《IT架构设计和VLAN技术分享.ppt》由会员分享,可在线阅读,更多相关《IT架构设计和VLAN技术分享.ppt(75页珍藏版)》请在三一办公上搜索。
1、IT架构设计和VLAN技术分享,Sep,2011 人力资源部信息处 王俊,一、基础网络规划设计二、VLAN技术三、VLAN配置实验,层次化的网络模型,核心层网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。推荐:S9500E/S7500E,能够提供大容量的转发能力,丰富的业务扩展性。汇聚层对接入设备进行初步的汇聚,应该能够承载企业园区的多种融合业务。推荐:S7500E/S5800/S5500,能够提供丰富的业务扩展能力,可以在汇聚层实现初步的业务管理。接入层提供网络的第一级接入功能,完成简单的二、三层交换,能够提供相应的安全、QoS等业务能力。推荐:
2、S5100/S3100,可以提供高密度的千兆/百兆接入能力,同时支持arp防攻击等安全业务的部署。,.,核心层,汇聚层,接入层,采用层次化、模块化的网络设计结构,通过接入、汇聚、核心三层的组网模式,不同层次关注不同的特性配置。,.,CCNA 模型一,模型一适用于不超过100个节点的小型网络。思科交换机推荐型号:汇聚层交换机:Cisco Catalyst 3750-X Series Switches接入层交换机:Cisco Catalyst 2960 Series SwitchesH3C交换机推荐型号:汇聚层交换机:H3C S5500系列以太网交换机接入层交换机:H3C S3100 系列以太网交
3、换机或H3C S1626-PWR,CCNA 模型二,思科交换机推荐型号:汇聚层交换机:Cisco Catalyst 4500E Series Switches接入层交换机:Cisco Catalyst 2960 Series SwitchesH3C交换机推荐型号:汇聚层交换机:H3C S7500E系列以太网交换机接入层交换机:H3C S3100 系列以太网交换机,CCNP 模型一,CCNP 模型二,CCIE 模型,H3C交换机产品选型和定位,VLAN技术内容介绍,第1章 VLAN概述第2章 VLAN的配置与实现 第3章 以太网链路聚合第4章 VLAN路由,第1章 VLAN概述1.1 VLAN的
4、产生原因1.2 VLAN的划分方法,内容介绍,广 播 域,VLAN的产生原因广播风暴,广播,广播域,广播域,通过路由器将网络分段,广播,广播域,广播域,通过VLAN划分广播域,广播,Port 1:VLAN-1,Port 2:VLAN-2,VLAN的优点,相对与传统的LAN技术,VLAN具有如下优势:隔离广播域,抑制广播报文.减少移动和改变的代价创建虚拟工作组,超越传统网络的工作方式增强通讯的安全性增强网络的健壮性,第1章 VLAN概述1.1 VLAN的产生原因1.2 VLAN的划分方法,内容介绍,VLAN的划分方法基于端口的VLAN,主机A,主机B,主机C,主机D,VLAN表,Port 1,P
5、ort 2,Port 7,Port 10,VLAN的划分方法 基于MAC地址的VLAN,VLAN表,主机A,主机B,主机C,主机D,VLAN的划分方法基于协议的VLAN,VLAN表,主机A,主机B,主机C,主机D,VLAN的划分方法基于子网的VLAN,VLAN表,主机A,主机B,主机C,主机D,小结,VLAN的优点?VLAN的划分方法?,第1章 VLAN概述第2章 VLAN的配置与实现 第3章 以太网链路聚合第4章 VLAN路由,内容介绍,第2章 VLAN的配置与实现 2.1 VLAN链路类型2.2 VLAN标签2.3 VLAN数据转发,内容介绍,VLAN的可跨越性,VLAN3,VLAN5,V
6、LAN3,VLAN5,VLAN数据可以跨越多台交换机被转递,SWA,SWB,VLAN的链路类型,接入链路Access-Link,干道链路Trunk-Link,SWA,SWB,以太网交换机的端口分类,Access端口:一般用于接用户计算机的端口,access端口只能属于1个VLAN。Trunk端口:一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。Hybrid端口:可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。,端口的缺省ID(PVID),Access端口只属于一个VLA
