《虚拟局域网技术ppt》由会员分享,可在线阅读,更多相关《虚拟局域网技术ppt(26页珍藏版)》请在金锄头文库上搜索。
1、虚拟局域网技术Virtual Local Area NetworkVirtual Local Area Network主要内容n虚拟局域网(虚拟局域网(VLAN)概述)概述nVLAN原理原理nVLAN间路由间路由nVLAN的划分步骤和设计原则的划分步骤和设计原则n基于端口的基于端口的VLAN的划分和配置的划分和配置n案例分析案例分析1. 虚拟局域网概述A. 交换网络中的问题交换网络中的问题 在交换机组成的网络里,所有主机都在同一个广播域在交换机组成的网络里,所有主机都在同一个广播域中一台主机发出的广播,其余所有主机都能够收到。中一台主机发出的广播,其余所有主机都能够收到。广播域广播域广播域广播
2、域部门之间部门之间部门之间部门之间D D部门数据部门数据部门数据部门数据C C部门数据部门数据部门数据部门数据A A部门数据部门数据部门数据部门数据B B部门数据部门数据部门数据部门数据B. 传统解决方法传统解决方法-利用路由器划分子网利用路由器划分子网一一楼楼二二楼楼三三楼楼C. VLAN解决方法解决方法-划分虚拟局域网划分虚拟局域网通过通过VLAN技术可以分割广播源技术可以分割广播源一楼一楼二楼二楼三楼三楼D. VLAN(Virtual Local Area Network)nVLAN是一种将局域网设备是一种将局域网设备从逻辑上划分从逻辑上划分成一个个网段,从而实现成一个个网段,从而实现虚
3、拟工作组的数据交换技术。虚拟工作组的数据交换技术。n这一技术可应用于交换机和路由器中,但主流应用还是在交换机这一技术可应用于交换机和路由器中,但主流应用还是在交换机之中。之中。n不是所有交换机都具有此功能,只有不是所有交换机都具有此功能,只有VLAN协议的协议的第三层第三层以上交换以上交换机才具有此功能。机才具有此功能。E. VLAN的优点的优点n广播风暴防范广播风暴防范 限制网络上的广播限制网络上的广播,将网络划分为多个,将网络划分为多个VLAN可减少参与广播风可减少参与广播风暴的设备数量。暴的设备数量。n安全安全 增强局域网的安全性,含有敏感数据的用户组可与网络的其余部增强局域网的安全性,
4、含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。若没有路由的话,不同分隔离,从而降低泄露机密信息的可能性。若没有路由的话,不同VLAN之间之间不能相互通讯不能相互通讯,这样增加了企业网络中不同部门之间的安,这样增加了企业网络中不同部门之间的安全性。全性。n应用管理应用管理 网络中工作组的划分可以网络中工作组的划分可以突破共享网络中的地理位置限制突破共享网络中的地理位置限制,而完,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。络规划和重组的管理功能。 n成本降低成本降低
5、 成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。高,因此可节约成本。n性能提高性能提高 将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上络上不必要的流量不必要的流量并提高性能。并提高性能。n提高工作效率提高工作效率 VLAN为网络管理带来了方便,因为有为网络管理带来了方便,因为有相似网络需求的用户相似网络需求的用户将共将共享同一个享同一个VLAN。E. VLAN的优点的优点F. 划分划分VLAN的方法的方法基于端口的基于端口的VLANn最简单
6、、有效的最简单、有效的VLAN划分方法。划分方法。n分为分为多交换机端口定义多交换机端口定义VLAN和单交换机端口定义和单交换机端口定义VLAN.n基于端口的基于端口的VLAN的划分简单、有效,但其缺点是当用的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对户从一个端口移动到另一个端口时,网络管理员必须对VLAN成员进行重新配置。成员进行重新配置。n单交换机端口定义单交换机端口定义VLAN交换机端口交换机端口MAC地址地址VLAN IDF0/1A10F0/2B20F0/3C10A BA CXF0/1F0/2F0/3VLAN 20VLAN 20VLAN 10VLAN
