4.2-2-3VLAN基本原理
VLAN原理详解ppt课件
15
TAG VLAN原理
• 接下来,让我们具体看看汇聚链接是如何实现跨越交换机 间的VLAN的,即TAG VLAN的原理。
• A发送的数据帧从交换机1经过汇聚链路到达交换机2时, 在数据帧上附加了表示属于红色VLAN的标记。
• 交换机2收到数据帧后,经过检查VLAN标识发现这个数据 帧是属于红色VLAN的,因此去除标记后根据需要将复原 的数据帧只转发给其他属于红色VLAN的端口。这时的转 送,是指经过确认目标MAC地址并与MAC地址列表比对 后只转发给目标MAC地址所连的端口。只有当数据帧是一 个广播帧、多播帧或是目标不明的帧时,它才会被转发到 所有属于红色VLAN的端口。
• 1 Default
active 1-26
• 2 Cluster-Vlan active n/a
• 3 Raisecom
active n/a
31
端口VLAN模式配置
步骤 命令
描述
1 Config
进入全局配置模式
2 interface port <1-26>
进入对应物理接口配置模式
3 switchport mode {access | 设置端口的VLAN模式 hybrid | trunk | dot1qtunnel}
• Raisecom#(config-vlan)# exit
• Raisecom#(config)# exit
• Raisecom#show vlan
• VLAN Name
Status Ports
• ---- ---------------- ------- -----------------------------
5
实现VLAN的两种技术
VLAN工作原理详解
VLAN工作原理(VLAN通信原理)详解VLAN工作原理即VLAN通信原理1、vlan基本通信原理为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,以统一方式处理。
当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上配置了PVID(Port Default VLAN ID),那么,该数据帧就会被标记上接口的PVID。
如果数据帧已经带有VLAN Tag,那么,即使接口已经配置了PVID,交换机不会再给数据帧标记VLAN Tag。
由于接口类型不同,交换机对数据帧的处理过程也不同。
下面根据不同的接口类型分别介绍。
由于设备所有的接口都默认加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。
对于不需要加入VLAN1的接口及时退出VLAN1,避免环路。
2、VLAN内跨越交换机通信原理有时属于同一个VLAN的用户主机被连接在不同的交换机上。
当VLAN跨越交换机时,就需要交换机间的接口能够同时识别和发送跨越交换机的VLAN报文。
这时,需要用到Trunk Link技术。
Trunk Link有两个作用:1、中继作用:把VLAN报文透传到互联的交换机。
2、干线作用:一条Trunk Link上可以传输多个VLAN的报文。
图1 Trunk Link通信方式示意图例如在上图1所示的网络中,为了让DeviceA和DeviceB之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯,需要配置连接接口同时加入两个VLAN。
即应配置DeviceA的以太网接口Port2和DeviceB的以太网接口Port1同时加入VLAN2和VLAN3。
当用户主机Host A发送数据给用户主机Host B时,数据帧的发送过程如下:数据帧首先到达DeviceA的接口Port4。
接口Port4给数据帧加上Tag,Tag的VID字段填入该接口所属的VLAN的编号2。
DeviceA查询自己的MAC地址表中是否存在目的地址为DeviceB的MAC地址的转发表项。
EPON培训课件VLAN基本原理V
VLAN隔离与互通的配置实例
总结词
配置实例是针对实际网络环境,根据VLAN隔离与互通原理进行配置,实现网络隔离与 互通。
详细描述
在配置VLAN隔离与互通时,需要根据实际网络环境进行配置。例如,可以将交换机端 口配置为Access端口或Trunk端口,将不同端口加入不同的VLAN,从而实现网络隔离。 同时,也可以配置交换机或路由器,将不同VLAN连接在一起,实现不同VLAN之间的
配置VLAN成员
将交换机上的端口分配给相应 的VLAN,以便在该VLAN内 通信。
确定VLAN需求
根据网络拓扑和业务需求,确 定需要创建的VLAN数量和类 型。
配置VLAN间路由
根据需要配置VLAN间的路由, 以确保不同VLAN之间的通信。
测试与验证
通过ping命令或其他测试工具 验证VLAN配置的正确性。
VLAN的配置实例与注意事项
实例1
在企业网络中,根据部门和业务需求划分 不同的VLAN,以提高网络的安全性和管理 效率。
注意事项3
