項目二 構(gòu)建辦公局域網(wǎng)絡(luò)

《網(wǎng)絡(luò)互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目二構(gòu)建辦公局域網(wǎng)絡(luò)任務(wù)一VLAN通信端口聚合配置端口聚合配置任務(wù)二任務(wù)三教學(xué)目標、知識點：1．了解VLAN技術(shù)、VLAN優(yōu)點、VLAN幀格式以及端口類型。2．掌握VLAN內(nèi)通信、VLAN間通信的配置方法。3．掌握端口聚合的配置方法。?4.掌握VTP技術(shù)配置方法。項目二構(gòu)建辦公局域網(wǎng)絡(luò)任務(wù)一VLAN通信2.1任務(wù)陳述2.2知識點2.2.1VLAN技術(shù)概述2.2.2端口類型2.3任務(wù)實施2.3.1VLAN內(nèi)通信2.3.3VLAN間通信任務(wù)一VLAN通信2.1任務(wù)陳述

小李是公司的網(wǎng)絡(luò)工程師，現(xiàn)需要對公司的辦公網(wǎng)絡(luò)進行組網(wǎng)，需要將幾個不同的部門的計算機連接起來，構(gòu)成一個小型的辦公局域網(wǎng)絡(luò)，并且要求同一部門的網(wǎng)絡(luò)在同一個區(qū)域內(nèi)，不同的部門之間不能相互訪問，同時要求公司的所有部門都可以訪問公司的WEB服務(wù)器，查看公司的相關(guān)信息，通過適當(dāng)?shù)呐渲?，控制廣播域的范圍，減少不必要的訪問流量，提高設(shè)備的利用率以及增強網(wǎng)絡(luò)的安全性，做為公司的網(wǎng)絡(luò)工程師，小李將如何配置公司的網(wǎng)絡(luò)設(shè)備呢？2.2知識點2.2.1VLAN技術(shù)概述傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶都在同一個廣播域中，嚴重制約了網(wǎng)絡(luò)技術(shù)的發(fā)展，隨著網(wǎng)絡(luò)的發(fā)展，越來越多的用戶需要接入到網(wǎng)絡(luò)，交換機提供的大量接入端口已經(jīng)不能很好地滿足這種需求，不僅面臨沖突域和廣播域太大兩大難題，而且無法保障傳輸信息的安全，引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬，而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn)，因此，人們設(shè)想在物理局域網(wǎng)上構(gòu)建多個邏輯局域網(wǎng)。VLAN是虛擬局域網(wǎng)（VirtualLocalAreaNetwork）的簡稱，它是在一個物理網(wǎng)絡(luò)上劃分的邏輯網(wǎng)絡(luò)，在邏輯上劃分成多個廣播域的技術(shù)，可按照功能、部門及應(yīng)用等因素劃分邏輯工作組，形成不同的虛擬網(wǎng)絡(luò)，如圖2.1所示。2.2.1VLAN技術(shù)概述2.2.1VLAN技術(shù)概述1．VLAN的優(yōu)點（1）限制廣播域。一個交換機組成網(wǎng)絡(luò)默認狀態(tài)下，所有交換機端口都在一個廣播域內(nèi)。采用Vlan技術(shù)可以可以限制廣播，減少干擾，將數(shù)據(jù)幀限制在同一個VLAN內(nèi)，不會影響其他VLAN，在一定程序上節(jié)省了帶寬，每個Vlan都是一個獨立的廣播域。（2）網(wǎng)絡(luò)管理簡單，靈活劃分虛擬工作組。邏輯上將交換機劃分若干個VLAN，可以動態(tài)組建網(wǎng)絡(luò)環(huán)境，一個用戶無論在哪兒都可以不做任何修改就可以接入網(wǎng)絡(luò)，依據(jù)不同的VLAN劃分方式，可以在一臺交換機上提供多個網(wǎng)絡(luò)應(yīng)用服務(wù)，提高了設(shè)備的利用率。