收藏
下载资源

什么是协议vlan

上传人:艾力 文档编号:36677340 上传时间:2018-04-01 格式:PDF 页数:7 大小:332.30KB
返回 下载 相关 举报
什么是协议vlan_第1页
第1页 / 共7页
什么是协议vlan_第2页
第2页 / 共7页
什么是协议vlan_第3页
第3页 / 共7页
什么是协议vlan_第4页
第4页 / 共7页
什么是协议vlan_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《什么是协议vlan》由会员分享,可在线阅读,更多相关《什么是协议vlan(7页珍藏版)》请在金锄头文库上搜索。

1、简介 .2什么是协议VLAN? .2简化部署.4PVLAN的应用.5配置协议VLAN .6总结 .6ProCurve Networking ProCurve Networking 提供协议VLAN2简介VLAN是网络管理员工具箱中一个功能强大的工具,用于控制结点组,以满足保密和性能的需要。VLAN与IP路由交换机的结合,可以高度灵活地实现控制服务分布、性能管理,以及增强关键业务应用和服务的安全性。VLAN与IP路由的这种组合已证明具有强大的功能,并成为非常普遍使用的网络部署模式 。但这是一个功能强大却并不完美的解决方案。如果系统未在使用IP协议的系统上建立,而关键业务服务又位于该系统上时,这必

2、然会出现问题。当要求访问这些服务的部分用户未连接到服务所在的VLAN时,这将会发生什么样的情况呢?或许它们在另一间屋或另一栋楼里?通常,人们不会选择扩展VLAN,因为这会违反VLAN的管理边界,从而产生更难以管理的网络。当VLAN可以扩展时,它可能会是最简单、最易于实施的解决方案。性能或安全方面的需要可能会要求这个与应用相关的协议流量同其余的网络数据隔开。比如,运行IPX的Novel服务器上的关键业务应用。如果不同VLAN上的用户要求进行访问,在不严重中断已有VLAN/IP子网配置的情况下如何提供访问?如果此服务的用户处在不同的房间或不同的建筑物内,这可能提供不了访问。另外一种可能性是位于已有

3、的AppleTalk网络上的服务。如果网络建立在传统硬件基础上,那么这些设备可能无法与当设备的线速能力相比。也就是说,如果直接在已有的VLAN中使用这些设备,那么正常的广播和多播流量水平就会导致设备的瘫痪。隔离这些设备将会显著提高它们的性能,并可能推迟或消除安装更多新设备的需要。另外,它还有一项优点,就是将AppleTalk广播包控制到需要它们的设备组中。什么是协议VLAN?简而言之,PVLAN允许无标记包根据包协议类型映射到VLAN。配置了协议VLAN之后,交换机将检查成员端口上接收的包,并根据包协议类型和包封装为其指定VLAN成员资格。ProCurve交换机使用与协议VLAN相同的8类协议

4、,以配置为端口过滤器。这些协议包括:IPv4、ARP、IPv6、IPX、AppleTalk、DECNet、NetBEUI和SNA。如表1所示,每个过滤器由多个组件组成通常为帧类型和帧封装。配置了IPX协议VLAN之后,在作为该协议VLAN成员的端口上被接收时,与这个表中定义的封装和帧类型匹配的无标记包将被归类为IPX协议VLAN的成员。3表1 协议VLAN过滤器协议VLAN类型帧类型Eth类型/LSAPIPv4EtherII0x0800SNAP0x0800SAP0x5E5ESAP0x0606ARPEtherII0x0806SNAP0x0806SAP0x0806IPv6EtherII0x0800

5、EtherII0x86DDSNAP0x0800SNAP0x08DDSAP0x5E5ESAP0x0606IPXRaw全部EtherII0x8137EtherII0x8138SNAP0x8137SNAP0x8138SAP0xE0E0AppleTalkEtherII0x809BSNAP0x809BDECLATEtherII0x6004SNAP0x6004NetBEUISAP0xF0F0SNAEtherII0x80D5SNAP0x80D5不论怎样,协议VLAN可以在任何端口上应用但有两个限制。首先,每个端口只能应用3种协议类型。而这些协议是在一个VLAN中还是在2个或3个VLAN之间共用都无关紧要。当

6、任何端口的协议总数超过3个,交换机将返回错误信息。另一个限制是协议VLAN类型对一个端口只能应用一次。如果用户试图让一个端口成为两个具有相同协议VLAN类型的协议VLAN的成员,应用到第二个交换机时将返回错误信息。最后,尽管不需要,但每个IP协议VLAN还应当包含 ARP 协议类型。不包含ARP类型有可能导致ARP失败。4简化部署ProCurve消除了网络管理员了解帧类型和封装的必要性,简化了VLAN的配置。相反,可以通过它们公用的用户友好名(例如:IPX或AppleTalk)选择分类。协议VLAN过滤器只在接收的无标记包上应用。同一个端口上接收的有标记的包不受协议VLAN过滤器的限制。一旦包

