VLAN培训文档
合集下载
网络VLAN培训
Private VLAN在Private VLAN的概念中,交换机端口有三种类型:Isolated port,Communi ty port, Promisc-uous port;它们分别对应不同的VLAN类型:Isolated port属于I solated PVLAN,Community port属于Community PVLAN,而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。
在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交换流量;在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换流量。
Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community por t。
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。
PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。
这样即使同一VLA N中的用户,相互之间也不会受到广播的影响。
目前很多厂商生产的交换机支持PVLAN技术,PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的,而且采用PVLAN技术有助于网络的优化,再加上PVLAN在交换机上的配置也相对简单,PVLAN技术越来越得到网络管理人员的青睐。
private-vlan命令:private-vlan {primary|isolated|community}no private-vlan功能:将当前vlan设置为private vlan,该命令的no操作为取消private vlan设置。
1-2交换机与VLAN培训
宽带小区交换机的组网结构
MA5200F
S2403H-EI
B:S2016-EI
A:S2016-EI
PC
进入交换机配置界面
RS-232 串口
Console口 配置电缆
建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的 Console口连接。 口连接。 口连接 在主机上运行终端仿真程序( 的超级终端等) 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信 的超级终端等 参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控, 位数据位、 位停止位 无校验和无流控, 位停止位、 参数为:波特率为 、 位数据位 并选择终端类型为VT100。 。 并选择终端类型为 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示 以太网交换机上电, 终端上显示以太网交换机自检信息, 用户键入回车,之后将出现命令行提示符( 用户键入回车,之后将出现命令行提示符(如<Quidway>)。 ) 键入命令,配置以太网交换机或查看以太网交换机运行状态。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可 以随时键入"?" 以随时键入
命令行视图
视图 用户视 图 系统视 图 以太网 端口视 图 VLAN视 视 图 VLAN接 接 口视图 本地用 户视图 用户界 面视图 功能 查看交换机的简 单运行状态和统 计信息 配置系统参数 [Quidway] 在用户视图下键入system-view 在用户视图下键入 quit或return返回用户 或 返回用户 视图 <Quidway> 与交换机建立连接即进入 quit断开与交换机连接 断开与交换机连接 提示符 进入命令 退出命令
VLAN培训胶片
20
VLAN
之间的路由
2.2.2.2/8 0000-1a2b-0004 1.1.1.3/8 0000-1a2b-0005
R
R
1.1.1.4/8 0000-1a2b-0006 1.1.1.1/8 0000-1a2b-0001
2.2.2.3/8 0000-1a2b-0007
R
1.1.1.2/8 0000-1a2b-0002
2.2.2.1/8 0000-1a2b-0003
2019/2/4
21
培训提纲
二层交换基本概念 VLAN基本概念 ISL协议 VTP协议
2019/2/4
22
ISL ——
Cisco的私有协议
基本信息
互联两台支持VLAN的交换机
标识某一帧所在的VLAN
一种外部tagging的过程
原有帧不改变,只是在其头部加26byte的
Advertisement VTP
Join Messages:
2019/2/4
35
VTP Pruning
作用:节省带宽 方法:减小广播、多播和多余的单播报文
只向必须接收的Trunk Link发这些报文
2019/2/4
36
VTP Pruning ——
R R
实例
R
R
R
R
R
R
R
R
2019/2/4
37
标准以太网帧
2019/2/4
26
培训提纲
二层交换基本概念 VLAN基本概念 ISL协议 VTP协议
2019/2/4
27
VTP ——
基本信息(一)
VLAN Trunk Protocol ,也是Cisco的私有协议 用于管理Switch-Fabric中的所有VLAN 允许管理员在Server上执行VLAN的添加、删除、重 新命名等,之后VTP自动把这些信息向所有其它 Switch通告 所有VTP信息均在Switch的Trunk Port之间交换
EPON培训课件VLAN基本原理V
VLAN隔离与互通的配置实例
总结词
配置实例是针对实际网络环境,根据VLAN隔离与互通原理进行配置,实现网络隔离与 互通。
详细描述
在配置VLAN隔离与互通时,需要根据实际网络环境进行配置。例如,可以将交换机端 口配置为Access端口或Trunk端口,将不同端口加入不同的VLAN,从而实现网络隔离。 同时,也可以配置交换机或路由器,将不同VLAN连接在一起,实现不同VLAN之间的
配置VLAN成员
将交换机上的端口分配给相应 的VLAN,以便在该VLAN内 通信。
确定VLAN需求
根据网络拓扑和业务需求,确 定需要创建的VLAN数量和类 型。
配置VLAN间路由
根据需要配置VLAN间的路由, 以确保不同VLAN之间的通信。
测试与验证
通过ping命令或其他测试工具 验证VLAN配置的正确性。
VLAN的配置实例与注意事项
实例1
在企业网络中,根据部门和业务需求划分 不同的VLAN,以提高网络的安全性和管理 效率。
注意事项3
要注意VLAN间的路由配置,确保不同 VLAN之间的通信畅通。同时,要合理规 划路由协议,避免产生路由环路等问题。
实例2
在校园网中,根据宿舍楼、教学楼等建筑 划分不同的VLAN,以实现更好的网络隔离 和管理。
数据通信。在实际应用中,需要根据具体需求进行配置,以达到最佳的网络效果。
05
VLAN的安全与管理策略
VLAN的安全威胁与防范措施
ARP欺骗攻击
ARP欺骗攻击是VLAN中常见的 安全威胁,攻击者通过伪造MAC 地址,截获数据包,获取敏感信 息。防范措施包括使用静态ARP
绑定、启用ARP检测机制等。
VS
详细描述
实训四 vlan的配置
10
步骤5:验证vlan内和vlan之间的通信: (1)在vlan10的一台PC上ping向vlan20的一台PC,能 否ping通,说明什么问题? (2)在vlan20的一台PC上ping向vlan30的一台PC,能 否ping通,说明什么问题? (3)在同一个vlan内两台PC互ping?能否ping通,说明 什么问题?
