通信系統(tǒng)綜合應(yīng)用實(shí)踐局域網(wǎng)交換技術(shù)

Chap3局域網(wǎng)交換技術(shù)

及交換機(jī)配置

某大學(xué)電子工程系、計(jì)算機(jī)科學(xué)技術(shù)系在學(xué)院改制前，都是獨(dú)立建制學(xué)院，分別建有自己的網(wǎng)絡(luò)。學(xué)校為整合教學(xué)資源，把原電子工程系、計(jì)算機(jī)科學(xué)技術(shù)系及相關(guān)專(zhuān)業(yè)，在院系改制中合并成一個(gè)綜合性的計(jì)算機(jī)科學(xué)技術(shù)學(xué)院。為了改進(jìn)傳統(tǒng)的教學(xué)組織形式，利用網(wǎng)絡(luò)多媒體技術(shù)教學(xué)，規(guī)范校園網(wǎng)絡(luò)管理，現(xiàn)有的網(wǎng)絡(luò)環(huán)境已不能滿(mǎn)足日益增長(zhǎng)的信息化管理和教學(xué)的需求，需改造升級(jí)校園主干網(wǎng)絡(luò)，整合各學(xué)院目前網(wǎng)絡(luò)資源。2013/9/17工作任務(wù)：辦公網(wǎng)升級(jí)改造2013/9/17虛擬局域網(wǎng)VLAN技術(shù)升級(jí)改造辦公網(wǎng)

2023/2/44虛擬局域網(wǎng)（VLAN）VLAN是一種網(wǎng)絡(luò)構(gòu)造和用戶(hù)的組織形式：通過(guò)交換機(jī)（或路由器）劃分；由網(wǎng)段和站點(diǎn)構(gòu)成的邏輯工作組。用交換機(jī)劃分的若干個(gè)VLAN在邏輯上完全獨(dú)立（可看成是分離的物理網(wǎng)絡(luò)），廣播幀不會(huì)跨越邏輯網(wǎng)絡(luò)邊界。VLAN能夠限制廣播域的范圍——抑制廣播幀的泛濫。VLAN可跨越交換機(jī)。同一VLAN中的成員不受物理位置的限制，可以像處于同一個(gè)局域網(wǎng)中那樣互相訪問(wèn)。2023/2/45VLAN示意圖2023/2/46VLAN能夠隔離（限制）廣播域VLAN劃分前，整個(gè)網(wǎng)絡(luò)都在一個(gè)廣播域中2023/2/47VLAN劃分后，網(wǎng)絡(luò)被分割成幾個(gè)較小的廣播域2023/2/48VLAN的優(yōu)點(diǎn)提高管理效率站點(diǎn)的物理位置改變無(wú)需重新布線和配置用戶(hù)性質(zhì)改變后很容易通過(guò)軟件將其從一個(gè)VLAN劃分到另一個(gè)VLAN控制廣播數(shù)據(jù)增強(qiáng)了網(wǎng)絡(luò)的安全性實(shí)現(xiàn)虛擬工作組用戶(hù)的工作地點(diǎn)不必在同一個(gè)物理地點(diǎn)可在企業(yè)內(nèi)建立靈活的、動(dòng)態(tài)化的組織結(jié)構(gòu)2023/2/49VLAN劃分的方法基于端口（靜態(tài)劃分）根據(jù)端口號(hào)劃分VLAN基于MAC地址（動(dòng)態(tài)劃分）根據(jù)用戶(hù)計(jì)算機(jī)的MAC地址劃分VLAN基于網(wǎng)絡(luò)地址或網(wǎng)絡(luò)協(xié)議類(lèi)型（動(dòng)態(tài)）根據(jù)用戶(hù)計(jì)算機(jī)的IP地址劃分VLAN交換網(wǎng)絡(luò)中的問(wèn)題在交換機(jī)組成的校園網(wǎng)絡(luò)里所有主機(jī)都在同一個(gè)廣播域內(nèi)廣播域2013/9/17交換網(wǎng)絡(luò)中問(wèn)題的解決--VLANVLAN20通過(guò)VLAN技術(shù)可以對(duì)網(wǎng)絡(luò)進(jìn)行一個(gè)安全的隔離、分割廣播域VLAN10VLAN30VLAN402013/9/17VLAN（VirtualLocalAreaNetwork）VLAN是在一個(gè)物理網(wǎng)絡(luò)上劃分出邏輯網(wǎng),對(duì)應(yīng)OSI模型第二層網(wǎng)絡(luò)。VLAN劃分不受網(wǎng)絡(luò)端口實(shí)際物理位置限制。VLAN有著和普通物理網(wǎng)絡(luò)同樣屬性。第二層單播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會(huì)直接進(jìn)入其他VLAN之中。2013/9/17VLAN技術(shù)簡(jiǎn)介基于網(wǎng)絡(luò)性能的考慮網(wǎng)絡(luò)中有大量的廣播，不加以控制，會(huì)使網(wǎng)絡(luò)性能下降，需要采用VLAN將網(wǎng)絡(luò)分割成多個(gè)廣播域，將廣播信息限制在每個(gè)廣播域內(nèi)，從而降低了整個(gè)網(wǎng)絡(luò)的廣播流量，提高了性能?；诎踩缘目紤]在規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)內(nèi)，各網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)需要相對(duì)保密。譬如公司財(cái)務(wù)部門(mén)的數(shù)據(jù)不應(yīng)被其他部門(mén)的人員采集到，可以通過(guò)劃分VLAN，進(jìn)行部門(mén)隔離，不同部門(mén)使用不同的VLAN，可以實(shí)現(xiàn)一定的安全性?；诮M織結(jié)構(gòu)的考慮同部門(mén)人員分布在不同的地域，需要數(shù)據(jù)的共享，則可以跨地域（跨交換機(jī)）將其設(shè)置在同一VLAN中。對(duì)VLAN的劃分主要是基于下列因素2013/9/17VLAN在交換機(jī)中的實(shí)現(xiàn)邏輯分段靈活性

