第5讲-VLAN划分与管理.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第五讲,VLAN,原理及划分,不同交换机相同,VLAN,间的通信,1,问题：,为什么划分,VLAN,？,划分,VLAN,后，,VLAN,之间可以直接通信吗？,路由器对,VLAN,能起到什么作用？,VLAN 1,能创建、删除或重命名,吗,？,2,VLAN,的划分,3,VLAN,的划分,4,二层交换原理,5,交换机的数据转发模式,直通传送,存储转发,改进型直通传送,6,直通转发式,直通转发,(Cut-Through Switching),是交换机最快速的转发方式，只要得知了数据帧的目的,MAC,地址,(,帧的前,6,个字节,),，交换机即开始向目的端口转发数据，后续数据每到一个字节就转发一个字节，不再有延迟。,直通转发式工作方式：,1.,交换机将目的地址,(,帧的前,6,个字节,),复制到缓冲区中；,2.,查找,MAC,地址表获得输出端口；,3.,将数据帧交付到目的输出端口转发该帧，后续数据每到一个字节就转发一个字节。,说明：,对于所有的数据帧,(,包括正常帧、错误帧、残帧和超长帧等,),，只要其大小有,6,字节，就会得到转发。,优点：,转发速度快，因为它把交换机引入的延迟降低为一个较小的常数,(,读取,6,个字节的时间,),。,缺点：,可靠性不高，因为它对所发的数据帧不进行检查，对残帧、包含无效,CRC,的帧、超长帧等都进行转发。,7,存储转发交换,存储转发交换,(Store And Forward Switching),是在帧被转发到适当的端口之前就被完全处理，一般交换机多采用这种方式转发数据。这种方式可以支持不同速度的端口间的转发。,存储和转发交换工作方式：,1.,交换机读取整个数据帧并将其存储在交换机的内存缓冲区中；,2.,交换机执行循环冗余码校验,(CRC),；,说明：,若检测到该帧出现差错则丢弃该帧，帧暂存时必须存储直到网络资源可以用来转发这条信息。,3.,取出该帧的目的地址，通过查找,MAC,地址表获得输出端口；,4.,将数据帧交付到目的输出端口，转发该帧。,优点：,可靠性好，因为把输入端口的数据先存储在交换机缓存中，然后进行,CRC,校验；支持不同速度的端口。,缺点：,数据处理时延较大，主要原因输入输出端都要经过串并转换，而且存到高速缓存中，整个过程耗时多。,8,对直通转发式的改进,准直通转发模式,(Interim Cut-Trough Switch)/,无碎片模式,(Fragment-Free)/Runt-Free,模式 转发前读取帧的前,64,个字节，即只转发长度至少为,64B,的帧，从而避免了残帧的转发。,智能交换模式,(Intelligent)/,自适应直通转发模式 交换机能根据所监控网络中错误包传输的数量，自动智能改变为存储转发交换。如果每秒错误少于,20,个，将自动采用直通转发式；如果每秒错误大于,20,个或更多，将自动采用存储转发交换，直到返回的错误数量为,0,，再切换回直通转发式。,9,交换机互连：级连和堆叠,级联是通过,双绞线,(,或,光纤,),连接，一般在,交换机,的前面板上就有专门的级联口，如果没有，也可以用交叉接法来级联，级联后两台交换机之间是上下级的关系。,堆叠通常是为了扩充,带宽,用的，通常是用专门的堆叠卡插在交换机后面，用专门的堆叠,电缆,来连接几台交换机，堆叠后这几台交换机就相当于一台交换机一样工作。,级联是通过端口的，要划,VLAN,，要做,STP,；,堆叠是通过交换机背板的叠加，使多个,工作组交换机,形成一个,工作组,堆，从而提供高密度的交换机端口，堆叠组中的交换机就像一个交换机一样工作，配置一个,IP,地址即可。,级联（,Uplink,）是采用多级交换的方式，但级联的越多，性能下降的就越多。,常见的堆叠有两种：,菊花链堆叠和矩阵堆叠,。所谓菊花链就是从上到下串起来，形成单一的一个菊花链堆叠总线；矩阵堆叠就是单独拿一个交换机出来作为堆叠中心，其它交换机用堆叠,线缆,连接到那个堆叠,中心交换机,。矩阵堆叠性能比菊花链好，包,转发速率,高。