搜索
第1页第3章园区网VLAN规划与部署第2页前言本PPT主要介绍了园区网VLAN规划的要点和VLAN部署的一些注意事项,并简单介绍了VLAN协议和相关的一些技术细节。第3页课程目标通过本课程的学习,您可以掌握如下知识点:了解VLAN协议及VLAN的作用为园区网作出VLAN的规划独立部署园区网VLAN进行基本的VLAN配置第4页提纲VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例第5页VLAN的产生原因广播风暴ARP广播主机A主机B……通讯第6页VLAN的概念IEEE802.1Q协议VLAN是虚拟局域网(VirtualBridgedLocalAreaNetwork)的简称,它是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层数据链路层。VLAN的划分不受网络端口实际物理位置的限制。工程部1号楼2号楼市场部技术部VLAN10VLAN20VLAN30第7页VLAN的特性VLAN的特性VLAN有着和普通物理网络同样的属性,除了没有物理位置的限制外,它和普通局域网是一样的,第二层的单播、广播和多播帧可以在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。所以,如果一个VLAN端口所连接的主机想要和另外一个VLAN端口的主机通讯,则必须通过一个三层设备进行转发,如路由器或者三层交换机等。一个VLAN就是一个广播域,一个VLAN就是一个子网。第8页VLAN的划分及其好处VLAN的划分方式:基于端口;基于MAC地址;基于协议;基于子网;VLAN的好处:隔离广播包,即广播包只在本VLAN中传播,从而在一定程度上可以提高整个网络的处理能力;虚拟的工作组,通过灵活的VLAN设置,可以把不同物理地点的用户划分到同一工作组内;提高安全性,一个VLAN内的用户和其它VLAN内的用户不能互访,提高了网络的安全性;第9页VLAN帧的格式DASATypeDataCRCtagTPIDPriorityCFIVLANIDTCI带有IEEE802.1Q标记的以太网帧DASATypeDataCRC标准以太网帧第10页VLAN的数据转发过程大家都知道,交换机是通过MAC地址表来进行数据帧的转发,而引入VLAN后,交换机会在MAC地址表中增加VLAN信息,也就是说交换机对每1个VLAN都维护1个本VLAN的MAC地址表。在数据转发时,先在同一VLAN的MAC地址表中,根据数据帧中的目的MAC地址进行查找,找到的话,就进行转发;如果找不到,就向本VLAN的网关发送,由其向其它网段(不同的VLAN)进行路由表的查询。第11页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第12页VLAN的规划原则按业务规划可分为语音、视频和数据;按部门规划可分为工程部、市场部、财务部等;按地理位置或应用规划在教育行业,特别是高教,由于规模较大,有多个分校分散在城市的不同地方,所以一般可以按照地理位置来划分VLAN;而普教由于规模不大,可按应用来划分VLAN,如服务器、办公、机房、教室;在上述规划原则中,锐捷网络建议一定要将网络设备作为一个单独的VLAN进行规划,以实现对网络设备安全、有效的管理。第13页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第14页VLANID的分配技巧常规来说,VLANID的分配只要是在有效的范围内(1-4K),都是可以随意分配和选取的,但为了提高VLANID的可读性,一般采用VLANID和子网关联的方式进行分配。192.168.10.0/24192.168.40.0/24192.168.30.0/24192.168.20.0/24VLAN10VLAN20VLAN30VLAN40第15页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第16页VLAN的成员类型Access口一个Access端口,只能属于一个VLAN,并且是通过手工设置指定VLAN的;Trunk口一个Trunk口,在缺省情况下是属于本交换机所有VLAN的,它能够转发所有VLAN的帧,但是可以通过设置许可VLAN列表(allowed-VLANs)来加以限制。在配置Trunk链路时,一定要确认连接链路两端的Trunk口属于相同的NativeVLAN。一般来说,Access口用于和最终用户相连,而Trunk口用于交换机之间的互连。