控制交换网络中的广播流量控制交换网络中的广播流量.ppt

第3章 VLAN技术 教学大纲要求： 本章内容 引言——交换网络中广播的问题 引言——交换网络中的数据安全问题 交换网络在数据安全上存在的问题 学校或公司各部门组成局域网，并共享一条链路访问互联网。但其中有些重要部门的数据不能被其他部门随意访问； 交换机不能隔离广播； 一台交换机内所有主机直接可以访问，如何隔离？ 解决办法之一：VLAN（虚拟局域网） 将物理网络进行逻辑划分，不受地理位置限制。每个VLAN具有物理网络的所有特性。 解决办法之二：用路由器划分子网：路由技术 引言—交换网络中问题的解决—VLAN技术 VLAN的优点 减少移动和改变的代价 虚拟工作组 限制广播包 安全性 VLAN标准 802.1Q协议 ISL协议 3.2.1 VLAN概述 VLAN的分类 基于端口的VLAN：是某些交换端口的集合，是目前应用最多的，最基本的划分方式，目前几乎所有交换机都支持该种VLAN的划分方式； 基于协议的VLAN：根据承载数据的三层协议来确定VLAN的成员，如基于IP，IPX等协议的VLAN； 基于MAC地址的VLAN：根据计算机网卡的MAC地址划分VLAN。其特点是用户的物理位置可以任意移动，但是交换机的执行效率较低； 3.2.1 VLAN概述 VLAN的分类（续） 基于子网的VLAN：根据主机的网络层地址，如IP地址划分VLAN。它根据第三层子网信息划分不同的VLAN； 根据IP组播地址划分VLAN：根据组播地址划分VLAN，一个组播组就是一个VLAN，这种划分方法将VLAN扩展到广域网； 基于策略的VLAN：根据高层协议（应用）划分VLAN。它可以根据不同的应用、策略进行应用级的划分。 3.2.2 单交换机基于端口的VALN:Port VLAN 2.Port-vlan原理：在MAC地址表中增加VLAN ID字段 将一组接口加入某一个VLAN Switch(config)# vlan 20 //创建VLAN20 Switch(config-vlan)# exit Switch(config)#interface range fastethernet 0/1-10，0/15，0/20 //选择端口组fastethernet 0/1-10， 0/15，0/20 Switch(config-if-range)#switchport access vlan 20 //将该端口组加入到VLAN20中； 注：连续接口 0/1-10，不连续接口用逗号隔开，但一定要写明模块编号 将不同的PC机接入同一VLAN中的不同端口ping 结果：可以ping通 将不同的PC机接入不同VLAN中的不同端口ping 结果：不能ping通 注意：各PC机的IP地址要在同一子网中 掌握VLAN的基本概念（包括Native Vlan、技术标准的规定） 掌握VLAN的定义：Port VLAN和Tag VLAN 掌握VLAN配置方法 掌握VLAN间路由（原理介绍） 掌握VTP协议原理及配置方法 3.1 引言 3.2 VLAN技术及基本配置 3.3 VLAN间的通信 3.4 VLAN中继协议(VTP) 发送未知帧——广播！发送不在同一交换机的帧——还是广播！！ 在交换机组成的网络里所有主机都在同一个广播域内。 F0/1 F0/2 F0/3 A B C F0/1 F0/2 F0/3 E F G F0/1 F0/2 F0/3 H I J 要点：通过VLAN技术可以分割广播域，对网络进行一个安全的隔离、 VLAN20 要点：通过VLAN技术可以对网络进行一个安全的隔离、分割广播域 VLAN10 VLAN30 VLAN40 ISL 头 26 bytes 以太帧数据 CRC 4 bytes 用ISL头与CRC进行帧封装 可以支持多个VLAN (1024) VLAN号 BPDU控制位 DA Type User SA LEN VLAN AAAA03 BPDU HSA VLAN BPDU BPDU INDEX RES VLAN （Virtual Local Area Network） VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。 1 2 3 4 交换机 广播帧 广播域 广播帧 广播域 3.2 VLAN技术及基本配置 概述：将单个交换机的不同的端口划分为不同的VLAN。 F0/1 F0/2 F0/6 VLAN10广播域 VLAN20广播域 F0/7 10 C F0/3 2