IP地址 192.168.1.10 192.168.1.11 子网掩码 255.255.255.0 255.255.255.0
PC20 PC21
PC30 PC31
192.168.1.20 192.168.1.21
192.168.1.30 192.168.1.31
6
255.255.255.0 255.255.255.0
(3)配置不允许vlan30的数据通过干线,允许vlan10和vlan20的数据通过
switchA(config-if)#switchport trunk allowed vlan 10,20
26
总结: 作业:完成实训报告
27
Thank~~
28
14
任务3:多交换机上划分VLAN
步骤1:用boson netsim软件画出网络拓扑,并保存
干线
SwitchA
Fa 0/1
Fa 0/1
SwitchB
PC10
PC20
PC30
PC11
PC21
PC31
财务部:VLAN10包括两个 交换机的f0/2-f0/4
销售部:
办公室:
VLAN30 F0/9-f0/12
23
步骤6:验证vlan内和vlan之间的通信: (1)在vlan10的PC10上ping向vlan20的PC20或PC21 ,能 否ping通,说明什么问题? (2)在vlan20的PC20上ping向vlan30的一台PC30或PC31 ,能否ping通,说明什么问题? (3)在vlan30的PC30上ping向vlan10的PC10或PC11 ,能 否ping通,说明什么问题? (4)在同一个vlan内两台PC互ping?能否ping通,说明什 么问题?
步骤5:验证vlan内和vlan之间的通信: (1)在vlan10的一台PC上ping向vlan20的一台PC,能 否ping通,说明什么问题? (2)在vlan20的一台PC上ping向vlan30的一台PC,能 否ping通,说明什么问题? (3)在同一个vlan内两台PC互ping?能否ping通,说明 什么问题?
IP地址 192.168.1.10 192.168.1.11 子网掩码 255.255.255.0 255.255.255.0
PC20 PC21
PC30 PC31
192.168.1.20 192.168.1.21
192.168.1.30 192.168.1.31
6
255.255.255.0 255.255.255.0
(3)配置不允许vlan30的数据通过干线,允许vlan10和vlan20的数据通过
switchA(config-if)#switchport trunk allowed vlan 10,20
26
总结: 作业:完成实训报告
27
Thank~~
28
14
任务3:多交换机上划分VLAN
步骤1:用boson netsim软件画出网络拓扑,并保存
干线
SwitchA
Fa 0/1
Fa 0/1
SwitchB
PC10
PC20
PC30
PC11
PC21
PC31
财务部:VLAN10包括两个 交换机的f0/2-f0/4
销售部:
办公室:
VLAN30 F0/9-f0/12
23
步骤6:验证vlan内和vlan之间的通信: (1)在vlan10的PC10上ping向vlan20的PC20或PC21 ,能 否ping通,说明什么问题? (2)在vlan20的PC20上ping向vlan30的一台PC30或PC31 ,能否ping通,说明什么问题? (3)在vlan30的PC30上ping向vlan10的PC10或PC11 ,能 否ping通,说明什么问题? (4)在同一个vlan内两台PC互ping?能否ping通,说明什 么问题?
EPON-VLAN-QinQ培训
帧有效部分
802.1Q 协议规定了一段新的以太网帧字 段,与标准的以太网帧头相比,VLAN 报文格式在源地址后增加了一个4 字节的 802.1Q 标签。
TPID 是IEEE 定义的新的类型,表明这 是一个加了802.1Q 标签的报文
DA
SA
TPID 0x8100
TCI 2bytes
DATA
mac-A vlan10 P5 L2
mac-B vlan10 P7
A发送Arp request 请求B的MAC
(广播) p5
Vlan 10 B Arp reply 回复自己的MAC p7 (单播)
mac-B mac-A …….
A
IP 100.1.1.10
100.1.1.11 Arp
mac-B
B
IP 100.1.1.11
专线: 2048-3071 网管: 60
DSLAM2
IPTV: 200-1000 PPPoE :1024-2047
专线: 2048-3071 网管: 60
(4003, 200~1000) (4003, 1024~2047) (4003,2048~3071)
(4003, 60)
IPTV: 200-1000 O
N U 3
DSLAM3
PPPoE :1024-2047 专线: 2048-3071
网管: 60
上上上上
上行业务处理流程
PON OLT线卡对所有来自同一个ONU的上行流量打上同一个 insvlan(不同ONU,insvlan不同),由用户在用户侧端口配置;
在内联口上创建outsvlan映射表项,根据outsvan映射表项查找, 动作为修改insvlan为要求的上行outsvlan。这里需要注意的是上联 端口必须加入insvlan中,因为上行的流量是以在insvlan洪泛的形 式送到上联端口的,然后匹配对应的规则进行insvlan->outsvlan的 转换。
VLAN培训文档
TAG字段说明
VLAN ID占12位,除去全0和全1的能创建 4094个VLAN. CRC值会在加入tag后重新计算,去处tag的 时候也会再计算. 而采用ISL(cisco)封装的话,是直接加上一 个26字节的包头,再加上一个CRC.去除的时 候不用重新计算.
包分析
TAG与UNTAG
针对出数据. TAG模式时出数据会带TAG. UNTAG模式时出数据会去掉TAG.
