第5章 VLAN
第5章VLAN
本章能帮助大家掌握以下技术要点:
①基于安全和管理的需要,能够正确地为交换机配置各种密码和管理的IP地址、网关等
②能够根据实际的需求,在Cisco交换机上正确划分基于端口的静态VLAN
·理解VLAN的含义
·了解划分VLAN的作用
·理解VLAN的工作原理
上章讲解了交换机根据MAC地址表转发数据的工作原理,并且已经能使用超级终端接入交换机。那么学习了本章,将能够对交换机进行必要的配置,例如交换机的主机名、密码、IP地址等。
另外,前面讲过关于冲突域和广播域的知识,知道交换机能够分割冲突域,实现全双工通信,但是交换机的所有端口都属于同一个广播域,也就是说,连接在交换机上的一台主机发送了一个广播包,连接在交换机上的所有端口都能接收到这个广播。如果交换机数量很多,连接成一个很大的交换网络,那么广播的量就会非常大。当网络中广播通信很泛滥的时候,交换机的负荷包括主机的负荷都会提高很多,甚至可能导致交换机死机,那有没有一种方法分割交换机上的广播域呢?
本章将要讲解的VLAN技术就是在交换机上分割广播域。划分VLAN,目前在实际的企业环境中应用非常广泛。本章将会讲解VLAN的原理以及交换机的配置。
5.1 交换机的基本配置
5.1.1 交换机的基本配置与查看
1.配置主机名
为交换机配置主机名的命令:
------------------------------------------------------------------------------ 提示:该命令使用hostname在全局配置模式下配置交换机的主机名,配置后,提示的主机名立即变为刚才设置的名字,例如:
------------------------------------------------------------------------------
2.查看交换机的配置
查看交换机配置的命令:
在特权模式下,使用show running-conng(可以简写为show run)查看交换机的配置信息,例如,前面设置了交换机的主机名为xiaoming,可以在交换机给出的信息中看到刚
做的配置。
3.使能口令
为交换机配置使能口确,则不能进入特权模式令,当进入特权模式时,交换机会提示输入口令,如果口令不正确,配置命令如下:
------------------------------------------------------------------------------ 提示:该命令用于在全局配置模式下配置交换机的使能口令。
------------------------------------------------------------------------------ 例如:
配置后,用show run查看配置:
可以看出,使能口令是以明文的形式保存的。
4.加密保存的使能口令
为交换机配置加密保存的使能口令的命令:
例如,在全局配置模式下,配置交换机的加密的使能口令为ciscolab:
配置后可以show run 查看配置:
可以看出,加密的使能口令在配置文件中以加密形式保存。如果同时配置了加密的使能口令和明文的使能口令,加密的使能口令在登录时生效。
5.验证使能口令和加密的使能口令是否生效
退出特权模式,检测进入特权模式时,需要进行什么样的操作:
在用户模式下,输入enable进入特权模式,此时生效的是加密的使能口令。当同时配置使能口令和加密的使能口令时,登录时,输入加密的使能口令有效。
6.配置IP地址
为交换机配置IP地址,用于通过网络对交换机进行管理(关于对交换机进行远程管理的配置将在后续章节做详细介绍。配置命令为:
配置了交换机的可管理IP地址后,可以通过网络使用地址192.168.1.1对交换机进行管理。
7.配置交换机的网关
为交换机配置网关地址的命令:例如:
为交换机配置网关的目的是为了远程管理交换机,当管理工作站的位置与交换机不在同一网段时,需要为交换机配置网关。
8.查看交换机的MAC地址表
我们在前一章讲过,交换机根据MAC地址表转发数据,当交换机的转发出现问题的时候,我们可以根据MAC地址表去定位故障点,以排除网络的故障。下面是查看交换机MAC地址表的命令:
其中,前4个MAC地址是赋予CPU的,用于管理。第一个MAC地址000d.28be.b640是交换机的基本的MAC地址,交换机每个端口的MAC地址一般是这个基本MAC地址上加端口号。
其余的3个是组播MAC地址,用于交换机中的一些交换协议。
最后两个MAC地址的类型为DYNAMIC(动态),是连接在交换机Fa0/2和Fa0/8上的设备接口的MAC地址。
5.1.2 使用CDP协议
本节主要介绍如何使用CDP相关命令,查看CDP相关命令结果,如何使用CDP信息协助配置交换机和排查交换机故障。
CISCO发现协议(CDP)提供了一条专有的命令,使得网络管理员能获得有关直连设备的摘要信息。CDP运行于数据链路层。
当CISCO设备启动时,CDP会自动,这使得设备可以检测到运行CDP的相邻的CISCO设备,这些设备不一定要运行TCP/IP,只要是直接相连的cisco设备就行,而不管第3层和第4层运行什么协议簇。
show cdp命令中主要包含以下几个可以使用的命令:
例如,如图5.1所示,一台CiSCO 2950交换机与一台cisco 2621路由器直接相连按照图5.1所示连接交换机。
图5.1 查看邻居信息示意图
按照图5.1所示连接交换机和路由器,在交换机上使用show cdp命令:
Show cdp命令显示了设备的CDP全局配置信息:每60s发送CDP包一次,保持计数器为180s,发送CDP版本2公告处于使能(enabled)状态。
show cdp interface f0/19命令显示了f0/19接口的CDP配置信息,如下:
show cdp traffic命令显示了有关CDP包的统计信息,主要用来查看其接收和发送的公告报文数,如下:
show cdp neighbors命令以洁的形式列出了与本设备相邻的Cisco设备。
分析:
◇Device ID:相邻设备的设备名,一般是其主机名(由hostname命令所定义的主机名)。◇Local Intrfce:即Local Interface,本地接口,本地与对应相邻设备连接的接口。◇Holdtme:即Hold Time保持时间,此值一旦计数到零,相应项将从CDP邻居表中删除。◇Capability:设备的能力,此处的S指交换机,若为R则为路由器。
◇P1atfonn:设备平台,指对应的相邻硬件平台,此处显示为Cisco 2621路由器。
◇Port ID:端口号,这里指的是相邻设备上的端口号,对于对方而言,就是F0/0(快速以太网接口FO/O)。
在show cdp entry后面入“*”号即可显示所有入口项的细节。
show cdp neighbors detail命令用于显示相邻cisco设备的详细信息,信息主要包括IP地址、平台、接口信息、保持时间、版本信息等。
5.1.3 保存与删除交换机配置
1.保存交换机的配置
交换机里保存了两个配置文件,其中running-config文件保存的是当前的配置信息,存储在RAM中,每做一个配置,就会立即将配置信息添加到running-config文件中,配置也同时生效。但是交换机掉电后,running-config就消失了。
