《虚拟局域网VLAN技术.ppt》由会员分享,可在线阅读,更多相关《虚拟局域网VLAN技术.ppt(32页珍藏版)》请在优知文库上搜索。
1、1第第3章、虚拟局域网章、虚拟局域网VLAN3.2 3.2 VLAN划分和配置划分和配置3.3 3.3 VLAN成员信息交换成员信息交换 3.1 3.1 VLAN概述概述 3.4 3.4 VLAN间路由通信间路由通信2第第3章:重点与难点章:重点与难点重点理解和掌握:重点理解和掌握:1 1、VLANVLAN概念和概念和VLANVLAN完成的主要功能完成的主要功能2 2、大型、大型VLANVLAN中的中的VLANVLAN信息标识信息标识IEEE802.1Q标准标准3 3、划分和配置、划分和配置VLANVLAN的常用方法的常用方法4 4、VLANVLAN间的通信处理间的通信处理主要了解:主要了解:
2、1 1、以太交换、以太交换VLANVLAN技术的关键问题技术的关键问题2 2、VLANVLAN隔离广播域的特点隔离广播域的特点3 3、VLANVLAN的标准化进程。的标准化进程。4 4、基于服务的、基于服务的VLANVLAN发展发展33.1 3.1 VLAN概述概述 3.1.1 VLAN发展背景发展背景以太网交换机速度比路由器快的多,且价格便宜。但以太网交换机速度比路由器快的多,且价格便宜。但当某主机在网上发送广播时,或发送了一个交换机不当某主机在网上发送广播时,或发送了一个交换机不认识的认识的MACMAC地址帧时,交换机上的所有节点都将收到地址帧时,交换机上的所有节点都将收到这一广播信息。整
3、个交换环境构成一个大的广播域。这一广播信息。整个交换环境构成一个大的广播域。业界人士用一个业界人士用一个Flat NetworkFlat Network来形容这种环境:多个来形容这种环境:多个交换机互连形成一个大的局域网,不能有效划分子网;交换机互连形成一个大的局域网,不能有效划分子网;在第二层能快速、有效的交换,但广播风暴使网络效在第二层能快速、有效的交换,但广播风暴使网络效率大打折扣。率大打折扣。二层交换弱点:对广播风暴无能为力;不能有效解决二层交换弱点:对广播风暴无能为力;不能有效解决异种网络互连;存在安全性控制等问题。异种网络互连;存在安全性控制等问题。怎样区分碰撞域、共享域和广播域?
4、怎样区分碰撞域、共享域和广播域?43.1.2 VLAN基本概念基本概念什么是什么是VLANVLAN(虚拟局域网):(虚拟局域网):VLANVLAN是以太网上一组是以太网上一组PC/PC/服务器的集合,它们可能不在同一个物理网段中,服务器的集合,它们可能不在同一个物理网段中,也可以不受地理位置的限制,但能够象在也可以不受地理位置的限制,但能够象在LANLAN中一样中一样进行通信与信息交互。进行通信与信息交互。VLANVLAN实际没有统一严格的定义。实际没有统一严格的定义。VLANVLAN技术早期提出:技术早期提出:一种隔离数据广播的方法,将以太交换广播局限一一种隔离数据广播的方法,将以太交换广播
5、局限一定范围内;但目前定范围内;但目前VLANVLAN发展使其成为接近交换网络发展使其成为接近交换网络VPNVPN的技术,是以太交换网向城域网、广域网发展的的技术,是以太交换网向城域网、广域网发展的重要技术。重要技术。什么是什么是VPN? VPN? 主要功能和作用主要功能和作用? ?5一个一个VLANVLAN组划分的例子:组划分的例子:局域网局域网VLANVLAN区域网区域网VLANVLAN63.1.3 VLAN的功能的功能结构化布线和结构化布线和VLANVLAN技术结合,可以形成统一预布线、技术结合,可以形成统一预布线、信息点、网络规划,和用户组和应用的灵活再组合,信息点、网络规划,和用户组
