4-1 虚拟局域网vlan

（VirtualLAN,VLAN）虚拟局域网主讲：吴东交换机不隔离广播域对于一个传统的局域网或是由二层交换机分隔成各个网段的局域网而言，整个局域网属于同一个广播域，交换机上所有的端口都属于同一个广播域。广播域是指广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。–严格地说，广播帧、多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）都能在同一个广播域中畅行无阻。广播帧会非常频繁地出现计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARPRequest）信息”，来尝试获取计算机B的MAC地址。交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。AB广播帧会非常频繁地出现这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉了。可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。AB广播帧会非常频繁地出现利用TCP/IP协议栈通信时，除了前面出现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。ARP广播，是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时，就必须发出DHCP的广播。而使用RIP作为路由协议时，每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息，这也会被交换机转发（Flooding）。除了TCP/IP以外，NetBEUI、IPX和AppleTalk等协议也经常需要用到广播。要分割广播域如果仅有一个广播域，有可能会影响到网络整体的传输性能。因此，要分割广播域。怎样分割广播域？？？使用VLAN可以分割广播域VLAN(VirtualLAN)VLAN（VirtualLocalAreaNetwork），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机。由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。VLAN(VirtualLAN)一个VLAN内部的广播和单播流量不会被转发到其它VLAN中。VLAN的优势–控制广播风暴，有助于控制网络流量–提高网络安全性–实现虚拟工作组，简化网络管理–提高网络管理灵活度VLAN(VirtualLAN)Vlan的定义方法–静态VLAN(基于端口的VLAN)–动态VLAN(基于Mac地址的VLAN、基于网络层的VLAN、基于IP组播的VLAN)VLAN(VirtualLAN)基于端口的VLAN:–明确指定各端口属于哪个VLAN的设定方法。基于端口的VLANHOSTAHOSTB…………HOSTCHOSTDHOSTEHOSTF……广播域广播域广播域VLAN10VLAN20VLAN30基于端口的VLAN基于端口的VLAN:–特点：需要一个个端口地指定,工作量随网络中的计算机数目的增加而增加。客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定。基于MAC的VLANVlan动态成员划分1、接入HOSTA2、查询VMPSMAC:AAAA.AAAA.AAAAVMPSAAAA.AAAA.AAAA→VLAN103、归入VLAN10SWITCH通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。基于MAC的VLAN特点：–需要一个个MAC地址指定,工作量随网络中的计算机数目的增加而增加。–交换机效率可能降低，因为每个端口可能存在多个Vlan成员。–计算机移动时，无须重新配置。1、接入HOSTA2、查询VMPSMAC:AAAA.AAAA.AAAAVMPSAAAA.AAAA.AAAA→VLAN103、归入VLAN10SWITCH基于MAC的VLAN–计算机移动时，无须重新配置。基于网络层的VLAN基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。Vlan怎样隔离广播Vlan怎样隔离广播•控制网络广播、提高网络性能；•分隔网段、确保网络安全；•简化网络管理、提高组网灵活性。IEEE802.1QVLANIEEE802.1Q协议定义了基于端口的VLAN模型。IEEE802.1Q标准•IEEE802.1Q使用4Byte的标记头来定义Tag（标记）；•Tag头中包括2Byte的TPID（TagProtocolIdentifier）和2Byte的TCI（TagControlInformation）。DASATypeDataCRC标准以太网帧DASATypeDataCRCtag2字节标签协议标识(TPID)——0x8100PriorityCFIVLANID2字节标签控制信息(TCI)IEEE802.1Q标准Priority：占用3bit，用于标识数据帧的优先级CFI(CanonicalFormatIndicator)：占用1bit，主要用于令牌环/源路由FDDI介质访问方法中来指示数据帧中所带地址的位次序信息–CFI为0，表示该数据帧采用规范帧格式–CFI为1，表示该数据帧为非规范帧格式VLANID：占用12bit，明确指出该数据帧属于某一个VLAN。