另一个配置文件是startup-conflg,保存在NVRAM中,掉电后不丢失,在交换机启动的时候加载startup-config文件。因此,对交换机做了相应的参数配置后,应该进行保存操置,防止配置丢失。保存交换机配置的命令为:
或可写为
两条命令的效果相同。
2.恢复交换机出厂配置
当多次对交换机进行配置后,交换机的配置状况就像一张被不同人写满不同字体的纸。想要再有效地写一些东西在上面,就要首先对原有的文字进行修改和删除,这样做又费时又费力,交换机生产厂家为大家提供了一种方法可以使大家重新配置交换机,就像是重新获得一张白纸来写字一样。
恢复交换机出厂值的步骤:
5.1.4 Catalyst 2950交换机密码恢复
在实际工作中可能会遇到忘记交换机密码,导致不能对交换机进行配置的情况。Cisco 提供了密码恢复的方法。
这时如果要重新配置交换机必须使交换机在启动时绕过config.text的配置(密码保存在config.text中),然后重新配置密码。
如果要使交换机启动时绕过config.text的配置,只要在ROM状态下修改config.text 文件名就可以。正常情况下配置文件名为config.text,现在把它改为config.old文件,然后再重新启动交换机进入特权模式把文件名改回来,重新设置密码就可以了。
不同的交换机在执行密码恢复时的步骤也不尽相同,下面以Cisco catalyst 2950为例。
(1)拔下交换机的电源线。
(2)用手按在交换机的MODE按键上,插上电源线,如图5.2所示。
图5.2 MODE键
(3)看到控制台出现如下界面,松开MODE键。
场景描述:
SOHU公司有2名网络工程师,早期公司的一台CISCO-2950交换机是工程师A配置的并投入使用,交换机内配置了重要的信息,密码,主机名,IP ADD等等,工程师B某天发现网络产生故障,要使用2950交换机,但又不知道密码,又联系不上工程师A,此时应该怎么办?
解决:将交换机的密码破解掉,删除原先的密码重新配置新的密码,但保证原先交换上的重要配置仍然保留使用。演示如下1-6图:
①破密码步骤1:工程师B发现有密码进不了交换机
图1
图2 ③破密码步骤3:
图3
图4 ⑤破密码步骤5:
图5
⑥破密码步骤6:将原有配置从交换机中倒出,并NO掉里面的密码但保存重要配置
图6
以上就是2950交换机破密码的步骤!
------------------------------------------------------------------------------- 阶段练习:
◇配置使能口令和加密的使能口令的区别是什么?
如果两个都设置,在登录的时候哪一个生效?
◇如何恢复交换机的出厂默认值?
◇执行命令switch#write后,running-config和startup-config是否相同?
running-config保存在什么地方?
startup—config呢?
------------------------------------------------------------------------------- 5.2 虚拟局域网(VLAN)
5.2.1 VLAN的概述和作用
1.VIAN概述
VLAN(虚拟局域网)是对连接到第2层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制,而根据用户需求进行网络分段,一个VLAN可以在一个交换机上实现,也可以跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播
域、带宽问题。
在传统的共享介质以太网和交换式以太网中,所有的用户在同一个广播域中,这样会
引起网络性能的下降,浪费宝贵的带宽;而且,对广播风暴的控制和网络安全只能在第3 层的路由器上实现。
在传统的局域网中,如果一个节点接到一个网络设备(集线器、中继器或网桥)上,那么,
它就与其他接在同一设备上的节点属于同一个局域网。局域网实际上就是一组能互相发送广
播报文的节点。如果一组节点能互相发送广播报文,就称它们处于同一“广播域”。说得更
明白一些就是:广播域是一组能互相发送广播报文的节点。广播域通常通过路由器互相连接,
并且,第2层的广播帧不能通过路由器。为了简单起见,一般称一个VLAN就是一个广播域,
如图5.3所示。
图5.3 VLAN和广播域
VLAN相当于OSI参考模型第2层的广播域,能够将广播控制在一个VLAN内部,划分VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著
提高。不同VLAN之间的数据传输是通过第3层(网络层)的路由来实现的,因此,使用VLAN
技术结合数据链路层和网络层的交换设备,可搭建安全可靠的网络。网络管理员通过控制交
换机的每一个端口,来控制网络用户对网络资源的访问,同时VLAN和第3层的路由结合使
用能够为网络提供较好的安全措施。在后面,还会对VLAN的作用进行详细的阐述。
-------------------------------------------------------------------------------
提示:
一个VLAN就是一个交换网,其逻辑上按功能,项目,应用来分,而不必考虑用户的物
理位置。任何交换口都可以属于某一VLAN,IP包,广播包及组播包均可以发送或广播给在
此VLAN内的最终用户。每一个VLAN均可看成是一个逻辑网络,发往另一VLAN的数据包必
须由路由器转发。
-------------------------------------------------------------------------------
另外,VLAN具有灵活性和可扩展性等特点,便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
2.VLAN的作用
VLAN的产生主要是为了给局域网的设计增加灵活性。VLAN使得网络工程师在划分工作组时,不再受用户在企业网内位置的限制。下面详细介绍VLAN的作用。
(1)安全性
安全性一直是网络中牵涉面最广的一个方面。在进行网络连接时,所做的每一件事情几乎都与安全性有关。对于VLAN技术而言,安全性只是副产品而已(安全性不是VLAN技术产生的决定性推动因素)。
当创建多个VLAN时,就同时创建了多个通过内置防火墙相分隔的独立网络。也许“防火墙”这个术语用在这里有些过头,但要说明的问题是,不同VLAN中的主机不能互相通信。如果IP子网与VLAN之间的映射是一一对应的,那么,不同VLAN中的主机相互之间就必须通过IP路由选择进行通信。配置了路由选择后,就能实现VLAN间的通信。在这种情况下,可以通过路由器上配置的访问控制列表来过滤VLAN间的通信(访问控制列表是人为地配置一些控制来限制各个子网之间的通信,有关访问控制列表的内容在后续课程中有详细讲解)。
理论上,可以只配置VLAN而不配置VLAN间路由,并以此作为一项安全解决方案。只有VLAN内的用户才能通信。但事实上,这种做法是很少见的。出于安全性考虑,人们也许会用这种方法来分隔一些VLAN,但通常都会在各个VLAN之间配置路由选择,并通过访问控制列表来保护某个VLAN或者VLAN内某一部分的安全。
另一方面的考虑源自共享介质技术。在基于集线器的局域网中,当站点需要发送数据时,所有连在同一个网段中的站点(即使不是目标接收者)都会收到该数据帧的一个备份。任何运行协议分析软件的主机都能对通信进行监视。这样就能实现截获密码、读取内容敏感的电子邮件等功能。如果某个网段内的用户属于同一个部门,这可能不是一个问题,但如果多个部门共享一个网段,敏感的信息就会受到威胁。如果人力资源或者财务部门的人员在共享网络上发送类似薪金或者健康记录的信息,那么,局域网上的任何用户只要使用网络监听工具就能截取这些信息。
