路由交换基础-VLAN与DHCP分析课件.ppt

《路由交换基础-VLAN与DHCP分析课件.ppt》由会员分享，可在线阅读，更多相关《路由交换基础-VLAN与DHCP分析课件.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、BSCI 2 - 11VLAN原理与配置方法原理与配置方法BSCI 2 - 12目目 录录什么是VLANVLAN的类型静态VLAN的配置方法VLAN中继的概念VLAN中继的配置方法VLAN间路由BSCI 2 - 13什么是VLANBSCI 2 - 14VLAN (Virtual Local-Area Networks ) 概览 分段分段 灵活性灵活性 安全性安全性3rd Floor2nd Floor1st FloorSalesHRENGA VLAN = A Broadcast Domain = Logical Network (Subnet)BSCI 2 - 15VLAN的分段功能VLAN10

2、VLAN20VLAN30物理拓扑物理拓扑逻辑拓扑（逻辑拓扑（3台交换机）台交换机）三个广播域三个广播域一个广播域一个广播域BSCI 2 - 16如何划分VLAN划分划分VLAN的方式：的方式： 根据组织划分根据组织划分(工作组，业务部门工作组，业务部门) 根据网络流量类型根据网络流量类型 根据物理位置根据物理位置 BSCI 2 - 17VLAN划分广播域的示例BSCI 2 - 18VLAN的类型BSCI 2 - 19VLAN 的类型VLAN类型类型描述描述静态静态 VLAN或或基于端口的基于端口的VLAN最常用的配置方法最常用的配置方法端口需要单独指派到相应的端口需要单独指派到相应的VLAN中

3、，在每个中，在每个交换机上分别配置。交换机上分别配置。易于配置易于配置动态动态VLAN或或基于基于Mac地址的地址的VLAN很少使用很少使用每个地址都要输入到配置文件中，并且更换每个地址都要输入到配置文件中，并且更换网卡时要更新相应的文件内容网卡时要更新相应的文件内容对用户方便但难于管理和排错对用户方便但难于管理和排错动态动态VLAN或或基于协议的基于协议的VLAN配置上与基于配置上与基于MAC地址的地址的VLAN类似，但使类似，但使用的是逻辑地址或用的是逻辑地址或IP地址地址由于由于DHCP的使用目前很少采用的使用目前很少采用BSCI 2 - 110基于MAC地址的VLANBSCI 2 -

4、111静态VLAN 和动态VLANVLAN5静态静态VLAN动态动态VLANMAC = 0000.0c11.2345TrunkVMPS0000.0c11.2345 = VLAN 10 VLAN10Port e0/9Port e0/4VMPS VLAN Membership Policy ServerBSCI 2 - 112静态VLANEngineeringVLANMarketingVLANSalesVLANFloor #1Floor #2Floor #3Physical LayerLAN SwitchHuman LayerNetwork Layer192.20.24.0提供提供VLAN之间的路

5、由功能之间的路由功能192.20.21.0192.30.20.0Data Link LayerBroadcastDomains 相同颜色的端口位于同一个相同颜色的端口位于同一个 VLANx也称基于端口的也称基于端口的VLANBSCI 2 - 113静态VLAN的配置方法BSCI 2 - 114创建VLAN 和命名VLAN system-viewH3C vlan vlan-id1 to vlan-id2 | all H3C description text system-viewEnter configuration commands, one per line. End with CNTL/Z

6、H3C vlan 5H3C description guanliBSCI 2 - 115将交换机的端口分配到某个VLAN中system-view Enter configuration commands, one per line. End with CNTL/ZH3C vlan 2H3C-vlan2 port ethernet 1/0/1H3Cvlan 100H3C-vlan100quitH3Cinterface ethernet 1/0/1H3C-Ethernet1/0/1port access vlan 100H3C vlan vlan-idH3C-vlan3 port interfac

