交换技术与应用—VLAN与链路聚合

网络互连与实现
命令：name <vlan-name> no name
Name命令
功能：为VLAN 指定名称，VLAN 的名称是对该VLAN 一个 描述性字符串；本命令的no 操作为删除VLAN 的名称。 参数：<vlan-name>为指定的vlan 名称字符串。 命令模式：VLAN 配置模式
缺省情况：VLAN 缺省VLAN 名称为vlanXXX，其中XXX 为 VID。
网络互连与实现
私有VLAN的分类
私有VLAN
主VLAN：Primary VLAN，代表一个Private VLAN整体 群体VLAN：Community VLAN 隔离VLAN：Isolated VLAN
在Trunk链路上传输多个 VLAN信息 要求Trunk至少要100M
网络互连与实现
VLAN的划分与配置
实验拓扑图
13 20
实验步骤
设臵交换机的IP地址； 验证PC1与PC2之间是否连通？ 创建VLAN100和VLAN200
Switch(config)#vlan <vlan号>
PC1
VLAN 100
1-8端口 9-16端口 17-24端口 1-8端口 1-8端口 1-8端口 9-16端口
PC1 ping 交换机B PC1 ping 交换机B PC1 ping PC2 PC1 ping PC2
网络互连与实现
命令switchport mode
命令：switchport mode {trunk|access} 功能：设臵交换机的端口为access 模式或者trunk 模式。 参数：trunk 表示端口允许通过多个VLAN 的流量； access 为端口只能属于一个VLAN。 命令模式：端口配臵模式 缺省情况：端口缺省为Access 模式。
网络互连与实现
使跨交换机相同VLAN间通信成为可能
级联端口
802.1Q的帧结构
Tagged frame
vlan10
vlan20
vlan30
级联端口
vlan30
vlan20 vlan10
普通帧
Destination Address Source Address Type 0x8100 Source Address 802.1p (3bit) Type or Length field 802.1q tag High protocol header and data Type or Length field High protocol header and data
网络互连与实现
Ethernet Switcher
基于MAC的VLAN
Ethernet Switcher
1 2
VLAN 100
6
6
VLAN 100
2
1
3 4 5
5
3
VLAN 200
4
VLAN 200
以网络设备的MAC地址来划分VLAN，将某一组MAC的成员划分为一个VLAN ；
缺点：管理麻烦
VID =? tagged
PC2
PVID =100
untagged
PC1
PVID：Port VLAN ID，表示缺省端口的VLAN编号，指出从外部接收的数据帧被交换机分配 到哪个VLAN去，是端口属性。 VID：VLAN ID，表示端口所处的VLAN编号，指出一个端口从交换机内部可以接收哪个VLAN 的数据，是VLAN属性。 在设臵PVID和VID时，要保持PVID和VID的一致，如：一个端口属于几个VLAN，那么这个端 口就会具有好几个VID，但是只能有一个PVID，并且PVID号应该是VID号中的一个，否则交 换机不识别。
网络互连与实现
交换机接口模式
Trunk 模式
trunk 表示端口允许通过多个VLAN 的流量
工作在trunk mode 下的端口称为Trunk 端口， Trunk 端口可以通过多个VLAN的流量，通过Trunk 端口之间的互联，可以实现不同交换机上的相同VLAN 的互通
Access模式
access 为端口只能属于一个VLAN
网络互连与实现
Ethernet Switcher1
跨交换机的VLAN实现
Ethernet Switcher2
1 2
VLAN 100
6
8
VLAN 100
12
16
3 4 5
15
3
14
VLAN 200
VLAN 200
两个交换机间如何交换相同VLAN的信息？
如何区分不同的VLAN？ IEEE802.1Q标准给出了解决方法
网络互连与实现
switchport trunk allowed vlan命令
命令：switchport trunk allowed vlan {<vlan-list>|all} no switchport trunk allowed vlan 功能：设置Trunk 端口允许通过VLAN；本命令的no 操作为恢复 缺省情况。 参数：<vlan-list>为允许在该Trunk 端口上通过的VLAN 列表； all 关键字表示允许该Trunk端口通过所有VLAN 的流量。 命令模式：端口配置模式 缺省情况：Trunk 端口缺省允许通过所有VLAN。 使用指南：用户可以通过本命令设置哪些VLAN 的流量通过 Trunk 端口，没有包含的VLAN流量则被禁止。
验证
将两台交换机的Trunk口相连； 将PC1或PC2接在不同的VLAN上 结果说明
网络互连与实现
跨交换机Hale Waihona Puke 署VLAN结果说明PC1位臵
VLAN100 VLAN200 VLAN1 VLAN100 VLAN100
PC2位臵
动作 PC1 ping 交换机B
VLAN1
结果 不通 不通 通 通 不通
PC2
VLAN 200
给VLAN100和VLAN200添加端口
Switch(config-vlan100)#switchport interface ethernet 0/0/13
验证PC1与PC2之间是否连通？
注：交换机的IP地址在vlan 1上。
网络互连与实现
跨交换机部署VLAN
VLAN间的通信需 要通过三层设备
工作在access mode 下的端口称为Access 端口， Access 端口可以分配给一个VLAN，并且同时只能分 配给一个VLAN
网络互连与实现
Tag VLAN
Switch B
Tag VLAN
Switch A
VLAN10
VLAN20
VLAN30
VLAN10
VLAN20 VLAN30
1.传输多个VLAN的信息 2.实现同一VLAN跨越不同的交换机
网管工作站
学生宿舍楼 K 教学楼 N
校办工厂
1000Base-LX/LH 1000Base-SX 10/100Base-TX
礼堂/活动中心
教育应用：大型校园网方案
网络互连与实现
实验目的
了解VLAN的工作原理
第五次实验
掌握VLAN的划分方法、跨交换机相同VLAN间通信 的方法
实验要求
熟练掌握VLAN的配臵方法 熟练掌握跨交换机相同VLAN间通信的实现
VLAN100
VLAN200
网络互连与实现
VLAN的功能
VLAN的功能 改善网络性能； 提高网络的安全性； 网络布署的方便性
VLAN100 VLAN200
VLAN有下述优点：
能减少在解决移动、添加和修改等问题时的管理开销； 提供控制广播活动的功能； 支持工作组和网络的安全性； 利用现有的集线器以节省开支。
实验内容
见实验十四、十五
网络互连与实现
问题的提出
私有VLAN
所有的vlan都需要访问一台公用的服务器，而且vlan之间不 要求通信，怎么办？
一个宽带小区，每家都入网并且要求其他人不能访问自己家的 主机，要求与别的主机隔离，如何解决？
解决方法：使用私有vlan来解决。
私有VLAN
在同一个VLAN内的端口之间进行隔离，称之为私有VLAN（private VLAN）。
Tagged 帧
Destination Address
0
4bytes
网络互连与实现
数据帧的标记
在IEEE802.1Q中，打标记和去标记的两种动作行为Tagging 和Untagging : Tagging：将802.1QVLAN的信息加入数据包的包头。具有加标记能力的端 口（Tagged端口）将VLAN信息加入到所有进出该端口的数据包内。如果数据 包已经被标记过，端口将不对该数据包改动。 Untagging：将802.1QVLAN的信息从数据包的包头去掉的操作。具有去标 记能力的端口会将VLAN信息从所有进出该端口的数据包头中去掉。如果数据 包没有被标记过，端口将不对该数据包改动。
网络互连与实现
VLAN的划分方法
基于端口的VLAN
该方法只需网络管理员针对于网络设备的交换端口进行重新分配组 合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什 么。
基于MAC地址的VLAN
基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN 的组合。在网络规模较小时，该方案亦不失为一个好的方法。
网络互连与实现
PSTN 教委信息中心
INTERNET
主楼/网络中心
DCNS-2008 NAS DCR-1750
校园东区
DCS-3628S堆叠组
路由器 教工宿舍楼 1
校园西区
防火墙 图书馆 实验楼
DCS-3726B
西区教学楼
DCRS-6512
教工宿舍楼 M
DCRS-7508
学生宿舍楼 1
路由交换机 教学楼 1
网络互连与实现
虚拟局域网VLAN 与链路聚合
网络互连与实现
学习要求
了解: VLAN的作用 掌握：VLAN的工作原理 掌握：VLAN的划分方法 掌握：IEEE802.1Q标准的作用及帧标记法
掌握：私有VLAN的应用与公共端口的实现方法
网络互连与实现
VLAN简介
VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交 换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不 同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多 个网络设备，允许处于不同地理位臵的网络用户加入到一个逻辑子 网中。 可根据功能、部门、应用等来划分VLAN。
常用的为第一种
网络互连与实现
Ethernet Switcher
基于端口的VLAN
Ethernet Switcher
1 2
VLAN 100
6
6 3
VLAN 100
1
3 4 5
2 4
5
VLAN 200
VLAN 200
以交换机上的端口来划分VLAN，将交换机中的若干个端口定义为一个 VLAN，同一个VLAN中的站点同一个子网里，不同的VLAN之间进行通信需要 通过路由器； 不足之处是灵活性不好，
网络互连与实现
帧标记法
802.1Q标准
802.1Q为相应的帧分配一个唯一的标记来标示帧的 VLAN信息； 当数据帧在交换机之间转发时，要对帧标记分析和 检查。 802.1Q用4个字节来进行标记
其中2B的TPID（tag protocol identifier）,取值 0x8100，用以标识该帧承载了802.1Q的tag信息； 2B的TCI（tag control information）： 3 bit用来表示用户的优先级 1 bit的CFI （规范格式指示）用来指示是否包含 VLAN 标签，默认值为0； 12bit的VID用来识别标记帧属于哪一个VLAN。
使用指南：交换机提供为不同的VLAN 指定名称的功能，有 助于用户记忆VLAN，方便管理。
网络互连与实现
设置TRUNK口PVID命令
命令：switchport trunk native vlan <vlan-id> no switchport trunk native vlan 功能：设置trunk口的PVID；本命令的no 操作为恢复缺省值。 参数：<vlan-id>为trunk口的PVID。 命令模式：端口 配置模式 缺省情况： trunk口的缺省PVID 为1。
Tagged数据帧 帧 in 端口 Tagged端口 Untagged端口 无动作 不识别 无动作 untagging 按端口PVID转发 按端口PVID转发 tagging 无动作 out in out Untagged数据帧
网络互连与实现
switch2 tagged untagged
数据帧的标记
VLAN100
VLAN200
网络互连与实现
实验步骤
跨交换机部署VLAN
给交换机设臵标示符和管理IP 在交换机中创建Vlan100和vlan200，并添加端口 设臵交换机trunk端口
Interface ethernet <port-id> Switchport mode trunk Switchport trunk allowed vlan all