《第3章园区网VLAN规划与部署ppt课件.ppt》由会员分享,可在线阅读,更多相关《第3章园区网VLAN规划与部署ppt课件.ppt(31页珍藏版)》请在三一办公上搜索。
1、第1页,第3章 园区网VLAN规划与部署,第2页,前 言,本PPT主要介绍了园区网VLAN规划的要点和VLAN部署的一些注意事项,并简单介绍了VLAN协议和相关的一些技术细节。,第3页,课程目标,通过本课程的学习,您可以掌握如下知识点:了解VLAN协议及VLAN的作用为园区网作出VLAN的规划独立部署园区网VLAN进行基本的VLAN配置,第4页,提 纲,VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例,第5页,VLAN的产生原因,广播风暴,ARP广播,主机A,主机B,通讯,第6页,VLAN的概念,IEEE802.1Q协议VLAN是虚拟局域网(Virtual Bridge
2、d Local Area Network)的简称,它是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层数据链路层。VLAN的划分不受网络端口实际物理位置的限制。,工程部,1号楼,2号楼,市场部,技术部,VLAN 10,VLAN 20,VLAN 30,第7页,VLAN的特性,VLAN的特性VLAN 有着和普通物理网络同样的属性,除了没有物理位置的限制外,它和普通局域网是一样的,第二层的单播、广播和多播帧可以在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。所以,如果一个VLAN端口所连接的主机想要和另外一个VLAN端口的主机通讯,则必须通过一个三层设备进行转发,如
3、路由器或者三层交换机等。一个VLAN就是一个广播域,一个VLAN就是一个子网。,第8页,VLAN的划分及其好处,VLAN的划分方式:基于端口;基于MAC地址;基于协议;基于子网;VLAN的好处:隔离广播包,即广播包只在本VLAN中传播,从而在一定程度上可以提高整个网络的处理能力;虚拟的工作组,通过灵活的VLAN设置,可以把不同物理地点的用户划分到同一工作组内;提高安全性,一个VLAN内的用户和其它VLAN内的用户不能互访,提高了网络的安全性;,第9页,VLAN帧的格式,带有IEEE802.1Q标记的以太网帧,标准以太网帧,第10页,VLAN的数据转发过程,大家都知道,交换机是通过MAC地址表来
4、进行数据帧的转发,而引入VLAN后,交换机会在MAC地址表中增加VLAN信息,也就是说交换机对每1个VLAN都维护1个本VLAN的MAC地址表。 在数据转发时,先在同一VLAN的MAC地址表中,根据数据帧中的目的MAC地址进行查找,找到的话,就进行转发;如果找不到,就向本VLAN的网关发送,由其向其它网段(不同的VLAN)进行路由表的查询。,第11页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第12页,VLAN的规划原则,按业务规划可分为语音、视频和数据;按部门规划可分为工程部、市
5、场部、财务部等;按地理位置或应用规划在教育行业,特别是高教,由于规模较大,有多个分校分散在城市的不同地方,所以一般可以按照地理位置来划分VLAN;而普教由于规模不大,可按应用来划分VLAN,如服务器、办公、机房、教室;,在上述规划原则中,锐捷网络建议一定要将网络设备作为一个单独的VLAN进行规划,以实现对网络设备安全、有效的管理。,第13页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第14页,VLAN ID的分配技巧,常规来说,VLAN ID的分配只要是在有效的范围内(14K),都
6、是可以随意分配和选取的,但为了提高VLAN ID的可读性,一般采用VLAN ID和子网关联的方式进行分配。,192.168.10.0/24,192.168.40.0/24,192.168.30.0/24,192.168.20.0/24,VLAN 10,VLAN 20,VLAN 30,VLAN 40,第15页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第16页,VLAN的成员类型,Access口一个Access端口,只能属于一个VLAN,并且是通过手工设置指定VLAN的; Trunk
