第三章 虚拟局域网及其配置
虚拟局域网配置
用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量,因此要求只有通讯速度在100Mbps或以上的端口,才能作用途就分为了访问连接端口(Access Link)和汇聚连接(Trunk Link)端口两种。访问连接端口通常用于连接客户PC机,以提供网络接入服务。该种端口只属于某一个VLAN,并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连接端口属于所有VLAN共有,承载所有VLAN在交换机间的通讯流量。
3.5 VLAN的配置方法
在进行VLAN配置时,首先应根据应用需求,规划设计好网络拓扑结构,并进行VLAN划分和IP地址分配规划,最后才开始着手VLAN的配置和调试。
3.5.1 创建VTP管理域 1.VTP简介 VTP是VLAN Trunking Protocol的缩写,称为VLAN链路聚集协议,它是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议,以在同一个VTP域中维持VLAN配置的一致性。在同一个VTP域中的交换机,可通过VTP协议来互相学习VTP信息。VTP协议对于运行ISL或IEEE802.1Q封装协议的汇聚链路也都适用。 在创建VLAN之前,应先定义VTP管理域,VTP消息能在同一个VTP管理域内,同步和传递VLAN配置信息。另外,利用VTP协议,还能实现从汇聚链路中,裁剪掉不需要的VLAN流量。
增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。
局域网组建方法虚拟局域网(VLAN)的配置与管理
局域网组建方法虚拟局域网(VLAN)的配置与管理局域网(Local Area Network,LAN)是在一个有限地理区域内,以太网或其他数据通信技术相互连接的计算机网络。
在大型企业或组织中,将整个局域网划分为多个虚拟局域网(Virtual LAN,VLAN)能够提高网络性能、增强网络安全性和简化网络管理。
本文将介绍虚拟局域网的组建方法以及配置与管理。
虚拟局域网的组建方法1. 基于物理端口的划分根据物理设备的端口进行划分,将不同的端口划分到不同的虚拟局域网中。
可以通过交换机或路由器的管理界面进行配置,将特定端口绑定到指定的VLAN上。
这种方式简单易行,但灵活性较差,需要动态调整网络结构时会带来一定困难。
2. 基于MAC地址的划分根据设备的MAC地址进行划分,将同一虚拟局域网中的设备根据其MAC地址进行分类。
在交换机或路由器上,可以配置MAC地址和虚拟局域网的对应关系,使同一VLAN中的设备可以相互通信。
这种方法具有较高的灵活性,但需要维护一张MAC地址映射表,增加了管理的复杂度。
3. 基于协议的划分根据不同的网络协议将设备进行划分,使相同协议的设备可以在同一虚拟局域网中进行通信。
这种方法适用于具有不同网络需求的设备,例如语音通信、视频传输等。
在交换机或路由器上,可以配置协议和虚拟局域网的对应关系,实现协议划分。
虚拟局域网的配置与管理1. VLAN的管理软件使用VLAN的配置与管理软件可以简化管理操作。
这些软件通常提供图形用户界面(GUI),通过可视化操作帮助管理员完成VLAN的配置、划分和端口管理等任务。
常见的VLAN管理软件有Cisco Prime LAN Management Solution和HP Intelligent Management Center等。
2. VLAN的划分与配置在VLAN的划分与配置中,管理员需要根据网络需求和设备之间的联系,设计合理的虚拟局域网划分方案。
首先,确定划分的依据(物理端口、MAC地址或协议);然后,配置交换机或路由器上的VLAN并将端口或设备与相应的VLAN绑定;最后,进行VLAN的测试与调试,确保各设备之间的通信正常。
(新)虚拟局域网的基本配置-案例讲解
一、S2的配置En //进入特权模式conf t //进入全局配置模式vlan 10 //创建VLAN10的命令vlan 20vlan 30int f0/11 //进入接口F0/11的命令switchport mode access //设置接口的工作模式为【接入模式】的命令switchport access vlan 10 //将接口分配到指定的VLAN中int f0/18switchport mode accessswitchport access vlan 20int f0/6switchport mode accessswitchport access vlan 30hostname s2 //配置设备名二、S3的配置En //进入特权模式conf t //进入全局配置模式vlan 10 //创建VLAN10的命令vlan 20vlan 30int f0/11 //进入接口F0/11的命令switchport mode access //设置接口的工作模式为【接入模式】的命令switchport access vlan 10 //将接口分配到指定的VLAN中int f0/18switchport mode accessswitchport access vlan 20int f0/6switchport mode accessswitchport access vlan 30hostname s3 //配置设备名三、S1的配置En //进入特权模式conf t //进入全局配置模式vlan 10 //创建VLAN10的命令vlan 20vlan 30hostname s1 //配置设备名四、验证1.