《《计算机网络工程》第4章网络的互联.ppt》由会员分享,可在线阅读,更多相关《《计算机网络工程》第4章网络的互联.ppt(49页珍藏版)》请在三一办公上搜索。
1、4.3VLAN、DHCP、NAT,第4章网络的互联(TCP/IP),2,VLAN,通过主干,LAN 被分隔为连接的工作组,来形成 VLAN 拓朴。VLAN 逻辑上将物理 LAN 结构分隔为不同的子网络(或是以太网络的广播域)。广播帧只会在相同 VLAN 之间的端口做交换最初 VLAN 提供端口对应的功能,在设备的默认组之间建立一个广播域。目前的网络设备会要求 VLAN 涵盖整个网络的功能。这个 VLAN 的方法 允许我们将网络中被地理位置分隔的用户,分成若干个组的虚拟拓朴。VLAN 设置将用户依照逻辑联系组成群,而不是物理位置,3,VLAN,4,传统的LAN,传统的LAN会依照连接的物理结构来
2、设定。使用者依照连接集线器插入的位置以及缆线如何连接分线箱来进行分组目前安装的大部分网络只能提供十分有限的逻辑区段。用户通常根据与共享式集线器及集线器之间的路由器端口的连接来组成群。这个拓朴只提供在不同集线器(一般位于不同的楼层)之间的区段,而不是在连接到相同集线器的用户之间的区段。这会给网络带来实际的限制,而且会限制用户可以组成群的方式。有少数的共享式集线器结构拥有一些组成群的功能,但是会限制设定逻辑定义工作组的方式,5,传统LAN vs VLAN,6,VLAN的特点,在使用 LAN 交换式设备的 LAN 中,VLAN 拓扑是一个非常有经济效益与效率的方式。它将网络用户组成虚拟工作组,而不用
3、顾虑物理的网络位置VLAN在OSI参考模型的第2层与第3层中运作 VLAN之间的通讯由第3层路由所提供 VLAN提供一种控制网络广播的方法网络管理员将用户指定到VLAN VLAN可以通过定义哪一个网络节点可以与其它节点通讯来增加网络安全性,7,VLAN的分组,使用VLAN技术,你可以将交换端口与连接的用户定义为逻辑工作组,例如:在同一部门共同工作者 功能交叉的生产组 不同的用户组分享相同的网络应用程序或软件可以将这些端口与用户在单一的交换机或连接的交换机上分组为工作组。利用通过多个交换机将端口与用户组成群的方式,VLAN 可以扩充单一的建筑结构、相互连接的建筑、甚至是广域网络(WAN),8,V
4、LAN的分组,9,VLAN的主干传输,对任何 VLAN 结构而言,重要的是要有能力在位于企业主干互相连接的交换机与路由器中传输 VLAN 信息。这些传输的能力包括:消除使用者之间的物理边界 当使用者移动后,增加 VLAN 解决方案的配置的灵活性 提供主干系统之间的互操作性的机制,10,VLAN的主干传输,主干网络通常扮演大量流量的收集点。同时它会传输最终用户 VLAN 的信息,以及位于交换机、路由器与直接连接的服务器的识别信息在主干网络中,高带宽、高容量链接通常会被选来传送遍及整个企业的流量,11,路由器和VLAN,路由器传统的角色是提供挡火墙、广播管理以及路径处理与转发。当 VLAN 交换机
5、处理一些这样的工作,路由器在 VLAN 结构中仍然很重要,因为它们在不同 VLAN 之间提供连接路由器也连接网路的其它部份,可能是多个传统子网络通路的逻辑区段,或是需要通过广域链接访问的网站第3层通讯是任何高效能交换式结构不可缺少的部分,可能内嵌于交换机中或是由外部提供,12,路由器和VLAN,可以使用一个或多个高速的主干网络连接,将经济、有效的综合外部路由器结合到交换式结构中。这些连接通常是高速以太网或是ATM连接,并且它们提供以下的优点:增加交换机与路由器之间的吞吐量巩固加强 VLAN 之间,需要通讯的所有物理路由器的端口 VLAN 结构不只提供逻辑区段,如果仔细的规划,也可以大量的增进网
6、络的效率,13,交换机和VLAN,交换机是VLAN通讯核心组件中的一个。根据网络管理员所定义的VLAN权值,每个交换机都可以智能作出过滤与转发帧的决定交换机也可以把这个信息与网络中其它交换机与路由器做通讯,14,交换机和VLAN,将用户逻辑划分成组,在VLAN标识,最普遍的方式是帧过滤与帧识别 frame filteringframe identification(frame tagging)这二个技术在交换机接收与转送时会寻找帧,15,交换机和VLAN,根据由管理员定义的规则设定,这些技术会决定帧要转发、过滤或广播到哪里这些控制机制可以被集中管理(利用网络管理软件)并且可以轻易的在网络中完成
