《虚拟局域网及其配置》由会员分享,可在线阅读,更多相关《虚拟局域网及其配置(51页珍藏版)》请在金锄头文库上搜索。
1、交换机路由器配置与管理交换机路由器配置与管理第第3 3章章 虚拟局域网及其配置虚拟局域网及其配置交换机交换机/ /路由器配置与管理路由器配置与管理3.1 虚拟局域网简介 虚拟局域网(Virtual Local Area Network)通常简称为 VLAN。它是将局域网从逻辑上划分为一个个的网段,从 而实现虚拟工作组的一种交换技术。使用集线器或交换机所构成的一个物理局域网,整个网 络属于同一个广播域。网桥、集线器和交换机设备都会转 发广播帧,因此任何一个广播帧或多播帧(Multicast Frame)都将被广播到整个局域网中的每一台主机。在网 络通讯中,广播信息是普遍存在的 ,这些广播帧将占用
2、大 量的网络带宽,导致网络速度和通讯效率的下降,并额外 增加了网络主机为处理广播信息所产生的负荷。目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的 广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用 完网络的带宽,导致网络的阻塞和瘫痪。 交换机交换机/ /路由器配置与管理路由器配置与管理路由器具有路由转发、防火墙和隔离广播的作用,路由 器不会转发广播帧,因此,要实现对网络的分段和广播域 的隔离,应使用路由器来实现。可以使用路由器上的以太网接口为单位来划分网段,从 而实现对广播域的分割和隔离。路由器所能划分出的网段 ,取决于路由器上以太网接口的数目,但通常情况下,路 由器所带的以太网接口数量很少
3、,一般为14个,远远不 能满足对网络分段的需要,而交换机则配备有较多的以太 网端口,为了实现利用交换机端口来对网络进行分段隔离 ,从而诞生了VLAN交换技术。 一个VLAN就是一个网段,通过在交换机上划分VLAN, 可将一个大的局域网划分成若干个网段,每个网段内所有 主机间的通讯和广播仅限于该VLAN内,广播帧不会被转 发到其他网段,即一个VLAN就是一个广播域,VLAN间 是不能进行直接通信的,从而就实现了对广播域的分割和 隔离。交换机交换机/ /路由器配置与管理路由器配置与管理若要实现VLAN间的通讯,就必须为VLAN设置路由,这可 使用路由器或三层交换机来实现。二层交换机可以划分 VLA
4、N,若没有路由器,则无法实现VLAN间的通讯,由于 三层交换机具备路由功能,在实际应用中,通常在三层交换 机中来划分VLAN,以支持VLAN间的相互通讯。从中可见,通过在局域网中划分VLAN,可起到 以下方面的作用: v控制网络的广播,增加广播域的数量,减小广播 域的大小。 v便于对网络进行管理和控制。VLAN是对端口的 逻辑分组,不受任何物理连接的限制,同一VLAN 中的用户,可以连接在不同的交换机,并且可以 位于不同的物理位置,增加了网络连接、组网和 管理的灵活性。 交换机交换机/ /路由器配置与管理路由器配置与管理v增加网络的安全性。由于默认情况下,VLAN间是相互 隔离的,不能直接通讯
5、,对于保密性要求较高的部门,比 如财务处,可将其划分在一个VLAN中,这样,其他 VLAN中的用户,将不能访问该VLAN中的主机,从而起 到了隔离作用,并提高了VLAN中用户的安全性。VLAN 间的通讯,可通过应用VLAN的访问控制列表,来实现 VLAN间的安全通讯。 交换机交换机/ /路由器配置与管理路由器配置与管理3.2 静态VLAN与动态VLAN VLAN创建后,接下来就可指定端口所属的VLAN,默认情 况下,交换机的所有端口均属于VLAN1,VLAN1是交换机默 认创建和管理的VLAN。 1静态VLAN静态VLAN就是明确指定各端口所属VLAN的设定方法,通 常也称为基于端口的VLAN
