收藏
下载资源 加入VIP免费专享

VLAN技术详细解析.ppt

上传人:小飞机 文档编号:5452526 上传时间:2023-07-08 格式:PPT 页数:83 大小:6.86MB
返回 下载 相关 举报
VLAN技术详细解析.ppt_第1页
第1页 / 共83页
VLAN技术详细解析.ppt_第2页
第2页 / 共83页
VLAN技术详细解析.ppt_第3页
第3页 / 共83页
VLAN技术详细解析.ppt_第4页
第4页 / 共83页
VLAN技术详细解析.ppt_第5页
第5页 / 共83页
点击查看更多>>
资源描述

《VLAN技术详细解析.ppt》由会员分享,可在线阅读,更多相关《VLAN技术详细解析.ppt(83页珍藏版)》请在三一办公上搜索。

1、,VLAN Virtual LAN,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Port protect,GMRP、GVRP,PVLAN,VLAN概念的提出,某单位内部网络情况如上图,其中有3个部门:工程部;销售部;财务部。现要实现各个部门之间不能互相访问,但部门内部又可以互相访问,而且这些电脑又要分别组成一个小局域网,什么是VLAN,VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地,而不是物理地划分成一个个网段,从而实现虚拟工作组的技术。,什么是VLAN(续),

2、VLAN允许管理员创建基于功能或者部门的网络段,而不必受到地理位置的限制。一个VLAN就是一个广播域。每个VLAN都有一个VLAN ID,在整个局域网中可以唯一的标识该VLAN。VLAN的目的是为了分隔不同类型的网络流量。VLAN间的通信需要通过三层路由引擎或路由软件模块来实现。,VLAN的好处,共用物理的交换机设备虚拟工作组,管理上的便利性实现端口逻辑上的隔离,增强网络安全性限制广播报文在整个网络中泛洪,控制广播风暴减少网络移动和改变的代价,节省成本,VLAN的作用,每一个逻辑上的VLAN相当于一个物理上的一个交换机或者网桥VLAN可以跨越多个交换机Trunk可以承载多个VLAN信息,VLA

3、N的种类,基于端口的VLAN基于MAC的VLAN基于IP的VLAN基于协议的VLAN,基于端口的VLAN,Switch A 的VLAN表,优点:配置简单缺点:当连接的网络设备改变时需要对端口进行重新配置,基于MAC的VLAN,优点:随意改变网络设备的位置缺点:交换机管理能力要求高,Host-1,Host-2,Host-3,Host-4,Host-5,Host-6,Host-7,Host-8,BDCOM Switch,Host-9,VLAN 2,VLAN 4,VLAN 3,Host-10,BDCOM Switch,Sniffer,基于IP的VLAN,Host-1,Host-2,Host-3,Ho

4、st-4,Host-5,Host-6,Host-7,Host-8,EtherSwitch-12,Host-9,VLAN-10,VLAN-40,VLAN-30,Host-11,EtherSwitch-13,Sniffer,优点:容易管理缺点:需要检查每个ip包的三层报头,基于协议的VLAN,IPX user-1,IP user-2,UNIX IP,IP user-6,AppleTalk user-7,IPX Server,EtherSwitch-12,AppleTalk user-10,VLAN-2,VLAN-4,VLAN-27,AppleTalk Server,IPX user-4,IP&IP

5、X user-9,IP user-5,EtherSwitch-13,优点:基于应用的,可随意改变网络设备的位置缺点:需要查看数据包的三层报文头,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN、PVLAN,Port protect,GMRP、GVRP,PVLAN,802.1Q 帧格式,IEEE802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持;,802.1Q 标签头,Tag Protocol Identifier(TPID)801.1Q 标签帧标识,值为0 x8100Tag Control Information(

6、TCI)标签控制信息,包含:VLAN Identified(VLAN ID)Canonical Format Indicator(CFI)Priority,802.1Q 标签头,VLAN Identified(VLAN ID):这是一个12 位的域,指明VLAN 的ID,一共4096 个,每个支持802.1Q 协议的主机发送出来的数据包都会包含这个域,以指明自己所属的VLANCanonical Format Indicator(CFI):这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式Priority:这3 位指明帧的优先级。一共有8 种优先级,主要用于当交换机阻塞时,优先发

7、送优先级高的数据包,VLAN端口状态,Switch_config#show vlan id 2VLAN id:2,Name:VLAN0002Mode:Static,Total Ports:8Interface AtttributesF0/4 Trunk,TaggedF0/5 Trunk,TaggedF0/6 AccessF0/7 AccessF0/8 AccessF0/9 AccessF0/10 AccessF0/11 AccessF0/12 AccessF0/13 AccessF0/14 AccessF0/15 AccessF0/16 Access,Switch_config#show vl