验证vlan 的划分情况是否正确,在S1-S2-S3分别用show vlan brief2.验证在同一个vlan中,PC机之间的联通性。
原因:由于每个PC设置都为其分配了VLAN,组建成了不同的局域网【每个VLAN构成一个局域网】,在数据传输中,每个PC机都加入了VLAN标识,但是由于G0/1属于VLAN 1,而且是接入模式,只能允许VLAN1的信息通过,其他VLAN的信息不能通过。
虚拟局域网的组建与应用
虚拟局域网在校园网中的应用
提高网络性能:通过虚拟局域网技术,可以优化校园网的性能,提高网络传输速度和稳定性。 安全隔离:虚拟局域网可以实现不同部门、不同用户之间的安全隔离,保护校园网的信息安全。 资源共享:虚拟局域网可以方便地实现校园网内资源的共享,如文件、打印机等。 远程访问:虚拟局域网技术可以实现校园网内用户远程访问校内资源,方便师生进行学习和研究。
05
虚拟局域网的未来发展
虚拟化技术的趋势
云计算:虚拟化技术将更加广泛 地应用于云计算领域,提高资源 利用率和灵活性。
边缘计算:虚拟化技术将在边缘 计算领域发挥重要作用,提高数 据处理效率和实时性。
添加标题
添加标题
添加标题
添加标题
容器化:容器化技术将逐渐取代 传统的虚拟机,成为虚拟化技术 的主流。
虚拟局域网的安全防护措施
加密技术:使用加密技术对数据进行加密,防止数据泄露 访问控制:设置访问控制策略,限制用户访问权限 防火墙:部署防火墙,防止外部攻击 安全审计:定期进行安全审计,及时发现并修复安全漏洞 安全培训:对员工进行安全培训,提高安全意识和技能 备份与恢复:定期备份数据,并制定数据恢复计划,以防
虚拟局域网的配置步骤
确定虚拟局域网的规模和需求
配置虚拟局域网的网络协议,如IP地 址、子网掩码等
选择合适的虚拟局域网技术,如VLAN、 配置虚拟局域网的安全策略,如防火
VPN等
墙、访问控制等
配置虚拟局域网的网络设备,如交换机、 路由器等
测试虚拟局域网的连通性和稳定性
虚拟局域网的优化方案
优化网络拓扑结构:合理规划网络拓扑结构,提高网络传输效率 优化网络带宽:合理分配网络带宽,避免网络拥堵 优化网络设备:选择高性能网络设备,提高网络传输速度和稳定性 优化网络安全:加强网络安全防护,防止网络攻击和病毒入侵
实验三 虚拟局域网配置
实验三虚拟局域网配置在当今数字化的时代,网络技术的发展日新月异,虚拟局域网(VLAN)作为一种重要的网络技术,在提高网络性能、增强安全性和简化管理方面发挥着关键作用。
本次实验的主要目的就是深入了解并掌握虚拟局域网的配置方法,通过实际操作来感受其在网络架构中的应用和优势。
一、实验背景与目的随着企业规模的不断扩大和网络应用的日益复杂,传统的局域网架构已经难以满足需求。
不同部门之间的网络访问需求各异,对安全性和性能的要求也不尽相同。
虚拟局域网技术的出现,为解决这些问题提供了有效的手段。
本次实验的目的在于:1、理解虚拟局域网的工作原理和概念,包括 VLAN 的划分方式、VLAN 间的通信机制等。
2、掌握在交换机上进行虚拟局域网配置的具体步骤和命令。
3、观察并分析虚拟局域网配置对网络性能和安全性的影响。
4、培养解决实际网络问题的能力,提高网络管理的技能水平。
二、实验设备与环境本次实验所需的设备包括:1、若干台支持 VLAN 功能的交换机,如 Cisco、Huawei 等品牌。
2、若干台计算机,用于连接到交换机进行测试和验证。
3、网络线缆若干,用于连接设备。
实验环境搭建在一个局域网内,确保所有设备能够正常通信,并为每台设备分配了相应的 IP 地址。
三、实验原理虚拟局域网(VLAN)是一种将局域网内的设备逻辑地划分成不同网段的技术。
通过 VLAN 的划分,可以将一个物理的局域网在逻辑上划分成多个不同的广播域,从而有效地控制广播风暴的传播范围,提高网络的性能和安全性。
VLAN 的划分方式有多种,常见的有基于端口的划分、基于 MAC 地址的划分、基于网络层协议的划分等。
在本次实验中,我们主要采用基于端口的划分方式,即将交换机的不同端口划分到不同的 VLAN 中。
VLAN 间的通信需要通过三层设备(如路由器或三层交换机)来实现。
