Transcript Document

第3章 VLAN技术
教学大纲要求：
掌握VLAN的基本概念（包括Native Vlan、技
术标准的规定）
掌握VLAN的定义：Port VLAN和Tag VLAN
掌握VLAN配置方法
掌握VLAN间路由（原理介绍）
掌握VTP协议原理及配置方法
本章内容
3.1
引言
3.2
VLAN技术及基本配置
3.3
VLAN间的通信
3.4 VLAN中继协议(VTP)
引言——交换网络中广播的问题
F0/1
A
F0/2
B
F0/1
F0/3
C
E
F0/2
F
F0/1
F0/3
G
H
F0/2
I
发送未知帧——广播！发送不在同一交换机的帧——还是广播！！
在交换机组成的网络里所有主机都在同一个广播域内。
F0/3
J
引言——交换网络中的数据安全问题
 交换网络在数据安全上存在的问题
 学校或公司各部门组成局域网，并共享一条链路访问
互联网。但其中有些重要部门的数据不能被其他部门
随意访问；
 交换机不能隔离广播；
 一台交换机内所有主机直接可以访问，如何隔离？
 解决办法之一：VLAN（虚拟局域网）
 将物理网络进行逻辑划分，不受地理位置限制。每个
VLAN具有物理网络的所有特性。
 解决办法之二：用路由器划分子网：路由技术
要点：通过VLAN技术可以分割广播域，对网络进行一个安全
的隔离、
引言—交换网络中问题的解决—VLAN技术
VLAN20
VLAN10
VLAN30
VLAN40
要点：通过VLAN技术可以对网络进行一个安全的隔离、分
割广播域
VLAN的优点
 减少移动和改变的代价
 虚拟工作组
 限制广播包
 安全性
VLAN标准
 802.1Q协议
 ISL协议
ISL 头
26 bytes
DA
Type User
CRC
4 bytes
以太帧数据
SA LEN AAAA03 HSA VLAN BPDU
BPDU INDEX RES
VLAN




用ISL头与CRC进行帧封装
可以支持多个VLAN (1024)
VLAN号
BPDU控制位
BPDU
3.2 VLAN技术及基本配置
交换机
1
2
3
4
广播帧
广播帧
广播域
广播域
VLAN （Virtual Local Area Network）
VLAN是在一个物理网络上划分出来的逻辑网络。这个网
络对应于OSI 模型的第二层网络。VLAN的划分不受网络
端口的实际物理位置的限制。VLAN 有着和普通物理网络
同样的属性。第二层的单播、广播和多播帧在一个VLAN
内转发、扩散，而不会直接进入其他的VLAN之中。
3.2.1 VLAN概述
 VLAN的分类
 基于端口的VLAN：是某些交换端口的集合，是目前应
用最多的，最基本的划分方式，目前几乎所有交换机都
支持该种VLAN的划分方式；
 基于协议的VLAN：根据承载数据的三层协议来确定
VLAN的成员，如基于IP，IPX等协议的VLAN；
 基于MAC地址的VLAN：根据计算机网卡的MAC地址划
分VLAN。其特点是用户的物理位置可以任意移动，但
是交换机的执行效率较低；
3.2.1 VLAN概述
 VLAN的分类（续）
 基于子网的VLAN：根据主机的网络层地址，如IP地址
划分VLAN。它根据第三层子网信息划分不同的VLAN；
 根据IP组播地址划分VLAN：根据组播地址划分VLAN，
一个组播组就是一个VLAN，这种划分方法将VLAN扩展
到广域网；
 基于策略的VLAN：根据高层协议（应用）划分VLAN。
它可以根据不同的应用、策略进行应用级的划分。
3.2.2 单交换机基于端口的VALN:Port VLAN
1. 概述：将单个交换机的不同的端口划分为不同的
VLAN。
F0/1
VLAN10广播域
F0/2
F0/6
F0/7
VLAN20广播域
3.2.2 单交换机基于端口的VALN:Port VLAN(续)
2.Port-vlan原理：在MAC地址表中增加VLAN ID字段
F0/1
Vlan 10
A
F0/2
A
F0/3
Vlan 10
Vlan 20
B
X
A
B
C
C
交换机端口
源MAC地址
VLAN ID
F0/1
A
10
F0/2
B
20
F0/3
C
10
3.2.2 单交换机基于端口的VALN:Port VLAN(续)
3.配置Port VLAN-Access：创建VLAN，并加入一个端口
创建VLAN100，将它命名为test的例子
Switch# configure terminal
Switch(config)# vlan 100
Switch(config-vlan)# name test
Switch(config-vlan)# end
Port VLAN，即将
连接主机的端口设
成access模式。
把ethernet 0/10作为access口加入了VLAN100
Switch# configure terminal
Switch(config)# interface fastethernet0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 100
Switch(config-if)# end
注：端口模式可分为access模式及trunk模式。
3.2.2 单交换机基于端口的VALN:Port VLAN(续)
4.配置Port VLAN-Access：将一组端口加入VLAN
 将一组接口加入某一个VLAN
 Switch(config)# vlan 20 //创建VLAN20
 Switch(config-vlan)# exit
 Switch(config)#interface range fastethernet 0/1-10，
0/15，0/20
//选择端口组fastethernet 0/1-10， 0/15，0/20
 Switch(config-if-range)#switchport access vlan 20
//将该端口组加入到VLAN20中；
 注：连续接口 0/1-10，不连续接口用逗号隔开，
但一定要写明模块编号
3.2.2 单交换机基于端口的VALN:Port VLAN(续)
5.验证Port VLAN-Access：
 将不同的PC机接入同一VLAN中的不同端口ping
 结果：可以ping通
 将不同的PC机接入不同VLAN中的不同端口ping
 结果：不能ping通
 注意：各PC机的IP地址要在同一子网中
实验 单交换机基于端口的VALN的配置与验证
【试验目的】通过三层交换机实现VLAN间的相互通信。
【试验设备】1台S2126G(SA)、1台S3550(SB)。
【试验拓扑】：见下图
F0/1
Vlan 10
PC1
F0/2
F0/7
F0/6
Vlan 10 Vlan 20
PC2
【地址规划】：
PC1：192.168.0.1
PC2：192.168.0.2
PC3
Vlan 20
PC4
PC3:192.168.0.3
PC4:192.168.0.4
实验 单交换机基于端口的VALN的配置与验证
试验步骤与验证测试：
1. 未划分VLAN时
将不同的PC机接入同一交换机的不同端口ping
结果：可以ping通
2.划分VLAN后
（1）将不同的PC机接入同一VLAN中的不同端口ping
结果：可以ping通
（2）将不同的PC机接入不同VLAN中的不同端口ping
结果：不能ping通
注意：各PC机的IP地址要在同一子网中