要注意VLAN间的路由配置,确保不同 VLAN之间的通信畅通。同时,要合理规 划路由协议,避免产生路由环路等问题。
实例2
在校园网中,根据宿舍楼、教学楼等建筑 划分不同的VLAN,以实现更好的网络隔离 和管理。
数据通信。在实际应用中,需要根据具体需求进行配置,以达到最佳的网络效果。
05
VLAN的安全与管理策略
VLAN的安全威胁与防范措施
ARP欺骗攻击
ARP欺骗攻击是VLAN中常见的 安全威胁,攻击者通过伪造MAC 地址,截获数据包,获取敏感信 息。防范措施包括使用静态ARP
绑定、启用ARP检测机制等。
VS
详细描述
vlan 技术原理
vlan 技术原理VLAN(Virtual Local Area Network)技术是一种将同一物理网络划分成多个逻辑网络的技术。
它能够通过交换机将不同子网之间的数据流进行隔离,提高网络的安全性和灵活性。
1. VLAN的分类VLAN的分类主要有两种:基于端口和基于MAC地址。
基于端口的VLAN是指将交换机的一个端口或一组端口划分成一个VLAN,每个VLAN可以有不同的IP地址和子网掩码。
这种VLAN常用于企业内部网络,可以实现不同部门之间的隔离。
基于MAC地址的VLAN是指将网络中的设备按照MAC地址进行划分,同一VLAN中的设备可以相互通信,不同VLAN中的设备则需要通过路由器进行通信。
这种VLAN常用于大型企业和公共场所,例如机场、酒店和学校等公共场所的网络。
2. VLAN的实现原理交换机是VLAN技术实现的重要设备。
它通过将同一VLAN的设备置于同一虚拟网段内相互连接,从而形成一个逻辑上的子网,实现了不同VLAN之间的隔离。
VLAN的实现需要满足以下条件:(1)VLAN ID:每个VLAN都会有一个唯一的识别标识符,称为VLAN ID。
它是一个12位的二进制数,用于在交换机中标识不同的VLAN。
(2)端口划分:每个交换机的端口都需要划分到相应的VLAN中。
(3)VLAN之间的隔离:不同VLAN之间的通信需要通过路由器进行实现。
(4)VLAN成员关系:每个端口都需要设置成为VLAN的成员。
3. VLAN的优点(1)提高网络安全性:VLAN可以将不同的用户、不同的协议进行隔离,从而有效避免了网络中的信息泄漏和攻击。
(2)提高网络灵活性:VLAN可以将物理网络划分成多个逻辑网络,提高了网络的灵活性,避免了网络的冗余和浪费。
(3)提高网络性能:VLAN可以有效避免广播风暴和冲突,从而提高了网络的吞吐量和稳定性。
4. VLAN的应用VLAN被广泛应用于各种场景,如企业、教育、医疗、政府等多种领域。
4-VLAN转换、QinQ、可控组播
1
在桥端口处理输入数据时使用的缺省vid, 可以修改。 在桥端口处理输入数据时使用的缺省 ,该vid可以修改。 可以修改
FFF
保留vid,任何设备不能将FFF配置成端口 配置成端口pvid或者是 或者是vlan条目的 。 条目的vid。 保留 ,任何设备不能将 配置成端口 或者是 条目的
8
光通信专家
7
光通信专家
VLAN帧标记格式 帧标记格式
Vid取值 取值 0 意义
空的vid,表示该标签头所包含的信息中 是无效的 是无效的, 空的 ,表示该标签头所包含的信息中vid是无效的,但是优先级信息是有 效的。 是保留的, 配置成端口pvid或者是 或者是vlan条目的 效的。该vid是保留的,任何设备不能将 配置成端口 是保留的 任何设备不能将0配置成端口 或者是 条目的 vid。 。
基本原理 功能实现方法 1. VLAN 1:1 转换 1: 2. VLAN N:1 转换 N:
VLAN转换
3
光通信专家
VLAN概念 概念
☻ VLAN (Virtual Local Area Network) 即虚拟局域网 是一种通过将局域网 内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的 年颁布了用以标准化VLAN实现方案的 实现方案的802.1Q协议 新兴技术 IEEE于1999年颁布了用以标准化 于 年颁布了用以标准化 实现方案的 协议 标准草案。 标准草案。 ☻ VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太 是为解决以太网的广播问题和安全性而提出的一种协议, 是为解决以太网的广播问题和安全性而提出的一种协议 网帧的基础上增加了VLAN头, 用VLAN ID把用户划分为更小的工作组, 把用户划分为更小的工作组, 网帧的基础上增加了 头 把用户划分为更小的工作组 限制不同工作组间的用户二层互访, 限制不同工作组间的用户二层互访, 每个工作组就是一个虚拟局域网 虚 拟局域网的好处是可以限制广播范围, 拟局域网的好处是可以限制广播范围, 并能够形成虚拟工作组动态管理 网络。 网络。
VLAN技术原理与配置
运行IP协议
运行IPX协议
运行IP协议
运行IPX协议
Int e/0/0 protocol-vlan vlan 10 all
Page14
基于策略划分VLAN
