当前位置:文档之家 › 任务3 企业网络划分虚拟局域网 - 副本

任务3 企业网络划分虚拟局域网 - 副本

  • 格式:ppt
  • 大小:1.34 MB
  • 文档页数:48

下载文档原格式

  / 48

合集下载

VLAN协议解析虚拟局域网的逻辑隔离与网络管理

VLAN协议解析虚拟局域网的逻辑隔离与网络管理

VLAN协议解析虚拟局域网的逻辑隔离与网络管理VLAN(Virtual Local Area Network,虚拟局域网)是一种在物理网络基础上进行逻辑划分的技术,可以将一个局域网划分为多个逻辑上独立的子网,实现不同组织、不同部门之间的相互隔离和独立管理。

本文将对VLAN协议进行解析,探讨VLAN对虚拟局域网的逻辑隔离与网络管理的作用和优势。

一、VLAN协议的基本原理VLAN协议是建立在以太网技术基础上的一种虚拟化技术,其基本原理是通过对以太网帧进行标记,将其划分到对应的VLAN中。

标记的方式有两种:通过端口标记(Port-based)或通过标记协议(Tag-based)。

1. 端口标记(Port-based)端口标记是VLAN的一种最简单形式,即根据物理端口将设备划分到相应的VLAN中。

通过配置交换机的端口,将不同的设备连接到不同的VLAN上,从而实现逻辑隔离和分组管理。

2. 标记协议(Tag-based)标记协议是VLAN的一种更为灵活的形式。

在标记协议中,每个以太网帧都带有一个额外的标签(Tag),该标签包含了VLAN的信息。

常见的标记协议有IEEE 802.1Q和Cisco的ISL(Inter-Switch Link)协议。

通过标记协议,可以在同一物理网络中实现多个VLAN的隔离。

二、VLAN的逻辑隔离与网络管理1. 逻辑隔离VLAN可以将一个物理网络划分为多个逻辑上独立的子网,从而实现不同组织、不同部门之间的逻辑隔离。

通过VLAN的配置,可以将网络中的不同设备划分到不同的VLAN中,这些设备即使在物理连接上也无法直接通信,实现了更高层次的安全性和保密性。

逻辑隔离使得不同VLAN中的设备之间需要通过路由器进行通信,增加了网络安全性。

同时,逻辑隔离也提供了更好的网络性能和负载均衡,不同VLAN之间的广播域被限制在VLAN内部,减少了广播风暴和网络拥塞。

2. 网络管理VLAN的逻辑隔离使得网络管理更为方便。

任务3: 虚拟局域网VLAN的应用

任务3: 虚拟局域网VLAN的应用

任务3 虚拟局域网VLAN的应用一、【技术原理】1、VLAN(Virtual Local Area Network,虚拟局域网)是指在一个物理网段内,进行逻辑划分,并可分成若干个虚拟局域网。

2、在同一物理网段内,同一VLAN内的主机可以相互直接访问,不同的VLAN之间不能相互直接访问。

3、在同一物理网段内,不同的VLAN主机之间的相互访问,必须通过三层的路由设备进行转发。

即:利用路由器或三层交换机来实现不同VLAN之间的互相访问。

4、三层交换机和路由器具备网络层的功能,能够根据数据的IP包头信息,进行选路和转发,从而实现不同网段之间的访问。

二、【任务描述】某公司比较小,所有计算机都连在同一个交换机下。

公司经理要求普通员工不能访问经理的计算机和财务的计算机。

假设你是公司的网络管理员,现要你在交换机上做适当配置,以满足上述要求。

三、【任务实现】1、规划拓扑结构2、主要配置步骤Switch>enableSwitch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 10Switch(config-vlan)#name test10Switch(config-vlan)#exitSwitch(config)#int f0/11Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#int f0/12Switch(config-if)#switchport access vlan 10Switch(config-if)#endSwitch#Switch#sh vlanVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/10, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Fa0/23, Fa0/2410 test10 active Fa0/11, Fa0/12PC>ping 192.168.1.2PC>ping 192.168.1.3四、【注意事项】1、VLAN 1是交换机的管理VLAN,不能由管理员手动划分。

中小企业办公局域网组建方案

中小企业办公局域网组建方案

中小企业办公局域网组建方案中小企业办公局域网(Local Area Network, LAN)的组建方案是为了提供可靠的网络连接和高效的数据传输,以满足企业内部员工的办公需求。

