電子教案07虛擬局域網(wǎng).ppt

第7章 虛擬局域網(wǎng)局域網(wǎng),第7章 虛擬局域網(wǎng),學(xué)習(xí)目的與要求： 虛擬局域網(wǎng)(VLAN)是目前應(yīng)用非常廣泛的一種局域網(wǎng)技術(shù)，它是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無關(guān)的邏輯組。利用VLAN技術(shù)，可將大的局域網(wǎng)劃分為若干較小的虛擬工作組，以縮小廣播域，減少廣播風(fēng)暴，提高網(wǎng)絡(luò)通信的速度與效率。利用以太網(wǎng)交換機(jī)，可方便地實現(xiàn)虛擬局域網(wǎng)。本章主要介紹了VLAN的基本概念、VLAN中繼協(xié)議、VLAN中繼技術(shù)、VLAN的配置以及VLAN間的路由等相關(guān)知識。 學(xué)完本章，你將能夠： 描述VLAN的基本概念及其劃分方法 描述VLAN中繼協(xié)議及其應(yīng)用 進(jìn)行VLAN的劃分與端口的配置 進(jìn)行VTP的配置與管理 進(jìn)行VLAN間路由通信的配置,第7章 虛擬局域網(wǎng),7.1 VLAN基礎(chǔ) 7.2 VLAN中繼協(xié)議 7.3 VLAN的識別 7.4 VLAN間的路由選擇 本章小結(jié) 本章實訓(xùn) 本章習(xí)題,7.1 VLAN基礎(chǔ),本節(jié)主要介紹了VLAN的一些相關(guān)知識如VLAN的分類、VLAN的實現(xiàn)、VLAN的優(yōu)點以及VLAN的簡單配置。,7.1.1 VLAN概述,1、VLAN的概念 虛擬局域網(wǎng)是以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)，其最大的特點是在組成邏輯網(wǎng)時無需考慮用戶或設(shè)備在網(wǎng)絡(luò)中的物理位置。 2VLAN的分類 基于交換端口劃分的VLAN 基于MAC地址劃分的VLAN 基于網(wǎng)絡(luò)層協(xié)議劃分的VLAN 基于IP組播劃分的VLAN,7.1.1 VLAN概述,3、VLAN的實現(xiàn) 靜態(tài)VLAN 動態(tài)VLAN 4、VLAN的優(yōu)點 簡化網(wǎng)絡(luò)管理，減少管理開銷。 控制網(wǎng)絡(luò)廣播包。 提高了網(wǎng)絡(luò)的安全性。,7.1.2 VLAN的配置,1、VLAN的創(chuàng)建 Switch# vlan database Switch(vlan)# vlan 10 name stu1 Switch(vlan)# vlan 20 name stu2 Switch(vlan)# exit Switch#,7.1.2 VLAN的配置,2、將端口劃入相應(yīng)vlan Switch# configure terminal Switch(config)# interface fastethernet 0/1 Switch(config-if)# switchport access vlan 10 Switch(config-if)# exit Switch(config)# interface fastethernet 0/2 Switch(config-if)# switchport access vlan 20 Switch(config-if)# exit Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport access vlan 10 Switch(config-if)# end,7.1.2 VLAN的配置,2、查看vlan信息 Switch# show vlan !查看所有vlan信息 Switch# show vlan id 10 !查看vlan 10的信息 Switch# show vlan id 20 !查看vlan 20的信息,7.2 VLAN中繼協(xié)議,本節(jié)主要介紹了VLAN中繼協(xié)議（VTP）的相關(guān)知識以及VLAN中繼協(xié)議的基本配置,7.2.1 VTP概述,1VTP的概念 VTP(VLAN Trunk protocol)是虛擬網(wǎng)絡(luò)中繼協(xié)議的縮寫。