7、e-listH3C vlan vlan-idH3C-vlan3 quit H3C interface interface-type interface-numberH3C-ethernet1/0/1 port access vlan vlan-id方法一：方法一：方法二：方法二：BSCI 2 - 116检查VLAN的配置H3C display vlanH3C display vlanVLAN Name Status Ports- - - -1default active Fa0/1, Fa0/2, Fa0/3, Fa0/5 9 switchlab90 active Fa0/4 BSCI 2 -

8、 117删除VLANH3C undo vlan 9H3C undo vlan 10 to 30H3C undo vlan vlan-id删除删除VLAN的同时属于该的同时属于该VLAN的所有成员也被删除的所有成员也被删除注意：注意：VLAN 1不能被删除不能被删除BSCI 2 - 118H3C interface vlan-interface vlan-idH3C-Vlan-interface1 ip address ip address mask给交换机配置IP AddressBSCI 2 - 119Switch interface vlan-interface 2Switch-Vlan-i

9、nterface2 ip address 10.2.2.1 255.255.255.0给交换机配置IP AddressVLAN 1VLAN 210.1.1.210.2.2.2Fa0/010.2.2.1BSCI 2 - 120VLAN中继的概念BSCI 2 - 121Switch AGreenVLANBlackVLAN RedVLANSwitch BGreenVLANBlackVLANRedVLAN 在没有路由的情况下不允许在没有路由的情况下不允许VLAN之间互相连通之间互相连通交换机划分多个VLAN时如何互连?BSCI 2 - 122 Trunk 中继线可承载多个中继线可承载多个VLAN的流量

10、。的流量。 中继使用特定的封装信息以区分不同的中继使用特定的封装信息以区分不同的VLAN 。 Fast EthernetSwitch AGreenVLANBlackVLAN RedVLANSwitch BGreenVLANBlackVLANRedVLAN中继(Trunking)的概念BSCI 2 - 123帧打标记与封装的方式BSCI 2 - 124IEEE 802.1Q的标记方式2字节的协议标识符字节的协议标识符 (TPID) 固定值固定值 0 x8100 。这个。这个TPID值表示这是一个携带值表示这是一个携带 802.1Q/802.1p信息的帧。信息的帧。2字节的控制信息字节的控制信息(

11、TCI) ，它包括：，它包括： 3比特的用户优先级比特的用户优先级 1比特的格式指示符比特的格式指示符 (CFI Indicator) 12比特的比特的VLAN标识符标识符(VID) ，可支持，可支持4096个个VLANInitial MACAddressInitial Type/DataNew CRC2-Byte TPID2-Byte TCIBSCI 2 - 125缺省缺省 VLAN的帧不加标记的帧不加标记。802.1Q的缺省 VLANBSCI 2 - 126带标记的以太网帧BSCI 2 - 127VLAN中继的配置方法BSCI 2 - 128H3C interface ethernet 1

12、/0/24H3C-Ethernet1/0/24port link-type ? access hybrid trunk配置TrunkH3C-Ethernet1/0/24 port trunk permit vlan vlan-id-list | all 注意：缺省情况下，所有注意：缺省情况下，所有Trunk 端口只允许端口只允许VLAN1 通过。通过。BSCI 2 - 129 system-view Enter configuration commands, one per line. End with CNTL/ZH3C vlan 2 to 100H3C-vlan100 quitH3C in

13、terface ethernet 1/0/1H3C-Ethernet1/0/1 port link-type trunkH3C-Ethernet1/0/1 port trunk permit vlan 2 6 to 50 100Please wait. Done.配置Trunk 配置缺省配置缺省VLAN：H3C-Ethernet1/0/1 port trunk pvid vlan 100BSCI 2 - 130 display interface ethernet 1/0/1Ethernet1/0/1 current state: DOWNIP Packet Frame Type: PKTFM

14、T_ETHNT_2, Hardware Address: 00e0-fc00-3900Description: Ethernet1/0/1 InterfaceLoopback is not setMedia type is twisted pair, Port hardware type is 100_BASE_TXUnknown-speed mode, unknown-duplex modeLink speed type is autonegotiation, link duplex type is autonegotiationFlow-control is not enabledThe