下面是一个针对中小企业办公局域网组建的方案,包括网络拓扑、硬件设备选择、网络安全和管理等方面。

一、网络拓扑在中小企业环境下,常见的局域网拓扑有总线型、星型和混合型。

考虑到可靠性、灵活性和性能等因素,建议选择星型拓扑。

在星型拓扑中,所有终端设备(如电脑、打印机等)都连接到一个交换机上,交换机负责转发和控制数据流量。

二、硬件设备选择1.交换机:选择具有足够端口数量和出色性能的交换机。

根据企业规模和预算,选择能够满足需求的网络交换机。

2.路由器:选择支持高速数据传输和安全功能的路由器作为局域网与外部网络(如互联网)的连接点。

路由器应支持多个LAN口,并具备防火墙功能。

3.服务器:根据企业需求选择适当规格的服务器,用于共享数据和应用,提供中央存储和数据备份等功能。

三、网络安全1. 防火墙:在局域网与Internet之间设置防火墙,用于监控和限制网络流量,保护内部资源免受未授权访问和攻击。

2. VPN:为远程办公人员和分支机构提供虚拟专用网络(Virtual Private Network, VPN)连接,以确保数据在公共网络中的安全传输。

3.用户权限管理:通过给不同的用户分配不同的权限,控制对不同网络资源的访问和操作权限,以保护敏感数据和信息的安全。

四、网络管理1.IP地址管理:进行IP地址分配和管理,确保每个设备都有唯一的IP地址,并避免冲突。

2.网络监控:使用网络监控工具来监测和管理局域网的性能、流量和设备状态,提供即时故障诊断和网络优化。

3.拓扑图和文档记录:绘制网络拓扑图和更新文档记录,包括硬件设备、IP地址、带宽信息等,以便于网络维护和故障排除。

五、扩展和升级随着企业规模的扩大,需要适时考虑局域网的扩展和升级。

可以使用VLAN(Virtual Local Area Network)来划分子网,以便于管理和提高性能。

网络组建与管理模拟测试题一答案

网络组建与管理模拟测试题一答案

《网络组建与管理》模拟测试题一姓名班级学号得分1.填空题(20分, 每空1分)2.在我国cn 作为顶级域名, 这是由中国互联网信息中心负责管理的。

3.在Internet中, 域名解析方式有递归解析和反复解析两种方式。

4.企业信息网络是指专门用于企业内部信息管理的电脑网络, 一般为一个企业所专用,覆盖企业生产经营管理的各个部门, 在整个企业范围内提供硬件、软件和信息资源的共享。