TAG模式 往往用在链路存在多个VLAN数据 时使用.(trunk 模式) UNTAG往往用于与终端机链接.(access模 式)
PVID
Pvid (Port Vlan Identifier).每个端口可以 加入多个VLAN,但只能有一个PVID. PVID 是跟端口关联的VID,它的取值范围也是14094. 默认是1.当端口收到Untagged Frame或者Priority Frame时,就添加Tag, 并在其中的VID字段中封装PVID. 对于 Tagged Frame则没有任何影响.
提高网络安全
在传统的局域网中,不时的会有些第三数据 被有意或无意地广播到网络上,从而有可能 造成信息泄密。在这种情况下,确定谁可以 访问到这些数据就得很重要。使用VLAN技 术可以将敏感数据的传播限制在安全范围内, 只允许已定义的VLAN成员访问相关数据。 VLAN还可被用来设立防火墙、限制数据访 问以及将网络入侵事件通知到网络管理者等, 这些都可以提高网络的安全系数。
冲突域是基于第一层(物理层)
广播域
广播域(Broadcast Domain)是一个逻辑上的计算 机组,该组内的所有计算机都会收到同样的广播信 息。 广播域是基于第二层(数据链路层) 广播域就是说如果站点发出一个广播信号后能接收 到这个信号的范围。通常来说一个局域网就是一个 广播域。 HUB 所有端口都在同一个广播域,冲突域内。 Switch所有端口都在同一个广播域内,而每一个端 口就是一个冲突域。 Router的每个端口属于不同的广播域。
vlan培训
vlan培训1.1 VLAN 简介1.1.1 VLAN 概述传统的以太网是广播型网络,网络中的所有主机通过HUB 或交换机相连,处在同一个广播域中。
HUB 和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:HUB 是物理层设备,没有交换功能,接收到的报文会向除接收端口外的所有端口转发;交换机是数据链路层设备,具备根据报文的目的MAC 地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC 地址不在交换机MAC 地址表中)时,也会向除接收端口之外的所有端口转发。
上述情况会造成以下的网络问题:网络中可能存在着大量广播和未知单播报文,浪费网络资源。
网络中的主机收到大量并非以自身为目的地的报文,造成了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。
传统的方法是使用路由器,因为路由器是依据目的IP 地址对报文进行转发,不会转发链路层的广播报文。
但是路由器的成本较高,而且端口较少,无法细致地划分网络,所以使用路由器隔离广播域有很大的局限性。
为了解决以太网交换机在局域网中无法限制广播的问题,VLAN (Virtual Local Area Network,虚拟局域网)技术应运而生。
VLAN 的组成不受物理位置的限制,因此同一VLAN 内的主机也无须放置在同一物理空间里。
如图1-1所示,VLAN把一个物理上的LAN划分成多个逻辑上的LAN,每个VLAN是一个广播域。
VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互,而处在不同VLAN内的主机之间如果需要通信,则必须通过路由器或三层交换机等网络层设备才能够实现。
图1-1 VLAN 组网示意图1-21.1.2 VLAN 的优点与传统以太网相比,VLAN 具有如下的优点:控制广播域的范围:局域网内的广播报文被限制在一个VLAN 内,节省了带宽,提高了网络处理能力。
增强了LAN 的安全性:由于报文在数据链路层被VLAN 划分的广播域所隔离,因此各个VLAN内的主机间不能直接通信,需要通过路由器或三层交换机等网络层设备对报文进行三层转发。
EPON培训课件VLAN基本原理V
EPON培训课件VLAN基本 原理V
本课程将介绍VLAN的基本概念、发展历程、应用场景以及与传统网络架构的 区别。还包括组播技术、网络模型、虚拟化实现技术和常见问题等内容。
01. VLAN基本概念介绍
1 VLAN是什么?
虚拟局域网(VLAN)是一种逻辑上的划分,在物理上可以是跨越多个交换机的网络。
04. VLAN与传统网络架构的区别
传统网络架构 单个广播域 物理隔离 静态划分 通信限制多
VLAN网络架构 多个虚拟广播域 逻辑隔离 动态划分 通信灵活性高
05. VLAN的组播技术
IGMP Snooping
提供对组播流量的处理和转发, 减少不必要的广播。
PIM-SM
协议独立组播—稠密模式,用 于在VLAN中进行跨网络的组播。
2 为什么使用VLAN?
VLAN提供安全性、性能优化和逻辑拓扑灵活性等多个优势,使网络变得更加可控。
02. VLAN的发展历程
1
1993
VLAN的概念首次提出,用于解决大型局域网管理问题。
2
1998
IEEE发布了IEEE 802.1Q标准,增加了V02.1ad发布,引入了Q-in-Q技术,扩展了VLAN标识符的数量。
03. VLAN的应用场景
Retail行业
使用VLAN来隔离POS系统和客户数据,提高安全 性。
数据中心
使用VLAN进行虚拟化划分,优化资源利用率和 灵活性。
企业办公区域
将不同部门划分到不同的VLAN,实现灵活的网 络管理。
教育机构
将教师、学生和管理人员划分到不同的VLAN, 提供更好的网络服务。
PIM-SSM
协议独立组播—稀疏模式,提 供节省带宽和更高效的组播。
本课程将介绍VLAN的基本概念、发展历程、应用场景以及与传统网络架构的 区别。还包括组播技术、网络模型、虚拟化实现技术和常见问题等内容。
01. VLAN基本概念介绍
1 VLAN是什么?
虚拟局域网(VLAN)是一种逻辑上的划分,在物理上可以是跨越多个交换机的网络。
04. VLAN与传统网络架构的区别
传统网络架构 单个广播域 物理隔离 静态划分 通信限制多
VLAN网络架构 多个虚拟广播域 逻辑隔离 动态划分 通信灵活性高
05. VLAN的组播技术
IGMP Snooping
提供对组播流量的处理和转发, 减少不必要的广播。
PIM-SM
协议独立组播—稠密模式,用 于在VLAN中进行跨网络的组播。
2 为什么使用VLAN?
