目录
1、vlan技术简介…………………………………………………….41.关于局域网(LAN)……………………………………………4
2.什么是VLAN………………………………………………………5
3.VLAN 的优点………………………………………………………7
4.VLAN的分类………………………………………………………9
5.VLAN的应用………………………………………………………102、Vlan的划分方式…………………………………………………10
1. 基于端口划分的VLAN…………………………………………10
2.基于MAC地址划分VLAN…………………………………………11
3.基于网络层划分VLAN …………………………………………11
4.根据IP组播划分VLAN…………………………………………123、VLAN的配置
1.三层交换机构建的VLAN网络结构……………………………13
2.三层共享有用……………………………………………………17
3.三层交换技术……………………………………………………19
4.VLAN 应用举例…………………………………………………20
5.交换机应用分析…………………………………………………204、VLAN技术在校园网中的应用
1校园网概况………………………………………………………22
2 校园网具体情况介绍……………………………………………22
3 学校系统情况……………………………………………………22
4 校园网系通划……………………………………………………23结束语…………………………………………………………………24致谢……………………………………………………………………24参考文献………………………………………………………………25
浅谈vlan技术
摘要:VLAN(Virtual Local AreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
关键词:VLAN VLAN聚合 PVLAN GVRP VTP
1. VLAN 技术简介
1. 关于局域网(LAN)
因为VLAN技术与局域网技术息息相关,所以在介绍VLAN之前,了解局域网的知识是有必要的。局域网主要使用Hub,网桥,或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信。图一所示为使用路由器构建的典型的局域网环境。
图一所示网络中,通过使用路由器划分出不同的局域网段。其中,
位于圆形区域之内的部分就是一个个相互独立的局域网段。为了便于在本文中进行说明,我们为不同的网段进行了编号。需要注意的一点就是,每一个局域网所连接的路由器接口都属于该局域网广播域的一部分。随着网络的不断扩展,接入设备逐渐增多,网络结构日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互连。这样做的一个缺陷就是随着网络中路由器数量的增多,网络时延逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一处局域网传递到另一处局域网时,必须经过路由器的路由操作,路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去
2.什么是VLAN
VLAN是英文Virtual Local Area Network的缩写,即虚拟局域网。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。 VLAN充
分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看,VLAN与普通局域网最基本的差异体现在:VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区的任意位置,甚至位于不同的国家。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN 之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN 技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标, 在局域网中有效利用虚拟局域网技术能够提高网络运行效率.
图二
还是连接相同的网络终端,通过如图所示的交换网络提供了同样的网络连接。虽然图二所示的网络比起图一所示网络在速度和网络时延方面都有了很大的改进和提高,但是同样存在一些不足。其中,最突出的一点就是现在所有的网络节点都处于同一个广播域内,大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
3.VLAN 的优点
<1>.增加了网络的连接灵活性:
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
<2>.控制网络上的安全
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN 组,该VLAN 组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
<3>.增加网络的安全性
因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在 LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
4.VLAN的分类
基于端口的VLAN:
基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。
基于MAC地址的VLAN:
由于只有网卡才分配有MAC地址,因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上,该VLAN是一些MAC地址的集合。当设备移动时,VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第3层的VLAN:
基于第3层的VLAN是采用在路由器中常用的方法:IP子网和IPX 网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略的VLAN:
基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略?目前,常用的策略有(与厂商设备的支持有关):按MAC地址, 按IP地址, 按以太网协议类型, 按网络的应用等5.VLAN的应用
在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的集线器上一样。同一个VLAN中的广播只有
VLAN中的成员才能听到,而不会传输到其他的 VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN 之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN 的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
2.VLAN 的划分方式
VLAN在交换机上的实现方法,可以大致划分为4类:
1. 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10, 5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义
2.基于MAC地址划分VLAN
