可以结合访问控制列表（ACL）等安全机制来进一步提高网络的安全性。安全性的提升网络管理的简化VLAN技术可以简化网络管理。管理员可以在每个VLAN内部独立地进行配置和管理，而不需要考虑整个网络的物理布局。这降低了网络管理的复杂性，提高了管理效率。灵活性和可扩展性VLAN技术具有很高的灵活性和可扩展性。随着业务的发展或设备的增加，管理员可以轻松地添加或修改VLAN，以满足网络需求的变化。这种灵活性使得VLAN技术在各种场景中都有广泛的应用。VLAN与传统网络的区别基于端口的VLAN划分：基于端口的VLAN划分是最常用和最简单的方式，管理员可以将交换机的某些端口定义为一个单独的VLAN。01基于MAC地址的VLAN划分：基于MAC地址的VLAN划分是基于设备的MAC地址，优点是允许用户在网络中移动而不需要重新配置VLAN设置。02基于网络层协议的VLAN划分：基于网络层协议的VLAN划分是根据设备所使用的网络层协议来划分，优点是物理位置改变时不需要重新配置。03基于IP组播的VLAN划分：基于IP组播的VLAN划分是允许将接收相同组播地址的设备划分到同一个VLAN中，便于对组播流量进行管理和控制。04其他VLAN划分方式：除了基于端口、MAC地址、网络层协议和IP组播外，还有基于策略、用户定义和非用户授权等方式来划分VLAN。05VLAN的划分方式路由器实现VLAN间通信：通过在路由器上配置子接口，每个子接口与一个VLAN关联，从而实现不同VLAN间的通信，这是最常见的一种方式。VPN技术实现VLAN间通信：虚拟专用网络（VPN）技术可以在公共网络上建立加密的虚拟通道，实现不同VLAN之间的安全通信，对数据包进行加密和解密。端口聚合技术实现VLAN间通信：端口聚合技术将多个物理端口聚合成一个逻辑端口，提高带宽利用率和可靠性，通过配置端口聚合，可以实现不同VLAN之间的高速通信。三层交换机实现VLAN间通信：三层交换机具有路由功能，可以直接在不同VLAN之间进行通信，而无需使用路由器，根据配置和路由表进行转发。VLAN间的通信方式VLAN的配置和管理方法01确定VLAN划分方式首先需要根据网络需求和设备情况确定VLAN的划分方式.创建VLAN在交换机上创建VLAN，并为每个VLAN分配一个唯一的VLANID和名称。同时，可以设置VLAN的其他属性，如VLAN描述、VLAN类型等。配置VLAN接口为每个VLAN配置一个虚拟接口（VLANInterface），并为其分配IP地址。配置VLAN间通信如果需要实现不同VLAN之间的通信，可以通过配置路由器或三层交换机来实现。将设备加入VLAN将需要加入VLAN的设备连接到交换机的相应端口，并根据划分方式将端口加入到对应的VLAN中。验证VLAN配置完成VLAN配置后，需要进行验证以确保配置的正确性和有效性。020304050607监控和管理VLAN定期对VLAN进行监控和管理，以确保网络的稳定运行和安全性。网络隔离与安全性灵活性和可扩展性多租户环境无线网络部署资源管理和优化广播控制VLAN可以将网络划分为不同的逻辑子网，实现不同部门或用户组之间的隔离，从而提高网络的安全性。传统的以太网中，广播包会在整个网络中传播，可能导致网络性能下降，通过使用VLAN减少广播流量影响。可以根据业务需求对网络资源进行合理的管理和优化，实现网络流量的均衡和带宽的有效利用。随着业务的发展或设备的增加，可以灵活地调整VLAN的划分和配置，以满足网络需求的变化。在云计算或数据中心等多租户环境中，VLAN可以实现不同租户之间的网络隔离和资源分配，确保每个租户的网络安全和性能。在无线网络部署中，可以使用VLAN来划分不同的用户组或访问控制列表，以实现精细化的用户管理和访问控制。VLAN的应用场景3.2认识VLAN接口主要用于接入终端设备，如PC机、服务器、打印服务器等。Access接口vlan接口种类主要用于连接其它交换机或路由器。它是一条中继链路，允许各种VLAN通过，可以接收和发送多个VLAN的报文，以便在线路上承载多个VLAN。Trunk接口是Access与Trunk的混合模式，交换机上既可以连接用户主机，又可以连接其他交换机；Hybrid端口可以属于多个VLAN，并能接收和发送多个VLAN的报文。Hybrid接口Access接口收发数据规则发送数据无论接收到的数据帧是否带有VLAN标签，Access端口在发送数据帧时都会剥离掉VLAN标签，然后直接发送出去。接收数据如果Access端口收到对端设备发送的数据帧是不带VLAN标签的（Untagged），那么会打上端口的PVID（PortVLANID），再进行接收。如果数据帧是带VLAN标签的（Tagged），Access端口会直接丢弃这个数据帧。连接终端设备Access接口通常用于连接终端设备，如计算机、IP电话等；由于这些设备通常不需要识别或处理VLAN标签，因此使用Access接口可以简化网络配置和管理。实现VLAN隔离通过将Access接口配置为特定的VLAN，可以实现VLAN之间的隔离；这有助于增强网络的安全性，因为不同VLAN之间的设备无法直接通信。控制广播域可以限制广播域的范围；由于每个VLAN都形成一个独立的广播域，因此通过合理配置Access接口，可以限制广播报文的传播范围，从而避免广播风暴的发生。提供单个VLAN的接入通常被配置为属于特定的VLAN；这意味着连接到Access接口的设备将被分配到该VLAN，从而实现了对设备的逻辑分组和管理。Access接口应用场景Trunk接口收发数据规则发送数据当VLANID与端口PVID相同，且是该端口允许通过的VLANID时，Trunk端口会去掉数据帧的VLAN标签（Tag），然后发送该数据帧；不同，则保持原有VLAN标签并发送。接收数据Trunk端口为数据帧添加PVID，并检查是否在允许通过的VLANID列表中，在则接收，不在则丢弃；接收带VLAN标签数据帧时，检查VLANID是否在允许通过的列表中，在则接收，不在则丢弃。因为Trunk可以同时传送多个VLAN的业务数据，所以非常适合在交换机之间建立连接，以实现不同VLAN之间的通信。交换机与交换机之间的连接Trunk接口应用场景在某些网络架构中，可能需要使用Trunk接口将交换机与路由器连接起来，以便在不同的VLAN之间进行路由。交换机与路由器之间的连接Trunk接口也可用于连接交换机和服务器，以便服务器可以访问多个VLAN的资源；例如，在某些数据中心环境中，服务器需要同时访问多个VLAN。交换机与服务器之间的连接Hybrid接口收发数据规则当Hybrid接口接收到一个不带VLAN标签的数据帧时，会打上接口的PVID（PortVLANID，端口VLANID），然后进行转发。当Hybrid接口接收到一个带VLAN标签的数据帧时，会检查该VLAN标签是否在接口允许的VLAN范围内；在则转发，不在则丢弃数据帧。当Hybrid接口发送数据时，判断数据帧的VLAN标签是否与接口PVID相同，如果相同则剥离标签发送，不同则直接发送带VLAN标签的数据帧。未标签帧打PVID转发标签帧验证转发发送数据Hybrid接口应用场景连接用户主机和服务器用户主机和服务器通常不能处理带VLANTag的帧，因此可以使用Hybrid接口进行连接，并在接口配置中将PVID设置为对应VLAN的ID，以确保数据帧能够正确转发。