收藏 分享(赏)
下载资源 加入VIP,免费下载

vlan技术的应用分析(胶片.ppt

上传人:kuailexingkong 文档编号:1704812 上传时间:2018-08-19 格式:PPT 页数:60 大小:3.54MB
下载 相关 举报
vlan技术的应用分析(胶片.ppt_第1页
第1页 / 共60页
vlan技术的应用分析(胶片.ppt_第2页
第2页 / 共60页
vlan技术的应用分析(胶片.ppt_第3页
第3页 / 共60页
vlan技术的应用分析(胶片.ppt_第4页
第4页 / 共60页
vlan技术的应用分析(胶片.ppt_第5页
第5页 / 共60页
点击查看更多>>
资源描述

1、VLAN技术的应用分析,皮晓明,VLAN的发展状况,VLAN的产生为传统的网络注入了新的活力,在网络中引发了一场变革。 如何完整正确地诠释VLAN,如何充分更好地使用VLAN,成为新的课题,VLAN发展 VLAN协议 VLAN应用,VLAN技术的应用与发展,VLAN发展,VLAN发展-起源,L2,L2,L2,L2,广播域,广播 报文,VLAN发展-起源,L2,L2,L2,L2,广播域,广播 报文,使用路由器隔离广播域,减少广播报文对网络的影响,VLAN发展-起源,L2,L2,L2,L2,广播 报文,VLAN的引入,为解决广播报文的泛滥提供了新的方法,VLAN2,VLAN3,VLAN4,一个VL

2、AN,一个广播域,VLAN发展-VLAN的优点,限制广播域,抑制广播报文 隔离用户,保证网络安全 虚拟工作组,超越传统网络的工作组方式,VLAN发展-划分方法,基于MAC地址 基于交换机端口 基于协议 基于IP子网,VLAN划分方法-基于MAC地址,主机B,主机A,主机C,主机D,VLAN10,VLAN20,VLAN30,主机A MAC,主机B MAC,主机C MAC,主机D MAC,VLAN信息表,VLAN划分方法-基于交换机端口,主机B,主机A,主机C,主机D,VLAN10,VLAN20,端口1,端口2,VLAN信息表,端口1,端口2,端口3,端口4,端口3,端口4,VLAN划分方法-基于

3、协议,运行IPX协议主机B,运行IPX协议主机C,运行IPX协议主机D,VLAN10,VLAN20,IP协议,IPX协议,VLAN信息表,运行IP协议主机A,VLAN划分方法-基于IP子网,主机B 1.1.2.1,主机C 1.1.1.2,主机D 1.1.2.2,VLAN10,VLAN20,1.1.1.*,1.1.2.*,VLAN信息表,主机A 1.1.1.1,VLAN发展-VLAN的标准,IEEE802.1Q成为业界的VLAN的标准,VLAN发展-VLAN网络作用,二层交换 三层路由,VLAN发展-VLAN与二层交换,MAC,端口,VLAN,一个交换机内的VLAN报文转发,VLAN与二层交换-

4、链路类型,干道链路,接入链路,跨越交换机的VLAN报文转发,Trunk 端口,Trunk 端口,Access端口,Access端口,VLAN与二层交换-标签化的报文,VLAN10,VLAN10,VLAN20,VLAN20,VLAN20标签报文,VLAN10标签报文,无标签报文,VLAN与二层交换-交换规则,主机和交换机之间传送的是untagged报文 交换机之间用干道链路(Trunk)连接 交换机用Tag来标识报文所属的VLAN 干道链路上传输的是Tagged Frame 不同VLAN之间在二层不能相互通讯,VLAN发展-VLAN与三层路由,不同VLAN之间是隔离 一个VLAN原则上对应一个I

