下载文档原格式
Vlan基本配置一、实验目的和要求掌握交换机和vlan的工作原理;学习配置交换机基本配置和命令;学习配置vlan命令和步骤;掌握vtp的概念和基本设置;在模拟环境下掌握对交换机的端口进行配置。
二、实验原理交换机: 工作在数据链路层,使用MAC地址,完成对帧的操作。
配置交换机的IP地主要是为了管理用,配置的交换机IP地址实际是VALN的IP。
VLAN作用:交换机通过VLAN设置,可以将一个局域网划分成多个逻辑网络,从而达到隔离广播域。
VLAN最大的特性是不受物理位置的限制,可以进行灵活的划分。
VLAN具备一个物理网段所具备的特性。
相同的VLAN内的主机可以互相直接访问,不同的VLAN间的主机互相访问必须经由路由设备进行转发。
广播数据包只可以再本VLAN内进行传播,不能传输到其他VLAN中。
一个VLAN一个广播域,不同VLAN的主机间访问,相当于网络间的访问,要通过路由实现。
VLAN中继协议,VTP,VLAN TRUNKING PROTOCOL,是CISCO专用协议,大多数交换机都支持该协议。
VTP负责在VTP域内同步VLAN信息,这样就不必在每个交换上配置相同的VLAN信息。
有了VTP,就可以在一台机换上集中过时行配置变更,所作的变更会被自动传播到网络中所有其他的交换机上。
VTP域,也称为VLAN管理域,由一个以上共享VTP域名的相互接连的交换机组成。
交换机缺省VTP域名为空。
VTP信息只能在VTP域内保持。
一台交换机可属于并且只属于一个VTP域。
VTP模式有3种,分别是:>服务器模式(SERVER缺省)VTP服务器控制着它们所在域中VALN的生成和修改.所有的VTP信息都被通告在本域中的其他交换机,而且,所有这些VTP信息都是被其他交换机同步接收的。
>客户机模式(CLIENT)VTP客户机不允许管理员创建、修改或删除VLAN。
它们监听本域中其他交换机的VTP通告,并相应修改它们的VTP配置情况。
Vlan 种类总结一、Standard VLAN业务1、Standard VLAN通过把不同的端口划分到不同的VLAN,可以实现用户二层隔离;把不同的端口划分到在同一VLAN可以实现二层互通。
2、目前版本不支持Standard VLAN增加业务虚端口。
二、Smart VLAN 业务1、SmartVLAN通过添加多个下行端口以及一个或多个上行端口,由系统自动创建上行端口和下行端口内部映射关系,实现用户之间二层报文的隔离。
三、Mux VLAN 业务1、MUX VLAN只能添加一个业务端口但是可以添加多个上行端口,用于需要用VLAN来区分用户的场合四、Super VLAN 业务1、SuperVLan是一个虚拟的三层接口。
它可以添加多个SubVlan,并且这些SubVlan共享一个三层接口,从而达到节省IP网段的目的。
2、SubVlan是SuperVLAN的子VLAN。
SmartVLAN、MUXVLAN 或者标准VLAN都可以加入到SuperVLAN作为SubVLAN,但前提是该VLAN必须是已经创建好的VLAN。
五、QinQ VLAN业务1、QinQ VLAN特性主要是为了满足私网VLAN和业务能直接透明传输到对端。
2、MA5600接收到底层带私网VLAN(Customer VLAN )的报文后,在该报文上再打上一层SP VLAN(Service Provider VLAN 服务提供商),这样MA5600只要创建一个QinQ VLAN,就可以把私网VLAN 直接透明传输到对端,大大节省了公网VLAN ID资源。
3、QinQ VLAN是VLAN的一种属性,只需要在创建VLAN后指明其属性为QinQ 即可。
六、VLAN Stacking业务1、VLAN Stacking特性通过给用户报文打上两层标签来实现报文选路和标识用户的功能。
2、MA5600接收到底层不带VLAN的报文后,在该报文上打上两层VLAN(SP VLAN+Customer VLAN)后转发出去。
pvlan与vlan的区别虚拟局域网(VLAN)是驻地网必须具备的特性之一。
目前普遍应用的802.1q,主要是针对企业应用设置的,起到网段隔离和多址联播的作用。
如果用在驻地网上,便可能破坏多址联播特性,引起网络运行效率的降低。
