补充+虚拟局域网.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第六章 虚拟局域网及其配置,4/7/2026,1,第六章 虚拟局域网及其配置,6.1,虚拟局域网概述,6.1.1,虚拟局域网的概念,6.1.2 VLAN,产生的技术背景,6.1.3 VLAN,的分类,6.2 VLAN,的汇聚连接与封装协议,6.2.1 VLAN,的汇聚连接,6.2.2 VLAN,的封装协议,4/7/2026,2,6.3 VLAN,间主机的通信,6.3.1,利用路由器实验,VLAN,间通信,1,6.3.2,利用路由器实验,VLAN,间通信,2,6.3.3,利用路由器实验,VLAN,间通信,3,6.3.4,利用三层交换机实验,VLAN,间通信,6.4 VLAN,的配置,4/7/2026,3,1.,什么是虚拟局域网（,VLAN,）,VLAN,（,Virtual Local Area Network,）,是建立在局域网交换机或,ATM,交换机之上的，它以,软件方式,来实现,逻辑工作组,的划分和管理，逻辑工作组的结点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接在同一个物理网段上，,它们可以连接在同一个局域网交换机上，也可以连接在不同的局域网交换机上，只要这些交换机是互连的。,当一个结点从一个逻辑工作组转移到另一个逻辑工作组时，只要通过软件设定，而不需要改变它在网络中的物理位置。同一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。,VLAN,是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个网段，从而实现虚拟工作组的新兴数据交换技术。,6.1.1,虚拟局域网的概念,4/7/2026,4,2.,虚拟局域网技术,VLAN,是在一个物理网络上划分出来的逻辑网络。这个网络对应于,OSI,模型的第二层网络。,VLAN,的划分不受网络端口的实际物理位置的限制。,VLAN,有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个,VLAN,内转发、扩散，而不会直接进入其他的,VLAN,之中。,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,交换机收到广播帧后,只转发到属于同一,VLAN,的其它端口,4/7/2026,5,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1,VLAN,2,和,VLAN,3,的构成,4/7/2026,6,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1,VLAN,2,和,VLAN,3,的构成,当,B,1,向,VLAN,2,工作组内成员发送数据时，,工作站,B,2,和,B,3,将会收到广播的信息。,4/7/2026,7,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1,VLAN,2,和,VLAN,3,的构成,B,1,发送数据时，工作站,A,1,A,2,和,C,1,都不会收到,B,1,发出的广播信息。,4/7/2026,8,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1,VLAN,2,和,VLAN,3,的构成,虚拟局域网限制了接收广播信息的工作站数，使得网络,不会因传播过多的广播信息,(,即“广播风暴”,),而引起性能恶化。,4/7/2026,9,6.1.2,VLAN,产生的技术背景,1.,基于网络性能的考虑,传统的共享的以太网中所有用户共同处于一个广播域,解决冲突域、广播域、带宽的问题,4/7/2026,10,6.1.2,VLAN,产生的技术背景,2.,基于安全的因素,限制不同工作组间的用户二层之间的互访,基于组织结构的考虑,3.,将物理,LAN,逻辑地划分为不同的广播域，每个,VLAN,有着相同的需求。,突破物理地理范围的限制,4/7/2026,11,6.1.3,VLAN,的分类,基于端口的,VLAN,（,Port-Based,）,基于协议的,VLAN,（,Protocol-Based,）,基于,MAC,层分组的,VLAN,（,MAC-Layer Grouping,）,基于网络层分组的,VLAN,（,Network-Layer Grouping,）,基于,IP,组播分组的,VLAN,（,IP Multicast Grouping,）,基于策略的,VLAN,（,Policy-Based,）,4/7/2026,12,基于端口的,VLAN,基于端口的,VLAN,是划分虚拟局域网最简单也是最有效的方法。