管理交换网络中的广播流量

控制交换网络中的广播流量锐捷网络工程师培训交换机的访问方式配置文件的管理VLAN的基本概念VLAN的类型:PortVLAN和TagVLAN如何在交换机上配置VLANVLAN间通信的方法本章内容VLAN课题引入随着网络技术的发展，现在很多企业和部门都建立了内部局域网，但是，随着网络规模的增大也带来了一些问题：网内数据传输量增大，网速变得越来越慢！计算机遭受黑客攻击，关键部门存在安全隐患！同一部门的人员分布不同的地域，不能相对集中办公！VLAN的产生原因－广播风暴……广播知识链接：广播知识链接：广播主机之间“一对所有”的通讯模式。广播的优点：1.网络设备简单，维护简单，布网成本低廉2.由于服务器不用向每个客户机单独发送数据，所以服务器流量负载极低。广播的缺点：1.无法针对每个客户的要求和时间及时提供个性化服务。2.网络允许服务器提供数据的带宽有限，客户端的最大带宽＝服务总带宽。3.广播禁止在Internet宽带网上传输。知识链接：单播知识链接：单播单播是单一的源头发送到单一的目的接收者的一种网络服务。也就是客户端与服务器之间的点到点连接。“单播的优点：1.服务器及时响应客户机的请求2.服务器针对每个客户不同的请求发送不同的数据，容易实现个性化服务。单播的缺点：1.服务器针对每个客户机发送数据流，服务器流量＝客户机数量×客户机流量；在客户数量大、每个客户机流量大的流媒体应用中服务器不堪重负。2.现有的网络带宽是金字塔结构，城际省际主干带宽仅仅相当于其所有用户带宽之和的5％。如果全部使用单播协议，将造成网络主干不堪重负。知识链接：多播（或组播）知识链接：组播组播是主机之间“一对一组”的通讯模式，也就是加入了同一个组的主机可以接受到此组内的所有数据，网络中的交换机和路由器只向有需求者复制并转发其所需数据。组播的优点：1.需要相同数据流的客户端加入相同的组共享一条数据流，节省了服务器的负载。具备广播所具备的优点。2.由于组播协议是根据接受者的需要对数据流进行复制转发，所以服务端的服务总带宽不受客户接入端带宽的限制。IP协议允许有2亿6千多万个（268435456）组播，所以其提供的服务可以非常丰富。3.此协议和单播协议一样允许在Internet宽带网上传输。知识链接：组播组播是主机之间“一对一组”的通讯模式，也就是加入了同一个组的主机可以接受到此组内的所有数据，网络中的交换机和路由器只向有需求者复制并转发其所需数据。组播的缺点：1．与单播协议相比没有纠错机制，发生丢包错包后难以弥补，但可以通过一定的容错机制和QOS加以弥补。2．现行网络虽然都支持组播的传输，但在客户认证、QOS等方面还需要完善，这些缺点在理论上都有成熟的解决方案，只是需要逐步推广应用到现存网络当中。交换网络中的问题在交换机组成的校园网络里所有主机都在同一个广播域内广播域通过路由器将网络分段……广播路由器交换网络中问题的解决--VLANVLAN20通过VLAN技术可以对网络进行一个安全的隔离、分割广播域VLAN10VLAN30VLAN40通过VLAN划分广播域广播域1VLAN10广播域2VLAN20广播域3VLAN30市场部工程部财务部VLAN实例某公司有100台计算机左右，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，如图1所示。VLAN2VLAN3VLAN5VLAN4VLAN在交换机中的实现•分段•灵活性•安全性第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)VLAN（VirtualLocalAreaNetwork）VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。VLAN技术1234交换机广播帧交换机收到广播帧后，只转发到属于同一VLAN的其他端口。广播域广播帧广播域VLAN的定义注意事项：VLAN（VirtualLocalAreaNetwork）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。例如：对于我校的校园网，有不同的部分组成：办公部门、学校机房、教师家属楼等部分组成。为了保证各部分的相对独立，又使每部分处于同一个网络内，内部能互相访问，这就需要划分VLAN，使办公部门处于一个VLAN内、学校机房处于一个VLAN内、教师家属楼处于一个VLAN内，这样就能保证他们之间的数据互不干扰，也不影响各自的通信效率了。VLAN特点安全隔离，不同VLAN之间不能直接访问，需通过路由设备相连隔离广播不受物理位置限制基于网络性能的考虑大型网络中有大量的广播信息，如果不加以控制，会使网络性能急剧下降，甚至产生网络风暴，使网络阻塞。因此需要采用VLAN将网络分割成多个广播域，将广播信息限制在每个广播域内，从而降低了整个网络的广播流量，提高了性能。基于安全性的考虑在规模较大的网络系统内，各网络节点的数据需要相对保密。譬如公司的网络中，财务部门的数据不应被其他部门的人员采集到，可以通过划分VLAN，进行部门隔离，不同部门使用不同的VLAN，可以实现一定的安全性。基于组织结构的考虑同一部门的人员分布在不同的地域，需要数据的共享，则可以跨地域（跨交换机）将其设置在同一个VLAN中。