7、N,所以它的缺省ID就是它所在的VLAN,不用设置。Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID,缺省情况下为VLAN 1。,Access-Link配置,默认情况下,交换机所有端口都是Access-Link端口,并属于VLAN-1,即PVID(Port VLAN ID)为1,Port-0/1:VLAN-3,Port-0/2:VLAN-5,配置端口类型Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2port link-type access创建VLAN,并向VLAN中添加端口Switchvlan
8、 3Switch-vlan1port ethernet 0/1Switchvlan 5Switch-vlan2port ethernet 0/2另外的一种向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vlan 5,SWA,Trunk-Link配置,负责传输多个VLAN的数据Trunk-Link端口PVID默认为1,配置端口类型Switch-Ethernet0/3port link-type trunk配置Trunk-Link所允许传递的VLANSwitch-Ethernet0/3po
9、rt trunk permit vlan all配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1,SWA,SWB,第2章 VLAN的配置与实现 2.1 VLAN链路类型2.2 VLAN标签2.3 VLAN数据转发,内容介绍,IEEE802.1Q概述,VLAN架构,VLAN提供的服务,VLAN涉及的协议和算法,IEEE 802.1Q,VLAN的帧格式,标准以太网帧,带有IEEE802.1Q标记的以太网帧,第2章 VLAN的配置与实现 2.1 VLAN链路类型2.2 VLAN标签2.3 VLAN数据转发,内容介绍,802.1Q的转
10、发原则Access-Link,当Access端口收到帧时如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,交换机不作处理,直接丢弃。当Access端口发送帧时剥离802.1Q tag header,发出的帧为普通以太网帧,Trunk,802.1Q的转发原则Trunk-Link,当Trunk端口收到帧时如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。当Trunk端口发送帧时当该帧的VLAN ID与端口的PVID不同时,直接透传;当该帧的VLAN
11、ID与端口的PVID相同时,则剥离802.1Q tag header,发送方向,Trunk,802.1Q的转发原则Hybird-Link,当Hybird端口收到帧时如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,则不改变。当Hybird端口发送帧时判断VLAN在本端口的属性。用“dis interface”可看到该端口对哪些 VLAN是untag,哪些VLAN是tag,如果是untag则剥离802.1Q tag header 再发送,如果是tag则直接透传。,VLAN-2,帧在网络通信中的变化,SWA,SWB,VLAN 2
12、,交换机单播报文转发机制,交换机的报文转发机制分两种:SVL和IVLSVL:Shared VLAN learning,共享式VLAN学习。在这种方式下,MAC地址在整张表中是唯一的,一个MAC地址在地址表中只能有一条记录,一个MAC只能被学习到一个端口上。IVL:Independent VLAN learning,独立式VLAN学习。在这种方式下,MAC地址表在逻辑上可以被看成根据VLAN信息分成了很多张表,一个MAC地址可学习到不同VLAN对应的“地址表”上。,小结,VLAN的端口分类有多少种?VLAN数据帧与标准以太网数据帧有什么区别?当Trunk端口收到一个没有打标签的数据帧时会怎么办?
