实施-VLAN-和VLAN间路由.ppt

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,实施,VLAN,和,VLAN,间路由,设计欠佳的网络中存在的问题,极大的故障域,较大的广播域,大量的未知,MAC,单播流量,极大的组播流量,管理上的挑战,可能存在安全漏洞,VLAN,概述,一个,VLAN=,一个广播域,=,逻辑网络（子网）,分段灵活,提高安全性,提高性能,（隔离广播域）,应用,IP,地址空间的指导原则,为每个,VLAN,分配一个,IP,子网。,在连续的地址块内分配,IP,地址空间。,End-To-End VLAN(,端到端,VLAN),分段灵活,流量不合理,故障难定位,Local VLAN,（本地,VLAN,）,Local VLAN,是指将同一个机架的交换机划分成同一个,VLAN,，这样划分就便于故障分析定位，同时可以减轻汇聚层交换机的负担。,Vlan,10,Vlan,20,Vlan,30,Vlan,40,本地,VLAN,的优点,VLAN,划分方式,VLAN,管理策略服务器（,VMPS,）上存有,VLAN,与,MAC,地址表映,射关系的文本文件,基于端口划分,VLAN,基于,MAC,地址划分,VLAN,VLAN Access,端口,连接终端设备,一个,access,端口划分到一个,VLAN,中，它只能属于一个,VLAN,一个,access,端口接收和发送的数据为标准,Ethernet II,数据帧，,不能携带,802.1Q,的,tag,802.1Q,帧,标记（,tag,）位占,4,个字节：,2,个字节用来标识以太网类型，,3bit:,标识优先级（,PRI,），,1bit:,令牌环封装标志（,CFI=1,）,12bit:VLAN-ID,0,4095,：保留，仅限系统使用。用户不能查看。,1,：,CISCO,默认,VLAN,，不能删除。,2,1001,：用于以太网的,VLAN,，用户可自己创建的,VLAN,1002,1005,：用于,FDDI,和令牌环的默认,VLAN,，不能删除。,1006,1024,：保留，仅限系统使用。用户不能查看。,1025,4094,：仅用于以太网的,VLAN.,扩展的,VLAN,，只有,3550,以上的交换机才能配，,且必须将,VTP,模式设为透明模式。,VLAN Access,端口,接收：,（,1,）若数据帧无,tag,：则根据端口所属的,VLAN,，添加,tag,（,2,）若数据帧有,tag,：丢弃,发送,（从交换机内部往外发送）：,（,1,）若数据帧无,tag,：不可能出现,（,2,）若数据帧有,tag,：去除,tag,后，再发送,VLAN Trunk,端口,通常用于交换机之间或交换机与路由器之间的互连,一个,Trunk,端口并不属于任何一个,VLAN,，类似一个公共通道，它允许多个,VLAN,通过,一个,Trunk,端口接收和发送的数据，可以携带,802.1Q,的,tag,发送：,（,1,）若数据帧无,tag,：不可能出现,（,2,）若数据帧有,tag,：若该数据帧所属的,VLAN,等于该,trunk,端口的,native VLAN,，则删除,tag,后发送；否则，保留,Tag,发送。,接收：,（,1,）若数据帧无,tag,：则根据该,Trunk,端口的,nativeVLAN,，添加,tag,（,2,）若数据帧有,tag,：保留该,Tag,802.1Q,中继,802.1Q Native VLAN(,本征,VLAN),注,:,(1),中继链路两端,802.1Q,中继的本征,VLAN,要相同。,(2),本征,VLAN,帧是无标记帧。,注,:,(1),中继链路两端,802.1Q,中继的本征,VLAN,要相同。,(2),本征,VLAN,帧是无标记帧。,添加,VLAN,SwitchX,#configure terminal,SwitchX(config,)#,vlan,2,SwitchX(config-vlan,)#name switchlab99,全局模式,Vlan,Database,模式,分配交换机端口到,VLAN,SwitchX,#configure terminal,SwitchX(config,)#interface range,fastethernet,0/2-4,SwitchX(config,-if)#,switchport,access,vlan,2,SwitchX,#show,vlan,VLAN Name Status Ports,-,1 default active Fa0/1,2 switchlab99 active Fa0/2,Fa0/3,Fa0/4,switchport,access,vlan,vlan_id,SwitchX(config,-if)#,常用,show,命令,（,1,）,show interface:,查看第一层，第二层的工作状态，查看该接口的报文收发统计信息。,（,2,）,show,ip,interface:,查看第三层,IP,的相关信息,（,3,）,show interface,interface,switchport,查看交换端口属性,（,4,）,show interface,interface,trunk,查看交换机上的,trunk,端口,VLAN,操作,封装方式,ISL(Inter,-Switch Link):,思科私有,若采用,ISL,封装，所有,VLAN,数据经过,Trunk,链路时，均需要进行,ISL,封装，不存在,Native,Vlan,的概念。,802.1Q:IEEE,标准,（,1,）在交换机内部进行数据帧处理时，所有,VLAN,的数据均加,Tag,（,2,）存在,Native VLAN,ISL,与,802.1Q,的比较,ISL,封装,ISL,封装（续）,802.1Q,中继,Trunk,配置命令,静态配置,switch trunk encapsulation dot1q,switch mode trunk,通过,DTP(Dynamic,Trunking,Protocol),协议进行动态协商,switch mode dynamic desirable,switch mode dynamic auto,配置交换机端口模式,关闭,DTP,协商：,switchport,nonegotiate,(,接口模式,),配置工作方式,switchport,mode access|trunk|dynamic auto|dynamic desirable,SwitchX(config,-if)#,配置端口的中继特征,配置,trunk,工作方式,将端口配置为,VLAN,中继,SwitchX(config,-if)#,switchport,mode