5.不同的电脑网络在网络规模、网络结构、通信协议和通信系统、电脑硬件及软件配置方面都有着很大的差异。

6.黑客的攻击方法非常繁多, 其采用的主要攻击方式有利用默认账号进行攻击、获取密码、网页欺骗、放置特洛伊木马、系统漏洞、炸弹攻击、电子邮件攻击等。

7.应用层主要向应用程序提供服务, 并按其向应用程序提供的特性分成组。

8.Internet中存在着大量的域名服务器, 每台域名服务器中都设置了一个数据库, 其中保存着它所负责区域内的主机域名和主机IP地址的对照表。

9.实现域名解析的硬件设备是域名服务器, 它是一个安装有域名解析处理软件的主机,同时在Internet中拥有自己的IP地址。

10.共享是指网络中的用户都能够部分或全部地享受这些资源。

11.客户机在网络中又被称为工作站, 它是指在网络中享受由服务器提供服务的电脑。

12.数据通信是电脑网络最基本的功能。

13.组的类型有两种, 一种是安全式组, 可以设置权限, 简化网络的维护和管理;另一种是分布式组, 只能用在与安全(权限的设置等)无关的任务上。

14.局域网交换机应用于局域网络, 用于连接终端设备, 如服务器、工作站、集线器、路由器等网络设备, 并提供高速独立通信通道。

15.BBS服务器是专门为BBS服务而设立的, 它是依靠FTP服务和HTTP服务这两项服务来实现的。

16.提供FTP服务的主机被称为FTP服务器。

1.判断题(15分, 每题1分)2.常见的微波数据通信系统主要有直接微波通信系统和卫星微波通信系统。

VLAN的划分和网络的配置实例

VLAN的划分和网络的配置实例

VLAN的划分和网络的配置实例VLAN(Virtual Local Area Network)的中文名为"虚拟局域网",注意不是"VPN"(虚拟专用网)。

VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。

这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。

但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。

通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。

在共享网络中,一个物理的网段就是一个广播域。

而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。

这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。

这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。

同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。

VLAN技术在企业局域网中的应用

VLAN技术在企业局域网中的应用

VLAN技术在企业局域网中的应用摘要:企业网络是企业信息系统稳定运行的基础。

本文以VLAN简介为起点,介绍了VLAN的优势,对VLAN组网的应用进一步展开研究,发现合理地使用VLAN技术组建企业局域网,可以实现数据信息的传输和共享,提升网络管理效率,保障网络安全。

关键字:VLAN;企业局域网;网络安全0 引言随着信息化时代的来临,企业依靠协同办公系统、资源管理系统等信息化系统来实现数字化办公,调配可用资源,优化事件决策。

高效稳定地使用这些系统的基础是企业的信息化网络。

企业需要构建一个科学合理的网络架构,使得用户和信息系统间能相互通信,实现资源传输和共享;同时划分网络隔离,不同权限的用户间不能互相访问,增强数据信息的保密性,保障网络安全可靠。

通过使用VLAN技术来组建企业局域网可以实现这些功能。

1 VLAN简介VLAN(Virtual Local Area Network)中文名称为虚拟局域网,是一种将局域网划分为多个逻辑广播域的网络通信技术。

经划分之后,同一个VLAN内的主机间可以直接通信,而不同VLAN间的主机不能直接通信。

VLAN最流行的标准是IEEE 802.1Q,该协议起到对以太网帧添加VLAN标签信息的作用。

VLAN帧在以太网帧的基础上做了修改,将4字节的802.1Q Tag加入到源MAC地址字段和协议类型字段之间。

VLAN技术的出现源于以太网网络中的广播报文泛滥问题。

广播在网络中起着至关重要的作用,如发送ARP请求、数据传输等许多网络操作都要用到广播。

然而,随着网络复杂度的提升,整个网络产生的广播报文的数量也会迅速增加,将导致网络带宽利用率降低,端口负载变大,网络的传输效率将会明显下降,严重时会影响业务数据的正常传输。

所以为解决这一问题,可以采用划分VLAN的方式将网络分隔。

将一个局域网划分为若干个VLAN,每一个VLAN对应一个广播域,各个VLAN之间互相隔离,从而将广播报文限制在一个广播域内,以此来以降低广播报文泛滥造成的损害,达到提升网络性能的目的。

企业网络规划方案

企业网络规划方案介绍企业网络规划是指在企业内部设计和建立一个高效、安全、可靠的网络架构,以满足企业内部员工间、部门间和外部用户之间的通信需求,并为企业的运营和发展提供有力的网络支持。

本文档旨在提供一个详细的企业网络规划方案,包括网络拓扑结构、设备选择和配置、网络安全设置以及网络管理和维护等方面的内容。

1. 网络拓扑结构企业网络的拓扑结构是指企业内部网络设备之间的物理和逻辑连接关系。

根据企业的规模和需求,可以选择以下几种常见的网络拓扑结构:1.1 单层星型网络单层星型网络是最简单的网络拓扑结构,所有终端设备通过交换机直接与核心路由器相连。

这种结构适用于小型企业,连接和管理简单方便,但容易形成单点故障。

1.2 两层树状网络两层树状网络是在单层星型网络基础上引入了分布式交换机,将企业内部网络划分为多个局域网,每个局域网通过分布式交换机与核心路由器相连,各个局域网之间通过核心路由器进行路由转发。

这种结构适用于中小型企业,有较好的扩展性和容错能力。

1.3 三层树状网络三层树状网络是在两层树状网络基础上引入了三层交换机,将核心路由器替换为三层交换机,实现局域网内的路由转发功能。

这种结构适用于大型企业,具有更高的带宽和路由转发能力,但需要更多的设备和复杂的配置。

2. 设备选择和配置企业网络设备的选择和配置是企业网络规划中非常重要的一部分,直接影响到网络的性能和稳定性。

以下是几个常见的网络设备和配置项:2.1 路由器选择合适的核心路由器和边界路由器对于保证企业网络的稳定性和安全性至关重要。

核心路由器需要具备高性能的路由转发能力和流量处理能力,边界路由器需要支持防火墙、虚拟专用网络(VPN)等安全功能。

2.2 交换机选择合适的交换机对于实现企业内部局域网之间的高速通信和数据传输至关重要。

应根据需要选择支持合适端口数量、速率和协议的交换机,并合理划分不同的虚拟局域网(VLAN)。

2.3 防火墙防火墙是保护企业网络安全的重要设备,需要选择支持高性能和多种安全功能的防火墙设备,并进行合适的配置,如访问控制列表(ACL)、入侵检测和入侵防御系统(IDS/IPS)等。