Vlan 10 policy-vlan mac-address 0011-0011-0011 ip 1.1.1.1 int Ethernet 0/0/1
[Switch-Ethernet0/3]port trunk pvid vlan 3 \\配置Trunk-Link端口PVID
[Switch-Ethernet0/3]port trunk allow-pass vlan 5 \\配置Trunk-Link所允许通过的VLAN
Page20
Hybird端口VLAN属性
Page10
基于端口划分VLAN
Port 1
Port 4
Port 2 Port 3
主机A
主机B
主机C
主机D
VLAN信息表
VLAN 10 VLAN 20 VLAN 30
Port1
Port 2 Port 3
Port4
Page11
基于MAC划分VLAN
Vlan10 mac-vlan mac-address 0011-0011-0011
C
PRI F
I
2B VLAN ID(12b)
TCI
Page8
如何生成VLAN标签
Port 1
Port 10
Port 2 Port 7
主机A
主机B
主机C
主机D
端口
Port1 Port2 …… Port7 …… Port10
PVID
5 10 …… 5 …… 10
简述vlan技术工作原理
简述vlan技术工作原理
VLAN(Virtual Local Area Network)是一种虚拟局域网技术,允许将一个局域网划分为多个逻辑上隔离的子网。
VLAN技术的工作原理如下:
1. 端口划分:将物理交换机上的端口划分为不同的VLAN。
每个VLAN都有一个唯一的VLAN标识符,用于识别该VLAN。
2. VLAN打标:通过VLAN打标(Tagging)技术,在数据包
的头部添加一个额外的VLAN标志,用于指示该数据包所属
的VLAN。
3. VLAN标记传递:当数据包进入交换机的一个端口时,如果该端口已经划分到了某个VLAN,交换机会自动将该数据包
的VLAN标记保留,并在其出口端口上恢复该标记。
4. VLAN间通信:在同一个交换机上划分的不同VLAN的设
备之间无法直接通信。
为了实现不同VLAN之间的通信,需
要使用路由器或三层交换机。
这些设备可以将不同VLAN的
数据包转发给相应的目标VLAN。
通过VLAN技术,可以实现以下优势:
1. 隔离和安全性:不同VLAN之间的设备无法直接通信,可
以提供更高的网络隔离和安全性,防止未经授权的访问。
2. 节省带宽:将大型网络细分为多个VLAN,可以降低广播风暴的影响,并减少不必要的广播流量,从而节省带宽。
3. 灵活性:VLAN可以根据网络需求进行动态调整和修改,而无需物理重新布线,提供更灵活的网络管理。
总而言之,VLAN技术通过虚拟化和划分局域网,实现了逻辑上隔离和安全性,并且提供了更灵活的网络管理方式。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network)是一种逻辑上划分网络的技术,它能够将一个物理局域网(LAN)划分为多个虚拟局域网,每一个VLAN之间彼此隔离,互不干扰。
VLAN的工作原理是基于交换机的端口划分和标记技术,通过将不同端口上的设备划分到不同的VLAN中,实现逻辑上的隔离和灵便的网络管理。
VLAN的工作原理主要包括以下几个方面:1. 端口划分:交换机上的每一个端口可以被配置为属于不同的VLAN。
通过将不同的设备连接到不同的VLAN端口上,可以实现设备之间的隔离和通信的控制。
例如,将某些端口配置为属于VLAN1,将另一些端口配置为属于VLAN2。
2. VLAN标记:为了实现VLAN之间的通信,交换机会在数据帧的头部添加一个VLAN标记,用于标识该数据帧所属的VLAN。
这个标记是一个特殊的标识符,通常是一个12位的VLAN ID。
交换机在转发数据帧时,会根据VLAN标记来决定将数据帧转发到哪个VLAN。
3. VLAN间通信:在同一个交换机上的不同VLAN之间,默认情况下是无法直接通信的。
为了实现不同VLAN之间的通信,需要使用路由器或者三层交换机。
路由器可以连接不同的VLAN,并根据VLAN标记来决定将数据帧转发到对应的VLAN。
三层交换机则具备路由功能,可以在交换机内部实现VLAN间的路由。
4. VLAN管理:VLAN的创建、删除和配置都需要进行管理。
通常,可以通过交换机的命令行界面(CLI)或者图形用户界面(GUI)进行VLAN的管理。
管理员可以根据实际需求创建不同的VLAN,配置端口的归属关系,以及设置VLAN间的通信规则。
VLAN的工作原理可以带来以下几个好处:1. 网络隔离:不同的VLAN之间是逻辑上隔离的,互不干扰。
这可以提高网络的安全性,防止未经授权的访问和攻击。
2. 灵便的网络管理:通过将设备划分到不同的VLAN中,可以更加灵便地管理网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
为什么需要分割广播域呢?
