vlan跨多台交换机原理
vlan工作原理
vlan工作原理VLAN(虚拟局域网)是一种逻辑上的划分,通过将一个物理局域网(LAN)划分成多个虚拟局域网,从而实现不同子网间的隔离和更高效的网络管理。
VLAN的工作原理如下:1. 虚拟局域网的划分:通过交换机端口或者路由器接口将局域网设备划分到不同的VLAN中。
每个VLAN都有一个唯一的标识符(VLAN ID),用于区分不同的虚拟局域网。
2. 数据帧的标记和识别:当局域网设备发送数据帧时,交换机会在数据帧的头部添加一个VLAN标签(VLAN Tag),包含VLAN ID信息。
这样的标记方式被称为标记式VLAN (Tagged VLAN)。
3. 交换机内部转发:交换机会根据接收到的数据帧的VLAN标签,将其转发到对应的目标VLAN。
这样,同一个交换机上可以同时存在多个虚拟局域网,设备之间可以实现互联通信,但不同VLAN之间的设备无法直接通信。
4. 跨交换机转发:如果两个设备属于不同的VLAN,但需要进行通信,就需要通过路由器或者三层交换机来实现跨VLAN通信。
这些设备同时连接到不同的VLAN,并且具有能够处理不同VLAN之间的数据包的网络层功能。
5. 安全隔离和流量控制:由于VLAN可以将设备分隔成多个虚拟局域网,可以实现不同VLAN之间的安全隔离。
此外,VLAN还可以通过设置VLAN间的访问控制列表(ACL)来控制不同VLAN之间的通信。
总结起来,VLAN的工作原理就是通过将一个物理局域网划分成多个虚拟局域网,并在数据帧中添加VLAN标签,实现不同VLAN之间的隔离和通信。
它能够提供更高效的网络管理、安全隔离和流量控制。
跨三层交换机VLAN间的通信
跨三层交换机VLAN间的通信跨交换机VLAN间的通信一、理论知识GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)是GARP(Generic Attribute Registration Protocol,通用属性注册协议)的一种应用。
它基于GARP的工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。
交换机启动GVRP特性后,能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。
而且交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有设备的VLAN信息达成一致。
VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。
GVRP的端口注册模式有三种:Normal、Fixed和Forbidden,各模式描述如下:●Normal模式:允许该端口动态注册、注销VLAN,传播动态VLAN以及静态VLAN信息。
●Fixed模式:禁止该端口动态注册、注销VLAN,只传播静态VLAN信息,不传播动态VLAN 信息。
也就是说被设置为Fixed模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN 也只能是手动配置的那部分。
●Forbidden模式:禁止该端口动态注册、注销VLAN,不传播除VLAN 1以外的任何的VLAN 信息。
也就是说被配置为Forbidden模式的Trunk口,即使允许所有VLAN通过,实际通过的VLAN也只能是缺省VLAN,即VLAN 1。
二、实验拓扑三、配置步骤SWA:sys[swa]gvrp[swa]int e1/0/1[swa-ethernet1/0/1]port link-type trunk [swa-ethernet1/0/1]port trunk permit vlan all [swa-ethernet1/0/1]gvrp[swa-ethernet1/0/1]gvrp registration fixed [swa-ethernet1/0/1]quit[swa]vlan 10[swa-vlan10]quit[swa]vlan 20[swa-vlan20]quit[swa]int e1/0/2[swa-ethernet1/0/2]port link-type acc [swa-ethernet1/0/2]port acc vlan 10[swa-ethernet1/0/2]quit[swa]int vlan 10[swa-vlan-interface10]ip add 192.168.1.1 24 [swa-vlan-interface10]int vlan 20 [swa-vlan-interface20]ip addr 192.168.2.1 24SWB:sys[swb]vlan 20 [swb-valn20]port e1/0/2[swb-vlan20]quit[swb]gvrp[swb]int e1/0/1[swb-ethernet1/0/1]port link-type trunk[swb-ethernet1/0/1]port trunk permit vlan all [swb-ethernet1/0/1]gvrp[swb-ethernet1/0/1]int e1/0/2[swb-ethernet1/0/2]port acc vlan 20PC1 ping PC2通思考:如果去掉所有GVRP的配置,是否能PING通。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network,虚拟局域网)是一种将物理局域网划分为逻辑上独立的多个虚拟局域网的技术。
