任务4控制交换网中的广播流量

交换机的配置与管理任务4控制交换网中的广播流量学习目标不同业务部门网络的隔离跨交换机的相同业务网络的连通使用三层交换机实现VLAN之间互访学习完本任务，应该能够掌握：不同业务部门网络的隔离多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？不同部门使用不同网段地址不同部门使用相同网段地址，设置VLAN任务描述任务分析多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法一不同部门使用不同网段地址使用PT模拟器演示任务分析多个部门的计算机接在一个交换机上，如何实现相同部门的计算机可通信而不同部门之间不可以访问？方法二：不同部门使用相同网段地址，但设置不同VLAN使用PT模拟器演示4.1.1VLAN概述广播帧指目的MAC地址是FFFF.FFFF.FFFF的数据帧，其目的是要让本地网络中的所有设备都收到，如ARP请求包。二层交换机3二层交换机1二层交换机2PCAPCBPCCPCD广播帧二层交换机工作在数据链路层的设备，端口收到数据帧后根据目的MAC地址进行转发。因此，把广播帧从源端口之外的所有端口转发出去，所以二层交换机不能隔离广播域。设备发出的广播帧在广播域中传播，占用网络带宽，降低设备性能。二层交换机2二层交换机1三层交换机或路由器PCAPCBPCCPCD广播帧1广播帧2三层交换机或路由器工作在网络层的设备，端口收到数据帧后，对帧进行解封装，取出其中的IP数据包，然后根据IP数据包中的IP地址进行路由。因此，三层交换机或路由器不会转发广播帧，广播在三层端口被隔离。在网络中使用三层交换机或路由器，可以减小广播域，减少网络带宽浪费。4.1.1VLAN概述二层交换机PCAPCBPCCPCD广播帧二层交换机使用VLAN隔离广播，减小广播域范围。每个VLAN就是一个广播域，不同VLAN间不能直接互通，只能通过路由。VLAN10VLAN204.1.1VLAN概述4.1.1VLAN概述VLAN是virtuallocalareanetwork(虚拟局域网)的缩写。VLAN主要为了解决交换机在进行局域网互连时无法限制广播的问题。VLAN是一种将物理局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。每个VLAN就是一个广播域。每个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。每个VLAN内的主机间可通信，而不同VLAN间的主机则不可以直接互通。VLAN基本概念一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。只有处于同一个vlan之间的端口才能相互转发报文，能将网络划分为多个广播域，从而可以有效地防止网络广播风暴。4.1.2VLAN产生的原因及优点VLAN产生的原因：基于网络性能的考虑基于安全因素的考虑基于组织结构的考虑基于网络成本的考虑参看教材自学本节内容VLAN优点：有效控制广播域范围广播域被限制在一个VLAN内，广播流量仅在VLAN中传播，节省了带宽，提高了网络处理能力增强局域网的安全性不同VLAN不能直接通信，杜绝了广播信息的不安全性端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的灵活构建虚拟工作组同一VLAN的用户不必局限于某一固定的物理范围更改用户所属的VLAN网络不必换端口和连线，只需更改软件配置4.1.2VLAN产生的原因及优点在VLAN中，由于数据帧只能被发往同一VLAN内的成员，在实际应用中需要解决两个问题：交换机如何区分不同VLAN？交换机间如何交换相同VLAN的信息？4.1.3VLAN标准IEEE802.1Q标准帧标记法–不支持VLAN的设备会把这种帧当成无效帧而丢弃–各个厂商之间的兼容性问题每台交换机上可以连接主机的接口数量随着VLAN数量的增加会大大减少标记法（补充）交换机内部数据1数据2数据1数据2VLAN1VLAN2数据1数据2•VLAN标签•可用showmac-address-table命令查看VLAN标签交换机内部数据1VLAN101不考虑VLAN时，以太网交换机根据MAC地址表来转发数据帧，如果是广播帧，则从源端口外的所有端口转发出去。在VLAN技术中，通过给以太网帧附加一个标签(Tag)来标识该帧能够在哪个VLAN中传播。交换机在转发数据帧时，不仅要查找MAC地址表来决定转发到哪个端口，还要检查端口上的VLAN标签是否匹配。IEEE在802.1Q中定义了在以太网帧中所附加标签的格式。数据1带有VLAN101标签的以太网数据帧1VLAN102IEEE802.1Q•802.1Q定义了两种数据帧：2BTPID：是固定的数值0X8100，表示该数据帧承载了802.1q的tag信息思考：1、交换机如何确定给流进的数据帧打上何种标签？？2、交换机如何确定把带标签的数据帧转发给哪个端口？？PVID2B2B3b1b12b2BTCI：3b用户优先级；1b规范格式指示符，0表示规范；12b的VIDVLAN标识符。（因为212=4096）VIDVID&PVIDVID(VLANID)：表示端口从交换机内部能够接受哪些VLAN的数据，是VLAN属性。PVID(PortVLANID)：表示端口能够将从外部接收的数据发向哪个VLAN，也可以说表示当端口收到一个未标记的帧时，则把该帧转发到VID和本端口PVID相等的VLAN中去，是端口属性。VID&PVID交换机端口默认VLAN是VLAN1，所有端口的VID和PVID都是1。划分VLAN后，每个VLAN都有一个VLANID，该值就是VLAN号(1-4096)。