7、,16,帧过滤,帧过滤会测试关于每个帧的特殊信息。依照 LAN 交换机的复杂性,可以根据工作站的MAC地址或网络层协议类型来组成群用户交换机会比较表格条目与需要过滤的帧,并且会根据条目做出适当的动作,17,帧标签,在早期,VLAN 是以过滤为基础,并且根据过滤表来组成用户群。这个模型的扩展能力并不好,因为每个帧都必须参考过滤表另一方面,帧标签会指定唯一的 VLAN ID 给每个帧。交换机管理员会指定 VLAN ID 到交换机设置中的每个 VLAN。这个技术由(IEEE)标准组根据它的扩展能力所选取帧标签正在取得认可以便成为标准的Trunk机制;与帧过滤相较之下,它可以提供更能扩展 VLAN 的
8、解决方案,并可在全园区内实现IEEE 802.1q 说明帧标签是执行 VLAN 的方法,18,帧标签,VLAN 帧标签是一个特别开发用来指定发展交换式通讯的方式。在传送到整个网络主干时,帧标签会在每个帧的表头中放置一个唯一识别码。识别码在广播或转发到其它交换机、路由器或终端站设备之前,会被交换机解析与测试。当帧存在于网络主干中,在帧转发至目标终端站之前,交换机会先移除识别码。帧识别在第 2 层发生作用,而且只需要少量的处理或管理负担,19,有利于新增、移动和变更,VLAN 比传统使用配线间的 LAN 式技术有明显的增进,因为它们对于重新布线、设置与除错的需求较少。路由器的设置是完全不改变的,当
9、用户只是简单的从一个位置移动到另一个位置时,如果保持在相同的 VLAN 中,就不需要在路由器中建立任何设置修改。,20,有利于控制广播,21,有利于网络安全,22,有利于节约资金,23,VLAN的实现,VLAN 形成一个交换式网络,利用功能、项目团队或应用程序进行逻辑分段,并不用考虑使用者的物理位置每个交换端口都可以指定为 VLAN指定为相同 VLAN 的连接端口会分享广播不属于这个 VLAN 的连接端口不会分享这些广播,这会增进网络的整体效能,24,基于端口的VLAN,在基于端口的 VLAN 中,所有在同一个VLAN 中连接到端口的节点都会被指定相同的 VLAN ID。图形显示依照连接端口
10、VLAN 的成员,这会使管理员的工作更加容易而且网络更有效率,因为:用户依照端口来指定 VLAN 会易于管理提供 VLAN 之间增强的安全性 数据报并不会泄漏到其它领域中,25,基于端口的VLAN,26,静态 VLAN,静态指定VLAN到交换机的端口这些连接端口会维护指定的 VLAN 设置,直到您改变它虽然静态VLAN 需要管理员去改变,但它们安全、容易设定,而且可以直接监控静态 VLAN 在网络中会很好的工作,此网络可以控制与管理它们的移动,27,静态 VLAN,28,动态VLAN,在动态 VLAN中,交换机的端口可以自动设定VLAN动态 VLAN 的功能是以 MAC 地址、逻辑寻址或数据报
11、的协议类型为基础,当工作站一开始连接到未指定的交换端口时,正确的交换机会检查 VLAN 管理数据库中的 MAC 地址条目,并且动态的设定连接端口和对应的 VLAN 设置这个方法主要的优点是当用户新增或移动时,可以减少配线间中的管理工作;而且当未被辨识的使用者加入网络时,可以访问集中的通知。一般而言,若要直接设定 VLAN 管理软件中的数据库以及维护所有网络用户的数据库,则需要较多的管理,29,动态VLAN,30,DHCP,动态主机配置协议(Dynamic host configuration protocol,DHCP)提供了动态配置IP地址的机制。DHCP协议是一种简化主机IP配置管理的TC
12、P/IP标准,用于减少网络客户机IP地址配置的复杂度和管理开销。DHCP服务允许网络中一台计算机作为DHCP服务器并配置用户网络中启用DHCP的客户计算机。DHCP在服务器上运行,能够自动集中管理网络上的IP地址和用户网络中客户计算机所配置的其他TCP/IP设置除了动态提供IP地址外,DHCP也提供子网掩码、默认路由器IP地址和域名服务器IP地址等配置信息。,31,DHCP的C/S模式,在网络中,管理员可建立一个或多个维护TCP/IP配置信息并将其提供给客户机的DHCP服务器。服务器数据库包含以下信息:网络上所有客户机的有效配置参数在指派到客户机的地址池中维护的有效IP地址,以及用于手工指派的