这种划分VLAN 的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN 就必须不停的配置。
3.基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP 地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因
为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4.根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
鉴于当前业界VLAN发展的趋势,考虑到各种VLAN划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在VLAN 的具体使用和维护中的工作量,Quidway S系列交换机采用根据端口来划分VLAN的方法。
VLAN 之间的通信
虚拟局域网可以跨交换机实现,交换机之间用于传输不同的虚拟局域网数据的级连线称为主干线或者中继线。如下图所示。主干线或中继线要选用高带宽、高容量的线路。
在中继线上传输不同的VLAN的数据时,可使用有两种方法识别不同的VLAN的数据:帧过滤和帧标记。帧过滤法根据交换机的过滤表检查帧的详细信息。每一个交换机要维护复杂的过滤表,同时对通过主干的每一个帧进行详细检查,这会增加网络延迟时间。目前在VLAN中这种方法已经不使用了。现在使用的是帧标记法。数据帧在中继线上传输的时候,交换机在帧头的信息中加标记来指定相应的VLAN ID。当帧通过中继以后,去掉标记同时把帧交换到相应的VLAN端口。帧标记法被IEEE 选定为标准化的中继机制。
以太网上实现中继可使用下面两种封装类型:ISL(Inner Switch Link)和IEEE 802.1q。ISL是CISCO特有的标记方法,而802.1q是一种标准的标记方法,非CISCO的产品也能够支持。因此,实现中继时候需要把级连交换机的两个端口配置为中继(Trunk),同时需要选择相同的封装类型。
3、VLAN的配置
1三层交换机构建的VLAN网络结构
VLAN网络的划分最大的特点就在于它的灵活性,而采用VLAN方式划分网络主要有静态VLAN和动态VLAN方式,静态VLAN实际上就基于端口的VLAN,这种划分方式由于要管理员对每个交换机的端口都要进行配置,显得非常复杂,一般不采用这种方式。动态VLAN又分为三种划分方式,基于子网的VLAN,基于MAC地址的VLAN,基于用户的VLAN。这三种方式各有各的特点,因此,我们在划分VLAN网络的时候可以灵活搭配,例如移动用户由于外置无线网卡随时可能被更换,所以我们对移动用户
可采用用户的VLAN划分方式,将这部分划为一个基于用户的VLAN。而一些固定的用户我们可采用基于子网的VLAN方式,也就是把一个段的IP划分为一个VLAN。因此,划分VLAN显得非常灵活。
网络第一层我们采用了路由器,这是由于路由器本身就是连接内网和外网的唯一工具,因此,路由器不能缺少,只是VLAN间通信路由不在路由器中实现。但我们也必需注意,大型VLAN网络由于数据传输量非常大,对路由器的要求也非常高,所以我们不能简单的认为有了三层交换机对路由器要求就不高了。因此,我们选择路由器还是要根据整个网络的规模来看。
在第二层就是采用的三层交换机,这也是整个大型VLAN网络的关键所在。三层交换机具有路由和交换两种功能,其中的路由功能是实现VLAN 间通信的关键技术。当第一个数据流进入三层交换机后,三层交换机将会对这个数据流进行路由,在路由的同时三层交换机会产生一个MAC地址与IP地址的映射表,这样做的好处就是当同样的数据流进入三层交换机后,不需要三层交换机对这个数据流再进行一次路由,这个数据流只需要直接通过三层交换机就能实现VLAN间通信,从而有效解除了路由器所带来的网络瓶颈。三层交换机也是划分VLAN网络的关键所在,管理员只需要对三层交换机进行配置就可完成对VLAN网络的划分。所以在选择三层交换机时,我们一定要根据自己的实际情况进行合理选择,才能更加有效的保证整个VLAN网络的正常运行。
在网络的第三层,我们选用的二层交换机,二层交换机在VLAN网络中的作用实际上只是保证整个网络基层的正常运行,如果网络规模非常
大,那么这一层最好选择千兆交换机,让网络的下一层继续连接交换机进行扩展,如果网络规模不是非常大(采用三层交换机连接的计算机数量最少也是在200台以上),这一层直接选择普通交换机就可以了。
在网络最底层是整个网络的基础,也是我们决定怎样划分VLAN网络的标准,它们由企业的计算机终端、服务器等组成。
再次申明,VLAN网络的划分需要在三层交换机上进行配置才能实现,上图是经过配置之后的一个VLAN结构图。我们看到,在上图中的销售部,售后服务部和财务部三个VLAN都选用了二层交换机,由于这些部门对网络带宽要求不大,加上计算机数量少,每个VLAN只有20台,实际上我们选择24口的交换机就能实现VLAN,用户可根据自己实际情况来决定。
设计部VLAN由于计算机数量多,所以我们用了一个千兆交换机加上多个普通交换机实现VLAN,而在服务器我们也选择了千兆交换机进行连接,这主要是由于服务器对网络带宽本身要求就非常高。三层交换机和路由器的选择也是根据实际情况而定。
下面我们就根据上面这个VLAN结构图来为大家推荐几款产品。
STAR-R2620是一款面向中小型企业的模块化路由器,该款路由器采用了ARM 4530处理器,拥有32MB内存和8MB闪存,加上1个10/100Mbps 自适应LAN口和1个WAN口,能够充分满足中小型企业用户作为核心路由器的需要,同时也可作为大型企业接入路由器使用。该款路由器提供了两个可扩展的插槽,用户可根据自己情况选择不同的扩展模块,满足用户对多业务的需要。并且这些扩展模块都自带有CPU,当这些扩展模块插到路由器上时,能够减低对路由器CPU的运算负荷。STAR-R2620支
持语音功能,可进行视频会议,并且能够实现实时传真,充分满足了企业用户对各种不同业务的需要。该款路由器还支持VPN功能,通过该项功能,企业可实现远程访问,即使企业内员工远在千里之外,也能够对企业内部资源进行访问。该款路由器具有完善的Qos机制,当企业内网出现网络资源不足情况时,该项功能能够对一些核心业务分配足够的网络带宽资源,满足用户的需要。在安全方面,该款路由器支持MAC地址绑定,基于时间的访问控制,命令分层保护等功能,能够抵御来自互联网中一些黑客的攻击。
由于路由器在大中型VLAN网络中只是起一个企业网络和互联网连接的作用,对VLAN方面并没有什么要求,而对于企业网络来说,语音,VPN等功能又是比较常用的功能,因此我们选择了STAR-R2620路由器。
三层交换机在大中型VLAN网络中属于核心产品,所有VLAN间通信都要通过三层交换机进行路由之后才能实现,而三层交换机又需要对所有数据进行交换,因此三层交换机的负荷非常大,所以,我们在选择三层交换机的时候一定要慎重。
锐捷网络 STAR-S3550-12G 三层交换机
2.三层共享有用
由VLAN的性质所决定,完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则:1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。前者较好理解,也容易实现,我
们重点讨论后者,即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。由于VLAN1(VLAN2也是这样)的范围跨越了整个网络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源被共享的程度不就减轻了吗?
