1階段課件04-vlan局域網(wǎng)業(yè)務(wù)隔離

1、 VLAN局域網(wǎng)業(yè)務(wù)隔離本節(jié)大綱局域網(wǎng)VLAN需求VLAN工作原理跨交換機VLAN互連局域網(wǎng)VLAN部署業(yè)務(wù)隔離的必要性不做業(yè)務(wù)隔離的網(wǎng)絡(luò)帶來的問題二層交換機不能阻隔廣播域，網(wǎng)絡(luò)規(guī)模越大，廣播危害也越嚴重 路由器可以阻隔廣播，但價格比交換機貴，而且中低端路由器是使用軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)性能不高，會照成性能瓶頸 大量的未知單播流量和無意組播流量 帶來安全隱患 難以管理和維護局域網(wǎng)隔離需求某局域網(wǎng)由5臺交換機組成，根據(jù)所連接的業(yè)務(wù)不同，劃分為以下的幾個功能區(qū)：研發(fā)區(qū)：約80臺主機辦公區(qū)：約50臺主機用戶希望對研發(fā)區(qū)和辦公區(qū)之間進行隔離，研發(fā)區(qū)和辦公區(qū)之間不能互相訪問。局域網(wǎng)隔離需求研發(fā)區(qū)辦公區(qū)局域網(wǎng)業(yè)務(wù)

2、隔離技術(shù)設(shè)計網(wǎng)絡(luò)時，最好的辦法是將廣播流量限制在僅需要該廣播的網(wǎng)絡(luò)區(qū)域中。出于業(yè)務(wù)考慮，有些主機需要配置為能相互訪問，有些則不能這樣配置。在交換網(wǎng)絡(luò)中，人們通過創(chuàng)建虛擬局域網(wǎng) (VLAN) 來按照需要將廣播限制在特定區(qū)域并將主機分組。VLAN分割廣播域廣播域廣播VLAN 1VLAN 2廣播域廣播域廣播本節(jié)大綱局域網(wǎng)VLAN需求VLAN工作原理跨交換機VLAN互連局域網(wǎng)VLAN部署VLAN技術(shù)形象地說，交換機VLAN技術(shù)就是將1臺物理交換機劃分為若干臺邏輯上完全獨立的交換機?；诮涌诘腣LAN技術(shù)基于交換機接口進行VLAN劃分；現(xiàn)網(wǎng)一般都使用基于接口的VLAN。默認情況下，交換機上只存在Vlan

3、 1，且所有接口都劃分在Vlan 1中。VLAN技術(shù)PC11243PC2PC3PC4Vlan 10Vlan 20VLAN配置創(chuàng)建VLANVLAN配置方法一：Switch# vlan databaseSwitch(vlan)# vlan 10Switch(vlan)# vlan 11Switch(vlan)# vlan 12Switch(vlan)# exitAPPLY completed.Exiting.Switch# show vlan /查看VlanVLAN Name Status Ports-1 default active Fa0/1,10 VLAN0010 active11 VLAN

4、0011 active12 VLAN0012 active方法二：Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# exitSwitch(config)# vlan 11 Switch(config-vlan)# exitSwitch(config)# vlan 12Switch(config-vlan)# exitSwitch(config)#方法三：批創(chuàng)建VLANSwitch# configure terminalSwitch(config)# vlan 10-12Switch(config-vlan

5、)# exitVLAN配置將接口劃分到VLANVLAN配置Switch# configure terminalSwitch(config)# interface fastEthernet 0/2Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10Switch(config-if)# interface fastEthernet 0/3Switch(config-if)# switchport mode accessSwitch(config-if)# switchport ac

6、cess vlan 11Switch(config-if)# ZSwitch# show vlan /查看Vlan信息VLAN Name Status Ports-1 default active Fa0/1,Fa0/4,10 VLAN0010 active Fa0/211 VLAN0011 active Fa0/312 VLAN0012 activeVLAN技術(shù) Access端口操作 VLAN10PC1VLAN10VLAN20PC2PC3VLAN20PC4access端口PVID:10access端口PVID:10access端口PVID:20access端口PVID:20Access接口：

7、進該接口打上VLAN標記，出接口剝離VLAN標記；Tag=10Tag=20本節(jié)大綱局域網(wǎng)VLAN需求VLAN工作原理跨交換機VLAN互連局域網(wǎng)VLAN部署跨越多個交換機的VLAN方案一方案二實現(xiàn)方式在交換機間為每一個vlan建立一條專有傳輸鏈路在交換機間建立一條專有鏈路承載多個vlan的流量優(yōu)點不需要其他協(xié)議的支持不需要占用過多的端口缺點占用了過多的端口需要專有協(xié)議支持跨交換機VLAN互連Access鏈路與Trunk鏈路Vlan 10 tagVlan 11 tagTrunk鏈路Access鏈路Access鏈路Access鏈路Access鏈路Vlan 10Vlan 11Vlan 10Vlan 1