例如10个用户同时点播一个视频节目,视频服务器要响应10次请求,在网络骨干层要传输10次,造成大量的带宽消耗。
如果用户数目多到一定程度,整个网络便有可能瘫痪。
思科的PVLAN技术有效解决了这一问题,在一组端口发出请求时,骨干层只传输一次,再分到每个端口,因此大大提高了网络的运行效率。
IDC环境是一个典型的多客户的服务器群结构,每个托管客户从一个公共的数据中心中的一系列服务器上提供Web服务。
这样,属于不同客户的服务器之间的安全就显得至关重要。
一个保证托管客户之间安全的通用方法就是给每个客户分配一个VLAN和相关的IP子网。
通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。
然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。
这些局限主要有以下几方面:• VLAN的限制:LAN交换机固有的VLAN数目的限制• 复杂的STP:对于每个VLAN,一个相关的Spanning-tree的拓扑都需要管理• IP地址的紧缺:IP子网的划分势必造成一些地址的浪费• 路由的限制:如果使用HSRP,每个子网都需相应的缺省网关的配置在一个IDC中,流量的流向几乎都是在服务器与客户之间,而服务器间的横向的通信几乎没有。
Cisco在IP地址管理方案中引入了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。
这一新的VLAN特性就是专用VLAN (private VLAN,pVLAN)。
这种特性是Cisco公司的专有技术,但特别适用于IDC。
专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。
VLAN 详解一、 Vlan 基础知识二、 Vlan 应用三、 Vlan 配置实例介绍定义VLAN ( Virtual Local Area Network )即虚拟局域网,是将一个物理的 LAN 在逻辑上划分成多个广播域(多个 VLAN )的通信技术。
VLAN 内的主机间可以直接通信,而 VLAN 间不能直接互通,从而将广播报文限制在一个 VLAN 内。
由于 VLAN间不能直接互访,因此提高了网络安全性。
目的早期的局域网 LAN 技术是基于总线型结构,它存在以下主要问题:∙若某时刻有多个节点同时试图发送消息,那么它们将产生冲突。
∙从任意节点发出的消息都会被发送到其他节点,形成广播。
∙所有主机共享一条传输通道,无法控制网络中的信息安全。
这种网络构成了一个冲突域,网络中计算机数量越多冲突越严重,网络效率越低。
同时,该网络也是一个广播域,当网络中发送信息的计算机数量越多时,广播流量将会耗费大量带宽。
因此,传统网络不仅面临冲突域和广播域两大难题,而且无法保障传输信息的安全。
为了扩展传统 LAN ,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交换机,它们能有效隔离冲突域。
Bridge 和交换机采用交换方式将来自入端口的信息转发到出端口上,克服了共享介质上的访问冲突问题,从而将冲突域缩小到端口级。
采用交换机进行组网,通过二层快速交换解决了冲突域问题,但是广播域和信息安全问题依旧存在。
说明:本手册中将二层局域网交换机简称为交换机。
为减少广播,需要在没有互访需求的主机之间进行隔离。
路由器是基于三层 IP 地址信息来选择路由,其连接两个网段时可以有效抑制广播报文的转发,但成本较高。
因此人们设想在物理局域网上构建多个逻辑局域网,即 VLAN ( Virtual Local Area Network )。
VLAN 将一个物理的 LAN 在逻辑上划分成多个广播域(多个 VLAN )。
VLAN 内的主机间可以直接通信,而 VLAN 间不能直接互通。
VLAN的基本概念1.VLAN是以交换式网络为基础,把网络上用户的终端设备划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。
2.VLAN技术提供了动态组织工作环境的功能,它简化了网络的物理结构,提高了网络的易管理性和安全性,提高了网络的性能。
