虚拟局域网.ppt.ppt

虚拟网络技术打破了地理环境的制约，在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动，工作站组成逻辑工作组或虚拟子网，提高信息系统的运作性能，均衡网络数据流量，合理利用硬件及信息资源。同时，利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低网络维护费用。,4.5 虚拟局域网VLAN,2.5.1 虚拟网络的基本概念 虚拟网络建立在交换技术基础之上，将网络上的节点按工作性质与需要划分成若干个“逻辑工作组”，那么一个逻辑工作组就是一个虚拟网络。每一个VLAN的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。,2.5.2 虚拟局域网的实现技术 虚拟局域网的概念是从传统局域网引申出来的。虚拟局域网在功能和操作上与传统局域网基本相同，它与传统局域网的主要区别在于“虚拟”二字上，即虚拟局域网的组网方法与传统局域网不同。虚拟局域网的一组节点可以位于不同的物理网段上，但是并不受物理位置的约束，相互间通信就好像它们在同一个局域网中一样。虚拟局域网可以跟踪节点位置的变化，当节点物理位置改变时，无需人工重新配置。,1用交换机端口号定义虚拟局域网 许多早期的虚拟局域网都是根据局域网交换机的端口来定义虚拟局域网成员的。虚拟局域网从逻辑上把局域网交换机的端口划分为不同的虚拟子网，各虚拟子网相对独立。,VLAN1,VLAN2,用局域网交换机端口定义虚拟局域网,用局域网交换机端口定义虚拟局域网,a.Each logical VLAN is like a separate physical bridgeb.VLANs can span across multiple switchesc.Trunks carries traffic for multiple VLANsd.Trunks use special encapsulation to distinguish between different VLANs,优点：设置简单；安全性很好，因为只有网络管理员能修改设置。它是VLAN中最简单的一种，却也能提供最大程度的控制和安全性。缺点：每个端口只能支持一个VLAN，不能支持多个VLAN使用同一个物理网段（即交换机端口）的要求。此外如果某个用户所接的端口改变了，网络管理员必须重新设置VLAN成员。,2用MAC地址定义虚拟局域网 另一种定义虚拟局域网的方法是用节点的MAC地址来定义虚拟局域网，它具有自己的优点。由于MAC地址是与硬件相关的地址，所以用MAC地址定义的虚拟局域网允许节点移动到网络其它物理网段。由于它的MAC地址不变，所以该节点将自动保持原来的虚拟局域网成员的地位。从这个角度来说，基于MAC地址定义的虚拟局域网可以看作是基于用户的虚拟局域网。,优点：适合于移动用户，VLAN不变；缺点：是VLAN设置时必须由人工完成，相当麻烦。需要提前建立MAC地址与VLAN之间的对照表。,2.5.3 虚拟局域网的优点 1简化管理 许多人员的移动需要重新布线，几乎所有的移动都需要新的终端地址和集线器以及路由器的重新配置。VLAN为控制这些改变和减少集线器、路由器重新配置的开支提供了一个有效的方法。VLAN中的用户能共享同一网络地址空间（例如IP子网）而无须考虑它们的位置，当VLAN的用户从一个位置移到另一个位置时，只要它们还在同一个VLAN中并且仍可以连接到交换机端口，则它们的网络地址就无须改变。位置的改变只需简单地将用户终端插接到另一个VLAN交换机端口并对该端口进行配置即可。,VLAN简化布线示意图,2控制广播活动 使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播风暴不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播风暴。这样，可以减少广播流量，释放带宽给用户应用，减少广播风暴的产生。,VLAN控制广播域示意图,3提供较好的网络安全性 人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的资源。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。,提高安全性的个经济实惠和易于管理的技术是将网络分成多个广播域，它允许网络管理员：限制VLAN的用户数目；拒绝用户在收到VLAN网络管理应用认证之前的连接；将所有空闲的端口配置到一默认的低层服务的VLAN。,VLAN提供网络安全示意图,配置VLAN,1.创建VLAN2.将端口加入到某个VLAN3.配置TRUNK4.