8、1Trunk與Access端口Trunk端口一條物理鏈路同時承載多個VLAN的數(shù)據(jù)Cisco默認屬于所有VLAN，H3C默認只屬于本地VLAN必須100M以上端口連接交換機-交換機，交換機-路由器Access端口 僅屬于某個特定VLAN 連接交換機-終端Trunk與Access端口（續(xù)）VLAN中繼-TrunkTrunk的封裝格式：ISL、dot1QISL是Cisco專用的標準。在以太網(wǎng)報文中增加了26byte作為VLAN tag.Dot1Q是IEEE制訂的標準802.1Q，幾乎所有的廠商設(shè)備都支持。在以太網(wǎng)報文中增加了4byte作為VLAN tag.802.1Q 標簽幀比ISL 標簽幀包含更

9、少的域，因為它是在標準以太網(wǎng)幀中插入4個字節(jié)的tag幀而不是放入標簽頭部信息。Cisco ISL工作原理和幀格式中繼鏈路VLAN 10接入鏈路ISL頭26字節(jié)CRC4字節(jié)VLAN 10VLAN字段共15個比特位的長度，低10位用于1024個VLAN。IEEE802.1Q的工作原理中繼鏈路接入鏈路802.1Q 標記 4字節(jié)802.1Q 幀格式TPIDTCI802.1Q 幀格式 802.1Q VLAN Trunk交換機VLAN號范圍802.1Q tag為12位；最多的Vlan個數(shù)212-2=4094個。VLAN號的范圍用途0，4095保留1交換機默認VLAN2-1001, 1006-4094普通V

10、lan1002-1005Cisco有特殊用途，用于FDDI和Token Ring。其它廠家未作特殊定義，為普通Vlan。Switch Native VLAN802.1Q Trunk每個802.1Q Trunk接口都有1個Native Vlan，默認為Vlan 1。在802.1Q Trunk接口上， Native Vlan的幀收發(fā)都不帶tag，其他所有Vlan的幀收發(fā)都帶上該Vlan的tag。Vlan 11 tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 1Vlan 11Vlan 1Vlan 11Native Vlan 1Native Vl

11、an 1Native VLAN的作用Vlan 1 成為一個特殊的vlan是因為第2層設(shè)備需要一個默認 vlan作為它們端口的歸屬，包括他們的管理端口。此外很多第2層協(xié)議， 例如BPDU , CDP, VTP, PAgP和DTP 需要在一個特定的 vlan中發(fā)送消息， 由于這些原因，選 擇了vlan 1。Native VLANNative VLANNative Vlan是802.1Q Trunk接口下的概念。不同的802.1Q Trunk接口的Native Vlan可以不同。Vlan 1 tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 2V

12、lan 1Vlan 3Vlan 1Native Vlan 3Native Vlan 2Native Vlan 1Vlan 2 tag802.1Q VLAN TrunkTrunk接口的允許VLAN列表Cisco Trunk接口默認允許所有VLAN通過。Huawei / H3C Trunk接口默認不允許任何VLAN通過。對于不在允許列表中的VLAN， 該Trunk接口數(shù)據(jù)收發(fā)都禁止。Vlan 11 tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 10Vlan 11Vlan 10Vlan 11Native Vlan 1允許VLAN列表：1,11

13、Native Vlan 1允許VLAN列表：1,11802.1Q VLAN Trunk交換機上的VLAN對轉(zhuǎn)發(fā)的影響Vlan 11 tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 10Vlan 11Vlan 10Vlan 11Native Vlan 1允許VLAN列表：1、10、11。Vlan 10 tagVLAN： 1、10、11VLAN： 1、11802.1Q VLAN Trunk配置802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 10Vlan 11Vlan 10Vlan 11Swit

14、ch(config)# interface fastEthernet 0/1Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk allowed vlan all /思科默認配置Switch(config-if)# switchport trunk native vlan 1 /默認配置Switch(config-if)# ZSwitch# show interfaces trunk /

