《交换机与VLAN》由会员分享,可在线阅读,更多相关《交换机与VLAN(93页珍藏版)》请在金锄头文库上搜索。
1、第三章 交换机与VLAN内容o3.1路由器实验回顾o3.2交换机与vlano3.3交换机实验内容3.1路由器实验回顾o路由器实验中的问题:nPC机上的路由o默认路由:oIp route 0.0.0.0 0.0.0.0 f0/0nRip协议观察o224.0.0.9 组播地址nOspf协议观察oDebug ip ospf adj3.2交换机与vlanoVlan的工作原理o三层交换机3.2.1 VLAN的含义o VLAN,即虚拟局域网(Virtual LAN) ,它也是一种局域网(LAN)。VLAN的产生原因广播风暴广播广播通过路由器将网络分段路由器路由器广播广播与普通的局域网不同的是:o(1)VL
2、AN中的工作站一般属于不同的LAN 或LAN网段。o(2)先有LAN,后有VLAN。换句话说, VLAN是建立在LAN之上的。VLAN是通过将 LAN中的工作站按一定的方法划分到逻辑组中 而形成的。VLAN的形成并没有改变原有网络 的拓扑,在用户看来,网络的视图是一致的。VLAN 主要解决以下2个方面的问题:o(1)保持网络的广播通信方式,将对路由器的依 赖减少到最小程度。o(2)减少网络移动和变化的成本。3.2.2 为什么需要VLANo主要因为以下2个原因: (1) 需求驱动。 (2) 技术驱动。1 需求驱动oVLAN的引入首先是由于用户需求的驱动。o需要有一种办法,在尽量不改动网络固有配
3、置的前提下,通过灵活的、标准的、基于软件 的做法将具有相同需求的用户放到一起,使之 就象在一个LAN中那样工作。通过VLAN划分广播域Broadcast Domain 1Broadcast Domain 1 VLAN 10VLAN 10Broadcast Domain 2Broadcast Domain 2 VLAN 20VLAN 20Broadcast Domain 3Broadcast Domain 3 VLAN 30VLAN 30市场部工程部财务部2 技术驱动o但是怎样使网络延伸扩展呢?这就需要技术 支持,需要更高级的技术,它不但能够在物理 上使网络延伸,还能使对网络实施更灵活强大 的控
4、制功能成为可能。使VLAN成为可能的技 术包括:(1)LAN交换技术(2)生成树算法(IEEE802.1D)(3)过滤服务(IEEE802.1p)(4)帧标签技术(IEEE802.1D)(5)LAN安全标准(IEEE802.10)3.2.3 VLAN的种类o从简到繁依次是:(1)基于端口的VLAN (Port-Based)(2)基于协议的VLAN (Protocol-Based)(3)基于MAC层分组的VLAN (MAC-Layer Grouping)(4)基于网络层分组的VLAN (Network-Layer Grouping)(5)基于IP组播分组的VLAN (IP Multicast G
5、rouping)(6)组合的VLAN(7)基于策略的VLAN (Policy-Based)1 基于端口分组的VLANo按端口分组是早期定义VLAN成员关系的方 法。在这种定义方法中,某个交换机上的端口 (例如端口1、3、5)构成VLANA,而该交换 机上的其他端口构成VLANB。早期基于端口的 VLAN成员只能位于一个交换机中。第二代基 于端口的VLAN支持多个交换机,例如交换机X 上的端口1和端口2与交换机Y上的端口3和端 口4构成一个VLAN。基于端口VLAN的示意图如图3-1所示。图3-1 基于端口分组的VLAN 基于端口的VLAN主机主机A A主机主机B B主机主机C C主机主机D D
