收藏
下载资源

[精选]控制园区网中的广播流量VLAN技术

上传人:我**** 文档编号:173943198 上传时间:2021-03-15 格式:PPTX 页数:35 大小:686.43KB
返回 下载 相关 举报
[精选]控制园区网中的广播流量VLAN技术_第1页
第1页 / 共35页
[精选]控制园区网中的广播流量VLAN技术_第2页
第2页 / 共35页
[精选]控制园区网中的广播流量VLAN技术_第3页
第3页 / 共35页
[精选]控制园区网中的广播流量VLAN技术_第4页
第4页 / 共35页
[精选]控制园区网中的广播流量VLAN技术_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《[精选]控制园区网中的广播流量VLAN技术》由会员分享,可在线阅读,更多相关《[精选]控制园区网中的广播流量VLAN技术(35页珍藏版)》请在金锄头文库上搜索。

1、VLAN技术,网桥和交换机的根本功能是通过将网络分割成多个冲突域,减少碰撞次数。但无法隔离广播帧。 所有用户同在一个广播域中会引起网络性能的下降,浪费网络带宽,因此控制网络内的广播传输变得非常重要,假设计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址,交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请

2、求会被转发到同一网络中的所有客户机上,A,B,广播带来的负面作用,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。 可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。 如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗,广播的隔离方法,传统的共享介质的以太网和交换式的以太网中,对广播风暴的控制和网络安全只能用工作在第三层的设备路由器来实现,因为默认情况下路由器不会转发广播信息,广播,普通交换机无法隔离广播域,路由器可以隔离

3、广播域,广播,路由器,而现在的局域网一般可以通过交换机来隔离广播,即VLAN技术,财务处,财务处员工,人事处,财务处员工,同一广播域,同一广播域,财务处,财务处员工,人事处,财务处员工,同一广播域,同一广播域,财务处,财务处员工,人事处,财务处员工,同一广播域,财务处,财务处员工,人事处,财务处员工,同一广播域,同一广播域,虚拟局域网 VLAN1,虚拟局域网 VLAN2,VLAN简介,VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而组建虚拟工作组的新兴技术。 IEEE于1999年颁布了用以标准化VLA

4、N实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站。由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流,交换机上划分VLAN隔离广播风暴,如果在交换机上生成红、蓝两个VLAN;同时设置端口

5、1、2属于红色VLAN、端口3、4属于蓝色VLAN。 A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口,A,如果要更为直观地描述VLAN的话,我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。 在一台交换机上生成红、蓝两个VLAN,也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机,使用VLAN的目的,VLAN的三大优点: 控制广播风暴:一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 提高网络的整体安全性:可以控制用户访问权限和逻辑网段大

6、小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性 方便网络的管理:对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用,VLAN标准IEEE802.1Q数据帧,IEEE802.1Q是虚拟局域网的正式标准,定义了同一个物理链路上承载多个局域网的数据流的方法。 IEEE 802.1Q定义了VLAN帧格式,为识别帧属于哪个VLAN提供了一个标准的方法。 这个格式统一了标

7、识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通,目的MAC,源MAC,类型,数据,FCS,目的MAC,源MAC,TPID,数据,重新计算的FCS,类型,TCI,0 x8100,2个字节,Priority,3bit,CFI,12bit,VID,1bit,标记协议标识(TPID): 固定值0 x8100,表示该帧载有802.1Q标记信息 标记控制信息(TCI): Priority:3比特,表示优先级,决定了数据帧的重要紧急程度,优先级越高,就越优先得到交换机的处理。在QoS中有应用。 CFI(Canonical Format Indicator):1比特,规范格式指示符,当其值为0

8、时,表示该数据帧采用规范帧格式,如果该位是1则表示该帧为非规范帧格式。 VID(Vlan ID):12比特,指明VLAN的ID,可用范围14094,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明该帧属于哪一个VLAN。 在一个交换网络环境中,以太网的帧有两种格式: 有些帧是没有加上这四个字节标志的,称为未标记的帧(untaged frame), 有些帧加上了这四个字节的标志,称为带有标记的帧(taged frame,0 x8100,2个字节,Priority,3bit,CFI,12bit,VID,1bit,Access Link和Trunk Link,接入链路,干道链路

