路由器与交换机的配置 第四章虚拟局域网及其配置讲解.ppt

交换机/路由器的配置与管理 项目四 虚拟局域网及其配置 学习目标 熟悉虚拟局域网的概念、作用及分类 掌握跨交换机VLAN的配置管理 掌握VLAN间通信 项目分析 对于校园网，不同部门之间的人员数量、网络业务和网络安全需求也是不同的，但是在架设的时候，可能所有的计算机都从外围的一个或者几个接入交换机连入网络，在这种情况下，如何实现逻辑上的部门隔离，并在需要的时候实现不同部门间的通信，是交换机所要实现的一个功能。 任务一 认识虚拟局域网 任务描述： 校园网不同部门的人员数量、网络业务和网络安全需求是不同的，比如财务部、人事等部门在接入网络的时候，不但要防范来自Internet的攻击，还要防止内网的随意访问。而对于教务处，学工处等部门，则需要和各系部之间进行交流通信。但是在架设的时候，可能所有的计算机都从外围的一个或几个交换机连入网络，这种情况下，既要实现网络隔离，又要实现部分部门的相互通信，对接入层交换机来说，是一个需要迫切解决的问题。 VLAN的提出 VLAN是将局域网从逻辑上划分若干个子网的交换技术。每个子网形成一个独立的网段，称为一个VLAN，每个网段内所有主机间的通信和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能直接进行通信的，从而就实现了对广播域的分割和隔离。这里的网段仅仅是逻辑网段，而不是真正的物理网段。可以将VLAN理解为是在一个物理网络上逻辑地划分出来的逻辑网络。要实现VLAN间的通信，需借助外部路由器的路由转发来实现，或利用三层交换机的路由模块来实现。目前的局域网组网中，普遍使用虚拟局域网技术来隔离和减小广播域。 （一）VLAN产生的技术背景 1．基于网络性能的考虑 2．基于安全因素的考虑 3．基于组织结构的考虑 （二）VLAN的分类 根据定义VLAN成员关系的不同，VLAN可以分为以下6种。 （1）基于端口的VLAN（Port-Based）。 （2）基于协议的VLAN（Protocol-Based）。 （3）基于MAC层分组的VLAN（MAC-Layer Grouping）。 （4）基于网络层分组的VLAN（Network-Layer Grouping）。 （5）基于IP组播分组的VLAN（IP Multicast Grouping）。 （6）基于策略的VLAN（Policy-Based）。 不同种类的VLAN适用于不同的场合,但目前应用最广泛的是基于端口的VLAN。 （三）VLAN的优越性 1．可以有效地控制网络的广播风暴 使用VLAN可以将端口划分到特定的VLAN中，一个VLAN是一个广播域，VLAN之间是隔离的，所以一个VLAN的广播风暴不会影响到其他VLAN，从而大大提高整体网络的性能。 2．增加网络的安全性 因为一个VLAN就是一个广播域，VLAN之间是隔离的，确保了网络的安全保密性。VLAN能限制个别用户的访问、控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此确保网络安全。 3．简化网络管理，提高网络灵活性 借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地网络一样方便、灵活。VLAN可以节省移动或变更工作站地理位置的费用，特别是一些业务情况有经常性变动的企业或公司。 任务二 VLAN汇聚链接与封装协议 任务描述： 掌握VLAN的汇聚链路以及封装的协议。 施工场景 在实际应用中，VLAN中的端口有可能在同一个交换机上，也有可能跨越多台交换机，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。如图所示，需要实现不同交换机上相同VLAN间的通信。 （一）VLAN的汇聚链路 当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通信 方法1：就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图所示： 缺点：有多少个VLAN，就对应地需要占用多少个端口；这对宝贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差 。 （一）VLAN的汇聚链路 方法2：让交换机间的互连链路汇集到一条链路上，让该链路允许各个VLAN的通信流经过。这条链路，称为交换机的汇聚链路或主干链路（Trunk Link）。如图所示。 （一）VLAN的汇聚链路 提供汇聚链路的端口，称为汇聚端口，由于汇聚链路承载了所有VLAN的通信流量，因此要求只有通信速度在100Mb/s或以上的端口，才能作为汇聚端口使用。 在引入VLAN后，交换机的端口按用途就分为了访问连接端口（Access Port）和汇聚连接端口（Trunk Port）两