6、以太网交换机以太网交换机VLANVLAN表表端口端口所属所属VLANVLANPort 1Port 1VLAN 5VLAN 5Port 2Port 2VLAN 10VLAN 10Port 7Port 7VLAN 5VLAN 5Port 10Port 10VLAN 10VLAN 10Port 1Port 1Port 2Port 2Port 7Port 7Port 10Port 102 基于MAC地址分组的VLANo在这种定义方法中,若干个MAC地址构成 VLAN成员。用户属于哪个VLAN由其网卡中的 MAC地址决定。基于MAC地址分组的VLAN如 图3-2所示。图3-2 基于MAC地址分组的VLA
7、N基于MAC地址的VLANVLANVLAN表表MACMAC地址地址所属所属VLANVLANMAC AMAC AMAC BMAC BMAC CMAC CMAC DMAC DVLAN 10VLAN 10VLAN 5VLAN 5VLAN 10VLAN 10VLAN 5VLAN 5MAC AMAC AMAC BMAC BMAC CMAC CMAC DMAC D主机主机A A主机主机B B主机主机C C主机主机D D以太网交换机以太网交换机Port 1Port 1Port 2Port 2Port 7Port 7Port 10Port 103 基于协议的VLANo另外一种简单的VLAN可以根据协议的不同
8、进行分组,例如,所有使用MAC地址的用户形 成一个VLAN,用IP地址分组的用户形成另外 一个VLAN,而使用IPX(Internet Packet eXchange,NetWare系统使用的第3层协议 )地址的用户形成第3个VLAN,等等。这种类 型的VLAN称为基于协议的VLAN,如图3-3所 示。图3-3 基于协议的VLAN基于协议的VLANVLANVLAN表表协议类型协议类型所属所属VLANVLANIPXIPX协议协议IPIP协议协议VLAN 5VLAN 5VLAN 10VLAN 10使用使用IPXIPX协议协议运行运行IPIP协议协议使用使用IPXIPX协议协议运行运行IPIP协议协
9、议主机主机A A主机主机B B主机主机C C主机主机D D以太网交换机以太网交换机Port 1Port 1Port 2Port 2Port 7Port 7Port 10Port 10基于协议VLAN具有以下优点:o (1)允许用户同时属于不同的VLAN。o (2)支持多协议网络环境。o (3)允许IPX网络的加入。4 基于IP的VLANo 更复杂的第3层VLAN是基于IP地址的VLAN (或者是基于IPX地址的VLAN,后者比较少见 )。基于IP的VLAN如图3-4所示。图3-4 基于IP地址的VLAN198.206.107.*198.206.107.*198.206.181.*198.206
10、.181.*198.206.181.*198.206.107.*198.206.181.*198.206.107.*VLAN1VLAN2基于子网的VLANVLANVLAN表表IPIP网络网络所属所属VLANVLANIPIP 1.1.1.1/24 1.1.1.1/24IP IP 1.1.2.1/24 1.1.2.1/24VLAN 5VLAN 5VLAN 10VLAN 101.1.1.51.1.1.51.1.2.881.1.2.881.1.1.81.1.1.81.1.2.991.1.2.99主机主机A A主机主机B B主机主机C C主机主机D D以太网交换机以太网交换机Port 1Port 1Po
11、rt 2Port 2Port 7Port 7Port 10Port 10第3层VLAN的优点是:(1)它允许以协议类型为依据对用户进行分组。这 对于倾向于基于服务或应用的VLAN策略的网络管理员 是有吸引力的。 (2)用户可以物理地移动他们的工作站,而不用为 每个工作站重新配置网络地址。注意,只有在纯 TCP/IP网络中是这样的。 (3)消除了(为通过交换机在VLAN成员间通信) 给帧插入标签的需要,从而减少了传输成本。 (4)网络管理员可以在VLAN管理程序中通过简单 的鼠标拖动即可决定哪个子网属于哪个VLAN,子网的 用户随着子网就被分配给VLAN。 (5)如果是以IP子网为单位定义的,那