5、P子网(PVLAN,VLAN聚合除外) VLAN之间互通需要三层路由,VLAN与三层路由-单臂路由器,VLAN10 1.1.1.2/24,VLAN20 1.1.1.3/24,源IP地址和目的IP地址在不同的VLAN 报文的源端口和目的端口是同一个端口 路由器在二层更换标签,从同一个端口发送出去,路由器工作在二层(主接口)方式,TRUNK端口 主接口地址1.1.1.1/24,VLAN与三层路由-单臂路由器,VLAN10,源IP地址和目的IP地址在不同的VLAN,在路由器上分别属于不同的子接口 路由器首先在三层进行路由,找到出端口后,负责更换标签,从出端口发送出去,路由器工作在三层(子接口)方式,

6、子接口地址Eth3/0/0.1 1.1.1.1/24,子接口地址Eth3/0/0.2 1.1.2.1/24,VLAN10 1.1.1.2/24,VLAN20 1.1.2.2/24,VLAN与三层路由-路由器的瓶颈,传统路由器路由算法复杂,成本高,维护和配置困难。 路由器对任何数据包都要有一个“拆打”过程,导致其不可能具有很高的吞吐量。 目前网络的流量情况由“80/20分配”向“20/80分配”规则发展,路由器在转发数据方面成为网络瓶颈,VLAN与三层路由-三层交换机,+,=,每一个VLAN对应一个IP网段,在二层上,VLAN之间是隔离的。 不同的IP网段之间的访问要跨越VLAN,可以使用三层转

7、发引擎提供的VLAN间路由功能。三层转发引擎就相当于传统路由器的路由功能,当VLAN之间相互通信时也要,需要在三层交换引擎上分配一个路由虚接口, 三层交换机上的路由虚接口与路由器的接口不同,不特定于某个物理端口。 在三层交换机上为VLAN指定路由虚接口的操作就是为VLAN指定一个IP地址、子网掩码和MAC地址,MAC地址是由设备制造过程中分配的,在配置过程中由交换机自动配置。,+,VLAN,VLAN协议,VLAN协议-GVRP,GVRP(GARP VLAN Registration Protocol)是一种基于GARP( IEEE802.1d)的VLAN注册协议,它为处于同一个交换网内的交换成

8、员之间提供了分发、传播、注册,注销VLAN信息的一种手段。,声明,注册,回收声明,注销,GVRP-GVRP在交换机上的实现,当GVRP在交换机上启动的时候,每个启动GVRP的Trunk端口对应一个GVRP应用实体。 GVRP实体之间的VLAN信息的注册,注销通过具有特定MAC地址的报文交互来实现。 GVRP报文类型:JoinLeaveLeaveAll,GVRP-VLAN的单向注册,VLAN属性会通过GVRP“声明注册声明”的过程,将VLAN10承载在JOIN报文中,传播到整个网络域中,注册在相应的启动GVRP的端口上,VLAN10注册,声明,GVRP-VLAN的双向注册,GVRP双向的“声明注

9、册声明”的过程,在整个网络域,自动形成一个VLAN10的二层通道,VLAN10注册,声明,GVRP-VLAN的注销,VLAN属性会通过GVRP“回收声明注销回收声明”的过程,承载在LEAVE报文中,传播到整个网络域中,注销在相应的启动GVRP的端口上的VLAN10,VLAN10注销,回收声明,GVRP-GVRP注册类型,NORMAL允许在该聚合端口动态创建、注册和注销VLAN。 FIXED允许手工创建和注册VLAN,并且防止VLAN的注销和在其它trunk端口注册此端口所知的VLAN。 FORBIDDEN注销除VLAN 1之外的所有VLAN,并且禁止在该端口上创建和注册任何其它VLAN。,GV

10、RP-GVRP应用举例,VLAN10,VLAN20,VLAN10,FIXED,FIXED,FIXED,NORMAL,VLAN10,VLAN10,VLAN20,VTP-VTP应用举例,VLAN10,SERVER,SERVER,SERVER,CLIENT,VLAN10,VLAN10,VLAN10,VLAN10,VLAN10,VLAN协议-MSTP,MSTP(Multiple Spanning Tree Protocol)基于IEEE Draft P802.1s/D10 MSTP与STP,和RSTP相比,是基于VLAN为生成树实例进行拓扑计算,为每个VLAN生成一个连通的路径 MSTP中存在域的概念

