交换与路由器配置与管理 第3章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交换机/ 交换机/路由器配置与管理
利用汇聚链路实现各VLAN内主机跨交换机的通讯 在引入VLAN后,交换机的端口按用途就分为了访问连接 端口(Access Link)和汇聚连接(Trunk Link)端口两种。 访问连接端口通常用于连接客户PC机,以提供网络接入服务。 该种端口只属于某一个VLAN,并且仅向该VLAN发送或接 收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连 接端口属于所有VLAN共有,承载所有VLAN在交换机间的 通讯流量。
VLAN内的主机彼此间应可以自由通讯,当VLAN成员分 布在多台交换机的端口上时,如何才能实现彼此间的通讯 呢? 解决的办法就是在交换机上各拿出一个端口,用于将两 台交换机级联起来,专门用于提供该VLAN内的主机跨交换 机相互通讯。有多少个VLAN,就对应地需要占用多少个端 口,用来提供VLAN内主机的跨交换机相互通讯,如下图所 示。
交换机/ 交换机/路由器配置与管理
3.2 静态 静态VLAN与动态 与动态VLAN 与动态
VLAN创建后,接下来就可指定端口所属的VLAN,默认情 况下,交换机的所有端口均属于VLAN1,VLAN1是交换机默 认创建和管理的VLAN。 1.静态VLAN 静态VLAN就是明确指定各端口所属VLAN的设定方法,通 常也称为基于端口的VLAN,其特点是将交换机按端口进行 分组,每一组定义为一个VLAN,属于同一个VLAN的端口, 可来自一台交换机,也可来自多台交换机,即可以跨越多 台交换机设置VLAN。基于端口的VLAN划分如下图所示。
交换机/ 交换机/路由器配置与管理
静态指定各端口所属的VLAN,需要一个端口一个端口地进行 设置,当要设定的端口数目较多时,工作量会比较大,通常适合 于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用 的一种VLAN端口划分方式。 2.动态VLAN 动态VLAN是根据每个端口所连的计算机,动态设置端口所属 VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基 于子网的VLAN和基于用户的VLAN。 基于MAC地址的VLAN,就是根据端口所连计算机的网卡MAC地 址,来决定该端口所属的VLAN。在这种方式下,端口所属的 VLAN,不是事先固定的,而是由所连计算机的MAC地址来决定的。 比如,若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属 于VLAN2,则该台计算机无论接到交换机的哪个端口,其所连端 口就会被自动划归为VLAN2。 基于子网的VLAN,是根据端口所连计算机的IP地址,来决定 端口所属的VLAN。 基于用户的VLAN,是根据端口所连计算机的当前登录用户, 来决定该端口所属的LAN。
从中可见,通过在局域网中划分VLAN,可起到 以下方面的作用: 控制网络的广播,增加广播域的数量,减小广播 域的大小。 便于对网络进行管理和控制。VLAN是对端口的 逻辑分组,不受任何物理连接的限制,同一VLAN 中的用户,可以连接在不同的交换机,并且可以 位于不同的物理位置,增加了网络连接、组网和 管理的灵活性。
交换机/ 交换机/路由器配置与管理
增加网络的安全性。由于默认情况下,VLAN间是相互 隔离的,不能直接通讯,对于保密性要求较高的部门,比 如 财 务 处 , 可 将 其 划 分 在 一 个 VLAN 中 , 这 样 , 其 他 VLAN中的用户,将不能访问该VLAN中的主机,从而起 到了隔离作用,并提高了VLAN中用户的安全性。VLAN 间的通讯,可通过应用VLAN的访问控制列表,来实现 VLAN间的安全通讯。
交换机/ 交换机/路由器配置与管理