VLAN提供安全性、性能优化和逻辑拓扑灵活性等多个优势,使网络变得更加可控。
02. VLAN的发展历程
1
1993
VLAN的概念首次提出,用于解决大型局域网管理问题。
2
1998
IEEE发布了IEEE 802.1Q标准,增加了V02.1ad发布,引入了Q-in-Q技术,扩展了VLAN标识符的数量。
03. VLAN的应用场景
Retail行业
使用VLAN来隔离POS系统和客户数据,提高安全 性。
数据中心
使用VLAN进行虚拟化划分,优化资源利用率和 灵活性。
企业办公区域
将不同部门划分到不同的VLAN,实现灵活的网 络管理。
教育机构
将教师、学生和管理人员划分到不同的VLAN, 提供更好的网络服务。
PIM-SSM
协议独立组播—稀疏模式,提 供节省带宽和更高效的组播。
VLAN配置培训
接收方向
VID:10 VID:20
Trunk
发送方向
Trunk
© 2010 Ruckus Wireless, Inc. All rights reserved
Page 16
第1章 VLAN概述 第2章 VLAN的链路类型 与转发原则 第3章 AC、AP的VLAN配置 第4章 典型组网
© 2010 Ruckus Wireless, Inc. All rights reserved
untag
© 2010 Ruckus Wireless, Inc. All rights reserved
Page 31
© 2010 Ruckus Wireless, Inc. All rights reserved
Page 6
第1章 VLAN概述 第2章 VLAN的链路类型 与转发原则 第3章 AC、AP的VLAN配置 第4章 典型组网
© 2010 Ruckus Wireless, Inc. All rights reserved
Hybrid端口和Trunk端口属于多个VLAN, 所以需 要设置缺省VLAN ID,缺省情况下为VLAN 1。
© 2010 Ruckus Wireless, Inc. All rights reserved
Page 11
Access-Link配置
默认情况下,交换机所有端口都是Access-Link端口,并属 于VLAN-1,即PVID (Port VLAN ID)为1
9.1版本AC配置单IP地址(ACCESS端口或 Trunk但PVID=管理VLAN)
© 2010 Ruckus Wireless, Inc. All rights reserved
9.1版本AC配置双IP地址( Trunk端口,且 PVID不等于100))
网络技术培训DE000401 NE40 VLAN配置
配置举例
创建VLAN2,添加端口3/0/1、3/0/2,并创建VLAN三层接口,配置IP
地址:192.168.6.1/24;创建VLAN3,添加端口3/0/3、3/0/4,并创建 VLAN三层接口,配置IP地址:10.110.1.1/24
# 创建VLAN2
[Quidway] vlan 2 # 向VLAN2添加端口。 [Quidway-vlan2] port ethernet 3/0/1 3/0/2 # 创建VLAN2的三层接口。 [Quidway] interface vlanif 2 # 配置VLAN2的三层接口网关IP地址。
第三章 VLAN聚合配置
第四章 VLAN Trunk配置
NE40的VLAN实现方式
NE40系列通用交换路由器的VLAN不仅支持三层交换功能,也 支持二层交换功能
NE40系列通用交换路由器对基于接口的VLAN进行配置时
首先应根据需求创建VLAN,之后配置VLAN的端口及参数等 只有二层端口才能加入到基于接口的VLAN中
显示Ethernet和GE接口的端口切换情况
display { router | switch } port
VLAN故障排除
故障现象:向VLAN中加入端口失败 故障排除:可以按照如下步骤进行。
首先检查输入的端口是否都存在,命令行输入是否正确; 使用display interface命令确认该端口的PVID不属于其它VLAN; 使用display vlan命令确认该VLAN不是超级VLAN,超级VLAN 不能包含有端口;
在通过VLAN的接口与其他网络的IP路由设备连接时,VLAN接 口必须配置路由属性为routing,其它情况下VLAN接口的路由 属性配置为bridging
《VLAN基本知识》课件
随着网络技术的发展,VLAN的配置和管理将更加灵活,能够快 速地满足企业的网络需求。
更高的安全性
随着网络安全问题的日益突出,VLAN技术将进一步提高安全性, 防止未经授权的访问和数据泄露。
更好的扩展性
随着企业规模的扩大,VLAN技术将提供更好的扩展性,支持更多 的设备和用户。
VLAN技术面临的挑战
《VLAN基本知识》PT课 件
目录
• VLAN基本概念 • VLAN工作原理 • VLAN配置 • VLAN应用场景 • VLAN发展前景
01
VLAN基本概念
VLAN定义
VLAN定义
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网 内的设备逻辑地而不是物理地划分成一个个独立的网段,以实现虚拟工作组的 技术。
隔离和访问控制。
04
VLAN应用场景
企业网络中的应用
部门隔离