事实上,这个问题不仅仅存在于单个局域网段内。如果源和目的之间的任何共享介质的LAN中存在别的主机,数据就面临着安全隐患。
或者,如果用户对连接源和目的的交换机能进行物理的或者逻辑的访问,那么数据也可能被截获。这类的安全漏洞只能通过严格控制对交换机的物理访问,并用密码控制远程访问来解决。
实际上,假设对交换机的物理访问是安全的,也用密码对远程访问进行了保护,由于共享介质而造成的数据截获问题在今天已经不是主要问题。现在,几乎所有的主机都连接到了交换端口上。因此,单播对发送者和接收者以外的任何主机都是不可见的。VLAN在主机间
增加了另一层分隔,使得数据的截获变得更加困难。
(2)广播控制
事实上,所有的网络控制协议都会产生广播数据。在很多的协议和应用中,终端都会通过广播来通告或者请求服务。另外,多媒体应用也会产生能在整个广播域内传送的广播和组播数据帧,如图5.4所示。
图5.4 VLAN产生的主要原因:控制广播
广播会被广播域内的所有设备接收和处理。广播会对工作站的JI生能产生显著影响。工作站收到的任何广播数据包都会产生CPU中断,因此,都会暂时中断对用户应用程序的处理。随着网卡所接收的广播数据包的增加,有效的CPU利用率会不断降低。性能下降的具体程度要视工作站的应用、网卡的类型、驱动程序、操作系统以及工作站平台而定。
除了造成工作站性能的下降之外,广播和组播还会消耗实际的带宽,如果不控制,还会严重影响网络的性能。解决方法当然是将网络中任何不必要的广播和组播通信降到最低。
VLAN分割了广播域。除非专门对网络设备进行配置,否则,广播和组播不会在VLAN之间进行传播。如果广播和组播在网络中产生了问题,划分更小的VLAN能将影响减到更小。这意味着将现有的VLAN划分成多个更小的VLAN,以减小每个VLAN中设备的数量。这样做的效果需要视广播/组播通信的信源而定。如果信源是本地服务器,可能只需要将此服务器隔离到另一个域内。如果广播/组播是由一些终端工作站发出的,那么划分新的VLAN将有助于减少每个域内广播/组播的数量。
(3)带宽利用
如果一台工作站连接到了交换机端口上,通常,它所接收的数据包只是专门发给它的。交换机过滤其他的单播数据包。唯一的例外是:如果在VLAN内的一个入向端口上,收到了一个目的地址未知的单播数据帧,这个帧就会在该VLAN内的所有其他端口上广播出去。这个过程会持续进行,直到交换机发现了目的MAC地址与交换机端口之间的映射。这就是说,目的地址未知的单播通信只会在相同VLAN内的端口上进行广播。在交换机上配置更多的
VLAN,也就意味着每个交换机端口上的广播通信更少。因此,部署VLAN能提高带宽的利用率。
(4)延迟
延迟用于度量在网络设备上将数据帧从入端口传送到出端口所需的时间。通过部署VLAN,减少了广播和组播通信量,减少了带宽的占用,就可以减少延迟。
5.2.2 VLAN的种类
VLAN可以分为静态的或者动态的,在本节中主要介绍以下两种:
◇静态:基于端口划分的VLAN。
◇动态:基于MAC地址的VLAN。
1.基于端口划分的静态VLAN
VLAN可以分为基于端口(静态)的或者基于MAC地址(动态)的。基于端口的(也称为静态的)VLAN实现方式是目前最常见的。在基于端口的VLAN中,端口到VLAN的映射是手工一一配置的,指定了哪些端口与特定的VLAN相关联。这就直接在每个交换机上实现了端口和VLAN 的硬性映射,如图5.5所示。这种端口和VLAN的映射只是本地有效的,交换机之间不共享这一信息。
在基于端口的VLAN成员身份中,将端口指定到特定VLAN时,不需要考虑该端口所连接的用户或系统。这就意味着,连接到该端口的所有用户都必须属于同一个VLAN。这种端口配置是静态的,需要通过手工配置将端口改变到另一个VLAN中。
图5.5 基于端口的VLAN使用
连接到端口的设备并不知道另一个VLAN。这个设备只知道它是某个子网的成员,并且只需要将数据发送到所连接的线缆段上,就能与属于同一个子网的所有成员通信。交换机负责识别信息来自哪个特定的VLAN,并保证只将信息发送给该VLAN内的所有其他成员。交换机还进一步确保其他VLAN的端口不会收到该信息。
基于端口的静态VLAN的优点在于,它简化了VLAN成员管理的复杂性,实现VLAN成员关系所涉及的变量的数目被降到最低。
2.基于MAC地址划分的动态VLAN
另一方面,如果用户经常在大型园区网内移动其工作站或使用笔记本电脑,为基于端口的VLAN提供支持就很困难了。在这种情况下,就有部署动态VLAN的必要。在动态VLAN中,会根据主机的MAC地址自动将其指派到合适的VLAN中。这是通过VLAN管理策略服务器(VMPS)数据库中的MAC地址到VLAN的映射表实现的,如图5.6所示。
VMPS是CISCO专用的解决方案,在一个VTP(VLAN Trunking Protocol)域内支持对交换机端口进行动态VLAN分配(VTP域将在后面的章节描述)。VMPS服务器负责将VMPS数据库中的信息发送给交换机。
图5.6 基于MAC地址的动态VLAN
动态VLAN也提供了一种形式的安全性。通常VMPS的配置都是:如果用户的MAC地址不在数据库中,就拒绝用户访问网络,或者将其分配到一个受限的VLAN中。动态VLAN的一个缺点是,需要不断更新VMPS数据库,这就会带来很大的管理负担。
5.2.3 静态VLAN的工作原理
静态VLAN的工作原理就是将端口强制性地分配给某个VLAN。一般按照设计和规划来确定哪些端口属于哪些特定的VLAN,然后将VLAN静态映射到端口。
例如,在图5.7中,交换机的端口定义了两个VLAN,即会计部门和管理部门。其中,端口1到端口13分配给会计部门的VLAN,端口13到端口24分配给管理部门的VLAN。由于交换机不允许广播在VLAN之间传送,所以交换机相当于对图5.7中的网络进行了逻辑分段。
图5.7 在交换机上定义两个VLAN
如果会计部门VLAN的工作站A发送一个广播,则会计部门VLAN上的所有工作站都会接收到这个广播。但交换机不会将广播发送至管理部门VLAN上的任何一个端口。实际上,交换机不会从一个VLAN向另外一个VLAN发送任何帧,如图5.8所示。
图5.8 广播限制在一个VLAN的所有端口上
会计部门VLAN中的工作站将与管理部门VLAN中的用户处在完全不同的广播域中,一个VLAN也对应一个子网。假设,分配给会计VLAN的IP地址是172.16.10.0/24。分配给管理VLAN的IP地址为172.16.20.0/24。在这种情况下,一个VLAN的通信量不会对另外一个VLAN 产生影响,不论它在网络中的物理位置怎样都是如此。
在交换机上定义好端口和VLAN的对应关系后,在交换机中会有一个表,存储着它们这种对应关系,交换机根据这张表来判断哪个机器属于哪个VLAN。
5.2.4 在交换机上配置静态VLAN
Catalyst 2950交换机支持1005个VLAN,VLAN号可以从1~4094,VLAN号1002~1005保留给令牌环和光纤分布式数字网(FDDI)形式的VLAN。
VLAN号1,1 002~1005是自动生成的,不能被去掉。
VLAN号1~1 005的配置被写到文件vlan.dat中,可以用show vlan命令查看,vlan.dat 文件存放在NVRAM中。