,10,交换机互连：级连和堆叠,单一菊花链堆叠总线,多达,9,台交换机以菊花链方式连接,为整个堆叠提供独立的,1-,Gbps,堆叠总线,支持冗余回联实现更强的容错性,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,Catalyst 3500 series XL,11,星形联线矩阵堆叠,Catalyst 3508 Series XL,Catalyst 3524 Series XL,Catalyst 3524 Series XL,Catalyst 3524 Series XL,Catalyst 3524 Series XL,Catalyst 3524 Series XL,Catalyst 3500 XL,或 带千兆以太网模块的,Catalyst 2900 XL,千兆以太网上联,Catalyst 3508G XL,通过,Catalyst 3508G XL,实现高性能矩阵,为整个堆叠提供,5Gbps,转发速率,每条点对点连接拥有,2-Gbps,全双工带宽,12,交换机的传输模式,传输模式有全双工，半双工，全双工,/,半双工自适应,交换机的全双工是指交换机在发送数据的同时也能够接收数据，两者同步进行，这好像我们平时打电话一样，说话的同时也能够听到对方的声音。目前的交换机都支持全双工。全双工的好处在于迟延小，速度快。,半双工就是指一个时间段内只有一个动作发生，举个简单例子，一条窄窄的马路，同时只能有一辆车通过，当目前有两量车对开，这种情况下就只能一辆先过，等到头儿后另一辆再开，这个例子就形象的说明了半双工的原理。早期的对讲机、以及早期集线器等设备都是实行半双工的产品。,全双工,/,半双工自适应就是指交换机能够根据网络情况自动调整传输模式。,13,VLAN,的划分方法,VLAN,的划分可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态,VLAN”,、后者自然就是“动态,VLAN”,了。,1,静态,VLAN,静态,VLAN,又被称为基于端口的,VLAN,（,Port Based VLAN,）。顾名思义，就是明确指定各端口属于哪个,VLAN,的设定方法。,14,由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属,VLAN,的设定,这显然不适合那些需要频繁改变拓补结构的网络。,我们现在所实现的,VLAN,配置都是基于端口的配置，因为我们只是支持二层交换，端口数目有限一般为,4,和,8,个端口，并且只是对于一台交换机的配置，手动配置也较为方便。,15,配置命令如：,16,动态,VLAN,动态,VLAN,是根据每个端口所连的计算机，随时改变端口所属的,VLAN,。这就可以避免上述的更改设定之类的操作。动态,VLAN,可以大致分为,3,类：,基于,MAC,地址的,VLAN,（,MAC Based VLAN,）,基于子网的,VLAN,（,Subnet Based VLAN,）,基于用户的,VLAN,（,User Based VLAN,）,17,其间的差异，,主要在于根据,OSI,参照模型哪一层的信息决定端口所属的,VLAN,。基于,MAC,地址的,VLAN,，就是通过查询并记录端口所连计算机上网卡的,MAC,地址来决定端口的所属。假定有一个,MAC,地址“,A”,被交换机设定为属于,VLAN“10”,，那么不论,MAC,地址为“,A”,的这台计算机连在交换机哪个端口，该端口都会被划分到,VLAN10,中去。计算机连在端口,1,时，端口,1,属于,VLAN10,；而计算机连在端口,2,时，则是端口,2,属于,VLAN10,。,由于是基于,MAC,地址决定所属,VLAN,的，因此可以理解为这是一种在,OSI,的第二层设定访问链接的办法。,但是，基于,MAC,地址的,VLAN,，在设定时必须调查所连接的所有计算机的,MAC,地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。,18,19,基于子网的,VLAN,，则是通过所连计算机的,IP,地址，来决定端口所属,VLAN,的。不像基于,MAC,地址的,VLAN,，即使计算机因为交换了网卡或是其他原因导致,MAC,地址改变，只要它的,IP,地址不变，就仍可以加入原先设定的,VLAN,。,20,因此，与基于,MAC,地址的,VLAN,相比，能够更为简便地改变网络结构。,IP,地址是,OSI,参照模型中第三层的信息，所以我们可以理解为基于子网的,VLAN,是一种在,OSI,的第三层设定访问链接的方法。,一般路由器与三层交换机都使用基于子网的方法划分,VLAN,。,基于用户的,VLAN,，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个,VLAN,。