《第6讲_华为交换机VLAN配置课件》由会员分享,可在线阅读,更多相关《第6讲_华为交换机VLAN配置课件(64页珍藏版)》请在金锄头文库上搜索。
1、2020/7/21,武夷学院计算机系,1,华为交换机VLAN配置,cch,2020/7/21,武夷学院计算机系,2,内容简介,本讲主要 一、介绍VLAN的基本含义与分类,并介绍了VLAN的实现原理与应用,在最后给出了一个具体的配置实例。 2、isolate-user-vlan (PVLAN) 配置,2020/7/21,武夷学院计算机系,3,学习目标,801.1Q 协议与VLAN VLAN的分类 VLAN的优点 VLAN的原理 实例,2020/7/21,武夷学院计算机系,4,801.1Q 协议与VLAN VLAN的分类 VLAN的优点 VLAN的原理 实例 isolate-user-vlan (
2、PVLAN) 配置,2020/7/21,武夷学院计算机系,5,一、801.1Q 协议与VLAN,802.1Q协议,即Virtual Bridged Local Area Networks(虚拟桥局域网络)协议,主要规定了VLAN的实现,下面我们首先讲述一下有关VLAN的基本观念。,2020/7/21,武夷学院计算机系,6,VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。 VLAN技术允许网络管理者将一个
3、物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段。,2020/7/21,武夷学院计算机系,7,VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中, 从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性 。,2020/7/21,武夷学院计算机系,8,以前,各个厂商都声称他们的交换机实现了VLAN,但各个厂商实现的方法都不相同,所以彼此是无法互连,这样,用户
4、一旦买了某个厂商的交换机,就没办法买其他厂商的了。而现在,VLAN的标准是IEEE 提出的802.1Q协议,只有支持相同的开放标准才能保证网络的互连互通,以及保护网络设备投资。,2020/7/21,武夷学院计算机系,9,801.1Q 协议与VLAN VLAN的分类 VLAN的优点 VLAN的原理 实例 isolate-user-vlan (PVLAN) 配置,2020/7/21,武夷学院计算机系,10,1、根据端口划分VLAN,这种划分VLAN的方法是根据以太网交换机的端口来划分,比如S2016的14端口为VLAN 1,58为VLAN 2,916为VLAN 3,当然,这些属于同一VLAN的端口
5、可以不连续,如何配置,由管理员决定,如果有多个交换机的话,例如,可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。,2020/7/21,武夷学院计算机系,11,优点与缺点,优点:定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。 缺点:是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。,2020/7/21,武夷学院计算机系,12,2、根据MAC地址划分VLAN,
6、这种划分VLAN的方法是根据每个主机的 MAC地址来划分,即对每个MAC地址的 主机都配置他属于哪个组。,2020/7/21,武夷学院计算机系,13,优点与缺点,优点:就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN, 缺点:是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这
7、样,VLAN就必须不停的配置。,2020/7/21,武夷学院计算机系,14,3、根据网络层划分VLAN,这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法可能是根据网络地址,比如IP地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF(开放最短路优先)等路由协议,而是根据生成树算法进行桥交换,2020/7/21,武夷学院计算机系,15,优点与缺点,优点:是用户的物理位置改变了,不需要重新配置他所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种
8、方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。 缺点:是效率低,因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这也跟各个厂商的实现方法有关。,2020/7/21,武夷学院计算机系,16,4、IP组播作为VLAN,IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组
9、播,有二层组播协议GMRP。,2020/7/21,武夷学院计算机系,17,小结,通过上面可以看出,各种不同的VLAN定义方法有各自的优缺点,所以,很多厂商的交换机都实现了不只一种方法,这样,网络管理者可以根据自己的实际需要进行选择,另外,许多厂商在实现VLAN的时候,考虑到VLAN配置的复杂性,还提供了一定程度的自动配置和方便的网络管理工具。,2020/7/21,武夷学院计算机系,18,801.1Q 协议与VLAN VLAN的分类 VLAN的优点 VLAN的原理 实例 isolate-user-vlan (PVLAN) 配置,2020/7/21,武夷学院计算机系,19,1、减少移动和改变的代价