虚拟局域网VLAN技术(教案第3章XG)

3、VLAN间通信的L3路由方案。 4、已有LAN系统的兼容和互操作。 5、集中管理、控制和配置功能的网管方案。
3.1.5 建立VLAN的交换方式
VLAN中的使用交换技术,通常包含端口交换、帧交换 和信元交换三种。
1、端口交换VLAN :早期在交换机上把根据端口划分 为几个相互独立的VLAN, 每个VLAN中端口是共享 媒体段(如以太网段)。这种方式特点:小规模灵 活,但端口共享媒体使VLAN带宽受限制。
VLAN实际没有统一严格的定义。VLAN技术早期提出: 一种隔离数据广播方法,将以太交换广播局限一定 范围内;但目前VLAN发展使其成为接近交换网络VPN 的技术,在以太交换网向城域网、广域网发展的重 要技术。
什么是交换网络的VPN? 主要功能和作用?
一个VLAN组划分的例子:
局域网VLAN
区域网VLAN
VCI: VLAN Control Information
• User-Priority:用户优先级(在以太网这样无优先级网段中使用) • TR-encap:=1表示帧数据是原始Token Ring帧数据 • VID: VLAN Identifier,最大4096个VLAN
IEEE802.1Q是MAC二层的VLAN标准,它在原来的 DA目的地址/SA源地址之后,插入4字节的VLAN标 记,在帧存储交换的时候进行辨别和只向VLAN组内 的用户广播发送。
汇聚S
S
S
汇聚S
S S
汇聚S
S
S
S
VLAN1
VLAN2
4、路由服务器和路由客户机
这是一种分布路由结构,结构外观上非常相似”独臂 “路由器,但LAN交换机中也要有必要的路由功能。当 需要在VLAN间进行路由的时候,报文被缓存在主干边 界的LAN交换机上,此时交换机与路由服务器交互相关 进一步转发连接信息,确定转发路径。

