-1-通信工程系《交换与路由技术》精品课程数据交换网组建与维护项目名称:虚拟局域网组建-2-通信工程系《交换与路由技术》精品课程项目描述某电脑教育培训机构为了提高办公效率,减少因纸张浪费带来的办公开支,现欲构建一个局域网络,该培训机构现有各类办公人员8人,财务部有3台电脑,培训学员有30台电脑;为了保证网络的正常使用,建设的时候必须满足以下要求:(1)培训学员网络要与办公网络能够隔离,不能互访;(2)财务部门只能内部之间互访,其他部门不能访问财务部的网络。根据这个要求,我采用VLAN技术进行隔离,将整个局域网分为培训子网、行政办公子网、财务子网三个子网,分别采用不同的VLAN达到隔离要求,并设计以下网络拓扑结构,如图1-1所示:-3-通信工程系《交换与路由技术》精品课程项目目标图1-1某电脑教育培训机构网络拓扑图项目描述该设计方案选用两台中兴通讯股份有限公司的S3928交换机作为网络的接入设备,将财务、培训、行政分别划分成三个不同的VLAN以达到隔离不同用户的要求,为了对设备资源的有效利用并考虑一定的可扩展性,我们将SW1与SW2进行互联,并在SW1中分配10个端口给行政子网,在SW1上分配4个端口个财务网,在SW1上分配8个端口给培训子网,在SW2上分配10个端口给行政子网,在SW2上分配10个端口给培训子网。-4-通信工程系《交换与路由技术》精品课程-5-通信工程系《交换与路由技术》精品课程任务分解该设计方案得到认可,并进入工程的施工建设阶段,公司技术员小李承担了该项目的建设,根据项目设计要求,小李需要完成以下工作任务:1.财务、培训、行政三个子网的IP规划;2.管理和登陆SW1、SW2交换机;3.SW1、SW2上VLAN的配置和调试;4.SW1与SW2之间级联端口的配置和调试;为了完成以上4个工作任务,我们需要具备以下相关基础知识和职业技能知识:任务分解1.基础知识–子网规划的计算方法;–VLAN技术的概念和优点;–VLAN技术的标记;2.职业技能–计算机与交换机如何连接,才能实现通过计算机管理和登录交换机;–交换机的基本操作和信息检查方法;–交换机中VLAN划分的基本步骤;–交换机中VLAN的配置和检查。-6-通信工程系《交换与路由技术》精品课程1.1VLAN基础-7-通信工程系《交换与路由技术》精品课程1.1.1产生背景在一个广播域中,数据帧对该局域网上的所有设备都是可见的。因此,广播、多点广播、未知的单点传送数据帧都有可能占用过多的带宽。广播数据流随着网络的增长而增长。过多的广播会占用用户的带宽,最坏的情况下,广播风暴可以使整个网络瘫痪,如图1-2所示。图1-2广播风暴1.1VLAN基础另一方面,在实现用户的LAN接入时,应该考虑的一个重要问题就是用户之间的隔离。这是因为在局域网环境中,接入到局域网的用户一般都处于同一个广播域之中,也就是一个用户在通过局域网进行通信时,发出的广播信息同样能够被其它用户监听到。在一般的局域网网络环境下,由于用户处于互相信任的关系,这种情况并不会产生严重的安全问题。但对于LAN的接入,各个接入到LAN的用户之间一般都互不相干,不存在互相信任的基础,接入到LAN中的用户一般都不希望自己的网络通信信息被其它的用户所获得,这就要求在实现LAN的接入中要充分考虑各个接入用户的隔离问题。为了实现LAN接入时各个接入用户的隔离以及减少广播泛滥,虚拟局域网(VirtualLocalAreaNetwork,VLAN)技术就应运而生。VLAN技术通过将局域网络划分为不同的广播域从而实现安全和隔离广播的目的,减少了网络中的广播信息,从而提高了网络的性能,如图1-3所示。-8-通信工程系《交换与路由技术》精品课程1.1VLAN基础-9-通信工程系《交换与路由技术》精品课程图1-3VLAN隔离广播VLAN(VirtualLocalAreaNetwork,简称VLAN)技术即虚拟局域网技术,它是将一个物理上互联的局域交换网络划分为逻辑上互相隔离的虚拟网络,一个VLAN在逻辑上等价于一个广播域,如图1-4所示。