10、,即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点。,2020/7/21,武夷学院计算机系,20,2、虚拟工作组,VLAN的最具雄心的目标就是建立虚拟工作组模型,例如,在校园网中,同一个系的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人,一个人如果从一个办公地点换到另外一个地
11、点,而他仍然在该系,那么,他的配置无须改变,同时,如果一个人虽然办公地点没有变,但他换了一个系,那么,只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个远大的目标,要实现它,还需要一些其他包括管理等方面的支持。,2020/7/21,武夷学院计算机系,21,3、限制广播包,按照802.1D透明网桥的算法,如果一个数据包找不到路由,那么交换机就会将该数据包向所有的其他端口发送,这就是桥的广播方式的转发,这样的结果,毫无疑问极大的浪费了带宽,如果配置了VLAN,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交
12、换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。,2020/7/21,武夷学院计算机系,22,4、安全性,由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。,2020/7/21,武夷学院计算机系,23,801.1Q 协议与VLAN VLAN的分类 VLAN的优点 VLAN的原理 实例 isolate-user-vlan (PVLAN) 配置,2020/7/21,武夷学院计算机系,24,一、VLAN与WAN(
13、广域网),理论上,VLAN可以扩展到WAN上,但是,这是不明智的做法,因为VLAN允许广播包发送出去,而且它没有很好的路由算法,经常是以广播的形式转发数据包,这样,毫无疑问,极大地浪费了WAN的宝贵的带宽,所以说,将基于端口的MAC地址和网络地址的VLAN扩展到WAN是不合理的,而基于多播的VLAN概念则可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN,个别的会实现基于MAC地址和网络层地址的VLAN,而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。,2020/7/21,武夷学院计算机系,25,二、802.1Q协议定义了基于端口的VLAN的原理,80
14、2.1Q协议定义了基于端口的VLAN模型,这是使用得最多的一种方式。下面我们重点讲述一下交换机芯片是如何实现VLAN的。,2020/7/21,武夷学院计算机系,26,标准以太网帧与802.1Q帧,每一个支持802.1Q协议的主机,在发送数据包时,都在原来的以太网帧头中的源地址后增加了一个4字节的802.1Q帧头,之后接原来以太网的长度或类型域。,2020/7/21,武夷学院计算机系,27,各位解释,802.1Q标签头包含了2个字节的标签协议标识(TPID-Tag Protocol Identifier,它的值是8100) 。 Priority:这3 位指明帧的优先级。一共有8种优先级,主要用于
15、当交换机阻塞时,优先发送哪个数据包。,2020/7/21,武夷学院计算机系,28,各位解释,Canonical Format Indicator( cfi ):这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式 。 LAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的主机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。所以最多支持4K 个VLAN。,2020/7/21,武夷学院计算机系,29,三、802.1Q帧的识别问题,802.1Q标签头的4 个字节是新增加的,目前我们使用的计算
16、机并不支持802.1Q,即我们计算机发送出去的数据包的以太网帧头还不包含这4个字节,同时也无法识别这4个字节,将来会有软件和硬件支持802.1Q协议的。,2020/7/21,武夷学院计算机系,30,Tag Aware端口与Access端口,对于交换机来说,如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包,那么我们把这种端口称为Tag Aware(标签支持) 端口;相反,如果该交换机端口说连接的以太网段有只要有一台主机不支持这种以太网帧头,那么交换机的这个端口我们称为Access端口,从目前的情况可以看出,所有的交换机的端口都属于后一种。,2020/7/21,武夷学院计算机系,31,交换机是如何支持VLAN的呢?,1、接收过程:该过程负责接收数据包,数据包可以是带标签头的,也可以不带标签头,如果不带,交换机会知道根据该端口所属的VLAN添加上相应的标签头。 2、查找/路由过程:该过程根据数据包的目的MAC地址、VLAN 标识已经数据库中注册的信息决定把数据包发送到哪个端口。 3、发送过程:将数据包发