該協(xié)議是Cisco公司創(chuàng)建的，它是一種用來使vlan配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動態(tài)注冊的二層協(xié)議，提供了一種用于管理網(wǎng)絡(luò)上全部vlan的簡化方法，VTP允許管理員從VTP服務(wù)器上對網(wǎng)絡(luò)中所有vlan的增加、刪除和重命名進(jìn)行管理。在一臺VTP服務(wù)器上配置一個新的vlan信息時，該信息將自動傳播到本域內(nèi)所有的交換機(jī)上，從而減少在多臺設(shè)備上配置同一信息的重復(fù)工作量，大大簡化了網(wǎng)絡(luò)的管理。該協(xié)議支持大多數(shù)的 Cisco Catalyst 系列產(chǎn)品。,7.2.1 VTP概述,2VTP域 VTP被組織成管理域，它是由一組交換機(jī)組成，且這些交換機(jī)應(yīng)該具備以下幾點要求： (1) 域內(nèi)的每臺交換機(jī)都必須使用相同的VTP域名，不論是通過配置實現(xiàn)，還是由交換機(jī)自學(xué)得到。 (2) VTP域內(nèi)的所有交換機(jī)形成了一棵相互連接的樹，每臺交換機(jī)都通過這棵樹與其他的交換機(jī)相連。 (3) 交換機(jī)之間必須啟用中繼(連接的接口為trunk)，因為VTP信息只能在Trunk端口上傳播。 (4) 一臺交換機(jī)只能屬于一個VTP域，不同域中的交換機(jī)不能共享VTP信息。,7.2.1 VTP概述,3VTP模式 根據(jù)交換機(jī)在VTP域中的作用不同，VTP可以分為三種模式: (1)服務(wù)器模式(Server)：默認(rèn)情況下交換機(jī)處于VTP服務(wù)器模式。VTP服務(wù)器能夠為服務(wù)器所在的域創(chuàng)建、修改或刪除VLAN，同時這些信息會通告給域中的其他交換機(jī)。每個VTP域必須至少有一臺服務(wù)器，域中的VTP服務(wù)器可以有多臺。 (2)客戶機(jī)模式(Client)：VTP客戶機(jī)不允許管理員創(chuàng)建、修改或刪除VLAN，它可以從VTP服務(wù)器接收信息，而且它們也發(fā)送和接收更新，但它們不能做任何改變，它的配置不保存在NVRAM里。不能在客戶機(jī)的交換機(jī)端口上增加新的VLAN。 (3)透明模式(Transparent)：該模式下的交換機(jī)不參與VTP域，它可以創(chuàng)建、修改或刪除VLAN，但這些VLAN信息并不會通告給其他交換機(jī)，它也不接收其他交換機(jī)的VTP通告而更新自己的VLAN信息。然而需要注意的是，它會通過Trunk鏈路轉(zhuǎn)發(fā)接收到的VTP通告從而充當(dāng)了VTP中繼的角色，因此完全可以把該交換機(jī)看成是透明的。,7.2.1 VTP概述,4VTP通告 VTP通告用來在VTP域內(nèi)交換機(jī)之間傳遞VLAN信息的數(shù)據(jù)，從而使VTP域中的交換機(jī)的VLAN信息同步。 VTP通告中包括 管理域、版本號、配置修改編號、它所知道的VLAN、 每個VLAN的相關(guān)的參數(shù)等內(nèi)容，通常被發(fā)送到一個組播地址：01-00-0C-CC-CC-CC，該信息可被同一管理域中的所有其他設(shè)備自動學(xué)習(xí)到。,7.2.1 VTP概述,5VTP版本 在VTP域中可以使用兩種版本，即VTP v1、VTP v2，默認(rèn)的VTP版本是VTP v1。 在一個管理域中兩版本是不能互操作的，即同一個VTP域中所有的交換機(jī)都必須配置相同的VTP版本。如果一臺交換機(jī)能夠啟用VTP v2，但沒有啟用，這臺交換機(jī)能夠和其他VTP v1的交換機(jī)共存，但是一旦該交換機(jī)啟用了VTP v2，那么會導(dǎo)致所有的交換機(jī)都啟用VTP v2。VTP v1與v2的不同之處： (1) 在VTP v1中，透明模式的交換機(jī)在轉(zhuǎn)發(fā)VTP通告時先檢查VTP版本和域名是否與本機(jī)相同，相同則轉(zhuǎn)發(fā),反之則不轉(zhuǎn)發(fā)。而VTP v2則不檢查版本號和域名就轉(zhuǎn)發(fā)。 (2) VTP v2支持令牌環(huán)交換和令牌環(huán)VLAN。這是VTP v2與v1的最大區(qū)別。,7.2.1 VTP概述,6VTP修正號 VTP通告中有一個字段稱為修正號(Revision)，初始值為0。每當(dāng)VLAN配置信息發(fā)生改變，該修正號就增加1，其值從1-4294967295，然后循環(huán)歸0重新開始。為了防止交換機(jī)接收到被延遲的VTP通告，交換機(jī)只接收比本地保存的Revision號更高的通告。正因為如此，任何新加入到網(wǎng)絡(luò)的交換機(jī)應(yīng)該具有Revision號0。VTP Revision號保存在Flash中，關(guān)機(jī)也不會復(fù)位。可以采用下列方法進(jìn)行復(fù)位： (1) 將交換機(jī)的模式改變?yōu)橥该髂Ｊ胶笥指淖優(yōu)榉?wù)器模式。 (2) 將交換機(jī)的域名改變一次，再改變回原來的域名。,7.2.1 VTP概述,7VTP修剪 VTP修剪(VTP Pruning)是VTP的一個重要功能，其主要的作用是可減少Trunk鏈路中不必要的廣播、組播和其他單播流量。VTP修剪只將廣播發(fā)送到真正需要該信息的Trunk線路上。一般在交換機(jī)數(shù)目很多的地方,每個交換機(jī)通過Trunk鏈路連接,Trunk鏈路能夠承載所有的VLAN流量,但是有一些流量不必廣播到無需運(yùn)載它們的鏈路上。假如有一個PC屬于VLAN 1O,它發(fā)送了一個廣播,所有連接的交換機(jī)都會受收到這個信息。如果啟動了VTP修剪，那么僅當(dāng)Trunk鏈路接收端上的交換機(jī)有端口在那個VLAN 10中時，才會將該VLAN的廣播和未知單播轉(zhuǎn)發(fā)到該Trunk鏈路上，從而減少Trunk鏈路上沒有必要擴(kuò)散的通信量，提高Trunk鏈路的帶寬利用率。 默認(rèn)情況下，所有的交換機(jī)都禁用VTP修剪，但當(dāng)VTP服務(wù)器上啟用了修剪時，整個域都啟用它了。Vlan 1不能啟用修剪，因為它是負(fù)責(zé)管理整個VLAN的。,7.2.2 VTP配置,1VTP配置的常用命令 (1) 配置VTP管理域 可以使用vtp domain命令配置VTP管理域，其格式如下： Switch(config)# vtp domain domain-name 其中：domain-name是一個32位字符長的文本串，表示管理域名。 (2) 配置VTP模式 可以使用vtp mode命令來配置VTP的3種模式，其格式如下： Switch(config)# vtp mode server | client | transparent (3) 設(shè)置VTP口令 使用vtp password 命令來配置VTP服務(wù)器的口令，其格式如下： Switch(config)# vtp password vtp-password 用no vtp password命令可以刪除VTP口令，恢復(fù)到缺省狀態(tài)。,7.2.2 VTP配置,1VTP配置的常用命令 (4) 配置VTP版本 可以使用vtp version命令來設(shè)置VTP版本，其格式如下： Switch(config)# vtp version 1 | 2 (5) 啟用與關(guān)閉VTP修剪 Switch(config)# vtp pruning !啟用VTP修剪 Switch(config)# no vtp pruning !關(guān)閉VTP修剪 (6) 從可修剪列表中去除某VLAN,7.2.2 VTP配置,1VTP配置的常用命令 可以使用switchport命令執(zhí)行此功能，其格式如下： Switch(config)# switchport trunk pruning vlan remove vlan-id 用逗號分隔不連續(xù)的Vlan-id，其間不要有空格，用短線表明一個ID范圍。比如去除VLAN2、3、4、6和8，命令如下： Switch(config)# switchport trunk pruning vlan remove 2-4，6，8 (7) 檢查VTP修剪的配置 Switch(config)# show vtp status (8) 查看端口的trunk信息 Switch(config)# show interface trunk,7.2.2 VTP配置,2VTP配置實例要求 如下圖所示的拓?fù)浣Y(jié)構(gòu)(采用Catalyst 2960交換機(jī))說明VTP的配置。