6、,其特点是将交换机按端口进行 分组,每一组定义为一个VLAN,属于同一个VLAN的端口, 可来自一台交换机,也可来自多台交换机,即可以跨越多 台交换机设置VLAN。基于端口的VLAN划分如下图所示。 交换机交换机/ /路由器配置与管理路由器配置与管理静态指定各端口所属的VLAN,需要一个端口一个端口地进行 设置,当要设定的端口数目较多时,工作量会比较大,通常适合 于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用 的一种VLAN端口划分方式。 2动态VLAN动态VLAN是根据每个端口所连的计算机,动态设置端口所属 VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基
7、于子网的VLAN和基于用户的VLAN。基于MAC地址的VLAN,就是根据端口所连计算机的网卡MAC地 址,来决定该端口所属的VLAN。在这种方式下,端口所属的 VLAN,不是事先固定的,而是由所连计算机的MAC地址来决定的 。比如,若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为 属于VLAN2,则该台计算机无论接到交换机的哪个端口,其所连 端口就会被自动划归为VLAN2。基于子网的VLAN,是根据端口所连计算机的IP地址,来决定 端口所属的VLAN。基于用户的VLAN,是根据端口所连计算机的当前登录用户, 来决定该端口所属的LAN。 交换机交换机/ /路由器配置与管理路由
8、器配置与管理3.3 VLAN的汇聚链接与封装协议 在实际应用中,通常需要跨越多台交换机的多个端口划分 VLAN,比如,同一个部门的员工,可能会分布在不同的建 筑物或不同的楼层中,此时的VLAN,就将跨越多台交换机 。跨越多台交换机的VLAN 交换机交换机/ /路由器配置与管理路由器配置与管理VLAN内的主机彼此间应可以自由通讯,当VLAN成员分 布在多台交换机的端口上时,如何才能实现彼此间的通讯 呢?解决的办法就是在交换机上各拿出一个端口,用于将两 台交换机级联起来,专门用于提供该VLAN内的主机跨交换 机相互通讯。有多少个VLAN,就对应地需要占用多少个端 口,用来提供VLAN内主机的跨交换
9、机相互通讯,如下图所 示。 VLAN内的主机在交换机间的通讯 交换机交换机/ /路由器配置与管理路由器配置与管理这种方法虽然解决了VLAN内主机间的跨交换机通讯,但 每增加一个VLAN,就需要在交换机间添加一条互联链路 ,并且还要额外占用交换机端口,这对保贵的交换机端口 而言,是一种严重的浪费,而且扩展性和管理效率都很差 。为了避免这种低效率的连接方式和对交换机端口的大量占 用,人们想办法让交换机间的互联链路汇集到一条链路上 ,让该链路允许各个VLAN的通讯流经过,这样就可解决 对交换机端口的额外占用,这条用于实现各VLAN在交换 机间通讯的链路,称为交换机的汇聚链路或主干链路( Trunk
10、Link),如下图所示。用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路 承载了所有VLAN的通讯流量,因此要求只有通讯速度在 100Mbps或以上的端口,才能作为汇聚端口使用。交换机交换机/ /路由器配置与管理路由器配置与管理在引入VLAN后,交换机的端口按用途就分为了访问连接 端口(Access Link)和汇聚连接(Trunk Link)端口两种。 访问连接端口通常用于连接客户PC机,以提供网络接入服务 。该种端口只属于某一个VLAN,并且仅向该VLAN发送或 接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚 连接端口属于所有VLAN共有,承载所有VLAN在交换机间
11、 的通讯流量。利用汇聚链路实现各VLAN内主机跨交换机的通讯 交换机交换机/ /路由器配置与管理路由器配置与管理由于汇聚链路承载了所有VLAN的通讯流量,为了标识 各数据帧属于哪一个VLAN,为此,需要对流经汇聚链接 的数据帧进行打标(tag)封装,以附加上VLAN信息,这 样交换机就可通过VLAN标识,将数据帧转发到对应的 VLAN中。 目前交换机支持的打标封装协议有IEEE802.1Q和ISL。 其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识 别信息的协议,属于国际标准协议,适用于各个厂商生产 的交换机,该协议通常也简称为dot1q。IEEE802.1Q所附加的VLAN