7、位于这些VLAN中,它们将根据与基于端口的VLAN相同的规则交换和选择路由。协议VLAN在端结点使用多协议的情况下可简化端结点的配置。没有PVLAN,如果管理员需要协议运行在不同的VLAN上,那么在端结点上就必须至少配置一个有标记VLAN。如果无法实现,管理员可能就不得不借助多个接口。由于采用协议VLAN,无标记接口只需连接到ProCurve交换机上,交换机就可以根据协议类型将入站包分配给一个VLAN。需重点注意的是,只要VLAN中配置的协议不重复,并且指定的协议总数不超过3个,端口就可以成为多个协议VLAN的成员。例如,按表2、表3中的定义给出的协议VLAN显示了有效和无效分配的实例。表2

8、协议VLAN过滤器协议VLAN#配置的协议VID100IPXVID200AppleTalkVID300IPv6VID400NetBEUIVID500ARPIPv4VID600ARPIPv4AppleTalkVID700NetBEUIIPv6VID800NetBEUIAppleTalk IPX表3 协议VLAN端口配置每个端口的协议VLAN原因成员数(VID)允许100200300允许200500不允许100200500协议过滤器太多不允许400700在两个协议VLAN中配置了NetBEUI不允许100600协议过滤器太多与基于端口的VLAN和有标记VLAN一样,可以为协议VLAN命名,以方便管

9、理识别。5PVLAN的应用协议VLAN的一个应用是允许网络资源在自己的VLAN上隔离。回忆一下前面介绍的传统AppleTalk网络。为5至10年前的网络而设计和生产的设备可能无法满足当今网络数据速率的需要。对于外部路由器等较早的AppleTalk设备而言,当前标准的中等流量级别就足以令其不堪重负。协议VLAN提供了一种方法,可将设备能看到的包限制为AppleTalk包。而且,对安全性的担忧也可能成为严格隔离这些资源的理由。从普通网络上移走这些设备之后,大部分自命的入侵者就看不到它们了。图1如图1所示,HostA和HostB当前在不同的VLAN和不同的IP子网上。通过配置协议VLAN 2000,

10、我们提供了从任何地方都可以访问AppleTalk服务的能力。即使HostA和HostB可能在不同的房间或不同的建筑物内,只要所有的交换机和路由器都支持802.1Q标记,也可以建立一个专用AppleTalk网络。仅AppleTalk 服务HostA 10.0.10.X/24HostB 10.0.20.X/24无IP连接端口VLAN配置 1/4无标记VLAN 2000 1/10无标记VLAN 2000 4/1无标记VLAN 10, 2000 4/8无标记VLAN 20, 2000Switch A 端口VLAN配置 B4有标记VLAN 10, 2000 C24协议VLAN 2000 C24协议VLA

11、N 2000Switch B 端口VLAN配置 A4有标记VLAN 20, 2000 C7协议VLAN 2000 C7无标记VLAN 206配置协议VLAN配置协议VLAN可以非常快捷地隔离图 1 所示网络上的AppleTalk包。在这个例子中,唯一需要配置VLAN的设备是5304xl。下列命令将为AppleTalk包创建协议VLAN,使连接的每一个客户端的协议VLAN无标记成员及9304的上行链路都成为标记成员。请注意:在这些步骤中,假定HostA和HostB已经有IP连接。SwitchA上的C24和SwitchB上的D7是VLAN的无标记成员,同时又是协议VLAN的成员,这种情况是完全可以

12、接受的。SwitchA (config) # vlan 2000 protocol appletalk SwitchA (vlan-2000 proto) # untagged c24 SwitchA (vlan-2000 proto) # tagged b4 在SwitchB中,说明相同:SwitchB (config) # vlan 2000 protocol appletalk SwitchB (vlan-2000 proto) # untagged d7 SwitchB (vlan-2000 proto) # tagged a4 最后,在9300上:ProCurve9304 (conf

13、ig) # vlan 2000ProCurve9304 (vlan-2000) # untagged 1/4, 1/10ProCurve9304 (vlan-2000) # tagged 4/1, 4/8第二个基于端口的VLAN假定已经存在,并将传送所有的非AppleTalk包。然后,连接5300xl的每一个客户端都将成为基于端口的VLAN和协议VALN的无标记成员。而9300的上行链路是有标记成员。传统的AppleTalk网络作为VLAN 2000的无标记成员与ProCurve 9402进行连接。5304xl与9304之间的链路是VLAN 100和200的有标记成员。按照这些命令进行操作,客户端便成为基于端口的VLAN和协议VLAN 2000的成员。5304xl接收的来自其中一个客户端的包只有在表1中定义的AppleTalk包的情况下,才会被归类为VLAN 2000的成员。将网络分析器连接到交换机之间链路上,这将显示出从HostA和HostB接收的所有AppleTalk包都是VLAN 2000的有标记成员,所有其它的包则是VLAN 10或VLAN 20的有标记成员。请注意:部分客户端可能需要基于端口的VLAN可用,以支持补充协议。例如,如果连接到只配置NetBEUI协议VLAN的端口,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号