1.1VLAN基础-10-通信工程系《交换与路由技术》精品课程图1-4VLAN划分示意图VLAN技术的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。在局域网交换技术中,虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备,在网络的物理拓朴结构基础上建立一个逻辑网络,以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网。1.1VLAN基础1.1.2VLAN的优点VLAN与普通局域网从原理上讲没有什么不同。但从用户使用和网络管理的角度,VLAN与普通局域网最基本的差异体现在:VLAN并不局限于某一网络或物理范围,VLAN用户可以是位于城市内的不同区域,甚至位于不同的国家。总体来说,VLAN具有以下优点:(1)能控制网络的广播风暴(2)能确保网络的安全性(3)简化网络管理(4)虚拟工作组-11-通信工程系《交换与路由技术》精品课程1.1VLAN基础1.1.3VLAN的实现方式VLAN划分方法指的是在一个VLAN中包含哪些站点(包括服务器和客户站),采用何种方法将这些站点划分到同一个VLAN中。处在同一个VLAN中的所有成员(站点)将共享广播数据,而这些广播数据将不会被扩散到其他不在此VLAN中的站点那里。VLAN划分的方法如下:1.按交换机端口号的VLAN按交换机端口号来划分的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换机端口的集合,网络管理员只需管理和配置交换机端口,而不管交换机端口连接什么设备。如图1-5所示,包括两个VLAN,即VLAN2(以太网端口1、2)和VLAN3(以太网端口3、4)。-12-通信工程系《交换与路由技术》精品课程1.1VLAN基础-13-通信工程系《交换与路由技术》精品课程图1-5按端口划分VLAN1.1VLAN基础(1)优点:◆易于理解和管理;◆是厂商常用的方法;◆在一个企业中,对于连接不同交换机的用户,可以创建用户的逻辑分组;◆由于端口可以连接集线器,而集线器支持共享介质的多用户网络,因此,按交换端口号的分组方案能够将两个或多个共享介质的网络分为一组。(2)缺点:◆当工作站移动到新的端口时,必须对用户进行配置;◆每个端口不能加入多个VLAN。-14-通信工程系《交换与路由技术》精品课程1.1VLAN基础2.按MAC地址的VLAN由于只有网卡才分配有MAC地址,因此按MAC地址来说,事实上,该VLAN是一些MAC地址的集合。如图1-6所示,当设备移动时,网络管理需要管理和配置设备的MAC地址,很显然,如果网络规模很大,设备很多,则会给管理带来难度。-15-通信工程系《交换与路由技术》精品课程图1-6基于MAC地址的VLAN1.1VLAN基础3.按第3层协议划分的VLAN基于第3层协议的VLAN实现,在决定VLAN成员身份时,主要是考虑协议类型(支持多协议的情况下)或网络层地址(如TCP/IP网络的子网地址),如图1-7所示。-16-通信工程系《交换与路由技术》精品课程图1-7基于第3层协议划分的VLAN1.1VLAN基础4.IP组播划分VLANIP组播代表着一种与众不同的VLAN定义方法。但在此种分组方法中,VLAN作为广播域的基本概念仍然适用。各站点可以自由地动态决定参加到哪一个或哪一些IP组播组中。一个IP组播组实际上是用一个D类地址表示的。当向一个组播组发送一个IP报文时。此报文将被传送到此组中的各个站点处。从这个意义上讲,我们可以将一个IP组播组看成是一个VLAN。但此VLAN中的各个成员都只具有临时性的特点,由IP组播定义VLAN的动态特性可以达到很高的灵活性。并且借助于路由器,此种VLAN可以是很容易地扩展到整个WAN上。-17-通信工程系《交换与路由技术》精品课程1.2VLAN标记1.2.1VLAN的运行方式每个VLAN相当于一个物理上独立的网桥,不同VLAN成员不能直接访问。