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是,Windows,域中使用的用户名。这些用户名信息，属于,OSI,第四层以上的信息。,总的来说，决定端口所属,VLAN,时利用的信息在,OSI,中的层面越高，就越适于构建灵活多变的网络。,21,下面总结静态,VLAN,和动态,VLAN,的相关信息。,种 类,解 说,静态,VLAN,（基于端口的,VLAN,）,将交换机的各端口固定指派给,VLAN,动态,VLAN,基于,MAC,地址的,VLAN,根据各端口所连计算机的,MAC,地址设定,基于子网的,VLAN,根据各端口所连计算机的,IP,地址设定,基于用户的,VLAN,根据端口所连计算机上登录用户设定,22,交换机的端口，可以分为以下三种：,访问链接（,Access Link,）,汇聚链接（,Trunk Link,）,混合链接（,Hybrid Link,）,交换机的端口类型：,不同的端口模式对数据包的处理不同，下面就介绍一下各个端口模式,23,Access,端口,Access,即用户接入端口，该类型端口只能属于,1,个,VLAN,，一般用于连接计算机的端口。,收端口：,收到,untagged frame,，,加上端口的,PVID,和,default priority,再进行交换转发；对于,tagged frame,不论,VID=PVID,还是,VID=PVID,则有的厂家是直接丢弃，而有的厂家是能够接收,VID=PVID,的,TAG,包。一般,Access,端口只接收,untagged frame,，,部分产品可能接收,tagged frame,。,发报文：,对于,VID=PVID,的,tagged frame,去除标签并进行转发。对于,VID,PVID,的数据包丢弃不进行转发，,untagged frame,则无此情况。而我们的,REOP,、,ES011,、,E4114,则对于,VID=PVID,或,VID=PVID,的,tagged frame,都进行转发处理。,注：所说的删除标签是指删除,4,字节的,VLAN,标签，并且,CRC,经过重新计算。,24,Trunk,端口,在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置,VLAN,的问题了。假设有如下图所示的网络，且需要将不同楼层的,A,、,C,和,B,、,D,设置为同一个,VLAN,。,当需要设置跨越多台交换机的,VLAN,时则需要设置,TRUNK,功能。,25,这时最关键的就是“交换机,1,和交换机,2,该如何连接才好呢？”最简单的方法，自然是在交换机,1,和交换机,2,上各设一个红、蓝,VLAN,专用的接口并互联了。,26,但是，这个办法从扩展性和管理效率来看都不好。例如，在现有网络基础上再新建,VLAN,时，为了让这个,VLAN,能够互通，就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的，一般不能由基层管理人员随意进行。并且，,VLAN,越多，楼层间（严格地说是交换机间）互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是,汇聚链接（,Trunk Link,）。,技术领域中把,TRUNK,翻译为中文是“主干、干线、中继线、长途线”。,而且这个词在不同场合也有不同的解释：,27,1,、在网络的分层结构和宽带的合理分配方面，,TRUNK,被解释为“端口汇聚”，是带宽扩展和链路备份的一个重要途径。,TRUNK,把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。,TRUNK,技术可以实现,TRUNK,内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量均衡，就像我们熟悉的打印机池和,MODEM,池一样。,2,、在电信网络的语音级的线路中，,Trunk,指“主干网络、电话干线”，即两个交换局或交换机之间的连接电路或信道，它能够在两端之间进行转接，并提供必要的信令和终端设备。,3,、但是在最普遍的路由与交换领域，,VLAN,的端口聚合也有的叫,TRUNK,，不过大多数都叫,TRUNKING,。,28,A,发送的数据帧从交换机,1,经过汇聚链路到达交换机,2,时，在数据帧上附加了表示属于红色,VLAN,的标记。