由于在这种结构中不存在跨越核心交换机的虚网,因此各VLAN的广播包就不会穿过核心交换机,但这些广播包却均能到达核心交换机,同时核心交换机上还会有ACL允许的VLAN间的正常数据流通过。很显然,这时的核心交换机既阻挡了各VLAN的广播包,又转发了VLAN间的正常数据流,其被共享的形式由“广播式”变成了“路由式”,受VLAN影响的程度变小。
有人可能会说,把核心交换机从二层提到了三层,性能会下降。这种说法无疑是正确的,但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。尽管受单个VLAN影响的程度和范围均变小,但共享链路的长度和强度并没有本质的变化。
三层结构最有效
网络中的VLAN没有体现VLAN技术的原始目的——不同物理位置上的计算机能像在同一物理网中一样相互访问。这个问题正是本文涉及的核心问题,也是针对规划、部署VLAN提出的新观点:在网络中,特别是较大型网络,不要企图利用VLAN去实现不同物理位置上计算机的互联互通,互通性要由路由策略去实现。这在以往会有些问题,但网络技术发展到今天,交换机与路由器间的差别变得越来越小,原来用二层实现的方法很多都能够用三层技术所代替。用三层技术代替二层的功能有很多
优点,主要表现在:结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。
尽管核心交换机被共享的形式改变了,但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生,很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络。
在三层网络结构中,汇聚层与核心层之间的区域不再有VLAN,汇聚层交换机的VLAN也仅限于部分端口,这时汇聚层交换机成为被“路由共享”的交换机。
如果使汇聚层交换机的性能远高于接入层的交换机,那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。
任何方案都具有利的一面和不利的一面,三层拓扑结构的网络也会带来一些问题:1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理,对于这个问题的解决方案可充分利用网管软件。2)由于VLAN数量的增多、路由协议等技术的引入,此时的网络会比二层平面交换网络要复杂,对网络技术人员的要求更高,管理维护成本会有所增加。
这两点是大型网络管理本身的要求,大型网络的管理不可能不使用网络管理工具,技术人员的缺乏更是各个企业都面临的问题,对此有的专家提出了“IT物业”的理念,也许这就是将来解决这个问题的最终方案。
3三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
4.VLAN 应用举例:
下面是一些不同形式的VLAN 应用举例:
工程部有些机密文件需要保密
解决方法:通过把工程部的用户放到他(或她)自己的基于MAC 地址
的VLAN 中。这个VLAN 所唯一允许的访问,只有该用户自己。任何其它用户都不能监听到该用户的内容,因为该用户的内容不会转发到其它的网段上去。另外,还有一种更加安全的方式,分配一个专用的端口给这个用户,为他产生一个基于端口的VLAN 。
销售部门的笔记本用户经常需要从外地进行拨号访问
解决方法:产生一个基于IP 子网的VLAN ,使用IP 地址来表示用户。这样无论用户处在何处都能进行网络访问。
公司安装了视频培训服务器,要防止用户做视频访问时占用太多的带宽解决方法:产生一个组播地址的VLAN 。
公司总裁需要能访问财务,销售等其它部门的VLAN
解决方法:使公司总裁成为其它各部门的VLAN 的成员。
5交换机应用分析
1.大型企业(500节点以上):大型企业具有跨地域、跨行业、多层次和全方位等特点,业务内容覆盖面广,网络数据传输量大,数据交换能力强,首先要满足企业内部通信的需要,建立网络平台。并且要求网络系统不宕机,稳定可靠,不间断运行。要在注重考虑高性能、可管理性、高可靠性、适用性和性能价格比的基础上选择产品。
2.邮电行业:电信系统由于其经营特点和为公众服务的目的,决定了电信系统机构在地理位置上分布范围广,提供业务多而且不断更新。网络设备要求更是严格,一般网络设备选型为广域网产品。
3.铁路系统:铁路系统一般对广域网通信要求较高,各个站点的节点数不是特别多,所以各站点在建设局域网进行设备选型时可考虑选择
部门级交换机或工作组级交换机。
4.银行业:该行业支行分布范围广,业务活动频繁,业务品种变化多,业务量增长快,因此对稳定性和响应时间要求比较高。由于该行业对数据敏感性特别高,因此要求有链路冗余,传输链路应具有备份功能,一旦主线路发生故障,备份线路可立即替换。所以要求网络设备处理能力强、容错性能好,并考虑好扩展性、可用性及可靠性。
5.证券业:该行业具有迅速、及时响应和稳定、安全、可靠、不间断运行的特点。设备选型要求背板速度快、冗余性能好、可管理及可堆叠,并充分考虑好设备的可开放性、可扩展性、可用性和可靠性。
6.教育行业:该行业对数据的关键性要求不是很高,涉及到多媒体教学、视频点播等主要应用,设备选型时要考虑到高带宽、高可用性及高扩展性。
7.中小型企业:对于企业的网络节点数少于500点的中小型企业,在创建企业Intranet时,由于企业内部数据流量不大,实时响应性不高,同时考虑到企业的可持续性发展,应注重网络设备的通用性、可靠性、可管理性、可扩充性及性能价格比。
总之,网络已经改变,用户却希望网络总是可以工作并且总是透明的。适应这种需求需要有弹性、速度和安全的控制。Internet 及Intranet 已经使企业将注意力集中到最重要的东西——信息上,而不是基础需求。而灵活的组网、线速性能以及完全的扩展性能使设备配置长期有效。
结构上,通过策略控制网络是新的网络技术范例。控制方式使网络变得透明并保持配置 Intranet的灵活性。通过交换技术,能满足用户今
子网划分与VLAN技术详解 子网划分 子网划分定义:Internet组织机构定义了五种IP地址,有A、B、C三类地址。A类网络有126个,每个A类网络可能有16777214台主机,它们处于同一广播域。而在同一广播域中有这么多结点是不可能的,网络会因为广播通信而饱和,结果造成16777214个地址大部分没有分配出去。可以把基于类的IP网络进一步分成更小的网络,每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后,通过使用掩码,把子网隐藏起来,使得从外部看网络没有变化,这就是子网掩码。 子网掩码 RFC 950定义了子网掩码的使用,子网掩码是一个32位的2进制数,其对应网络地址的所有位置都为1,对应于主机地址的所有位都置为0。由此可知,A类网络的默认子网掩码是255.0.0.0,B类网络的默认子网掩码是255.255.0.0,C类网络的默认子网掩码是255.255.255.0。将子网掩码和IP地址按位进行逻辑“与”运算,得到IP地址的网络地址,剩下的部分就是主机地址,从而区分出任意IP地址中的网络地址和主机地址。