VLAN可以跨越交换机,不同交换机上相同VLAN的成员处于一个广播域,可以直接相互访问。由于VLAN的划分是基于交换机的物理端口,交换机从连接主机的某个端口上接收到一个数据帧,交换机知道这个数据帧是属于哪个VLAN的,因为在交换机上面我们将不同的端口划分到了不同的VLAN中,从哪个端口收到的数据帧就属于该端口所属的VLAN,所以从这个角度进行分析,计算机并不对VLAN进行判别,决定属于哪个VLAN是由交换机来决定的。所以交换机的端口如果是与一台计算机相连接,那么这个端口只能属于一个VLAN,既然属于一个VLAN,这种端口不需要进行VLAN标记,如图1-8所示。-18-通信工程系《交换与路由技术》精品课程1.2VLAN标记-19-通信工程系《交换与路由技术》精品课程图1-8VLAN标签1.2VLAN标记但是对于连接2台交换机的链路而言,由于在一个交换机中可能会划分多个VLAN,同时两个交换机之间会出现多个相同VLAN之间需要通信的需求,此时进行交换机级联的链路需要承载多个不同VLAN的数据,连接此链路的交换机的端口不属于某个特定VLAN。如果不对数据帧做VLAN标记,交换机对从这样的链路上接收到的数据帧将无法确定所属的VLAN。所以交换机将数据帧发送到这样的链路前必须对数据帧做标记,即为每一个数据帧都被加上了一个标记,用来确定该数据帧所属的VLAN。如图1-9所示:-20-通信工程系《交换与路由技术》精品课程1.2VLAN标记-21-通信工程系《交换与路由技术》精品课程图1-9主干链路1.2VLAN标记1.2.2VLAN的帧结构传统的以太网数据帧格式是不包含VLAN信息的,无法用这种传统的以太网数据帧来传送VLAN信息,我们要想让跨越交换机的VLAN能正常工作,必须重新提出一种帧格式,该帧格式与传统以太网帧格式不同的是包含了VLAN信息,这便是在1996年3月,由IEEE802委员会发布的IEEE802.lQVLAN标准,其帧结构如图1-10。-22-通信工程系《交换与路由技术》精品课程图1-10802.1Q帧格式1.2VLAN标记可以看出,该帧格式跟传统以太网帧格式不同的是,在传统的以太网帧格式的类型/长度字段前面,附加了一个4字节的额外部分,称为802.1Q标记。标记字段分为四部分:TYPE:这是一个两字节长度的字段,来指出该数据帧类型,目前来说都是0X8100。PRI:这是一个三比特的数据字段,该字段用来表示数据帧的优先级。CFI:这是一个比特的字段,该字段用在一些环形结构的物理介质网络中,比如令牌环、FDDI等。VID:这就是802.1Q数据帧的核心部分,即VLANID,用来表示该数据帧所属的VLAN。-23-通信工程系《交换与路由技术》精品课程1.2VLAN标记1.2.2TAG与UNTAGUNTAG就是普通的Ethernet报文,普通PC机的网卡是可以识别这样的报文进行通信。不带标签的报文格式为:-24-通信工程系《交换与路由技术》精品课程TAG报文结构的变化就是在源MAC地址和目的MAC地址之后,加上了4bytes的VLAN信息,也就是VLANTAG头;一般来说这样的报文普通PC机的网卡是不能识别的,主要用于交换机级联时报文的传递。带有标签的报文格式为:1.2VLAN标记1.2.3交换机端口类型接入链路(Accesslink)是用来将没有VLAN识别能力(non-VLAN-aware)的工作站连接到一个VLAN交换机端口的链路。即接入链路用于终端设备和交换机相连,如图1-11所示。如果VLAN是基于端口进行划分的,一个接入链路只能属于某一个特定VLAN。接入链路可以是单独一个网段,也可以由非VLAN识别的网桥和交换机连接起来的多个网段或工作站组成。接入链路不能承载标记分组。-25-通信工程系《交换与路由技术》精品课程1.2VLAN标记-26-通信工程系《交换与路由技术》精品课程图1-11接入链路1.2VLAN标记干线链路(trucklink)是承载标记分组(即那些具有VID的数据帧)的链路。所以一个干线链路(t