6、和应用的灵活再组合,实现统一网络环境下的独立用户群,智能楼宇网络设实现统一网络环境下的独立用户群,智能楼宇网络设计。计。1、实现虚拟工作组实现虚拟工作组不考虑地理位置的响应,对同一组织(部门、工作协作不考虑地理位置的响应,对同一组织(部门、工作协作体)建立体)建立虚拟工作组,虚拟工作组,就象在一个传统就象在一个传统LANLAN中工作,实中工作,实现流量的现流量的8/28/2控制,本地资源访问和有效的工作管理。控制,本地资源访问和有效的工作管理。可以可以按按用户分组、应用分组、安全性分组、移动分组、用户分组、应用分组、安全性分组、移动分组、管理分组。管理分组。72、控制数据广播控制数据广播数据广
7、播的存在是正常现象,与网络资源的使用、应用数据广播的存在是正常现象,与网络资源的使用、应用的类型有关,广播数据会通过的类型有关,广播数据会通过骨干链路骨干链路到达各个交换端到达各个交换端口;当以太交换网大型化使用后,广播数据将大大浪费口;当以太交换网大型化使用后,广播数据将大大浪费网络资源、降低网络性能或导致网络崩溃。传统控制数网络资源、降低网络性能或导致网络崩溃。传统控制数据广播方法使用路由器或防火墙。通过据广播方法使用路由器或防火墙。通过VLANVLAN分割广播域、分割广播域、适量处理适量处理VLANVLAN间通信是目前控制广播数据的有效方法。间通信是目前控制广播数据的有效方法。3、增强网
8、络安全性增强网络安全性对共享型以太交换网,控制数据广播域规模和用户数,对共享型以太交换网,控制数据广播域规模和用户数,可减小安全风险,起到防火墙的作用;实际可减小安全风险,起到防火墙的作用;实际VLANVLAN通常还通常还可以根据用户、资源的重要性进行设置,使受限应用、可以根据用户、资源的重要性进行设置,使受限应用、资源得到保护。资源得到保护。81 1、需要能将、需要能将PC/PC/服务器进行逻辑分段的高性能交换机。服务器进行逻辑分段的高性能交换机。4 4、已有、已有LANLAN系统的兼容和互操作。系统的兼容和互操作。3.1.4 VLAN技术需要解决的问题技术需要解决的问题2 2、在主干网和多
9、交换机间传输、在主干网和多交换机间传输VLANVLAN信息的协议。信息的协议。3 3、VLANVLAN间通信的间通信的L3L3路由方案。路由方案。5 5、集中管理、控制和配置功能的网管方案。、集中管理、控制和配置功能的网管方案。93.1.5 建立建立VLAN的交换方式的交换方式3 3、信元交换:、信元交换:ATMATM仿真仿真LANLAN中使用的方式,利用中使用的方式,利用ATMATM信元作为交换的基础。信元作为交换的基础。VLANVLAN中使用的交换技术,通常包含端口交换、帧交换中使用的交换技术,通常包含端口交换、帧交换和信元交换三种。和信元交换三种。2 2、帧交换:、帧交换: VLAN中端
10、口采用帧转发的方法,即中端口采用帧转发的方法,即VLAN交换和以太网交换机交换方式一样,只是交换交换和以太网交换机交换方式一样,只是交换域变小了,也是目前域变小了,也是目前最主流最主流VLAN交换方式交换方式,将依端,将依端口定义口定义VLAN和帧交换方式结合,则更具灵活性。和帧交换方式结合,则更具灵活性。1、端口交换、端口交换VLANVLAN :早期在交换机上根据端口划分为:早期在交换机上根据端口划分为几个相互独立的几个相互独立的VLAN,每个,每个VLAN中端口是中端口是共享媒共享媒体段体段(如以太网段)。这种方式特点:小规模灵活(如以太网段)。这种方式特点:小规模灵活,但端口共享媒体使,
11、但端口共享媒体使VLAN带宽受限制。带宽受限制。10VLAN划分方法:如何把一批局域网的站点(划分方法:如何把一批局域网的站点(PC/服服务器)划到一个务器)划到一个VLAN中呢?目前划分方法主要有:中呢?目前划分方法主要有:3.2 3.2 VLAN划分和配置划分和配置1、交换端口号、交换端口号2、MAC地址地址3、第三层协议、第三层协议4、使用、使用IP组播组播5、基于策略、基于策略3.2.1 3.2.1 VLAN划分划分11将交换机的端口号进行分组划分将交换机的端口号进行分组划分VLAN,如交换设备上,如交换设备上端口(端口(1、2、5、7)为)为VLAN1 , (3、4、6、8)为)为V