子网掩码常用点分十进制表示,我们还可以用网络前缀法表示子网掩码,即“/<网络地址位数>”。如138.96.0.0/16表示B类网络138.96.0.0的子网掩码为255.255.0.0。 路由器判断IP 子网掩码告知路由器,地址的哪一部分是网络地址,哪一部分是主机地址,使路由器正确判断任意IP地址是否是本网段的,从而正确地进行路由。例如,有两台主机,主机一的IP 地址为222.21.160.6,子网掩码为255.255.255.192,主机二的IP地址为222.21.160.73,子网掩码为255.255.255.192。现在主机一要给主机二发送数据,先要判断两个主机是否在同一网段。 主机一 222.21.160.6即:11011110.00010101.10100000.00000110 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.00000000 主机二 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.01000000 两个结果不同,也就是说,两台主机不在同一网络,数据需先发送给默认网关,然后再发送给主机二所在网络。那么,假如主机二的子网掩码误设为255.255.255.128,会发生什么情况呢? 让我们将主机二的IP地址与错误的子网掩码相“与”: 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.128即:11111111.11111111.11111111.10000000 结果为11011110.00010101.10100000.00000000 这个结果与主机一的网络地址相同,主机一与主机二将被认为处于同一网络中,数据不
目标:通过路由器进行多个VLAN互联[1] 环境:1、交换机为二层交换机,支持VLAN划分;2、路由器只有1个Ethernet接口 实施:采用单臂路由,即在路由器上设置多个逻辑子接口,每个子接口对应于一个VLAN。由于物理路由接口只有一个,各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL与802、1q协议。华为设备只支持802、1q。 您的路由器只有一个以太网接口。但就是要进行两个网络(VLAN)的互连,怎么办呢?那就只有通过对路由器的以太网接口进行子接口的划分。这样就可以连接了。有几个VLAN,就要划分几个子接口。 Ethernet交换机(二层或三层交换机)被配置成两个VLAN:VLAN1与VLAN2。端口8配置为一个中继端口,也就就是说端口8属于VLAN 1与VLAN 2。在路由器的一个快速以太口上配置两个子接口,每个子接口被配置到一个独立的IP子网上,并为每个子接口封装一个VLAN ID,分别对应VLAN 1与VLAN 2。因此,交换机
中VLAN 1或VLAN 2的数据流可以通过中继端口8到达路由器子接口f0、1或f0、2,通过两个子接口实现两个VLAN之间的路由。因为路由器只有一个物理接口同一个交换机端口相连接,所以这种路由器有一种别名:单臂路由! 当用户的二层网络就是基于VLAN设计的,但就是三层路由设备却不支持VLAN interface,此时可以使用路由器的子接口,在一个三层接口上创建N个子接口,每个子接口做一下dot1q的封装,指定VLAN Tag,与其相连的交换机使用Trunk链路,这样不同VLAN发送过来的报文可以被正确的发送到对应的子接口去处理。这样就实现了一个接口处理多个VLAN(网段)的数据
目录 1、vlan技术简介…………………………………………………….41.关于局域网(LAN)……………………………………………4 2.什么是VLAN………………………………………………………5 3.VLAN 的优点………………………………………………………7 4.VLAN的分类………………………………………………………9 5.VLAN的应用………………………………………………………102、Vlan的划分方式…………………………………………………10 1. 基于端口划分的VLAN…………………………………………10 2.基于MAC地址划分VLAN…………………………………………11 3.基于网络层划分VLAN …………………………………………11 4.根据IP组播划分VLAN…………………………………………123、VLAN的配置 1.三层交换机构建的VLAN网络结构……………………………13 2.三层共享有用……………………………………………………17 3.三层交换技术……………………………………………………19 4.VLAN 应用举例…………………………………………………20 5.交换机应用分析…………………………………………………204、VLAN技术在校园网中的应用 1校园网概况………………………………………………………22 2 校园网具体情况介绍……………………………………………22 3 学校系统情况……………………………………………………22 4 校园网系通划……………………………………………………23结束语…………………………………………………………………24致谢……………………………………………………………………24参考文献………………………………………………………………25
浅谈VLAN技术(一) 摘要:随着网络的不断扩展,接入设备逐渐增多,迫切需要一种技术解决在局域网内部出现的访问冲突与广播风暴一类的问题,VLAN的产生就解决这个问题。本文介绍了VLAN技术的概念、优点,详细描述了VLAN的划分方法,给出了一个简单的公司内部进行VLAN的划分实例。 关键词:VLAN;网络管理 一、VLAN技术概述 VLAN(VirtualLocalAreaNetwork)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备。 二、VLAN的优点 (一)可以控制网络广播 在没有应用VLAN技术的局域网内的整个网络都是广播域,这样就使得网内的一台设备发出网络广播时,在局域网内的任何一台设备的接口都能接收到广播,因此当网络内的设备越来越多时,网络上的广播也就越来越多,占用的时间和资源也就越来越多,当广播多到一定的数量时,就会影响到正常的信息的传送。这样就能导致信息延迟,严重的可以造成网络的瘫痪、堵塞,严重的影响了正常的网络应用,这就是所谓的网络风暴。 在应用了VLAN技术的局域网中,缩小了广播的广播域,在一个VLAN中的广播风暴也不会影响到其他的VLAN,从而有效地减少了广播风暴对局域网网络的影响。 (二)增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而也减轻了因广播包被截获而引起的信息泄露,增强了网络的安全性。 (三)简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络,灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。 三、VLAN的划分方法 (一)根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。不足之处是不够灵活,当一台机器设备需要从一个端口移动到另一个新的端口,但是新端口与旧端口不在同一个VLAN之中时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能使这台设备加入到新的VLAN。 (二)根据MAC地址划分VLAN 这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,就无需对它进行重新配置,自动把它添加到相应的VLAN中。所以,可以认为这种