（3）提高網(wǎng)絡(luò)安全性。不同Vlan的用戶未經(jīng)許可是不能相互訪問的，一個VLAN內(nèi)的廣播幀，不會發(fā)送到另一個VLAN中，限制用戶訪問，不被其它VLAN竊聽，從而保證了網(wǎng)絡(luò)的安全。2.VLAN劃分方式（1）基于端口劃分：根據(jù)交換機的端口編號來劃分VLAN。通過為交換機的每個端口配置不同的PVID，來將不同端口劃分到VLAN中。初始情況下，X7系列交換機的端口處于VLAN1中。此方法配置簡單，但是當(dāng)主機移動位置時，需要重新配置VLAN。（2）基于MAC地址劃分：根據(jù)主機網(wǎng)卡的MAC地址劃分VLAN。此劃分方法需要網(wǎng)絡(luò)管理員提前配置網(wǎng)絡(luò)中的主機MAC地址和VLANID的映射關(guān)系。如果交換機收到不帶標簽的數(shù)據(jù)幀，會查找之前配置的MAC地址和VLAN映射表，根據(jù)數(shù)據(jù)幀中攜帶的MAC地址來添加相應(yīng)的VLAN標簽。在使用此方法配置VLAN時，即使主機移動位置也不需要重新配置VLAN。（3）基于IP子網(wǎng)劃分：交換機在收到不帶標簽的數(shù)據(jù)幀時，根據(jù)報文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標簽。（4）基于協(xié)議劃分：根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議族類型）、封裝格式來分配VLANID。網(wǎng)絡(luò)管理員需要首先配置協(xié)議類型和VLANID之間的映射關(guān)系。（5）基于策略劃分：使用幾個條件的組合來分配VLAN標簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時，交換機才為數(shù)據(jù)幀添加VLAN標簽。另外，針對每一條策略都是需要手工配置的。2.2.1VLAN技術(shù)概述3.VLAN數(shù)據(jù)幀格式要使交換機能夠分辨不同VLAN的報文，需要在報文中添加標識VLAN信息的字段。IEEE802.1Q協(xié)議規(guī)定，在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后、協(xié)議類型字段之前加入4個字節(jié)的VLAN標簽（又稱VLANTag，簡稱Tag），用于標識數(shù)據(jù)幀所屬的VLAN，傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀與VLAN數(shù)據(jù)幀格式，如圖2.2所示。在一個VLAN交換網(wǎng)絡(luò)中，以太網(wǎng)幀主要有以下兩種形式：（1）有標記幀（Tagged幀）：加入了4字節(jié)VLAN標簽的幀。（2）無標記幀（Untagged幀）：原始的、未加入4字節(jié)VLAN標簽的幀。以太網(wǎng)鏈路包括接入鏈路（AccessLink）和干道鏈路（TrunkLink）。接入鏈路用于連接換機和用戶終端（如用戶主機、服務(wù)器、交換機等），只可以承載1個VLAN的數(shù)據(jù)幀。道鏈路用于交換機間互連或連接交換機與路由器，可以承載多個不同VLAN的數(shù)據(jù)幀，在接入鏈路上傳輸?shù)膸际荱ntagged幀，在干道鏈路上傳輸?shù)臄?shù)據(jù)幀都是Tagged幀。交換機內(nèi)部處理的數(shù)據(jù)幀一律都是Tagged幀。