7、口一个Trunk口,在缺省情况下是属于本交换机所有VLAN的,它能够转发所有VLAN的帧,但是可以通过设置许可VLAN列表(allowed-VLANs)来加以限制。在配置Trunk链路时,一定要确认连接链路两端的Trunk口属于相同的Native VLAN。,一般来说,Access口用于和最终用户相连,而Trunk口用于交换机之间的互连。,第17页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第18页,VLAN的透传,VLAN的透传就是某个VLAN不仅在一台交换机上有效,它还要通过某
8、种方法延伸到别的以太网交换机上,在别的设备上照样有效,也就是常说的802.1Q Trunk;,VLAN中的流量到达入站口,根据透传协议对入站的VLAN流量进行标记;通过trunk到达对端;转发口依据标记的VLAN ID转发给对应的VLAN,并去除标记。,入口,出口,Trunk,第19页,VLAN的终结,VLAN的终结是指某个VLAN的有效域不能再延伸到别的VLAN,或者不能通过某条链路延伸到别的VLAN,一般可以理解为三层的终结。,VLAN 20,VLAN 40,VLAN 30,VLAN 40,VLAN 50,VLAN 10,路由连接,三层A,三层B,VLAN 10/20/40的终结,VLAN
9、 30/40/50的终结,第20页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第21页,VLAN的创建和命名,VLAN 1的特殊性由于VLAN 1作为缺省的Native VLAN,是不可以删除,所以建议在实际应用中不要使用VLAN 1;VLAN的命名VLAN的名字缺省是VLANxxxx,其中xxxx是用0开头的四位VLAN ID号,比如,VLAN0004就是VLAN 4的缺省名字;可以用数字和字符串对VLAN进行命名,长度不超过32位,一般可采用字符串+数字的方式加以命名,也可以用
10、网段的名称,以便于识别;,第22页,园区网VLAN的规划设计,VLAN的规划原则VLAN ID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名Native VLAN的作用,第23页,Native VLAN的作用,所谓Native VLAN,也叫缺省VLAN,在这个接口上收发的untag报文,都被认为是属于这个VLAN的;通常一个untag帧经过trunk口时,会打上Native VLAN的tag;一个tag帧经过trunk口时,如果tag VLAN与trunk口的Native VLAN相同,则会剥去tag标记。,vlan 10,vlan 20,untag,untag,vla
11、n 20,vlan 10,TrunkNative VLAN 10,第24页,提 纲,VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例,第25页,VLAN数据的安全控制,由于VLAN的trunk口缺省是能够转发所有VLAN帧(14K)的流量,但从提高安全性和减少不必要的数据流量这两个角度考虑,我们可以通过设置trunk口的许可VLAN 列表(allowed-VLANs),来限制某些VLAN的流量不能通过这个trunk口,这也称为VLAN的修剪。,TrunkAllow vlan 10,20,40,vlan 10,vlan 20,vlan 10,vlan 30,vlan 20
12、,vlan 40,vlan 40,第26页,VLAN规划的小结,建议一个VLAN对应一个网段,一个网段分配一个C类的IP地址;VLAN ID与网段对应,以便于识别;VLAN的命名与业务/部门/应用等结合;注意VLAN的修剪,以提高安全性,减少不必要的流量;Native VLAN的作用;网络设备作为一个单独的VLAN进行规划;,第27页,提 纲,VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例,第28页,园区网VLAN部署应用案例,案例介绍某园区网有三栋楼,分别为行政楼、教学楼、办公楼;每栋楼各有1台接入交换机,核心交换机在行政楼;行政楼内有办公室、财务部和教室;办公楼内
13、有办公室、财务部;教学楼内有办公室和教室;VLAN规划如下:,在核心的交换机上起SVI三层接口,和每栋楼的交换机通过trunk互连,并在trunk口用VLAN修剪;,第29页,园区网VLAN部署应用案例,VLAN 10,VLAN 20,SW1,CENTER,VLAN 20,VLAN 10,VLAN 30,案例拓扑图,行政楼,办公楼,VLAN 10,VLAN 30,SW2,教学楼,CENTER,SW3,VLAN 10办公室VLAN 20财务部VLAN 30教 室VLAN 100设 备,第30页,园区网VLAN部署应用案例,案例配置,第31页,参考资料,锐捷网络交换机配置指南配置VLANIEEE Std 802.1Q-1998.pdf,