利用单臂路由实现VLAN 间通信 一、实训名称 利用单臂路由实现VLAN 间通信 二、实训目的 掌握如何在路由器上划分子接口、封装Dot1q (IEEE 802.1q )协议,理解使用路由器单个接口实验VLAN 间通信的原理。 三、实训设备 两台PC 机,一台cisco 2950-24交换机,一台cisco 1841路由器(可选其他型号),三根直通线。 四、网络拓扑 五、实训步骤 1、交换机的配置: SWITCH#configure terminal 注:进入交换机全局配置模式 SWITCH(config)# vlan 10 注:创建 vlan 10 SWITCH(config)# vlan 20 注:创建 vlan 20 SWITCH(config)#interface range fastethernet 0/6-10 注:同时进入fastethernet 0/6至0/10五个端口配置模式 SWITCH(config-if-range)#switch access vlan 10 注:将 fastethernet 0/6至0/10五个端口加入 vlan 10 中PC1 PC2 VLAN 10 VLAN 20 F0/11 F0/6 F0/1 F0/0 Switch Router
SWITCH(config)#interface range fastethernet 0/11-15 注:同时进入fastethernet 0/11至0/15五个端口配置模式 SWITCH(config-if-range)#switch access vlan 20 注:将 fastethernet 0/11至0/15五个端口加入 vlan 20 中 SWITCH(config)# interface fastethernet 0/1 注:进入 fastethernet 0/1 的接口配置模式 SWITCH(config-if)# switchport mode trunk 注:将 fastethernet 0/1 设为 tag vlan 模式 2、路由器的配置: Router# configure terminal 注:进入路由器全局配置模式 Router(config)#interface fastEthernet 0/0 注:进入路由器的fastethernet 0/0 的接口配置模式 Router(config-if)#no ip address 注:去掉路由器主接口的IP地址 Router(config-if)#no shutdown Router(config)#interface fastEthernet 0/0.10 注:进入子接口Fa 0/0.10 Router(config-subif)#encapsulation dot1Q 10 注:指定子接口Fa 0/0.10对应VLAN 10,并配置为干道模式 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 注:配置子接口Fa 0/0.10的IP地址 Router(config)#interface fastEthernet 0/0.20 注:进入子接口Fa 0/0.20 Router(config-subif)#encapsulation dot1Q 20 注:指定子接口Fa 0/0.20对应VLAN 20,并配置为干道模式 Router(config-subif)#ip address 192.168.20.254 255.255.255.0 注:配置子接口Fa 0/0.20的IP地址 3、配置PC1和PC2的IP地址分别为192.168.10.1和192.168.20.1;PC1和PC2
Vlan技术原理 在数据通信和宽带接入设备里,只要涉及到二层技术的,就会遇到VLAN。而且,通常情况下,VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生,还是已经在这个行业打拼了很多年的前辈,都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题,在工作中也经常被问起关于VLAN的这样或那样的问题,所以,有了想写一点东西的冲动。 大部分童鞋接触交换这门技术都是从思科技术开始的,讨论的时候也脱离不了思科的影子。值得说明的是,VLAN是一种标准技术,思科在实现VLAN的时候加入了自己的专有名词,这些名词可能不是通用的,尽管它们已经深深印在各位童鞋们的脑海里。本文的描述是从基本原理开始的,有些说法会和思科技术有些出入,当然,也会讲到思科交换中的VLAN。 1. 以太网交换原理 VLAN的概念是基于以太网交换的,所以,为了保持连贯性,还是先从交换原理讲起。不过,这里没有长篇累牍的举例和配置,都是一些最基本的原理。 本节所说的以太网交换原理,是针对‘传统’的以太网交换机来说的。所谓‘传统’,是指不支持VLAN。 简单的讲,以太网交换原理可以概括为‘源地址学习,目的地址转发’。考虑到IP层也涉及到地址问题,为了避免混淆,可以修改为‘源MAC学习,目的MAC转发’。从语文的语法角度来讲,可能还有些问题,就再修改一下‘根据源MAC进行学习,根据目的MAC进行转发’。总之,根据个人习惯了。本人比较喜欢‘源MAC学习,目的MAC转发’的口诀。 稍微解释一下。 所谓的‘源MAC学习’,是指交换机根据收到的以太网帧的帧头中的源MAC地址
来建立自己的MAC地址表,‘学习’是业内的习惯说法,就如同在淘宝上买东西都叫‘宝贝’一样。 所谓的‘目的MAC转发’,是指交换机根据收到的以太网帧的帧头中的目的MAC 地址和本地的MAC地址表来决定如何转发,确定的说,是如何交换。 这个过程大家应该是耳熟能详了。但为了与后面的VLAN描述对比方便,这里还是简单的举个例子。 Figure 1-1: |-------------------------------| | SW1 (Ethernet Switch) | |-------------------------------| | | |port1 |port 2 | | |-------| |-------| | PC1| | PC2| |-------| |-------| 简单描述一下PC1 ping PC2的过程:(这里假设,PC1和PC2位于同一个IP网段,IP地址分别为IP_PC1和IP_PC2,MAC地址分别为MAC_PC1和MAC_PC2) 1). PC1首先发送ARP请求,请求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(广播);源MAC=MAC_PC1。 SW1收到该广播数据帧后,根据帧头中的源MAC地址,首先学习到了PC1的MAC,建立MAC地址表如下: MAC地址端口 MAC_PC1 PORT 1 2). 由于ARP请求为广播帧,所以,SW1向除了PORT1之外的所有UP的端