3.4 VLAN间主机的通讯 间主机的通讯 同一个VLAN属于同一个广播域,主机彼此间可相互自 由通讯。不同VLAN的主机若要相互通讯,则必须为VLAN 指定路由,这可通过三层交换机的路由交换模块或借助外 部的路由器来实现。 对于没有路由功能的二层交换机,若要实现VLAN间的 相互通信,就要借助外部的路由器来为VLAN指定默认路 由,此时路由器的快速以太网接口与交换机的快速以太网 端口,应以汇聚链路的方式相连,并在路由器的快速以太 网接口上,为每一个VLAN创建一个对应的虚拟子接口, 并设置虚拟子接口的IP地址,该IP地址以后就成为该VLAN 的默认网关(路由)。由于这些虚拟子接口是直接连接在 路由器上的,设置IP地址后,路由器会自动在路由表中, 为各VLAN添加路由,从而实现VLAN间的路由转发,如下 图所示。
交换机路由器配置与管理
第3章 虚拟局域网及其配置
交换机/ 交换机/路由器配置与管理
3.1 虚拟局域网简介
虚拟局域网(Virtual Local Area Network)通常简称为 VLAN。它是将局域网从逻辑上划分为一个个的网段,从 而实现虚拟工作组的一种交换技术。 使用集线器或交换机所构成的一个物理局域网,整个网 络属于同一个广播域。网桥、集线器和交换机设备都会转 发广播帧,因此任何一个广播帧或多播帧(Multicast Frame)都将被广播到整个局域网中的每一台主机。在网 络通讯中,广播信息是普遍存在的 ,这些广播帧将占用大 量的网络带宽,导致网络速度和通讯效率的下降,并额外 增加了网络主机为处理广播信息所产生的负荷。 目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的 广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用 完网络的带宽,导致网络的阻塞和瘫痪。
交换机/ 交换机/路由器配置与管理
若要实现VLAN间的通讯,就必须为VLAN设置路由,这可 使用路由器 或三层交换 机来实现。 二层交换机 可以划分 VLAN,若没有路由器,则无法实现VLAN间的通讯,由于 三层交换机具备路由功能,在实际应用中,通常在三层交换 机中来划分VLAN,以支持VLAN间的相互通讯。
交换机/ 交换机/路由器配置与管理
IEEE802.1Q协议对数据帧的打标封装
交换机/ 交换机/路由器配置与管理
ISL是Inter Switch Link的缩写,是Cisco系列交换机支持 的 一 种 与 IEEE802.1Q 类 似 的 , 用 于 在 汇 聚 链 路 上 附 加 VLAN信息的协议,可用于以太网和令牌环网。 ISL对数据帧进行打标封装时,采取在数据帧的头部附 加26字节的ISL包头(ISL Header),并且在数据帧的尾部 带上对包括ISL包头在内的整个数据帧进行计算后得到的4 字节的CRC值,即ISL协议保留数据帧原来的CRC,然后 再附加上一个新的CRC,即封装时总共增加了30个字节的 信息。当数据帧离开汇聚链路时,ISL只需简单地去除ISL 包头和新CRC就可以了,由于数据帧原来的CRC被完整保 留,因此无需重新计算。大多数Cisco设备都支持ISL。 ISL与IEEE802.1Q协议互不兼容,ISL是Cisco独有的协 议,只能用于Cisco网络设备之间的互联。
VLAN内的主机在交换机间的通讯
交换机/ 交换机/路由器配置与管理
这种方法虽然解决了VLAN内主机间的跨交换机通讯,但 每增加一个VLAN,就需要在交换机间添加一条互联链路, 并且还要额外占用交换机端口,这对保贵的交换机端口而 言,是一种严重的浪费,而且扩展性和管理效率都很差。 为了避免这种低效率的连接方式和对交换机端口的大量占 用,人们想办法让交换机间的互联链路汇集到一条链路上, 让该链路允许各个VLAN的通讯流经过,这样就可解决对 VLAN 交换机端口的额外占用,这条用于实现各 用于实现各VLAN在交换机 用于实现各 在交换机 间通讯的链路,称为交换机的汇聚链路或主干链路 (Trunk Link),如下图所示。 ) 用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路 承载了所有VLAN的通讯流量,因此要求只有通讯速度在 100Mbps或以上的端口,才能作为汇聚端口使用。
交换机/ 交换机/路由器配置与管理
二层交换机借助外部路由器实现VLAN间通讯