從用戶終端接收無標記幀后，交換機會為無標記幀添加VLAN標簽，重新計算幀校驗序列(FCS)，然后通過干道鏈路發(fā)送幀；向用戶終端發(fā)送幀前，交換機會去除VLAN標簽，并通過接入鏈路向終端發(fā)送無標記幀。2.2.1VLAN技術(shù)概述3.VLAN數(shù)據(jù)幀格式2.2.1VLAN技術(shù)概述3.VLAN數(shù)據(jù)幀格式2.2.2端口類型PVID（PortVLANID）代表端口的默認VLAN。默認情況下，交換機每個端口的PVID都是1。交換機從對端設(shè)備收到的幀有可能是Untagged數(shù)據(jù)幀，但所有以太網(wǎng)幀在交換機中都是以Tagged的形式被處理和轉(zhuǎn)發(fā)的，因此交換機必須給端口收到的Untagged數(shù)據(jù)幀添加標簽。為了實現(xiàn)此目的，必須為交換機配置端口的默認VLAN。當(dāng)該端口收到Untagged數(shù)據(jù)幀時，交換機將給它加上該默認VLAN的標簽。Cisco交換機的端口狀態(tài)有3種模式：Access、Trunk和Dynamic，分別對應(yīng)接入模式、中繼模式和自動協(xié)商模式，默認為自動協(xié)商模式。如果某個端口連接計算機，則應(yīng)該配置為Access模式，即將端口分配給某個VLAN。如果交換機端口連接的是另一臺交換機，而且存在多個VLAN需要跨交換機進行通信，則此端口需要承載多個VLAN的數(shù)據(jù)，應(yīng)設(shè)置為Trunk模式。當(dāng)某端口連接Cisco交換機時，如果端口處于自動協(xié)商模式，則會讓鏈路與端口成為自動協(xié)商狀態(tài)。當(dāng)實驗中兩臺Cisco交換機互連，當(dāng)一端配置為Trunk模式后，另一端默認為自動協(xié)商模式，則協(xié)商后自動轉(zhuǎn)換為Trunk模式，所以不需要手動配置。如果Cisco交換機與非Cisco交換機互連，則不能自動協(xié)商，需要在兩端手動配置為Trunk模式。2.2.2端口類型2.2.2端口類型2.干道端口（中繼模式）Trunk端口是交換機上用來和其他交換機連接的端口，它只能連接干道鏈路。Trunk端口允許多個VLAN的幀（帶Tag標記）通過，如圖2.4所示。Trunk端口收發(fā)數(shù)據(jù)幀的規(guī)則如下：（1）當(dāng)接收到對端設(shè)備發(fā)送的不帶Tag的數(shù)據(jù)幀時，會添加該端口的PVID，如果PVID在允許通過的VLANID列表中，則接收該報文，否則丟棄該報文。當(dāng)接收到對端設(shè)備發(fā)送的帶Tag的數(shù)據(jù)幀時，檢查VLANID是否在允許通過的VLANID列表中。如果VLANID在端口允許通過的VLANID列表中，則接收該報文。否則丟棄該報文。（2）端口發(fā)送數(shù)據(jù)幀時，當(dāng)VLANID與端口的PVID相同，且是該端口允許通過的VLANID時，去掉Tag，發(fā)送該報文。當(dāng)VLANID與端口的PVID不同，且是該端口允許通過的VLANID時，保持原有Tag，發(fā)送該報文。交換機LSW1和交換機LSW2連接主機的端口均為Access端口，交換機LSW1端口GE0/0/1和交換機LSW2端口GE0/0/01互連的端口均為Trunk端口，本地PVID均為1，此Trunk鏈路允許所有VLAN的流量通過。當(dāng)交換機LSW1轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)幀時會剝離VLAN標簽，然后發(fā)送到Trunk鏈路上。而在轉(zhuǎn)發(fā)VLAN10的數(shù)據(jù)幀時，不剝離VLAN標簽直接轉(zhuǎn)發(fā)到Trunk鏈路上。2.2.2端口類型2.干道端口（中繼模式）2.2.2端口類型3.