安全性第三層第二層第一層銷(xiāo)售部人力資源部工程部一個(gè)VLAN=一個(gè)廣播域=邏輯網(wǎng)段(子網(wǎng))2013/9/17VLAN特點(diǎn)安全隔離，不同VLAN之間不能直接訪問(wèn)，需通過(guò)路由設(shè)備相連隔離廣播不受物理位置限制2013/9/17基于端口的VLAN基于MAC地址的VLAN基于網(wǎng)絡(luò)層的VLAN基于IP組播的VLAN2013/9/17劃分VLAN的方法基于交換機(jī)的端口(一個(gè)端口只屬于一個(gè)VLAN)

VLAN的類(lèi)型:PortVLANF0/1F0/2F0/32013/9/17VLAN在單交換機(jī)中實(shí)現(xiàn)數(shù)據(jù)1交換機(jī)內(nèi)部數(shù)據(jù)1數(shù)據(jù)2數(shù)據(jù)21011022013/9/17（1）進(jìn)入到VLAN配置模式（2）創(chuàng)建VLAN（3）退出VLAN模式，創(chuàng)建的VLAN立即生效（4）將端口劃分到VLAN①

將端口模式改為access模式，說(shuō)明該端口是用于連接計(jì)算機(jī)，而不是用于TRUNK②

把端口劃分到VLAN中（5）

刪除VLAN2013/9/17配置PortVLAN-AccessSW1#vlandatabaseSW1(vlan)#vlan2namezongheSW1(vlan)#vlan3namecaiwuSW1(vlan)#exitSW1#configSW1(config)#interfacef0/2SW1(config-if)#switchmodeaccessSW1(config-if)#switchaccessvlan2配置示例【工作任務(wù)】

中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院網(wǎng)絡(luò)建設(shè)中，教學(xué)行政樓中多個(gè)教研組部門(mén)之間的網(wǎng)絡(luò)連接場(chǎng)景。由于不同教研組之間的計(jì)算機(jī)以前都連接在同一臺(tái)交換機(jī)上，網(wǎng)絡(luò)中由于廣播等干擾，造成網(wǎng)絡(luò)傳輸效率低下。新規(guī)劃網(wǎng)絡(luò)時(shí)，提出希望通過(guò)實(shí)施虛擬局域網(wǎng)技術(shù)，保證不同教研組部門(mén)網(wǎng)絡(luò)之間的計(jì)算機(jī)互相不進(jìn)行干擾，實(shí)現(xiàn)隔離技術(shù)，提高網(wǎng)絡(luò)傳輸效率?！緦?shí)驗(yàn)設(shè)備】二層交換機(jī)(1臺(tái))；測(cè)試PC機(jī)（2-3臺(tái)）；網(wǎng)絡(luò)連線（若干根）【實(shí)驗(yàn)過(guò)程】…………2013/9/17實(shí)驗(yàn)內(nèi)容1：?jiǎn)谓粨Q機(jī)劃分虛擬局域網(wǎng)

