高职大赛培训01-vlan技术.ppt

上传人：小飞机

文档编号：6069917

上传时间：2023-09-19

格式：PPT

页数：51

大小：1.28MB

《高职大赛培训01-vlan技术.ppt》由会员分享，可在线阅读，更多相关《高职大赛培训01-vlan技术.ppt（51页珍藏版）》请在三一办公上搜索。

1、VLAN技术,本章内容,VLAN基本配置使用SVI实现VLAN间通信使用单臂路由实现VLAN间通信Private VLAN原理与配置Super VLAN原理与配置,课程议题,VLAN配置,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN 10,VLAN 40,VLAN 30,VLAN 20,VLAN技术,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,VLAN 概述（Virtual Local Area Network）VLAN是划分出来的逻辑网络，是第二层网络

2、。VLAN端口不受物理位置的限制。VLAN 隔离广播域。,VLAN技术的好处,通过在交换网络中的VLAN技术的实施，可以为网络带来很多诸如隔离广播、安全、负载分担等好处。隔离广播：在交换网络中，通过广播域的隔离，可以大大减少网络中泛洪的广播包，从而提高网络中的带宽利用率。安全性：通过在二层网络划分VLAN，可以实现在二层网络中不同VLAN间的数据隔离，。故障隔离：通过VLAN的划分，由于将设备划分到不同的广播域当中，可以减小网络故障的影响。,IEEE802.1Q数据帧,标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比

3、特，表示优先级Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围14094,Trunk端口工作原理,802.1Q工作特点：Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。Native VLAN：这类VLAN可以省略掉打标签的过程，但是网络中只能有一个Native VLAN，默认情况下，锐捷交换机上的Native VLAN是VLAN 1。,数据帧,Tag标签,Trunk,Trunk,数据帧,A,B,配置VLAN

4、创建VLAN,步骤1：进入全局配置模式Switch#configure terminal步骤2：创建VLANSwitch(config)#vlan vlan-id步骤3：（可选）命名VLANSwitch(config-vlan)#name vlan-name,配置VLAN将端口加入VLAN,步骤1：进入端口配置模式Swtich(config)#interface interface步骤2：将端口模式设置为接入端口Switch(config-if)#switchport mode access步骤3：将端口添加到特定VLANSwitch(config-if)#switchport access

5、vlan vlan-id,配置VLAN将端口加入VLAN,示例：将端口FastEthernet 0/1加入VLANSwitch#configure terminalSwitch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10Switch(config-if)#end,配置VLAN将一组端口加入VLAN,步骤1：进入到一组需要添加到VLAN的端口中Swtich(config)#interface range

6、interface-range步骤2：将端口模式设置为接入端口Switch(config-range-if)#switchport mode access步骤3：将一组端口划分到指定VLANSwitch(config-range-if)#swtichport access vlan vlan-id,配置VLAN将一组端口加入VLAN,示例：将端口fastEthernet 0/15,0/7同时划分到VLAN10Switch#configure terminalSwitch(config)#interface range fastEthernet 0/1-5,0/7Switch(config-if

7、-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exit,VLAN配置配置Trunk和Native VLAN,将级联端口设置为Trunk步骤1：进入需要配置的端口swtich(config)#interface interface步骤2：将端口的模式设置为TrunkSwitch(config-if)#switchport mode trunk 配置Native VLAN步骤1：进入到需要配置的Trunk端口中swtich(config)

8、#interface interface步骤2：配置Trunk的Native VLANSwitch(config-if)#switchport trunk native vlan vlan-id,配置VLAN配置VLAN许可列表,步骤1：进入全局配置模式Switch#configure terminal步骤2：进入需要配置为Trunk的端口Switch(config)#interface interface步骤3：定义该端口模式为TrunkSwitch(config-range-if)#switchport mode trunk步骤4：定义Trunk的VLAN列表Switch(config-i

9、f)#switchport trunk allowed vlan all|add|remove|except vlan-list,配置VLAN查看、删除VLAN,删除VLANSwitch(config)#no vlan VLAN-id验证配置信息Switch#show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists-Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094Switch#show vlan VLAN Na

10、me Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4,课程议题,SVI实现VLAN间通信,划分VLAN的问题,划分VLAN的问题在交换机上划分VLAN后，带来了隔离广播、提高安全性、隔离故障的好处，但是，问题是不同VLAN之间无法通过二层设备互相通信。解决办法通过三层设备实现VLAN间路由。,F0/3,F0/1,F0/2,SVI实现不同VLAN间相互通信,三层交换机上配置SVI接口地址各VLAN中主机将三层交换机上相应VLAN的SVI接口地址作为本VLAN网关数据到达三层交换机后利用路由功能转发到其他VLAN,配置SVI,步骤1 开启