A B
6
广播的影响
A B
7
广播信息真是那么频繁出现的吗?
1. 2. 3. 4. 5.
ARP请求:建立IP地址和MAC地址的映射关系。 RIP:一种路由协议。 DHCP:用于自动设定IP地址的协议。 NetBEUI:Windows下使用的网络协议。 IPX:Novell Netware使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会 传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计 LAN时,需要注意如何才能有效地分割广播域。
8
如何分割广播域??
路由器
vlan
9
10
11
本章内容提要
Vlan概述
Vlan的划分方法
Vlan的工作原理 Vlan的标准
26
Access Port & Trunk Port
Access Port
一个Access port只属于一个VLAN Access端口发送不带标签的报文 缺省所有端口都包含在vlan1中,且都是Access Port
Trunk Port
一个Trunk Port可以属于多个VLAN 标签遵守IEEE802.1q协议标准 Trunk Port通过发送带标签的报文来区别某一数据包属于哪一VLAN
40
扩展
混合端口及pvid的应用 vlan间互联 QinQ
41
VLAN之间互联的方法
42
43
44
45
扩展
混合端口及pvid的应用 vlan间互联 QinQ
46
QinQ
产生的背景
日益紧缺的公网VLAN ID资源问题 4094个VLAN不能满足大规模网络的需求 运营商需要根据VLAN ID对接入用户进行区分 用户希望可以规划自己的私网VLAN ID,而不会与公网VLAN ID冲突
Vlan的标准
Vlan的应用示例
24
“打标签”的标准——802.1Q协议
25
IEEE 802.1Q
8 7 6 5 4 TPID (标签协议表示符) 优先级 VID 2 字节 3 2 1 TPID
2 字节
CFI VID
TCI
1. 802.1P用户优先级:用3个比特标识,可以有8种,0是最低,7是最高。 2. CFI位指示MAC数据域的MAC地址是否是规范格式。 CFI=0表示是规范格式,CFI=1表示是非规范。 3. 802.1QVID域指示帧属于的VLAN标识,最大可以有4094( 212-2 )个 VLAN,0不表示VLAN标识。
27
本章内容提要
Vlan概述 Vlan的划分方法 Vlan的工作原理 Vlan的标准
Vlan的应用示例
28
宽带小区
24 T(v2-v47) 小区汇聚 1 24
T(v2-v24)
2 T(v25-v47) 2 4
T(v25-v47)
T(v2-v24)
楼道接入1#
楼道接入2#
宽带小区中要求每个用户都能与外网通信,但用户之间不能互通,防止 其中一用户出现网络问题(如中毒)其他用户也一起受影响。
47
48
49
50
51
univ.zБайду номын сангаас
36
混合端口的应用
公司server
1
2
3
4
5
市场部
财务部
所有设备在同一网段,公司要求各部门之间不能通信但都能访问 公司服务器
37
混合端口的应用
Mac table
MAC1 V10 P1 MACS V30 P5
报文 1 2 3 4
公司server
H 5 报文 H 报文
V10 V20 V30
报文 报文 H V10 H V30 报文
报文
Vlan untag tag 10 p1,p2 p5 20 p3,p4 p5
v10 报文
4 A vlan20
5 T vlan10 vlan20 T
交换机 2 5 1 2
报文 A
3 A
4 A vlan20
A
A vlan10
市场部
财务部
市场部
财务部
22
VLAN工作小结
交换机接收报文时需要判断报文在哪个vlan中转发
ddd
市场部
财务部
18
跨交换机VLAN的工作
交换机 1 1 2 3 4 5 vlan10 报文 vlan10 vlan20
?