具體要求如下： (1) 按照拓?fù)湟筮B接交換機(jī),在VTP服務(wù)器上配置VLAN,配置為VTP客戶機(jī)的交換機(jī)能夠?qū)W習(xí)到VLAN信息,不能添加,刪除和修改VLAN。 (2) 配置為透明模式的交換機(jī)可以自已添加,刪除和修改VLAN,但是不能學(xué)習(xí)VLAN信息。 (3) 當(dāng)VLAN3中PC發(fā)送廣播，交換機(jī)A會向所有的接口廣播，而廣播到B是沒有任何意義，反而增加了不必要的帶寬。當(dāng)在A上啟用了VTP pruning(VTP修剪)交換機(jī)A不會把廣播發(fā)到交換B上，因為B上沒有VLAN3。,7.2.2 VTP配置,2VTP配置實例拓?fù)?7.2.2 VTP配置,2VTP配置實例配置 見教材,7.3 VLAN的識別,本節(jié)主要介紹了VLAN的識別方法以及VLAN Trunk的配置 。,7.3.1 VLAN的識別方法,在進(jìn)行Vlan管理的網(wǎng)絡(luò)中，交換機(jī)是怎樣判別某個幀屬于哪一個VLAN的呢？VLAN常常使用兩種不同的幀標(biāo)識機(jī)制來標(biāo)識不同VLAN的幀。,7.3.1 VLAN的識別方法,交換機(jī)間鏈路(Inter-Switch-Link，ISL) 交換機(jī)間鏈路(ISL)是一個Cisco專用的封裝協(xié)議。它可以使一個單獨的物理以太接口支持多個虛擬局域網(wǎng)(VLAN)接口。網(wǎng)絡(luò)上使用ISL的設(shè)備看起來就好象是多個而不是一個網(wǎng)絡(luò)接口。,7.3.1 VLAN的識別方法,ISL功能示意圖,7.3.1 VLAN的識別方法,2. IEEE 802.1Q VLAN標(biāo)準(zhǔn) IEEE 802.1Q幀使用4Bytes的標(biāo)記頭定義TAG(標(biāo)記)，4Bytes的TAG頭包括2Bytes的TPID(Tag Protocol Identifier)與2Bytes的 TCI(Tag Control Infotmation)。其中TPID 是固定的數(shù)值0X8100，標(biāo)識該數(shù)據(jù)幀承載802.1Q的Tag信息。TCI包含組件：3bits用戶優(yōu)先級；1bit CFI (Canonical Format Indicator)，默認(rèn)值為0；12bits的VID (VLAN Identifier)即VLAN標(biāo)識符。最多支持250個VLAN(VLAN ID 1-4094)，其中VLAN1是不可刪除的默認(rèn)VLAN。,7.3.1 VLAN的識別方法,中繼鏈路數(shù)據(jù)傳輸示意圖,7.3.1 VLAN的識別方法,3ISL和IEEE802.1Q的比較 ISL和IEEE802.1Q都提供中繼功能。它們使用的報頭不同，ISL協(xié)議頭和協(xié)議尾封裝了整個第2層的以太幀，而IEEE802.1Q并不封裝以太幀，而是在以太幀中間添加一個4字節(jié)的報頭，該報頭包含一個用于標(biāo)識VLAN號的字段。 ISL使用10位VLAN ID而IEEE802.1Q使用12位的VLAN ID，支持的VLAN數(shù)不相同。 ISL和IEEE802.1Q都支持每個VLAN一個生成樹的實例。 ISL支持多個生成樹的實例，而IEEE802.1Q不支持多個生成樹的實例。 ISL是Cisco專用技術(shù)，而IEEE802.1Q標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)，支持不同廠商的VLAN，當(dāng)用戶使用不同品牌的交換機(jī)進(jìn)行中繼時，必須要使用IEEE802.1Q。