13、保留地址服务器提供的租约持续时间,32,DHCP的概念,DHCP客户机:任何启用DHCP设置的计算机。作用域:一个网络完整连续的可能IP地址范围。DHCP服务可以提供给作用域,典型地定义网络上的一个单一物理子网。排除范围:作用域内从DHCP服务中排除的有限IP的序列。地址池:作用域中应用排除范围之后,剩下的可用IP就可以组成地址池。,33,DHCP的概念,租约:由DHCP服务器指定的、客户计算机可以使用动态分配的IP地址的时间。保留:创建从DHCP服务器到客户机的永久地址租约指定。选项类型:DHCP服务器向客户机提供IP地址租约时可以指定的其他客户机配置参数。选项类别:DHCP服务用于进一步管
14、理提供给客户机的选项类型的方法。,34,DHCP的工作原理,DHCP主要由DHCP客户机、DHCP服务器和DHCP数据库3种角色组成。DHCP客户机,是安装并启用DHCP客户机软件的计算机。DHCP服务器是安装了DHCP服务器软件的计算机,可以向DHCP客户机分配IP地址IP地址的分配有两种方式:自动分配:DHCP客户机从服务器租借到IP地址后,该地址就永久地归该客户机使用,即永久租用,适合IP地址资源丰富的网络。动态分配:DHCP客户机从服务器租借到IP地址后,在租约有效期内归该客户机使用。一旦租约到期,IP地址将回收DHCP服务器上的数据存储了DHCP服务配置的各种信息。,35,DHCP的
15、工作原理,DHCP客户机发送IP租用请求DHCP服务器提供IP地址 DHCP客户机进行IP租用选择 DHCP服务器IP租用认可,36,DHCP的配置,ip dhcp excluded-address 172.16.1.100 172.16.1.103 ip dhcpip dhcp pool 100Default-router 172.16.0.1 domain-name dns,37,NAT,随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力接入Internet成为当今信息业最为迫切的需求IP地址的限制许多局域网在未联入Internet之前,就已经运行许多年了,局域网上有了许多现
16、成的资源和应用程序,但它的IP地址分配不符合Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳神费时的工作随着Internet的膨胀式发展,其可用的IP地址越来越少,要想在ISP处申请一个新的IP地址已不是很容易的事了,38,NAT,NAT(网络地址翻译)能解决不少令人头疼的问题在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。具体的做法是把IP包内的地址池(内部本地)用合法的IP地址段(内部全局)来替换。,39,NAT,40,NAT的功能,内部网络地址转换复用内部的全局地址TCP 负载均衡解决网络地址重叠内部本地地址:私有IP
17、,不能直接用于互连网。内部全局地址用来代替内部本地IP地址的,对外,或在互联网上是合法的的IP地址。,41,NAT的功能,42,地址复用,将一个内部全局地址用于同时代表多个内部局部地址。主要用IP地址和端口号的组合来唯一区分各个内部主机。,43,TCP负载均衡,44,NAT的类型,NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成 外部网络中的某个合法的地址。多用于服务器。NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。多用于网络中的工作站。PA
18、T则是把内部地址映射到外部网络的一个IP地址的不同端口上。,45,NAT的配置,46,NAT的配置,使用静态NAT实现没有路由可达性的内网FTP服务器()和外网上的主机之间的双向连通interface Ethernet0ipip nat inside(指定内部接口)!interface Serial0 ip ip nat outside(指定外部接口)!ip nat(建立两个IP地址之间的静态映射)ip classlessip route 0.0.0.0,47,动态NAT的配置,ip nat pool dyn-nat 192.168.2.1 192.168.2.254 netmaskip nat inside source list 1 pool dyn-nat!interface Ethernet0 ip ip nat inside!interface Serial0 ip ip nat outside!,48,NAT的对应表,49,NAT的错误排查,