它是交换机的若干个端口（可以连续也可以不连续）的集合，按交换机的端口来划分，管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。,属于一个,VLAN,的端口可以连续也可以不连续，可以在同一个交换机上，也可以跨越多个交换机。,这种方法的优点在于只需定义端口，非常灵活、简单方便。缺点在于连接到某,VLAN,上的用户离开原来的端口，到了一个新的交换机的端口，就要重新定义其所属的,VLAN,。,4/7/2026,13,基于端口的,VLAN,4/7/2026,14,基于协议的,VLAN,基于协议的,VLAN,是通过区分承载的数据所采用的三层协议的不同来确定,VLAN,的成员，然而这需要工作在一个多类型协议的环境下，在一个主要以,IP,为基础的网络上，这种方法不是特别有用。,4/7/2026,15,基于,MAC,层分组的,VLAN,这类,VLAN,是依据连接在交换机端口上的工作站和服务器的,MAC,地址来进行划分的。网络管理员需要管理,MAC,地址，当用户发生物理位置移动时，即从一个交换机换到另一台交换机时，,VLAN,不用重新配置。但初始化时，需要配置所有的,MAC,地址，如果有几百个甚至上千个用户的话，工作量是非常巨大的。而且这种划分的方法也导致了交换机运行效率的降低，因为在每一个交换机的端口都可能存在很多个,VLAN,组的成员，这样就无法限制广播包了。,4/7/2026,16,基于网络层划分,VLAN,根据每个主机的网络层地址或协议类型来进行划分的。虽然这种划分方法是依据网络地址（如,IP,地址），但这不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的,IP,地址，但由于不是路由，所以没有,RIP,、,OSPF,等路由协议，而是根据生成树算法进行桥交换。,优点,:,如果用户的物理位置变化了，不需要重新配置所属的,VLAN,，而且可以根据协议类型来划分,VLAN,，这对于网络管理者来说很重要。另外，不需要附加的帧标签来识别,VLAN,，这样可以减少网络的通信量。,缺点,:,效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。,4/7/2026,17,根据,IP,组播划分,VLAN,IP,组播实际上也是一种,VLAN,，即认为一个组播组就是一个,VLAN,，这种划分的方法将,VLAN,扩大到了广域网，因此有更大的灵活性，而且也很容易通过路由器进行扩展，但由于效率不高，不适用于局域网。,4/7/2026,18,基于策略的,VLAN,它是一种比较灵活有效的,VLAN,划分方法，该方法的核心是采用什么样的策略。常用的策略有：按,MAC,地址、按,IP,地址、按以太网的协议类型、按网络应用等。,4/7/2026,19,VLAN,的优越性,1,可以有效地控制网络的广播风暴,2,增加网络的安全性,3,简化网络管理，提高网络灵活性,4/7/2026,20,6.2 VLAN,的汇聚连接与封装协议,6.2.1 VLAN,的汇聚连接,1.,跨多台交换机实现,VLAN,2.,跨交换机实现,VLAN,内主机间通信,3.,利用,Trunk Link,实现跨交换机,VLAN,内,主机通信,4/7/2026,21,1.,跨多台交换机实现,VLAN,4/7/2026,22,2.,跨交换机实现,VLAN,内主机间通信,解决的办法就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门用于提供该,VLAN,内的主机跨交换机相互通信。,缺点,:,效率低,对交换机端口的大量占用,4/7/2026,23,3.,利用,Trunk Link,实现跨交换机,VLAN,内主机通信,交换机间的互连链路汇集到一条链路上，让该链路允许各个,VLAN,的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各,VLAN,在交换机间通信的链路，称为交换机的汇聚链路或主干链路（,Trunk Link),。,用于提供汇聚链路的端口，称为汇聚端口。,4/7/2026,24,6.2 VLAN,的汇聚连接与封装协议,6.2.2 VLAN,的封装协议,1.,IEEE 802.1Q,产生,2.IEEE 802.1Q,帧格式,3.IEEE 802.1Q,工作原理,4/7/2026,25,1.Tag VLAN,封装协议,IEEE 802.1Q,1996,年,3,月，,IEEE 802.1 Internet Working,委员会制定出,802.1Q VLAN,标准。