分析VLAN技术概念及划分方法 一、VLAN技能概述 A, VLAN skills summary VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交流技能根底之上的,经过将局域网内的机器设备逻辑地而不是物理地区分红一个个不一样的网段,以软件办法完成逻辑作业组的区分与办理的技能。VLAN的作用是使得同一VLAN中的成员间能够彼此通讯,而不一样VLAN之间则是彼此阻隔的,不一样的VLAN间的若是要通讯就要经过必要的路由设备。 VLAN ( Virtual Local Area Network ) is a virtual local area network, is a kind of built on the foundation of communication skills, after the equipment will be LAN logical rather than physical area into a different network segment, complete the distinction between logical operations group in software way and management skills. The role of VLAN is to make the members in the same VLAN can communicate with each other, and not the same between VLAN is another barrier, not the same between VLAN
不同vlan间的通信简单配置 1.单臂路由(图) 环境:一台路由器,一台二层交换机,两台pc机 二层交换机的配置 一般模式: Switch> 输入enable进入特权模式: Switch>enable 输入configure terminal进入全局配置模式: Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 创建vlan 10 和 vlan 20:
Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config-vlan)# exit 进入接口配置模式: Switch(config)#interface fastEthernet 0/1 把0/1变成trunk口(默认是access口) Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Switch(config-if)#exit 进入接口配置模式分别把对应的接口,加入对应的vlan: Switch(config)#interface fastEthernet 1/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#interface fastEthernet 2/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20
浅谈VLAN技术的应用 巩义市第二职业中专孙建垒 【摘要】虚拟局域网(VLAN)技术是目前局域网中的一项常用技术;VLAN技术是在不改变局域网上节点物理位置的基础上,按照功能、部门、应用等因素划分为若干“逻辑工作组”;VLAN技术有效避免了广播风暴,增强了局域网的安全性。本文介绍了VLAN的概念、原理、优点以及其分类,并实现了VLAN在企业局域网上的配置和验证方法。 【关键词】VLAN 广播风暴虚拟局域网交换机 在企业局域网中,数据通信通常满足20/80模式,即其中20%的流量属于远程用户,80%的流量属于本地用户,同时本地用户又隶属于不同的部门,如财务部、人事部及销售部等,怎样保证同部门内和部门间的资源安全,协调各部门工作则是十分重要的。那么VLAN技术会成为其中不可缺少的技术之一。 1 VLAN的优势简介 VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用在有VLAN协议的第三层以上交换机之中。 VLAN技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域,每一个VLAN都是按照企业的一个职能部门来划分,包含着一组具有相同工作特点的计算机。它是按功能划分而不是按物理划分,同一个VLAN内的各个工作站无须被放置在同一个物理空间里,这些工作站可以不属于同一个物理局域网网段,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。因此使用VLAN技术可以控制流量,减少设备投资,简化网络管理,提高网络的安全性。 2 使用VLAN的优点 2.1减少网络管理开销 网络管理员采用VLAN技术轻松管理整个企业局域网络。例如,企业内部由于业务调整,人员部门间相互调动,需要将变动的人员的计算机归入相应的新的工作组。如果局域网内采用了VLAN技术,网管员只需更改交换机上的几条设置,就能迅速地建立适应新需要的VLAN网络,不用花时间和人力去搬动电脑。 2.2 控制网络上的广播 大量的广播可以形成广播风暴,VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN 组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。 2.3 增加网络的安全性 VLAN就是一个单独的广播域之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在VLAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交换端口可以
精心整理 第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#intf0/5//进入到端口F0/5 SW2(config-if)#switchportmodeaccess