,7.3.2 VLAN Trunk的配置,1配置Trunk端口的命令 創(chuàng)建Trunk的相關(guān)命令如下: Switch(config)# interface iftype mod/port Switch(config-if)# switchport trunk encapsulation isl | dotlq | negotiate Switch(config-if)# switchport trunk native vlan vlan-id Switch(config-if)# switchport mode trunk | dynamic desirable | dynamic auto ,7.3.2 VLAN Trunk的配置,2配置Trunk實例要求 如圖7-6所示的網(wǎng)絡(luò)拓?fù)?，核心交換機(jī)為Catalyst 3560，分支交換機(jī)為Catalyst 2960。為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置Trunk。通過在交換機(jī)直接相連的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的VLAN分配和配置。,7.3.2 VLAN Trunk的配置,2配置Trunk實例拓?fù)?7.3.2 VLAN Trunk的配置,2配置Trunk實例配置 見書,7.4 VLAN間的路由選擇,本節(jié)主要介紹了VLAN間的路由選擇以及VLAN間的路由配置。,7.4.1 VLAN間的路由選擇,1單臂路由實現(xiàn)VLAN間路由,7.4.1 VLAN間的路由選擇,2三層交換實現(xiàn)VLAN間路由,本章小結(jié),虛擬局域網(wǎng)是以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)，其最大的特點是在組成邏輯網(wǎng)時無需考慮用戶或設(shè)備在網(wǎng)絡(luò)中的物理位置。VLAN在交換機(jī)上的實現(xiàn)方法，可以大致劃分為基于交換端口、基于MAC地址、基于網(wǎng)絡(luò)層協(xié)議和基于IP組播等四類；從實現(xiàn)的機(jī)制或策略劃分，VLAN分為靜態(tài)VLAN 和動態(tài)VLAN兩種。Cisco公司創(chuàng)建的虛擬網(wǎng)絡(luò)中繼協(xié)議(VLAN Trunk protocol，VTP)是一種用來使vlan配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動態(tài)注冊的二層協(xié)議，提供了一種用于管理網(wǎng)絡(luò)上全部vlan的簡化方法，VTP允許管理員從VTP服務(wù)器上對網(wǎng)絡(luò)中所有vlan的增加、刪除和重命名進(jìn)行管理，該協(xié)議支持大多數(shù)的 Cisco Catalyst 系列產(chǎn)品。,本章小結(jié),在進(jìn)行Vlan管理的網(wǎng)絡(luò)中，交換機(jī)使用兩種不同的幀標(biāo)識機(jī)制來標(biāo)識不同VLAN的幀，一是Cisco的交換機(jī)間鏈路(ISL協(xié)議，二是IEEE的虛擬橋接局域網(wǎng)標(biāo)準(zhǔn)(802.1Q) VLAN標(biāo)準(zhǔn)。ISL是Cisco專用技術(shù)，而IEEE802.1Q標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)，支持不同廠商的VLAN，當(dāng)用戶使用不同品牌的交換機(jī)進(jìn)行中繼時，必須要使用IEEE808.1Q。用戶可指定Trunk鏈路使用ISL封裝或者802.1Q封裝或者自動協(xié)商封裝類型(如果兩種類型都支持)進(jìn)行配置。 VLAN間的路由可以使用路由器或三層交換機(jī)進(jìn)行，其中三層交換技術(shù)就是“二層交換技術(shù)+三層轉(zhuǎn)發(fā)”，它采用硬件來實現(xiàn)三層的轉(zhuǎn)發(fā)，可以實現(xiàn)“一次路由，多次交換”，大大提高了轉(zhuǎn)發(fā)速度。,本章實訓(xùn),一、實訓(xùn)目的 1. 掌握在交換機(jī)上配置VLAN的方法； 2. 掌握VTP的配置與管理； 3. 掌握Trunk端口的配置方法； 4. 掌握VLAN間路由的配置。,本章實訓(xùn),二、實訓(xùn)內(nèi)容 1. 創(chuàng)建VLAN； 2. 配置VLAN間的路由； 3.