15、Maximum Frame Length is 1552Broadcast MAX-ratio: 100%PVID: 100Mdi type: autoPort link-type: trunkVLAN passing : 2, 6-50, 100VLAN permitted: 2, 6-50, 100Trunk port encapsulation: IEEE 802.1qPort priority: 0Last 300 seconds input: 0 packets/sec 0 bytes/sec检查Trunk的配置结果BSCI 2 - 131VLAN间路由BSCI 2 - 132 每个

16、物理接口对应一个子网每个物理接口对应一个子网(VLAN)VLAN间路由介绍BSCI 2 - 133 单臂路由单臂路由(Router-on-a-stick)方式，节省资源。方式，节省资源。VLAN间路由介绍BSCI 2 - 134 在三层或者多层交换机上配置在三层或者多层交换机上配置VLAN间路由。间路由。VLAN间路由介绍BSCI 2 - 135配置VLAN间路由(单臂路由)的步骤 在路由器的直接物理接口上面不能封装在路由器的直接物理接口上面不能封装802.1Q，只能在子接口下，只能在子接口下面封装面封装H3C-GigabitEthernet0/0.1 vlan-type dot1q vid

17、vlan-id H3C interface GigabitEthernet 0/0.11.1.创建子接口创建子接口: :2.2.选择封装协议为选择封装协议为802.1Q ，指定，指定VLANVLAN号号: :BSCI 2 - 136VLAN 1VLAN 2802.1Qinterface GigabitEthernet 0/0.1 ip address 10.1.1.1 255.255.255.0 vlan-type dot1q vid 1 interface GigabitEthernet 0/0.2 ip address 10.2.2.1 255.255.255.0 vlan-type do

18、t1q vid 210.1.1.2/2410.2.2.2/24GE0/0VLAN间路由配置示例TrunkBSCI 2 - 137VLAN故障排除综述（故障排除综述（1） VLAN技术的引入技术的引入用于隔离网络风暴，增加网络安全性早期用路由器进行隔离，但成本高，效率低，应用复杂增加了4个字节的特殊标注域，用于区别不同用户发送的数据帧，其中VLAN ID占用12个bit VLAN与端口的关系与端口的关系 ACCESS端口：这种端口只能属于一个VLAN，并且从该端口进来的数据包都不包含TAG标记，数据包进入之后，会被加上该端口的VLAN ID（加上TAG标记）。如果有数据需要从这种接口发送出去，数

19、据帧中的TAG标记将被删除。这种端口一般用于连接用户主机或路由器。BSCI 2 - 138VLAN故障排除综述（故障排除综述（2） VLAN与端口的关系（续）与端口的关系（续）TRUNK端口：这种端口可以属于多个VLAN，或者说这种端口可以传送多个VLAN的数据帧。从这种端口发送出去的数据帧都包含有TAG标记（缺省VLAN ID的数据帧除外）；从这种端口接收到的报文，如果已经有TAG标记，则直接转发；如果没有TAG标记，则加上带有缺省VLAN ID的TAG标记。这种端口一般用于连接交换机或路由器。HYBRID端口：这种端口可以属于多个VLAN。但是与TRUNK端口不同的是它所传送的数据帧，可以

20、包含TAG标记也可以不包含TAG标记；而TRUNK端口则必须包含TAG标记。其发送数据帧时根据配置信息进行判断是否加上TAG标记；接收数据帧时和TRUNK端口相同。这种端口一般用于连接交换机。 BSCI 2 - 139VLAN故障排除综述（故障排除综述（3） VLAN故障的分类故障的分类 VLAN用户隔离不成功；VLAN隔离后不能进行任何通信；采用VLAN技术后，无法进行设备管理。 VLAN故障的解决方法故障的解决方法分析数据帧的转发过程，特别是数据包携带的VLAN ID的变化。看看在整个数据帧转发的过程中何时删除TAG标签，何时增加TAG标签，在删除和增加的过程中是否变化过VLAN ID，特