------------------------------------------------------------------------------- 提示:不要手工删除vlan.dat文件,否则可能造成VLAN的不完整。如要删除VLAN,需要用相关的命令来进行。
------------------------------------------------------------------------------- 在交换机上配置基于端口划分的VLAN,需要以下几个步骤:
(1)创建VLAN。
(2)将交换机的端口加入到相应的VLAN中。
(3)验证。
1.创建VLAN
在cisco交换机上创建VLAN有两种方法:
(1)在全局配置模式下,表5-1列出了在全局配置模式下创建VLAN的命令。
表5-1 在全局配置模式下创建VLAN的命令
例如:创建ID为20,名称为test20的VLAN
(2)在VLAN数据库模式中
也可以在VLAN数据库中创建VLAN,表5-2列出了在VLAN数据库中的VLAN配置命令。
表5-2 在VLAN数据库中VLAN的配置命令
例如:
2.删除VLAN
表5-3是在全局配置命令模式下删除VLAN的命令。
表5-3 删除VLAN的命令
例如:
与创建VLAN相同,也可以在VLAN数据库中删除VLAN,命令为:
(完整版)子网划分与VLAN技术详解
子网划分与VLAN技术详解 子网划分 子网划分定义:Internet组织机构定义了五种IP地址,有A、B、C三类地址。A类网络有126个,每个A类网络可能有16777214台主机,它们处于同一广播域。而在同一广播域中有这么多结点是不可能的,网络会因为广播通信而饱和,结果造成16777214个地址大部分没有分配出去。可以把基于类的IP网络进一步分成更小的网络,每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后,通过使用掩码,把子网隐藏起来,使得从外部看网络没有变化,这就是子网掩码。 子网掩码 RFC 950定义了子网掩码的使用,子网掩码是一个32位的2进制数,其对应网络地址的所有位置都为1,对应于主机地址的所有位都置为0。由此可知,A类网络的默认子网掩码是255.0.0.0,B类网络的默认子网掩码是255.255.0.0,C类网络的默认子网掩码是255.255.255.0。将子网掩码和IP地址按位进行逻辑“与”运算,得到IP地址的网络地址,剩下的部分就是主机地址,从而区分出任意IP地址中的网络地址和主机地址。子网掩码常用点分十进制表示,我们还可以用网络前缀法表示子网掩码,即“/<网络地址位数>”。如138.96.0.0/16表示B类网络138.96.0.0的子网掩码为255.255.0.0。 路由器判断IP 子网掩码告知路由器,地址的哪一部分是网络地址,哪一部分是主机地址,使路由器正确判断任意IP地址是否是本网段的,从而正确地进行路由。例如,有两台主机,主机一的IP 地址为222.21.160.6,子网掩码为255.255.255.192,主机二的IP地址为222.21.160.73,子网掩码为255.255.255.192。现在主机一要给主机二发送数据,先要判断两个主机是否在同一网段。 主机一 222.21.160.6即:11011110.00010101.10100000.00000110 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.00000000 主机二 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.01000000 两个结果不同,也就是说,两台主机不在同一网络,数据需先发送给默认网关,然后再发送给主机二所在网络。那么,假如主机二的子网掩码误设为255.255.255.128,会发生什么情况呢? 让我们将主机二的IP地址与错误的子网掩码相“与”: 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.128即:11111111.11111111.11111111.10000000 结果为11011110.00010101.10100000.00000000 这个结果与主机一的网络地址相同,主机一与主机二将被认为处于同一网络中,数据不
实现VLAN间通信的两种方法
目标:通过路由器进行多个VLAN互联[1] 环境:1、交换机为二层交换机,支持VLAN划分;2、路由器只有1个Ethernet接口 实施:采用单臂路由,即在路由器上设置多个逻辑子接口,每个子接口对应于一个VLAN。由于物理路由接口只有一个,各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL与802、1q协议。华为设备只支持802、1q。 您的路由器只有一个以太网接口。但就是要进行两个网络(VLAN)的互连,怎么办呢?那就只有通过对路由器的以太网接口进行子接口的划分。这样就可以连接了。有几个VLAN,就要划分几个子接口。 Ethernet交换机(二层或三层交换机)被配置成两个VLAN:VLAN1与VLAN2。端口8配置为一个中继端口,也就就是说端口8属于VLAN 1与VLAN 2。在路由器的一个快速以太口上配置两个子接口,每个子接口被配置到一个独立的IP子网上,并为每个子接口封装一个VLAN ID,分别对应VLAN 1与VLAN 2。因此,交换机
中VLAN 1或VLAN 2的数据流可以通过中继端口8到达路由器子接口f0、1或f0、2,通过两个子接口实现两个VLAN之间的路由。因为路由器只有一个物理接口同一个交换机端口相连接,所以这种路由器有一种别名:单臂路由! 当用户的二层网络就是基于VLAN设计的,但就是三层路由设备却不支持VLAN interface,此时可以使用路由器的子接口,在一个三层接口上创建N个子接口,每个子接口做一下dot1q的封装,指定VLAN Tag,与其相连的交换机使用Trunk链路,这样不同VLAN发送过来的报文可以被正确的发送到对应的子接口去处理。这样就实现了一个接口处理多个VLAN(网段)的数据
浅谈VLAN技术(一)
浅谈VLAN技术(一) 摘要:随着网络的不断扩展,接入设备逐渐增多,迫切需要一种技术解决在局域网内部出现的访问冲突与广播风暴一类的问题,VLAN的产生就解决这个问题。本文介绍了VLAN技术的概念、优点,详细描述了VLAN的划分方法,给出了一个简单的公司内部进行VLAN的划分实例。 关键词:VLAN;网络管理 一、VLAN技术概述 VLAN(VirtualLocalAreaNetwork)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备。 二、VLAN的优点 (一)可以控制网络广播 在没有应用VLAN技术的局域网内的整个网络都是广播域,这样就使得网内的一台设备发出网络广播时,在局域网内的任何一台设备的接口都能接收到广播,因此当网络内的设备越来越多时,网络上的广播也就越来越多,占用的时间和资源也就越来越多,当广播多到一定的数量时,就会影响到正常的信息的传送。这样就能导致信息延迟,严重的可以造成网络的瘫痪、堵塞,严重的影响了正常的网络应用,这就是所谓的网络风暴。 