通过VLAN,可以将不同的设备分组,实现逻辑隔离和更好的网络管理。
本文将详细介绍VLAN的工作原理及其相关概念。
一、VLAN的概念VLAN是一种基于交换机的网络划分技术,它将一个物理局域网划分为多个虚拟局域网。
每一个VLAN都是一个独立的广播域,可以有自己的网络地址和子网掩码。
VLAN可以跨越多个交换机,实现逻辑上的分离。
二、1. 端口基于VLAN的划分在交换机上,每一个端口都可以配置为属于某个VLAN。
当数据包到达交换机的端口时,交换机会根据端口的VLAN配置,将数据包转发到相应的VLAN中。
2. VLAN标记为了区分不同的VLAN,交换机使用VLAN标记(VLAN Tag)来标识数据包所属的VLAN。
在数据包转发过程中,交换机会根据VLAN标记来决定将数据包发送到哪个VLAN中。
3. VLAN的通信在同一个VLAN中的设备可以直接通信,而不同VLAN中的设备则需要通过路由器进行通信。
路由器连接到交换机上的不同VLAN接口,负责在不同VLAN之间转发数据包。
4. VLAN的隔离性由于VLAN是逻辑上的划分,不同的VLAN之间的广播域是隔离的。
这意味着广播消息只会在同一个VLAN内传播,不会跨越到其他VLAN中,从而减少了网络流量和冲突。
5. VLAN的扩展性VLAN可以跨越多个交换机,实现逻辑上的分离。
通过将不同交换机上的端口配置为同一个VLAN,可以实现不同交换机之间的VLAN扩展。
三、VLAN的优势1. 安全性提升通过VLAN的划分,可以将不同的设备分组,实现逻辑隔离。
这样可以减少潜在的网络攻击和数据泄露的风险。
2. 网络管理简化VLAN可以根据不同的需求进行灵便的配置和管理。
通过将设备划分到不同的VLAN中,可以更好地管理网络流量、优化网络性能和故障排除。
VLAN的工作原理
VLAN的工作原理VLAN,即虚拟局域网(Virtual Local Area Network),是一种将物理局域网划分为多个逻辑上独立的虚拟网络的技术。
VLAN的工作原理涉及到VLAN的创建、划分和通信过程。
下面将详细介绍VLAN的工作原理。
一、VLAN的创建和划分1. VLAN的创建:VLAN的创建是通过交换机上的软件配置实现的。
管理员可以在交换机上创建多个VLAN,并为每个VLAN分配一个唯一的标识符(VLAN ID)。
2. VLAN的划分:创建VLAN后,管理员需要将交换机上的端口划分到不同的VLAN中。
通过将端口与VLAN关联,可以实现不同VLAN之间的隔离。
一台交换机上可以划分多个不同的VLAN,每个VLAN可以包含不同数量的端口。
二、VLAN的通信过程1. 交换机内部通信:在同一个交换机上,同一VLAN内的设备可以直接通信,不同VLAN之间的设备无法直接通信。
交换机通过端口与VLAN的关联,将同一VLAN内的数据进行交换转发。
2. 交换机间通信:当需要不同VLAN之间的通信时,需要通过路由器或三层交换机实现。
路由器可以连接不同VLAN,并负责在不同VLAN之间进行数据转发。
当数据从一个VLAN的设备发送到另一个VLAN的设备时,数据会经过路由器进行转发。
三、VLAN的优点和应用场景1. 提高网络性能:VLAN可以将广播域划分为多个较小的广播域,减少广播风暴和冲突,提高网络性能和带宽利用率。
2. 增强网络安全性:不同VLAN之间的设备无法直接通信,可以实现网络隔离和安全隔离。
通过VLAN的划分,可以将敏感数据和普通数据隔离开来,提高网络的安全性。
3. 灵活的网络管理:VLAN可以根据不同的部门、功能或安全级别对网络进行划分,方便进行网络管理和维护。
管理员可以根据需要对VLAN进行动态调整和重新划分。
4. 多租户支持:在数据中心等场景中,VLAN可以用于实现多租户的支持。
不同租户的设备可以被划分到不同的VLAN中,实现彼此隔离的同时共享同一物理网络。
VLAN工作原理
VLAN工作原理什么是VLAN?VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。
LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。
VLAN 所指的LAN特指使用路由器分割的网络——也就是广播域。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。
假设这时,计算机A需要与计算机B通信。
在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP 请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。
接着,交换机2收到广播帧后也会Flooding。
交换机3、4、5也还会Flooding。
最终ARP请求会被转发到同一网络中的所有客户机上。
ARP广播,是在需要与其他主机通信时发出的。
当客户机请求DHCP服务器分配IP地址,就必须发出DHCP的广播。
而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。
RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。