//设置端口为数据接入模式 SW2(config-if)#switchportport-security //启动端口安全 SW2(config-if)#switchportport-securitymac-address //为本端口绑定MAC地址 练习5:为交换机SW1连接交换机SW2的端口F0/10设置端口安全,允许最大连接数为“3”,安全模式设置为“protect” SW1(config)#intf0/10 SW1(config-if)#switchportmodetrunk SW1(config-if)#switchportport-security
SW1(config-if)#switchportport-securitymaximum3 //允许端口F0/10最多对应3个MAC地址 SW1(config-if)#switchportport-securityviolationprotect 四、组建虚拟局域网 1.首先,这些处于局域网中的个人电脑能够通信。 2. 3. 4. 5. 6. 7.和f0/2收 8.如何让交换机为端口进行分组: 练习6:把交换机SW1端口f0/1和f0/2分到编号是“10”的虚拟局域网,f0/3和f0/4分到编号是“20”的虚拟局域网。 把交换机“SW2”的f0/5和f0/6分到编号是“20”的虚拟局域网。为交换机相连的端口开启“trunk”
龙源期刊网 https://www.doczj.com/doc/0c15867889.html, 浅谈vlan技术在网络工程中的应用 作者:吕小刚 来源:《山东工业技术》2015年第14期 摘要:在信息技术快速发展的过程中vlan技术也在不断地发展。随着该项技术的快速发展,vlan在网络工程中的应用越来越广泛。网络工程在vlan技术的支撑下,发展得更为迅速,进而促进了网络信息技术的快速发展。本文就vlan技术在网络工程中的应用进行简单分析。 关键词:vlan技术;网络工程;应用 0 引言 社会的快速发展,促使计算机技术获得迅速发展与广泛应用。现如今在社会各方面都快速发展的过程中,网络技术与局域网的重新组合在要求逐渐升高。在局域网的各项技术中,vlan 技术是其中一种非常重要的技术。对网络建设人员而言,掌握vlan技术是必备要素,并且还 要对其进行熟练地运用。在网络管理的过程中,利用vlan技术能够有效保证网络安全。在计 算机技术快速发展的过程中,vlan技术在网络工程中的应用越来越广泛。vlan技术不仅可以满足局域网组建的相关要求,还能够对网络进行灵活的分段,进而提高网络安全。 1 vlan技术的概述 vlan技术又被人们称为是虚拟局域网,主要应用在底层交换机端口网络用户的逻辑分段方面。该项技术在使用的过程中,并不会由于网络用户的物理位置受到限制而不能对其进行网络分段[1]。通常情况下,一个vlan就能够在一个交换机或者是跨交换机上实现。但是vlan在对网络用户进行分组的时候,需要根据网络用户的位置、作用、部门以及网络用应用程度和协议来完成。从这就可以了解到,vlan技术在应用的过程中能够显示出多项优点。而在分析的时候就可以发现,vlan技术具有其他技术所不具备的特点。vlan技术具备较高的安全性与便捷性与极强的扩张性,可以对用户的工作组进行优化组合,进而提高管理的灵活性与效率。在网络工程中,vlan技术可以有效弥补传统网络技术存在的不足之处,在使用方面优越性表现得非常突出。从便捷的角度来看,vlan技术中指存在一个aland就能够不受到空间的限制,对工作站的位置进行随意变动;从安全的角度来看,将vlan技术应用到网络工程,只要具备vlan成员的分组数据,就可以通过验证;而从扩展性的角度来看,vlan技术促使网络宽带获得更广泛的空间,并且网络性能的使用程度大大提高 2 vlan技术在网络工程中的应用 相较于网络工程的其他技术,vlan技术具有一定的独特性。而也正是基于该项技术的独特性,促使vlan技术在网络工程中获得更广泛的应用。 2.1 应用vlan技术实现子网共享
第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 2.从软件的角度来说,需要连接到局域网的个人电脑,拥有IP地址。 (1)IP地址的分配,首先要求处于同一个局域网的个人电脑拥有相同的网络位。 (2)其次在拥有相同的网络位的前提先,必须拥有不同的主机位。 (3)处于同一个局域网的电脑拥有相同的“子网掩码”。练习1:组建局域网,局域网中拥有四台电脑,局域网处于192.168.1.0网络中,子网掩码是255.255.255.0 四台电脑的IP地址的主机位分别是“1”、“2”、“3”、“4”。 二、组建多台交换机组成的局域网 1.要求首先每个交换机都能够通过连接,实现自己建立的局域网。 2.交换机之间需要通过“反线”的网线进行连接。 3.多台交换机连接的个人电脑必须处于同一个网段。拥有相同的网络位,不同的主机位,相同的子网掩码。 练习2:组建由两台交换机组成的局域网,网络地址如练习1。
三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#int f0/5 //进入到端口F0/5 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全 SW2(config-if)#switchport port-security mac-address 0010.1158.ECEA //为本端口绑定MAC地址 SW2(config-if)#switchport port-security violation shutdown //设置控制规则为遇到非绑定的MAC地址的数据包的时候,关闭端口。 练习4:为交换机SW2的端口f0/6设置端口安全,绑定PC6的mac地址,安全模式设置为“protect” SW2(config)#int f0/6 //进入端口 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全
跨交换机VLAN间的通信 一、理论知识 GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)是GARP(Generic Attribute Registration Protocol,通用属性注册协议)的一种应用。它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。 交换机启动GVRP特性后,能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有设备的VLAN信息达成一致。VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。 GVRP的端口注册模式有三种:Normal、Fixed和Forbidden,各模式描述如下: ●Normal模式:允许该端口动态注册、注销VLAN,传播动态VLAN以及静态VLAN信息。 ●Fixed模式:禁止该端口动态注册、注销VLAN,只传播静态VLAN信息,不传播动态VLAN信息。也就是说被设置为Fixed模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是手动配置的那部分。 ●Forbidden模式:禁止该端口动态注册、注销VLAN,不传播除VLAN 1以外的任何的VLAN信息。也就是说被配置为Forbidden模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是缺省VLAN,即VLAN 1。 二、实验拓扑