12、LAN2,是目前网络中最常用划分方法。,是目前网络中最常用划分方法。1 1、基于、基于交换端口号(交换端口号(静态端口分配静态端口分配 )基于基于交换端口号交换端口号VLAN配置,实际就是将指定交换机端配置,实际就是将指定交换机端口和固定口和固定VLAN对应,一般的端口只能划分在一个对应,一般的端口只能划分在一个VLAN中,目前端口号划分中,目前端口号划分VLAN可以跨越多个交换机,此时可以跨越多个交换机,此时主干端口实际和多个主干端口实际和多个VLAN交互(或主干端口可自动传交互(或主干端口可自动传递不同递不同VLAN信息)。信息)。基于基于端口号静态划分的端口号静态划分的VLAN (实际端
13、口可和(实际端口可和MAC地址地址绑定)绑定) ,管理较为严格和比较安全,但用户移动将需要,管理较为严格和比较安全,但用户移动将需要重新配置。重新配置。12VLAN1VLAN1VLAN2VLAN2VLAN2VLAN2VLAN1VLAN1VLAN1VLAN1、VLAN2VLAN2静态端口划分的静态端口划分的VLAN示意示意怎样穿越?怎样识怎样穿越?怎样识别是同一别是同一VLANVLAN?13按照用户终端网卡的按照用户终端网卡的MAC地址,指定一批地址,指定一批MAC地址地址划分在一个划分在一个VLAN组,一种基于用户的划分方式。组,一种基于用户的划分方式。2 2、基于、基于MAC地址地址(动态端
14、口分配(动态端口分配 )特点:一个特点:一个MAC地址可划分在多个地址可划分在多个VLAN中,可让中,可让一个用户同时划分在多个一个用户同时划分在多个VLAN中,共享服务器和中,共享服务器和属于多工作组用户有这种需求。属于多工作组用户有这种需求。在大型网络,预先根据在大型网络,预先根据MAC地址配置所有地址配置所有VLAN,在手工初始配置和变更维护时比较困难,必须借助在手工初始配置和变更维护时比较困难,必须借助智能网络管理软件;智能网络管理软件;14当某个站点接入交换机时,交换机通过智能网络管理当某个站点接入交换机时,交换机通过智能网络管理软件对其软件对其MAC地址在地址在VLAN管理数据库中
15、检索,确定管理数据库中检索,确定MAC地址的地址的VLAN所属,并根据所属,并根据MAC地址动态完成端地址动态完成端口和口和VLAN配置,所以具有配置,所以具有移动性移动性,但,但VLAN管理软件管理软件必须精确建立和维护必须精确建立和维护VLAN管理数据库,建立整网管理数据库,建立整网VLAN的集中配置。的集中配置。VLAN1VLAN1VLAN2VLAN2VLAN2VLAN2VLAN1VLAN1VLAN1VLAN1、VLAN2VLAN2LANVLANVLAN配置服务器配置服务器基于基于MACMAC地址的动态端口配置地址的动态端口配置VLANVLAN管理数据库设置在哪里?管理数据库设置在哪里?
16、15一个端口或一个端口或一个一个MACMAC可以根据需要划分到多个可以根据需要划分到多个VLAN中去中去(如骨干上连端口、共享服务器端口),(如骨干上连端口、共享服务器端口),安全性和交换安全性和交换性能性能下降。下降。应谨慎处理。应谨慎处理。VLAN1VLAN1VLAN2VLAN2VLAN2VLAN2VLAN1VLAN1VLAN1VLAN1VLAN2VLAN2为了维护为了维护VLAN安全完整性,共享服务器通常设置在核安全完整性,共享服务器通常设置在核心交换机的心交换机的VLAN共享端口上。共享端口上。16交换机根据网络层使用的协议类型(如交换机根据网络层使用的协议类型(如TCP/IP,IPX、APPLE TALK等)或网络层地址(如等)或网络层地址(如IP地址)进行地址)进行VLAN划分。此时,划分。此时,VLAN的子网地址实际要和的子网地址实际要和MAC地地址联系交换。特点:可移动性,但根据报文的第址联系交换。特点:可移动性,但根据报文的第3层地层地址(如址(如IP地址)进行配置,会导致速度慢,容易篡改。地址)进行配置,会导致速度慢,容易篡改。用用IP组播地址区分组播地址区分VLA