第7部分 虚拟局域网.pptVIP

第7部分 虚拟局域网 教师 王鹏 为什么需要分割广播域？ 交换网络是平面网络结构，必须依赖广播 广播域过大会导致： 带宽浪费 安全性降低 不易管理 分割广播域的方法 使用路由器连接多个子网 使用虚拟局域网VLAN VLAN的概念 虚拟局域网（Virtual Local Area Network，VLAN） 位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上它们分布在不同的局域网段中 VLAN的概念 VLAN的特点： 基于逻辑的分组 不受物理位置限制 在同一VLAN内和真实局域网相同 不同VLAN内用户要通信需要借助三层设备 VLAN的用途 控制不必要的广播报文的扩散 提高网络带宽利用率，减少资源浪费 划分不同的用户组，对组之间的访问进行限制 增加安全性 与物理位置无关的VLAN VLAN的优点 限制广播包 安全性 虚拟工作组 减少移动和改变的代价 VLAN的种类 基于端口的VLAN（重点） 针对交换机的端口进行VLAN的划分，不受主机的变化影响 基于协议的VLAN 在一个物理网络中针对不同的网络层协议进行安全划分 基于MAC地址的VLAN 基于主机的MAC地址进行VLAN划分，主机可以任意在网络移动而不需要重新划分 基于组播的VLAN 基于组播应用进行用户的划分 基于IP子网的VLAN 针对不同的用户分配不同子网的IP地址，从而隔离用户主机，一般情况下结合基于端口的VLAN进行应用 基于端口的VLAN 目前最常用的划分VLAN的方法 端口VLAN(Port VLAN) VLAN的标准 不同交换机上的相同VLAN之间如何连接？ 访问端口工作原理 通过查找MAC地址表，交换机对发往不同VLAN的数据不转发 802.1Q 定义了基于端口的VLAN模型 规定如何标识带有 VLAN 成员信息的以太帧 定义VLAN标签的格式 802.1Q的缺省VLAN 一个802.1Q的Trunk端口有一个缺省VLAN的ID值 802.1Q不为缺省VLAN的帧打标签 配置Port VLAN 创建VLAN10，将它命名为test的例子 Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# end Switch(config-vlan)# name test 把接口 0/10加入VLAN10 Switch# configure terminal Switch(config)# interface fastethernet 0/10 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# end Port VLAN 的配置 将一组接口加入某一个VLAN Switch(config)#interface range fastethernet 0/1-8，0/15，0/20 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 20 注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要写明模块编号 配置Tag VLAN-Trunk 把Fa0/1配成Trunk口 Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk 把端口Fa0/20 配置为Trunk端口 Switch(config)# interface fastethernet 0/20 Switch(config-if)# switchport mode trunk Switch(config-if)# end 配置VLAN Trunk举例 定义Trunk端口的许可VLAN列表 查看VLAN配置 验证配置信息 Switch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists --------- ---------- --------- --------- -------- --------- -------