,IEEE 802.1Q,的帧在原来的以太网帧的基础上增加了,4,个字节的,Tag,信息，其中包括,2,个字节的,TPID,（,Tag Protocol Identifier,）和,2,个字节的,TCI,（,Tag Control Information,）。,TPID,是一个固定值：,0X8100,，而,TCI,中又包含,3,位的优先级，一位的,CFI,（,Canonical Format Indicator,）,其默认值为,0,，其余的,12,位作为,VID,（,VLAN Identifier,）。,4/7/2026,26,2.IEEE 802.1Q,帧格式,目的,MAC,源MAC,长度,DATA,FCS,目的,MAC,源MAC,长度,DATA,FCS,VPID,VCL,0X8100 2B,优先级,3bit,CFI 1bit,VID 12bits,4Bytes,4/7/2026,27,3.IEEE 802.1Q,工作原理,802.1q,数据帧只在交换机的,trunk,链路上传输，对于用户是完全透明的。,默认条件下，,Trunk,上会转发交换机上存在的所有,VLAN,的数据。,数据帧,Tag,标签,A,交换机,1,交换机,2,B,DES,SRC,FCS,DES,SRC,去掉,Tag,标签,4/7/2026,28,6.3 VLAN,间主机的通信,6.3.1,利用路由器实验,VLAN,间通信,1,6.3.2,利用路由器实验,VLAN,间通信,2,6.3.3,利用路由器实验,VLAN,间通信,3,6.3.4,利用三层交换机实验,VLAN,间通信,4/7/2026,29,1.,利用路由器实现,VLAN,间通信,1,当每个交换机上只一个,VLAN,时，路由器和交换机的接线方式，如图,4-7,所示，每个交换机中留出一个端口用作与路由器的相应接口连接。,4/7/2026,30,2.,利用路由器实现,VLAN,间通信,2,将路由器与交换机上的每个,VLAN,分别连接。实现的方法即把路由器和交换机以,VLAN,为单位分别用网线连接。将交换机上用于和路由器互连的每个端口设为,Access,模式，然后分别用网线与路由器上的独立端口互连。,4/7/2026,31,3.,利用路由器实现,VLAN,间通信,3,不论,VLAN,有多少个，路由器与交换机都只用一条网线连接,.,此时路由器的快速以太网端口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个,VLAN,创建一个对应的虚拟子接口（,SVI,），并设置虚拟子接口的,IP,地址，该,IP,地址以后就成为该,VLAN,的默认网关。,4/7/2026,32,4.,利用三层交换机实现,VLAN,间通信,4/7/2026,33,6.4 VLAN,的配置,配置,VLAN,大致有以下几个步骤,:,VLAN,配置分析规划，解决配置什么的问题。,VLAN,的具体配置，实现在交换机上配置,VLAN,。,VLAN,配置信息的查看、修改，确保配置合理正确。,VLAN,配置信息的保存。,4/7/2026,34,VLAN,的默认配置,参,数,默,认,值,范,围,VLAN ID,1,1,4094,VLAN name,VLAN x,其中,x,是,VLAN Name,，,无范围,VLAN state,active,active,、,inactive,VLAN,是以,VLANID,来标识的，遵循,IEEE 802.1Q,标准，最多支持,250,个,VLAN,（,VLAN ID,范围是,1,4094,）。在交换机上可以添加、删除、修改,VLAN 2,VLAN 4094,，而,VLAN 1,则是由交换机自动创建，并且不可被删除。,4/7/2026,35,VLAN,端口,VLAN,端口类型有两种：,Access,端口和,Trunk,端口。,一个,Access,端口只能属于一个,VLAN,，并且是通过手工设置指定,VLAN,的。交换机上的所有端口默认都是,Access,端口，属于,VLAN1,。,一个,Trunk,端口，在默认情况下是属于本交换机所有,VLAN,的，它能够转发所有,VLAN,的帧，但是可以通过设置许可,VLAN,列表（,allowed-,VLANs,）来加以限制。,4/7/2026,36,创建,VLAN,创建,VLAN,是在全局模式下进行,vlan,vlan,-id,其中,vlan,-id,代表要创建的,VLAN,号。,默认情况下，交换机会自动创建和管理,VLAN 1,，所有交换机端口默认均属于,VLAN 1,，用户不能删除该,VLAN,。用户可创建的,VLAN,的,ID,范围是,2,4094,，但最多只能建立,250,个,VLAN,。如果输入的是一个新的,VLAN ID,，则交换机会创建一个,VLAN,，并进入到,VLAN,配置模式，如果输入的是已经存在的,VLAN ID,，则进入到,vlan,配置模式修改相应的,VLAN,配置。