交换机、路由器的配置与管理分解.ppt

交换机/路由器的配置与管理 项目四 虚拟局域网及其配置 学习目标 熟悉虚拟局域网的概念、作用及分类 掌握跨交换机VLAN的配置管理 项目分析 对于校园网，不同部门之间的人员数量、网络业务和网络安全需求也是不同的，但是在架设的时候，可能所有的计算机都从外围的一个或者几个接入交换机连入网络，在这种情况下，如何实现逻辑上的部门隔离，并在需要的时候实现不同部门间的通信，是交换机所要实现的一个功能。 任务一 认识虚拟局域网 任务描述： 校园网不同部门的人员数量、网络业务和网络安全需求是不同的，比如财务部、人事等部门在接入网络的时候，不但要防范来自Internet的攻击，还要防止内网的随意访问。而对于教务处，学工处等部门，则需要和各系部之间进行交流通信。但是在架设的时候，可能所有的计算机都从外围的一个或几个交换机连入网络，这种情况下，既要实现网络隔离，又要实现部分部门的相互通信，对接入层交换机来说，是一个需要迫切解决的问题。 （二）VLAN的分类 根据定义VLAN成员关系的不同，VLAN可以分为以下6种。 （1）基于端口的VLAN（Port-Based）。 （2）基于协议的VLAN（Protocol-Based）。 （3）基于MAC层分组的VLAN（MAC-Layer Grouping）。 （4）基于网络层分组的VLAN（Network-Layer Grouping）。 （5）基于IP组播分组的VLAN（IP Multicast Grouping）。 （6）基于策略的VLAN（Policy-Based）。 不同种类的VLAN适用于不同的场合,但目前应用最广泛的是基于端口的VLAN。 任务二 VLAN汇聚链接与封装协议 任务描述： 掌握VLAN的汇聚链路以及封装的协议。 施工场景 在实际应用中，VLAN中的端口有可能在同一个交换机上，也有可能跨越多台交换机，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。如图所示，需要实现不同交换机上相同VLAN间的通信。 （一）VLAN的汇聚链路 当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通信 方法1：就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图所示： 缺点：有多少个VLAN，就对应地需要占用多少个端口；这对宝贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差 。 （一）VLAN的汇聚链路 方法2：让交换机间的互连链路汇集到一条链路上，让该链路允许各个VLAN的通信流经过。这条链路，称为交换机的汇聚链路或主干链路（Trunk Link）。如图所示。 （一）VLAN的汇聚链路 提供汇聚链路的端口，称为汇聚端口，由于汇聚链路承载了所有VLAN的通信流量，因此要求只有通信速度在100Mb/s或以上的端口，才能作为汇聚端口使用。 在引入VLAN后，交换机的端口按用途就分为了访问连接端口（Access Port）和汇聚连接端口（Trunk Port）两种。Access Port通常用于连接客户PC，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作Native VLAN。Trunk Port属于多个VLAN，可以透明传输交换机上所有VLAN的帧，作为跨交换机传输数据用。 由于汇聚链路承载了所有VLAN的通信流量，为了标识各数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的数据帧进行打标（Tag）封装，以附加上VLAN信息，这样交换机就可通过VLAN标识，将数据帧转发到对应的VLAN中。 （二）VLAN封装协议 在原来的以太网帧的基础上增加了4个字节的Tag信息就是802.1Q VLAN标准帧，其中包括2个字节的TPID和2个字节的TCI。TPID是一个固定值：0X8100，而TCI中又包含3位的优先级，一位的CFI,其默认值为0，其余的12位作为VID。 IEEE 802.1Q标准用于跨交换机实现Tag VLAN。最多支持250个VLAN，其VID范围是1～4094，其中VLAN1是不可删除的默认VLAN。在应用IEEE 802.1Q标准的交换机上，计算机发出的数据帧到达交换机时会在原来的帧上增加Tag标记，标识上VID，当802.1Q帧通过Trunk端口到达另一个交换机时，就会按VID找到相应的VLAN，数据帧离开交换机时会拆除Tag标记，再查找MAC地址表转发到相应端口。 （三）交换机端口类型 交换机端口是由交换机上的单个物理端口构成，只有二层交换功能，从功能上分为Access Port和Trunk Port。Access