网络互连设备-交换机VLAN配置.ppt

《网络互连设备-交换机VLAN配置.ppt》由会员分享，可在线阅读，更多相关《网络互连设备-交换机VLAN配置.ppt（58页珍藏版）》请在装配图网上搜索。

1、虚拟局域网VLAN,什么是VLAN,下面是一些常见的广播通信： ARP请求：建立IP地址和MAC地址的映射关系。 RIP：一种路由协议。 DHCP：用于自动设定IP地址的协议。 NetBEUI：Windows下使用的网络协议。 IPX：Novell Netware使用的网络协议。 用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。,以太网端口的链路类型,交换机的端口的链路类型可以分为以下几种： 访问链接(Access Link） Trunk链接（Trunk Link） Hybrid链接（华为）,访问链路类型(Access L

2、ink）,访问链路类型,访问链接类型端口，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。,静态VLAN,静态VLAN又被称为基于端口的VLAN（Port Based VLAN）。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。,动态VLAN,动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。动态VLAN可以大致分为3类： 基于MAC地址的VLAN（MAC Based VLAN） 基于子网的VLAN（Subnet Based VLAN） 基于用户的VLAN（User Based VLAN）,基于MAC地址的VL

3、AN,基于MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。,基于子网的VLAN,基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。,基于用户的VLAN,基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。,

4、VLAN间路由,VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。不同VLAN间互相通信时一般需要用到路由功能。,Trunk链接类型,VLAN的Trunk链接,在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。,这时最关键的就是“交换机1和交换机2该如何连接才好呢？”最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。,Trunk链接,为了避免这种低效率的连接方式，人们想办法

5、让交换机间互联的网线集中到一根上，这时使用的就是trunk链接（Trunk Link）。 Trunk链接（Trunk Link）指的是能够转发多个不同VLAN的通信的端口。trunk链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。,IEEE802.1Q,在交换机的trunk链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。 IEEE802.1Q，俗称“Dot One Q”，是对数据帧附加VLAN识别信息的协议。 IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（Type Field）”之间。具体内容为2字节的TP

6、ID和2字节的TCI，共计4字节。,划分VLAN的交换机对帧转发处理,端口接收报文时的处理：,同上,端口发送报文时的处理,Hybrid链路类型,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。,交换机Trunk端口配置,组网需求 SwitchA与SwitchB之间相同VLAN的PC之间可以互访。 SwitchA与SwitchB之间不同VLAN的PC之间禁止互访。,引入了VLAN 以后对二层交换机的报文转发线程产生

7、了如下的影响： 交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到（同时还要确保报文的入VLAN 和出VLAN 是一致的），就将该数据帧发送到相应的端口，如果找不到，就向（VLAN 内）所有的端口发送； 如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文； 交换机向（VLAN 内）入端口以外的其它所有端口转发广播报文,交换机Trunk端口配置,在Trunk 端口转发报文的时候，如果报文的VLAN Tag 等于端口上配置的默认VLAN ID，则该报文的Tag 应该去掉，对端收到这个不带Tag 信息的报文后， 从端口的PVID 获得报文的所属VLAN

8、信息，因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。 为什么要去Tag 呢？这样做是为了保证一般的用户插到Trunk 上以后，仍旧可以正常通信，因为普通用户无法识别带有802.1Q Vlan 信息的报文。,交换机Trunk端口配置,交换机Hybrid端口配置,配置环境参数 PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24，PC3的IP地址为10.1.1.3/24，服务器的IP地址为10.1.1.254/24。 组网需求 PC1、PC2和PC3都可以访问服务器；其余的PC间访问均禁止。 【SwitchA相关配置】 1.创

9、建（进入）VLAN10 SwitchAvlan 10 2.创建（进入）VLAN20 SwitchAvlan 20 3.创建（进入）VLAN30 SwitchAvlan 30 4.创建（进入）VLAN100 SwitchAvlan 100,5.配置端口E0/1为Hybrid端口 SwitchAinterface Ethernet 0/1 SwitchA-Ethernet0/1port link-type hybrid SwitchA-Ethernet0/1port hybrid vlan 10 100 untagged SwitchA-Ethernet0/1port hybrid pvid vl

