02 交换技术与应用—VLAN与链路聚合.ppt

1、虚拟局域网VLAN与链路聚合,学习要求,了解: VLAN的作用 掌握：VLAN的工作原理 掌握：VLAN的划分方法 掌握：IEEE802.1Q标准的作用及帧标记法 掌握：私有VLAN的应用与公共端口的实现方法,VLAN简介,VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 可根据功能、部门、应用等来划分VLAN。,VLAN的功能,VLAN的功能 改

2、善网络性能； 提高网络的安全性； 网络布署的方便性 VLAN有下述优点： 能减少在解决移动、添加和修改等问题时的管理开销； 提供控制广播活动的功能； 支持工作组和网络的安全性； 利用现有的集线器以节省开支。,VLAN的划分方法,基于端口的VLAN 该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。 基于MAC地址的VLAN 基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法。 常用的为第一种,基于端口的VLAN,Ethernet Switcher,Ethern

3、et Switcher,以交换机上的端口来划分VLAN，将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的站点同一个子网里，不同的VLAN之间进行通信需要通过路由器； 不足之处是灵活性不好，,Ethernet Switcher,Ethernet Switcher,基于MAC的VLAN,以网络设备的MAC地址来划分VLAN，将某一组MAC的成员划分为一个VLAN ； 缺点：管理麻烦,Ethernet Switcher1,Ethernet Switcher2,跨交换机的VLAN实现,VLAN 100,VLAN 200,16,15,12,3,14,8,VLAN 100,1,2,3,4,5,

4、6,VLAN 200,两个交换机间如何交换相同VLAN的信息？ 如何区分不同的VLAN？,IEEE802.1Q标准给出了解决方法,802.1Q标准,帧标记法 802.1Q为相应的帧分配一个唯一的标记来标示帧的VLAN信息； 当数据帧在交换机之间转发时，要对帧标记分析和检查。 802.1Q用4个字节来进行标记 其中2B的TPID（tag protocol identifier）,取值0 x8100，用以标识该帧承载了802.1Q的tag信息； 2B的TCI（tag control information）： 3 bit用来表示用户的优先级 1 bit的CFI （规范格式指示）用来指示是否包含VL

5、AN 标签，默认值为0； 12bit的VID用来识别标记帧属于哪一个VLAN。,802.1Q的帧结构,使跨交换机相同VLAN间通信成为可能,数据帧的标记,在IEEE802.1Q中，打标记和去标记的两种动作行为Tagging 和Untagging : Tagging：将802.1QVLAN的信息加入数据包的包头。具有加标记能力的端口（Tagged端口）将VLAN信息加入到所有进出该端口的数据包内。如果数据包已经被标记过，端口将不对该数据包改动。 Untagging：将802.1QVLAN的信息从数据包的包头去掉的操作。具有去标记能力的端口会将VLAN信息从所有进出该端口的数据包头中去掉。如果数据

6、包没有被标记过，端口将不对该数据包改动。,数据帧的标记,tagged,untagged,untagged,switch2,PC1,PC2,PVID=100,VID=?,tagged,PVID：Port VLAN ID，表示缺省端口的VLAN编号，指出从外部接收的数据帧被交换机分配到哪个VLAN去，是端口属性。 VID：VLAN ID，表示端口所处的VLAN编号，指出一个端口从交换机内部可以接收哪个VLAN的数据，是VLAN属性。 在设置PVID和VID时，要保持PVID和VID的一致，如：一个端口属于几个VLAN，那么这个端口就会具有好几个VID，但是只能有一个PVID，并且PVID号应该是V

7、ID号中的一个，否则交换机不识别。,交换机接口模式,Trunk 模式 trunk 表示端口允许通过多个VLAN 的流量 工作在trunk mode 下的端口称为Trunk 端口，Trunk 端口可以通过多个VLAN的流量，通过Trunk 端口之间的互联，可以实现不同交换机上的相同VLAN 的互通 Access模式 access 为端口只能属于一个VLAN 工作在access mode 下的端口称为Access 端口，Access 端口可以分配给一个VLAN，并且同时只能分配给一个VLAN,在Trunk链路上传输多个VLAN信息 要求Trunk至少要100M,Switch B,VLAN30,VL