交换机 2 5 1 2 3 4
vlan10
vlan20
vlan10
vlan20
市场部
财务部
市场部
财务部
19
报文的类型
不带标签的报文 untag
MAC IP 数据
带标签的报文 tag
的
可以用于交换机之间的级联,也可以连接pc、server等终端设备
34
混合端口带来的问题
switch vlan10 vlan20
Vlan10? Vlan20?
v10 报文
当混合端口收到带有标签的报文时按照标签所带vid转发; 当混合端口收到不带标签的报文时应该如何转发?
35
解决的方法——PVID
VLAN基本原理
本章学习目标
通过本章的学习,你可以获得以下收获:
– – – –
了解Vlan的概念及作用 了解交换机的Vlan接口类型 了解Vlan标签协议802.1Q 了解Vlan的实际应用
2
内容提要
Vlan概述 Vlan的划分方法
Vlan的工作原理
Vlan的标准
Vlan的应用
3
MAC
Vlan标识
IP
数据
20
端口类型
Access
发送不带标签的报文; 一般与pc、server相连时使用;
Trunk
发送带标签的报文; 一般用于交换机级联端口传递多组vlan信息时使用;
21
跨交换机VLAN的工作
Vlan untag tag 10 p1,p2 p5 20 p3,p4 p5 交换机 1 1 2 3 A A vlan10
Vlan的应用示例
12
13
14
15
16
本章内容提要
Vlan概述 Vlan的划分方法
Vlan的工作原理
Vlan的标准 Vlan的应用示例
17
单机VLAN的工作
交换机
1
2
3
4
Vlan10 p1 p2 Vlan20 p3 p4
vlan10
vlan20
TO bbb
aaa
bbb
ccc
PVID:端口缺省vid
当端口收到不带标签的报文时就按照该端口pvid转发; 一个端口有且仅有一个pvid,初始情况下各端口pvid=1; Access端口的pvid与端口所在vlan一致; Trunk端口的pvid缺省为1,但因级联端口两端都是trunk类型,一般
无须修改;
Hybrid端口的pvid缺省为1,通常需要手工修改。
报文 H V20 V30
市场部
财务部
注意:粗体字表示为 该端口的pvid
38
练习
39
交换机 1
交换机 2
1
2
2
1
PC1
PC2
思考:如图所示网络拓扑,在以下Vlan配置下,PC1可否与 PC2互通。(假设PC1与PC2的IP的IP地址在同一网段)。 1、交换机1与交换机2的所有接口全设为access模式,交换机 1的所有端口均加入vlan100,交换机2的所有端口均加入 vlan200
VLAN——虚拟局域网
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过 将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实 现虚拟工作组的技术。 划分Vlan的主要作用是隔离广播域。
4
广播域( Broadcast Domain)
• 在共享式的以太网上,每个设备都处于一个广播域中。
根据收到的报文属性判断 tag报文 —— 按照tag中vid标识转发
untag报文——按照接收端口所在vlan转发
交换机发送报文时需要判断是否携带vid标记
根据发送端口的vlan属性判断 access端口——发送untag报文 trunk端口 ——发送tag报文
23
本章内容提要
Vlan概述 Vlan的划分方法 Vlan的工作原理
29
内容回顾
VLAN的概念
冲突域 广播域
交换机链路的类型:
打标签的链路 不打标签的链路
VLAN的工作原理
报文类型 端口属性
打标签的标准:802.1q协议
30
思考题
一个HUB的所有端口是属于同一个广播域吗?是属于同一个冲突 域吗?交换机呢? 能够在一条链路上承载多vlan的链路,叫什么链路?该链路上的 数据和只能承载单个vlan的链路上的数据有什么不同? 802.1q协议是在原数据帧中插入了多大的标签?
31
扩展:1、 混合端口及pvid的应用 2、vlan间互联 3、QinQ
32
扩展
混合端口及pvid的应用 vlan间互联 QinQ
33
混合端口
混合端口(Hybrid Ports)
混合端口可以同时属于多个vlan 混合端口是人为指定其发送的报文是否带标签 对于一个特定的VLAN,混合端口传送的所有报文必须是同一种类型