表示范围为0—4095，实际用的范围1-4094。IEEE802.1Q标准出现了两种帧：Untaged帧，就是普通的ethernet帧。普通PC机的网卡可以识别这样的帧。taged帧，也就是加了vlantag的ethernet帧。一般来说这样的帧，普通PC机的网卡是不能识别的。帧标记的工作原理•VLANID是该端口所属Vlan的ID•该端口被设置为accessportSRCDESSRCDataDESDESSRCFCSFCSDESSRCFCSVLANIDAB交换机Untaged帧taged帧Access端口(Accessport)Access端口，一般用来连接不支持VLAN技术的终端设备。Access端口接收到的数据帧都不包括VLAN标签。(因此，当向外发送数据帧时，必须保证数据帧中不包含VLAN标签。)配置基于端口的VLAN（1）创建VLANSwitchen或者Switchen14Password:(netlab)!密码没有回显。switch#configureterminal!进入交换机全局配置模式。switch(config)#vlan10！创建vlan10。switch(config-vlan)#nametest10!将vlan10命名为test10。switch#showvlan（2）将接口分配到VLAN。switch#configureterminal!进入交换机全局配置模式。Switch(config)#interfacefastethernet0/1!进入fastethernet0/1的接口配置模式。Switch(config-if)#switchportaccessvlan10!将fastethernet0/1端口加入vlan10。Switch(config-if)#exit验证VLAN配置VLAN编号VLAN扩展信息1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.VLAN名称VLAN状态VLAN成员22.switch#showvlan配置VLAN时需要注意：不同交换机平台、不同的IOS版本支持的VLAN最大数量不同。VLAN1不能创建、删除或重命名。交换机管理IP只能创建在VLAN1中。VLAN的配置实验注：vlan2包括端口f0/1到f0/5,vlan3包括端口f0/20到f0/24f0/1f0/2f0/23f0/24Ip:192.168.2.11/24Ip:192.168.3.10/24Ip:192.168.3.11/24Vlan2Vlan3S1PCAPCBPCCPCDIp:192.168.2.10/24配置基于端口的VLAN（1）创建VLANSwitchen或者Switchen14Password:(netlab)!密码没有回显。switch#configureterminal!进入交换机全局配置模式。switch(config)#vlan2！创建vlan2。switch#showvlan（2）将接口分配到VLAN。switch#configureterminal!进入交换机全局配置模式。Switch(config)#interfacerangefastethernet0/1–5Switch(config-if)#switchportaccessvlan2Switch(config-if)#exit配置基于端口的VLAN（3）创建VLANSwitchen或者Switchen14Password:(netlab)!密码没有回显。switch#configureterminal!进入交换机全局配置模式。switch(config)#vlan3！创建vlan3。switch#showvlan（2）将接口分配到VLAN。switch#configureterminal!进入交换机全局配置模式。Switch(config)#interfacerangefastethernet0/20–24Switch(config-if)#switchportaccessvlan2Switch(config-if)#exit跨多台交换机设置VLAN–同一部门的用户分散在不同楼层(在两台交换机上)，需要将不同楼层的A、C和B、D设置为同一个VLAN跨多台交换机设置VLAN解决方案1：在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联。跨多台交换机设置VLAN缺点：–每增加一个VLAN都要加一条网线和相应的端口–对端口是一种浪费跨多台交换机设置VLAN解决方案2：让交换机间互联的网线集中到一根线(汇聚链接)上。跨多台交换机设置VLAN汇聚链接(trunk链接):–能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。Tag标签VLAN中继技术VLAN1VLAN2VLAN3VLAN2VLAN1主干道VLAN1VLAN2VLAN3VLAN3HOSTAHOSTBHOSTYHOSTZHOSTXHOSTCSwitchASwitchB通过一条链路连接多个VLANISLIEEE802.1Q帧标记的工作原理SRCDESSRCDataDESDESSRCFCSFCSDESSRCFCSVLANIDAB交换机1交换机2•默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据；•实现同一VLAN跨越不同的交换机。帧在网络通信中的变化VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧注：