15、查看Trunk信息只支持802.1Q封裝的不需此配置Access與Trunk接口數(shù)據(jù)轉(zhuǎn)發(fā)Access接口數(shù)據(jù)轉(zhuǎn)發(fā)向Access鏈路轉(zhuǎn)發(fā)數(shù)據(jù)幀時，不帶tag。當Access接口收到不帶tag的幀，如果交換機上存在該Vlan，則在該Vlan中轉(zhuǎn)發(fā)該幀；否則丟棄該幀。當Access接口收到帶tag的幀，直接丟棄該幀。簡單地說， Access接口只收發(fā)本Vlan不帶tag的幀。Vlan 11 tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 2Vlan 11Vlan 3Vlan 11Native Vlan 2Native Vlan 3Access與

16、Trunk接口數(shù)據(jù)轉(zhuǎn)發(fā)Trunk接口數(shù)據(jù)轉(zhuǎn)發(fā)向Trunk鏈路轉(zhuǎn)發(fā)數(shù)據(jù)幀時，該接口的Native Vlan不帶tag，其他所有Vlan都帶上相應的tag。當Trunk接口收到帶tag的幀，若該接口允許該Vlan通過，及交換機上存在該Vlan，則在該Vlan中轉(zhuǎn)發(fā)該幀；否則直接丟棄該幀。當Trunk接口收到不帶tag的幀，若該接口允許Native Vlan通過，及該交換機上存在該Vlan，則在該接口的Native Vlan中轉(zhuǎn)發(fā)該幀；否則直接丟棄該幀。簡單地說，Trunk接口只收發(fā)本接口允許VLAN列表的數(shù)據(jù)幀，本接口的Native Vlan不帶tag，其他所有Vlan都帶tag。Vlan 11

17、tag802.1Q TrunkAccess鏈路Access鏈路Access鏈路Access鏈路Vlan 2Vlan 11Vlan 3Vlan 11Native Vlan 2Native Vlan 3VLAN技術(shù)的交換機內(nèi)部實現(xiàn)IVL: Independent Vlan Learning 獨立Vlan學習整個交換機一張MAC表，MAC表以MACVlan ID作為主鍵存儲。目的MAC帶上Tag中的Vlan ID一起查找MAC表。數(shù)據(jù)幀進入交換機后，帶Tag的數(shù)據(jù)幀可直接查找MAC表，不帶Tag的數(shù)據(jù)幀打上Tag后再查找MAC表。Access接口進來的不帶Tag的幀打上本Vlan的Tag。Trunk

18、接口進來的不帶Tag的幀打上Native Vlan的Tag。廣播幀、組播幀、未找到MAC表項的單播幀在本Vlan內(nèi)進行洪泛。所有數(shù)據(jù)幀在交換機內(nèi)部都帶Tag，內(nèi)部Tag可以是802.1Q Tag，也可以是廠家私有Tag；而Trunk鏈路上所帶Tag是802.1Q Tag。本節(jié)大綱局域網(wǎng)VLAN需求VLAN工作原理跨交換機VLAN互連局域網(wǎng)VLAN部署局域網(wǎng)VLAN劃分局域網(wǎng)VLAN劃分按業(yè)務(wù)/功能區(qū)劃分按訪問控制/隔離需求劃分按主機數(shù)/廣播域大小劃分按IP子網(wǎng)劃分分塊劃分研發(fā)區(qū)辦公區(qū)研發(fā)區(qū)辦公區(qū)研發(fā)區(qū)服務(wù)器區(qū)辦公區(qū)Vlan 塊1Vlan 塊2局域網(wǎng)VLAN部署轉(zhuǎn)發(fā)路徑上VLAN存在的重要性研發(fā)

19、區(qū)辦公區(qū)研發(fā)區(qū)辦公區(qū)研發(fā)區(qū)服務(wù)器區(qū)辦公區(qū)VLAN： 1、20、30VLAN： 1、10、11VLAN： 1、10、11局域網(wǎng)VLAN部署方法一：靜態(tài)全配置在較重要的網(wǎng)絡(luò)中，新入網(wǎng)的交換機都要求必須支持4094個Vlan。批創(chuàng)建：Vlan 2-4094批創(chuàng)建：Vlan 2-4094批創(chuàng)建：Vlan 2-4094批創(chuàng)建：Vlan 2-4094接入層按本交換機需要創(chuàng)建Vlan按本交換機需要創(chuàng)建Vlan按本交換機需要創(chuàng)建Vlan核心層匯聚層接入層核心層批創(chuàng)建：Vlan 2-4094批創(chuàng)建：Vlan 2-4094按本交換機需要創(chuàng)建Vlan按本交換機需要創(chuàng)建Vlan批創(chuàng)建：Vlan 2-4094接入層核心層局域網(wǎng)VLAN部署方法二：按網(wǎng)絡(luò)規(guī)劃靜態(tài)配置按本交換機需要創(chuàng)建Vlan按本交換機