vlan basic.docx
- 文档编号:23827928
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:19
- 大小:131.87KB
vlan basic.docx
《vlan basic.docx》由会员分享,可在线阅读,更多相关《vlan basic.docx(19页珍藏版)》请在冰豆网上搜索。
vlanbasic
802.1Q协议,即VirtualBridgedLocalAreaNetworks协议,主要规定了VLAN的实现,下面我们首先讲述一下有关VLAN的基本观念。
Switchmanagementaddressconfiguiration:
(ipoftheSW)
Examples:
switch(config)#intvlan1
switch(config-if)#ipadd192.168.1.254255.255.255.0
switch(config-if)#ipdefault-gateway192.168.0.254
switch(config-if)#noshut
onCatalyst1900,whichdoesnothavevlanfunction:
swithch(config)#:
ipadd192.168.1.254255.255.255.0
switch(config-if)#ipdefault-gateway192.168.0.254
notice:
vlan1isthemanagementvlan,themanagableswitchesareusuallyassigendintothisvlan
WHNY_BGL_4507_0.247#shrunintvlan1
Buildingconfiguration...
Currentconfiguration:
61bytes
!
interfaceVlan1
ipaddress10.30.0.247255.255.252.0
end
WHNY_ZHL6509A#shrunintvlan1
!
interfaceVlan1
ipaddress10.30.0.252255.255.252.0
ipflowingress
standby1ip10.30.0.254
standby1timers13
standby1priority120
standby1preempt
end
--------------------------------------------------------------------------------------------------------------------------------------------------------
VLAN中继协议(VLAN Trunking Protocol,VTP)
VTP是使用二层的trunk帧在一个共同的域里管理vlan的添加、修改和维护,并在域里维护vlan一致性。
VTP提供的一些好处:
1. 在网络中所有的交换机上实现VLAN配置的一致性。
2. 允许VLAN在混合式网络上进行中继
3. VLAN的精确跟踪和监控
4. 将所添加的VLAN动态地报告给VTP域中的所有交换机
5. 添加VLAN时即插即用
VTP的模式
1.服务器(Server) 服务器模式的交换机可以添加、修改、删除vlan,并可以修改vlan的参数。
在VTP域中,至少需要一台服务器,
以便在整个域中传播VLAN信息。
2. 客户机(Client) 在客户机模式下,交换机从VTP服务器接收信息,他们也发送和接收更新,但他们不能对vlan数据库做修改。
3.透明(Transparent) 在透明模式下,交换机不参与VTP域,但他们仍然将通过任何已经配置好的中继链路转发VTP通告。
VTP修剪prune
VTP提供了一种方式来保留带宽,就是通过配置它来减小广播、组播和其他单播包的数量,这种方式就称为修剪。
VTPconfiguration:
examples:
switch#:
vlandatabase进入vlan编辑模式
switch(vlan)#:
vtpv2-mode选择vtpversion
switch(vlan)#:
vtpdomaincisco设置vtp域名
switch(vlan)#:
vtppassword1234设置域名下的密码
switch(vlan)#:
vtpserver/client/transparent设置交换机vtp模式
vtp域名和密码一致的交换机之间才可以交换vtp信息
MD5digist:
当我们在vtp域里设置了密码是,交换机之间会在广告中加入
该密钥。
如果交换机之间的密钥不匹配,vlan的修改信息会被忽略
vlanrevision修订号,vlan每做一次修改,此号码就会加一。
高修订号的交
换机vlan信息会被广播并写入低版本号的交换机中,并同步其修订号。
showvlannamevlan2查看名为vlan2的vlan的信息
showvlanid2按照vlanid号查看vlan信息
WHNY_ZHL6509A#shvtpstatus
VTPVersion:
2
ConfigurationRevision:
472
MaximumVLANssupportedlocally:
1005
NumberofexistingVLANs:
204
VTPOperatingMode:
Server
VTPDomainName:
VTP_HBWKY
VTPPruningMode:
Enabled
VTPV2Mode:
Enabled
VTPTrapsGeneration:
Enabled
MD5digest:
0x0A0xFA0xFE0x280x3D0xCF0xFB0x2C
----------------------------------------------------------------
WHNY_BGL_4507_0.247#shvtpstatus
VTPVersion:
2
ConfigurationRevision:
472
MaximumVLANssupportedlocally:
1005
NumberofexistingVLANs:
204
VTPOperatingMode:
Server
VTPDomainName:
VTP_HBWKY
VTPPruningMode:
Enabled
VTPV2Mode:
Enabled
VTPTrapsGeneration:
Enabled
MD5digest:
0x0A0xFA0xFE0x280x3D0xCF0xFB0x2C
----------------------------------------------------------------
WHNY_XXZX_WlB_2940_0.10#shvtpstatus
VTPVersion:
2
ConfigurationRevision:
0
MaximumVLANssupportedlocally:
128
NumberofexistingVLANs:
124
VTPOperatingMode:
Transparent
VTPDomainName:
VTP_HBWKY
VTPPruningMode:
Enabled
VTPV2Mode:
Enabled
VTPTrapsGeneration:
Enabled
MD5digest:
0x9B0x590xEA0xE50x5B0x9E0xE50x37
Vlancreation
switch#vlandatabase
switch(vlan)#vlan1nametest1
switch(vlan)#vlan2nametest2
VLAN之间的路由
VLAN中的主机处在自己的广播域内,并且可以自由通信。
VLAN在OSI模型的第二层创建网络分段,并分割数据流。
如果想让主机或任何其他IP设备在VLAN之间通信,就绝对需要第三层设备。
configt
(config)#interfacevlan10
(config-if)#ipaddress172.16.58.1255.255.255.0
VLAN10接口IP
(config-if)#iphelper-address172.16.1.11DHCPServerIP
配置vlan10的dhcpserver
*:
vlan1配置的是交换机自己的管理地址,其他普通vlan里配置的是vlan的网关,既在终端电脑上填入的网关
WHNY_ZHL6509A#shrunintvlan1
interfaceVlan1
ipaddress10.30.0.252255.255.252.0
ipflowingress
standby1ip10.30.0.254
standby1timers13
standby1priority120
standby1preempt
end
WHNY_ZHL6509A#shrunintvlan4
interfaceVlan4
description"XLF_GongYu_Manage_VLAN"
ipvrfforwardingGongYu
ipaddress10.30.4.252255.255.255.0
ipaccess-groupdeny_gongyu_telnetin
standby4ip10.30.4.254
standby4timers13
standby4priority120
standby4preempt
end
--------------------------------------------------------------------
WHNY_ZHL6509A#shrunintvlan138
interfaceVlan138
description"WHNY_XXZX_Office"
ipaddress10.30.138.252255.255.255.0
iphelper-address10.30.132.2
iphelper-address10.30.132.1
ipflowingress
standby138ip10.30.138.254HSRP技术
standby138timers13
standby138priority120
standby138preempt
end
---------------------------------------------------------
WHNY_XXZX_WlB_2940_0.10#shrunintvlan1
interfaceVlan1
ipaddress10.30.0.10255.255.252.0
noiproute-cache
end
实际上,VLAN成员的定义可以分为4种:
Description:
Commands:
1,根据端口划分VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如S2403的1~4端口为VLANA,5~17为VLANB,18~24为VLANC,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机的话,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。
它的缺点是如果VLANA的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
configt
intfa0/3
switchportmodeaccess
switchportaccessvlan128
noshutdown
2、根据MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
动态VLAN能够自动决定一个节点的VLAN分配。
通过使用智能化的管理软件,就可以启用MAC地址、协议甚至应用程序来创建动态VLAN。
3,根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层(2层)地址或协议类型(如果支持多协议)划分的,虽然这种划分方法可能是根据网络地址,比如IP地址,但它不是路由,不要与网络层的路由混淆。
它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的桢标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网桢头,但要让芯片能检查IP桢头,需要更高的技术,同时也更费时。
当然,这也跟各个厂商的实现方法有关。
4,IP组播作为VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组播,有二层组播协议GMRP。
通过上面可以看出,各种不同的VLAN定义方法有各自的优缺点,所以,很多厂商的交换机都实现了不只一种方法,这样,网络管理者可以根据自己的实际需要进行选择,另外,许多厂商在实现VLAN的时候,考虑到VLAN配置的复杂性,还提供了一定程度的自动配置和方便的网络管理工具。
以前,各个厂商都声称他们的交换机实现了VLAN,但各个厂商实现的方法都不相同,所以彼此是无法互连,这样,用户一旦买了某个厂商的交换机,就没法买其他厂商的了。
而现在,VLAN的标准是IEEE提出的802.1Q协议,只有支持相同的开放标准才能保证网络的互连互通,以及保护网络设备投资。
5.私有Vlan,也叫专用Vlan
专用VALN将端口分为混杂端口、隔离端口和群体端口三类,只有混杂端口能够和路由器或三层交换机连接。
对应混杂端口的VLAN称为PrimaryVLAN,它可以和映射到混杂端口的所有隔离VLAN(IsolatedVLAN)的端口及群体VLAN(CommunityVLAN)的
端口通信。
CommunityVLAN的端口除了可以和PrimaryVLAN通信外,内部端口间也可以相互通信。
IsolatedVLAN内的端口只能和PrimaryVLAN的端口通信外,内部端口间是互相隔离的。
下面讲述一下VLAN的优点:
1,减少移动和改变的代价,即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。
