模块四组件局域网方案.ppt

* * VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，即VLAN。每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无需被放置在同一个物理空间，即这些工作站不一定属于同一个物理网段。一个VLAN内部的广播和单播流量都不会转发到其他的VLAN中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络安全性。 * * 4.2.2构建虚拟局域网 虚拟局域网通常用一个VLAN号（VLAN ID）和VLAN 名（VLAN Name）标识。 划分VLAN是通过使用软件定义VLAN成员实现的。定义VLAN成员的方法主要有三种：基于端口划分VLAN、基于MAC地址划分VLAN、基于第三层协议类型和地址划分。 1．基于端口划分VLAN 就是按交换机端口定义VLAN成员，每个端口只能属于一个VLAN，这是一种通用的方法。利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。但是，这种划分模式将虚拟局域网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 这种方式是静态配置方式，容易实现和监视，比较安全。 * * 2．基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常繁琐的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本计算机的用户来说，他们的网卡可能经常更换，这样， VLAN就必须不停地配置。 * * 3．基于第三层协议类型或地址划分 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，另外这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。 * * 任务完成： 要实现不同部门用户的分组，需要在交换机上使用配置命令，建立对应不同部门的不同VLAN，最简单的方式就是将交换机的端口分配给不同的VLAN。此处以简单的VLAN实验说明局域网的划分及应用。 以交换机为中心正确连接网络中的各个设备，如图所示：用户计算机PC1——PC6对应交换机的端口1——6使用直通双绞线相连。在没有任何设置的情况下，这六台计算机可以相互通信，并且可以接受到彼此的广播信息。处于某种需要，我们要把PC1——PC3三台计算机与PC4——PC6三台进行隔离，在不改变当前连接状态的情况先，使两部分不能直接通信，无法接受彼此的广播信息。这就用到虚拟局域网技术。如前所述，划分虚拟局域网有多种方式，此处以基于交换机端口划分为例。 * * 1．初始状态如图4-8所示，给PC1——PC6分别配置IP地址如下： PC1：192.168.10.1，PC2：192.168.10.2，PC2：192.168.10.3，PC4：192.168.10.4，PC5：192.168.10.5，PC6：192.168.10.6 在任意计算机上使用ping 命令测试与其他计算机的联通性，它们彼此是互通的。 图4-8 虚拟局域网划分 * * 2．进入交换机IOS（Internet Operating System，网际操作系统）vlan配置模式，创建vlan10和vlan20。将f0/1分配到vlan10（注意不同厂商的交换机设备操作命令稍有不同，实际配置可参考设备说明） 将f0/2和f0/3分配到vlan20中 switch#config terminal ；进入全局模式 switch(vlan)#vlan 10 ；创建VLAN 10 switch(v