11、,域之间运行单生成树,MSTP-MSTP与RSTP比较,VLAN10,20,VLAN10,20,RSTP,VLAN10转发路径,VLAN20转发路径,MSTP-MSTP协议单域应用,VLAN10转发路径,VLAN20转发路径,MSTP-MSTP协议多域应用,VLAN应用,VLAN应用VLAN在交换机上的存在,交换机端口有三种模式,通过相应的配置命令,实现所需的VLAN配置功能: Access Mode:端口以untagged形式属于一个VLAN; Trunk Mode:端口以tagged形式属于一个或多个VLAN; Multi Mode:端口以untagged形式属于某些VLAN,同时以tag

12、ged形式属于某些VLAN;,VLAN应用VLAN在企业网中的应用,VLAN的引入,为企业网用户实现不同企业或同一企业不同部门间的隔离和互通提供了更加灵活的组网方式。下面以商务楼宇为例,说明VLAN在企业网中的应用。,企业网虚拟工作组,商务楼宇内的中心交换机,根据楼宇内不同公司对端口需求,将每个公司所拥有的端口划分到不同的VLAN,实现公司间业务数据的完全隔离,可以认为每个公司拥有独立的“虚拟交换机”,每个VLAN就是一个“虚拟工作组”。,公司A,公司B,公司C,VLAN2,VLAN3,VLAN4,企业网跨交换机虚拟工作组,公司业务发展,部门需要跨越不同的商务楼宇,通过TRUNK端口连接不同楼

13、宇的中心交换机,实现跨不同的交换机的不同公司的业务数据隔离,以及同一公司内业务数据的互通,公司A,公司B,公司C,公司A,公司B,公司C,VLAN2,VLAN3,VLAN4,VLAN2,VLAN3,VLAN4,Trunk,企业网多层级联虚拟工作组,随着商业楼宇内的用户的增多,需要通过级联交换机来达到扩展用户数量的目的,为了继续保证用户的隔离和互通,将在级联交换机间采用TRUNK连接,并且可以运行GVRP或VTP协议,来自动配置各个中心交换机上的VLAN。,公司A,公司B,公司C,VLAN2,VLAN3,VLAN4,Trunk,公司A,公司B,公司C,VLAN3,VLAN4,VLAN2,企业网虚

14、拟工作组互通,对于不同的公司之间的互通需求,可以通过VLAN间互通来解决。对于VLAN终结在一个三层交换机上的组网方式,可以直接在三层交换机上为每个VLAN配置路由虚接口,实现VLAN间路由。如果不允许VLAN之间互通,则可以配置ACL规则。,公司A,公司B,公司C,VLAN2,VLAN3,VLAN4,Trunk,公司A,公司B,公司C,VLAN3,VLAN4,VLAN2,VLAN2路由虚接口,VLAN2路由虚接口,VLAN3路由虚接口,企业网虚拟工作组互通,为了管理上的方便,以及分担一定的互通流量,VLAN终结在不同的三层交换机。VLAN间的互通需要三层交换机之间的路由来实现,在交换机上需要

15、配置配置静态路由或运行路由协议。,公司A,公司B,公司C,VLAN2,VLAN3,VLAN4,Trunk,公司A,公司B,公司C,VLAN3,VLAN4,VLAN2,VLAN2路由虚接口,VLAN2路由虚接口,VLAN3路由虚接口,三层路由,VLAN5路由虚接口,VLAN应用VLAN在园区网中的应用,PVLAN VLAN聚合,VLAN应用PVLAN,PVLAN:Primary VLAN,即私有VLAN 优点:节约交换机VLAN的使用数量 特点:PVLAN是个纯二层的概念,在单个交换机上配置的VLAN对于其他交换机是不可见的,不能与Trunk同时使用,PVLAN-实现原理,使用两层VLAN隔离的