对VLAN的划分主要是基于下列因素的：划分VLAN的方法基于端口的VLAN基于协议的VLAN基于MAC层分组的VLAN基于子网的VLAN基于交换机的端口(一个端口只属于一个VLAN)VLAN的类型:PortVLANF0/1F0/2F0/3基于端口的VLANPort-vlan原理交换机端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACXVLAN在交换机中的实现数据1交换机内部数据1数据2数据2101102Portvlan的配置将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-10，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：连续接口0/1-10，不连续接口用逗号隔开，但一定要写明模块编号创建VLAN100，将它命名为test的例子Switch#configureterminalSwitch(config)#vlan100Switch(config-vlan)#nametestSwitch(config-vlan)#end把ethernet0/10作为access口加入了VLAN100Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan100Switch(config-if)#end配置PortVLAN-AccessSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10跨交换机VLAN间通信分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通.就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLAN传输多个VLAN的信息,实现同一VLAN跨越不同的交换机只需要交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。跨交换机VLAN之间的通信:TagVLAN目的,源MAC地址类型,数据重新计算帧检测序列2字节标记协议标识2字节标记控制信息IEEE802.1Q数据帧标记协议标识（TPID）:固定值0x8100,表示该帧载有802.1q标记信息标记控制信息（TCI）:Priority3比特表示优先级,Canonicalformatindicator1比特用于总线型以太网、FDDI、令牌环网。VlanID12比特表示VID，范围1－4094IEEE802.1Q802.1Q数据帧只在交换机的trunk链路上传输，对于用户是完全透明的。默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据。A交换机1交换机2802.1Q工作原理B数据帧Tag标签SRCDESSRCDataDESDESSRCFCSFCSDESSRCFCSVLANID默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据。802.1Q工作原理AB交换机1交换机2配置TagVLAN-Trunk把Fa0/1配成Trunk口,修改默认nativevlan为110。Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkNativeVLANSwitch(config-if)#switchporttrunknativevlan20Switch(config-if)#end每个Trunk口的缺省nativeVLAN是VLAN1。在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的nativeVLAN。Nativevlan1、配置了nativevlan的相关VLAN数据包在trunk链路上传输时不打4个字节的标签2、nativevlan默认是VLAN13、配置nativevlan时注意要求两端交换机端口nativevlan必须配置一致下面是一个把端口0/20配置为TRUNK端口，但是不包含在VLAN2的例子：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#end配置TagVLAN-Trunk下面是一个把端口0/15配置为TRUNK端口，但是不包含VLAN2的例子：Switch(config)#interfacefastethernet0/15Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#endSwitch#showinterfacesfastethernet0/15switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists------------------------------------------------------------------Fa0/15EnabledTrunk11Enabled1,3-4094Switch#showvlanVLANNameStatusPorts----------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/18,Fa0/19,Fa0/20,Fa0/212VLAN0002activeFa0/5,Gi0/24VLAN0004activeFa0/14,F