,4/7/2026,37,命名,VLAN,为区分不同的,VLAN,，应对,VLAN,取一个名字。,VLAN,的名字默认为“,VLAN+,用,0,开头的,4,位,VLAN ID,号”。比如，,VLAN 0004,就是,VLAN 4,的默认名字。给,VLAN,命名的配置命令为：,name,vlan,-name,其中，,vlan,-name,为,VLAN,的名字。,此命令在,vlan,模式下运行，如果想把,VLAN,的名字改回默认，输入,no,命令即可。,4/7/2026,38,删除,VLAN,删除已经创建的,VLAN,，使用的配置命令为：,no,vlan,vlan,-id,其中，,vlan,-id,是要删除的,VLAN,，,VLAN,删除后，原来属于该,VLAN,的交换机端口将仍然属于该,VLAN,，不会自动划归到,VLAN 1,。由于所属的,VLAN,已被删除，此时这些端口将处于非活动状态，在查看,VLAN,时看不到这些端口。因此，在删除,VLAN,之前，最好先将属于该,VLAN,的端口划归到,VLAN 1,，然后再删除该,VLAN,。,VLAN 1,是系统默认的，不能由用户删除。,4/7/2026,39,向,VLAN,分配,Access,端口,在接口模式下可利用如下命令将选中的端口划分到一个已经创建的,VLAN,中。如果把一个接口分配给一个不存在的,VLAN,，那么这个,VLAN,将自动被创建。,switchport,access,vlan,vlan,-id,其中，,vlan,-id,是,VLAN,的,ID,号，表示将端口划入哪一个,VLAN,。,可见,建立一个,VLAN,既可以在全局模式,下建立,也可以在接口模式下建立,.,4/7/2026,40,显示,VLAN,信息,在特权模式下，才可以查看,VLAN,的信息。,显示的信息包括,vlan,-id,、,VLAN,状态、,VLAN,成员端口以及,VLAN,配置信息。显示命令为：,Show,vlan,vlan,-id,vlan,-id,是可选项，如果有此项则显示某一,VLAN,的信息，如果没此项则显示所有已建立的,VLAN,的信息。,4/7/2026,41,显示接口状态信息,在特权模式下，还可以使用如下命令来显示与,VLAN,配置有关的接口配置是否正确。,show interfaces interface-id,switchport,4/7/2026,42,【,例,4-1】,在,S2126,上建立一个,VLAN100,，并将它命名为,test,。将,1,5,号口、,8,号口划分到,VLAN100,中，划分完毕后显示,VLAN,及接口信息。,Switch#configure terminal,Switch(config)#vlan,100,Switch(config-vlan,)#name,testSwitch(config-vlan)#end,Switch#show,vlan,VLAN Name Status Ports,-,1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/24,100 test active,4/7/2026,43,Switch#configure terminal,Switch(config)#interface,range f 0/1-5,Switch(config-if-range)#switchport,mode access,Switch(config,-if-range)#,switchport,access,vlan,100,Switch(config-if-range)#exit,Switch(config)#interface,f 0/8,Switch(config-if)#switchport,mode access,Switch(config,-if)#,switchport,access,vlan,100,Switch(config-if)#end,4/7/2026,44,【,例,4-2】,在,S2126,上删除在例,4-1,中已建立的,VLAN 100,。,在删除,VLAN,之前应先将此,VLAN,中的端口划回到,VLAN 1,，然后再删除。,4/7/2026,45,配置,VLAN Trunk,Trunk,可以在一条链路上传输多个,VLAN,的流量。,Trunk,采用,802.1Q,标准封装。使用,switchpot,mode,命令可以把一个普通的以太网端口在,Access,模式和,Trunk,模式之间切换。,将一个接口设置成为,Access,模式；,switchpot,mode access,：,将一个接口设置成为,Trunk,模式。,switchpot,mode trunk,：,4/7/2026,46,配置,Native VLAN,所谓,Native VLAN,，就是指在这个接口上收发的,UNTAG,报文，都被认为是属于这个,VLAN,的。