10、an 10 6.配置端口E0/2为Hybrid端口 SwitchAinterface Ethernet 0/2 SwitchA-Ethernet0/2port link-type hybrid SwitchA-Ethernet0/2port hybrid vlan 20 100 untagged SwitchA-Ethernet0/2 port hybrid pvid vlan 20,7.配置端口E0/3为Hybrid端口 SwitchAinterface Ethernet 0/3 SwitchA-Ethernet0/3port link-type hybrid SwitchA-Etherne

11、t0/3port hybrid vlan 30 100 untagged SwitchA-Ethernet0/3port hybrid pvid vlan 10 8.配置端口G2/1为Hybrid端口 SwitchAinterface GigabitEthernet 2/1 SwitchA-GigabitEthernet2/1port link-type hybrid SwitchA-GigabitEthernet2/1port hybrid vlan 10 20 30 100 untagged SwitchA-GigabitEthernet2/1 port hybrid pvid vlan

12、100,VLAN间路由,在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。 计算机分属不同的VLAN，也就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高一层网络层的信息（IP地址）来进行路由。,使用路由器进行VLAN间路由,在使用路由器进行VLAN间路由时，会遇到“该如何连接路由器与交换机”这个问题。路由

13、器和交换机的接线方式，大致有以下两种： 将路由器与交换机上的每个VLAN分别连接 不论VLAN有多少个，路由器与交换机都只用一条网线连接,每个VLAN一个物理连接,在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。,VLAN 100,VLAN 200,VLAN 300,使用VLAN Trunking,二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking，使多个VLAN共享同一条物理连接到路由。,VLAN 100,VLAN 200,VLAN 300,具体实现过程为：首先将用于连接路由器的交换机端口设为trunk链接，而路由器上的端口也

14、必须支持trunk链路。,双方用于trunk链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的“子接口（Sub Interface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。,同一VLAN内的通信,红色VLAN（VLAN ID=1）的网络地址为192.168.1.0/24，蓝色VLAN（VLAN ID=2）的网络地址为192.168.2.0/24。各计算机的MAC地址分别为A/B/C/D，路由器链接端口的两虚接口的MAC地址分别为R1和R2。交换机通过对各端口所连计算机MAC地址的学习，生成MAC地址列表。,R1,R2,同一VLAN内的通

15、信(AB),计算机A发出ARP请求信息，请求解析B的MAC地址。交换机收到数据帧后，检索MAC地址列表中与收信端口同属一个VLAN的表项。结果发现，计算机B连接在端口2上，于是交换机将数据帧转发给端口2，最终计算机B收到该帧。收发信双方同属一个VLAN之内的通信，一切处理均在交换机内完成。,同一VLAN内的通信,不同VLAN间通信时数据的流程,考虑一下计算机A与计算机C之间通信时的情况。 计算机A从通信目标的IP地址（192.168.2.1）得出C与本机不属于同一个网段。因此会向设定的默认网关（Default Gateway，GW）转发数据帧。在发送数据帧之前，需要先用ARP获取默认网关的MA

16、C地址。 得到路由器的MAC地址R1后，接下来就是按图中所示的步骤发送往C去的数据帧。在的数据帧中，目标MAC地址是路由器的地址R1、但内含的目标IP地址仍是最终要通信的对象C的地址。,华为设备举例,需求:采用一台支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q. 组网:路由器E0端口与交换机的上行trunk端口(第24端口)相连,交换机下行口划分3个VLAN,带若干主机.,1.路由器的配置 Routerinter e0 Router-Ethernet0inter e0.1 /定义子接口E0.1 Router-Eth

17、ernet0.1ip add 172.16.1.1 255.255.255.0 Router-Ethernet0.1vlan-type dot1q vid 1 /指定以太网子接口属于VLAN1,此命令应用在以太网子接口上。只有配置了该命令之后，以太网子接口才会根据配置的VLAN ID 号在以太网帧头中嵌入VLAN 标签，与该网口相连的交换机接口才能正确处理接收到的帧。,Router-Ethernet0.1inter e0.2 /定义子接口E0.2 字串2 Router-Ethernet0.2ip add 172.16.2.1 255.255.255.0 Router-Ethernet0.2vl

18、an-type dot1q vid 2 /指定以太网子接口属于VLAN2 Router-Ethernet0.2inter e0.3 /定义子接口E0.3 Router-Ethernet0.3ip add 172.16.3.1 255.255.255.0 Router-Ethernet0.3vlan-type dot1q vid 3 /指定以太网子接口属于VLAN3,2.交换机的配置 Quidway-vlan1vlan 2 Quidway-vlan2port ethernet 0/17 to eth 0/19 eth 0/22 /将第17至19端口，和第22端口加入VLAN2 Quidway-v