21、别是PVLAN技术存在的时候。其次分析是否VLAN路由存在问题。BSCI 2 - 140友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 现象描述现象描述S6506下挂MA5100接入ADSL用户，S6506上行和友商交换机设备C千兆光口连接，网络正在运行突然中断，用户能ping通S6506网关，S6506到交换机C不能ping通，ADSL用户不能正常上网。 信息收集信息收集 使用命令（display interface）查看S6506和交换机C的千兆接口状态，双方物理接口和链路层都正常UP。使用命令（display arp和display mac-a

22、dderss）查看MAC地址表和ARP表，双方都能学到对方的MAC地址，并建立正确的ARP表项。查看S6506路由表，发现接口路由和直连路由正常，也有C交换机的路由信息。查看C的路由表，发现路由信息也正常。 BSCI 2 - 141友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 原因分析原因分析双方之间互通已经一个多月，可以排除兼容性问题。物理接口UP，可以初步排除物理层问题。接口协议层UP，同时双方都能学到对端MAC地址，双方接口统计信息上都显示有报文收发，也可以排除二层互通问题。双方是通过三层接口互通，可以判断是三层上出了问题，至于哪一方设备有问

23、题，需要进一步定位。BSCI 2 - 142友商交换机三层接口问题导致与友商交换机三层接口问题导致与S6506互通网络中断互通网络中断 处理过程处理过程在C上抓包分析，发现从S6506发的ICMP报文到C后，C没有回应。从C发的ICMP报文到S6506之后，S6506给出回应报文，C收到但没有处理。在C上直接连PC机，该接口属于和S6506互通的VLAN，发现PC机PING自己的网关竟然不通，可以肯定C上这个VLAN接口已经不工作了，有吊死的嫌疑。更改C上相应的VLAN接口，问题解决，问题都是由于这个三层接口吊死导致。 总结总结多利用抓包工具，对于故障的分析和定位很有帮助。 BSCI 2 -

24、143VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通S3026A配置了VLAN 2，3，4，100，GE2/1和GE1/1均为TRUNK MODE，并均配置了port trunk permit VLAN all。S3026B配置了VLAN 5，6，7，100，GE1/1为TRUNK MODE，并配置了port trunk permit VLAN all。VLAN 100为管理VLAN。故障现象：S3026A下的PC机均可以与S8016下的PC互通，而S3026B的VLAN 5，6，7下的PC不能与S8016互通，但VLAN 100下的PC可以与S8016互通。 现象描述现象描

25、述中心交换机S8016的GE1/1/1接口通过光纤下连S3026A的GE2/1接口，S3026A通过千兆电口GE1/1级联一台S3026B交换机的GE1/1口。S8016配置了VLAN 2，3，4，5，6，7，100，并配置了相应的三层接口，GE1/1/1为TRUNK MODE，并配置了port trunk permit VLAN all。 BSCI 2 - 144VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通 信息收集信息收集VLAN100下的PC机能够正常通信，说明线路无故障。S3026B的VLAN100下的PC能与S3026A的VLAN100下的PC正常通信，说明VLA

26、N 100的TRUNK能够正常传递，但VLAN 5，6，7的PC为什么不能正常，问题基本定位在数据配置上。查看S3026B的GE1/1的端口状态，发现允许通过的VLAN为5，6，7，100。查看S3026A的GE1/1和GE2/1的端口状态，发现允许通过的VLAN为2，3，4，100，没有VLAN 5，6，7。两台交换机都没有启用GVRP动态VLAN注册协议。 BSCI 2 - 145VLAN TRUNK配置不正确导致业务不通配置不正确导致业务不通原因分析原因分析 原因在于VLAN在TRUNK接口的注册上，虽然我们配置了port trunk permit VLAN all，但其实是允许本交换机

27、中配置的VLAN通过，而不是允许所有的VLAN通过，这可以通过查看端口的状态发现。这样在级联交换机时，上层交换机不能传递下面交换机的VLAN信息，从而导致下面的交换机用户业务不正常。 处理过程处理过程在S3026A手工增加空的VLAN 5，6，7，网络正常。另外一种方法是启用动态VLAN配置，在两台交换机上启动GVRP，便可以避免产生类似故障。 BSCI 2 - 146DHCP的原理及服务器配置方法BSCI 2 - 147DHCP的工作机制 自动分配自动分配 永久的分配地址，没有租期。永久的分配地址，没有租期。 动态分配动态分配 服务器将地址租用给客户机服务器将地址租用给客户机(设定有限的租期