通过VLAN将不同部门划分到不同的VLAN中,实现部门之间的网 络隔离和数据安全。
提升网络性能
通过将相同职能的用户划分到同一VLAN,减少网络层数据包头信 息开销,提高网络性能。
简化管理
VLAN可以简化网络管理,提高网络故障排除的效率。
基于IP子网划分
根据主机的IP地址和子网掩码将主机划分到不同的VLAN中,适用 于大型网络环境。
VLAN数据传
独立传输
不同VLAN间数据传输相互独立,互不影响。
共享传输
相同VLAN间数据传输共享带宽,适用于小型网络环境。
路由传输
通过路由器或三层交换机实现不同VLAN间的数据传输,适用于 大型网络环境。
VLAN创建
确定需要创建的VLAN编号和名称,在 交换机上创建相应的VLAN。
更高的安全性
随着网络安全问题的日益突出,VLAN技术将进一步提高安全性, 防止未经授权的访问和数据泄露。
更好的扩展性
随着企业规模的扩大,VLAN技术将提供更好的扩展性,支持更多 的设备和用户。
VLAN技术面临的挑战
《VLAN基本知识》PT课 件
目录
• VLAN基本概念 • VLAN工作原理 • VLAN配置 • VLAN应用场景 • VLAN发展前景
01
VLAN基本概念
VLAN定义
VLAN定义
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网 内的设备逻辑地而不是物理地划分成一个个独立的网段,以实现虚拟工作组的 技术。
隔离和访问控制。
04
VLAN应用场景
企业网络中的应用
部门隔离
通过VLAN将不同部门划分到不同的VLAN中,实现部门之间的网 络隔离和数据安全。
提升网络性能
通过将相同职能的用户划分到同一VLAN,减少网络层数据包头信 息开销,提高网络性能。
简化管理
VLAN可以简化网络管理,提高网络故障排除的效率。
基于IP子网划分
根据主机的IP地址和子网掩码将主机划分到不同的VLAN中,适用 于大型网络环境。
VLAN数据传
独立传输
不同VLAN间数据传输相互独立,互不影响。
共享传输
相同VLAN间数据传输共享带宽,适用于小型网络环境。
路由传输
通过路由器或三层交换机实现不同VLAN间的数据传输,适用于 大型网络环境。
VLAN创建
确定需要创建的VLAN编号和名称,在 交换机上创建相应的VLAN。
VLAN培训
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
14
Egress rules
决定从哪个端口转发
以什么格式转发:tagged/untagged
GreenNET
2014-2-13
深圳市格林耐特通信技AN中的用户可相互通信不过 不同VLAN间的用户通过路由(公共 VLAN)可相互通信
例2实现注释: 当连接在Port 1的计算机要访问打印机的时候,计算机 传递给打印机的数据通过Port 1被交换机接收,数据帧 中不包含有效的VLAN设置,因此交换机把数据帧标记 为VLAN 1, VLAN 1的广播域同时包含了Port 4 ,所以该 数据帧完全可以被转发到Port 4并被打印机所接收;当 打印机有回送的响应时,打印机发送出来的帧通过Port 4进入交换机,同样因为帧不包含有效的802.1Q Tag header ,交换机将帧标记为VLAN 3 ,VLAN 3的广播域同 时包含了VLAN 1的所有端口,所以Port1的计算机也自 然能够收到来自打印机的回应。
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
12
VLAN是怎样工作的?
Ingress rules:入口规则
Forwarding process:转发过程
Egress rules:出口规则
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
13
Ingress rules
深圳市格林耐特通信技术有限公司
9
VLAN帧的分类
Untagged帧
Priority-tagged帧
VLAN-tagged帧
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
14
Egress rules
决定从哪个端口转发
以什么格式转发:tagged/untagged
GreenNET
2014-2-13
深圳市格林耐特通信技AN中的用户可相互通信不过 不同VLAN间的用户通过路由(公共 VLAN)可相互通信
例2实现注释: 当连接在Port 1的计算机要访问打印机的时候,计算机 传递给打印机的数据通过Port 1被交换机接收,数据帧 中不包含有效的VLAN设置,因此交换机把数据帧标记 为VLAN 1, VLAN 1的广播域同时包含了Port 4 ,所以该 数据帧完全可以被转发到Port 4并被打印机所接收;当 打印机有回送的响应时,打印机发送出来的帧通过Port 4进入交换机,同样因为帧不包含有效的802.1Q Tag header ,交换机将帧标记为VLAN 3 ,VLAN 3的广播域同 时包含了VLAN 1的所有端口,所以Port1的计算机也自 然能够收到来自打印机的回应。
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
12
VLAN是怎样工作的?