13、,第1章 VLAN概述第2章 VLAN的配置与实现 第3章 以太网链路聚合第4章 VLAN路由,内容介绍,第3章 以太网链路聚合3.1 链路聚合的基本概念3.2 LACP3.3 链路聚合的方式,内容介绍,链路聚合(Link Aggregation),也称为端口捆绑、端口聚集或链路聚集,链路聚合是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担。从外面看起来,1个汇聚组好象就是1个端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路链路聚合在数据链路层上实现,链路聚合的概念,链路聚合的基本概念,链路聚合的基本概念,提高链路带宽流量负荷分担提高可靠性:
14、同组成员彼此动态备份,链路聚合的优点,traffic,聚合链路两端的物理参数必须保持一致进行聚合的链路的数目 进行聚合的链路的速率 进行聚合的链路的双工方式 聚合链路两端的逻辑参数必须保持一致同一个汇聚组中端口的基本配置必须保持一致,基本配置主要包括STP、QoS、VLAN、端口等相关配置,链路聚合的限制条件,链路聚合的基本概念,第3章 以太网链路聚合3.1 链路聚合的基本概念3.2 LACP3.3 链路聚合的方式,内容介绍,LACP:Link Aggregation Control Protocol,链路聚合控制协议(IEEE802.3ad)。为交换数据的设备提供一种标准的协商方式,供系统根
15、据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成后,负责维护链路状态,在聚合条件发生变化时,自动调整或解散链路聚合。,LACP,LACP,LACP,LACP报文结构,系统通过交换协议报文实现自协商,报文中包含本系统的配置和当前状态协议报文分事件触发和周期发送两种发送方式:事件触发本端状态或配置变化等事件引发新协议报文的产生和发送周期发送聚合链路稳定工作时,系统间定时发送当前状态以维护聚合协议报文不带编号,因此双方不采用检测和重发丢失的协议报文,而是用定时器和周期发送机制来避免信息丢失慢速协议:平均每秒发送的协议报文不超过5个,LACP,协议特征,操作Key是在链路聚合时,LACP
16、协议根据端口的配置(即速率、双工、基本配置、管理Key)生成的一个配置组合聚合关心的端口配置主要有:端口速率端口双工特性端口的硬件限制端口的基本配置,包括VLAN,ACL,QOS,RSTP,MSTP,GVRP等端口的KEY值包含在LACP报文中,参与聚合组的选择。,LACP,KEY值计算,第3章 以太网链路聚合3.1 链路聚合的基本概念3.2 LACP3.3 链路聚合的方式,内容介绍,手工聚合用户配置聚合组号和端口成员,端口不运行LACP静态聚合用户配置聚合聚合组号和端口成员,端口运行LACP动态聚合基于IEEE802.3ad的LACP聚合组号根据协议自动创建聚合端口根据key值自动匹配添加,
17、链路聚合的方式,聚合方式,以下这些端口不能加入聚合组:镜像的监控端口镜像的目的端口配置了静态MAC地址的端口配置了静态ARP的端口使能802.1x的端口POS端口VPN端口等,链路聚合的方式,不能加入聚合组的端口,端口镜像的作用和分类链路聚合的原理和聚合类型,小结,第1章 VLAN概述第2章 VLAN的配置与实现 第3章 以太网链路聚合第4章 VLAN路由,内容介绍,第4章 VLAN路由4.1 VLAN 路由原理4.2 VLAN路由配置与实现,内容介绍,VLAN的缺点,VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。,Port 1,P
18、ort 2,VLAN互通的实现每个VLAN一个物理连接,在二层交换机上配置VLAN,每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。,VLAN 100,VLAN 300,Ethernet2,Ethernet0,VLAN 200,Ethernet1,VLAN互通的实现使用VLAN Trunking,二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking,使多个VLAN共享同一条物理连接到路由,VLAN 100,VLAN 300,VLAN 200,Trunk,Ethernet0.300,Ethernet0.200,Ethernet0.100,VLAN互通的实现交换
19、和路由的集成,二层交换机和路由器在功能上的集成构成了三层交换机,三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。,VLAN 300,二层交换机,三层交换机,三层交换机功能模型,VLAN100,VLAN200,VLAN300,第4章 VLAN路由4.1 VLAN 路由原理4.2 VLAN路由配置与实现,内容介绍,单臂路由配置交换机配置,SWAvlan 100SWA-vlan100port ethernet 0/1SWAvlan 200SWA-vlan200port ethernet 0/2SWAinterface ethernet 0/24SWA-Ether
