[计算机硬件及网络]第五次课虚拟局域网VLAN的实现PPT课件

1、,控制交换网络中的广播流量虚拟局域网（VLAN）,VLAN的基本概念 VLAN的类型: Port VLAN和 Tag VLAN 如何在交换机上配置VLAN VLAN间通信的方法,本章内容,VLAN课题引入,随着网络技术的发展，现在很多企业和部门都建立了内部局域网，但是，随着网络规模的增大也带来了一些问题： 网内数据传输量增大，网速变得越来越慢！ 计算机遭受黑客攻击，关键部门存在安全隐患！ 同一部门的人员分布不同的地域，不能相对集中办公！,VLAN的定义注意事项： VLAN（Virtual Local Area Network）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分（注意，不是从物

2、理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。,例如： 对于我校的校园网，有不同的部分组成：办公部门、学校机房、教师家属楼等部分组成。为了保证各部分的相对独立，又使每部分处于同一个网络内，内部能互相访问，这就需要划分VLAN，使办公部门处于一个VLAN内、学校机房处于一个VLAN内、教师家属楼处于一个VLAN内，这样就能保证他们之间的数据互不干扰，也不影响各自的通信效率了。,VLAN在交换机中的实现,分段 灵活性 安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),VLAN （Virtual Local Area Ne

3、twork） VLAN是在一个物理网络上划分出来的逻辑网络。 这个网络对应于OSI 模型的第二层网络。 VLAN的划分不受网络端口的实际物理位置的限制。 VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。,VLAN技术,VLAN特点,安全隔离，不同VLAN之间不能直接访问，需通过路由设备相连，才可以互相访问。 隔离广播 不受物理位置限制,基于安全性的考虑 在规模较大的网络系统内，各网络节点的数据需要相对保密。譬如公司的网络中，财务部门的数据不应被其他部门的人员采集到，可以通过划分VLAN，进行部门隔离，不同部门使用不

4、同的VLAN，可以实现一定的安全性。 基于网络性能的考虑 大型网络中有大量的广播信息，如果不加以控制，会使网络性能急剧下降，甚至产生网络风暴，使网络阻塞。因此需要采用VLAN将网络分割成多个广播域，将广播信息限制在每个广播域内，从而降低了整个网络的广播流量，提高了性能。 基于组织结构的考虑 同一部门的人员分布在不同的地域，需要数据的共享，则可以跨地域（跨交换机）将其设置在同一个VLAN中。,对VLAN的划分主要是基于下列因素的：,划分VLAN的方法,基于端口的VLAN 基于协议的VLAN 基于MAC层分组的VLAN 基于子网的VLAN,基于交换机的端口,VLAN的类型:Port VLAN,Po

5、rt-vlan原理,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 10,A B A C,X,VLAN在交换机中的实现,数据1,交换机内部,数据1,数据2,数据2,101,102,Port vlan的配置,将一组接口加入某一个VLAN Switch(config)#interface range fastethernet 0/1-10， fastethernet 0/15， fastethernet 0/20 Switch(config-if-range)#switchport access vlan 20 注：连续接口 0/1-10，不连续接口用逗号隔开，

6、但一定要写明模块编号,创建VLAN100，将它命名为test的例子 Switch # configure terminal Switch(config) # vlan 100 Switch(config-vlan) # name test Switch(config-vlan) # end 把ethernet 0/10作为access口加入了VLAN100 Switch # configure terminal Switch(config) # interface fastethernet0/10 Switch(config-if) # switchport mode access Switc

7、h(config-if) # switchport access vlan 100 Switch(config-if) # end,配置Port VLAN-Access,Switch B,VLAN30,VLAN20,VLAN10,跨交换机VLAN间通信,分布在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通。 就需要在A交换机上VLAN10中取一个端口和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。 那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。,Switch B,VLAN30,VLAN20,VLAN10,Tag VLAN