Ingress rules:入口规则
Forwarding process:转发过程
Egress rules:出口规则
GreenNET
2014-2-13
深圳市格林耐特通信技术有限公司
13
Ingress rules
深圳市格林耐特通信技术有限公司
9
VLAN帧的分类
Untagged帧
Priority-tagged帧
VLAN-tagged帧
GreenNET
交换机配置系列Vlan配置和管理专题培训课件
三层交换机设置
Interface fa 0/1 Switchport mode trunk No shutdown Interface fa 0/2 Switchport mode trunk No shutdown Vlan 10 Interface vlan 10 Ip address 192.168.1.1 255.255.255.0 No shutdown Vlan 20 Interface vlan 20 Ip address 192.168.2.1 255.255.255.0 No shutdown *主要工作是对vlan设置了IP地址,这两个ip地址其实就是两个
(2950默认封装模式,不需设置,但要求必须掌握) Switchport mode trunk No shutdown
验证过程
通过模拟器测试
通过三层交换机实现vlan间的通信
在设置了vlan后,只有同属一个vlan的计算机之间 才可以通信(同时要满足在一个ip地址段内),如 果希望不同的vlan间的计算机互相访问则必须通过 路由器或三层交换机来实现
20;13、16归入vlan 30 5、再次通过Ping命令测试发现,只有在一个vlan之内
的,同一网段的ip地址的主机才可以相互通信
补充: *interface range {端口类型} {端口范围} *思科交换机端口一般默认模式为access(访问类型),
所以设置可以省略 interface range fa 0/1 - 5 Switchport access Vlan 10 No shutdown
配置
在两台交换机做如下设置:
Vlan database Vlan 10 name aaa Vlan 20 name bbb Exit Config termianl Switchport range fa 0/2 – 12 Switchport access vlan 10 No shutdown Switchport range fa 0/13 – 24 Switchport access vlan 20 No shutdown Interface fa 0/1 Switchport trunk encapsulation
VLAN原理培训胶片
2路由虚接口 3路由虚接口 4路由虚接口
公司 公司 公司 公司 公司 公司 AB C AB C
企业网——虚拟工作组互通
Trunk
为了管理上的方便,以及分担 一定的互通流量,终结在不同 的三层交换机。间的互通需要 三层交换机之间的路由来实现, 在交换机上需要配置配置静态 路由或运行路由协议。
三层路由
VLAN3 2.1.1.2/24
3标签报文 2标签报文 非标签报文
交换和路由的集成
VLAN 100
VLAN 200
VLAN 100
VLAN 200
VLAN 300
VLAN 300
二层交换机上和路由器在功能上的集成构成了三层交换机,三层交 换机在功能上实现了的划分、内部的二层交换和间路由的功能。
三层交换机功能模型
802.1Q概述
架构 提供的服务 涉及的协议和算法
的帧格式
DA SA Type
Data
标准以太网帧
CRC
DA SA tag Type
Data CRC
TCI
TPID
Priority CFI VLAN ID
带有802.1Q标记的以太网帧
基于端口的
以太网交换机
1
2
7
10
主机A
主机B
主机C
主机D
表
端口
VLAN 200
VLAN 300
在隔离广播的同时也限制了各个之间的数据流,分属不同的用户不 能通过二层交换机实现通信。
与三层路由
VLAN 100
VLAN 200
VLAN 300
之间的用户要实现通信,需要使用三层路由,通过路由将报文从一个 转发到另外一个。
与三层路由
第13课时-VLAN
•创建vlan •修改vlan •删除vlan •发送/转发 •信息宣告 •同步 •存贮于NVRAM
Transparent
•转发信息宣告 •同步 •不会存贮于NVRAM
•创建vlan •修改vlan •删除vlan •转发信息宣告 •不同步 •存贮于NVRAM
互联神州网络技术培训 ——西南第一思科培训品牌 西南第一思科培训品牌
第三单元
交换技术 ---VLAN ---VLAN
互联神州网络技术培训 ——西南第一思科培训品牌 西南第一思科培训品牌
学习内容
第一讲、 第一讲、交换机原理及配置 第二讲、VLAN 第二讲、
互联神州网络技术培训 ——西南第一思科培训品牌 西南第一思科培训品牌
VLAN配置步骤、内容
互联神州网络技术培训 ——西南第一思科培训品牌 西南第一思科培训品牌
VLAN-配置 -
Catalyst 2950
wg_sw_2950#vlan database wg_sw_2950(vlan)#vtp [ server | client | transparent ] wg_sw_2950(vlan)#vtp domain domain-name wg_sw_2950(vlan)#vtp password password wg_sw_2950(vlan)#vtp pruning wg_sw_2950(vlan)#snmp-server enable traps vtp wg_sw_2950(vlan)#exit
互联神州网络技术培训 ——西南第一思科培训品牌 西南第一思科培训品牌
ISL封装
VLAN-原理 -
SA and DA MACs Type/Lengt h Field Data (max 1500 bytes) CRC
华为VLAN原理培训胶片
HUAWEI Confidential
Page 14
基于子网的VLAN
以太网交换机
VLAN表 VLAN表
IP网络
IP 1.1.1.0/24 IP 1.1.2.0/24 ……
所属VLAN
VLAN5 VLAN10 ……
主机A 主机A
1.1.1.5
主机B 主机B
1.1.2.88
主机C 主机C
1.1.1.8
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 16
VLAN的网络功能
二层交换 三层路由
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 17
Access Link和Trunk Link
Port2 …… Port7 …… Port10
主机A 主机A
主机B 主机B
主机C 主机C
主机D 主机D
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
基于MAC地址的VLAN
以太网交换机
VLAN表 VLAN表
MAC地址
MAC A MAC B MAC C MAC D
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 31
精确匹配算法
网络地址 10.111.1.88 10.111.1.99 10.119.6.199 路由接口 1 1 3 端口号 2 2 3 其他 ... ... ...
Port 1
【推选文档】中兴客户培训文档PTN交换原理+VLAN基本原理PPPT
VLAN所指的LAN:特指是由路由器分割的网络 Station A 发送一个帧(frame) 给 Station C
VLAN通过限制广播帧转发的范围分割了广播域。
——也就是广播域 Access ports用于终端设备和交换机相连
广播域( Broadcast Domain) 需要设置跨越多台交换机的VLAN时: Access Ports 了解Vlan的工作原理 Trunk port用于多个交换机二层互连
地址学习
MAC 地址表
A
E0
C
E2
B
E1
E3
D
Station D 发送一个帧(frame) 给 Station C 交换机从端口 E3 学习到 station D 的 MAC 地址 将该帧做 “洪泛(flooding)” 转发。
过滤
MAC 地址表
A
E0
C
E2
B
XE1
X
D
E3
Station A 发送一个帧(frame)给 station C
本章学习目标
通过本章的学习,你可以有以下收获: 了解交换机的工作原理和过程 了解Vlan的工作原理
了解Vlan的概念和作用 了解Vlan划分标准 了解交换机接口类型 了解协议
Vlan(Virtual LAN)虚拟局域网
局域网(LAN)可以是由少数几台家用计算机构 成的网络,也可以是数以百计的计算机构成的企
如何分割广播域?