除了TCP/IP 以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。
例如在Windows 下双击打开“网络计算机”时就会发出广播(多播)信息。
(Windows XP除外……)总之,广播就在我们身边。
下面是一些常见的广播通信:l ARP请求:建立IP地址和MAC地址的映射关系。
RIP:一种路由协议。
DHCP:用于自动设定IP地址的协议。
NetBEUI:Windows下使用的网络协议。
IPX:Novell Netware使用的网络协议。
Apple Talk:苹果公司的Macintosh计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。
实验四 虚拟局域网--跨交换机实现VLAN
实验三虚拟局域网VLAN--跨交换机实现VLAN【实验名称】跨交换机实现VLAN【实验目的】理解VLAN 如何跨交换机实现。
【背景描述】假设某企业有2 个主要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接在2台交换机上,他们之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离,现要在交换机上做适当配置来实现这一目标。
【实现功能】使在同一VLAN 里的计算机系统能跨交换机进行相互通信,而在不同VLAN 里的计算机系统不能进行相互通信。
【实验拓扑】【实验设备】S2126G (2 台)【实验步骤】第一步:在交换机SwitchA 上创建Vlan 10 ,并将0/5 端口划分到Vlan 10 中。
SwitchA # configure terminal !进入全局配置模式。
SwitchA(config)# vlan 10 !创建Vlan 10 。
SwitchA(config-vlan)# name sales !将Vlan 10 命名为sales 。
SwitchA(config-vlan)#exitSwitchA(config)#interface fastethernet 0/5 !进入接口配置模式。
SwitchA(config-if)#switchport access vlan 10 !将0/5 端口划分到Vlan 10 。
验证测试:验证已创建了Vlan 10 ,并将0/5 端口已划分到Vlan 10 中。
SwitchA#show vlan id 10VLAN Name Status Ports---- -------------------------------- --------- ------------------------------- 10 sales active Fa0/5第二步:在交换机SwitchA 上创建Vlan 20 ,并将0/15 端口划分到Vlan 20 中。
VLAN的工作原理
VLAN的工作原理VLAN(Virtual Local Area Network,虚拟局域网)是一种将物理局域网划分为多个逻辑上独立的虚拟网络的技术。
通过使用VLAN,可以将不同的用户或者设备分组,并实现逻辑上的隔离和安全性。
本文将详细介绍VLAN的工作原理及其相关概念。
1. VLAN的基本概念VLAN是一种基于交换机的技术,可以将交换机端口划分为不同的虚拟网络。
每一个VLAN都有一个惟一的标识符,称为VLAN ID。
VLAN ID是一个12位的数字,用于标识不同的VLAN。
VLAN可以跨越多个交换机,形成一个逻辑上的网络。
2. VLAN的工作原理VLAN的工作原理基于交换机的端口划分和流量控制。
当交换机收到一个数据帧时,它会根据数据帧中的VLAN标签将数据转发到相应的VLAN。
交换机通过端口和VLAN之间的映射来确定数据帧的目的地。
3. VLAN的端口划分交换机的端口可以划分为两种类型:访问端口和特定VLAN端口。
访问端口只属于一个VLAN,用于连接主机或者其他网络设备。
特定VLAN端口可以同时属于多个VLAN,用于连接两个交换机之间的链路。
特定VLAN端口也称为Trunk 端口。
4. VLAN的标记方法为了在数据帧中标识所属的VLAN,交换机使用了两种不同的标记方法:标记式VLAN和未标记式VLAN。
- 标记式VLAN:交换机在数据帧中添加一个额外的VLAN标签,用于标识所属的VLAN。
这种标记方法通常用于跨越多个交换机的VLAN通信。
- 未标记式VLAN:交换机不在数据帧中添加VLAN标签,而是根据接收端口的配置来确定数据帧所属的VLAN。
这种标记方法通常用于同一个交换机内的VLAN通信。
5. VLAN的通信方式VLAN之间的通信可以通过三种不同的方式实现:隔离方式、共享方式和交互方式。
- 隔离方式:不同VLAN之间的通信是被禁止的,数据帧只能在同一个VLAN 内进行传输。
这种方式提供了最高级别的安全性,但限制了不同VLAN之间的互访。
跨交换机vlan的工作原理
跨交换机vlan的工作原理
跨交换机VLAN的工作原理
VLAN(虚拟局域网)是一种网络传输技术,它把一个物理局域网分割成一个或多个逻辑局域网,可以在局域网的内部进行数据通信,这样就可以提高网络效率,把不相关的计算机组合在一起,减少网络管理难度以及减少网络带宽耗费。
简单来说,VLAN可以管理网络通信,把一个物理网络分割成多个逻辑网络,可以根据网络通信需要去设置防火墙,降低了网络数据流量的浪费。
跨交换机VLAN就是把不同的物理网络连接起来,使得不同的VLAN之间可以进行数据通信。