在配置 VLAN 时,需要为每个 VLAN 分配一个 VLAN ID,并设置相应的端口模式(如 Access 端口和 Trunk 端口)。
《网络设备配置与管理》教学课件 项目三 利用虚拟局域网(VLAN)划分网络
一、VLAN概述
根据交换机的工作原理可以得知,当交换机不知道将一个数据帧从哪个端口转发出去时,会将该数据 帧从所有其他端口发送,形成一个网络广播域,这样一方面会导致网络带宽的浪费,一方面许多通过广播 方式传播的病毒可能迅速在整个网络中传播。如果配置了VLAN,则交换机只将此数据帧广播到属于该 VLAN的其他端口,这样,就将广播域限制在了一个VLAN内,从而提高了网络效率和安全性。
//选择fa0/1~fa0/3端口 //将端口模式设置为access,只有
access端口才能加入VLAN //将端口加入vlan11
//选择fa0/4和fa0/5端口 //将端口模式设置为access //将端口加入vlan22
二、单台交换机实现VLAN
(4)查看交换机的VLAN配置信息。
Switch#show vlan
Switch(config-if-range)#switchport access vlan 11 Switch(config-if-range)#exit Switch(config)#interface range fa0/4-5 Switch(config-if-range)#Switchport mode access Switch(config-if-range)#switchport access vlan 22 Switch(config-if-range)#exit Switch(config)#exit
VLAN可以在逻辑上实现终端设备的分组,即在不改变网络物理连接的情况下,根据部门职能或应用 等,将不同地点、不同网络的终端设备划分到不同的逻辑网络中,从而大大提高了组网的灵活性,简化了 网络管理的工作。
一、VLAN概述
默认情况下,VLAN之间是不能直接通信的,这样就提供了网络的安全性。例如,对于有较高安全性 要求的终端设备,可以将其划分为一个VLAN,从而确保了该VLAN中的信息不会被其他VLAN中的用户 轻易窃取。
虚拟局域网的配置
虚拟局域网的配置一、实验类型验证性实验二、实验名称网络交换实验(2学时)三、实验目的掌握交换机的工作原理和功能,掌握交换机的管理方式,利用交换机的console端口对交换机进行相关的配置,掌握交换机的命令行操作等。
四、实验要求要求学生能对交换机进行基本的配置和管理。
五、实验设备计算机、交换机(2950)六、实验技术原理VLAN技术是交换技术的重要进步之一,现在几乎所有的智能交换机都支持VLAN,在实际工程中VLAN技术也广泛使用在组网建网中,可以说本知识点相当重要。
本节实验主要关于Catalyst 2950系列交换机的基本配置,VLAN、VLAN中继以及VLAN 间路由等相关方面内容。
局域网交换机配置概述在局域网交换技术中,共享式以太网、冲突域、广播域、桥接、交换、MAC位置表、VLAN、VLAN中继等概念特别重要。
下面对这些概念做一下简单回顾。
1.共享式以太网共享式以太网是构建在总线型拓扑上的以太网,严格遵从载波侦听多路访问/冲突检测(CSMA/CD, Carrier Sense Multiple Access/Collision Detect)算法的网络,CSMA/CD算法的机制决定了共享式网络的半双工特点。
在共享式以太网上,当一台主机发送数据的时候其他主机只能接收该以太网帧,此时网上其他主机都不能发送数据。
2.冲突域用同轴电缆构建或以hub为核心构建的共享式以太网,其上所有节点同处于一个冲突域,一个冲突域内不同设备同时发出的以太网帧会互相冲突;同时,冲突域内的一台主机发送数据,同处于一个冲突域的其他主机都可以接收到。
3.广播域广播域是网上一组设备的集合,当这些设备中的一个发出一个广播时,所有其他设备都能接受到这个广播帧。
广播域和冲突域是比较容易混淆的概念,我们可以这样区分他们:连接在一个hub上的所有设备都处于一个冲突域,同时也构成了一个广播域;连接在一个没有划分VLAN交换机上各端口上的设备处于不同的冲突域中(每一个交换机的端口构成了一个冲突域),但同属于一个广播域。
虚拟局域网VLAN技术(教案第3章XG)
3.1.5 建立VLAN的交换方式
VLAN中的使用交换技术,通常包含端口交换、帧交换 和信元交换三种。
1、端口交换VLAN :早期在交换机上把根据端口划分 为几个相互独立的VLAN, 每个VLAN中端口是共享 媒体段(如以太网段)。这种方式特点:小规模灵 活,但端口共享媒体使VLAN带宽受限制。
VLAN实际没有统一严格的定义。VLAN技术早期提出: 一种隔离数据广播方法,将以太交换广播局限一定 范围内;但目前VLAN发展使其成为接近交换网络VPN 的技术,在以太交换网向城域网、广域网发展的重 要技术。
什么是交换网络的VPN? 主要功能和作用?