8、,传输多个VLAN的信息,实现同一VLAN跨越不同的交换机 只需要交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。,跨交换机VLAN之间的通信:Tag VLAN,目的,源MAC地址,类型,数据,重新计算帧检测序列,2字节标记协议标识2字节标记控制信息,IEEE802.1Q数据帧,标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1q标记信息 标记控制信息（TCI）: Priority 3比特表示优先级, Canonical format indicator 1比特用于总线型以太网、FDDI、令牌环网。 VlanID 12比

9、特表示VID，范围14094,IEEE802.1Q,802.1Q数据帧只在交换机的trunk链路上传输，对于用户是完全透明的。 默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据。,A,交换机1,交换机2,802.1Q工作原理,B,数据帧,Tag标签,配置Tag VLAN-Trunk,把Fa 0/1配成Trunk口 Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk,下面是一个把端口0/15 配置为TRUNK端口，但

10、是不包含在VLAN 2的例子： Switch(config)# interface fastethernet0/15 Switch(config-if)# switchport trunk allowed vlan remove 2 Switch(config-if)# end,配置Tag VLAN-Trunk,下面是一个把端口0/15 配置为TRUNK端口，但是不包含VLAN 2的例子： Switch(config)# interface fastethernet0/15 Switch(config-if)# switchport trunk allowed vlan remove 2 Sw

11、itch(config-if)# end Switch# show interfaces fastethernet0/15 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - - - Fa0/15 Enabled Trunk 1 1 Enabled 1,3-4094 Switch# show vlan VLAN Name Status Ports - - - - 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/6, Fa0/7, Fa0

12、/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/18, Fa0/19, Fa0/20, Fa0/21 2 VLAN0002 active Fa0/5, Gi0/2 4 VLAN0004 active Fa0/14, Fa0/15, Fa0/16, Fa0/17 5 VLAN0005 active Fa0/22, Fa0/23, Fa0/24, Gi0/1,配置Tag VLAN-Trunk,VLAN的实现,Port vlan 基于交换机端口进行VLAN的划分 一个端口只能属于一个VLAN 一个VLAN可以包含多个端口 接口模式为access 用于连接最终

13、用户设备 Tag vlan 一个端口可以属于多个VLAN 默认情况下属于所有VLAN 接口模式为trunk 用于交换机之间级联,将VLAN信息保存到flash中Switch#write memory 从flash中清除VLAN信息Switch#delete flash:vlan.dat,保存/清除VLAN信息,VLAN间路由,VLAN10,VLAN20,172.16.20.4,VLAN30,隔离的广播域,通过VLAN的划分，不同VLAN间不能够直接访问,VLAN10,VLAN20,172.20.0.0/16,VLAN30,172.10.0.0/16,172.30.0.0/16,VLAN间通信的

14、方法,VLAN10,VLAN30,VLAN20,多条链路连接多个VLAN,使用路由器进行VLAN间路由,VLAN10,VLAN30,VLAN20,Interface FA 1 Subinterface 1.1 Subinterface 1.2 Subinterface 1.3,一条链路连接多个VLAN,使用路由器进行VLAN间路由,三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。,VLAN20 Network 172.16.20.4,VLAN30 Network 172.16.30.5,VLAN10 Network 172.16.10.3,使用三层交换机进

15、行VLAN间路由,配置方法,第一步：分别创建每个VLAN三层SVI端口，并分配IP地址： Switch(config)# interface vlan Switch(config-if)# ip address Switch(config-if)#no shutdown 第二步：将每个VLAN内主机的网关指定为本VLAN接口地址,课程回顾,VLAN的基本概念 VLAN的类型:Port VLAN和 Tag VLAN 如何在交换机上配置VLAN VLAN间通信的方法,虚拟局域网VLAN的实现端口隔离,实验要求 本实验以一台被命名为Switch的交换机（S2126G，S3550）为例 假设PC1连接在交换机的0/5端口，而PC2连接在交换机的0/15端口。 要求通过划分PORT VLAN实现本交换机的端口隔离。,实验要求 本实验内容以两台被