《[计算机硬件及网络]vlan技术及其配置》由会员分享,可在线阅读,更多相关《[计算机硬件及网络]vlan技术及其配置(31页珍藏版)》请在金锄头文库上搜索。
1、VLAN技术及其配置,第二层交换式网络的缺陷,全网属于一个广播域,极易引起广播碰撞和广播风暴等问题。必然会造成网络带宽资源的极大浪费。 网络安全性不高。所有用户都可以监听到服务器以及其它设备端口发出的数据包。 蠕虫病毒相当泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络的阻塞和瘫痪。,VLAN,VLAN允许一组不限物理位置的用户群共享一个独立的广播域,可在一个物理网络中划 分多个VLAN,即可使得不同的用户群属于不同的广播域。这样,通过划分用户群,控制广播范围等方式,VLAN技术能够从根本上解决网络效率与安全性等问题。,VLAN原理,VLA
2、N对广播域的划分是通过交换机软件完成的。它通过对用户分类来规划自己的用户群。如按项目组、部门或管理权限等来进行VLAN划分。划分VLAN时能够超越地域的界限,做到真正意义上的逻辑分组。在划分VLAN的交换机上,每个端口都能被赋予一个VLAN号, 只有那些相同VLAN号的用户才同属于一个独立的广播域。广播被限制在各自的VLAN之内。因此,VLAN能够最大限度地控制广播的影响范围以及减少由于共享介质所造成的安全隐患。,划分VLAN的好处,a广播控制(Broadcast Contro1) 通过将一个网络划分成多个VLAN(即多个广播域),可以实现广播范围的控制,并能够有效减少广播风暴、广播碰撞问题和
3、网络带宽资源的浪费等问题。 b灵活性(Flexibility) VLAN技术能够在逻辑上将不同地理位置的计算机划分在同一 个广播域内。而无VLAN技术时,在更改一台主机的所属组时,必须将此主机直接接到该组所在的交换机上。这样,VLAN可以非常灵活地添加或删除域内主机而不受主机物理位置的限制。,划分VLAN的好处,c安生性(security) 不同VLAN之间是不能够直接相互访问的。因此,按职责权限把用户(主机)划归在不同的VLAN里,就可使得各自的内部信息得到保护,从而增强了安全性。,VLAN划分技术,静态VLAN划分 动态VLAN划分,静态VLAN划分,静态VLAN也就是基于端口的VLAN。
4、是一种最简单的VLAN创建方式,这种VLAN易于建立与监控。 在划分时,既可把同一交换机的不同端口划分为同一虚拟局域网,也可把不同交换机的端口划分为同一虚拟局域网。这样,就可把位于不同物理位置、连接在不同交换机上的用户按照 一定的逻辑功能和安全策略进行分组,根据需要将其划分为同一或不同的VLAN。,静态VLAN划分优点,静态VLAN通常使用网络管理软件来配置和维护端口,如果需要改变端口的属性,则必须人工重新配置,因而具有较好的安全性。 这种VLAN的划分方式应用最多,几乎所有支持VLAN的交换机都支持该方式。 许多交换机还支持将同一端口划分为多个VLAN。如多个VLAN需要共享的打印机,需要访
5、问的服务器等,就可连接在该端口上。(在没有三层设备的情况下),动态VLAN划分,基于MAC的VLAN 基于IP地址的VLAN 基于组播的VLAN 基于规则(Policy)的划分,基于MAC的VLAN,通过MAC地址进行VLAN划分时,首先,硬件设备的MAC地址会存储进VLAN的应用 管理数据库中,当该主机移到一个没划分VLAN的交换机端口时,其硬件地址信息将会被读取,与在VALN管理数据库中的进行比较,如果找到匹配的数据,管理软件会自动地配置该端口,以使其能够加入到正确的VLAN里。,VLAN应用管理数据库,由网络管理员人工进行初始化的。在Cisco Catalyst系列交换机中,是通过使用V
6、LAN成员策略管理服务器(VLAN Membership Policy Server,VMPS)来实现动态VLAN的划分的。VMPS通过MAC地址数据库将MAC地址映射成相应的VLAN。当交换机检测到新设备时,会自动查询VLAN服务器,以获得正确信息。,基于MAC划分VLAN的特点,一个交换机端口同时只能属于一个VLAN,在相同VLAN里的动态VLAN用户可以灵活地移动,在用户随意移动或调换端口时,交换机能够为动态VLAN用户自动选择正确的VLAN配置,而不必由网络管理员来手动进行分配。,基于IP地址的VLAN,根据连接到交换机端口上的主机的IP地址来划分的VLAN。第二层交换机不支持该功能。