当然,并不是所有的VLAN定义方法都能做到这一点。
2,虚拟工作组,VLAN的最具雄心的目标就是建立虚拟工作组模型,例如,在校园网中,同一个系的就好象在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人,一个人如果从一个办公地点换到另外一个地点,而他仍然在该系,那么,他的配置无须改变,同时,如果一个人虽然办公地点没有变,但他换了一个系,那么,只需网络管理者那配置一下就行了。
这个功能的目标就是建立一个动态的组织环境,当然,这只是一个远大的目标,要实现它,还需要一些其他包括管理等方面的支持。
3,限制广播包,按照802.1D透明网桥的算法,如果一个数据包找不到路由,那么交换机就会将该数据包向所有的其他端口发送,这就是桥的广播方式的转发,这样的结果,毫无疑问极大的浪费了带宽,如果配置了VLAN,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。
在一定程度上可以节省带宽。
4,安全性,由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。
理论上,VLAN可以扩展到WAN上,但是,这是不明智的做法,因为VLAN允许广播包发送出去,而且它没有很好的路由算法,经常是以广播的形式转发数据包,这样,毫无疑问,极大地浪费了WAN的宝贵的带宽,所以说,将基于端口的,MAC地址和网络地址的VLAN扩展到WAN,是不合理的,而基于多播的VLAN概念则可以灵活有效的扩展到WAN。
一般的以太网交换机实现的都是基于端口的VLAN,个别的会实现基于MAC地址和网络层地址的VLAN,而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN。
802.1Q协议定义了基于端口的VLAN模型,这是使用得最多的一种方式。
下面我们重点讲述一下交换机芯片是如何实现VLAN的,如果想了解更细节的内容,可以参考802.1Q协议,由于协议文本讲的非常抽象,所以,我们以TI公司的交换芯片为例来讲述,更便于理解。
例子中的TNETX4090提供了8个100M以太网口和1个1G以太网口。
如图1所示,每一个支持802.1Q协议的主机,在发送数据包时,都在原来的以太网桢头中的源地址后增加了一个4字节的802.1Q桢头,之后接原来以太网的长度或类型域。
10101010
帧同步
Start-of-FrameDelimiter
DestinationAddress
SourceAddress
TPID
TCI
Length/Type
Data
0-1.5K字节
PAD
填充
FCS
CRC校验
TPID16bit
UserPriority3bit
CFI1bit
VlanID12bit
︱←TCI→︱
这4个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID--TagProtocolIdentifier,它的值是8100),和2个字节的标签控制信息(TCI--TagControlInformation),包括3bit的用户优先级UP(UserPriority)、1bit的规范格式指示器CFI和12bit的VLANID。
IEEE802.1q协议标准中没有定义和使用优先级字段,而IEEE802.1P中则定义了该字段。
VLANIdentified(VLANID):
这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的主机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN,目前TNETX3270只支持32个VLAN。
CanonicalFormatIndicator(cfi):
这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的桢格式,TNETX3270忽略此位。
Priority:
这3位指明桢的优先级。
一共有8种优先级,主要用于当交换机阻塞时,优先发送哪个数据包。
TNETX3270和TNETX4090只支持一种优先级,所以这一位也没有用,
不难看出,802.1Q标签头的4个字节是新增加的,目前我们使用的计算机并不支持802.1Q,即我们计算机发送出去的数据包的以太网桢头还不包含这4个字节,同时也无法识别这4个字节,将来会有软件和硬件支持802.1Q协议的。
对于交换机来说,如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包,那么我们把这种端口称为TagAware端口(trunk端口汇聚);相反,如果该交换机端口所连接的以太网段有只要有一台主机不支持这种以太网桢头,那么交换机的这个端口我们称为Access(switchportaccess)端口,此端口在转发帧给终端时会去掉tag字段,否则终端网卡的收到的帧的数据段将出现错误.从目前的情况可以看出,所有的交换机的端口都属于后一种。
那么,在现在的情况下,交换机是如何支持VLAN的呢?
是这样的,比如交换机的1~4端口属于同一个VLAN,那么当1端口进来一个数据包是,交换机看到该数据包没有802.1Q标签头,那么,它会根据1号端口所属的VLAN组,自动给该数据包添加一个该VLAN的标签头,然后再将数据包交给数据库查询模块,数据库查询模块会根据数据包的目的地址和所属的VLAN进行路由,之后交给转发模块,转发模块看到这是一个包含标签头的数据包,而实际上发送的端口所连的以太网段的计算机不能识别这种数据包,所以,它会再将数据包进来是交换机给添加的标签头再去掉。
如果计算机支持这种标签头,那么就不需要交换机添加或删除标签头了,至于到底是添加还是删除要看交换机所连的以太网段的主机是否识别这种数据包,即该交换机的端口是哪种类型的端口。
当然,对于两个交换机互连的端口一般都是TagAware端口,这样,交换机和交换机之间交换数据包时是无须去掉标签头的。
交换机间链路(Inter-Switch Link, ISL)协议
这是一种以太网帧上显示地标志VLAN信息的方法。
通过运行ISL,可以将多台交换机互联起来,并且当数据流在交换机之间的中继链路上传送时,仍然维持VLAN信息。
处理流程包括3个步骤:
1、接收过程:
该过程负责接收数据包,数据包可以是带标签头的,也可以不带标签头,如果不带,交换机会知道根据该端口所属的VLAN添加上相应的标签头。
2、查找/路由过程:
该过程根据数据包的目的MAC地址、VLAN标识已经数据库中注册的信息决定把数据包发送到哪个端口。
3、发送过程:
将数据包发送到以太网段上,如果该网段的主机不能识别802.1Q标签头,那么就将该标签头去掉,如果是与其他交换机互连的端口,一般不去掉。
具体的接收、查询和发送过程可以参考TNETX
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- vlan basic