第五次课虚拟局域网VLAN的实现.ppt

本章内容 划分VLAN的方法 基于端口的VLAN 基于协议的VLAN 基于MAC层分组的VLAN 基于子网的VLAN VLAN间路由 VLAN间通信的方法 使用路由器进行VLAN间路由 使用路由器进行VLAN间路由 使用三层交换机进行VLAN间路由 配置方法 第一步：分别创建每个VLAN三层SVI端口，并分配IP地址： Switch(config)# interface vlan vlan Switch(config-if)# ip address address netmask Switch(config-if)#no shutdown 第二步：将每个VLAN内主机的网关指定为本VLAN接口地址 课程回顾 VLAN的基本概念 VLAN的类型:Port VLAN和 Tag VLAN 如何在交换机上配置VLAN VLAN间通信的方法 虚拟局域网VLAN的实现—端口隔离 实验要求 本实验以一台被命名为Switch的交换机（S2126G，S3550）为例 假设PC1连接在交换机的0/5端口，而PC2连接在交换机的0/15端口。 要求通过划分PORT VLAN实现本交换机的端口隔离。 虚拟局域网VLAN的实现—跨交换机VLAN 实验要求 本实验内容以两台被命名为Switch A和Switch B的交换机（分别是S3550和S2126）为例。 要求实现属于同一VLAN里的PC机能够跨交换机相互通信，而在不同VLAN里的PC机不能相互通信。 通过配置交换机，使得同一VLAN上的PC机能够跨交换机进行相互通信，而不同VLAN上的PC机也能够相互通信。 实验说明 A通道（Windows XP）：PC1、PC2、PC3 结果验证 B通道（Windows 2003）：S3550、S2126 配置 S3550 F0/5 S2126 F0/15 F0/24 F0/24 F0/5 PC1 PC2 PC3 VLAN 20（技术部） VLAN 10（销售部） VLAN 10（销售部） 网络实验室 2010年2月 网络实验室 2010年2月 控制交换网络中的广播流量——虚拟局域网（VLAN） VLAN的基本概念 VLAN的类型: Port VLAN和 Tag VLAN 如何在交换机上配置VLAN VLAN间通信的方法 VLAN课题引入 随着网络技术的发展，现在很多企业和部门都建立了内部局域网，但是，随着网络规模的增大也带来了一些问题： 网内数据传输量增大，网速变得越来越慢！ 计算机遭受黑客攻击，关键部门存在安全隐患！ 同一部门的人员分布不同的地域，不能相对集中办公！ VLAN的定义注意事项： VLAN（Virtual Local Area Network）的中文名为虚拟局域网，是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 例如： 对于我校的校园网，有不同的部分组成：办公部门、学校机房、教师家属楼等部分组成。为了保证各部分的相对独立，又使每部分处于同一个网络内，内部能互相访问，这就需要划分VLAN，使办公部门处于一个VLAN内、学校机房处于一个VLAN内、教师家属楼处于一个VLAN内，这样就能保证他们之间的数据互不干扰，也不影响各自的通信效率了。 VLAN在交换机中的实现 分段 灵活性 安全性 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN =一个广播域 = 逻辑网段 (子网) VLAN （Virtual Local Area Network） VLAN是在一个物理网络上划分出来的逻辑网络。 这个网络对应于OSI 模型的第二层网络。 VLAN的划分不受网络端口的实际物理位置的限制。 VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。 VLAN技术 1 2 3 4 交换机 广播帧 交换机收到广播帧后，只转发到属于同一VLAN的其他端口。 广播域 广播帧 广播域 VLAN特点 安全隔离，不同VLAN之间不能直接访问，需通过路由设备相连，才可以互相访问。 隔离广播 不受物理位置限制 基于安全性的考虑 在规模较大的网络系统内，各网络节点的数据需要相对保密。譬如公司的网络中，财务部门的数据不应被其他部门的人员采集到，可以通过划分VLAN，进行部门隔离，不同部门使用不同的VLAN，可以实现一定的安全性。 基于网络性能的考虑 大型网络中有大量的广播信息，如果不加以控制，会使网络性能急剧下降，甚至产生网络风暴，使网络阻塞。因此需要采用VLAN将网络分割成多个广播域，将广播信息限制在每个广播