28、设定有限的租期) 手工分配手工分配 将某个将某个IP地址指定分配给特定的客户机地址指定分配给特定的客户机Address pool :192.204.18.2 192.204.18.50 UDP 目的端口目的端口 : 67 源端口源端口: 68 UDP 目的端口目的端口 : 68 源端口源端口: 67 BSCI 2 - 148Broadcast /Broadcast /DHCP的工作过程及消息类型BSCI 2 - 149多台DHCP服务器的情形BSCI 2 - 150DHCP DHCP 服务器分配服务器分配IP IP 地址的优先次序地址的优先次序 DHCP 服务器为客户端分配IP 地址的优先次序

29、如下： (1) DHCP服务器中与客户端MAC地址或客户端ID静态绑定的IP地址。 (2) DHCP服务器记录的曾经分配给客户端的IP地址。 (3) 客户端发送的DHCP-DISCOVER 报文中Option 50 字段指定的IP地址。 (4) 选择合适的地址池，从中顺序查找可供分配的IP地址，最先找到的IP地址。 (5) 如果未找到可用的IP地址，则依次查询租约过期、曾经发生过冲突的IP 地址，如果找到则进行分配，否则将不予处理。BSCI 2 - 151DHCP的配置命令 system-view H3C dhcp enableH3Cdhcp server ip-pool pool-nameH

30、3C-dhcp-pool-0 static-bind ip-address ip-address mask-length | mask mask H3C-dhcp-pool-0 network network-address mask-length | mask mask 使能使能DHCPDHCP功能功能配置配置DHCPDHCP地址池地址池DHCP的其他配置选项的其他配置选项H3C-dhcp-pool-0 dns-list ip-addressH3C-dhcp-pool-0 nbns-list ip-addressH3C-dhcp-pool-0 gateway-list ip-addressH

31、3C-dhcp-pool-0 domain-name textBSCI 2 - 152DHCP的配置示例H3C dhcp server forbidden-ip start-ip-address end-ip-addressH3C dhcp server forbidden-ip 10.1.1.2H3C dhcp server forbidden-ip 10.1.1.100 10.1.1.120 system-viewH3C dhcp enableH3C dhcp server ip-pool 0H3C-dhcp-pool-0 network 10.1.1.0 mask 255.255.255

32、.0H3C-dhcp-pool-0 domain-name H3C-dhcp-pool-0 dns-list 10.1.1.2SwitchA-dhcp-pool-0 nbns-list 10.1.1.4SwitchA-dhcp-pool-0 gateway-list 10.1.1.254SwitchA-dhcp-pool-0 expired day 10 hour 12H3C-dhcp-pool-0 quit从地址池中排除某些从地址池中排除某些IP地址地址BSCI 2 - 153DHCP 服务器显示和维护BSCI 2 - 154DHCP 服务器常见配置错误举例 1. 故障现象 客户端从DHCP

33、 服务器动态获得的IP地址与其他主机IP地址冲突。 2. 故障分析 可能是网络上有主机私自配置了I 地址，导致冲突。 3. 处理过程 (1) 断开客户端的网线，从另外一台主机执行ping操作，设置较长超时时间，检查网络中是否已经存在该IP地址的主机。 (2) 如果能够收到ping操作的响应消息，则说明该IP地址已由用户静态配置。在DHCP服务器上执行dhcpdhcp server forbidden- server forbidden-ipip命令，禁止该IP 地址参与动态地址分配。 (3) 连接好客户端的网线，在客户端释放并重新获取IP地址。以Windows XP为例，在Windows环境下

34、运行cmdcmd进入DOS环境，使用ipconfigipconfig/release release 命令释放IP 地址，之后使用ipconfigipconfig/renewrenew重新获取IP 地址。BSCI 2 - 155实现DHCP中继BSCI 2 - 156DHCP中继的意义缺省情况下，路由器不转发广播包。缺省情况下，路由器不转发广播包。客户机很可能与客户机很可能与DHCP服务器不在同一子网中，服务器不在同一子网中，DHCP中继中继可以帮助不同子网中的客户机与服务器之间通信。可以帮助不同子网中的客户机与服务器之间通信。E0FTP serverDHCP serverDHCP Clien