trunk,设置,trunk,端口的封装方式,SwitchX(config,-if)#,Switchport,trunk encapsulation dot1q|,isl,|negotiate,设置,trunk,端口的,native,vlan,缺省时为,1,SwitchX(config,-if)#,Switchport,trunk native,vlan,vlan_id,设置,trunk,端口允许哪些,VLAN,通过,SwitchX(config,-if)#,Switchport,trunk allowed,vlanword,|add|all|,excep,|none|remove,SwitchX,#show,vlan,id 2,VLAN Name Status Ports,-,2 switchlab99 active Fa0/2,Fa0/12,VLAN Type SAID MTU Parent,RingNo,BridgeNo,Stp,BrdgMode,Trans1 Trans2,-,2,enet,100002 1500 -0 0,.,SwitchX,#,检验,VLAN,SwitchX,#show,vlan,brief|id,vlan,-id,|name,vlan,-name,SwitchX,#show,vlan,brief,VLAN Name Status Ports,-,1 default active Fa0/1,2 switchlab99 active Fa0/2,Fa0/3,Fa0/4,3 vlan3 active,4 vlan4 active,1002,fddi,-default act/,unsup,1003 token-ring-default act/,unsup,VLAN Name Status Ports,-,1004,fddinet,-default act/,unsup,1005,trnet,-default act/,unsup,SwitchX,#show,vlan,brief,检验,VLAN,SwitchX,#show interfaces fa0/11,switchport,Name:Fa0/11,Switchport:Enabled,Administrative,Mode:trunk,Operational,Mode:down,Administrative,Trunking,Encapsulation:dot1q,Negotiation of,Trunking:On,Access Mode VLAN:1(default),Trunking,Native Mode VLAN:1(default),.,SwitchX,#show interfaces fa0/11 trunk,Port Mode Encapsulation Status Native vlan,Fa0/11 desirable 802.1q trunking 1,Port,Vlans,allowed on trunk,Fa0/11 1-4094,Port,Vlans,allowed and active in management domain,Fa0/11 1-13,检验中继,SwitchX,#show interfaces,interface,switchport,|trunk,如何配置中继链路（,Trunking,）,802.1Q,中继配置,VLAN,间的路由连接方法,1,、将路由器与交换机上的每个,VLAN,分别连接,将交换机上用于和路由器互联的每个端口设为,access,端口，然后分别用网线与路由器上的独立端口互联。如下图所示，交换机上有,2,个,VLAN,，,那么就需要在交换机上预留,2,个端口用于与路由器互联；路由器上同样需要有,2,个端口；两者之间用,2,条网线分别连接。,该,种连接方法的缺点：,如果采用这个办法，大家应该不难想象它的扩展性很成问题。每增加一个新的,VLAN,，,都需要消耗路由器的端口和交换机上的访问链接端口，而且还需要重新布设一条网线。而路由器，通常不会带有太多,LAN,接口的。新建,VLAN,时，为了对应增加,的,VLAN,所需的端口，就必须将路由器升级成带有多个,LAN,接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。,VLAN,间的路由连接方法,2,、不论,VLAN,有多少个，路由器与交换机都只用一条网线连接,首先将用于连接路由器的交换机端口设为,trunk,端口，而路由器上的端口也必须支持,trunk,链路。接着在路由器上定义对应各个,VLAN,的,“,子接口,（,Sub Interface,）,”,。,尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。,VLAN,将交换机从逻辑上分割成了多台，因而用于,VLAN,间路由的路由器，也必须拥有分别对应各个,VLAN,的虚拟接口。,VLAN,间的路由连接方法,该连接方法的缺点：,进行,VLAN,间通信时，即使通信双方都连接在同一台交换机上，也必须经过：发送方,交换机,路由器,交换机,接收方 这样一个流程。,如果使用路由器进行,VLAN,间路由的话，随着,VLAN,之间流量的不断增加，流量会集中到路由器和交换机互联的,trunk,链路部分，这一部分尤其特别容易成为整个网络的速度瓶颈。,VLAN,间的路由连接方法,三层交换机（,Layer 3 Switch,）,为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是,“,带有路由功能的（二层）交换机,”,。路由属于,OSI,参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为,“,三层交换机,”,。,关于三层交换机的内部结构，可以参照下面的简图。,三层交换机内部数据究竟是怎样传播的呢？,基本上，它和使用汇聚链路连接路由器与交换机时的情形相同。,内部汇聚链接，不存在网络瓶颈问题,VLAN,间路由介绍,网络层设备互联多个广播域。,使用,802.1Q,实现,VLAN,间路由,使用,802.1Q,实现,VLAN,间路由,三层交换虚接口（,Switch Virtual Interface,SVI,）,多层交换机的,SVI,接口,利用,SVI,实现,VLAN,间路由,三层交换机上的路由端口（,Routed Port,）,三层交换机上的路由端口（,Routed Port,）,配置路由端口的步骤,查看,VLAN,间路由,