12、么新加入的 用户自动地被加入VLAN中。5将IP组播组作为VLANo组播的通信量是点到多点或多点到多点的。 组播正在被期望成为数据网络的新服务。组播 VLAN示意图如图3-5所示。图5-5组播VLAN6 VLAN的组合o实际中,网络管理员针对特定的网络环境采用更加 灵活的方法来定义VLAN成员关系,以获得更好的成员 分组。例如,对于混合使用IP和NetBIOS的网络,由 于Net BIOS的不可路由性,所以采用单纯第3层的方 法显然对NetBIOS工作站不适用,那么可以按照IP子 网定义基于IP的VLAN,按照MAC地址分组Net BIOS 工作站。oVLAN组合最常见的情形是2/3层VLAN
13、。 使用2/3层VLAN的虚拟网络技术融合了某些传统路由 技术和面向连接技术的特质。o表3-1总结了上述VLAN种类的区别。表3-1 LAN、2层VLAN、2/3层VLAN区别VLAN种类定 义功 能LAN独立的物理网段与集线器或基本网桥的功 能相同;支持即插即用。第二层VLAN由多个物理网段或LAN网 段组成或由多个桥接的用 户组成限制洪泛;静态网络配置 ;没有第3层路由的话,第 2层VLAN之间将无法连通 。第2/3层VLANLAN网段或用户之间的虚 拟网络技术允许虚拟联网而无需第2层 或第3层限制;同时保持第 3层路由的可靠性和第2层 面向连接交换的优点;集 中式的访问管理,带宽分 配、
14、连接;无需硬件或软 件的升级更新,即可为 LAN用户提供ATM的优点 。3.2.4 VLAN成员之间信息通信o第2层VLAN成员间的通信 我们知道第2层LAN成员之间的通信是根据帧 中MAC地址寻址的,第2层VLAN成员之间的 通信还要使用新增加的VLAN标签中的VLAN标 识符(VLAN ID)进行寻址。VLAN标签的标 准是IEEE802.1Q,我们在3.2.6节介绍。第2层VLAN寻址包括2个步骤:o(1)先根据VLAN ID找到目的VLAN。 (2)再根据MAC地址找到目的主机。举例o(1)假设aaa向ddd发送数据。aaa的数据帧Faaa通过端口 1被交换机S1接收,S1发现Faaa
15、的目的地址是ddd,S1通过查 阅VLAN成员关系数据库(如表3-2所示)得知ddd属于VLAN B,并且ddd位于S2。 (2)于是S1给Faaa加上VLAN A的标识符(Faaa记为Faaa )。Faaa经S1与S2之间的链路发送到S2。S2接收到Faaa后 ,通过检查VLAN ID知道此帧来自VLAN A,目的地址是ddd。 S2查表5-2(S2中也有该表)判断ddd所属的VALN,发现ddd 属于VALN B。 (3)如果S2允许VALN A到VLAN B的转发(符合过滤规则, 由802.1p标准化),则查表3-3确定ddd所在的端口(4),然 后将Faaa去掉标签,通过端口4交给dd
16、d。o如图3-6所示表3-2 VLAN成员关系MAC地址VALN IDAaaABbbBCccADddB表3-3 S2的交换表 MAC地址端口IDccc3ddd4图3-6第2层VLAN成员通信2 第3层VLAN成员间的通信o第3层VLAN涉及了第三层协议,典型的第3层VLAN是基于IP 地址分组的VLAN。在基于IP地址划分VLAN成员关系时有2种 典型的情形: (1)整个IP子网划分为一个VLAN:这是理想的做法。这样做 的好处是:IP子网的新成员自然而然地加入到VLAN中,而无需 单独的配置,另外VLAN中的路由与子网的原由路由一致,因而 显得简洁。 (2)不同子网中的主机加入到一个VLAN:当网络建成之后再 划分VLAN时,最容易遇到此种情况。此时VLAN成员之间的通 信比较复杂,不但要保留原来的路由,而且还要再第3层VLAN 之间配置路由。o一个第3层VLAN通信的