虚拟局域网技术在机房局域网中的应用

虚拟局域网技术在机房局域网中的应用在当今数字化时代,计算机网络已经成为企业、学校、政府机构等各类组织不可或缺的一部分。

机房作为网络的核心枢纽,承载着大量的信息处理和数据交换任务。

为了提高机房局域网的性能、安全性和管理效率,虚拟局域网(VLAN)技术得到了广泛的应用。

一、虚拟局域网技术概述虚拟局域网(VLAN)是一种将物理局域网在逻辑上划分成多个不同网段的技术。

通过将网络设备划分到不同的 VLAN 中,可以实现不同 VLAN 之间的隔离,从而提高网络的安全性和性能。

VLAN 的工作原理基于交换机的端口划分。

交换机可以将不同的端口分配到不同的 VLAN 中,使得连接在这些端口上的设备属于相应的VLAN。

此外,VLAN 还可以基于 MAC 地址、IP 地址等方式进行划分。

二、机房局域网中应用虚拟局域网技术的优势1、提高网络性能在传统的局域网中,当大量设备同时发送数据时,容易产生网络拥塞,导致数据传输延迟和丢包。

通过使用 VLAN 技术,可以将不同类型的流量划分到不同的 VLAN 中,从而减少广播域的大小,降低网络拥塞的可能性,提高网络的性能。

2、增强网络安全性将敏感数据和重要设备划分到单独的 VLAN 中,可以有效地防止未经授权的访问和攻击。

不同 VLAN 之间的通信需要通过路由器或三层交换机进行,从而增加了网络的安全性。

3、简化网络管理机房中的设备数量众多,管理起来十分复杂。

使用 VLAN 技术可以将设备按照功能、部门等因素进行分组,使得网络管理更加清晰和便捷。

管理员可以针对不同的 VLAN 制定不同的管理策略,提高管理效率。

4、灵活的网络扩展当机房需要新增设备或扩展网络规模时,VLAN 技术可以方便地将新设备划分到合适的 VLAN 中,而无需对整个网络的拓扑结构进行大规模的调整。

三、虚拟局域网技术在机房局域网中的应用场景1、部门隔离在企业或学校的机房中,不同的部门可能需要访问不同的资源和服务。

通过将不同部门的设备划分到不同的 VLAN 中,可以实现部门之间的网络隔离,保障各部门的信息安全和独立性。

(精华版)国家开放大学电大《Windows网络操作系统管理》机考5套标准试题及答案2

(精华版)国家开放大学电大《Windows网络操作系统管理》机考5套标准试题及答案2(精华版)国家开放大学电大《Window网络操作系统管理》机考5套标准试题及答案盗传必究第一套试卷总分:100答题时间:60分钟客观题一、配伍题(共1题,共10分) 1.(请为名词①~⑤选择表示其含义的描述,将配对好的a~b填写到括号中,每空2分,共10分)①WindowServer2022②WindowServer2003③Window10④Linu某⑤Window7a能够提供Hyper-V功能b不能提供Hyper-V功能①:a②:b③:a④:b⑤:b二、判断题(共9题,共18分) 1.在工作组中,存储活动目录数据库的计算机被称为域控制器。

