实施VLAN和VLAN间路由.ppt

实施实施 VLAN 和和VLAN间路由间路由设计欠佳的网络中存在的问题设计欠佳的网络中存在的问题极大的故障域极大的故障域较大的广播域较大的广播域大量的未知大量的未知 MAC 单播流量单播流量极大的组播流量极大的组播流量管理上的挑战管理上的挑战可能存在安全漏洞可能存在安全漏洞VLAN 概述概述一个一个VLAN=一个广播域一个广播域=逻辑网络（子网）逻辑网络（子网）分段灵活分段灵活提高安全性提高安全性提高性能提高性能（隔离广播域）（隔离广播域）应用应用 IP 地址空间的指导原则地址空间的指导原则为每个为每个 VLAN 分配一个分配一个 IP 子网。子网。在连续的地址块内分配在连续的地址块内分配 IP 地址空间。地址空间。End-To-End VLAN(端到端端到端VLAN)l分段灵活分段灵活l流量不合理流量不合理l故障难定位故障难定位Local VLAN（本地（本地VLAN）lLocal VLAN是指将同一个机架的交换机划分成同一个是指将同一个机架的交换机划分成同一个VLAN，这样划，这样划分就便于故障分析定位，同时可以减轻汇聚层交换机的负担。分就便于故障分析定位，同时可以减轻汇聚层交换机的负担。Vlan 10Vlan 20Vlan 30Vlan 40本地本地VLAN的优点的优点VLAN 划分方式划分方式lVLAN管理策略服务器（管理策略服务器（VMPS）上存有）上存有VLAN与与MAC地址表映地址表映射关系的文本文件射关系的文本文件基于端口划分基于端口划分VLAN基于基于MAC地址划分地址划分VLANVLAN Access 端口端口l连接终端设备连接终端设备l一个一个access端口划分到一个端口划分到一个VLAN中，它只能属于一个中，它只能属于一个VLANl一个一个access端口接收和发送的数据为标准端口接收和发送的数据为标准Ethernet II数据帧，数据帧，不能携带不能携带802.1Q的的tag802.1Q 帧帧l标记（标记（tagtag）位占）位占4 4个字节：个字节：2 2个字节用来标识以太网类型，个字节用来标识以太网类型，3bit:3bit:标识优先级（标识优先级（PRIPRI），），1bit:1bit:令牌环封装标志（令牌环封装标志（CFI=1CFI=1）12bit:VLAN-ID12bit:VLAN-IDl0,40950,4095：保留，仅限系统使用。用户不能查看。：保留，仅限系统使用。用户不能查看。1 1：CISCOCISCO默认默认VLANVLAN，不能删除。，不能删除。2 210011001：用于以太网的：用于以太网的VLANVLAN，用户可自己创建的，用户可自己创建的VLANVLAN1002100210051005：用于：用于FDDIFDDI和令牌环的默认和令牌环的默认VLANVLAN，不能删除。，不能删除。1006100610241024：保留，仅限系统使用。用户不能查看。：保留，仅限系统使用。用户不能查看。1025102540944094：仅用于以太网的：仅用于以太网的VLAN.VLAN.扩展的扩展的VLANVLAN，只有，只有35503550以上的交换机才能配，以上的交换机才能配，且必须将且必须将VTPVTP模式设为透明模式。模式设为透明模式。VLAN Access 端口端口l接收：接收：（1）若数据帧无）若数据帧无tag：则根据端口所属的：则根据端口所属的VLAN，添加，添加tag （2）若数据帧有）若数据帧有tag：丢弃：丢弃l发送发送（从交换机内部往外发送）：（从交换机内部往外发送）：（1）若数据帧无）若数据帧无tag：不可能出现：不可能出现（2）若数据帧有）若数据帧有tag：去除：去除tag后，再发送后，再发送VLAN Trunk 端口端口l通常用于交换机之间或交换机与路由器之间的互连通常用于交换机之间或交换机与路由器之间的互连l一个一个Trunk端口并不属于任何一个端口并不属于任何一个VLAN，类似一个公共通道，它允许，类似一个公共通道，它允许多个多个VLAN通过通过l一个一个Trunk端口接收和发送的数据，可以携带端口接收和发送的数据，可以携带802.1Q的的tagl发送：发送：（1）若数据帧无）若数据帧无tag：不可能出现：不可能出现 （2）若数据帧有）若数据帧有tag：若该数据帧所属的：若该数据帧所属的VLAN等于该等于该trunk端口的端口的 native VLAN，则删除，则删除tag后发送；否则，保留后发送；否则，保留Tag发送。发送。l接收：接收：（1）若数据帧无）若数据帧无tag：则根据该：则根据该Trunk端口的端口的nativeVLAN，添加，添加tag （2）若数据帧有）若数据帧有tag：保留该：保留该Tag802.1Q 中继中继802.1Q Native VLAN(本征本征 VLAN)注注:(1)中继链路两端中继链路两端 802.1Q 中继的本征中继的本征 VLAN 要相同。要相同。(2)本征本征 VLAN 帧是无标记帧。帧是无标记帧。注注:(1)中继链路两端中继链路两端 802.1Q 中继的本征中继的本征 VLAN 要相同。要相同。(2)本征本征 VLAN 帧是无标记帧。帧是无标记帧。添加添加 VLANSwitchX#configure terminalSwitchX(config)#vlan 2SwitchX(config-vlan)#name switchlab99l全局模式全局模式lVlan Database 模式模式分配交换机端口到分配交换机端口到 VLANSwitchX#configure terminalSwitchX(config)#interface range fastethernet 0/2-4SwitchX(config-if)#switchport access vlan 2 SwitchX#show vlanVLAN Name Status Ports-1 default active Fa0/1 2 switchlab99 active Fa0/2,Fa0/3,Fa0/4switchport access vlan vlan_idSwitchX(config-if)#常用常用show 命令命令（1）show interface:查看第一层，第二层的工作状态，查看该接口的报文收发统计信息。（2）show ip interface:查看第三层IP的相关信息（3）show interface interface switchport 查看交换端口属性（4）show interface interface trunk 查看交换机上的trunk端口VLAN操作操作封装方式封装方式lISL(Inter-Switch Link):思科私有思科私有 若采用若采用ISL封装，所有封装，所有VLAN数据经过数据经过Trunk链路时，均链路时，均需要进行需要进行ISL封装，不存在封装，不存在Native Vlan的概念。的概念。l802.1Q:IEEE 标准标准 （1）在交换机内部进行数据帧处理时，所有）在交换机内部进行数据帧处理时，所有VLAN的数的数据均加据均加Tag （2）存在）存在Native VLANISL与与802.1Q的比较的比较ISL封装封装ISL封装（续）封装（续）802.1Q 中继中继Trunk 配置命令配置命令l静态配置静态配置 switch trunk encapsulation dot1q switch mode trunkl通过通过DTP(Dynamic Trunking Protocol)协议进行动态协商协议进行动态协商 switch mode dynamic desirable switch mode dynamic auto配置交换机端口模式配置交换机端口模式l关闭关闭DTP协商：协商：switchport nonegotiate(接口模式)配置工作方式配置工作方式switchport mode access|trunk|dynamic auto|dynamic desirableSwitchX(config-if)#配置端口的中继特征配置配置trunk工作方式工作方式将端口配置为 VLAN 中继 SwitchX(config-if)#switchport mode trunk设置trunk端口的封装方式 SwitchX(config-if)#Switchport trunk encapsulation dot1q|isl|negotiate 设置trunk端口的native vlan,缺省时为1SwitchX(config-if)#Switchport trunk native vlan vlan_id 设置trunk端口允许哪些VLAN通过 SwitchX(config-if)#Switchport trunk allowed vlanword|add|all|excep|none|remove SwitchX#show vlan id 2VLAN Name Status Ports-2 switchlab99 active Fa0/2,Fa0/12VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2-2 enet 100002 1500 -0 0.SwitchX#检验检验 VLANSwitchX#show vlan brief|id vlan-id|name vlan-nameSwitchX#show vlan briefVLAN Name Status Ports-1 default active Fa0/1 2 switchlab99 active Fa0/2,Fa0/3,Fa0/4 3 vlan3 active4 vlan4 active1002 fddi-default act/unsup1003 token-ring-default act/unsupVLAN Name Status Ports-1004 fddinet-default act/unsup1005 trnet-default act/unsupSwitchX#show vlan brief检验检验 VLANSwitchX#show interfaces fa0/11 switchportName:Fa0/11Switchport:EnabledAdministrative Mode:trunkOperational Mode:downAdministrative Trunking Encapsulation:dot1qNegotiation of Trunking:OnAccess Mode VLAN:1(default)Trunking Native Mode VLAN:1(default).SwitchX#show interfaces fa0/11 trunkPort Mode Encapsulation Status Native vlanFa0/11 desirable 802.1q trunking 1Port Vlans allowed on trunkFa0/11 1-4094Port Vlans allowed and active in management domainFa0/11 1-13检验中继检验中继SwitchX#show interfaces interface switchport|trunk 如何配置中继链路（如何配置中继链路（Trunking）802.1Q 中继配置中继配置VLAN间的路由连接方法间的路由连接方法1 1、将路由器与交换机上的每个、将路由器与交换机上的每个VLANVLAN分别连接分别连接 将交换机上用于和路由器互联的每个端口设为将交换机上用于和路由器互联的每个端口设为accessaccess端口，然后分端口，然后分别用网线与路由器上的独立端口互联。如下图所示，交换机上有别用网线与路由器上的独立端口互联。如下图所示，交换机上有2 2个个VLANVLAN，那么就需要在交换机上预留，那么就需要在交换机上预留2 2个端口用于与路由器互联；个端口用于与路由器互联；路由器上同样需要有路由器上同样需要有2 2个端口；两者之间用个端口；两者之间用2 2条网线分别连接。条网线分别连接。该种连接方法的缺点：该种连接方法的缺点：如果采用这个办法，大家应该不难想象它的扩展性很成如果采用这个办法，大家应该不难想象它的扩展性很成问题。每增加一个新的问题。每增加一个新的VLANVLAN，都需要消耗路由器的端口和交，都需要消耗路由器的端口和交换机上的访问链接端口，而且还需要重新布设一条网线。而换机上的访问链接端口，而且还需要重新布设一条网线。而路由器，通常不会带有太多路由器，通常不会带有太多LANLAN接口的。新建接口的。新建VLANVLAN时，为了时，为了对应增加的对应增加的VLANVLAN所需的端口，就必须将路由器升级成带有多所需的端口，就必须将路由器升级成带有多个个LANLAN接口的高端产品，这部分成本、还有重新布线所带来接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。的开销，都使得这种接线法成为一种不受欢迎的办法。VLAN间的路由连接方法间的路由连接方法2 2、不论、不论VLANVLAN有多少个，路由器与交换机都只用一条网线连接有多少个，路由器与交换机都只用一条网线连接 首先将用于连接路由器的交换机端口设为首先将用于连接路由器的交换机端口设为trunktrunk端口，而路由器上端口，而路由器上的端口也必须支持的端口也必须支持trunktrunk链路。接着在路由器上定义对应各个链路。接着在路由器上定义对应各个VLANVLAN的的“子接口（子接口（Sub InterfaceSub Interface）”。尽管实际与交换机连接的物理端口只有。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。一个，但在理论上我们可以把它分割为多个虚拟端口。VLANVLAN将交换机将交换机从逻辑上分割成了多台，因而用于从逻辑上分割成了多台，因而用于VLANVLAN间路由的路由器，也必须拥有间路由的路由器，也必须拥有分别对应各个分别对应各个VLANVLAN的虚拟接口。的虚拟接口。VLAN间的路由连接方法间的路由连接方法该连接方法的缺点：该连接方法的缺点：l进行进行VLANVLAN间通信时，即使通信双方都连接在同一台交换间通信时，即使通信双方都连接在同一台交换机上，也必须经过：发送方机上，也必须经过：发送方交换机交换机路由器路由器交换机交换机接收方接收方 这样一个流程。这样一个流程。l如果使用路由器进行如果使用路由器进行VLANVLAN间路由的话，随着间路由的话，随着VLANVLAN之间流之间流量的不断增加，流量会集中到路由器和交换机互联的量的不断增加，流量会集中到路由器和交换机互联的trunktrunk链路部分，这一部分尤其特别容易成为整个网络的链路部分，这一部分尤其特别容易成为整个网络的速度瓶颈。速度瓶颈。VLAN间的路由连接方法间的路由连接方法三层交换机（三层交换机（Layer 3 Switch）l为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是“带带有路由功能的（二层）交换机有路由功能的（二层）交换机”。路由属于。路由属于OSIOSI参照模型中第三层网络层的参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为功能，因此带有第三层路由功能的交换机才被称为“三层交换机三层交换机”。关于三层交换机的内部结构，可以参照下面的简图。关于三层交换机的内部结构，可以参照下面的简图。三层交换机内部数据究竟是怎样传播的呢？三层交换机内部数据究竟是怎样传播的呢？l基本上，它和使用汇聚链路连接路由器与交换机时的情形相同。基本上，它和使用汇聚链路连接路由器与交换机时的情形相同。内部汇聚链接，内部汇聚链接，不存在网络瓶不存在网络瓶颈问题颈问题VLAN间路由介绍间路由介绍网络层设备互联多个广播域。网络层设备互联多个广播域。使用使用802.1Q实现实现VLAN间路由间路由使用使用802.1Q实现实现VLAN间路由间路由三层交换虚接口（三层交换虚接口（Switch Virtual Interface,SVI）多层交换机的多层交换机的SVI接口接口利用利用SVI实现实现VLAN间路由间路由三层交换机上的路由端口（三层交换机上的路由端口（Routed Port）三层交换机上的路由端口（三层交换机上的路由端口（Routed Port）配置路由端口的步骤配置路由端口的步骤查看查看VLAN间路由间路由