1、网络隔离与广播风暴控制,VLAN概述基于端口划分VLAN的类型用VLAN实现单交换机端口隔离,课程议题,VLAN概述基于端口划分VLAN的类型用VLAN实现单交换机端口隔离,课程议题,交换网络中的问题,在交换机组成的网络里所有主机都在同一个广播域内,各主机之间都能无限制地到达,能否实现各部门内部能相互访问,而部门之间为了安全限制访问,广播域,安全,广播,交换网络中问题的解决-VLAN,VLAN20,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN10,VLAN30,VLAN40,VLAN (Virtual Local Area Network)VLAN是在一个物理网络上划分出
2、来的逻辑网络。这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中。用二层的设备实现三层的部分功能(逻辑隔离),VLAN技术,VLAN的优点,控制网络的广播流量简化网络管理,减少管理开销提高网络安全,VLAN的种类,基于端口的VLAN基于协议的VLAN基于MAC地址的VLAN,VLAN概述基于端口划分VLAN的类型用VLAN实现单交换机端口隔离,课程议题,VLAN的类型:1、Port VLAN: 端口VLAN 一个端口只属于一个VLA
3、N 2、Tag VLAN :标记VLAN 实现跨交换机的相同VLAN内主机之间的通信,同时对于不同VLAN的主机进行隔离,遵循IEEE802.1q协议标准,基于端口划分VLAN的类型,端口模式:1、Access 端口 一个端口只属于一个VLAN2、Trunk 端口 端口属于多个VLAN,默认可以通明传输交换机上所有VLAN的帧,基于交换机的端口(一个端口只属于一个VLAN),VLAN的类型:Port VLAN,Port VLAN设置在连接主机的端口,F0/1,F0/2,F0/3,Port-vlan原理,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 10,A
4、 BA C,X,在MAC表中,增加了VID标识,以区别端口所在的VLAN,VLAN概述基于端口划分VLAN的类型用VLAN实现单交换机端口隔离,课程议题,创建VLAN10,将它命名为test的例子Switch# configure terminalSwitch(config)# vlan 100Switch(config-vlan)# name testSwitch(config-vlan)# end 把ethernet 0/10作为access口加入了VLAN10 Switch# configure terminalSwitch(config)# interface fastethernet
5、0/10Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 100Switch(config-if)# end,Port VLAN,即将连接主机的端口设成access模式。,配置Port VLAN,VLAN编号取值范围是1-4096(212),但在模拟器中为1-1005,Port vlan的配置,将一组接口加入某一个VLAN (锐捷设备:)Switch(config)#interface range fastethernet 0/1-10,0/15,0/20(思科设备:)Switc
6、h(config)#int range f 0/2 - 20 , f 0/15Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 20注:连续接口 0/1-10,不连续接口用逗号隔开,但一定要写明模块编号,拓扑图,配置交换机,SwitchenSwitch#config tSwitch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#exitSwitc
7、h(config)#int range f 0/1 , f 0/20Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exitSwitch(config)#int f0/10Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20Switch(config-if)#ZSwitch#Switch#S
8、witch#sh running-config Current configuration : 1162 bytesinterface FastEthernet0/1 switchport access vlan 10 switchport mode accessinterface FastEthernet0/2,检查配置,Switch#show vlan VLAN Name Status Ports- - - -1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/11, Fa0/12, Fa0/
9、13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gig1/1, Gig1/210 VLAN0010 active Fa0/1, Fa0/2020 VLAN0020 active Fa0/101002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent
10、RingNo BridgeNo Stp BrdgMode Trans1 Trans2- - - - - - - - - - -1 enet 100001 1500 - - - - - 0 010 enet 100010 1500 - - - - - 0 020 enet 100020 1500 - - - - - 0 01002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - -
11、ibm - 0 0,检查连接情况,PC0能与PC2连通,但与PC1不能连通,实现了端口隔离,将VLAN信息保存到flash中Switch#write memory删除VLAN1、show vlan2、将要删除的VLAN中所包含的端口转到其他VLAN中3、Switch(config)#no vlan VID编号 (注意:vlan1属于系统自动创建的VLAN,不能删除)(另外: Switch#dir Switch#delete flash:vlan.dat Switch#reload 但在虚拟机中,重启后又重新存在,未能真正实现),保存/清除VLAN信息,VLAN概述基于端口划分VLAN的类型用VLAN实现单交换机端口隔离,课程回顾,Q&A,