路由器 vlan
Flooding (未划分Vlan)
任何广播帧都会被转发给除接收端口外的所有其 他端口(Flooding)
划分Vlan后
VLAN通过限制广播帧转发的范围分割了广播域。
VLAN跨多台交换机的链路
VLAN通过限制广播帧转发的范围分割了广播域。
——也就是广播域 Access ports用于终端设备和交换机相连
广播域( Broadcast Domain) 需要设置跨越多台交换机的VLAN时: Access Ports 了解Vlan的工作原理 Trunk port用于多个交换机二层互连
地址学习
MAC 地址表
A
E0
C
E2
B
E1
E3
D
Station D 发送一个帧(frame) 给 Station C 交换机从端口 E3 学习到 station D 的 MAC 地址 将该帧做 “洪泛(flooding)” 转发。
过滤
MAC 地址表
A
E0
C
E2
B
XE1
X
D
E3
Station A 发送一个帧(frame)给 station C
本章学习目标
通过本章的学习,你可以有以下收获: 了解交换机的工作原理和过程 了解Vlan的工作原理
了解Vlan的概念和作用 了解Vlan划分标准 了解交换机接口类型 了解协议
Vlan(Virtual LAN)虚拟局域网
局域网(LAN)可以是由少数几台家用计算机构 成的网络,也可以是数以百计的计算机构成的企
如何分割广播域?
路由器 vlan
Flooding (未划分Vlan)
任何广播帧都会被转发给除接收端口外的所有其 他端口(Flooding)
划分Vlan后
VLAN通过限制广播帧转发的范围分割了广播域。
VLAN跨多台交换机的链路
神州数码DCNE培训官方文档ppt5.vlan
Switch(ConfigSwitch(Config-ethernet0/0/1)# switchport trunk allowed vlan all //此trunk trunk端口允许所有vlan vlan的数据 // trunk vlan 通过
�
虚拟局域网(VLAN)
VLAN概述 什么是VLAN VLAN有什么作用
VLAN分割广播域
广播域
广播
VLAN 1
VLAN 2
广播域
VLAN的作用
广播控制 安全性 带宽利用 延迟
VLAN的种类 基于端口划分的静态VLAN 基于MAC地址划分的动态VLAN
基于端口划分的静态VLAN
主机C 主机C
主机D 主机D
Port 10
交换机上静态VLAN的配置 配置VLAN的步骤
创建VLAN 将端口加入到相应的VLAN中 验证
创建VLAN
Switch(Config)#vlan 2 //创建vlan2 //为vlan命名 //退出
Switch(Config-vlan)#name jiaoyan Switch(Config-vlan)#exit
VLAN 2
VLAN 2
VLAN 3 VLAN 3标识 标识
VLAN 3
VLAN封装协议 以太网上实现中继的封装类型
– IEEE 802.1Q
IEEE802.1Q的工作原理和帧格式3-1
接入链路
中继链路
802.1Q 标记 4字节
IEEE802.1Q的工作原理和帧格式3-2
DA
SA Type
Data
过
//将端口设置为TRUNK TRUNK模式,允许多个vlan vlan的数据通 // TRUNK vlan
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VLAN隔离广播域
VLAN的优势
虚拟局域网将一组位于不同物理网段上的用 户在逻辑上划分成一个局域网内,在功能和 操作上与传统LAN基本相同,可以提供一定 范围内终端系统的互联。VLAN与传统的 LAN相比,具有以下优势:
减少移动和改变的代价
即所说的动态管理网络,也就是当一个用户 从一个位置移动到另一个位置是,他的网络 属性不需要重新配置,而是动态的完成,这 种动态管理网络给网络管理者和使用者都带 来了极大的好处,一个用户,无论他到哪里, 他都能不做任何修改地接入网络,这种前景 是非常美好的。 当然,并不是所有的VLAN 定义方法都能做到这一点;
针对出数据. TAG模式时出数据会带TAG. UNTAG模式时出数据会去掉TAG.
TAG模式 往往用在链路存在多个VLAN数据 时使用.(trunk 模式) UNTAG往往用于与终端机链接.(access模 式)
PVID
Pvid (Port Vlan Identifier).每个端口可以 加入多个VLAN,但只能有一个PVID. PVID 是跟端口关联的VID,它的取值范围也是14094. 默认是1.当端口收到Untagged Frame或者Priority Frame时,就添加Tag, 并在其中的VID字段中封装PVID. 对于 Tagged Frame则没有任何影响.
强化实现原理
举例
PC1,PC2和服务器 在3个不同的VLAN,PC1 和PC2之间不能通信,PC1 和PC2都可以和服务器通 信. ……
Tag/untag 与pvid
TOP: DUT1(1/1)---(1/2)DUT2 1. 都加入 vlan 100 TAG 2. 都加入 vlan 100 Untagged 3. 1/1加入vlan 100 Tag , 1/2 untagged 4. 1/1 vlan 100,1/2 vlan 200
虚拟工作组
使用VLAN的最终目标就是建立虚拟工作组模型, 例如,在企业网中,同一个部门的就好像在同一个 LAN上一样,很容易的互相访问,交流信息,同时, 所有的广播包也都限制在该虚拟LAN上,而不影响 其他VLAN的人。一个人如果从一个办公地点换到 另外一个地点,而他仍然在该部门,那么,该用户 的配置无须改变;同时,如果一个人虽然办公地点 没有变,但他更换了部门,那么,只需网络管理员 更改一下该用户的配置即可。这个功能的目标就是 建立一个动态的组织环境,当然,这只是一个理想 的目标,要实现它,还需要一些其他方面的支持;
答疑时间
报告完毕
Thanks!