在应用了VLAN技术的局域网中,缩小了广播的广播域,在一个VLAN中的广播风暴也不会影响到其他的VLAN,从而有效地减少了广播风暴对局域网网络的影响。 (二)增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而也减轻了因广播包被截获而引起的信息泄露,增强了网络的安全性。 (三)简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络,灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。 三、VLAN的划分方法 (一)根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。不足之处是不够灵活,当一台机器设备需要从一个端口移动到另一个新的端口,但是新端口与旧端口不在同一个VLAN之中时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能使这台设备加入到新的VLAN。 (二)根据MAC地址划分VLAN 这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,就无需对它进行重新配置,自动把它添加到相应的VLAN中。所以,可以认为这种
H3C交换机vlan之间的通信
H3C交换机配置跨交换机间VLAN通信 一组网需求: 1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC 之间禁止互访; 2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP 地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。 二组网图: 1.VLAN内互访,VLAN间禁访 1 实现VLAN内互访VLAN间禁访配置过程 SwitchA相关配置: 1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1 [SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置: 1.创建(进入)VLAN10,将E0/10加入到VLAN10 [SwitchB]vlan 10 [SwitchB-vlan10]port Ethernet 0/10 2.创建(进入)VLAN20,将E0/20加入到VLAN20 [SwitchB]vlan 20 [SwitchB-vlan20]port Ethernet 0/20 3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchB]interface GigabitEthernet 1/1 [SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 2.通过三层交换机实现VLAN间互访
利用单臂路由实现VLAN间通信
利用单臂路由实现VLAN 间通信 一、实训名称 利用单臂路由实现VLAN 间通信 二、实训目的 掌握如何在路由器上划分子接口、封装Dot1q (IEEE 802.1q )协议,理解使用路由器单个接口实验VLAN 间通信的原理。 三、实训设备 两台PC 机,一台cisco 2950-24交换机,一台cisco 1841路由器(可选其他型号),三根直通线。 四、网络拓扑 五、实训步骤 1、交换机的配置: SWITCH#configure terminal 注:进入交换机全局配置模式 SWITCH(config)# vlan 10 注:创建 vlan 10 SWITCH(config)# vlan 20 注:创建 vlan 20 SWITCH(config)#interface range fastethernet 0/6-10 注:同时进入fastethernet 0/6至0/10五个端口配置模式 SWITCH(config-if-range)#switch access vlan 10 注:将 fastethernet 0/6至0/10五个端口加入 vlan 10 中PC1 PC2 VLAN 10 VLAN 20 F0/11 F0/6 F0/1 F0/0 Switch Router
SWITCH(config)#interface range fastethernet 0/11-15 注:同时进入fastethernet 0/11至0/15五个端口配置模式 SWITCH(config-if-range)#switch access vlan 20 注:将 fastethernet 0/11至0/15五个端口加入 vlan 20 中 SWITCH(config)# interface fastethernet 0/1 注:进入 fastethernet 0/1 的接口配置模式 SWITCH(config-if)# switchport mode trunk 注:将 fastethernet 0/1 设为 tag vlan 模式 2、路由器的配置: Router# configure terminal 注:进入路由器全局配置模式 Router(config)#interface fastEthernet 0/0 注:进入路由器的fastethernet 0/0 的接口配置模式 Router(config-if)#no ip address 注:去掉路由器主接口的IP地址 Router(config-if)#no shutdown Router(config)#interface fastEthernet 0/0.10 注:进入子接口Fa 0/0.10 Router(config-subif)#encapsulation dot1Q 10 注:指定子接口Fa 0/0.10对应VLAN 10,并配置为干道模式 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 注:配置子接口Fa 0/0.10的IP地址 Router(config)#interface fastEthernet 0/0.20 注:进入子接口Fa 0/0.20 Router(config-subif)#encapsulation dot1Q 20 注:指定子接口Fa 0/0.20对应VLAN 20,并配置为干道模式 Router(config-subif)#ip address 192.168.20.254 255.255.255.0 注:配置子接口Fa 0/0.20的IP地址 3、配置PC1和PC2的IP地址分别为192.168.10.1和192.168.20.1;PC1和PC2
VLAN技术原理及方案解析
