交换与路由器配置与管理-第3章课件.pptxVIP

第3章 虚拟局域网及其配置;3.1 虚拟局域网简介 ;　路由器具有路由转发、防火墙和隔离广播的作用，路由器不会转发广播帧，因此，要实现对网络的分段和广播域的隔离，应使用路由器来实现。 　可以使用路由器上的以太网接口为单位来划分网段，从而实现对广播域的分割和隔离。路由器所能划分出的网段，取决于路由器上以太网接口的数目，但通常情况下，路由器所带的以太网接口数量很少，一般为1~4个，远远不能满足对网络分段的需要，而交换机则配备有较多的以太网端口，为了实现利用交换机端口来对网络进行分段隔离，从而诞生了VLAN交换技术。 一个VLAN就是一个网段，通过在交换机上划分VLAN，可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能进行直接通信的，从而就实现了对广播域的分割和隔离。;若要实现VLAN间的通讯，就必须为VLAN设置路由，这可使用路由器或三层交换机来实现。二层交换机可以划分VLAN，若没有路由器，则无法实现VLAN间的通讯，由于三层交换机具备路由功能，在实际应用中，通常在三层交换机中来划分VLAN，以支持VLAN间的相互通讯。 　从中可见，通过在局域网中划分VLAN，可起到以下方面的作用： 控制网络的广播，增加广播域的数量，减小广播域的大小。 便于对网络进行管理和控制。VLAN是对端口的逻辑分组，不受任何物理连接的限制，同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，增加了网络连接、组网和管理的灵活性。 ;增加网络的安全性。由于默认情况下，VLAN间是相互隔离的，不能直接通讯，对于保密性要求较高的部门，比如财务处，可将其划分在一个VLAN中，这样，其他VLAN中的用户，将不能访问该VLAN中的主机，从而起到了隔离作用，并提高了VLAN中用户的安全性。VLAN间的通讯，可通过应用VLAN的访问控制列表，来实现VLAN间的安全通讯。 ;3.2 静态VLAN与动态VLAN ;　静态指定各端口所属的VLAN，需要一个端口一个端口地进行设置，当要设定的端口数目较多时，工作量会比较大，通常适合于网???拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。 ;3.3 VLAN的汇聚链接与封装协议 ;　VLAN内的主机彼此间应可以自由通讯，当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通讯呢？ 　解决的办法就是在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示。 ;这种方法虽然解决了VLAN内主机间的跨交换机通讯，但每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，这对保贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差。 为了避免这种低效率的连接方式和对交换机端口的大量占用，人们想办法让交换机间的互联链路汇集到一条链路上，让该链路允许各个VLAN的通讯流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通讯的链路，称为交换机的汇聚链路或主干链路（Trunk Link），如下图所示。 用于提供汇聚链路的端口，称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量，因此要求只有通讯速度在100Mbps或以上的端口，才能作为汇聚端口使用。;　在引入VLAN后，交换机的端口按用途就分为了访问连接端口（Access Link）和汇聚连接（Trunk Link）端口两种。访问连接端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连接端口属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。;　由于汇聚链路承载了所有VLAN的通讯流量，为了标识各数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的数据帧进行打标（tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。 　目前交换机支持的打标封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议，属于国际标准协议，适用于各个厂商生产的交换机，该协议通常也简称为dot1q。 　IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”和“类别域（Type Field）”之间，所添加的内容为2字节的TPID和2字节的TCI，共计4个字节，其对数帧的封装过程如下