交换机/ 交换机/路由器配置与管理
VLAN间的主机通讯,遵循以下通讯过程: 源主机→交换机→路由器→交换机→ 源主机→交换机→路由器→交换机→目的主机
交换机使用ASIC(Application Specified Integrated Circuit)专用硬件芯片来处理数据帧的交换,从而可以实 现以线缆速度(Wired Speed)来交换数据。 三层交换机是带有路由功能的交换机,其路由模块与交 换模块共同使用ASIC硬件芯片,可实现高速度的路由, 并且在对第一个数据帧进行路由后,将会产生一个MAC 地址与IP地址的映射表,当同样的数据帧再次通过时,交 换机会直接从二层转发,而不用再路由,从而消除了路由 器进行路由选择而造成网络的延迟,提高了数据包转发的 效率。另一方面,交换机的路由模块与交换模块是在交换 机内部直接汇聚连接的,可以提供相当高的带宽,因此, 使用三层交换机来配置VLAN和提供VLAN间的通讯,比 使用二层交换机和路由器更好,配置和使用也更方便。
交换机/ 交换机/路由器配置与管理
路由器具有路由转发、防火墙和隔离广播的作用,路由 器不会转发广播帧,因此,要实现对网络的分段和广播域 的隔离,应使用路由器来实现。 可以使用路由器上的以太网接口为单位来划分网段,从 而实现对广播域的分割和隔离。路由器所能划分出的网段, 取决于路由器上以太网接口的数目,但通常情况下,路由 器所带的以太网接口数量很少,一般为1~4个,远远不能 满足对网络分段的需要,而交换机则配备有较多的以太网 端口,为了实现利用交换机端口来对网络进行分段隔离, 从而诞生了VLAN交换技术。 一个VLAN就是一个网段,通过在交换机上划分VLAN, 可将一个大的局域网划分成若干个网段,每个网段内所有 主机间的通讯和广播仅限于该VLAN内,广播帧不会被转 发到其他网段,即一个VLAN就是一个广播域,VLAN间 是不能进行直接通信的,从而就实现了对广播域的分割和 隔离。
交换机/ 交换机/路由器配置与管理
3.3 VLAN的汇聚链接与封装协议 的汇聚链接与封装协议 在实际应用中,通常需要跨越多台交换机的多个端口划分 VLAN,比如,同一个部门的员工,可能会分布在不同的建 筑物或不同的楼层中,此时的VLAN,就将跨越多台交换机 。
跨越多台交换机的VLAN
源自文库
交换机/ 交换机/路由器配置与管理
交换机/ 交换机/路由器配置与管理
由于汇聚链路承载了所有VLAN的通讯流量,为了标识 各数据帧属于哪一个VLAN,为此,需要对流经汇聚链接 的数据帧进行打标(tag)封装,以附加上VLAN信息,这 样交换机就可通过VLAN标识,将数据帧转发到对应的 VLAN中。 目前交换机支持的打标封装协议有IEEE802.1Q和ISL。 其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识 别信息的协议,属于国际标准协议,适用于各个厂商生产 的交换机,该协议通常也简称为dot1q。 IEEE802.1Q所附加的VLAN识别信息,位于数据帧中 “发送源MAC地址”和“类别域(Type Field)”之间, 所添加的内容为2字节的TPID和2字节的TCI,共计4个字节, 其对数帧的封装过程如下图所示。
交换机/ 交换机/路由器配置与管理
3.5 VLAN的配置方法 的配置方法
在进行VLAN配置时,首先应根据应用需求,规划设计好 网络拓扑结构,并进行VLAN划分和IP地址分配规划,最后 才开始着手VLAN的配置和调试。 3.5.1 创建VTP管理域 1.VTP简介 VTP是VLAN Trunking Protocol的缩写,称为VLAN链 路聚集协议,它是一个在建立了汇聚链路的交换机之间 同步和传递VLAN配置信息的协议,以在同一个VTP域中 维持VLAN配置的一致性。在同一个VTP域中的交换机, 可通过VTP协议来互相学习VTP信息。VTP协议对于运行 ISL或IEEE802.1Q封装协议的汇聚链路也都适用。 在创建VLAN之前,应先定义VTP管理域,VTP消息能 在同一个VTP管理域内,同步和传递VLAN配置信息。另 外,利用VTP协议,还能实现从汇聚链路中,裁剪掉不 需要的VLAN流量。