显然，这个接口的默认,VLAN ID,（即,IEEE802.1Q,中的,PVID,）就是,Native VLAN,的,VLAN ID,。同时，在,Trunk,上发送属于,Native VLAN,的帧，则必然采用,UNTAG,的方式。每个,Trunk,口的默认,Native VLAN,是,VLAN 1,。配置,Trunk,链路时，要确认连接链路两端的,Trunk,口属于相同的,Native VLAN,。,在接口模式下，利用如下命令可以为一个,Trunk,口配置,Nativc,VLAN,。,switchport,trunk native,vlan,vlan,-id,4/7/2026,47,定义,Trunk,口的许可,VLAN,列表,Trunk,口默认可以传输本交换机支持的所有,VLAN,（,1,4094,）的流量。但是也可以通过设置,Trunk,口的许可,VLAN,列表来限制某些,VLAN,的流量不能通过这个,Trunk,口。,在接口模式下，可以修改一个,Trunk,口的许可,VLAN,列表：,switchport,trunk allowed,vlan,all|add|remove|except,vlan,-list,（,1,）参数,vlan,-list,可以是一个,VLAN,，也可以是一系列,VLAN,，以值小的,VLAN ID,开头，以值大的,VLAN ID,结尾，中间用“,-”,号连接，如,10-20,。,（,2,）,all,的含义是许可,VLAN,列表包含所有支持的,VLAN,。,4/7/2026,48,配置,Tag VLAN-Trunk,口,vlan,列表,（,3,）,add,表示将指定,VLAN,列表加入许可,VLAN,列表。,（,4,）,remove,表示将指定,VLAN,列表从许可,VLAN,列表中删除。,（,5,）,except,表示将除列出的,VLAN,列表外的所有,VLAN,加入许可,VLAN,列表。,下面是一个把端口,0/20,配置为,TRUNK,端口，但是不包含,VLAN 2,的,例子：,Switch(config,)#,interface,fastethernet,0/20,Switch(config,-if)#,switchport,trunk allowed,vlan,remove 2,Switch(config,-if)#end,4/7/2026,49,【,例,4-3】,如图所示，,S2126-1,和,S2126-2,通过,1,号口连接，整个网络有,2,个,VLAN,，即,VLAN10,和,VLAN20,。,S2126-1,的,5,7,号口划入,VLAN10,，,10,、,11,号口划入,VLAN20,；,S2126-2,的,5,7,号口划入,VLAN10,，,10,、,11,号口划入,VLAN20,。要求在交换机上配置：,（,1,）使两个交换机的,1,号口为,Trunk,口，使其,Native VLAN,号为,VLAN 1,；,（,2,）分别在两个交换机上配置,VLAN,，将相应端口划入,VLAN,；,（,3,）定义,Trunk,口的许可,VLAN,列表，将,VLAN20,从列表中删除。,4/7/2026,50,利用三层交换机实现,VLAN,间通信的配置,VLAN,间要实现三层交换和相互通信，就必须在三层交换机上为每个,VLAN,创建一个虚拟的子接口，并设置接口的,IP,地址。这样就可实现虚拟子接口之间的路由，从而实现,VLAN,间的通信。各,VLAN,对应的虚拟子接口的,IP,地址，就成为该,VLAN,的默认网关地址。创建,VLAN,的虚拟子接口，并为其设置,IP,地址的配置命令为：,interface,vlan,vlan,-id,ip,address,adress,netmask,no shutdown,其中，,interface,vlan,配置命令在全局配置模式下运行，用于选择指定,VLAN,的虚拟子接口；,ip,address,配置命令用于为接口设置,IP,地址。,设置好,VLAN,虚拟子接口的,IP,地址后，路由模块会自动在路由表中添加相应的路由。,4/7/2026,51,【,例,4-4】,网络拓扑图如图,4-12,所示。在,SW2126,交换机上分别建立,VLAN10,、,VLAN20,、,VLAN30,，将,fastethernet,0/1-5,划入,VLAN10,中，将,fastethernet,0/6-10,划入,VLAN20,中，将,fastethernet,0/11-15,划入,VLAN30,中，两个交换机通过,fastethernet0/24,口连接，,VLAN10,、,VLAN20,、,VLAN30,通过,SW3550,进行路由通信。,4/7/2026,52,Q&A,4/7/2026,53,