()F某2.可以多个人同时使用同一个用户帐户工作。

()T√3.默认情况下,RODC不会缓存任何用户密码。

()T√4.SAN(StorageAreaNetwork,存储区域网络),它通过高速网络将服务器连接到高性能存储系统,并提供块级访问。

()T√5.在Hyper-V中,“专用”类型的虚拟交换机,只能实现与其相连的虚拟机之间进行通信。

()T√6.默认情况下,Adminitrator组的成员有权创建共享文件夹。

()T√7.IP地址的分配方法有两种:手动分配和自动分配。

()T√8.正向查找区域能够将客户端请求的IP地址解析为对应的完全限定域名。

()F某9.WindowServer2022支持的身份验证方法有:PAP、CHAP、MS-CHAPv2和RIP。

()F某三、单选题(共11题,共33分) 1.域内的所有计算机共享一个()式的数据库(即,活动目录数据库),其中包含整个域内所有用户帐户的相关数据正确答案:集中2.如果一个员工长时间不工作,那么为安全起见,管理员应该将他的用户帐户()正确答案:禁用3.()包含了一份只读的活动目录数据库副本正确答案:RODC4.一个域中无论有多少台计算机,一个用户只要拥有()个域用户帐户,便可以访问域中所有计算机上允许访问的资源正确答案:一5.SAN使用专用协议,例如,()或iSCSI (InternetSCSI)将数据块直接写入磁盘正确答案:以太网光纤通道6.Hyper-V提供了三种类型的虚拟交换机:()、内部和外部正确答案:专用7.()负责把文档转换为打印设备所能够理解的格式,以便打印正确答案:打印机驱动程序8.被授权的DHCP服务器的IP地址会被注册到域控制器的()中正确答案:活动目录数据库9.打开“网络连接”窗口的命令是()正确答案:ncpa.cpl10.为了容错,可以在另一台DNS服务器上建立某个主要区域的只读副本,这个副本被称为()区域,里面的资源记录内容与主要区域中的资源记录内容完全相同正确答案:辅助11.使用()协议,VPN客户端发送到VPN服务器的密码以“明文”的方式发送,也就是没有加密正确答案:PAP四、多选题(共5题,共15分) 1.以下说法中正确的是()。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(3)基于网络层协议划分VLAN
基 于 网 络 层 协 议 的 VLAN 也 是 动 态 , 可 划 分 为 IP 、 IPX 、 DECnet 、 AppleTalk、Banyan等VLAN网络。
任务3:企业网络划分虚拟局域网
——基于端口划分 VLAN(1)
新交换机中有VLAN 1和VLAN 1002、VLAN1003、VLAN 1004和VLAN 1005 这5个默认VLAN。 默认情况下交换机所有的端口都属于VLAN 1。 VLAN 1称为本地VLAN(Native VLAN), 生成树协议(STP,可防止局域网 路)的桥接协议数据单元(BPDU)、VLAN ID(VLAN的编号)的信息等都要 通过Native VLAN来传输。
——可以基于哪些网络特征划分VLAN ?
VLAN目前主要是在交换机上划分,可以分为静态VLAN和动态VLAN。 静态VLAN就是明确地指定交换机的端口分别属于哪个VLAN,动态VLAN 是根据交换机端口上所连接的计算机的情况来决定属于哪个VLAN。 普遍使用的是基于端口的静态VLAN。 通常用以下几种定义方法:
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(6)
例如,在Catalyst3560和 2960上各自有VLAN 1、VLAN 10、VLAN 20、VLAN 30、VLAN 40,交换机之间各自通过F0/24端口和对方建立Trunk链路,封装 IEEE802.1Q协议,允许VLAN 1、VLAN 10、VLAN 20信息通过,不允许VLAN 30和VLAN 40信息通过的参考配置如下:
②在VLAN数据库模式下创建和删除VLAN
任务3:企业网络划分虚拟局域网
——基于端口划分 VLAN(3)
第二步,给每个VLAN分配端口成员 基于端口划分VLAN就是将交换机的端口分配给不同的VLAN,作为各个VLAN 的成员。 完成三个任务: ①指定端口; ②设置交换给某个VLAN。
划分后的VLAN具有局域网的所有特征,一个VLAN内部的广播和单播流
量不会转发到其他VLAN中,从而可以隔离网络上的广播流量、提高网络 的安全性。
VLAN可应用于交换机和路由器中,但目前主流应用还是在交换机之
中。不是所有交换机都具有VLAN功能,这一点可以查看相应交换机的说 明书。 VLAN流量可以跨域交换机,多个VLAN通过一条物理线路时,需要 给数据帧打标签,以区分不同的VLAN 流量。
在Trunk端口上封装VLAN协议的命令语法如下: switchport trunk encapsulation dot1q |ISL 默认情况下,Trunk链路承载所有VLAN的信息,但是,有时候交换机上可能 有多条Trunk链路,VLAN信息需要分流,可以通过配置Trunk链路,允许或不允 许某个VLAN信息通过。 在Trunk接口模式下只允许某个VLAN通过的命令语法如下: Switchport trunk allowed vlan vlan-list vlan-list是指允许通过的那些VLAN号,多个VLAN号之间用“,”分割。 如果设置允许所有的VLAN通过,vlan-list就是all。
任务3:企业网络划分虚拟局域网
——基于端口划分 VLAN(1)
新交换机中有VLAN 1和VLAN 1002、VLAN1003、VLAN 1004和VLAN 1005 这5个默认VLAN。 默认情况下交换机所有的端口都属于VLAN 1。 VLAN 1称为本地VLAN(Native VLAN), 生成树协议(STP,可防止局域网 路)的桥接协议数据单元(BPDU)、VLAN ID(VLAN的编号)的信息等都要 通过Native VLAN来传输。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(1)