Vlan技术原理 在数据通信和宽带接入设备里,只要涉及到二层技术的,就会遇到VLAN。而且,通常情况下,VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生,还是已经在这个行业打拼了很多年的前辈,都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题,在工作中也经常被问起关于VLAN的这样或那样的问题,所以,有了想写一点东西的冲动。 大部分童鞋接触交换这门技术都是从思科技术开始的,讨论的时候也脱离不了思科的影子。值得说明的是,VLAN是一种标准技术,思科在实现VLAN的时候加入了自己的专有名词,这些名词可能不是通用的,尽管它们已经深深印在各位童鞋们的脑海里。本文的描述是从基本原理开始的,有些说法会和思科技术有些出入,当然,也会讲到思科交换中的VLAN。 1. 以太网交换原理 VLAN的概念是基于以太网交换的,所以,为了保持连贯性,还是先从交换原理讲起。不过,这里没有长篇累牍的举例和配置,都是一些最基本的原理。 本节所说的以太网交换原理,是针对‘传统’的以太网交换机来说的。所谓‘传统’,是指不支持VLAN。 简单的讲,以太网交换原理可以概括为‘源地址学习,目的地址转发’。考虑到IP层也涉及到地址问题,为了避免混淆,可以修改为‘源MAC学习,目的MAC转发’。从语文的语法角度来讲,可能还有些问题,就再修改一下‘根据源MAC进行学习,根据目的MAC进行转发’。总之,根据个人习惯了。本人比较喜欢‘源MAC学习,目的MAC转发’的口诀。 稍微解释一下。 所谓的‘源MAC学习’,是指交换机根据收到的以太网帧的帧头中的源MAC地址
来建立自己的MAC地址表,‘学习’是业内的习惯说法,就如同在淘宝上买东西都叫‘宝贝’一样。 所谓的‘目的MAC转发’,是指交换机根据收到的以太网帧的帧头中的目的MAC 地址和本地的MAC地址表来决定如何转发,确定的说,是如何交换。 这个过程大家应该是耳熟能详了。但为了与后面的VLAN描述对比方便,这里还是简单的举个例子。 Figure 1-1: |-------------------------------| | SW1 (Ethernet Switch) | |-------------------------------| | | |port1 |port 2 | | |-------| |-------| | PC1| | PC2| |-------| |-------| 简单描述一下PC1 ping PC2的过程:(这里假设,PC1和PC2位于同一个IP网段,IP地址分别为IP_PC1和IP_PC2,MAC地址分别为MAC_PC1和MAC_PC2) 1). PC1首先发送ARP请求,请求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(广播);源MAC=MAC_PC1。 SW1收到该广播数据帧后,根据帧头中的源MAC地址,首先学习到了PC1的MAC,建立MAC地址表如下: MAC地址端口 MAC_PC1 PORT 1 2). 由于ARP请求为广播帧,所以,SW1向除了PORT1之外的所有UP的端
不同vlan之间通信的三种方式
不同vlan间的通信简单配置 1.单臂路由(图) 环境:一台路由器,一台二层交换机,两台pc机 二层交换机的配置 一般模式: Switch> 输入enable进入特权模式: Switch>enable 输入configure terminal进入全局配置模式: Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 创建vlan 10 和 vlan 20:
Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config-vlan)# exit 进入接口配置模式: Switch(config)#interface fastEthernet 0/1 把0/1变成trunk口(默认是access口) Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Switch(config-if)#exit 进入接口配置模式分别把对应的接口,加入对应的vlan: Switch(config)#interface fastEthernet 1/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#interface fastEthernet 2/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20
分析VLAN技术概念及划分方法
分析VLAN技术概念及划分方法 一、VLAN技能概述 A, VLAN skills summary VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交流技能根底之上的,经过将局域网内的机器设备逻辑地而不是物理地区分红一个个不一样的网段,以软件办法完成逻辑作业组的区分与办理的技能。VLAN的作用是使得同一VLAN中的成员间能够彼此通讯,而不一样VLAN之间则是彼此阻隔的,不一样的VLAN间的若是要通讯就要经过必要的路由设备。 VLAN ( Virtual Local Area Network ) is a virtual local area network, is a kind of built on the foundation of communication skills, after the equipment will be LAN logical rather than physical area into a different network segment, complete the distinction between logical operations group in software way and management skills. The role of VLAN is to make the members in the same VLAN can communicate with each other, and not the same between VLAN is another barrier, not the same between VLAN
vlan技能技术总结(知识点)
精心整理 第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#intf0/5//进入到端口F0/5 SW2(config-if)#switchportmodeaccess
//设置端口为数据接入模式 SW2(config-if)#switchportport-security //启动端口安全 SW2(config-if)#switchportport-securitymac-address //为本端口绑定MAC地址 练习5:为交换机SW1连接交换机SW2的端口F0/10设置端口安全,允许最大连接数为“3”,安全模式设置为“protect” SW1(config)#intf0/10 SW1(config-if)#switchportmodetrunk SW1(config-if)#switchportport-security
SW1(config-if)#switchportport-securitymaximum3 //允许端口F0/10最多对应3个MAC地址 SW1(config-if)#switchportport-securityviolationprotect 四、组建虚拟局域网 1.首先,这些处于局域网中的个人电脑能够通信。 2. 3. 4. 5. 6. 7.和f0/2收 8.如何让交换机为端口进行分组: 练习6:把交换机SW1端口f0/1和f0/2分到编号是“10”的虚拟局域网,f0/3和f0/4分到编号是“20”的虚拟局域网。 把交换机“SW2”的f0/5和f0/6分到编号是“20”的虚拟局域网。为交换机相连的端口开启“trunk”