7、而第三层交换机因能够识别网络层数据报(Packets),故可以使用数据报中的IP地址来定义VLAN。,基于IP地址的VLAN特点,这种定义方法的优点是当某一主机的IP地址改变时,交换机能自动识别并重新定义VLAN,不需要网络管理员的于预。但由于IP地址可以人为地 设置,故如果不采取其他措施,这种划分会带来安全上的隐患。 理论上的价值。第三层本身就具有VLAN功能,基于组播的VLAN,组播作为一点对多点的通信,数据帧的发送对象为组。希望参加某一特定组的主机,将含有组地址的IGMP“加入消息”发送给相邻的路由器,路由器则使用多点广播路由协议建立从源到所有目标主机的分发树。接收者(目标主机)可随时动
8、态地加入或者离开某一多点广播组。,基于组播的VLAN特点,基于组播的VLAN,就是动态地把需要同时通信的端口(通过使用主机的硬件地址或基于IP的D类地址)定义到同一个VLAN中,并用广播的方法解决点对多点的通信。,基于规则(Policy)的划分,这是最灵活的VLAN办法。它们使按照规定的规则把各设备分配到VLAN,这种规则设定在网络管理软件中,适用所有的交换机。这些基于规则的VLAN可以实现多种分组方法,包括MAC地址、端口、以太网协议。这样就可以选择最适合特定网络的方法。,说明,早期的交换机,只能在单机上划分VLAN。后来推出的产品允许在交换机之间划分成同一VLAN,用交换机之间互连链路实现
9、虚拟网跨越交换机,这给用户的网络管理带来极大的方便性和灵活性。,在同一个交换机上创建VLAN,(1)vlan database:进入VLAN数据库。 (2)vlan name :创建VLAN。 (3)switchport mode access:设置端口为存取模式。 (4)switchport access vlan :将端口添加到VLAN, (5)show vlan:显示VLAN信息。,VLAN的设置步骤,a添加(创建)VLAN 在特权模式下键入如下命令; #vlan database (vlan)#vlan name b添加端口到VLAN中(静态VLAN方式) 在端口配置模式下键入如下命令
10、; (config-if)#switchport mode access (coniig-if)#switchport access vlan ,实验环境,在同一个交换机上创建VLAN实验环境如图所示。,在同一个交换机上创建VLAN步骤,(1)在交换机2950-A的特权模式下,键入“show vlan“,查看当前VLAN状态。 例如: 2950-A#show vlan 可以看出,默认设置下所有的端口都在VLAN1。,在同一个交换机上创建VLAN步骤,(2)在交换机2950-A的特权模式下,键入“vlan database”,进入VLAN数据库。 (3)在VLAN配置模式下键入“vlan2”,创
11、建一个标号为2的VLAN。 例如: 2950-A#vlan database 2950-A(vlan)#vlan 2 2950-A(vlan)#,在同一个交换机上创建VLAN步骤,(4)键入“exit“,退到特权模式,再进入全局配置模式,键入“int fa0/8”,进入端口8的端口配置模式(2950-A(config-if)#),键入“switchport mode access“,再键入“switchport access vlan 2”命令,将端口8加入到VLAN2中。 例如: 2950-A(vlan)#exit,在同一个交换机上创建VLAN步骤,2950-A#conf t 2950-A(
12、config)#int fa0/8 2950-A(config-if)#switchport mode access 2950-A(config-if)#switchport access vlan2 2950-A(config-if)#,在同一个交换机上创建VLAN步骤,(5)在计算机上利用ping的命令验证不同VLAN内的计算机将无法通讯。 (6)在端口8的端口配置模式(2950-A(config-if)#)下,键入“no switchport access vlan 2”命令,将端口8从VLAN2中删除。,在同一个交换机上创建VLAN步骤,(7)在VLAN数据库中的VLAN配置模式下键入
13、“no vlan2”,可删除VLAN2。 例如: 2950-A#vlan database 2950-A(vlan)#no vlan 2 2950-A(vlan)#,多个端口同时加入到某个VLAN,Interface range f0/x y Switch mode access Switch access vlan z,端口怎么消失了?,如果某个VLAN还有端口在其中,而直接删除了该VLAN,查看该VLAN中的端口还在不? 怎么处理?,思考题,划分VLAN的优点? 动态VLAN划分的方法?各自的特点? 采用静态VLAN划分和基于MAC地址动态划分VLAN时,交换机每个端口所能划分的VLAN 个数是否一致? 交换机的两端口分别设置在不同的VLAN中,这两个端口所接的计算机的IP地址在同一网段,这两台计算机能否ping通?为什么?,