配置VTP,20,创建一个VLAN,Switch#configure terminalSwitch(config)#vlan 20Switch(config-vlan)#name test20Switch(config-vlan)#end,21,分配交换机的端口到VLAN中,Switch#configure terminalSwitch(config)#interface fastEthernet0/2Switch(config-if)#switchport access vlan 2,22,将交换机的端口从VLAN移出,Switch#configure terminalSwitch(config)#interface fastEthernet0/2Switch(config-if)#no switchport access vlan 2,配置TRUNK,中继是两个Catalyst2950系列交换机端口的点对点链路。中继传送多个VLAN的流量，允许用户扩展VLAN到整个网络。快速以太网中继使用Cisco的ISL或IEEE802.1Q协议，通过单一链路传送多个VLAN的流量。千兆位以太网中继仅使用ISL协议。,每个逻辑的VLAN就象一个独立的物理桥;同一个VLAN可以跨越多个交换机,主干连接,每个逻辑的VLAN就象一个独立的物理桥同一个VLAN可以跨越多个交换机主干功能支持多个VLAN的数据,快速以太网,26,ISL标识,通过硬件(ASIC)实现；ISL标识不会出现在工作站，客户端并不知道ISL的封装信息；在交换机或路由器与交换机之间，在交换机与具有ISL网卡的服务器之间可以实现。,ISL的主干功能使得VLAN信息可以穿越主干线。,27,相应端口配置trunk中继,Switch#configure terminalSwitch(config)#interface fastEthernet0/1Switch(config-if)#switchport mode trunk,28,禁用此端口的trunk功能,Switch#configure terminalSwitch(config)#interface fastEthernet0/1Switch(config-if)#switchport mode access,1.什么是VTP?VTP是VLANTrunkProtocol的简写，它提供每个设备（router或LAN-switch）在中继端口（trunk ports）发送广播。这些广播列出了发送设备的管理域，它的配置修订号，已知的VLAN及已知VLAN的确定参数。通过听这些广播，在相同管理域的所有设备都可以学习到在发送设备上配置的新的VLAN。,配置VTP,使用这种方法，新的VLAN只需要在管理域内的一台设备上建立和配置。信息会自动被相同管理域内的其它设备学到。借助于VTP，用户能在某台Catalyst2950系列交换机上集中配置VLAN，其配置信息自动传送到其他交换机。,2.分配VTP域,VTP域由一个或多个互连的交换机组成，他们共享一个VTP域名，仅在一个VTP域内的交换机才能配置VLAN。首先分配VTP域名(VTP domain name)，在相同管理域内的交换机可以通过VTP协议互相学习VTP信息。,3.3种VTP方式,Server方式：在VTPServer方式下，用户能在整个VTP域中创建、修改和删除VLAN和定义其他配置参数。VTPServer向同VTP域中的其他交换机通告其VLAN配置信息，同步其VLAN配置。VTPServer一般为缺省方式。Client方式：VTPClient不能创建、改变和删除VLAN。Transparent方式：VTPTransparent交换机不参与VTP配置。一台VTPTransparent交换机不通告其VLAN配置，也不同步其VLAN配置。,4.VTP配置,第一步，定义VTP域名：vtp domain name第二步，在VTP Server方式下加入交换机：vtp mode server第三步，设置域口令（可选项）：vtp password password第四步，证实VTP配置：show vtp status,VTP Server配置,Switch#configure terminalSwitch(config)#vtp domain ciscoSwitch(config)#vtp mode serverSwitch#show vtp status,VTP Client配置,Switch#configure terminalSwitch(config)#vtp domain ciscoSwitch(config)#vtp mode client Switch#show vtp status,配置Channel,快速/千兆以太网通道（Fast/Gigabit Ether Channel）技术不仅是链路带宽扩容的重要途径，而且起到容错作用。它可在100Mbps或1000Mbps以太网端口间实现，将多条并行链路的带宽叠加起来。这样多条链路被用作单条高速数据通道，通道中部分线路的故障不影响其它线路，从而也保障了网络的可靠性。思科的全线交换机产品和具有快速以太网端口的路由器都可以实施以太网通道技术，并且还可与多家第三方的主机和网卡厂商的设备之间实现以太网通道技术，在交换机和服务器之间建立高速连接。,Catalyst 2950 switchCat2950#configure tEnter configuration commands,one per line.End with CNTL/Z.Cat2950(config)#interface fa0/1Cat2950(config-if)#channel-group 1 mode desirableCat2950(config-if)#Cat2950(config)#interface fa0/2Cat2950(config-if)#channel-group 1 mode desirableCat2950(config-if)#Cat2950(config-if)#interface port-channel 1!-Configuring the port channel interface to be a trunk pulls fa0/1&2 in.Cat2950(config-if)#switchport mode trunk,本节介绍了无线局域网的基本概念，重点是它的拓扑结构和配置，并以DLink的AP和无线网卡为例讲述了基本配置，帮助读者对无线局域网有更深的认识。,2.6 无线局域网,2.6.1基本概念,无线局域网（WLAN）是计算机网络与无线通信技术相结合的产物。最早是利用射频（RF）技术，取代双绞线，在不采用传统电缆线的同时，提供传统有线局域网的所有功能，网络所需的基础设施不需要再埋在地下或隐藏在墙里，网络却能够随着需要移动或变化。,90年代后便携机的普及，人们需要在办公室以外的地方使其随身携带的便携机仍然能够保持接入其办公室的局域网，或能够访问其他公共网络，特别是随着蓝牙及无线相关技术的开发，无线局域网的范围被增大，发展成为移动计算机网络的新阶段。,无线局域网为数据传输提供了一套伸缩灵活、扩展自如的系统平台，在建筑物中可方便地构建。使用电磁波时，无线局域网的传输将跨越空间地理，并只需通过简单的配置，因而WLAN是非常灵活和机动的。今天，WLAN逐渐成为最受欢迎的通信方式之一而得到迅速的发展。,2.6.2 传输方式,采用无线电波作为无线局域网的传输介质是目前应用最多的，这主要是因为无线电波的覆盖范围较广，应用较广泛，所以无线电波成为无线局域网最常用的无线传输媒体。传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。目前无线局域网采用的传输媒体主要有两种，即微波与红外线。在采用微波做为传输媒体的无线局域网依调制方式不同，又可分为扩展频谱方式与窄带调制方式。,2.6.3 拓扑结构,无线局域网的工作模式一般分为两种，Infrastructure和Ad-hoc。Infrastructure是指通过AP互连的工作模式，也就是可以把AP看做是传统局域网中的Hub（集线器）。Ad-hoc是一种比较特殊的工作模式，它通过把一组需要互相通信的无线网卡的SSID设为同值来组网，这样就可以不必使用AP，构成一种特殊的无线网络应用模式。几台计算机装上无线网卡，即可达到相互连接，资源共享的目的。,无中心拓扑 有中心拓扑,无线设备,2.6.4 配置实例,架设无线局域网的基本设备是无线网卡和无线访问点，在一个会议室内如果没有预留足够的信息点，想上网就比较麻烦，可以采取临时布线的方式，这将使得会议室因为大量的走线而变得杂乱。首先将入户信息点接上无线访问点，然后在需要上网的计算机（台式机和笔记本计算机）上安装相应类型接口的无线网卡（分别是USB接口和PCMCIA接口），形成一个以AP为中心辐射各个上网计算机的家庭无线局域网。下面讲解一下具体步骤，无线局域网的配置主要包括两个部分，一是无线访问点的配置，二是无线网卡的配置。,厂商不同，配置方法和软件界面也不同，但基本配置参数都大同小异，以Dlink公司的AP产品DWL-900AP+为例来讲述如何配置。该AP内置Web服务器，用直通线将计算机的网卡与AP的端口相连，就可以通过浏览器像访问一个Web站点一样进行配置和管理。其出厂时的用户名为admin，无密码，缺省IP地址为192.168.0.50。登录进去以后，初始界面如图所示。可以通过向导的方式一步一步配置，也可以通过导航条的方式进行配置。,1.无线访问点的配置,初始界面,SSID及加密配置,设置和管理AP,配置DHCP服务,配置工作模式,状态信息,2.无线网卡的配置,首先安装无线网卡的驱动程序和配置程序，由于SSID参数和加密信息没有与AP匹配，因此状态显示“没有连接到网络”。,在配置选项中对SSID进行配置，使其与AP中的配置一样，BSS类型选择为有中心拓扑结构方式。,还需要配置的是加密选项，根据安全性的需求选择不加密或合适的加密强度，无线网卡要想连入网络，必须与AP设定的加密选项一致。,