11、路由功能（默认）Switch(config)#ip routing步骤2 创建VLANSwitch(config)#vlan vlan-id步骤3 进入VLAN的SVI接口配置模式Switch(config)#interface vlan vlan-id步骤4 给SVI接口配置IP地址Switch(config-if)#ip address ip-address mask,配置SVI示例,Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)exitSwitch(config)#vlan 20Switch(confi

12、g-vlan)#exitSwitch(config)#interface vlan 10Switch(config-if)#Switch(config-if)#no shutdownSwitch(config)#interface vlan 20Switch(config-if)#Switch(config-if)#no shutdown,课程议题,使用单臂路由实现VLAN间通信,路由器实现VLAN间路由,在路由器上为每个VLAN划分一个子接口每个子接口配置IP地址，作为相应VLAN的网关利用路由器的路由功能，实现不同子接口数据的转发缺点是：部署不灵活，形成网络瓶颈。,单臂路由配置,步骤1：创

13、建以太网子接口Router(config)#interface interface.sub-port步骤2：为子接口封装802.1q协议，并指定接口所属的VLANRouter(config-subif)#encapsulation dot1q vlan-id步骤3：为子接口配置IP地址Router(config-subif)#ip address ip-address mask-address步骤4：启用子接口Router(config-subif)#no shutdown,单臂路由配置示例,Router(config)#interface fastEthernet 0/0.1Router(c

14、onfig-subif)#encapsulation dot1q 10Router(config-subif)#Router(config-subif)#no shutdownRouter(config-subif)#exitRouter(config)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1q 20Router(config-subif)#Router(config-subif)#no shutdownRouter(config-subif)#end,课程议题,Private VLAN,划分VLA

15、N的问题,可分配的VLAN编号是1-4094，需要划分更多的VLAN怎么办每一个VLAN都划分一个子网，当划分多个VLAN时，导致地址的浪费,F0/1,F0/2,F0/3,Private VLAN,Private VLAN（私有VLAN，PVLAN）是能够为相同VLAN内不同端口提供隔离的VLAN。,F0/1,F0/2,F0/3,Pravite VLAN的组成,PVLAN可以将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：Primary VLAN（主VLAN）和Secondary VLAN（辅助VLAN组成）。,Secondary VLAN,F0/2,F0/1,Seco

16、ndary VLAN,Primary VLAN,Pravite VLAN的组成,主VLAN：主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。辅助VLAN：辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。隔离VLAN（Isolated VLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。团体VLAN（Community VLAN）：同一个团体VLAN中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN中可以有多个团体VLAN。,Pr

17、avite VLAN的端口类型,混杂端口（Promiscuous Port）：混杂端口为主VLAN中的端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和团体端口。隔离端口（Isolated Port）：隔离端口为隔离VLAN中的端口，隔离端口只能与混杂端口进行通信。团体端口（Community Port）：团体端口为团体VLAN中的端口，同一个团体VLAN中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体VLAN的端口进行通信。,Private VLAN的实现,主VLAN中的混杂端口用于连接到网关设备，可以和本VLAN中所有端口通信隔离VLAN中的各端口

18、均为隔离端口，互相不可通信，也不可与其他隔离VLAN或团体VLAN通信团体VLAN中的端口均为团体端口，可与本团体端口通信，不可与其他团体端口或隔离端口通信,配置Private VLAN,配置Private VLAN主要包括以下几个步骤：配置主VLAN与辅助VLAN关联辅助VLAN到主VLAN将辅助VLAN映射到主VLAN的3层接口配置主机端口配置混杂端口,配置Private VLAN,配置主VLAN与辅助VLAN步骤1：进入配置模式Switch#configure terminal步骤2：进入VLAN配置模式Switch(config)#vlan vid步骤3：配置私有VLAN类型Switc

19、h(config-vlan)#private-vlan community|isolated|primary 在802.1q VLAN中，有成员端口的VLAN不能配置为私有VLAN。VLAN 1不能配置为私有VLAN。,配置Private VLAN,关联辅助VLAN到主VLAN 步骤1：进入主VLAN的VLAN配置模式Switch(config)#vlan p_vid步骤2：关联辅助VLAN到主VLANSwitch(config-vlan)#private-vlan association add|remove svlist将辅助VLAN映射到主VLAN的三层接口步骤1：进入主VLAN的VLA

20、N接口模式Switch(config)#interface vlan p_vid步骤2：映射辅助VLAN到主VLAN的三层接口Switch(config-if)#private-vlan mapping add|remove svlist,配置Private VLAN,配置主机端口步骤1：进入主机端口Switch(config)#interface port-type port步骤2：配置端口为主机端口Switch(config-if)#switchport mode private-vlan host步骤3：关联主机端口到PVLANSwitch(config-if)#switchport p