20、net0/24port link-type trunkSWA-Ethernet0/24port trunk permit vlan all,单臂路由配置路由器配置,RTAinterface ethernet 0/1.1RTA-Ethernet0/1.1vlan dot1q vid 100RTAinterface ethernet 0.1/2RTA-Ethernet0/1.2vlan dot1q vid 200,三层交换机配置,VLAN 100,VLAN 200,Port 2,Port 1,SWA,三层交换机配置交换机配置,SWA,SWAinterface vlan-interface 100S
21、WAinterface vlan-interface 200,创建VLAN三层接口,小结,VLAN路由的目的是什么?实现VLAN间的通信有多少种方法?,VLAN配置实验,组网需求某企业有很多部门,要求业务相同部门之间的员工可以互相访问,业务不同部门之间的员工不能互相访问。如图1-4 所示,现需要实现:l 部门1、部门2 与部门3、部门4 互相隔离。l 部门1 与部门2 可以互相访问。l 部门3 与部门4 可以互相访问。图1-4 配置基于接口划分VLAN 组网图GE0/0/1GE0/0/2 GE0/0/3GE0/0/4Group 2VLAN 3Switch,配置基于接口划分VLAN组网图,配置思
22、路采用如下的思路配置VLAN:1.创建VLAN,规划员工所属的VLAN。2.配置端口属性,确定设备连接对象。3.关联端口和VLAN,将连接部门1 和部门2 的交换机端口划分到VLAN2,将连接部门3 和部门4 的交换机端口划分到VLAN3,隔离部门1、部门2 和部门3、部门4 间的访问。数据准备为完成此配置例,需准备如下的数据:l 接口GigabitEthernet0/0/1、GigabitEthernet0/0/2 属于VLAN2。l 接口GigabitEthernet0/0/3、GigabitEthernet0/0/4 属于VLAN3,步骤1 配置Switch#创建VLAN2。system
23、-viewQuidway vlan 2Quidway-vlan2 quit#将接口GigabitEthernet0/0/1 的类型为Trunk,并加入到VLAN2 中。Quidway interface gigabitethernet 0/0/1Quidway-GigabitEthernet0/0/1 port link-type trunkQuidway-GigabitEthernet0/0/1 port trunk allow-pass vlan 2Quidway-GigabitEthernet0/0/1 quit#配置接口GigabitEthernet0/0/2 的类型为Trunk,并加
24、入到VLAN2 中。Quidwayinterface gigabitethernet 0/0/2Quidway-GigabitEthernet0/0/2 port link-type trunkQuidway-GigabitEthernet0/0/2 port trunk allow-pass vlan 2Quidway-GigabitEthernet0/0/2 quit,#创建VLAN3。Quidway vlan 3Quidway-vlan3 quit#配置接口GigabitEthernet0/0/3 的类型为Trunk,并加入到VLAN3 中。Quidway interface gigab
25、itethernet 0/0/3Quidway-GigabitEthernet0/0/3 port link-type trunkQuidway-GigabitEthernet0/0/3 port trunk allow-pass vlan 3Quidway-GigabitEthernet0/0/3 quit#将接口GigabitEthernet0/0/4 的类型为Trunk,并加入到VLAN3 中。Quidway interface gigabitethernet 0/0/4Quidway-GigabitEthernet0/0/4 port link-type trunkQuidway-GigabitEthernet0/0/4 port trunk allow-pass vlan 3Quidway-GigabitEthernet0/0/4 quit,步骤2 验证配置结果部门1、部门2 所属的VLAN2 内的任一台主机ping 部门3、部门4 所属的VLAN3 内的任一台主机,无法ping 通,证明部门1、部门2 与部门3、部门4 已实现隔离。部门1 的任一台主机ping 部门2 的任一台主机,能ping 通,证明部门1 与部门2 已实现互通。部门3 的任一台主机ping 部门4 的任一台主机,能ping 通,证明部门3 与部门4 已实现互通。-结束,