VLAN40VLAN30SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10跨交換機(jī)VLAN間通信A交換機(jī)上VLAN10（VLAN20、VLAN30）的端口范圍中取一個(gè)端口，和交換機(jī)B上VLAN10（VLAN20、VLAN30）范圍中的某個(gè)端口，作級(jí)聯(lián)連接。如果交換機(jī)上劃了10個(gè)VLAN，就需要分別連10條線作級(jí)聯(lián)，端口效率就太低了。2013/9/17SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLAN在交換機(jī)之間用一條級(jí)聯(lián)線，并將對(duì)應(yīng)的端口設(shè)置為T(mén)runk，這條線路就可以承載交換機(jī)上所有VLAN的信息。Trunk端口傳輸多個(gè)VLAN的信息，實(shí)現(xiàn)同一VLAN跨越不同的交換機(jī)跨交換機(jī)VLAN之間的通信:TagVLAN2013/9/17目的,源MAC地址類(lèi)型,數(shù)據(jù)重新計(jì)算幀檢測(cè)序列2字節(jié)標(biāo)記協(xié)議標(biāo)識(shí)

2字節(jié)標(biāo)記控制信息

Trunk端口技術(shù)處理：IEEE802.1Q數(shù)據(jù)幀標(biāo)記協(xié)議標(biāo)識(shí)（TPID）:固定值0x8100,表示該幀載有802.1q標(biāo)記信息標(biāo)記控制信息（TCI）:Priority3比特：表示優(yōu)先級(jí)

Canonicalformatindicator1比特：區(qū)別以太網(wǎng)、FDDIVlanID12比特：表示VID，范圍1－4094目的MAC地址,源MAC地址類(lèi)型,數(shù)據(jù)重新計(jì)算幀檢測(cè)序列IEEE802.3幀IEEE802.1Q幀2013/9/172023/2/425主干(Trunk)主干用于實(shí)現(xiàn)跨交換機(jī)的VLAN，它是指交換機(jī)之間用于傳輸多個(gè)VLAN信息的鏈路主干上傳輸?shù)臄?shù)據(jù)包加上特殊標(biāo)簽（通常是802.1q和Cisco的ISL等）——稱(chēng)為貼標(biāo)簽（Tagging）2023/2/426VLAN的Tagging操作802.1Q幀只在交換機(jī)的trunk鏈路上傳輸，對(duì)用戶(hù)透明的。默認(rèn)Trunk端口，轉(zhuǎn)發(fā)交換機(jī)上所有VLAN的數(shù)據(jù)。A交換機(jī)1交換機(jī)2802.1Q工作過(guò)程B數(shù)據(jù)幀Tag標(biāo)簽2013/9/172013/9/17配置VLAN-Trunk技術(shù)把Fa1/2配成Trunk口Switch#configureterminalSwitch(config)#interfacefastetherne1/2Switch(config-if)#switchporttrunkenscanpsulationdot1qSwitch(config-if)#switchmodetrunkSwitch(config-if)#noshutdown刪除VLAN刪除VALN,需要先刪除VLAN中的接口:Switch(config)#interfacefastethernet0/10Switch(config-if)#noswitchportSwitch(config-if)#exit再刪除VLANSwitch(config)#novlan102013/9/17不同VLAN的特性Portvlan基于交換機(jī)端口進(jìn)行VLAN的劃分一個(gè)端口只能屬于一個(gè)VLAN一個(gè)VLAN可以包含多個(gè)端口接口模式為access用于連接最終用戶(hù)設(shè)備Tagvlan一個(gè)端口可以屬于多個(gè)VLAN默認(rèn)情況下屬于所有VLAN接口模式為trunk用于交換機(jī)之間級(jí)聯(lián)2013/9/17【工作任務(wù)】

