网络技术与实践实验 Part1

VLAN的优点
改进管理的效率：VLAN提供了有效的机制来控制由于企业结 构、人事或资源变化对网络系统所造成的影响。例如，当用户 从一个地点移到另一个地点时，只需对交换机的配置稍做改动 即可，大大简化了重新布线。配置和测试的步骤。 控制广播活动：VLAN可保护网络不受由广播流量所造成的影 响，一个VLAN内的广播信息不会传送到VLAN之外，网络管理人 员可以通过设置VLAN灵活控制广播域。 增强网络安全：VLAN创造了虚拟边界，它只能通过路由跨越， 因此通过将网络用户划分到不同VLAN并结合访问控制，可控制 VLAN外部站点对VLAN内部资源的访问，提高网络的安全性。
20
VTP是如何工作的
VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔5分钟或者有变化时发生
1.新增VLAN 2.版本3 -->版本4
3
服务器
3
4.版本3 -->版本4 5.同步新的VLAN信息
客户 客户
4.版本3 -->版本4 5.同步新的VLAN信息
一个VLAN =一个广播域 = 逻辑网段 (子网)
VLAN定义
VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局 域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组 的技术．
工程部
• 分段 • 灵活性 • 安全性
第三层
销售部
第二层
第一层
销售部 人力资源部
ISL标识
ISL的主干功能使得VLAN信息可以穿越主干线
进入主干线前加 上VLAN标识
ISL支持VLAN的 标识
通过硬件(ASIC)实现 ISL标识不会出现在工作站，客户 端并不知道ISL的封装信息 在交换机或路由器与交换机之 间，在交换机与具有ISL网卡的服 务器之间可以实现
离开主干线后去 掉VLAN标识
冲突域&广播域
Байду номын сангаас两者区别：
连接在一个HUB上的所有设备构成一个冲突域 ，同时也构成一个广播域； 连接在一个没有划分VLAN的交换机上的各个端口上的设备分别属于不同的 冲突域，即每一个交换端口构成一个冲突域，但同属于一个广播域。
（2 个广播域，6 个冲突域 ）
交换的基本概念2
VLAN:每一个VLAN对应一个广播域；二层交换机之间没有 路由功能，不能在VLAN之间转发帧，因而处于不同VLAN之 间的主机不能进行通信；（三层交换机支持VLAN间的路 由，可以实现VLAN间的通信） VLAN trunk：在交换机之间或交换机与路由器之间，互相 连接的端口上配置中继模式，使得属于不同VLAN的数据帧 都可以通过这条中继链路进行传输。
干道(TRUNK)
交换机上两种链路(1)访问链路Access Link(2)干道链路Trunk Link。 干道用于(1)交换机之间通信(2)路由器与交换机之间通信。 干道技术绑定多条虚拟链路在一条实际的物理线路上,以允许 交换机之间的多个VLAN可以传递数据流量。 封装dot1q和ISL就是为了给不同VLAN包打标记。
工程部
VLAN介绍(1)
创建VLAN可以不受物理位置限制而根据用户需求进行网络分 段，是对连接到第二层交换机端口的网络用户的逻辑分段，这 样可以方便的按部门来分割网段，实现按权限访问，提高了安 全性。 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、 带宽问题。传统的共享介质的以太网和交换式的以太网中，对 广播风暴的控制和网络安全只能在第三层的路由器上实现，而 VLAN技术的出现可以在第二层上实现对广播域的划分。 划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占 的比例大大降低，网络的性能得到显著的提高。网络管理员能 通过控制交换机的每一个端口来控制网络用户对网络资源的访 问，同时VLAN和第三层第四层的交换结合使用能够为网络提供 较好的安全措施。
VTP的三种操作模式(1)
服务器模式:
在VTP的三种操作模式中，服务器模式是默认的。 维护该VTP域中所有VLAN信息列表，可以增加、删除或修改 VLAN。当一台未经配置的思科交换机第一次上电开机的时候， 它的默认模式是服务器模式。我们必须把它改成客户机或者透 明模式。 VTP服务器周期性地广播VTP域名、VLAN配置，提供现 行的配置修改号。这个修改号是VTP 域的一部分，它确保VTP 域 内的所有交换机有现行的、正确的VLAN 配置信息。当VLAN在 VTP服务器上被创建的时候，和其他VLAN配置信息一起存储在服 务器的NVRAM。当交换机重启的时候，配置信息还是被保留。
VTP的三种操作模式(3)
透明模式:
不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将 接收到的VTP报文转发出去。它只拥有本设备上的VLAN信 息。 VTP透明交换机和VTP客户交换机不同，VLAN可以在这些 交换机上手工配置。如果配置为VTP 域的一部分，他们可以从 VTP 服务器接收VLAN 配置信息。然而，他们不会通知VTP 域本 地配置的VLAN。配置成透明模式的交换机还是会收到VTP 配置 帧并传递这些帧到所有的骨干端口。这允许VTP 客户交换机可 以连接到一个VTP 透明交换机。客户交换机透过透明交换机还 是可以和VTP 服务器交换VLAN 配置信息。
交换的基本概念1
共享式以太网：当一台主机发送数据的时候，其 他主机只能接收此数据，此时其他网上主机都不 能发送数据； 冲突域：域内的不同设备同时发出的以太网帧会 互相冲突；特点为：每台主机得到的可用带宽很 低，网上冲突成倍增加，信息传输安全得不到保 证。 广播域：网络中的一组设备集合；当这些设备中 的一个发出一个广播时，所有其他的设备都能接 收到这个广播帧。
17
ISL封装
ISL 头 26 bytes
以太帧数据
CRC 4 bytes
DA
Type User
SA LEN AAAA03 HSA VLAN BPDU INDEX RES BPDU VLAN BPDU
用ISL头与CRC进行帧封装 可以支持多个VLAN (1024) VLAN号 BPDU控制位
18
VTP协议
VLAN的标准