7、 10VLAN 10VLAN 10A AB BC Cn多交换机端口定义多交换机端口定义VLAN -跨交换机实现跨交换机实现VLANA A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B BVLAN10VLAN10VLAN10VLAN10VLAN20VLAN20VLAN20VLAN20F0/24F0/24F0/5F0/5F0/24F0/24F0/15F0/15C CVLAN10VLAN10VLAN10VLAN10F0/5F0/5nIEEE802.1Q数据帧数据帧标记协议标识(标记协议标识(TPID): 2字节字节n固定值固定值0x8100 ,表示该帧载有,表示该帧载
8、有802.1Q标记信息标记信息标记控制信息(标记控制信息(TCI): 2字节,字节,nPriority:3比特,表示优先级比特,表示优先级nCanonical format indicator:1比特,表示总线型以太网、比特,表示总线型以太网、FDDI、令、令牌环网牌环网nVlanID:12比特,表示比特,表示VID,范围,范围14094目的目的目的目的MACMAC源源源源MACMACVLAN TAGVLAN TAG类类类类型型型型数据数据数据数据检验检验检验检验和和和和TPIDTCI2. 虚拟局域网原理nIEEE802.1Q工作原理工作原理802.1Q工作特点:工作特点:n802.1Q数据帧
9、传输对于用户是完全透明的。数据帧传输对于用户是完全透明的。nTrunk上默认会转发交换机上存在的所有上默认会转发交换机上存在的所有VLAN的数据。的数据。n交换机在从交换机在从Trunk口转发数据前会在数据打上个口转发数据前会在数据打上个Tag标签,在到标签,在到达另一交换机后,再剥去此标签。达另一交换机后,再剥去此标签。A A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B B数据帧数据帧TagTag标签标签TrunkTrunkTrunkTrunkTrunkTrunkTrunkTrunknTag-VLAN原理原理Trunk端口端口: 直接与交换机相连的端口。直接
10、与交换机相连的端口。 Trunk端口可以端口可以识别和发送识别和发送802.1Q帧。帧。Switch AVLAN30VLAN20VLAN10VLAN30VLAN20VLAN10Switch BVLAN30VLAN20VLAN10VLAN30VLAN20VLAN10Tag VLANTag VLANTag VLAN设置在设置在连接交换机的端口连接交换机的端口Tag VLAN:Tag VLAN:一个端口属于多个一个端口属于多个一个端口属于多个一个端口属于多个VLANVLAN 3. VLAN间路由间路由nVLAN间的主机为不同网段内的主机,不能互相通信间的主机为不同网段内的主机,不能互相通信n需要通过
11、三层设备对数据进行路由转发才可以实现需要通过三层设备对数据进行路由转发才可以实现通过在三层交换机上为各通过在三层交换机上为各VLAN配置配置SVI接口,利用三层交换机的接口,利用三层交换机的路由功能可以实现路由功能可以实现VLAN间的路由间的路由通过路由器的接口,可以实现通过路由器的接口,可以实现VLAN间的路由间的路由4. VLAN的划分步骤和设计原则的划分步骤和设计原则nVLAN的划分步骤的划分步骤交换机上定义交换机上定义VLAN将交换机的端口定义到已经定义好的将交换机的端口定义到已经定义好的VLAN中中设置设置 trunk端口端口在三层交换机上为各在三层交换机上为各VLAN配置配置SVI
12、接口,利用三层交换接口,利用三层交换机的路由功能可以实现机的路由功能可以实现VLAN间的路由间的路由。nVLAN的设计原则的设计原则按按部门或业务特点部门或业务特点确定如何划分确定如何划分VLANVLAN的划分和设计与的划分和设计与IP地址的分配地址的分配是密切相关的,不是密切相关的,不同同VLAN内的主机需要使用不同子网的内的主机需要使用不同子网的IP地址地址VLAN的划分和设计要考虑一个的划分和设计要考虑一个VLAN的的主机数量主机数量不宜不宜过多过多VLAN的划分的划分不宜太细不宜太细。因为。因为VLAN划分太细,将导致划分太细,将导致网络中网络中VLAN的数量很多,给的数量很多,给VL
13、AN的管理、的管理、IP地址的地址的分配都带来一些不便,并且容易造成分配都带来一些不便,并且容易造成IP地址浪费。地址浪费。5. 配置Port VLAN-Accessn创建创建VLAN10,将它命名为,将它命名为test的例子的例子Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# name testSwitch(config-vlan)# end n把把fastethernet 0/10作为作为access口加入了口加入了VLAN10 Switch# configure terminalSwitch(co