一个VLAN组划分的例子:
局域网VLAN
区域网VLAN
VCI: VLAN Control Information
• User-Priority:用户优先级(在以太网这样无优先级网段中使用) • TR-encap:=1表示帧数据是原始Token Ring帧数据 • VID: VLAN Identifier,最大4096个VLAN
IEEE802.1Q是MAC二层的VLAN标准,它在原来的 DA目的地址/SA源地址之后,插入4字节的VLAN标 记,在帧存储交换的时候进行辨别和只向VLAN组内 的用户广播发送。
汇聚S
S
S
汇聚S
S S
汇聚S
S
S
S
VLAN1
VLAN2
4、路由服务器和路由客户机
这是一种分布路由结构,结构外观上非常相似”独臂 “路由器,但LAN交换机中也要有必要的路由功能。当 需要在VLAN间进行路由的时候,报文被缓存在主干边 界的LAN交换机上,此时交换机与路由服务器交互相关 进一步转发连接信息,确定转发路径。
虚拟局域网的配置
虚拟局域网的配置在当今的网络环境中,虚拟局域网(VLAN)的配置已成为网络管理和优化的重要手段。
虚拟局域网能够有效地提高网络的性能、安全性和灵活性,使得网络资源的分配和管理更加合理和高效。
接下来,让我们深入了解一下虚拟局域网的配置过程及其相关要点。
一、什么是虚拟局域网虚拟局域网(VLAN)是一种将一个物理的局域网在逻辑上划分成多个广播域的技术。
简单来说,就是通过软件设置,将一个大的局域网划分成多个小的、相互独立的“虚拟”局域网。
每个 VLAN 内的设备可以像在一个独立的局域网中一样进行通信,而不同 VLAN 之间的通信则需要通过路由器或三层交换机来实现。
二、虚拟局域网的优点1、提高网络性能通过将网络划分为多个 VLAN,可以减少广播域的大小,从而降低广播风暴对网络性能的影响。
同时,不同 VLAN 之间的数据流量可以得到有效的隔离,提高了网络的带宽利用率。
2、增强网络安全性不同 VLAN 之间的通信需要经过特定的设备进行转发,可以更好地控制网络访问权限,防止未经授权的访问和数据泄露。
3、简化网络管理将用户或设备按照功能、部门等因素划分到不同的 VLAN 中,使得网络管理更加清晰和便捷。
例如,可以为不同的部门设置不同的VLAN,方便进行网络策略的制定和实施。
三、虚拟局域网的配置步骤1、规划 VLAN在进行配置之前,需要根据网络的需求和结构,规划好 VLAN 的数量和每个 VLAN 所包含的设备。
通常可以根据部门、业务类型、地理位置等因素来划分 VLAN。
2、配置交换机(1)创建 VLAN登录到交换机的管理界面,使用相应的命令或菜单选项创建VLAN。
例如,在 Cisco 交换机上,可以使用“vlan <VLAN 号>”命令来创建VLAN。
(2)将端口分配到 VLAN将交换机上的端口分配到相应的 VLAN 中。
可以将端口设置为“access”模式(直接连接终端设备)或“trunk”模式(连接其他交换机)。
虚拟局域网的原理与配置
Hale Waihona Puke 虚拟局域网 (VLAN, Virtual LAN)
VLAN网络 (多个广播域)
SW4
广播帧
PC1
SW1
SW2 SW6
SW5
SW3 SW7
• 虚拟局域网VLAN可以隔 离广播域。
PC2 • 特点:
▫ 不受地域限制。 ▫ 同一VLAN内的设备才能
Port 2 PVID 20
接口收到Tagged帧: 当该帧的VLAN ID与该接口的 PVID相同时,接收该帧。 当该帧的VLAN ID与该接口的 PVID不同时,丢弃该帧。
10
20
GE0/0/1 Access(VLAN10)
GE0/0/1 Access(VLAN10)
无标记帧
帧的VLAN ID与接口PVID相同: 先剥离该帧的Tag,然后再将其 从该接口发出。
直接进行二层通信。
1. 什么是VLAN 2. VLAN的基本原理 3. VLAN的应用 4. VLAN的配置示例
如何实现VLAN
Switch1
12345
数据帧
识别VLAN 划分VLAN 处理VLAN数据帧
Switch2
54321
数据帧
PC1 VLAN10
PC2 VLAN20
PC3 VLAN20
PC4 VLAN10
允许通行的VLAN:10
Trunk(PVID=1)
无标记帧
接口收到Untagged帧: 该帧打上PVID,当PVID在该接 口允许通过的VLAN列表里时接 收该帧;当PVID不在允许通过 的VLAN列表里时,丢弃该帧。
10
接口收到Tagged帧: 当该帧的VLAN ID在该接口允许 通过的VLAN列表里时,接收该 帧,否则丢弃该帧。
如何设置网络虚拟局域网(VLAN):网络配置进阶(三)
如何设置网络虚拟局域网(VLAN):网络配置进阶在当今数字化时代,网络已成为人们生活和工作中不可或缺的一部分。
无论是在家中还是在办公室,我们都需要一个可靠、高效的网络连接。
而虚拟局域网(VLAN)的出现,使得网络配置更加灵活和可扩展。
本文将介绍如何设置网络虚拟局域网,以提升网络配置的进阶水平。
一、VLAN简介虚拟局域网(VLAN)是一种逻辑上的网络划分技术,它允许将一个物理网络划分为多个逻辑上独立的局域网。
通过将相关设备划分到不同的VLAN中,网络管理员可以更好地管理和控制网络流量,提高网络的性能和安全性。
二、VLAN的实现方式实现VLAN的方式有两种,一是通过端口划分方式(Port-Based VLAN),二是通过协议标记方式(Tag-Based VLAN)。
1. 端口划分方式端口划分方式是最简单也是最常用的VLAN实现方式。
每个交换机端口都被指定为特定的VLAN成员。