21、rivate-vlan host-association p_vid s_vid配置混杂端口步骤1：进入主机端口Switch(config)#interface interface步骤2：配置端口为混杂端口Switch(config-if)#switchport mode private-vlan promiscuous步骤3：配置混杂端口所在的主VLAN以及关联的辅助VLANSwitch(config-if)#switchport private-vlan mapping p_vid add|remove svlist,配置Private VLAN,配置Private VLAN注意事项一个P

22、rivate VLAN处于Active状态必须满足下列条件：具有主VLAN具有辅助VLAN辅助VLAN和主VLAN进行关联主VLAN内有混杂端口,配置Private VLAN示例,配置Private VLAN示例,Swich#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#private-vlan primarySwitch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#private-vlan communitySwitch(config-vlan)

23、#exitSwitch(config)#vlan 30Switch(config-vlan)#private-vlan isolatedSwitch(config-vlan)#exitSwitch(config)#vlan 10Switch(config-vlan)#private-vlan association add 20,30Switch(config-vlan)#exit,配置Private VLAN示例,Switch(config)#interface range fastEthernet 0/1-2Switch(config-if-range)#switchport mode p

24、rivate-vlan hostSwitch(config-if-range)#switchport private-vlan host-association 10 30Switch(config-if-range)#exitSwitch(config-if)#interface range fastEthernet 0/3-4Switch(config-if-range)#switchport mode private-vlan hostSwitch(config-if-range)#switchport private-vlan host-association 10 20Switch(

25、config-if-range)#exitSwitch(config)#interface fastEthernet 0/5Switch(config-if)#switchport mode private-vlan promiscuousSwitch(config-if)#switchport private-vlan mapping 10 add 20,30Switch(config-if)#end,课程议题,Super VLAN,Super VLAN,Super VLAN又称为VLAN聚合，是一种专门优化IP地址管理的技术可以将一个网段的IP分给不同的子VLAN（Sub VLAN），这

26、些Sub VLAN同属于一个Super VLAN。,Sub VLAN,F0/2,F0/1,Sub VLAN,Super VLAN,IP子网,Super VLAN,Super VLAN特点每一个Sub VLAN都是独立的广播域属于同一Super VLAN的Sub VLAN在同一子网中Sub VLAN间的用户需要进行通信时，将使用Super VLAN 的VLAN接口的IP 地址作为网关地址不同Sub VLAN 间的互通及Sub VLAN 与其他网络的互通，需要利用ARP代理（Proxy ARP）功能,Sub VLAN通信过程,同一Sub VLAN中主机的通信可以直接进行不同Super VLAN

27、中的主机通信时，需要经过交换机进行ARP代理,Super VLAN注意事项,部署Sub VLAN的注意事项：Super VLAN不能包含任何成员端口，只能包含Sub VLAN。Sub VLAN包含物理端口。Super VLAN不能作为其他Super VLAN的Sub VLAN。PVLAN主要用于解决VLAN数量受限制的问题，Super VLAN主要用于节省IP地址。Super VLAN不能当正常的802.1q VLAN来使用。VLAN 1不能作为Super VLAN。针对Sub VLAN不能创建VLAN接口并分配IP地址。Super VLAN不能使用VRRP，不支持多播。基于Super VLA

28、N接口的ACL和QoS配置不对Sub VLAN生效。,配置Super VLAN,配置Super VLAN主要分为以下几个步骤：定义Super VLAN配置Super VLAN的Sub VLAN设置Sub VLAN的地址范围配置Super VLAN的SVI地址划分接口到Sub VLAN,配置Super VLAN,定义Super VLAN 步骤1：进入VLAN配置模式Switch(config)#vlan vlan-id步骤2：配置VLAN为Super VLANSwitch(config-vlan)#supervlan配置Super VLAN的Sub VLAN 步骤1：进入Super VLAN的配

29、置模式Switch(config)#vlan vlan-id步骤2：配置Super VLAN的Sub VLAN列表Switch(config-vlan)#subvlan vlan-id-list,配置Super VLAN,配置Sub VLAN的地址范围步骤1：进入Sub VLAN的配置模式Switch(config)#vlan vlan-id步骤2：设置Sub VLAN的地址范围Switch(config)#subvlan-address-range start-ip end-ip配置Super VLAN的虚接口步骤1：进入Super VLAN的配置模式Switch(config)#interface vlan vlan-id步骤2：配置Super VLAN的虚接口Switch(config-if)#ip address ip-address mask,配置Super VLAN,配置VLAN的代理ARP功能步骤1：进入VLAN配置模式Switch(config)#vlan vlan-id步骤2：打开VLAN的ARP代理功能Switch(config-vlan)#proxy-arp查看Super VLAN配置Switch#show supervlan,Q&A,