三、配置步骤 SWA:
一文读懂VLAN和VXLAN技术 VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第二层以上交换机才具有此功能。802.1Q的标准的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。 1、交换机端口工作模式简介 交换机端口有三种工作模式,分别是Access,Hybrid,Trunk。 Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口; Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 2、基本概念(tag,untag,802.1Q) untag就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯; tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的 下图说明了802.1Q封装tag报文帧结构 带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含: 2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。
Vlan间的通信实验 (1)配置各个电脑的IP地址; (2)在各个交换机上面创建对应的VLAN,并命名(方便人为的去管理) 交换机上面创建VLAN的原则是:哪个VLAN的数据包会经过该交换机,就在该交换
机上面创建对应的VLAN; 在上面的拓扑结构中,SW、SW1、和SW2上面都需要创建VLAN 100和VLAN 200; 配置如下: SW1(config)#VLan 100 SW1(config-vlan)#name A# SW1(config-vlan)#ex SW1(config)#vlan 200 SW1(config-vlan)#name B SW1(config-vlan)#ex SW(config)#vlan n SW(config)#vlan 100 SW(config-vlan)#name A SW(config-vlan)#ex SW(config)#vlan 200 SW(config-vlan)#name B SW(config-vlan)#exit SW(config)# SW2(config)#vlan 100 SW2(config-vlan)#name A SW2(config-vlan)#ex SW2(config)#vlan 200 SW2(config-vlan)#name B SW2(config-vlan)#exit SW2(config)# (3)将交换机连接电脑的接口划入指定的VLAN; SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 100 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/2 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 200 SW1(config-if)#exit SW1(config)#
VLAN技术详解 1.VLAN的概念 1.1什么是VLAN VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。 本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。 那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。 A B 图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC
地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播信息是那么经常发出的吗? 读到这里,您也许会问:广播信息真是那么频繁出现的吗? 答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……) 总之,广播就在我们身边。下面是一些常见的广播通信: ● ARP请求:建立IP地址和MAC地址的映射关系。 ● RIP:选路信息协议(Routing Infromation Protocol)。 ● DHCP:用于自动设定IP地址的协议。 ● NetBEUI:Windows下使用的网络协议。 ● IPX:Novell Netware使用的网络协议。 ● Apple Talk:苹果公司的Macintosh计算机使用的网络协议。 1.2 VLAN的实现机制 在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
目标:通过路由器进行多个VLAN互联[1] 环境:1. 交换机为二层交换机,支持VLAN划分;2. 路由器只有1个Ethernet接口 实施:采用单臂路由,即在路由器上设置多个逻辑子接口,每个子接口对应于一个VLAN。由于物理路由接口只有一个,各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL和802.1q协议。华为设备只支持802.1q。 你的路由器只有一个以太网接口。但是要进行两个网络(VLAN)的互连,怎么办呢?那就只有通过对路由器的以太网接口进行子接口的划分。这样就可以连接了。有几个VLAN,就要划分几个子接口。 Ethernet交换机(二层或三层交换机)被配置成两个VLAN:VLAN1和VLAN2。端口8配置为一个中继端口,也就是说端口8属于VLAN 1和VLAN 2。在路由
器的一个快速以太口上配置两个子接口,每个子接口被配置到一个独立的IP子网上,并为每个子接口封装一个VLAN ID,分别对应VLAN 1和VLAN 2。因此,交换机中VLAN 1或VLAN 2的数据流可以通过中继端口8到达路由器子接口 f0.1或f0.2,通过两个子接口实现两个VLAN之间的路由。因为路由器只有一个物理接口同一个交换机端口相连接,所以这种路由器有一种别名:单臂路由! 当用户的二层网络是基于VLAN设计的,但是三层路由设备却不支持VLAN interface,此时可以使用路由器的子接口,在一个三层接口上创建N个子接口,每个子接口做一下dot1q的封装,指定VLAN Tag,与其相连的交换机使用Trunk 链路,这样不同VLAN发送过来的报文可以被正确的发送到对应的子接口去处理。这样就实现了一个接口处理多个VLAN(网段)的数据