例如,端口1和2属于VLAN1,端口3和4属于VLAN2,以此类推。
这样,只有同一VLAN中的设备才能相互通信,提高网络的安全性和隔离性。
2. 协议标记方式协议标记方式是将VLAN ID添加到数据包的头部,以实现不同VLAN之间的通信。
这种方式需要在交换机上配置特定的协议标记方式,如协议。
通过标记数据包中的VLAN ID,交换机可以将数据包正确地路由到相应的VLAN中,实现虚拟隔离和跨VLAN通信。
三、设置VLAN的步骤设置VLAN需要进行以下步骤:1. 设计VLAN拓扑在设置VLAN之前,需要绘制一个VLAN拓扑图,确定每个设备所属的VLAN以及它们之间的连接关系。
这将有助于合理规划网络结构,并确保网络顺利运行。
2. 配置交换机端口使用交换机的命令行接口或图形用户界面,将每个端口划分到相应的VLAN中。
确保同一VLAN的设备连接到同一个VLAN端口,实现隔离和安全性。
3. 配置VLAN间的互联如果需要不同VLAN之间的通信,需要配置交换机之间的互联口。
实验三 虚拟局域网配置
实验三虚拟局域网配置在当今数字化的时代,网络技术的发展日新月异,虚拟局域网(VLAN)作为一种重要的网络技术,为企业和组织的网络管理带来了诸多便利。
本次实验的主要目的就是深入了解并掌握虚拟局域网的配置方法,通过实际操作来加深对其原理和应用的理解。
虚拟局域网(Virtual Local Area Network,简称 VLAN)是一种将物理网络划分成多个逻辑网络的技术。
它可以在不改变物理拓扑结构的情况下,根据不同的需求将网络中的设备划分到不同的 VLAN 中,从而实现网络的隔离和优化。
在开始实验之前,我们需要准备好以下实验设备和环境:1、若干台支持 VLAN 功能的交换机。
2、若干台计算机。
3、网络连接线若干。
接下来,让我们逐步进行虚拟局域网的配置。
第一步,规划 VLAN 。
首先要明确我们需要划分的 VLAN 数量以及每个 VLAN 所包含的设备。
例如,我们可以将一个公司的网络划分为财务部 VLAN、市场部 VLAN、研发部 VLAN 等。
每个部门的设备将被分配到相应的VLAN 中,以实现部门之间的网络隔离和数据安全。
第二步,连接设备。
将计算机通过网络连接线连接到交换机的端口上。
确保连接稳定,并且设备之间能够正常通信。
第三步,进入交换机的配置模式。
通过控制台或者远程登录的方式,进入交换机的管理界面。
第四步,创建 VLAN 。
在交换机的配置命令中,使用特定的命令来创建 VLAN 。
例如,“vlan 10”表示创建 VLAN 10 。
为每个需要的VLAN 重复此操作。
第五步,将端口分配到 VLAN 。
指定哪些端口属于哪个 VLAN 。
这可以通过将端口设置为特定 VLAN 的访问模式来实现。
比如,“interface GigabitEthernet 0/1”进入端口配置模式,然后“switchport access vlan 10”将该端口分配到 VLAN 10 。
第六步,配置 VLAN 间的通信。
如果需要不同 VLAN 之间进行通信,还需要配置 VLAN 间的路由功能。
3.3-虚拟局域网
插入 4 字节的 VLAN 标记
字节
6
6
4
2
46 ~ 1500
4
802.3
MAC 帧
目地地址
源地址
长度M/类A型C 帧
数据
FCS
长度/类型 = 802.1Q 标记类型
10000001 00000000
标记控制信息 VID
2 字节
2 字节
用户优先级
CFI
第28页,共74页。
课件制作人:谢希仁
中继的几种模式和协商
VLAN 2 added: Name: VLAN0002
Switch(vlan)#exit
APPLY completed. Exiting....
保存退出
进入VLAN database
添加VLAN 2
如果不给VLAN指定名称, 交换机自动添加VLAN 2的 名称为默认的VLAN0002
第15页,共74页。
Fa0/9, Fa0/10
1002 fddi-default
active
1003 token-ring-default
active
1004 fddinet-default
active
1005 trnet-default
active
第20页,共74页。
练习1:交换机之间的VLAN通信
VLAN 1 VLAN 2 VLAN 3
进入接口配置模式
(2)将端口加入VLAN
将接口添加到某个VLAN中
Switch(config)# interface f0/1
Switch(config-if)# switchport access vlan vlan-id Switch(config-if)# no switchport access vlan vlan-id
《虚拟局域网》PPT课件
3.1 VLAN概述
3.1.6 Protocol VLAN
就是基于报文协议类型的VLAN分类技术,可以将 某一协议类型的空VLAN ID报文都划分到同一个VLAN。
Protocol VLAN只对Trunk和Hybrid口生效,对于 access口没有作用。
有基于IP地址的VLAN分类和端口上的基于报文类 型和以太网类型的VLAN分类两种。
PVLAN的应用对于保证接入网络的数据通信的安 全性是非常有效的,用户只需与自己的默认网关连接,一 个PVLAN不需要多个VLAN和IP子网就提供了具备第2层 数据通信安全性的连接,所有的用户都接入PVLAN,从 而实现了所有用户与默认网关的连接,而与PVLAN内的 其他用户没有任何访问。
3.1 VLAΒιβλιοθήκη 概述3.1 VLAN概述3.1.4 网络中VLAN的数量和大小