19、lan2vlan 3 Quidway-vlan3port eth 0/21 /将第21端口加入VLAN3 Quidway-vlan3inter e0/24 Quidway-Ethernet0/24port link-type trunk /将第24端口设为trunk口 Quidway-Ethernet0/24port trunk permit vlan all /允许所有VLAN流量通过,使用三层交换机进行VLAN间路由,交换机使用被称为ASIC（Application Specified Integrated Circuit）的专用硬件芯片处理数据帧的交换操作，在很多机型上都能实现以缆线速度

20、（Wired Speed）交换。而路由器，则基本上是基于软件处理的。即使以缆线速度接收到数据包，也无法在不限速的条件下转发出去，因此会成为速度瓶颈。 为了解决上述问题，三层交换机（Layer 3 Switch）应运而生。三层交换机，本质上就是“带有路由功能的（二层）交换机”,三层交换机功能模型,10.110.0.113/24 G:10.110.0.254,10.110.1.69/24 G:10.110.1.254,10.110.1.88/24 G:10.110.1.254,10.110.2.200/24 G:10.110.2.254,ETH0:10.110.0.254/24,ETH1:10.1

21、10.1.254/24,ETH2:10.110.2.254/24,三层交换机中的路由和二层交换,二层交换引擎：实现同一网段内的快速二层转发 三层路由引擎：实现跨网段的三层路由转发,交换机VLAN接口静态IP地址配置,实例1,实例2,实例3,实例4,创建/删除VLAN,可以使用下面的命令来创建/删除VLAN 创建VLAN 时。如果该VLAN 已存在则直接进入该VLAN 视图，如果该VLAN 不存在则此配置任务将首先创建VLAN，然后进入VLAN 视图。 请在系统视图下进行下列配置： 创建VLAN 并进入VLAN 视图： vlan vlan_id 删除已创建的VLAN undo vlan vlan

22、_id to vlan_id | all 请注意缺省VLAN 即VLAN 1 无需创建也不能被删除,为VLAN 指定以太网端口,可以使用下面的命令为VLAN 指定以太网端口。请在VLAN 视图下进行下列配置： 为指定的VLAN 增加以太网端口 port interface_list 删除指定的VLAN 的某些以太网端口 undo port interface_list 缺省情况下系统将所有端口都加入到一个缺省VLAN 即VLAN 1 中 需要注意的是Trunk 和Hybrid 端口只能通过以太网端口视图下的port 和undo port 命令加入VLAN 或从VLAN 中删除而不能通过本命令实

23、现。,当前以太网端口加入到指定的VLAN,把当前以太网端口加入到指定的VLAN 中。Access 端口只能加入到1 个VLAN 中，Hybrid 端口和Trunk 端口可以加入到多个VLAN 中。请在以太网端口视图下进行下列设置。,设置以太网端口缺省VLAN ID,Access 端口只属于1 个VLAN，所以它的缺省VLAN 就是它所在的VLAN，不用设置。 Hybrid 端口和Trunk 端口属于多个VLAN，所以需要设置缺省VLAN ID。 如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag 的报文后，则将报文转发到属于缺省VLAN 的端口；当端口发送带有VLAN Tag

24、 的报文时，如果该报文的VLAN ID 与端口缺省的VLAN ID 相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。 缺省情况下，Hybrid 端口和Trunk 端口的缺省VLAN 为VLAN 1，Access 端口的缺省VLAN 是本身所属于的VLAN。,设置以太网端口缺省VLAN ID,在以太网端口视图下进行配置,创建/删除VLAN 接口,可以使用下面的命令来创建/删除VLAN 接口。请在系统视图下进行配置。,为VLAN 接口指定/删除IP 地址和掩码,为了实现VLAN 接口上的网络层功能，VLAN 接口需要指定IP 地址和掩码可以使用下面的命令为VLAN 接口指定/删除IP 地址和掩码。 在一般情况下一个VLAN 接口配置一个IP 地址为了使交换机的一个VLAN 接口可以与多个子网相连一个VLAN 接口可以配置10 个IP 地址其中一个为主IP 地址其余为从IP 地址。 在VLAN 接口视图下进行配置,