12、识别信息,位于数据帧中“ 发送源MAC地址”和“类别域(Type Field)”之间,所 添加的内容为2字节的TPID和2字节的TCI,共计4个字节, 其对数帧的封装过程如下图所示。 交换机交换机/ /路由器配置与管理路由器配置与管理IEEE802.1Q协议对数据帧的打标封装 交换机交换机/ /路由器配置与管理路由器配置与管理ISL是Inter Switch Link的缩写,是Cisco系列交换机支持 的一种与IEEE802.1Q类似的,用于在汇聚链路上附加 VLAN信息的协议,可用于以太网和令牌环网。ISL对数据帧进行打标封装时,采取在数据帧的头部附 加26字节的ISL包头(ISL Head
13、er),并且在数据帧的尾部 带上对包括ISL包头在内的整个数据帧进行计算后得到的4 字节的CRC值,即ISL协议保留数据帧原来的CRC,然后 再附加上一个新的CRC,即封装时总共增加了30个字节的 信息。当数据帧离开汇聚链路时,ISL只需简单地去除ISL 包头和新CRC就可以了,由于数据帧原来的CRC被完整保 留,因此无需重新计算。大多数Cisco设备都支持ISL。ISL与IEEE802.1Q协议互不兼容,ISL是Cisco独有的协 议,只能用于Cisco网络设备之间的互联。交换机交换机/ /路由器配置与管理路由器配置与管理3.4 VLAN间主机的通讯 同一个VLAN属于同一个广播域,主机彼此
14、间可相互自 由通讯。不同VLAN的主机若要相互通讯,则必须为VLAN 指定路由,这可通过三层交换机的路由交换模块或借助外 部的路由器来实现。对于没有路由功能的二层交换机,若要实现VLAN间的 相互通信,就要借助外部的路由器来为VLAN指定默认路 由,此时路由器的快速以太网接口与交换机的快速以太网 端口,应以汇聚链路的方式相连,并在路由器的快速以太 网接口上,为每一个VLAN创建一个对应的虚拟子接口, 并设置虚拟子接口的IP地址,该IP地址以后就成为该VLAN 的默认网关(路由)。由于这些虚拟子接口是直接连接在 路由器上的,设置IP地址后,路由器会自动在路由表中, 为各VLAN添加路由,从而实现
15、VLAN间的路由转发,如下 图所示。 交换机交换机/ /路由器配置与管理路由器配置与管理二层交换机借助外部路由器实现VLAN间通讯 交换机交换机/ /路由器配置与管理路由器配置与管理VLAN间的主机通讯,遵循以下通讯过程:源主机交换机路由器交换机目的主机 交换机使用ASIC(Application Specified Integrated Circuit)专用硬件芯片来处理数据帧的交换,从而可以实 现以线缆速度(Wired Speed)来交换数据。三层交换机是带有路由功能的交换机,其路由模块与交 换模块共同使用ASIC硬件芯片,可实现高速度的路由, 并且在对第一个数据帧进行路由后,将会产生一个
16、MAC 地址与IP地址的映射表,当同样的数据帧再次通过时,交 换机会直接从二层转发,而不用再路由,从而消除了路由 器进行路由选择而造成网络的延迟,提高了数据包转发的 效率。另一方面,交换机的路由模块与交换模块是在交换 机内部直接汇聚连接的,可以提供相当高的带宽,因此, 使用三层交换机来配置VLAN和提供VLAN间的通讯,比 使用二层交换机和路由器更好,配置和使用也更方便。 交换机交换机/ /路由器配置与管理路由器配置与管理3.5 VLAN的配置方法 在进行VLAN配置时,首先应根据应用需求,规划设计好 网络拓扑结构,并进行VLAN划分和IP地址分配规划,最后 才开始着手VLAN的配置和调试。 3.5.1 创建VTP管理域 1VTP简介 VTP是VLAN Trunking Protocol的缩写,称为VLAN链 路聚集协议,它是一个在建立了汇聚链路的交换机之间 同步和传递VLAN配置信息的协议,以在同一个VTP域中 维持VLAN配置的一致性。在同一个VTP域中的交换机, 可通过VTP协议来互相学习VTP信息。VTP协议对于运行 ISL或IEEE80