关于路由器VLAN的划分应用
关于路由器VLAN的划分应用 VLAN的划分应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配臵方法。 这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。 一、对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 二、从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。 三、基于MAC地址划分VLAN,根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配臵他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN 交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网
络用户从一个物理位臵移动到另一个物理位臵时,自动保留其所属VLAN的成员身份。 四、由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位臵移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配臵,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配臵,如果有几百个甚至上千个用户的话,配臵是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低。 五、因为在每一个交换机的端口都可能存在很多个VLAN 组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配臵,VLAN按网络层协议来划分,这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。 六、这种方法的优点是用户的物理位臵改变了,不需要重新配臵所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加
vlan技术(知识点)
第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 2.从软件的角度来说,需要连接到局域网的个人电脑,拥有IP地址。 (1)IP地址的分配,首先要求处于同一个局域网的个人电脑拥有相同的网络位。 (2)其次在拥有相同的网络位的前提先,必须拥有不同的主机位。 (3)处于同一个局域网的电脑拥有相同的“子网掩码”。练习1:组建局域网,局域网中拥有四台电脑,局域网处于192.168.1.0网络中,子网掩码是255.255.255.0 四台电脑的IP地址的主机位分别是“1”、“2”、“3”、“4”。 二、组建多台交换机组成的局域网 1.要求首先每个交换机都能够通过连接,实现自己建立的局域网。 2.交换机之间需要通过“反线”的网线进行连接。 3.多台交换机连接的个人电脑必须处于同一个网段。拥有相同的网络位,不同的主机位,相同的子网掩码。 练习2:组建由两台交换机组成的局域网,网络地址如练习1。
三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#int f0/5 //进入到端口F0/5 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全 SW2(config-if)#switchport port-security mac-address 0010.1158.ECEA //为本端口绑定MAC地址 SW2(config-if)#switchport port-security violation shutdown //设置控制规则为遇到非绑定的MAC地址的数据包的时候,关闭端口。 练习4:为交换机SW2的端口f0/6设置端口安全,绑定PC6的mac地址,安全模式设置为“protect” SW2(config)#int f0/6 //进入端口 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全
跨三层交换机VLAN间的通信
跨交换机VLAN间的通信 一、理论知识 GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)是GARP(Generic Attribute Registration Protocol,通用属性注册协议)的一种应用。它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。 交换机启动GVRP特性后,能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有设备的VLAN信息达成一致。VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。 GVRP的端口注册模式有三种:Normal、Fixed和Forbidden,各模式描述如下: ●Normal模式:允许该端口动态注册、注销VLAN,传播动态VLAN以及静态VLAN信息。 ●Fixed模式:禁止该端口动态注册、注销VLAN,只传播静态VLAN信息,不传播动态VLAN信息。也就是说被设置为Fixed模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是手动配置的那部分。 ●Forbidden模式:禁止该端口动态注册、注销VLAN,不传播除VLAN 1以外的任何的VLAN信息。也就是说被配置为Forbidden模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是缺省VLAN,即VLAN 1。 二、实验拓扑
三、配置步骤 SWA:
一文读懂VLAN和VXLAN技术
一文读懂VLAN和VXLAN技术 VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第二层以上交换机才具有此功能。802.1Q的标准的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。 1、交换机端口工作模式简介 交换机端口有三种工作模式,分别是Access,Hybrid,Trunk。 Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口; Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 2、基本概念(tag,untag,802.1Q) untag就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯; tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的 下图说明了802.1Q封装tag报文帧结构 带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含: 2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。
