项目四 虚拟局域网及其配置 交换机路由器的配置与相关管理课件.ppt

交换机/路由器的配置与管理 项目四 虚拟局域网及其配置 学习目标 熟悉虚拟局域网的概念、作用及分类 掌握跨交换机VLAN的配置管理 掌握VLAN间通信 项目分析 对于校园网，不同部门之间的人员数量、网络业务和网络安全需求也是不同的，但是在架设的时候，可能所有的计算机都从外围的一个或者几个接入交换机连入网络，在这种情况下，如何实现逻辑上的部门隔离，并在需要的时候实现不同部门间的通信，是交换机所要实现的一个功能。 任务一 认识虚拟局域网 任务描述： 校园网不同部门的人员数量、网络业务和网络安全需求是不同的，比如财务部、人事等部门在接入网络的时候，不但要防范来自Internet的攻击，还要防止内网的随意访问。而对于教务处，学工处等部门，则需要和各系部之间进行交流通信。但是在架设的时候，可能所有的计算机都从外围的一个或几个交换机连入网络，这种情况下，既要实现网络隔离，又要实现部分部门的相互通信，对接入层交换机来说，是一个需要迫切解决的问题。 VLAN的提出 VLAN是将局域网从逻辑上划分若干个子网的交换技术。每个子网形成一个独立的网段，称为一个VLAN，每个网段内所有主机间的通信和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能直接进行通信的，从而就实现了对广播域的分割和隔离。这里的网段仅仅是逻辑网段，而不是真正的物理网段。可以将VLAN理解为是在一个物理网络上逻辑地划分出来的逻辑网络。要实现VLAN间的通信，需借助外部路由器的路由转发来实现，或利用三层交换机的路由模块来实现。目前的局域网组网中，普遍使用虚拟局域网技术来隔离和减小广播域。 （三）VLAN的优越性 1．可以有效地控制网络的广播风暴 使用VLAN可以将端口划分到特定的VLAN中，一个VLAN是一个广播域，VLAN之间是隔离的，所以一个VLAN的广播风暴不会影响到其他VLAN，从而大大提高整体网络的性能。 2．增加网络的安全性 因为一个VLAN就是一个广播域，VLAN之间是隔离的，确保了网络的安全保密性。VLAN能限制个别用户的访问、控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此确保网络安全。 3．简化网络管理，提高网络灵活性 借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地网络一样方便、灵活。VLAN可以节省移动或变更工作站地理位置的费用，特别是一些业务情况有经常性变动的企业或公司。 任务二 VLAN汇聚链接与封装协议 任务描述： 掌握VLAN的汇聚链路以及封装的协议。 施工场景 在实际应用中，VLAN中的端口有可能在同一个交换机上，也有可能跨越多台交换机，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。如图所示，需要实现不同交换机上相同VLAN间的通信。 （一）VLAN的汇聚链路 当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通信 方法1：就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图所示： 缺点：有多少个VLAN，就对应地需要占用多少个端口；这对宝贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差 。 （一）VLAN的汇聚链路 方法2：让交换机间的互连链路汇集到一条链路上，让该链路允许各个VLAN的通信流经过。这条链路，称为交换机的汇聚链路或主干链路（Trunk Link）。如图所示。 （一）VLAN的汇聚链路 提供汇聚链路的端口，称为汇聚端口，由于汇聚链路承载了所有VLAN的通信流量，因此要求只有通信速度在100Mb/s或以上的端口，才能作为汇聚端口使用。 在引入VLAN后，交换机的端口按用途就分为了访问连接端口（Access Port）和汇聚连接端口（Trunk Port）两种。Access Port通常用于连接客户PC，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作Native VLAN。Trunk Port属于多个VLAN，可以透明传输交换机上所有VLAN的帧，作为跨交换机传输数据用。 由于汇聚链路承载了所有VLAN的通信流量，为了标识各数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的数据帧进行打标（Tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。 （二）VLAN封装协议 在原来的以太网帧的基础上增加了4个字节的Tag信息就是802.1Q VLAN标准帧，其中包括2个字节的TPID和2个字节的TCI。TPID