35、tBroadcastBroadcastBSCI 2 - 157UnicastBroadcastBroadcast哪里有哪里有 DHCP serverDHCP ClientDHCP ServerDHCP中继的意义将目的广播地址改为单播地址将目的广播地址改为单播地址BSCI 2 - 158DHCPDHCP中继基本原理中继基本原理BSCI 2 - 159DHCP中继的配置任务使能使能DHCP DHCP 服务：服务： system-viewH3C dhcp enable配置配置DHCP DHCP 服务器组：服务器组： system-viewH3C dhcp relay server-group gro

36、up-id ip ip-addressH3C interface interface-type interface-numberH3C-GigabitEthernet0/0dhcp relay server-select group-id配置接口工作在配置接口工作在DHCP DHCP 中继模式：中继模式：H3C interface interface-type interface-numberH3C-GigabitEthernet0/0 dhcp select relayBSCI 2 - 160E0BroadcastDNS server 172.16.2.1TFTP server 172.16

37、.2.2dhcp enable dhcp relay server-group 1 ip 172.16.3.2！interface Ethernet 0 ip address 172.16.1.100 255.255.255.0 dhcp select relay dhcp relay server-select 1!DHCP server 172.16.3.2DHCP中继的配置示例哪里有哪里有 DHCP serverDHCP ClientBSCI 2 - 161Directed broadcastto 172.16.2.255Unicast将目的广播地址改为单播和定向广播地址将目的广播地址改

38、为单播和定向广播地址E0DHCP server 172.16.3.2BroadcastDNS server 172.16.2.1TFTP server 172.16.2.2配置DHCP中继后数据包的转发方式BroadcastBSCI 2 - 162DHCP 中继配置举例 具有DHCP 中继功能的Switch A 通过端口（属于VLAN1）连接到DHCP 客户端所在的网络，交换机VLAN 接口1 的IP 地址为10.10.1.1/24，VLAN 接口2 的IP 地址为10.1.1.2/24； DHCP 服务器的IP 地址为10.1.1.1/24； 通过Switch A 转发DHCP 报文，DHC

39、P 客户端可以从DHCP 服务器上申请到10.10.1.0/24 网段的IP 地址及相关配置信息。BSCI 2 - 163DHCP 中继配置举例 # 使能DHCP 服务。 system-viewSwitchA dhcp enable # 配置VLAN 接口1 工作在DHCP 中继模式。SwitchA interface vlan-interface 1SwitchA-Vlan-interface1 dhcp select relaySwitchA-Vlan-interface1 quit # 配置DHCP 服务器的地址，并配置VLAN 接口1 对应DHCP 服务器组1。SwitchA dhcp

40、 relay server-group 1 ip 10.1.1.1SwitchA interface vlan-interface 1SwitchA-Vlan-interface1 dhcp relay server-select 1BSCI 2 - 164DHCP DHCP 中继显示和维护中继显示和维护BSCI 2 - 165DHCP DHCP 中继常见配置错误举例中继常见配置错误举例 1. 故障现象 客户端不能通过DHCP 中继获得配置信息。 2. 故障分析 DHCP 中继或DHCP 服务器的配置可能有问题。可以打开调试开关显示调试信息，并通过执行display 命令显示接口状态信息的方法来分析定位。 3. 处理过程检查DHCP 服务器和DHCP 中继是否使能了DHCP 服务。检查DHCP 服务器是否配置有DHCP 客户端所在网段的地址池。检查具有DHCP 中继功能的网络设备和DHCP 服务器是否配置有相互可达的路由。检查具有DHCP 中继功能的网络设备是否在连接DHCP 客户端所在网段的接口上配置有正确的DHCP 服务器组，且DHCP 服务器组的IP 地址配置正确。 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI 2 - 166Q and A