它的实现原理是:使用VLAN标签来标识出不同的VLAN,并在不同的交换机之间建立和维护一个VLAN表,这样不同的VLAN之间就可以互相进行通信了。
实现跨交换机VLAN的主要功能是在不同的交换机之间分配VLAN 标签,然后保存VLAN表,使得每个VLAN都能够被识别出来。
这种情况下VLAN标签的作用就是标识出不同的VLAN,当从一个VLAN到另一个VLAN传输数据的时候,在VLAN标签的传输过程中,会在源主机packet的前面添加VLAN标签,这样当多个VLAN之间的交换机将收到的packet转发出去的时候,就会根据源VLAN标签的标识给每个packet分配不同的VLAN标签,以实现跨交换机VLAN的功能。
跨交换机VLAN的优点是,它可以把一个网络分割成多个不同的VLAN,这样不同VLAN之间的数据通信就可以被控制,从而提高网络安全性,减少网络通信耗费。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
步骤一:配置
(2)在交换机S2126G-1上创建Vlan20,并将F0/2端口划 分到Vlan20中。 S2126G-1#configure terminal S2126G-1(config)#vlan 20 S2126G-1(config-vlan)#name technical S2126G-1(config)#interface fastEthernet 0/2 S2126G-1(config-if)#switchport access vlan 20 S2126G-1#show vlan id 20 VLAN Name Status Ports ---- -------------------------------- --------- ------20 technical active Fa0/2
IEEE802.1Q标准
• IEEE802.1Q使用4Byte的标记头来定义Tag(标记); • Tag头中包括2Byte的VPID(VLAN Protocol Identifier) 和2Byte的VCI(VLAN Control Information)。
目的MAC
6字节
源MAC
6字节
长度/类型
隔离的广播域
172.16.20.4
VLAN10
VLAN20
VLAN30
跨交换机的VLAN
• 基于端口的VLAN(Port VLAN)将交换机按照端口的 VLAN ID指定实现了逻辑划分,广播域被限定在相同 VLAN的端口集合中,不同VLAN间不能直接通信;
• 当使用多台交换机分别配置VLAN后,可以使用Trunk (干道)方式实现跨交换机的VLAN内部连通,交换 机的Trunk端口不隶属于某个VLAN,而是可以承载所 有VLAN的帧。
步骤一:配置
(3)在交换机S2126G-2上创建Vlan10,并将F0/1端口 划分到Vlan10中。 S2126G-2#configure terminal S2126G-2(config)#vlan 10 S2126G-2(config-vlan)#name sales S2126G-2(config)#interface fastEthernet 0/1 S2126G-2(config-if)#switchport access vlan 10 S2126G-2#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------10 sales active Fa0/1
• 如果输入的是一个新的VLAN ID,则交换机会创建一个 VLAN,并 将该端口设置为该 VLAN 的成员;如果输入的是已经存在的 VLAN ID,则增加VLAN的成员端口;
• 例如将交换机F0/5端口指定到VLAN 10的配置为: Switch(config)# interface fastEthernet 0/5 Switch(config-if)# switchport access vlan 10
帧标记的工作原理
交换机1
DES SRC FCS DES SRC SRC Data FCS DES
交换机2
DES SRC FCS
A VLAN ID
B
• 默认条件下,Trunk上会转发交换机上存在的所有 VLAN的数据; • 传输多个VLAN的信息; • 实现同一VLAN跨越不同的交换机。
IEEE802.1Q标准
实验一 跨交换机VLAN的实现
课程议题 VLAN技术
VLAN技术
VLAN (Virtual Local Area Network) • VLAN是在一个物理网络上划分出来的逻辑网络。这个网 络对应于OSI 模型的第二层网络。 • VLAN的划分不受网络端口的实际物理位置的限制; • VLAN 有着和普通物理网络同样的属性; • 第二层的单播、广播和多播帧在一个VLAN内转发、 扩散,而不会直接进入其他的VLAN之中。
switchport trunk allowed vlan { all | [add | remove | except] vlan-list }
跨交换机的VLAN划分实例
• 假设某企业的网络中,计算机PC1和PC3属于营销部门, PC2和PC4属于技术部门,PC1和PC2连接在S2126-1上,PC3 和PC4连接在S2126-2上,而两个部门要求互相隔离,本实 验的目的是实现跨两台交换机将不同端口划归不同的VLAN。
VLAN具有的功能
• 控制网络广播、提高网络性能;
