16 元
下载资源

[计算机硬件及网络]华为VLAN原理及配置

上传人:e****s 文档编号:243364290 上传时间:2024-09-21 格式:PPT 页数:71 大小:1.21MB
返回 下载 相关 举报
[计算机硬件及网络]华为VLAN原理及配置_第1页
第1页 / 共71页
[计算机硬件及网络]华为VLAN原理及配置_第2页
第2页 / 共71页
[计算机硬件及网络]华为VLAN原理及配置_第3页
第3页 / 共71页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,DF002502 VLAN 配置,华为网络技术培训中心,引入,划分广播域的主流技术: VLAN,标准VLAN协议,简化配置,实现动态的VLAN信息交换:GVRP,学习目标,掌握VLAN的基本原理和基本配置,掌握GARP/GVRP的基本原理和基本配置,掌握三层交换机的基本原理,学习完本课程,您应该能够:,VLAN 基础,GARP/GVRP基本原理,三层交换机基本原理,VLAN & GVRP 配置,课程内容,VLAN的产生-广播风暴,broadcast,划分广播域-Router,broadcast,router,划分广播域-VLAN,广播域1,VLAN 10,广播域2,VLAN 20,广播域3,VLAN 30,技术部,财务部,市场部,基于端口的VLAN,Host A,Host B,Host C,Host D,Ethernet switch,VLAN,table,Port,VLAN,Port 1,VLAN 5,Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,802.1q 帧格式,DA,SA,Type,Data,CRC,Standard Ethernet Frame,DA,SA,Type,Data,CRC,tag,TPID,Priority,CFI,VLAN ID,TCI,Ethernet Frame with IEEE802.Iq Flag,VLAN,帧格式说明,这四个字节的标签头包含了2个字节的标签协议标识(TPID)和两个字节的标签控制信息(TCI)。,TPID是IEEE定义的新的类型,表明这是一个加了标签的帧。TPID包含了一个固定的值0x8100。,TCI包含的是帧的控制信息,它包含了下面的一些元素:,Priority:这3位指明帧的优先级。一共有8种优先级,07。,CFI:CFI值为0说明是规范模式,1为非规范模式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。,VLAN ID:这是一个12位的域,指明VLAN的ID,一共4096个,每个支持协议的主机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。,端口的链路类型,Trunk or Hybrid Link,Access Link,以太网帧在网络中的变化,VLAN 2,VLAN 1,VLAN 1,VLAN 2,包含Tag域的以太网帧,包含Tag域的以太网帧,不含Tag域的以太网帧,以太网交换机的端口分类,Access端口:,一般用于接用户计算机的端口,access端口只能属于1个VLAN。,Trunk端口:,一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。,Hybrid端口:,可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。,注:Hybrid端口与Trunk端口的不同之处在于hybrid端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。在同一个交换机上hybrid端口和trunk端口不能并存。,端口的缺省ID(PVID),Access端口只属于一个VLAN,所以它的缺省ID就是它所在的VLAN,不用设置。,Hybrid端口和Trunk端口属于多个VLAN, 所以需要设置缺省VLAN ID,缺省情况下为VLAN 1。,注:端口缺省的模式为Access端口,缺省所有端口都属于VLAN 1,VLAN 1为缺省VLAN,既不能创建也不能删除。,当Access端口收到帧时,如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Q tag header,处理方法各种交换机不尽相同(一般交换机不作处理,即使带Tag也同样处理)。,当,Access,端口发送帧时,剥离,802.1Q tag header,,,发出的帧为普通以太网帧。,接收方向,Access,发送方向,Access,的转发原则,当,Trunk,端口收到帧时,如果该帧不包含,802.1Q tag header,,,将打上端口的,PVID,;,如果该帧包含,802.1Q tag header,,,则不改变。,当,Trunk,端口发送帧时,当该帧的,VLAN ID,与端口的,PVID,不同时,直接透传;当该帧的,VLAN ID,与端口的,PVID,相同时,则剥离,802.1Q tag header,接收方向,发送方向,Trunk,Trunk,的转发原则,三大纪律,Access端口不能接Trunk端口。,两个相连的Trunk(Hybrid)端口的PVID值要求一致。,与不支持802.1Q的设备相连的端口不能是Trunk端口。,互连的Tagged端口的默认PVID必须一致,不能允许UnTagged端口和Tagged端口互连,Trunk 和 VLAN,VLAN 4,VLAN 2,VLAN 4,VLAN 3,VLAN 2,VLAN 4,VLAN 5,VLAN 5,VLAN 2,VLAN 5,广播帧传播路径,Trunk,和,VLAN,无论一个网络由多少个交换机构成,也无论一个VLAN跨越了多少个交换机,按照VLAN的定义,一个VLAN就确定了一个广播域。广播报文必须被发送到一个VLAN中的所有端口。因为VLAN可能跨越多个交换机,当一个交换机从某VLAN的一个端口收到广播报文之后,为了保证同属一个VLAN的所有主机都接收到这个广播报文,交换机必须按照如下原则将报文进行转发:,发送给本交换机中同一个VLAN中的其它端口;,将这个报文发送给本交换机的包含这个VLAN的所有干道链路,以便让其它交换机上的同一个VLAN的端口也发送该报文。