TAG字段说明
VLAN ID占12位,除去全0和全1的能创建 4094个VLAN. CRC值会在加入tag后重新计算,去处tag的 时候也会再计算. 而采用ISL(cisco)封装的话,是直接加上一 个26字节的包头,再加上一个CRC.去除的时 候不用重新计算.
包分析
TAG与UNTAG
VLAN在IEEE 802.1Q中定义.通过在数据 帧上加入一个tag标签(4字节)来实现的.这 四个字节的802.1Q标签头包含了2个字节 的标签协议标识(TPID)和2个字节的标签 控制信息(TCI)。
DA
SA
tag
Type
Data TCI
CRC
TPID
Priority CFI VLAN ID
提高网络性能
有效地解决了广播风暴带来的性能下降问题。 一个VLAN形成一个小的广播域,同一个 VLAN成员都在由所属VLAN确定的广播域 内,那么,当一个数据包没有路由时,交换 机只会将此数据包发送到所有属于该VLAN 的其他端口,而不是所有的交换机的端口, 这样,就将数据包限制到了一个VLAN内。 在一定程度上可以节省带宽;
VLAN 培训
张杰
概要
交换工作原理 VLAN技术产生背景. VLAN技术的特点. VLAN技术的实现. VLAN技术的应用. VLAN的数据转发.
要现的? VLAN是怎么转发数据的? VLAN是怎么维护转发表的?
TAG字段说明
TPID : Tag Protocol Identifier. 表明这 个帧是802.1Q规定的Tagged Frame. 它 的值取决于MAC层.对于以太网来说,TPID 由2个字节组成., TPID=8100. Priority由3位组成,可以表示8个级别,用来 封装User Prioriy. 供QoS使用. CFI 占1位,为0表示规范格式,为1表示非规 范格式.
共享式
网桥
交换机
路由器
VLAN产生背景
路由器隔离
VLAN的出现
VLAN的出现
什么是VLAN
虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络 用户按照一定的原则进行划分,把一个物理 上实际的网络划分成多个小的逻辑的网络。 这些小的逻辑的网络形成各自的广播域,也 就是虚拟局域网VLAN。图中几个部门都使 用一个中心交换机,但是各个部门属于不同 的VLAN,形成各自的广播域,广播报文不 能跨越这些广播域传送。
减少设备投资
VLAN技术可被用来创建逻辑的广播域,因 而可以减少用于购买昂贵的路由器等广播域 隔离设备的投资。
VLAN的划分方法
基于端口划分 基于MAC地址划分 基于网络层划分 基于IP组播划分 基于策略划分 基于用户定义、非用户授权划分
强化VLAN概念
VLAN的实现
冲突域是基于第一层(物理层)
广播域
广播域(Broadcast Domain)是一个逻辑上的计算 机组,该组内的所有计算机都会收到同样的广播信 息。 广播域是基于第二层(数据链路层) 广播域就是说如果站点发出一个广播信号后能接收 到这个信号的范围。通常来说一个局域网就是一个 广播域。 HUB 所有端口都在同一个广播域,冲突域内。 Switch所有端口都在同一个广播域内,而每一个端 口就是一个冲突域。 Router的每个端口属于不同的广播域。
提高网络安全
在传统的局域网中,不时的会有些第三数据 被有意或无意地广播到网络上,从而有可能 造成信息泄密。在这种情况下,确定谁可以 访问到这些数据就得很重要。使用VLAN技 术可以将敏感数据的传播限制在安全范围内, 只允许已定义的VLAN成员访问相关数据。 VLAN还可被用来设立防火墙、限制数据访 问以及将网络入侵事件通知到网络管理者等, 这些都可以提高网络的安全系数。
交换基础知识
MAC转发表
共享式MAC表. 交换机转发过程.
冲突域
在以太网中,如果某个CSMA/CD网络上的两台计 算机在同时通信时会发生冲突,那么这个 CSMA/CD网络就是一个冲突域。如果以太网中的 各个网段以中继器连接,因为不能避免冲突,所以 它们仍然是一个冲突域。 使用交换机可有效避免冲突。而集线器则不行!因 为交换机可以利用物理地址进行选路,它的每一个 端口为一个冲突域。而集线器不具有选路功能,只 是将接受到的数据以广播的形式发出,极其容易产 生广播风暴。它的所有端口为一个冲突域。
收包
接收过程: 可以接收带标签头的,也可以是不带标签头 的.如果不带,交换机会根据端口所配置的 PVID,来添加响应的标签头. 学习SMAC
查询
查询/转发过程: 根据收到数据的DMAC和VLAN标识,查找过 滤数据库中的注册信息,以决定从哪个端口 发出.
转发
发送过程: 如果过滤表中没有相关表项,则在VLAN内广 播该数据. 根据端口属性(tagged/untagged),来界定 是否拿掉标签头
配合实际举例
VLAN内转发
VLAN内转发
演示-VLAN内
Mac学习,Mac表,SMB发包
VLAN间转发
演示-VLAN间
直连.路由转发.
小结
交换的工作原理. VLAN的作用. VLAN TAG的作用. Tagged,Untagged和Pvid. VLAN数据转发.