《虚拟局域网》PPT课件.ppt

第3章 虚拟局域网,本章概述,教学目的：,通过本章教学，了解虚拟局域网的概念、作用；掌握虚拟局域网的配置；掌握不同类型的虚拟局域网；掌握主干协议的种类和配置方法；掌握虚拟局域网之间的路由。,本章重点：,VLAN的配置；VLAN主干协议；VLAN间路由,本章难点：,VLAN主干协议；VLAN剪裁,3.1 VLAN概述,什么是VLAN,虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段有某些共同的需求。每一个VLAN中都有明确的标识符，指明发送这个帧的站是属于哪一个VLAN的。它与IP子网间有一定的对应关系。,图2-3-1 虚网结构,VLAN的优点,安全性好。在没有路由的情况下，不同虚网间不能相互发送信息。网络分段。可将物理网络逻辑分段，而不是按物理分段。可以将不同地点，不同部门的计算机划一个虚网上，为进行有效的网络管理提供了方便。提供较好的灵活性。可以很方便地将一站点加入某个虚网中或从某个虚网中删除。,3.1 VLAN概述,VLAN分类,1.静态VLAN也称基于端口的VLAN。可通过命令直接将某一端口加入到某一VLAN中。表态VLAN的特点是配置简单，缺点是不够灵活，不支持移动办公的场合。2.动态VLAN动态VLAN是通过网管软件分配主机的MAC地址的方式来建立VLAN的。这种方式灵活性较强，但需专门的软件。对于小型应用场景，作静态VLAN较合适。3.基于 协议的VALN是根据子网的不同建立VLAN的。与动态VLAN类似，但是使用IP地址信息。由于与DHCP服务兼容性问题。此种方式现已较少使用。,3.1 VLAN概述,网络中VLAN的数量和大小,1.流量类型2.应用程序类型3.网络管理需要4.用户数量一般情况下一个物理子网对应一个VLAN。,3.1 VLAN概述,3.1.5 Super VLAN,Super VLAN又称为 VLAN聚合，是一种专门优化 IP地址的管理技术。其原理是将一个网段的 IP 分给不同的子 VLAN(Sub VLAN)，这些 Sub VLAN 同属于一个 Super VLAN。而每一个 Sub VLAN 都是独立的广播域，不同 Sub VLAN 之间二层相互隔离。当 Sub VLAN 内的用户需要进行三层通信时，将使用 Super VLAN 的虚接口的 IP 地址作为网关地址，这样多个VLAN 共享一个IP 地址，从而节省了IP 地址资源。同时，为了实现不同Sub VLAN 间的三层互通及 Sub VLAN 与其他网络的互通，需要利用 ARP 代理功能。通过ARP 代理可以进行 ARP 请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。,3.1 VLAN概述,3.1.6 Protocol VLAN,就是基于报文协议类型的VLAN分类技术，可以将某一协议类型的空VLAN ID报文都划分到同一个VLAN。Protocol VLAN只对Trunk和Hybrid口生效，对于access口没有作用。有基于IP地址的VLAN分类和端口上的基于报文类型和以太网类型的VLAN分类两种。基于 IP地址的VLAN分类优先级高于基于报文类型和以太网类型的VLAN分类。,3.1 VLAN概述,3.1.7 Private VLAN,PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port,Promiscuous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。,3.1 VLAN概述,3.1.7 Private VLAN,在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。,3.1 VLAN概述,3.1.8 Native VLAN,Native VLAN是用来交换的管理流量（如：STP信息，BPDU桥接协议数据单元,VLAN ID的信息）以及未指定VLAN的流量，这些流量不需要做802.1Q封装。默认的Native VLAN为VLAN 1。ISL协议和802.1Q的区别在于针对native vlan是否打标。ISL是全部都打，而802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记。,3.1 VLAN概述,干道的工作原理,干道是在多个交换机之间为多个VLAN承载流量的一种技术。如果不使用干道技术。会在两台或多台交换机连接多条线路，每条线路对应一个VLAN。这在许多场合下是不合适的。,3.2 干道技术,干道的工作过程,经过干道帧必须要打上相应的标记才能通过干道。打标记的方式有四种：ISL、802.1Q、802.10和LANE,3.2 干道技术,概述,是一种自动学习和扩散VLAN信息的协议。这对大规模网络是必须的。这种协议可以让我们只要在一台交换机上配置相应的VLAN信息。其它交换机干道协议自动学习到相应的VLAN信息。从而保证VLAN信息的一致性。,3.3 干道协议,交换机的工作模式,1.服务器模式 修改并传送VLAN信息。2.客户模式 只传送VLAN信息。3.透明模式 修改但不传送VLAN信息。VLAN之间同步是通过修订号进行的。CISCO使用VTP协议，而锐捷使用GVRP协议。,3.3 干道协议,VTP剪裁,VTP剪裁是通过减少不必要的泛洪更加有效利用中继线带宽。,3.3 干道协议,3.4.1 VLAN之间的路由,在一个交换的VLAN环境下，数据只在相同的VLAN之间传送。不同的VLAN之间不能进行数据传输。要使不同的虚网之间能进行通信，必须使用三层设备，即路由器或三层交换机。路由必须要满足以下条件：(1)路由器必须知道如何到达所有互联VLAN。为了确定在VLAN中互联了哪一个终端设备，每个终端必须给出一个网络层地址。每个路由器还必须知道到达每个目的VALN网络的路径。路由器已经知道直接连接的网络，但也必须知道非直接连接到路由器的网络。(2)每个VLAN中路由器必须有一个独立的物理连接，或主干必须是一个可用的单一物理连接。,3.4 虚网间的路由,3.4.2 VLAN间路由的方法,1.通过交换机的路由端口：将三层交换机的默认二层端口转化成三层端口。为每个端口配置IP地址等信息，作为某一虚网主机的网关。2.通过SVI方式：为每个虚网配置IP地址等信息，将此IP地址作为某一虚网主机的网关。3.通过子接口方式：为了支持ISL或802.1q主干，路由器上的物理层快速以太网口必须分成多个逻辑的可寻址的端口，每个VLAN一个。这种端口也叫子端口。,3.4 虚网间的路由,