14、nfig)# interface fastethernet0/10Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10Switch(config-if)# endn将一组接口加入某一个将一组接口加入某一个VLANSwitch(config)#interface range fastethernet 0/1-10,0/15,0/20Switch(config-if-range)#switchport access vlan 20n注:连续接口注:连续接口 0/1-10,不连续接口
15、用逗号隔开,但一定要,不连续接口用逗号隔开,但一定要写明模块编号写明模块编号配置Port VLAN-Access配置Tag VLAN-Trunkn把把F0/24F0/24配成配成TrunkTrunk口口Switch# configure terminalSwitch(config)# interface fastethernet0/24Switch(config-if)# switchport mode trunk配置三层交换机n三层交换机配置路由接口的两种方法三层交换机配置路由接口的两种方法1. 采用采用SVI方式(方式(switch virtual interface)nSwitch(co
16、nfig)#interface vlan 10nSwitch(config-if)#ip address 192.168.1.1 255 255.255.0nSwitch(config-if)#no shutdownnnSwitch(config-if)# ip routing2. 采用开启三层交换机物理接口的路由功能的方式采用开启三层交换机物理接口的路由功能的方式nSwitch(config)#interface fastethernet 0/5nSwitch(config-if)#no switchportnSwitch(config-if)#ip address 192.168.1.1
17、255.255.255.0nSwitch(config-if)#no shutdownn 关闭物理接口路由功能关闭物理接口路由功能nSwitch(config-if)# switchport6. 案例分析案例分析n案例背景案例背景某证券公司网络采用了某证券公司网络采用了100BASE-TX交换到桌面的技术交换到桌面的技术标准,网络拓扑结构如下图所示。标准,网络拓扑结构如下图所示。n案例背景案例背景 在在4台接入层交换机上分别接入台接入层交换机上分别接入6个部门的个部门的82台台PC机。该公司的部门设置如下图所示。机。该公司的部门设置如下图所示。证券证券证券证券公司公司公司公司营销营销营销营销业
18、务部业务部业务部业务部投资投资投资投资业务部业务部业务部业务部人力人力人力人力资源部资源部资源部资源部计划计划计划计划财务部财务部财务部财务部网络网络网络网络工程部工程部工程部工程部总裁总裁总裁总裁办公室办公室办公室办公室nVLAN设计经分析,可以将局域网内的终端按部门划分为经分析,可以将局域网内的终端按部门划分为6个部分,个部分,加上机房设备共为加上机房设备共为7个部分,每一部分为一个虚拟局域个部分,每一部分为一个虚拟局域网,每一个虚拟子网采用网,每一个虚拟子网采用C类类IP地址作为网络地址,划地址作为网络地址,划分的详细情况如下表所示。分的详细情况如下表所示。案例分析n案例拓扑图案例拓扑图
19、 原有的核心交换机由于不支持三层交换,所以不能再作为核心交原有的核心交换机由于不支持三层交换,所以不能再作为核心交换机使用,可将其作为接入层交换机使用。核心交换机采用一台支持换机使用,可将其作为接入层交换机使用。核心交换机采用一台支持三层交换的三层交换的S3550-48交换机,配合原有的五台交换机,配合原有的五台S2126G交换机作为接交换机作为接入层交换机构成通信子网,网络拓扑结构如下图所示。入层交换机构成通信子网,网络拓扑结构如下图所示。nVLAN设计为保证网络的整体性能,保证核心交换机三层交换功能为保证网络的整体性能,保证核心交换机三层交换功能的有效发挥,将采基于端口的虚拟局域网技术划分虚拟的有效发挥,将采基于端口的虚拟局域网技术划分虚拟局域网。交换机端口分配如下表所示。局域网。交换机端口分配如下表所示。