8、AN20,VLAN10,Tag VLAN,1.传输多个VLAN的信息 2.实现同一VLAN跨越不同的交换机,Tag VLAN,VLAN的划分与配置,实验拓扑图,VLAN 100,PC1,VLAN 200,PC2,实验步骤 设置交换机的IP地址； 验证PC1与PC2之间是否连通？ 创建VLAN100和VLAN200 Switch(config)#vlan 给VLAN100和VLAN200添加端口 Switch(config-vlan100)#switchport interface ethernet 0/0/13 验证PC1与PC2之间是否连通？ 注：交换机的IP地址在vlan 1上。,13,2

9、0,VLAN200,跨交换机部署VLAN,VLAN间的通信需要通过三层设备,实验步骤 给交换机设置标示符和管理IP 在交换机中创建Vlan100和vlan200，并添加端口 设置交换机trunk端口 Interface ethernet Switchport mode trunk Switchport trunk allowed vlan all 验证 将两台交换机的Trunk口相连； 将PC1或PC2接在不同的VLAN上 结果说明,跨交换机部署VLAN,跨交换机部署VLAN结果说明,VLAN100,VLAN200,VLAN1,VLAN100,VLAN100,VLAN1,命令switchpor

10、t mode,命令：switchport mode trunk|access 功能：设置交换机的端口为access 模式或者trunk 模式。 参数：trunk 表示端口允许通过多个VLAN 的流量；access 为端口只能属于一个VLAN。 命令模式：端口配置模式 缺省情况：端口缺省为Access 模式。,命令：switchport trunk allowed vlan |all no switchport trunk allowed vlan 功能：设置Trunk 端口允许通过VLAN；本命令的no 操作为恢复缺省情况。 参数：为允许在该Trunk 端口上通过的VLAN 列表；all 关键

11、字表示允许该Trunk端口通过所有VLAN 的流量。 命令模式：端口配置模式 缺省情况：Trunk 端口缺省允许通过所有VLAN。 使用指南：用户可以通过本命令设置哪些VLAN 的流量通过Trunk 端口，没有包含的VLAN流量则被禁止。,switchport trunk allowed vlan命令,命令：name no name 功能：为VLAN 指定名称，VLAN 的名称是对该VLAN 一个描述性字符串；本命令的no 操作为删除VLAN 的名称。 参数：为指定的vlan 名称字符串。 命令模式：VLAN 配置模式 缺省情况：VLAN 缺省VLAN 名称为vlanXXX，其中XXX 为VI

12、D。 使用指南：交换机提供为不同的VLAN 指定名称的功能，有助于用户记忆VLAN，方便管理。,Name命令,命令：switchport trunk native vlan no switchport trunk native vlan 功能：设置trunk口的PVID；本命令的no 操作为恢复缺省值。 参数：为trunk口的PVID。 命令模式：端口 配置模式 缺省情况： trunk口的缺省PVID 为1。,设置TRUNK口PVID命令,教育应用：大型校园网方案,礼堂/活动中心,教学楼 1,实验楼,西区教学楼,图书馆,校办工厂,网管工作站,DCRS-6512,DCNS-2008 NAS,教学

13、楼 N,主楼/网络中心,学生宿舍楼 1,学生宿舍楼 K,教工宿舍楼 1,教工宿舍楼 M,校园西区,校园东区,教委信息中心,INTERNET,DCRS-7508 路由交换机,防火墙,DCR-1750路由器,DCS-3628S堆叠组,DCS-3726B,PSTN,第五次实验,实验目的 了解VLAN的工作原理 掌握VLAN的划分方法、跨交换机相同VLAN间通信的方法 实验要求 熟练掌握VLAN的配置方法 熟练掌握跨交换机相同VLAN间通信的实现 实验内容 见实验十四、十五,私有VLAN,问题的提出 所有的vlan都需要访问一台公用的服务器，而且vlan之间不要求通信，怎么办？ 一个宽带小区，每家都入

