VLAN划分.ppt

虚拟局域网组网技术 VLAN的应用背景及实现功能 【背景描述】 某企业有两个主要部门：技术部和销售部，其中销售部门的个人计算机系统分散连接，也就有一名销售部的工作人员在技术部的办公室，他的电脑连接在技术部的交换机上。技术部之间、销售部之间需要相互进行通信，但为了数据安全起见，技术部和销售部需要进行相互隔离。 【拓扑图如下：】 技术需求 同一个部门的主机在同一个局域网上，并且部门内的数据流量不希望其他部门收到，也不希望干扰其他部门，也就是要求同一个部门在同一个“广播域”上。 显然对于以上的物理拓扑，所有主机通过交换机相连，处在同一个广播域（没有划分VLAN的交换机上的各个端口上的设备分别属于不同的冲突域，每一交换端口构成一个冲突域，但同属于一个广播域）。如A1和A3之间的广播，A2、B1、B2也会收到，这不是我们所希望的。 不加限制，会产生广播风暴问题 需求导致了VLAN的产生 需要有一种办法，在尽量不改动网络固有配置的前提下，通过灵活的、标准的、基于软件的做法将具有相同需求的用户放到一起，使之就象在一个LAN中那样工作。 它不但能够在物理上使网络延伸，还能使对网络实施更灵活强大的控制功能成为可能。 VLAN的出现使之成为可能。 VLAN简介 冲突域和广播域 交换机能隔离冲突域，但不能隔离广播域，通过多个交换机连接在一起的所有计算机都在一个广播域中，任何一台计算机发送的广播包，其他计算机都会收到，这样大大降低了带宽的利用率。 VLAN（Virtual LAN）可以隔离广播域，VLAN工作在OSI模型的第2层，是交换机端口的逻辑组合。 VLAN的主要优点 广播风暴防范 安全 性能提高 提高管理效率 VLAN的划分 基于端口的VLAN 在这种定义方法中，某个交换机上的端口（例如端口1、3、5）构成VLAN A，而该交换机上的其他端口构成VLAN B。早期基于端口的VLAN成员只能位于一个交换机中。第二代基于端口的VLAN支持多个交换机，例如交换机X上的端口1和端口2与交换机Y上的端口3和端口4构成一个VLAN。 基于MAC地址的VLAN 在这种定义方法中，若干个MAC地址构成VLAN成员。用户属于哪个VLAN由其网卡中的MAC地址决定。 Trunk简介 VLAN可以把在同一个交换机上端口组合成一个VLAN，也可以不同交换机上的端口组合成一个VLAN。当一个VLAN跨过不同的交换机时，在同一个VLAN上但是接在不同的交换机上的计算机如何实现通信？ 交换机接口模式 cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access / trunk / multi / dot1q-tunnel。 1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。 2、trunk: 主要用在连接其它交换机，以便在线路上承载多个VLAN。 3、multi: 在一个线路中承载多个vlan，但不像trunk，它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在Cisco的网络设备中，也基本不支持此类接口了。 4、dot1q-tunnel: 用在Q-in-Q隧道配置中。 Cisco交换机接口模式的设置 1、switchport mode access：强制接口成为access接口，并且可以与对方主动进行协商，诱使对方成为access模式。 2、switchport mode trunk：强制接口成为trunk接口，并且主动诱使对方成为trunk模式，所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。 3、switchport mode dynamic desirable：主动协商建立trunk，发送并接收DTP信号。如果邻居交换机模式为trunk/desirable/auto之一，则接口将变成trunk接口。如果不能形成trunk模式，则工作在access模式。 4、switchport mode dynamic auto：被动协商建立trunk，只接收不发送DTP信号。当邻居接口为trunk/desirable之一时，才会成为trunk。如果不能形成trunk模式，则工作在access模式。 5、switchport nonegotiate：严格的说，这不算是种接口模式，它的作用只是阻止交换机接口发出DTP数据包，它必须与switchport mode trunk或者switchport mode access一起使用。 6、switchport mode dot1q-tunnel：配置交换机接口为隧道接口（非trunk），以便与用户交换机的trunk接口形成不对称链路。 VLAN实验 【实验目的】 了解VLAN交换机的特性与应用场合