如果一个端口只属于一个Vlan时，端口的PVID和VID相同。如果一个端口属于多个Vlan时，端口就有几个VID，但只能有一个PVID，并且PVID号应该是这些VID号中的一个，默认为1，除非用命令修改。VID&PVID234PVID值VID值AABBCCVID(VLANID)：表示端口从交换机内部能够接受哪些VLAN的数据，是VLAN属性。PVID(PortVLANID)：表示端口能够将从外部接收的数据发向哪个VLAN，是端口属性。51VLAN20VLAN10VLAN40VLAN30VLAN30单交换机VLAN标签操作交换机内部数据1数据2101102数据1数据2带有VLAN101标签的以太网数据帧1带有VLAN102标签的以太网数据帧2VLAN标签是由交换机端口在数据帧进入交换机时添加的。当终端主机发出的以太网帧到达交换机端口时，将其PVID值封装到进入端口的帧中，即成为数据帧的VID值，这就是所谓的“打标记”交换机可以将数据转发到那些端口的VID与数据帧中VID相同的端口当带标签的帧出交换机端口时，端口检查自己的PVID是否与数据帧中的VID相同。如果相同，则剥离帧中的802.1Q标签再转发，否则直接转发。查看：Showinterfacee0/0/nswitchport4.1.4VLAN的种类VLAN在交换机上的实现方法：基于端口的VLAN基于MAC地址的VLAN基于网络层协议的VLAN按策略划分的VLAN基于端口的VLAN根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。它的缺点是用户离开了原来的端口，到了一个新的端口时，如果新端口与旧端口不属于同一个VLAN，则必须重新定义。基于MAC地址的VLAN根据设备的MAC地址来划分VLAN。优点：无论网络用户在网络中如何移动，只要其MAC地址保持不变，其所属的VLAN的成员身份也保持不变,VLAN不用重新配置。适宜移动设备。缺点：初始化时，所有用户的MAC地址都需要收集，并逐个配置，配置工作量很大。导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易，也无法限制广播帧。对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。4.2任务实施在交换机上实施VLAN可分为两个步骤：创建VLAN；配置VLAN成员。基于端口划分VLAN的命令（神码）创建VLAN将端口划入到对应的VLAN中注意：创建VLAN时，VLAN号为1-4096，但VLAN号不能为1。VLAN1为初始默认VLAN，交换机所有端口都属于VLAN1。（利用Showvlan命令查看）ethernet0/0/1-3;5;7-9;12基于端口划分VLAN的命令(思科)创建VLAN将端口划分到对应的VLAN中SwitchenableSwitch#configtSwitch(config)#vlan100Switch(config)#interfacef0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan100Switch(config)#interfacerangef0/7,f0/10-12,f0/20Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan100VLAN的验证利用PT模拟器验证VLAN构建拓扑图配置主机的IP地址（192.168.1.1—192.168.1.4/24）验证连通性（PC1、PC2、PC3、PC4之间互Ping）创建VLAN100和Vlan200，并将PC1和PC2所连的交换机端口划分到VLAN100，PC3和PC4所连的交换机端口划分到VLAN200验证连通性（PC1、PC2、PC3、PC4之间互Ping）跨交换机相同业务网络的连通需求分析要让301房间A公司的网络可以访问到201房间A公司，但不能让其他公司的职员访问201房间301房间A公司302房间B公司303房间C公司201房间A公司业务需求：同一楼层的每个房间内可以互访，不同房间内不可以互访不同楼层的同一公司内可以互访如何实现？？需求分析（PT演示）3楼交换机2楼交换机1-1011-201-1011-20301房VLA100302房VLAN200201房VLAN100202房VLAN200分析以下几种连接情况VLAN的连通性：通过24口将3楼和2楼交换机连接通过5口将3楼和2楼交换机连接通过15口将3楼和2楼交换机连接根据以上分析得到结论？？？如何使得跨交换机的所有相同VLAN内互通？？？跨交换机的相同VLAN内互通3楼交换机2楼交换机1-1011-201-1011-20301房VLA100302房VLAN200201房VLAN100202房VLAN200解决方法:上图中交换机的互连端口a和b必须能通过多个VLAN帧，如何实现？VID必须有多个值，即属于多个VLAN让交换机之间传送VLAN数据时，可以明确为每个VLAN数据加标记如：301房数据要传到201房时，3楼交换机的a端口为数据加VLAN100标记，2楼交换机在识别这个标记后，根据标记会在VLAN100的201房的端口中查找目的地址，而不会在其它vLAN的端口中查找，从而避免发送给202房间。如何保留帧中的802.1Q标签？？端口的PVID值与帧中的VLAN标记值不同abVLAN技术原理——TRUNK技术不同的交换机之间互联，要达到承载所有VLAN流量的目的，就必须实行TRUNK技术。TRUNK又可以叫做VLAN中继线路，主要是用来互联交换机达到传输不同VLAN的流量的目的。TRUNK链路传