VLAN的技术特性(1)VLAN工作在数据链路层。
(2)每个VLAN都是一个独立的逻辑网段,一个独立的广播域。
VLAN的广播信息仅发送给同一个VLAN的成员。
(3)每个VLAN又是一个独立的逻辑网络,它们都有唯一的子网号。
VLAN之间不能直接通信,必须通过第三层路由完成。
VLAN的标识1.VLAN通常用VLANID(VLAN号)和VLANname(VLAN名)标识。
2.VLANID用12位表示。
3.VLANname用32个字符表示。
VLANTrunk1.虚拟局域网中继(VLANTrunk)技术是交换机与交换机之间、交换机与路由器之间存在一条物理链路,而在这一条物理链路上要传输多个VLAN信息的一种技术。
2.VLANTrunk的标准机制是帧标签。
帧标签为每个帧指定一个惟一的VLANID作为识别码,表明该帧是属于哪个VLAN的。
3.在交换设备之间实现Trunk功能,必须遵守相同的VLAN协议。
目前在交换设备中常用的VLAN协议有①ISL,②IEEE802.10③IEEE802.1Q。
4.IEEE802.1Q应用最广泛。
划分VLAN的方法划分VLAN是通过使用软件在整个网络范围内定义VLAN成员实现的,目前常用的划分VLAN方法有如下三种:(1)基于端口划分VLAN基于端口划分VLAN,就是按交换机端口定义VLAN成员,每个交换机端口属于一个VLAN。
它由网络管理员静态指定VLAN到交换机的端口,这些连接端口会维护指定的VLAN设置,直到管理员重新改变它。
这种方法又称为静态VLAN,是一种最通用的划分VLAN方法。
(2)基于MAC地址基于MAC地址划分VLAN是按每个连接到交换机设备的MAC地址定义VLAN成员。
介绍介绍MUX VLA N特性的定义、目的、规格等信息。
定义MUX VLA N是一种包含上行端口和业务虚端口的VLA N。
一个MUX VLA N可包含多个上行端口,但只包含一个业务虚端口。
不同MUX VLA N间的业务流相互隔离。
目的MUX VLA N与接入用户存在一对一的映射关系,因此可根据VLA N区分不同的接入用户。
例如,当需要用VLA N区分用户时,可以使用MUX VLAN。
规格MA5680T最多支持4K个MUX VLAN。
约束∙如果VLA N已经创建VLAN三层接口,删除VLA N之前,先删除VLA N三层接口。
∙如果VLA N已经创建业务虚端口,删除VLA N之前,先删除VLA N业务虚端口。
原理描述介绍MUX VLA N特性的实现原理。
MUX VLA N与业务虚端口一一对应,即一个业务虚端口只对应一个MUX VLA N,因而可以利用MUX VLA N来区分接入用户介绍介绍QinQ VLA N特性的定义、目的、规格等信息。
定义QinQ(802.1Q in 802.1Q)是基于802.1 Q标准封装的隧道协议,在用户私有802.1Q的报文基础上,再封装一层802.1Q标签头,从而实现私网VLA N在公网透传,达到二层VPN的应用效果。
目的QinQ的核心思想是将用户私网VLA N Tag封装到公网VLA N Tag上,报文带着两层802.1Q格式的VLA N Tag穿越服务商的骨干网络,从而为用户提供一种较为简单的二层VPN专线业务,在一定程度上拓展私网的地域广度。
此处的专线业务是指私网业务直接透传到网络对端,例如企业内部网等。
规格MA5680T最多支持4K个QinQ VLA N。
约束Super VLA N、Sub VLA N,已创建三层接口的VLA N及系统缺省VLA N都不能设其属性为QinQ 属性。
原理描述介绍QinQ VLA N特性的实现原理。
QinQ VLA N的业务处理过程如图1所示。
Vlan 种类总结一、Standard VLAN业务1、Standard VLAN通过把不同的端口划分到不同的VLAN,可以实现用户二层隔离;把不同的端口划分到在同一VLAN可以实现二层互通。
2、目前版本不支持Standard VLAN增加业务虚端口。
二、Smart VLAN 业务1、SmartVLAN通过添加多个下行端口以及一个或多个上行端口,由系统自动创建上行端口和下行端口内部映射关系,实现用户之间二层报文的隔离。