1. 流量类型 2. 应用程序类型 3. 网络管理需要 4. 用户数量 一般情况下一个物理子网对应一个VLAN。
3.1 VLAN概述
3.1.5 Super VLAN
Super VLAN又称为 VLAN聚合,是一种专门优化 IP地址的管理技术。其原理是将一个网段的 IP 分给不同 的子 VLAN(Sub VLAN),这些 Sub VLAN 同属于一个 Super VLAN。而每一个 Sub VLAN 都是独立的广播域, 不同 Sub VLAN 之间二层相互隔离。当 Sub VLAN 内的 用户需要进行三层通信时,将使用 Super VLAN 的虚接口 的 IP 地址作为网关地址,这样多个VLAN 共享一个IP 地 址, 从而节省了IP 地址资源。 同时, 为了实现不同Sub VLAN 间的三层互通及 Sub VLAN 与其他网络的互通,需 要利用 ARP 代理功能。通过ARP 代理可以进行 ARP 请 求和响应报文的转发与处理,从而实现了二层隔离端口间 的三层互通。
第3章_组建以太网、虚拟局域网
(1)传统以太网操作
• 传统共享式以太网的典型代表是总线型以太网。在这 种类型的以太网中,通信信道只有一个,采用 CSMA/CD访问方法。
• 每个站点在发送数据之前首先要侦听网络是否空闲, 如果空闲就发送数据。否则,继续侦听直到网络空闲。 如果两个站点同时检测到介质空闲并同时发送出一帧 数据,则会导致数据帧的冲突,双方的数据帧均被破 坏。这时,两个站点各自等待一段随机的时间再侦听、 发送。
入侵监测系统 D200
A座
OSPF
Area5
B座
C座
S8508
OSPF Area0
S8508
S5648P
C6509
S8508
OSPF Area6
D座
E座四层 行政、图书馆
E座三层 E座二层 E座一层 S3952P-EI
学院学生二 期公寓D、 E、F
OSPF Area1
学院学生二 期公寓D、 E、F
OSPF Area2
10BASE-F 光缆
铜缆或铜线连接到以太网的示意图
主机箱
网卡
主机箱
DB-15 连接器
收发器
内导体
MAU
收发器电缆
插入式 分接头 MDI
BNC 连接器 插口
外导体屏蔽层
保护外层
BNC T 型接头
主机箱
RJ-45 插头
双绞线
集线器
四种电缆对比表
名称
电缆
最大区间长度 结点数/段 优点
10Base-5 粗同轴电缆 500m
• 在每个交换机内部都维护有一张表,这个表记录了 交换机上每个端口所连接主机的MAC地址信息,交 换机根据这个表来把数据帧转发到正确的端口上
以太网交换机的特点
实验4.3-虚拟局域网(VLAN)的配置-(写报告)
实验 4.3-虚拟局域网(VLAN)的配置-(写报告)实验4.3:虚拟局域网(VLAN)的配置实验目的如果一个局域网的规模较大,就很容易发生广播风暴;局域网内的计算机通常都能互相访问,增大了安全隐患。
虚拟局域网技术可以在交换式网络基础上,根据网络上的终端设备属性划分成逻辑工作组,使各逻辑工作组在一定程度上进行隔离。
本实验是对一台交换机上的四个端口进行配置,分别划分到两个VLAN,将四台计算机配置到两个逻辑工作组中。
通过本实验,理解虚拟局域网技术的原理,并掌握基于端口划分VLAN的配置命令。
实验环境运行Windows 2000/2003 Server/XP操作系统的PC机1台;Packet Tracer 5.3网络仿真软件1套;仿真设备CISCO 2960交换机1台、PC机4台、连接线路若干。
实验步骤步骤1 用Packet Tracer 5.3构建网络拓扑启动Packet Tracer 5.3,添加1台CISCO 2960交换机、4台PC机。
用直连线将PC0-PC3计算机分别连接到交换机的Fastethernet 0/1-0/4端口上。
网络拓扑图如下图4-25所示。
299图4-25 虚拟局域网配置拓扑图步骤2 配置PC机的IP地址、子网掩码鼠标点击网络拓扑图上的PC0,出现PC0的配置窗口,点击Desktop,点击IP Configuration,配置IP地址和子网掩码如下图4-26所示。
300图4-26 PC0的IP地址配置在拓扑图上分别点击另外三台计算机,分别配置IP地址和子网掩码,它们的IP地址分别配置为192.168.1.2,192.168.1.3,192.168.1.4,子网掩码均设为255.255.255.0,默认网关和DNS服务器不设置。
步骤3 查询默认VLAN,并检验四台计算机的连通性鼠标点击交换机Switch0,输入enable命令进入特权模式,然后输入show vlan查询VLAN,如下图4-27所示。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络设备的安装与管理
就可解决对交换机端口的额 外占用,这条用于实现各VLAN 在交换机间通讯的链路,称为交 换机的汇聚链路或主干链路 (Trunk Link),如下图所示。
网络设备的安装与管理
用于提供汇聚链路的端口, 称为汇聚端口。由于汇聚链路承 载了所有VLAN的通讯流量,因 此要求只有通讯速度在 100Mbps或以上的端口,才能 作为汇聚端口使用。
网络设备的安装与管理
3.3 VLAN的汇聚链接与封装协议 在实际应用中,通常需要跨越多台交 换机的多个端口划分VLAN,比如,同一 个部门的员工,可能会分布在不同的建筑 物或不同的楼层中,此时的VLAN,就将 跨越多台交换机 。
跨越多台交换机的VLAN
网络设备的安装与管理
VLAN内的主机彼此间应可以 自由通讯,当VLAN成员分布在多 台交换机的端口上时,如何才能实 现彼此间的通讯呢?