14、网并且要求其他人不能访问自己家的主机，要求与别的主机隔离，如何解决？ 解决方法：使用私有vlan来解决。 私有VLAN 在同一个VLAN内的端口之间进行隔离，称之为私有VLAN（private VLAN）。,私有VLAN,私有VLAN的分类 主VLAN：Primary VLAN，代表一个Private VLAN整体 群体VLAN：Community VLAN 隔离VLAN：Isolated VLAN 私有VLAN的三种端口，它们分别对应于不同的私有VLAN 混杂端口（promiscuous port） 一个混杂端口可以与所有端口通信； 群体端口（Community port） 群体端口只可以与

15、同一Community VLAN内的端口以及相应的混杂端口通信； 隔离端口（Isolated Port） 隔离端口与同一VLAN内的所有端口都不能通信，但是和混杂端口可以通信。,私有VLAN,私有VLAN的功能,可以通过私有VLAN的混杂端口级连交换机，而不要求级连端口封装IEEE802.1Q协议； 在一台交换机上划分多个VLAN后，每个VLAN的端口成员可以访问接在混杂端口上的服务器； 利用私有VLAN的隔离VLAN功能，做到按交换机端口计费；如果需要对多个端口同时计费，可以通过私有VLAN的群体VLAN功能来解决。,Pvlan和vlan 的区别,Vlan 划分虚拟工作组，减小广播的范围 解

16、决不同工作组之间的安全问题 Pvlan 划分虚拟工作组，减小广播的范围 实现了不同 vlan之间的通信，可以保证同一个VLAN中的各个端口相互之间不能通信,私有VLAN的实现实验拓扑,pc1,pc2,Vlan 100,Vlan 200,192.168.2.21,192.168.2.22,Console线,192.168.2. 1,私有VLAN的实现配置步骤,第一步：创建私有vlan的各种成员vlan 命令：private-vlan primary|isolated|community 第二步：做vlan之间的关联(与主VLAN的关联) 命令： private-vlan association

17、第三步：添加端口 命令： switchport interface ethernet 第四步：验证 结果说明,私有VLAN实验结果,详细的配置及结果见实验十七,链路聚合,问题的提出 对于局域网交换机之间以及从交换机到高需求服务的许多网络连接来说，100M甚至1Gbps的带宽是不够的。 解决方法 改变链路，使用千兆模块并使用千兆链路，如光纤 不改变现有的交换机和链路，通过端口聚合的方法 链路聚合的概念 链路聚合：又称端口聚合、端口捆绑，英文名称Port Trunking。功能是将交换机的多个低带宽端口捆绑成一条高带宽链路，可以实现链路负载平衡，避免链路出现拥塞现象。 802.3ad 标准定义了如

18、何将两个以上的以太网链路组合起来为高带宽网络连接实现负载共享、负载平衡以及提供更好的弹性。,链路聚合,链路聚合,链路聚合支持任意两个交换机物理端口的汇聚，最大组数6个，组内最多的端口数8个,链路聚合的优点,价格便宜，性能接近千兆以太网。 不需重新布线，也无须考虑千兆网令人头疼的传输距离极限。 Trunking可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性。 Trunking可以提供负载均衡能力以及系统容错。 避免以太网中的单点故障 提供故障检测和故障转移而不用中断用户的连接,链路聚合,在实际运用中，并非捆绑的链路越多越好。 链路之间负载均衡的效果，取决于它采用的算法： 1)

19、循环检测算法：采用轮询的方法把流量均匀发布给各个端口，但其不足之处是在接收端可能出现少量数据包时序的混乱。 2)自适应算法：最大可能把流量均匀分配给各个端口，其计算量相对来说较大。 3)静态算法：能保证每个数据包能够正确到达指定的端口，但缺乏灵活性而且速度相对来说较慢。 要使Trunking带来较好的性能，数据传输时应工作于对称模式。,交换机的链路聚合实验,192.168.2.41,192.168.2.42,192.168.2.1,192.168.2.2,SWA,SWB,配置线,实验步骤,第一步：连接网线，交换机恢复出厂设置，并配置ip和生成树协议 第二步：创建port-group（聚合组） SwA(config)#port-group 1 第三步：手工生成链路聚合组(或LACP动态生成模式) SwA(config)#interface ethernet 0/0/1;3 SwA(config-port-range)# port-group 1 mode on SwA(config)#interface port-channel 1 验证,port channel 组中成员的属性,端口均为全双工模式； 端口速率相同； 端口的