三、Mux VLAN 业务1、MUX VLAN只能添加一个业务端口但是可以添加多个上行端口,用于需要用VLAN来区分用户的场合四、Super VLAN 业务1、SuperVLan是一个虚拟的三层接口。
它可以添加多个SubVlan,并且这些SubVlan共享一个三层接口,从而达到节省IP网段的目的。
2、SubVlan是SuperVLAN的子VLAN。
SmartVLAN、MUXVLAN 或者标准VLAN都可以加入到SuperVLAN作为SubVLAN,但前提是该VLAN必须是已经创建好的VLAN。
五、QinQ VLAN业务1、QinQ VLAN特性主要是为了满足私网VLAN和业务能直接透明传输到对端。
2、MA5600接收到底层带私网VLAN(Customer VLAN )的报文后,在该报文上再打上一层SP VLAN(Service Provider VLAN 服务提供商),这样MA5600只要创建一个QinQ VLAN,就可以把私网VLAN 直接透明传输到对端,大大节省了公网VLAN ID资源。
3、QinQ VLAN是VLAN的一种属性,只需要在创建VLAN后指明其属性为QinQ 即可。
六、VLAN Stacking业务1、VLAN Stacking特性通过给用户报文打上两层标签来实现报文选路和标识用户的功能。
2、MA5600接收到底层不带VLAN的报文后,在该报文上打上两层VLAN(SP VLAN+Customer VLAN)后转发出去。
H3C S5500三层交换机划分Vlan与H3C路由组网基本属性:vlan特性:三层互通,两层隔离。
三层交换机不同vlan之间默认是互通的,两次交换机不同vlan是隔离的。
vlan IP:就是定义一个vlan下所有机器的网关地址,该vlan下的机器网关必须是这个IP。
接口:就是交换机后面可以插网线的端口,可以设置为Access、Trunk、Hybrid等.注意点:交换机与相关设备(路由、交换机)相连时,建议将接口设置为Trunk口,并且允许相关vlan 通过。
交换机下行连接电脑终端或服务器终端建议将接口设置为Access接口。
定义vlan时,尽量使用24的掩码(255.255.255.0)进行划分,如果存在包含关系vlan之间互连就会有问题,所以尽量不适用大网段。
设置DHCP自动划分IP示例:组网图:1)配置DHCP服务#启用DHCP服务。
<H3C> system-view[H3C] dhcp enable2)配置端口所属VLAN和对应VLAN接口的IP地址,IP地址即是对应VLAN的网关地址[H3C]vlan 5[H3C-vlan5]port GigabitEthernet 1/0/5[H3C-vlan5]quit[H3C]vlan 6[H3C-vlan6]port GigabitEthernet 1/0/6[H3C-vlan6]quit[H3C]vlan 7[H3C-vlan7]port GigabitEthernet 1/0/7[H3C-vlan7]quit[H3C]interface vlan 5[H3C-Vlan-interface5]ip address 192.168.5.254 255.255.255.0[H3C-Vlan-interface5]quit[H3C]interface vlan 6[H3C-Vlan-interface6]ip address 192.168.6.254 255.255.255.0[H3C-Vlan-interface6]quit[H3C]interface vlan 7[H3C-Vlan-interface7]ip address 192.168.7.254 255.255.255.0[H3C-Vlan-interface7]quit3)配置不参与自动分配的IP地址(DNS服务器等,此步为选配)[H3C] dhcp server forbidden-ip 192.168.5.100[H3C] dhcp server forbidden-ip 192.168.6.100[H3C] dhcp server forbidden-ip 192.168.7.1004)配置DHCP地址池5,用来为192.168.5.0/24网段内的客户端分配IP地址。