16、方法,只有上层VLAN全局可见,相当于在一个VLAN内实现用户隔离,达到端口隔离的效果,Primary vlan 5,Primary vlan 6,5,6,1,2,Secondary vlan10,Secondary Vlan20,PVLAN-组网应用,L3,L2,3,4,Secondary vlan10,Secondary vlan10,7,8,骨干网络,IP,L3,L3,GK,NMS,VOD,L2,L2,HUB,服务器群,PVLAN应用-VLAN区别业务,根据VLAN来划分业务的接入模式,即用户的数据报文、语音报文、视频报文、管理报文等划入不同的VLAN,同时用VLAN来隔离用户。 使用P

17、VLAN与Multi端口相结合,可以满足用户的要求。在终端设备IAD和用户接入交换机端口上通过VLAN设置对业务进行分类和标记。,VLAN应用VLAN聚合,VLAN Aggregation:RFC 3069 SuperVLAN,SubVLAN 概念:在一个物理网络内,用VLAN隔离广播域,不同的VLAN属于同一个子网。 优点:节约大量的IP地址:子网地址、广播地址、 网关地址,扩展容易,VLAN聚合-工作原理,正常情况下,一个VLAN对应一个IP子网VLAN聚合中,Super VLAN对应的路由虚接口,作为所有其Sub VLAN包含的端口下挂的主机的网关地址。 不同Sub VLAN下的主机是不

18、能互通的,如果互通,需要在Super VLAN上配置ARP Proxy。,2,4,1,Sub vlan 3,Sub vlan 2,Sub vlan 4,3,Super VLAN 1 路由接口1.1.1.1/24,LanSwitch,IP地址:1.1.1.2/24 网关:1.1.1.1,IP地址:1.1.1.3/24 网关:1.1.1.1,VLAN聚合-组网应用,ARP Proxy,L3,L2,SuperVLAN1,商务写字楼,骨干网络,网 管,SubVLAN1,SubVLAN2,SubVLAN3,SubVLAN4,SuperVLAN2,VLAN在城域网中的应用,VLAN二层交换平面VLAN三层

19、路由平面,异地局域网互联,局域网异地互联: 互联局域网用户划入同一VLAN 通过TRUNK端口跨越多层交换机 用户可以使用私有地址 保证安全,不需要为该VLAN分配路由地址,异地局域网互联,虚拟城域网,虚拟城域网-双Tag交换,vMAN,DomainA,DomainB,专线用户接入,专线用户接入: 一个专线用户属于一个VLAN VLAN终结在接入层交换机上 在交换机上为该VLAN配置三层路由接口,作为分配给专线用户的网关,专线用户接入,专线用户C IP Address:199.1.1.*,专线用户A IP Address:198.1.1.*,VLAN 100,三层路由平面,VLAN 200,专

20、线用户B IP Address:198.1.2.*,VLAN100路由接口:198.1.1.1,VLAN200路由接口:198.1.2.1,VLAN100路由接口:199.1.1.1,VLAN 100,PPPOE用户接入,PPPOE用户接入,PPPoe用户A 静态配置IP地址,二层交换平面,PPPoe用户B DHCP获得IP地址,专线用户接入: PPPOE认证报文在二层交换平面上透传到PPPOE终结器上,完成VLAN终结 PPPOE认证通过后,可以通过PPP终结器访问网络资源,VLAN 100,VLAN 200,VLAN绑定认证,VLAN绑定认证,Vlan2,Vlan2,Vlan1,Vlan1,Vlan1,Vlan1,VLAN绑定认证: 基于VLAN标识隔离用户,保证运营商的利益 在认证时VLAN,MAC,IP,端口等信息绑定,用于用户认证,保证认证的安全性,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报