网络设备的安装与管理
3.1 虚拟局域网简介
处理广播信息所产生的负荷。
目前,蠕虫病毒相当泛滥,如果不对局 域网进行有效的广播域隔离,一旦病毒发 起泛洪广播攻击,将会很快占用完网络的 带宽,导致网络的阻塞和瘫痪。
网络设备的安装与管理
路由器具有路由转发、防火墙和 隔离广播的作用,路由器不会转发广 播帧,因此,要实现对网络的分段和 广播域的隔离,应使用路由器来实现。
网络设备的安装与管理
行直接通信的,从而就实现了对广播域的 分割和隔离。
若要实现VLAN间的通讯,就必须为 VLAN设置路由,这可使用路由器或三层 交换机来实现。二层交换机可以划分 VLAN,若没有路由器,则无法实现VLAN 间的通讯,由于三层交换机具备路由功能, 在实际应用中,通常在三层交换机中来划 分VLAN,以支持VLAN间的相互通讯。
网络设备的安装与管理
3.2 静态VLAN与动态VLAN VLAN创建后,接下来就可指定端口 所属的VLAN,默认情况下,交换机的所 有端口均属于VLAN1,VLAN1是交换 机默认创建和管理的VLAN。 1.静态VLAN 静态VLAN就是明确指定各端口所 属VLAN的设定方法,通常也称为基于 端口的VLAN,其特点是将交换机按端 口进行
网络设备的安装与管理
增加网络的安全性。由于默认情况下, VLAN间是相互隔离的,不能直接通讯, 对于保密性要求较高的部门,比如财务 处,可将其划分在一个VLAN中,这样, 其 他 VLAN 中 的 用 户 , 将 不 能 访 问 该 VLAN中的主机,从而起到了隔离作用, 并 提 高 了 VLAN 中 用 户 的 安 全 性 。 VLAN间的通讯,可通过应用VLAN的 访问控制列表,来实现VLAN间的安全 通讯。
网络设备的安装与管理
3.5 VLAN的配置方法
网络设备的安装与管理
IEEE802.1Q协议对数据帧的打标封装
网络设备的安装与管理
ISL是Inter Switch Link的缩写, 是Cisco系列交换机支持的一种与 IEEE802.1Q类似的,用于在汇聚链 路上附加VLAN信息的协议,可用于 以太网和令牌环网。
网络设备的安装与管理
ISL对数据帧进行打标封装时,采取 在数据帧的头部附加26字节的ISL包头 (ISL Header),并且在数据帧的尾 部带上对包括ISL包头在内的整个数据 帧进行计算后得到的4字节的CRC值, 即ISL协议保留数据帧原来的CRC,然 后再附加上一个新的CRC,即封装时总 共增加了30个字节的信息。当数据帧 离开汇
网络设备的安装与管理
这种方法虽然解决了VLAN内主机间 的跨交换机通讯,但每增加一个VLAN, 就需要在交换机间添加一条互联链路, 并且还要额外占用交换机端口,这对保 贵的交换机端口而言,是一种严重的浪 费,而且扩展性和管理效率都很差。
网络设备的安装与管理
为了避免这种低效率的连接方式 和对交换机端口的大量占用,人们 想办法让交换机间的互联链路汇集 到一条链路上,让该链路允许各个 VLAN的通讯流经过,这样就可
网络设备的安装与管理
3.2 静态VLAN与动态VLAN 分组,每一组定义为一个VLAN,属于 同一个VLAN的端口,可来自一台交换机, 也可来自多台交换机,即可以跨越多台交 换机设置VLAN。基于端口的VLAN划分 如下图所示。
网络设备的安装与管理
静态指定各端口所属的VLAN,需 要一个端口一个端口地进行设置,当 要设定的端口数目较多时,工作量会 比较大,通常适合于网络拓扑结构不 是经常变化的情况。静态VLAN是目 前最常用的一种VLAN端口划分方式。
3.4 VLAN间主机的通讯
同一个VLAN属于同一个广播域,主 机彼此间可相互自由通讯。不同VLAN 的主机若要相互通讯,则必须为VLAN 指定路由,这可通过三层交换机的路由 交换模块或借助外部的路由器来实现。
网络设备的安装与管理
3.4 VLAN间主机的通讯
对于没有路由功能的二层交换机, 若要实现VLAN间的相互通信,就要 借助外部的路由器来为VLAN指定默 认路由,此时路由器的快速以太网接 口与交换机的快速以太网端口,应以 汇聚链路的方式相连,并在路由器的 快速以太网接口上,为每一个VLAN 创建一个对应的虚拟子接口,并设置 虚
网络设备的安装与管理
利用汇聚链路实现各VLAN内主机跨交换机的通讯
在引入VLAN后,交换机的端口按 用途就分为了访问连接端口(Access Link)和汇聚连接(Trunk Link)端