交换机,2,收到数据帧后，经过检查,VLAN,标识发现这个数据帧是属于红色,VLAN,的，因此去除标记后根据需要将复原的数据帧只转发给,其他属于红色,VLAN,的端口。这时的转送，是指经过确认目标,MAC,地址并与,MAC,地址列表比对后只转发给目标,MAC,地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色,VLAN,的端口。蓝色,VLAN,发送数据帧时的情形也与此相同。,29,Hybrid,端口,Hybrid,即混合端口模式，该类型的端口可以属于多个,VLAN,，可以接收和发送多个,VLAN,的报文，可以用于交换机之间连接，交换机与路由器之间，也可以用于交换机与用户计算机的连接。,接收端口：,同时都能够接收,VID=PVID,和,VID,PVID,的,tagged frame,，不改变,TAG,；对于,untaged,frame,则加上端口的,PVID,和,default priority,再进行交换转发，对于,priority only tagged frame,则添加,PVID,再进行转发。,发送端口：,1,、判断该,VLAN,在本端口的属性。,2,、如果输入为,untag,包则在输出端口剥离,VLAN,信息，再发送，如果是,tag,则直接发送。,30,Hybrid,端口和,Trunk,端口的区别：,Hybrid,端口和,Trunk,端口的不同之处在于,Hybrid,端口可以允许多个,VLAN,的报文发送时不打标签，而,Trunk,端口只允许缺省,VLAN,的报文发送时不打标签。,Access,端口只属于,1,个,VLAN,，所以它的缺省,VLAN,就是它所在的,VLAN,，不用设置；,Hybrid,端口和,Trunk,端口属于多个,VLAN,，所以需要设置缺省,VLAN ID,。缺省情况下，,Hybrid,端口和,Trunk,端口的缺省,VLAN,为,VLAN 1,。如果设置了端口的缺省,VLAN ID,，当端口接收到不带,VLAN Tag,的报文后，则将报文转发到属于缺省,VLAN,的端口；当端口发送带有,VLAN Tag,的报文时，如果该报文的,VLAN ID,与端口缺省的,VLAN ID,相同，则系统将去掉报文的,VLAN Tag,，然后再发送该报文。,31,32,配置主干道,配置主干道模式,33,主干道模式组合,34,跨交换机相同,VLAN,间通信,如下题目：,公司有两层楼，两层楼上都有财务部和技术部的办公室，每层楼上两个部门的计算机都连接在同一交换机上。现要求财务部计算机可以互相访问，技术部计算机可以互相访问，但财务部和技术部的计算机之间不能自由访问。,如何解决？,35,帧标记法,(802.1q),为了解决这个问题，,IEEE,制定了,802.1q,标准为必要的帧分配一个唯一的标记用以标识这个帧的,VLAN,信息。,封装,解封装,Trunk,端口,Access,端口,36,VLAN,的,Tagging,操作,37,连接拓扑,VLAN100,VLAN100,Switch A,Switch B,38,交换机端口划分,VLAN,端口成员,100,18,200,916,Trunk,口,24,39,设备配置,设备,IP,地址,Mask,交换机,A,192.168.0.1,255.255.255.0,交换机,B,192.168.0.2,255.255.255.0,PC1,192.168.0.100,255.255.255.0,PC2,192.168.0.200,255.255.255.0,40,结论,PC1,位置,PC2,位置,动作,结果,18,端口,PC1 ping,switchB,?,916,端口,PC1 ping,switchB,?,1724,端口,PC1 ping,switchB,?,18,端口,18,端口,PC1 ping PC2,?,18,端口,916,端口,PC1 ping PC2,?,41,配置步骤,恢复出厂设置,设置交换机,IP,地址,设置计算机,IP,地址,创建,Vlan100,和,Vlan200,给,Vlan100,和,Vlan200,添加端口,设置交换机,trunk,端口,42,配置步骤,设置交换机,trunk,端口,Config,Interface ethernet0/0/24,Switchport,mode trunk,Switchport,trunk allowed all,所有以后创建的,VLAN,都会自动添加,trunk,口为成员端口,43,再 见！,44,