9、,主机和交换机之间的链路是接入链路; 交换机之间通过干道链路互相连接,Access端口 只属于1个vlan,Trunk端口 可以属于多个vlan,VLAN帧在网络中的通信,对于主机来说,它是不需要知道VLAN的存在的。主机发出的帧都是untaged的帧;交换机接收到这样的帧之后,根据配置规则(如端口信息)判断出帧所属VLAN进行处理。 如果帧需要通过另外一台交换机发送,则该帧必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理帧的VLAN信息,在干道链路上发送的帧大多数(不是全部)都带上了VLAN标记。 当交换机最终确定帧转发端口后,将帧发送给主机之前,将VLAN的标记从以太网帧

10、中删除,这样主机接收到的帧都是不带VLAN的标记的以太网帧。 一般情况下,干道链路上传送的都是Taged Frame,接入链路上传送的都是Untaged Frame。这样做的最终结果是:网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息,广播帧如何到达同一VLAN的各个节点,因为VLAN可能跨越多个交换机,当一个交换机从某VLAN的一个端口收到广播帧之后,为了保证同属一个VLAN的所有主机都接收到这个广播帧,交换机必须按照如下原则将帧进行转发:1、发送给本交换机中同一个VLAN中的其它端口;2、将这个帧发送给本交换机的包含这个VLAN的所有干道链路,以便让其它交换机上

11、的同一个VLAN的端口能接收到该帧,VLAN的种类,基于端口的VLAN 针对交换机的端口进行VLAN的划分,不受主机的变化影响。 基于协议的VLAN 在一个物理网络中针对不同的网络层协议进行安全划分 基于MAC地址的VLAN 基于主机的MAC地址进行VLAN划分,主机可以任意在网络移动而不需要重新划分 基于组播的VLAN 基于组播应用进行用户的划分 基于IP子网的VLAN 针对不同的用户分配不同子网的IP地址,从而隔离用户主机,一般情况下结合基于端口的VLAN进行应用,基于端口的VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port 1,VLAN 5,

12、Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,基于MAC地址的VLAN,VLAN表,MAC地址,所属VLAN,MAC D,VLAN 10,VLAN 5,VLAN 10,VLAN 5,主机A,主机B,主机C,主机D,以太网交换机,MAC A,MAC B,MAC C,MAC D,基于协议的VLAN,VLAN表,协议类型,所属VLAN,IPX协议,IP协议,VLAN 5,VLAN 10,主机A,主机B,主机C,主机D,以太网交换机,使用IPX协议,运行IP协议,使用IPX协议,运行IP协议,基于子网

13、的VLAN,VLAN表,所属VLAN,VLAN 5,VLAN 10,主机A,主机B,主机C,主机D,以太网交换机,1.1.1.5,1.1.2.88,1.1.1.8,1.1.2.99,A,B,C,D,VLAN的类型:Port VLAN,利用交换机的端口进行vlan划分,一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口(即接口的模式为Access,F0/1,F0/2,F0/3,Port-VLAN原理,通过查找MAC地址表,交换机对发往不同VLAN的数据不转发,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 10,A B A C,X,配置Por

14、t VLAN,创建VLAN10,将它命名为test的例子 Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name test Switch(config-vlan)# end 把接口 0/10加入VLAN10 Switch# configure terminal Switch(config)# interface fastethernet 0/10 Switch(config-if)# switchport mode access Switch(config-if)# switchport acce

15、ss vlan 10 Switch(config-if)# end,默认名字是vlan XXXX, 用no name命令可以恢复为默认名字,如果把一个接口分配到一个不存在的vlan中,则交换机会自动创建该vlan,Port VLAN 的配置,将一组接口加入某一个VLAN Switch(config)#interface range fastethernet 0/1-8,0/15,0/20 Switch(config-if-range)# switchport access vlan 20 注: 交换机端口类型默认为Access。 连续接口 0/1-8,不连续接口用逗号隔开,但一定要写明模块编号

16、,配置Tag VLAN-Trunk,把Fa0/1配成Trunk口 Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk 把端口Fa0/20 配置为Trunk端口,但是不包含VLAN 2(默认trunk链路能够在两条交换机之间传递所有vlan的帧): Switch(config)# interface fastethernet 0/20 Switch(config-if)# switchport trunk allowed vlan remove 2 Switch(config-if)# end,Native VLAN,并非所有的帧通过trunk口都打上tag标签。Native VLAN的作用:在Trunk链路使用802.1Q封装时,用Native VLAN指定哪个VLAN的数据不用做802.1Q标记,Native VLAN外的其它VLAN数据都会做802.1Q封装的标记. 为什么要使用Native VLAN:交换的管理流量

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号