网络设备的安装与管理
口两种。访问连接端口通常用于连接 客户PC机,以提供网络接入服务。该 种端口只属于某一个VLAN,并且仅 向该VLAN发送或接收数据帧。端口 所属的VLAN通常也称作native vlan。 汇聚连接端口属于所有VLAN共有, 承载所有VLAN在交换机间的通讯流 量。
网络设备的安装与管理
三层交换机是带有路由功能的 交换机,其路由模块与交换模块共 同使用ASIC硬件芯片,可实现高 速度的路由,并且在对第一个数据 帧进行路由后,将会产生一个 MAC地址与IP地址的映射表,当 同样的数据帧再次通过时,交换机 会直接从
网络设备的安装与管理
二层转发,而不用再路由,从而消除了 路由器进行路由选择而造成网络的延迟, 提高了数据包转发的效率。另一方面, 交换机的路由模块与交换模块是在交换 机内部直接汇聚连接的,可以提供相当 高的带宽,因此,使用三层交换机来配 置VLAN和提供VLAN间的通讯,比使用 二层交换机和路由器更好,配置和使用 也更方便。
网络设备的安装与管理
解决的办法就是在交换机上各拿 出一个端口,用于将两台交换机级联 起来,专门用于提供该VLAN内的主 机跨交换机相互通讯。有多少个 VLAN,就对应地需要占用多少个端 口,用来提供VLAN内主机的跨交换 机相互通讯,如下图所示。
网络设备的安装与管理
VLAN内的主机在交换 机间的通讯
网络设备的安装与管理
网络接入服务。该种端口只属于某 一个VLAN,并且仅向该VLAN发送 或接收数据帧。端口所属的VLAN通 常也称作native vlan。汇聚连接端 口属于所有VLAN共有,承载所有 VLAN在交换机间的通讯流量。
网络设备的安装与管理
由于汇聚链路承载了所有VLAN的通 讯流量,为了标识各数据帧属于哪一个 VLAN,为此,需要对流经汇聚链接的 数据帧进行打标(tag)封装,以附加 上VLAN信息,这样交换机就可通过 VLAN标识,将数据帧转发到对应的 VLAN中。
网络设备的安装与管理
聚链路时,ISL只需简单地去除ISL包头和 新CRC就可以了,由于数据帧原来的CRC 被完整保留,因此无需重新计算。大多数 Cisco设备都支持ISL。
ISL与IEEE802.1Q协议互不兼容,ISL 是Cisco独有的协议,只能用于Cisco网 络设备之间的互联。
网络设备的安装与管理
网络设备的安装与管理
VLAN间的主机通讯,遵循以下通讯过程: 源主机→交换机→路由器→交换机→目
的主机
交换机使用ASIC(Application Specified Integrated Circuit)专用硬 件芯片来处理数据帧的交换,从而可以 实现以线缆速度(Wired Speed)来交 换数据。
网络设备的安装与管理
3.4 VLAN间主机的通讯
拟子接口的IP地址,该IP地址以后 就成为该VLAN的默认网关(路由)。 由于这些虚拟子接口是直接连接在路 由器上的,设置IP地址后,路由器会 自动在路由表中,为各VLAN添加路 由,从而实现VLAN间的路由转发, 如下图所示。
网络设备的安装与管理 二层交换机借助外部路由器实现VLAN间通讯
网络设备的安装与管理
从中可见,通过在局域网中划分 VLAN,可起到以下方面的作用:
控制网络的广播,增加广播域的数 量,减小广播域的大小。
便于对网络进行管理和控制。 VLAN 是 对 端 口 的 逻 辑 分 组 , 不 受 任 何物理连接的限制,同一VLAN中的 用户,可以连接在不同的交换机,并 且可以位于不同的物理位置,增加了 网络连接、组网和管理的灵活性。
网络设备的安装与管理
2.动态VLAN 动态VLAN是根据每个端口所
连的计算机,动态设置端口所属 VLAN的设定方法。动态VLAN通 常可分为基于MAC地址的VLAN、 基于子网的VLAN和基于用户的 VLAN。
网络设备的安装与管理
基于MAC地址的VLAN,就是 根据端口所连计算机的网卡MAC 地址,来决定该端口所属的VLAN。 在这种方式下,端口所属的VLAN, 不是事先固定的,而是由所连计算 机的MAC地址来决定的。
网络设备的安装与管理
比如,若MAC地址为“00-0C6E-E1-1B-36”的计算机被设置为属 于VLAN2,则该台计算机无论接到交 换机的哪个端口,其所连端口就会被 自动划归为VLAN2。
网络设备的安装与管理
基于子网的VLAN,是根据端口所连 计算机的IP地址,来决定端口所属的 VLAN。