8、an id 1VLAN id:1,Name:DefaultMode:Static,Total Ports:18Interface AtttributesF0/1 AccessF0/2 AccessF0/3 AccessF0/4 Trunk,unTagged,PVIDF0/5 Trunk,unTagged,PVIDF0/17 AccessF0/18 AccessF0/19 AccessF0/20 AccessF0/21 AccessF0/22 AccessF0/23 AccessF0/24 Access,802.1Q VLAN名词解释,access接口和trunk口Tagged帧和 untagg

9、ed帧,交换机端口处理报文的流程,是否有VLAN信息,打上PVID,转发,丢弃,Access端口收报文,N,Y,将报文的VLAN信息剥离,转发,Access端口发报文,Access口用于连接PC,交换机端口处理报文的流程(续),是否有VLAN信息,打上端口PVID,N,转发,Is trunk allow?,Y,Y,N,丢弃,Trunk口收报文,Trunk口发报文,端口的PVID和将要发送报文的VLAN信息是否相等,Y,剥离VLAN信息,转发,N,Trunk口一般用于VLAN交换机之间的级联,TAG和UNTAG的区别,Tag?Untag?,tag,数据是否携带VLAN信息,加上端口缺省PVID,

10、转发,N,Y,untag,Is trunk allow?,Y,丢弃,N,加上端口缺省PVID,端口接受数据,TAG和UNTAG的区别,Tag?Untag?,tag,untag,端口发送数据,端口缺省PVID是否等于发送的数据包所含的PVID,转发,去掉VLAN标记,Y,N,tagged一般用于VLAN交换机之间的级联untagged则用于连接PC,VLAN Trunk,VLAN trunk:在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式,使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。,Switch A,Switch B,802.1Q VLAN的基本配置,本章学习重

11、点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Port protect,GMRP、GVRP,PVLAN,创建VLAN,该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#vlan 2,vlan vlan_id,删除VLAN,该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#no vlan 2,no vlan vlan_id,给VLAN命名,该命令在VLAN配置模式下操作Switch_config_vlan_id#Switc

12、henableSwitch#configSwitch_config#vlan 2Switch_config_vlan2#name Engineering,name word,分配交换机端口到VLAN中,以下命令在端口模式Switch_config_fsolt num/port num#Switch_config_fsolt num/port num#Switch_config#interface fastEthernet 0/2Switch_config_f0/2#switchport mode accessSwitch_config_f0/2#switchport pvid 2,Switch

13、port mode trunk|access,Switchport pvid vlan_id,配置举例 VLAN基本配置,用在BDOCM Switch上划分VLAN的方式来隔离交换机中的广播,并且提高局域网的安全性 需求:1.PC1所在的部门是sale,PC2所在的部门是Engineering 2.PC1和PC2在不同的广播域 3.PC1和PC2不能互相访问,VLAN基本配置,Switchenable Switch#config Switch_config#vlan 2Switch_config_vlan2#name SaleSwitch_config_vlan2#exitSwitch_con

14、fig#vlan 3Switch_config_vlan3#name EngineeringSwitch_config_vlan3#exitSwitch_config#interface fastEthernet 0/2Switch_config_f0/2#switchport pvid 2Switch_config_f0/2#exitSwitch_config#interface fastEthernet 0/3Switch_config_f0/3#switchport pvid 3Switch_config_f0/3#exitSwitch_config#exit,查看VLAN 信息,Swi

15、tch#show vlanVLAN Status Name Ports-1 Static Default F0/1,F0/4,F0/5,F0/6,F0/7 F0/8,F0/9,F0/10,F0/11,F0/12 F0/13,F0/14,F0/15,F0/16,F0/17 F0/18,F0/19,F0/20,F0/21,F0/22 F0/23,F0/242 Static sale F0/23 Static Engineering F0/3,可以看到交换机里面配置的所有VLAN信息,并且可以清楚的看出VLAN和端口的对应状态,VLAN间路由,在二层交换机上划分VLAN之后,各个不同的VLAN之间是

16、不能进行通信的,如果要使各个不同的VLAN之间可以互相通信,那么就要用到路由技术。例如:1.二层交换机上联路由器2.二层交换机上联三层交换机3.直接使用三层交换机,VLAN间路由(1),二层交换机上联路由器 不论VLAN有多少个,路由器与二层交换机都只用一条网线连接。在二层交换机和路由器上配置它们之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一路由器。这种连接方式要求路由器支持子接口,每个子接口对应一个VLAN,对应一个逻辑子网。,配置举例,拓扑结构如图:在二层交换机上划分VLAN 2,VLAN 3,VLAN 2和VLAN 3是不同的子网。现要实现VLAN 2和VLAN

17、3可以互相通信。,相关的配置,交换机的所需的配置interface FastEthernet0/1 switchport mode trunk!interface FastEthernet0/2 switchport pvid 2!interface FastEthernet0/3 switchport pvid 3!vlan 1-3,路由器所需的配置interface FastEthernet0/0.2 ipencapsulation dot1Q 2!interface FastEthernet0/0.3 ip address 192.168.1.1 255.255.255.0 encaps

18、ulation dot1Q 3!,PC所需要的配置,PC 1(VLAN 2中的PC)PC 2(VLAN 3中的PC),VLAN间路由(2),二层交换机上联三层交换机 不论VLAN有多少个,三层交换机与二层交换机都只用一条网线连接。在二层交换机和三层交换机之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一台三层交换机。,配置举例,拓扑结构如图:在二层交换机上划分VLAN 2,VLAN 3,VLAN 2和VLAN 3是不同的子网。现要实现VLAN 2和VLAN 3可以互相通信。,二层交换机所需要的配置,interface FastEthernet0/1 switchport m

19、ode trunk!interface FastEthernet0/2 switchport pvid 2!interface FastEthernet0/3 switchport pvid 3!vlan 1-3,三层交换机所需要的配置,interface FastEthernet0/1 switchport mode trunk!interface VLAN1 ip no ip directed-broadcast!interface VLAN2 ip no ip directed-broadcast!interface VLAN3 ip no ip directed-broadcast!v

20、lan 1-3,PC所需要的配置,PC 1(VLAN 2中的PC)PC 2(VLAN 3中的PC),VLAN间路由(3),使用三层交换机 在三层交换机上建立相应的逻辑接口,VLAN与逻辑接口一一对应。使用三层交换机自带的三层路由引擎,就可以实现各个VLAN(逻辑子网)之间的通信了。,配置举例,拓扑结构如图,在三层交换机上划分VLAN 2,VLAN 3,VLAN 4,每个VLAN都是单独的逻辑子网,现要使VLAN 2,VLAN 3,VLAN 4可以互相通信。,三层交换机所需要的配置,interface FastEthernet0/2 switchport pvid 2!interface Fas

21、tEthernet0/3 switchport pvid 3!interface FastEthernet0/4 switchport pvid 4!,interface VLAN2 ip!interface VLAN3 ip!interface VLAN4 ip!vlan 1-4,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Port protect,GMRP、GVRP,PVLAN,为什么要有Super VLAN,按照传统的VLAN做法,每个部门对应一个VLAN,对应着一个三层逻辑子网,如果销售部再增加两个人,网络会有什么变

22、化呢?,Super VLAN,Super VLAN 是一种VLAN聚合技术,提供一种机制使处于同一个交换机中分属不同VLAN的主机分配在相同的Ipv4子网中,而且使用同一个默认网关。当不同Sub VLAN中的主机需要相互之间通讯时,需要在Super VLAN开启ARP代理。,Super VLAN的特点,若干个小VLAN(Sub VLAN)同属于一个大VLAN(Super VLAN)。Super VLAN对应IPv4子网地址,所有该Super VLAN的Sub VLAN都属于该子网。Sub VLAN实现广播域隔离。不同的Sub VLAN仍保留各自独立的广播域,实现同一子网中的广播的隔离,避免广播

23、风暴的产生。同一子网Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。Super VLAN是一个三层的逻辑接口。,配置举例,用户PC1,PC2连接在交换机的2和3端口下,这些PC机的ip地址属于网段,PC的默认网关是。要求PC1和PC2可以互相通信,但是PC1和PC2处在不同的二层广播域内。,交换机所需要的配置,interface FastEthernet0/2 switchport pvid 2!interface FastEthernet0/3 switchport pvid 3!,interface SuperVLAN2 ip ip prox

24、y-arp subvlan no ip directed-broadcast subvlan add 2-3!vlan 1-3,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Port protect,GMRP、GVRP,PVLAN,(三)PVLAN,PC1和PC2可以互相访问,PC3和PC4可以互相访问,但PC1和PC2不可以访问PC3和PC4,但这些PC1/2/3/4都可以访问几台服务器SERVER这样的应用就要使用PVLAN来完成,PVLAN端口介绍,PVLAN(Private VLAN)中端口扮演三种角色1.Promis

25、cuous(混杂端口)这种端口一般为上联端口,网络出口。这种端口可以和同一PVLAN里面得所有端口互相通讯2.Isolated(孤立端口)这种端口就是孤立端口,一般用于接各个用户。这种端口只能和Promiscuous端口进行通讯。Isolated端口之间不能互相通讯。3.Community(大众端口)这种类型得端口之间可以互相通讯,也可以和Promiscuous端口通讯,但是不能同其他Isolated端口互相通讯,这种端口主要应用同一PVLAN中给那些需要互相通讯得一组用户使用,配置举例PVLAN 应用一,(1)业务VLAN与服务器VLAN之间通信用户在二层交换机上划分了VLAN 2,VLAN

26、 3,VLAN 4;VLAN 2和VLAN 3中是客户机,VLAN 4中是服务器。现要实现所有的VLAN在同一个子网,VLAN 2和VLAN 3之间不能互访,但是VLAN 2和VLAN 3均能访问VLAN 4。,二层交换机所需要的配置,interface FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-allowed 2,4 switchport trunk vlan-untagged 2,4!,interface FastEthernet0/3 switchport mode trun

27、k switchport pvid 3 switchport trunk vlan-allowed 3-4 switchport trunk vlan-untagged 3-4!interface FastEthernet0/4 switchport mode trunk switchport pvid 4 switchport trunk vlan-untagged all!,查看VLAN配置,Switch#show vlanVLAN Status Name Ports-1 Static Default F0/4,F0/5,F0/6,F0/7,F0/8 F0/9,F0/10,F0/11,F0

28、/12,F0/13 F0/14,F0/15,F0/16,F0/17,F0/18 F0/19,F0/20,F0/21,F0/22,F0/23 F0/242 Static VLAN0002 F0/1,F0/2,F0/43 Static VLAN0003 F0/3,F0/44 Static VLAN0004 F0/1,F0/2,F0/3,F0/4,配置举例PVLAN 应用二,(2)业务VLAN与上联设备之间进行通信用户在二层交换机上划分了VLAN 2,VLAN 3;VLAN 2和VLAN 3中是客户机。现要实现所有的VLAN在同一个子网,VLAN 2和VLAN 3之间不能互访,但是VLAN 2和VL

29、AN 3均能与路由器通信。,交换机所需的配置,interface FastEthernet0/1 switchport mode trunk switchport trunk vlan-untagged all!interface FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-allowed 1-2 switchport trunk vlan-untagged 1-2,interface FastEthernet0/3 switchport mode trunk switchport

30、pvid 3 switchport trunk vlan-allowed 1,3 switchport trunk vlan-untagged 1,3,路由器所需的配置,interface FastEthernet0/0 ip!在这里只需要这样一条命令就可以了,如果有其他应用,就适当增加其他应用的配置。,查看VLAN配置,Switch#show vlanVLAN Status Name Ports-1 Static Default F0/1,F0/2,F0/3,F0/4,F0/5 F0/6,F0/7,F0/8,F0/9,F0/10 F0/11,F0/12,F0/13,F0/14,F0/15 F

31、0/16,F0/17,F0/18,F0/19,F0/20 F0/21,F0/22,F0/23,F0/242 Static VLAN0002 F0/1,F0/23 Static VLAN0003 F0/1,F0/3,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Port protect,GMRP、GVRP,PVLAN,Port Protect,Port Protect:端口隔离,就是说一台交换机的下联端口之间不允许相互通讯,每个下联口都只能与上连口通讯,它能解决多种与以太广播相关的安全问题。设置隔离功能的端口之间不能再有数据包通

32、信,其他没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发。端口隔离是靠硬件进行处理的。,配置举例,拓扑结构如图要使PC1和PC2之间不能互相访问,但是PC1和PC2都能和Server互相通信。,二层交换机所需要的配置,interface FastEthernet0/1!interface FastEthernet0/2 switchport protected!interface FastEthernet0/3 switchport protected!,802.1Q VLAN的基本配置,本章学习重点,VLAN的基本概念,802.1Q VLAN,Super VLAN,Po

33、rt protect,GMRP、GVRP,PVLAN,VLAN的配置形式,VLAN的配置的形式有两种:1.静态手工配置对逐个交换机进行手工配置VLAN如果有大量的交换机,这种做法就比较麻烦,网络工程师要一台一台的配置VLAN信息和状态,将会有大量的工作要做,并且容易出错。2.动态配置VTPGVRP,动态配置,VTP:VLAN Trunk Protocol,用于维护全网VLAN信息的一致性;有三种工作模式,服务器模式,客户模式和透明模式。Cisco私有协议GARP,在一台开启了GVRP的交换机上配置了需要的VLAN信息之后,这种信息会自动的传递到其他的开启了GVRP的交换机上,从而减少了网络工程

34、师的工作量和出错几率,并且节省了很多时间。,69,服务器模式,客户模式,透明模式,发送/转发 信息宣告同步不会存贮于NVRAM,创建vlan修改vlan删除vlan发送/转发 信息宣告同步存贮于NVRAM,创建vlan修改vlan删除vlan转发 信息宣告不同步存贮于NVRAM,VTP模式,70,VTP是如何工作的,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生,VTP是如何工作的,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生(30s),

35、GARP,GARP(Generic Attribute Registration Protocol)是一种通用的属性注册协议,该协议提供了一种机制用于协助同一个交换网内的交换成员之间分发、传播和注册某种信息(如VLAN、组播地址等)。GARP本身不作为一个实体存在于交换机中,遵循GARP协议的应用实体称为GARP应用,目前主要的GARP应用为GVRP和GMRP。当GARP应用实体存在于交换机的某个端口上时,该端口对应于一个GARP应用实体。,GARP定时器,GARP成员之间的信息交换借助于消息完成,GARP起主要作用的消息类型有三类,分别为Join、Leave和LeaveAll。Garp Jo

36、in Time:20 centiseconds Garp Leave Time:60 centiseconds Garp LeaveAll Time:1000 centiseconds Garp Hold Time:10 centiseconds,GMRP&GVRP,GMRP(GARP Multicast Registration Protocol)GARP 组播注册协议 GMRP 是通用属性注册协议 GARP 的一种应用,主要提供一种类似于 IGMP snooping 技术的强制组播扩散功能。GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议

37、)是GARP的一种应用,它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。,GARP工作流程,属性声明和注册,属性声明和注册,GARP报文,上图:GARP模型右图:GARP工作过程,a:表示某个需要注册的属性A:对这个属性的声明,属性会通过GARP“声明注册声明”的过程传播到整个网络中,GVRP裁剪,A,B,A,B,GVRP实体,GVRP实体,trunk,trunk,由于对端只有VLAN 1,GVRP协议配置该Trunk链路只传送VLAN 1的报文,对端新增VLAN 2,GVRP协议动态注册VLAN 2信息,同时配置Trunk 链路允许传送VLAN 2

38、的报文,C,C,GVRP实体,trunk,GVRP实体,trunk,VLAN 1,VLAN 2,VLAN 1,VLAN 1,VLAN 2,VLAN 1,VLAN 2,GVRP 与 VTP的区别,GVRP:GVRP是公有协议。能够被所有的厂商所支持。GVRP只能实现简单的VLAN信息同步的功能。GVRP只能同步VLAN编号,不能同步VLAN的名称。VTP:VTP是cisco私有的协议,不能被其它厂商所支持。(我们不支持VTP)VTP在实现VLAN信息同步信息的基础上,还可以实现很多其它的功能。例如常用的VTP域认证密码等功能。VTP不但可以同步VLAN编号,还可以同步VLAN的名称。,配置举例,

39、通过GVRP的配置使两边的VLAN 2能够互相通信,交换机的相关配置,Switch_config#gvrp全局启动GVRP Switch_config#interface fastEthernet 0/24 Switch_config_f0/24#switchport mode trunk Switch_config_f0/24#gvrp接口启动GVRP,并且把这个上联口作为Trunk,查看VLAN配置状态,SwitchB#show vlanVLAN Status Name Ports-1 Static Default F0/1,F0/2,F0/3,F0/4,F0/5 F0/6,F0/7,F0

40、/8,F0/9,F0/10 F0/11,F0/12,F0/13,F0/14,F0/15 F0/16,F0/17,F0/18,F0/19,F0/20 F0/21,F0/22,F0/23,F0/242 Dynamic VLAN0002 F0/1,F0/24,查看动态VLAN,SwitchB_config#show vlan id 2VLAN id:2,Name:VLAN0002Mode:Dynamic,Total Ports:2Interface AtttributesF0/1 Trunk,TaggedF0/24 Trunk,Tagged,相关的debug信息,Switch#debug gvrp eventSwitch_config#vlan 2GVRP msg:GARP_SYNC_PORT_EVENTGVRP msg:GVRP_L2_CALLBACK_RECEIVE_EVENT,port 24(F0/24),l2cp 74378456GVRP Join indication:port 24,gid_index 0(vlan 2)GVRP msg:GVRP_VLAN_CHANGE_EVENT,vlan 2(add),Thank You!,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号