第17页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第18页VLAN的透传VLAN的透传就是某个VLAN不仅在一台交换机上有效,它还要通过某种方法延伸到别的以太网交换机上,在别的设备上照样有效,也就是常说的802.1QTrunk;VLAN中的流量到达入站口,根据透传协议对入站的VLAN流量进行标记;通过trunk到达对端;转发口依据标记的VLANID转发给对应的VLAN,并去除标记。入口出口Trunk第19页VLAN的终结VLAN的终结是指某个VLAN的有效域不能再延伸到别的VLAN,或者不能通过某条链路延伸到别的VLAN,一般可以理解为三层的终结。VLAN20VLAN40VLAN30VLAN40VLAN50VLAN10路由连接三层A三层BVLAN10/20/40的终结VLAN30/40/50的终结第20页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第21页VLAN的创建和命名VLAN1的特殊性由于VLAN1作为缺省的NativeVLAN,是不可以删除,所以建议在实际应用中不要使用VLAN1;VLAN的命名VLAN的名字缺省是VLANxxxx,其中xxxx是用0开头的四位VLANID号,比如,VLAN0004就是VLAN4的缺省名字;可以用数字和字符串对VLAN进行命名,长度不超过32位,一般可采用字符串+数字的方式加以命名,也可以用网段的名称,以便于识别;网段名称VLANIDVLAN名称设备网段100device教师网段10teacher学生网段20student第22页园区网VLAN的规划设计VLAN的规划原则VLANID的分配技巧VLAN的成员类型VLAN的透传和终结VLAN的创建和命名NativeVLAN的作用第23页NativeVLAN的作用所谓NativeVLAN,也叫缺省VLAN,在这个接口上收发的untag报文,都被认为是属于这个VLAN的;通常一个untag帧经过trunk口时,会打上NativeVLAN的tag;一个tag帧经过trunk口时,如果tagVLAN与trunk口的NativeVLAN相同,则会剥去tag标记。vlan10vlan20untaguntagvlan20vlan10TrunkNativeVLAN10第24页提纲VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例第25页VLAN数据的安全控制由于VLAN的trunk口缺省是能够转发所有VLAN帧(1-4K)的流量,但从提高安全性和减少不必要的数据流量这两个角度考虑,我们可以通过设置trunk口的许可VLAN列表(allowed-VLANs),来限制某些VLAN的流量不能通过这个trunk口,这也称为VLAN的修剪。TrunkAllowvlan10,20,40vlan10vlan20vlan10vlan30vlan20vlan40vlan40第26页VLAN规划的小结建议一个VLAN对应一个网段,一个网段分配一个C类的IP地址;VLANID与网段对应,以便于识别;VLAN的命名与业务/部门/应用等结合;注意VLAN的修剪,以提高安全性,减少不必要的流量;NativeVLAN的作用;网络设备作为一个单独的VLAN进行规划;第27页提纲VLAN简介VLAN的规划设计VLAN数据的安全控制VLAN部署应用案例第28页园区网VLAN部署应用案例案例介绍某园区网有三栋楼,分别为行政楼、教学楼、办公楼;每栋楼各有1台接入交换机,核心交换机在行政楼;行政楼内有办公室、财务部和教室;办公楼内有办公室、财务部;教学楼内有办公室和教室;VLAN规划如下:VLAN-ID用途使用网段网关地址VLAN名称10办公室用户192.168.10.0/24192.168.10.1banggong20财务部用户192.168.20.0/24192.168.20.1caiwu30教室用户192.168.30.0/24192.168.30.1jiaoshi100设备管理172.16.100.0/24172.16.100.1shebei在核心的交换机上起SVI三层接口,和每栋楼的交换机通过trunk互连,并在trunk口用VLAN修剪;第29页园区网VLAN部署应用案例VLAN10VLAN20SW1CENTERVLAN20VLAN10VLAN30案例拓扑图行政楼办公楼VLAN10VLAN30SW2教学楼CENTERSW3VLAN10-办公室VLAN20-财务部VLAN30-教室VLAN100-设备第30页园区网VLAN部署应用案例案例配置第31页参考资料锐捷网络交换机配置指南《配置VLAN》《IEEEStd802.1Q-1998.pdf》