中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院網(wǎng)絡(luò)規(guī)劃，教學(xué)樓和行政樓之間網(wǎng)絡(luò)網(wǎng)絡(luò)安裝場(chǎng)景，由于教師教研組的辦公室分布在二棟不同大樓。一方面希望實(shí)施虛擬局域網(wǎng)技術(shù)，保證二棟大樓中，不同部門(mén)之間的網(wǎng)絡(luò)，互相不進(jìn)行干擾；但由于教研組分布在不同大樓，另一方面希望能通過(guò)技術(shù)，實(shí)現(xiàn)處于不同的大樓中，同一教研組中用戶(hù)計(jì)算機(jī)，實(shí)現(xiàn)分布在不同大樓中，同一教研組之間設(shè)備的互相連通。。【實(shí)驗(yàn)設(shè)備】二層交換機(jī)(2臺(tái))；測(cè)試PC機(jī)（2-3臺(tái)）；網(wǎng)絡(luò)連線（若干根）【實(shí)驗(yàn)過(guò)程】…………2013/9/17實(shí)驗(yàn)內(nèi)容2：跨交換機(jī)劃分虛擬局域網(wǎng)

VLAN10VLAN10f0/1f0/1switch1switch2VLAN20VLAN202023/2/432VLAN間通信不同VLAN間的計(jì)算機(jī)即使連在同一臺(tái)交換機(jī)上也不能互相通信VLAN間通信只能通過(guò)第三層設(shè)備實(shí)現(xiàn)路由器三層交換機(jī)VLAN10VLAN30VLAN20多條鏈路連接多個(gè)VLAN,浪費(fèi)路由接口2013/9/17路由器實(shí)現(xiàn)VLAN間通信VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/162013/9/17VLAN間通信方法VLAN間通信通過(guò)三層路由來(lái)通訊2013/9/17路由器實(shí)現(xiàn)VLAN間通信單臂路由:是指在路由器的一個(gè)接口上通過(guò)配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通。由于從拓?fù)浣Y(jié)構(gòu)圖上看，在交換機(jī)與路由器之間，數(shù)據(jù)從一條線路進(jìn)去，又從一個(gè)線路出來(lái)，兩條線路重合，故形象的稱(chēng)之為“單臂路由”路由器與交換機(jī)之間的單臂路由

交換機(jī)上的VLAN之間如何通信？VLAN1VLAN2VLAN3192.168.1.2/24192.168.2.2/24f0/0TrunkVLAN10VLAN30VLAN20使用一條鏈路連接多個(gè)VLAN,在一個(gè)鏈路接口上劃分子接口技術(shù)來(lái)解決。2013/9/17單臂路由解決思想FA1InterfaceFA1Subinterface1.1Subinterface1.2Subinterface1.3單臂路由的配置Router(config)#interfacef0/0.1Router(config-subif)#encapsolutiondot1q1Router(config-subif)#ipaddress192.168.1.1255.255.255.0Router(config)#interfacef0/0.2Router(config-subif)#encapsolutiondot1q2Router(config-subif)#ipaddress192.168.2.1255.255.255.0VlanID（1）先把交換機(jī)上與路由器相連的以太網(wǎng)口配置成Trunk接口，注意封裝類(lèi)型要和路由器上的封裝一樣。SW2(config)#intf0/1SW2(config-if)#switchtrunkencapdot1qSW2(config-if)#switchmodetrunk（2）在路由器的物理以太網(wǎng)接口下創(chuàng)建子接口，并定義封裝類(lèi)型Router(config)#intf0/0.1Router(config-subit)#encapdot1q（3）為子接口分配IP地址Router(config-subit)#ipaddress10.0.0.254255.0.0.0//這是VLAN2的網(wǎng)關(guān)單臂路由配置步驟在三層交換機(jī)上使用SVI虛擬接口技術(shù)，在功能上實(shí)現(xiàn)了VLAN間路由通信功能。VLAN20Network172.16.20.4VLAN30Network172.16.30.5VLAN10Network172.16.10.32013/9/17三層交換機(jī)進(jìn)行VLAN間路由第一步：分別在三層上創(chuàng)建每個(gè)VLAN對(duì)應(yīng)的SVI端口，

Switch(config)#vlan10Switch(config)#vlan20第二步:為三層上創(chuàng)建的VLAN分配路由IP地址：

Switch(config)#interfacevlan<vlan>Switch(config-if)#ipaddress<address><netmask>Switch(config-if)#noshutdown第三步：將二層VLAN內(nèi)連接主機(jī)的網(wǎng)關(guān)，指定為本VLAN對(duì)應(yīng)的三層接口地址2013/9/17三層交換SVI技術(shù)配置方法SVI配置實(shí)例VLAN10VLAN20三層交換機(jī)Vlan10Vlan20Interfacevlan10Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacevlan20Ipaddress10.1.2.1255.255.25