不同VLAN间通信配置
实验七不同VLAN间通信配置 一、实验目的和要求 1、进一步熟悉VLAN的各种配置命令 2、掌握不同VLAN之间通信的配置方法 二、仪器设备 1、交换机 2、PC机(电脑) 3、网线 三、实验内容和要求 1、拓扑结构 2、详细配置 Switch A的详细配置
创建vlan信息 [switch A]vlan 100 [switch A-vlan100]quit [switch A]vlan 200 [switch A-vlan200]quit 基于端口划分VLAN [switch A]interface ethernet0/0/3 [switch A-Ethernet0/0/3]port link-type access [switch A-Ethernet0/0/3]port default vlan 100 [switch A-Ethernet0/0/3]quit [switch A]interface ethernet0/0/4 [switch A-Ethernet0/0/4]port link-type access [switch A-Ethernet0/0/4]port default vlan 200 [switch A-Ethernet0/0/4]quit 配置接口为trunk接口、并允许vlan10、vlan20通过 [switch A]interface ethernet0/0/21 进入接口视图 [switch A-Ethernet0/0/21]port link-type trunk [switch A-Ethernet0/0/21]port trunk allow-pass vlan 100 200 [switch A-Ethernet0/0/21]quit 退出 Switch B的详细配置
思科VLAN间的通信
Vlan间的通信实验 (1)配置各个电脑的IP地址; (2)在各个交换机上面创建对应的VLAN,并命名(方便人为的去管理) 交换机上面创建VLAN的原则是:哪个VLAN的数据包会经过该交换机,就在该交换
机上面创建对应的VLAN; 在上面的拓扑结构中,SW、SW1、和SW2上面都需要创建VLAN 100和VLAN 200; 配置如下: SW1(config)#VLan 100 SW1(config-vlan)#name A# SW1(config-vlan)#ex SW1(config)#vlan 200 SW1(config-vlan)#name B SW1(config-vlan)#ex SW(config)#vlan n SW(config)#vlan 100 SW(config-vlan)#name A SW(config-vlan)#ex SW(config)#vlan 200 SW(config-vlan)#name B SW(config-vlan)#exit SW(config)# SW2(config)#vlan 100 SW2(config-vlan)#name A SW2(config-vlan)#ex SW2(config)#vlan 200 SW2(config-vlan)#name B SW2(config-vlan)#exit SW2(config)# (3)将交换机连接电脑的接口划入指定的VLAN; SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 100 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/2 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 200 SW1(config-if)#exit SW1(config)#
VLAN技术详解(免费下载)
VLAN技术详解 1.VLAN的概念 1.1什么是VLAN VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。 本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。 那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。 A B 图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC
地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播信息是那么经常发出的吗? 读到这里,您也许会问:广播信息真是那么频繁出现的吗? 答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……) 总之,广播就在我们身边。下面是一些常见的广播通信: ● ARP请求:建立IP地址和MAC地址的映射关系。 ● RIP:选路信息协议(Routing Infromation Protocol)。 ● DHCP:用于自动设定IP地址的协议。 ● NetBEUI:Windows下使用的网络协议。 ● IPX:Novell Netware使用的网络协议。 ● Apple Talk:苹果公司的Macintosh计算机使用的网络协议。 1.2 VLAN的实现机制 在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
实现VLAN间通信的两种方法(内容清晰)
目标:通过路由器进行多个VLAN互联[1] 环境:1. 交换机为二层交换机,支持VLAN划分;2. 路由器只有1个Ethernet接口 实施:采用单臂路由,即在路由器上设置多个逻辑子接口,每个子接口对应于一个VLAN。由于物理路由接口只有一个,各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL和802.1q协议。华为设备只支持802.1q。 你的路由器只有一个以太网接口。但是要进行两个网络(VLAN)的互连,怎么办呢?那就只有通过对路由器的以太网接口进行子接口的划分。这样就可以连接了。有几个VLAN,就要划分几个子接口。 Ethernet交换机(二层或三层交换机)被配置成两个VLAN:VLAN1和VLAN2。端口8配置为一个中继端口,也就是说端口8属于VLAN 1和VLAN 2。在路由
器的一个快速以太口上配置两个子接口,每个子接口被配置到一个独立的IP子网上,并为每个子接口封装一个VLAN ID,分别对应VLAN 1和VLAN 2。因此,交换机中VLAN 1或VLAN 2的数据流可以通过中继端口8到达路由器子接口 f0.1或f0.2,通过两个子接口实现两个VLAN之间的路由。因为路由器只有一个物理接口同一个交换机端口相连接,所以这种路由器有一种别名:单臂路由! 当用户的二层网络是基于VLAN设计的,但是三层路由设备却不支持VLAN interface,此时可以使用路由器的子接口,在一个三层接口上创建N个子接口,每个子接口做一下dot1q的封装,指定VLAN Tag,与其相连的交换机使用Trunk 链路,这样不同VLAN发送过来的报文可以被正确的发送到对应的子接口去处理。这样就实现了一个接口处理多个VLAN(网段)的数据