• 分隔网段、确保网络安全; • 简化网络管理、提高组网灵活性。
VLAN划分方法
• 基于端口的VLAN(Port-Based) • 基于协议的VLAN(Protocol-Based) • 基于MAC层分组的VLAN(MAC-Layer Grouping)
何谓TRUNK
• 所谓的Trunk是用来在不同的交换机之间进行连接,以 保证在跨越多个交换机上建立的同一个VLAN的成员能 够相互通讯; • 其中交换机之间互联用的端口就称为Trunk端口。
• Trunk这个词是干线或者树干的意思,不过一般不翻译, 直接用原文。
• 注意:与一般的交换机的级联不同,Trunk是基于OSI 第二层的。
VLAN Trunk
• 在交换机之间或交换机与路由器之间,互相连接的端 口上配置中继模式,使得属于不同VLAN的数据帧都 可以通过这条中继链路进行传输。
• 帧的格式分为两种: • ISL:Inter-Switch link,是Cisco交换机独有的协议 • IEEE802.1Q:是国际标准协议,被几乎所有的网 络设备生产商所共同支持;
跨交换机的VLAN划分实例
PC1 VLAN10 S2126G-1 F0/1 PC2 F0/2 VLAN20 F0/6 F0/6 Trunk Trunk S2126G-2 F0/1 F0/2 PC4 PC3
实验原理图
步骤一:配置
(1)在交换机S2126G-1上创建Vlan10,并将F0/1端口 划分到Vlan10中。 S2126G-1>en 14 Password: S2126G-1#configure terminal S2126G-1(config)#vlan 10 S2126G-1(config-vlan)#name sales S2126G-1(config)#interface fastEthernet 0/1 S2126G-1(config-if)#switchport access vlan 10 S2126G-1#show vlan id 10 VLAN Name Status Ports ---- -------------------------------- --------- ----------10 sales active Fa0/1
Tag端口和Access端口
802.1Q帧 Untaged Taged 2 Taged Untaged
以太网帧 PC1
VLAN1
以太网帧 PC3
PC2
VLAN2
PC4
Port VLAN和Tag VLAN
• 在VLAN配置中,我们使用switchport mode命令来指定 一个二层接口(switch port)的模式,可以指定该接口 为access port或者为trunk port。 • 使用该命令的no选项将该接口的模式恢复为缺省值 (access)。 • 其命令执行在接口模式下,语法格式如下: switchport mode {access | trunk}
VLAN的基本配置命令
vlan命令 • 语法格式为:vlan vlan-id • 该命令执行于全局配置模式下,是进入VLAN配置模 式的导航命令。 • 使用该命令的no选项可以删除VLAN:no vlan vlan-id
• 注意:缺省的VLAN(VLAN 1)不允许删除。
例如启用VLAN 10,执行如下: Switch(config)# vlan 10 Switch(config-vlan)#
跨交换机的VLAN
Switch A
Trunk Fast Ethernet
Switch B
Red VLAN
Black VLAN
Green VLAN
Red VLAN
Black VLAN
Green术在早期使用帧过滤, 而目前的国际标准规定采用帧标记。 • 网络管理的逻辑结构可以完全不受实际物理连接的限 制,极大地提高了组网的灵活性。
• 这种划分VLAN的方法是根据以太网交换机的端口来 划分的,是目前业界定义VLAN最广泛的方法;
• IEEE802.1Q规定了这种划分VLAN的国际标准。
VLAN的基本配置命令
• 基于端口的VLAN在实现上包括两个步骤: • 首先启用VLAN(用VLAN ID标识); • 而后将交换机端口指定到相应VLAN下。
• 基于网络层分组的VLAN(Network-Layer Grouping)
• 基于IP组播分组的VLAN(IP Multicast Grouping) • 基于策略的VLAN(Policy-Based)
基于端口的静态VLAN
• 基于端口的静态VLAN是划分虚拟局域网最简单也是 最有效的方法,它实际上是某些交换机端口的集合, 网络管理员只需要管理和配置交换机端口,而不管交 换机端口连接什么设备;
no switchport mode
Port VLAN和Tag VLAN
• 如果一个switch port的模式是access,则该接口只能为一 个VLAN的成员;可以使用switchport access vlan命令指 定该接口是哪一个VLAN的成员,这种接口又称为Port VLAN; • 如果一个 switch port 的模式是trunk,则该接口可以是多 个 VLAN 的成员,这种配置被称为Tag VLAN。 • Trunk接口默认可以传输本交换机支持的所有VLAN(1~ 4094),但是也可以通过设置接口的许可VLAN列表来 限制某些VLAN的流量不能通过这个trunk口。在Trunk口 修改许可VLAN 列表的命令如下: