1、,第二章 交换机及配置方法,第二章 交换机及配置方法,一、交换机的工作原理二、交换机外观及交换机互连三、交换机的管理方式及配置模式四、虚拟网络技术(VLAN)五、三层交换技术六、交换网络的安全策略,四、虚拟网络技术VLAN,1、交换网络中存在的问题2、解决问题的办法VLAN 3、划分VLAN的基本策略 4、VLAN标准IEEE 802.1q协议5、基于端口的VLAN配置方法,1、交换网络中存在的问题,在交换机组成的网络里,所有主机都在同一个广播域中一台主机发出的广播,其余所有主机都能够收到广播信息的泛滥,消耗了网络资源(带宽)影响了网络安全,2、解决问题的方法VLAN,通过VLAN技术可以分割
2、广播域,(1)什么是VLAN技术,VLAN(Virtual Local Area Network)是采用网络管理软件在一个物理网络上划分出来的逻辑子网;它不受网络端口的实际位置的限制,可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中;一个VLAN组成一个逻辑子网,即一个逻辑广播域,广播帧仅在一个VLAN内扩散,而不会进入其他的VLAN之中。,划分VLAN举例在单一交换机上划分VLAN,划分VLAN举例 VLAN跨越多台交换机,划分VLAN举例 VLAN跨越多台交换机,划分VLAN举例通过三层交换机或路由器使不同VLAN互联,(2)使用VLAN的优点,控制广播风暴 一个V
3、LAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。提高网络信息的安全性 一个VLAN的数据包不会发送到另一个VLAN中去,防止了信息被窃取。使网络管理简单、直观 一个VLAN可以根据部门、对象将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将主机在子网之间移动。,3、划分VLAN的基本策略,(1)基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑子网,该方法只需网络管理员对网络设备的交换端口进行分配,不用考虑该端口所连接的设备。 IEEE802.1Q协议规定了基于端口划分VLAN的国际
4、标准。(2)基于MAC地址的VLAN划分 MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识,每一块网卡的MAC地址都是惟一且固化在网卡上的。网络管理员把一些MAC地址对应的站点划分为一个逻辑子网,当主机移动时,交换机不用重新设置,但需有一台VLAN管理策略服务器(VMPS),用来维护MAC地址VLAN号表。,(3)基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式是根据网络地址(如IP地址)来划分VLAN,这种方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 (4)基于IP组播的VLAN划分 该方式认为
5、一个IP组播组就是一个VLAN,这种方式将VLAN扩大到了广域网,且容易通过路由器进行扩展,但不适合局域网。我们只学习基于端口划分 VLAN !,4、VLAN标准 IEEE802.1Q协议原理,(1)IEEE802.1Q数据帧格式标记协议标识(TPID):固定值0x8100,表示该帧载有802.1Q标记信息标记控制信息(TCI):Priority:3比特,表示优先级Canonical format indicator:1比特,表示总线型以太网、FDDI、令牌环网VlanID:12比特,表示VID,范围14094,标签Tag,(2)交换机的接口和默认VLAN,交换机的每一个接口都可设置为Acce
6、ssTrunk工作模式。设置为Access工作模式时, 该端口发送出的数据帧不带IEEE802.1q的标签(Tag) ,Access端口只属于一个VLAN。设置为Trunk工作模式时,该端口发送出的数据帧可带IEEE802.1q的标签(Tag) , Trunk端口可同时属于多个VLAN,对连接两个交换机的端口,必须设置为Trunk工作模式。每个端口在未被设置前都有一个默认VLAN,即VLAN 1。对Access端口,设置后默认VLAN也是设置VLAN;而对Trunk端口,会自动加入到本交换机的所有VLAN中,包括默认VLAN中。,802.1Q工作特点:802.1Q数据帧传输对于用户是完全透明的
7、。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签,在到达另一交换机后,再剥去此标签。,(3)跨交换机划分VLAN,5、基于端口VLAN的配置方法,(1)在单一交换机上配置 VLAN ,分两步:创建一个VLANSwitch(config)# vlan vlan id !设置vlan号Switch(config-vlan)# name vlan name !设置vlan名(可选)把端口划分到VLAN(如把F0/10端口划分到 vlan10)Switch(config)# interface fastethernet0/10Switc
8、h(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10,让一组接口加入某一个VLAN:Switch(config)#interface range fastethernet 0/1-10,0/15,0/20Switch(config-if-range)#switchport access vlan 20注:连续接口 0/1-10,不连续接口用逗号隔开,但一定要写明模块编号。注意: vlan id的范围为14094。vlan 1为管理vlan,vlan 1接口属管理接口,可分配置IP地址,任
9、何端口未设置时,默认划分到vlan 1。,用一条交叉线将两台交换机相连。将相连的对应端口都设置为Trunk工作方式。Trunk端口能传输多个VLAN的信息,实现同一VLAN跨越不同的交换机。,(2)跨交换机配置 VLAN,把交换机端口配置为Trunk模式,把Fa0/1配成Trunk口Switch# configure terminalSwitch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunk把端口Fa0/20 配置为Trunk端口,但是不包含VLAN 2:Switch# configure
10、terminalSwitch(config)# interface fastethernet 0/20Switch(config-if)# switchport trunk allowed vlan remove 2,查看/保存/清除VLAN信息,查看VLAN信息Switch#show vlan将VLAN信息保存到flash中Switch#write memory从flash中只清除VLAN信息Switch#delete flash:vlan.dat从当前配置中删除VLANSwitch(config)#no vlan VLAN-id,第三次练习题,1、什么是VLAN?它有什么优点?2、划分VLAN 有哪几种方法?3、交换机的Access端口和Trunk端口有什么区别?,END!,