混合端口（自動協(xié)商模式）接入端口發(fā)往其他設(shè)備的報文都是Untagged數(shù)據(jù)幀，而干道端口僅在一種特定情況下才能發(fā)出Untagged數(shù)據(jù)幀，其他情況下發(fā)出的都是Tagged數(shù)據(jù)幀?；旌隙丝冢―ynamicPort）是交換機上既可以連接用戶主機，又可以連接其他交換機的端口。它既可以連接接入鏈路，又可以連接干道鏈路。混合端口允許多個VLAN的幀通過，并可以在出端口方向?qū)⒛承￢LAN幀的標簽去掉，思科設(shè)備默認的端口是混合端口，默認為Auto模式，如圖2.5所示。2.2.2端口類型（1）不同類型端口接收報文時的處理方式，如表2.2所示。2.3.1VLAN內(nèi)通信1.VLAN基本配置交換機設(shè)備在支持多種VLAN劃分時，一般情況下，將會按照基于策略、MAC地址、子網(wǎng)、協(xié)議、端口方式的優(yōu)先級順序選擇給數(shù)據(jù)添加VLAN的方式，基于端口劃分VLAN的優(yōu)先級最低，但也是目前定義VLAN最廣泛的方法，這種方法只要將端口定義一次就可以，缺點在于某個VLAN中的用戶離開原來的端口，移到一個新的端口時必須重新定義端口所在的VLAN區(qū)域，如圖2.6所示。2.3.1VLAN內(nèi)通信2.交換機Trunk端口實現(xiàn)VLAN內(nèi)通信（1）相同VLAN內(nèi)可以相互訪問，不同VLAN間不能相互訪問。交換機LSW1與交換機LSW2使用Trunk端口互連，相同VLAN的主機PC之間可以互訪，不同VLAN的主機PC之間不能相互訪問，如圖2.10所示。2.3.3VLAN間通信1．三層交換機實現(xiàn)VLAN間通信（1）三層交換機邏輯端口InterfaceVLAN簡稱VLANIF，通常這個端口地址作為VLAN下面用戶的網(wǎng)關(guān)，利用邏輯端口VLANIF可以實現(xiàn)VLAN之間的通信，為了實現(xiàn)VLAN之間通信，需要為三層交換機的VLAN創(chuàng)建邏輯端口VLANIF，配置邏輯端口VLANIF的IP地址，將VLAN中的主機的網(wǎng)關(guān)IP地址設(shè)置成為邏輯端口VLANIF的IP地址，如圖2.16所示。2.3.3VLAN間通信2．單臂路由實現(xiàn)VLAN間通信將路由器和交換機連接，使用IEEE802.1Q來啟動路由器上子端口，實現(xiàn)子端口與相應(yīng)Vlan關(guān)聯(lián)，就可以利用路由器一個物理端口來實現(xiàn)Vlan間通信，一般稱這種方式為單臂路由。在配置單臂路由時，與路由器連接的交換機的端口要設(shè)置為Trunk模式，以便可以接收和發(fā)送多個VLAN中的數(shù)據(jù)。配置子端口時，需要注意以下幾點。 必須為每個子端口分配一個IP地址。該IP地址與子端口所屬VLAN位于同一網(wǎng)段。 需在子端口上配置802.1Q封裝，來去掉和添加VLAN標簽，從而實現(xiàn)VLAN間互通。 分別在端口與子端口上執(zhí)行noshutdown命令，啟動端口。主機PC1發(fā)送數(shù)據(jù)給主機PC2時，路由器R1會通過G0/0/1.1子端口收到此數(shù)據(jù)，然后查找路由表，將數(shù)據(jù)從G0/0/1.2子端口發(fā)送給主機PC2，這樣就實現(xiàn)了VLAN10和VLAN20之間的主機通信，如圖2.19所示。任務(wù)二鏈路聚合配置2.