在大型企业网络中,交换机的数量非常多,而各个交换机的VLAN配置基本 相同,因此,在企业交换网络的配置和管理过程中存在非常多的重复劳动, 而且,也会由此产生一些配置错误,使网络出现故障。 VTP(VLAN Trunk Protocol)协议实现了在单个控制点上管理整个网络, 实现了VLAN的统一配置和管理,减轻了网络管理员的负担,减少了出错的 几率。 VTP协议在某个域内工作,域内的每台交换机必须使用相同的VTP域名,在 交换机与交换机之间不能连接其它设备,即交换机必须是相邻的,而且要求 在所有交换机中启用Trunk。 域内的VTP服务器通过VLAN1向特定的组播地址发送VTP消息,来通告VTP服 务器的VLAN配置情况,域内的其他服务器和VTP客户机接收通告统一自己的 VLAN信息。
不会进入另一个VLAN,减小了整个网络的流量。
方便了维护和管理。VLAN是逻辑划分的,不受物理位置的限制,给网
络管理带来了方便。
提高网络的安全性。不同VLAN不能直接通信,杜绝了广播信息的不安
全性。要求高安全性的部门可以单独使用一个VLAN,可有效防止外界的 访问。
任务3:企业网络划分虚拟局域网
它们的区别在于针对Native VLAN是否打标记。ISL是全部都打标记,有几个 VLAN打几个标记;而IEEE802.1Q协议除了VLAN 1(也就是Native VLAN)不打标 记之外,其他的VLAN都打标记。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(5)
任务3:企业网络划分虚拟局域网
——为什么要划分VLAN?
没有划分VLAN的传统局域网,处于同一个网段,是一个大的广播域, 广播帧占用了大量的带宽,当网络内的计算机数量增加时,广播流量也随 之增大,广播流量大到一定程度时,网路效率急剧下降。
VLAN的作用主要有:
提高了网络通信效率。由于缩小了广播域,一个VLAN内的单播、广播
2、在Trunk口封装VLAN协议 (1) IEEE802.1Q协议 IEEE802.1Q协议是国际标准VLAN封装协议,称为Virtual Bridged Local Area Networks协议。
IEEE802.1Q协议对发往Trunk的以太网数据帧打标记时,是在以太网的数据 帧中间加入了4个字节的内容,这四个字节的内容包含一个标记协议标识符( TPID,Tag Protocol Identifier)以及VLAN号等内容。 交换机根据这个TPID来确定数据帧中的VLAN标记是哪种VLAN封装协议封装 的。如果这个TPID值为16进制数0x8100,说明是使用的IEEE802.1Q协议。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(3)
在接口配置模式下配置Trunk的命令语法如下: switchport mode trunk
在Catalyst3560和 2960之间各自通过F0/24端口建立Trunk链路的参考配置如下:
多个VLAN的通信流量在交换机之间传输时,交换机之间的级联链路必须采 用Trunk链路,链路两端的交换机端口必须设置为Trunk模式。
VLAN号用12为二进制数来表示,最大可表示的VLAN数值为4096。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(4)
(2) ISL协议(交换链路内协议) ISL(交换链路内协议)是Cisco私有VLAN封装协议,用于Cisco交换机之间 以及和路由器之间的VLAN封装。 ISL协议对发往Trunk的以太网数据帧打标记时,是在以太网数据帧的头部附 加26个字节ISL包头、尾部附加4个字节的CRC校验,总共在以太网数据帧上增 加了30个字节。 IEEE802.1Q和ISL都是为了不同的VLAN数据打标记,但IEEE802.1Q封装破坏了 以太网的数据帧,而ISL封装不破坏以太网数据帧。 IEEE802.1Q和ISL互不兼容。 IEEE802.1Q和ISL互不兼容。如果网络设备全部是Cisco设备,则可以使用ISL协 议;如果网络上有Cisco以外的网络设备,则需要使用IEEE802.1Q协议。
任务3:企业网络划分虚拟局域网
——了解VLAN
企业网中,为了限制广播流量,提高网络的安全性,方便网络的施工
和管理,通常会在企业网中划分多个虚拟局域网(VLAN),将业务相关的 计算机划分到一个虚拟工作组,每个虚拟工作组就像一个独立的局域网一 样。 虚拟局域网(Virtual Local Area Network,VLAN)是一种将物理局域网根据 某种网络特征从逻辑上划分(注意,不是从物理上划分)成多个网段,从 而实现虚拟工作组的数据交换技术。
vlan-list是指允许通过的那些VLAN号,多个VLAN号之间用“,”分割。 如果设置允许所有的VLAN通过,vlan-list就是all。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(7)
在Trunk链路上,如果需要在现有允许通过的VLAN中指定不允许通过的VLAN, 可以采用以下命令: Switchport trunk allowed vlan remove vlan-id 在Trunk链路上,如果需要在现有允许通过的基础上增加允许通过的VLAN,可 以采用以下命令: Switchport trunk allowed vlan add vlan-id 例如,在Catalyst3560的F0/24上现有允许通过的VLAN 1、VLAN 10、VLAN 20中不 允许VLAN 10通过。增加允许VLAN 30 和VLAN 40 通过。
要完成交换机之间的VLAN信息交换,需要完成配置Trunk端口、封装VLAN 协议、指定VTP域、指定工作模式以及修剪不必要的VLAN流量等工作。
任务3:企业网络划分虚拟局域网
——基于VTP协议在交换机之间交换VLAN信息(2)
1、配置Trunk端口 交换机在划分了VLAN后,两台交换机上的相同VLAN之间的通信怎么来解决?
Trunk链路承载了多个VLAN的通信流量,为了区分各个流量属于哪个VLAN, 就需要对Trunk链路上来自不同VLAN的数据帧做不同的标记(tag),这样,交 换机就可以根据这个不同的标记,将来自Trunk的数据帧送给不同的VLAN。