802.10VLAN标准 在1995年，Cisco公司提倡使用IEEE802.10协议。然而，大多数 802委员会的成员都反对推广802.10。 802.1Q 在1996年3月，IEEE802.1Internetworking委员会出台的标准进一 步完善了VLAN的体系结构，统一了不同厂商的标签格式，并制定 了VLAN标准在未来的发展方向，形成的802.1Q的标准在业界获得 了广泛的推广并成为VLAN史上的一块里程碑。 Cisco ISL 标签 ISL（Inter-Switch Link)是Cisco公司的专有封装方式，因此只 能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路 由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流 的协议，通过在交换机直接的端口配置ISL封装，即可跨越交换机 进行整个网络的VLAN分配和配置。
VTP模式
• 创建vlan • 修改vlan • 删除vlan • 发送/转发 信息宣告 • 同步 • 存贮于NVRAM
服务器模式
• 发送/转发 信息宣告 • 同步 • 不会存贮于NVRAM
客户模式
透明模式
• 创建vlan • 修改vlan • 删除vlan • 转发 信息宣告 • 不同步 • 存贮于NVRAM
网络技术与实践
实验教程
信息技术学院 蔡洪民
主要内容
1 2 3 4
交换机实验（3个） 防火墙实验（4个） 路由器实验（3个） 综合性实验（1个）
第一部分：
VLAN trunk access
VTP
SWITCH
STP 子接口
交换机实验
思科交换机
中小企业骨干 大型企业配线间
Catalyst 4000Series
VLAN的划分(2)
④根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播 组就是一个VLAN，这种划分的方法将VLAN扩大到了广 域网，因此这种方法具有更大的灵活性，而且也很容 易通过路由器进行扩展，当然这种方法不适合局域 网，主要是效率不高 。 ⑤基于规则的VLAN 也称为基于策略的VLAN。这是最灵活的VLAN划分方 法，具有自动配置的能力，能够把相关的用户连成一 体，在逻辑划分上称为“关系网络”。网络管理员只需 在网管软件中确定划分VLAN的规则（或属性），那么 当一个站点加入网络中时，将会被“感知”，并被自己 地包含进正确的VLAN中。同时，对站点的移动和改变 也可自动识别和跟踪。
VTP的三种操作模式(2)
客户机模式:
也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改 VLAN，任何变化的信息必须从VTP Server发布的通告报文中接 收。当客户交换机加入一个新的VLAN，VLAN必须被添加到VTP 服务 器上面去。这样新的VLAN 才能传递到所有的客户交换机。当新的 VLAN 增加后，客户交换机上的端口会关联到新的VLAN。客户交换 机在NVRAM存储VLAN配置。然而，不像VTP服务器，当客户交换机 重启的时候，所有的VLAN 配置信息丢失了。交换机启动完成后， 需要发送一条VTP 请求消息给VTP服务器，来获取现行的VLAN 配 置。
Catalyst 3550-12T
Catalyst 2900&2950 Series XL Catalyst 1900/2820
可扩展性
交换机的主要工作
基本组件： 机箱 电源 散热风扇 Supervisor模块（交换机的“大脑”） 线路模块
主要工作： 学习MAC地址 数据帧的转发/过滤决策 维持网络无交换的环路
中小企业工作组
园区网/城域网 骨干
价格
Fu
Catalyst 3500 Series XL
n io t nc
Catalyst 4912
Catalyst 4908G-L3
Catalyst 8500 Catalyst 6x00 Catalyst 5500 Catalyst 2948G(-L3) Catalyst 2980G
VLAN介绍(2)
VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网 帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作 组，限制不同工作组间的用户二层互访。 虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作 组，动态管理网络。 既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的 通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。
VLAN的划分(1)
①根据端口来划分VLAN
利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域 中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一 交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯， 并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台 交换机上。 ②根据MAC地址划分VLAN 根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于 哪个组。最大优点就是当用户物理位置移动时，即从一个交换机换到其 他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的 划分方法是基于用户的VLAN。缺点是初始化时，所有的用户都必须进行 配置，如果有几百个甚至上千个用户的话，配置是非常累的。 ③根据网络层划分VLAN 根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然 这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层 的路由毫无关系。优点是用户的物理位置改变了，不需要重新配置所属 的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重 要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网 络的通信量。
VTP（VLAN Trunk Protocol，VLAN干道协议）用来使 VLAN配置信息在交换网内其它交换机上进行动态注册 的一种二层协议。在一台VTP Server上配置一个新的 VLAN信息，则该信息将自动传播到本域内的所有交换 机，从而减少在多台设备上配置同一信息的工作量， 且方便了管理。VTP信息只能在Trunk端口上传播。 GVRP（GARP VLAN Registration Protocol，GARP VLAN注册协议）是GARP的一种应用，它基于GARP的工 作机制，维护交换机中的VLAN动态注册信息，并传播 该信息到其它的交换机中。