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司的業(yè)務(wù)快速增長，網(wǎng)絡(luò)的訪問流量也迅速增加，公司領(lǐng)導(dǎo)安排小李優(yōu)化公司網(wǎng)絡(luò)環(huán)境，提高網(wǎng)絡(luò)帶寬和可靠性，并且不增加網(wǎng)絡(luò)設(shè)備的情況下滿足現(xiàn)行網(wǎng)絡(luò)運行要求，小李決定采用鏈路聚合技術(shù)，優(yōu)化網(wǎng)絡(luò)環(huán)境，提高網(wǎng)絡(luò)帶寬與可靠性，那么小李將如何配置現(xiàn)有的網(wǎng)絡(luò)設(shè)備呢？2.2知識點2.2.1端口聚合概述隨著網(wǎng)絡(luò)規(guī)模不斷擴大，用戶對網(wǎng)絡(luò)帶寬與可靠性的要求也越來越高，采用鏈路聚合技術(shù)可以在不進行硬件升級的情況下，增加鏈路帶寬和可靠性。鏈路聚合是將兩個或更多數(shù)據(jù)信道結(jié)合成一個單個的信道，該信道以一個單個的更高帶寬的邏輯鏈路出現(xiàn)。鏈路聚合一般用來連接一個或多個帶寬需求大的設(shè)備，增加設(shè)備間的帶寬，并且在其中一條鏈路出現(xiàn)故障時，可以快速地將流量轉(zhuǎn)移到其他鏈路，這種切換為毫秒級，遠遠快于STP切換?？傊溌肪酆鲜悄繕耸菙U展鏈路帶寬，提高鏈路可靠性。2.2.1端口聚合概述1.鏈路聚合目的在整個網(wǎng)絡(luò)數(shù)據(jù)交換中，所有設(shè)備的流量在轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)前都會聚合到核心層，再由核心區(qū)設(shè)備轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)，或者轉(zhuǎn)發(fā)到外網(wǎng)。因此，在核心層設(shè)備負責(zé)數(shù)據(jù)的高速交換時，容易發(fā)生擁塞。在核心層部署鏈路聚合，可以提升整個網(wǎng)絡(luò)的數(shù)據(jù)吞吐量，解決擁塞問題。（1）增加邏輯鏈路的帶寬。鏈路聚合是把兩臺設(shè)備之間的多條物理鏈路聚合在一起，當(dāng)作一條邏輯鏈路來使用。這兩臺設(shè)備可以是一對路由器，一對交換機，或者是一臺路由器和一臺交換機。一條聚合鏈路可以包含多條成員鏈路，在思科X7系列交換機上默認最多為8條。鏈路聚合能夠提高鏈路帶寬。理論上，通過聚合幾條鏈路，一個聚合口的帶寬可以擴展為所有成員口帶寬的總和，這樣就有效地增加了邏輯鏈路的帶寬。（2）提高網(wǎng)絡(luò)的高可靠性。配置了鏈路聚合之后，如果一個成員端口發(fā)生故障，該成員口的物理鏈路會把流量切換到另一條成員鏈路上。鏈路聚合還可以在一個聚合口上實現(xiàn)負載均衡，一個聚合口可以把流量分散到多個不同的成員口上，通過成員鏈路把流量發(fā)送到同一個目的地，將網(wǎng)絡(luò)產(chǎn)生擁塞的可能性降到最低。2.2.1端口聚合概述2.鏈路聚合條件交換機鏈路聚合基于現(xiàn)有的交換機端口，不需要另外升級硬件，配置以太通道EtherChannel時，需要遵守以下規(guī)則。（1）把端口加入EtherChannel時，二層EtherChannel端口的成員端口必須是二層端口，三層EtherChannel端口的成員端口必須是三層端口。（2）一個以太端口只能加入一個EtherChannel。如果要把一個以太端口加入另一個EtherChannel，必須先把該以太端口從當(dāng)前所屬的EtherChannel中刪除。（3）一個EtherChannel的成員端口類型必須相同。例如，一個快速以太端口和一個吉比特以太端口不能加入同一個EtherChannel。（4）成員端口的速率必須相同，如都為100Mbit/s或都為1000Mbit/s。（5）所有成員工作模式應(yīng)相同，如千兆全雙工。（6）設(shè)置EtherChannel前，所有網(wǎng)卡不能配置IP地址，若配置IP在開始Ethe