,PVLAN的,引入,交换机上存在一个或多个primary vlan和多个secondary vlan。,一个primary vlan包含几个secondary vlan,对于上层交换机只能见到primary vlan。,一个primary vlan就是一个IP子网,即同一个primary vlan中包含的所有secondary vlan处在同一个子网中,节省了vlan资源。,S3026,access,access,access,access,S2016A,S2016B,一个奇怪的故障现象,S3026,S2403H,服务器,PC1,PC2,E0/3,E0/1,E0/1,E0/2,E0/2,E0/3,E0/4,组网说明:,S3026,上配置,PVLAN,,,primary,vlan,是,vlan,100,,包含端口,e0/3,;,second,vlan,是,vlan,101,和,vlan,102,,分别包含,e0/1,和,e0/2,端口;服务器接在,e0/3,端口下。,S2403H,上,端口,e0/1,和,e0/3,属于,vlan,101,,端口,e0/2,和,e0/4,属于,vlan,102,;,PC1,接在,e0/3,下,,PC2,接在,e0/4,下。,PC1,、,PC2,和服务器在同一网段。,该组网的要求是:,PC1,和,PC2,能正常访问服务器,同时,PC1,和,PC2,之间的访问隔离。,一个奇怪的故障现象,故障现象:,理论上上面的组网及配置就可以满足需求。因为在S3026上做的PVLAN可以保证e0/3下的服务器和e0/1和e0/2下的机器互访,同时e0/1和e0/2下的机器被相互隔离,而S2403H上PC1和PC2接的端口由于属于不同的VLAN,所以无法互访。,但是实际的问题是:当PC1 能PING通服务器的时候,PC2无法PING通服务器,这时如果把左边的这根网线拔掉,则PC2能PING通服务器。同样,当PC2能PING通服务器的时候,PC1却又无法PING通服务器,将右边的网线拔掉则PC1能PING通服务器了。换句话说,同一时刻只能有一台PC可以PING通服务器。,用S2403F取代S2403H,则PC1和PC2都能同时PING通服务器。,在解释这个奇怪的故障现象之前,先要介绍一个重要的概念:交换机的报文转发机制。,交换机的报文转发机制,交换机的报文转发机制分两种:SVL和IVL,。,SVL:Shared vlan learning,共享式vlan学习。在这种方式下,MAC地址在整张表中是唯一的,一个MAC地址在地址表中只能有一条记录,一个MAC只能被学习到一个端口上。,IVL:Independent vlan learning,独立式vlan学习。在这种方式下,MAC地址表在逻辑上可以被看成根据VLAN信息分成了很多张表,一个MAC地址可学习到不同VLAN对应的“地址表”上。,MAC1 VLAN1 PORT1,MAC2 VLAN1 PORT2,MAC2 VLAN2 PORT3,MAC3 VLAN3 PORT3,MAC1 VLAN1 PORT1,MAC2 VLAN2 PORT2,MAC3 VLAN3 PORT3,IVL,SVL,MAC地址在不同方式的地址表中的存在可以形象的表示为:,交换机的报文转发机制,注:抽象的概念并不是物理的,SVL机制的转发报文流程,交换机先根据目的,MAC,地址查,MAC,转发表,(,即,L2FDB),,检查是否有匹配项;,若有匹配项,然后判断这个端口所属的,VLAN,是否和报文携带的,VLAN,信息对应的,VLAN,相等,如果相等就转发,否则就丢弃。,如果根据目的,MAC,没有找到匹配项,则在报文所属的,VLAN,内进行广播(除源端口)。,IVL机制的转发报文流程,根据帧内,Tag Header,的,VLAN ID,查找,L2FDB,表,确定查找的范围;,根据目的,MAC,查找出端口,找到相应项则转发;,如果在,L2FDB,表中查找不到该目的,MAC,,则该报文将通过广播的方式在该,VLAN,内所有端口转发(除源端口);,VLAN 基础,GARP/GVRP基本原理,三层交换机的基本原理,VLAN & GVRP 配置,课程内容,GARP 基础,属性申明和注册,GARP message,GARP 模型,a: 注册对端声明的属性,A: 向对端声明自己的属性,通过“声明-注册-声明”的过程最终完成属性在整个网络中的传播,属性申明和注册,GARP 工作流程,GVRP,裁剪,trunk,trunk,trunk,trunk,Create VLAN 2,注册VLAN 2,注册VLAN 2,注册VLAN 2,VLAN 1,2,VLAN 1,VLAN 1,2,VLAN 1,2,注册VLAN 2,声明VLAN2,声明VLAN2,声明VLAN2,声明VLAN2,VLAN 基础,GARP/GVRP基本原理,三层交换机基本原理,VLAN & GVRP 基本配置,课程内容,三层交换机基本特征,三层交换机与传统路由器具有相同的功能:,根据IP地址进行选路,进行三层的校验和,使用生存时间(TTL),对路由表进行更新和维护,二者最大的区别,三层交换采用ASIC硬件进行包转发,而传统路由器采用CPU进行包转发,相比于传统路由器三层交换具有以下优点:,基于硬件的包转发,转发效率高,低时延,低花费,三层交换机实质就是一种特殊的路由器,有很强交换能力而价格低廉的路由器。,三层交换机功能模型,VLAN,Switch,Layer3 Switch,IP网络规则,主机IP/掩码/目的主机IP确定目的主机是否在本地网络内,ARP请求目的主机MAC,ARP查找设定网关MAC,网关MAC填入以太网帧,三层交换完成通信,目的MAC填入以太网帧,二层交换完成通信,在本地网络内,不在本地网络内,三层交换机选择二层或三层交换,目的MAC是否为三层接口MAC,三层交换,VLAN间转发,是,否,检查VLAN属性,以太网帧输入,二层交换,VLAN内转发,三层交换过程,MAC:0-0-1,MAC:0-0-2,MAC:0-0-A,MAC:0-0-B,MAC:0-0-C,Arp请求,ARP,应答,Arp请求,ARP,应答,0-0-1,0-0-A,10.153.80.10,10.153.90.20,0-0-C,0-0-2,10.153.80.10,10.153.90.20,路由器选路-最长匹配,根据报文的目的地址,与路由项进行匹配操作;,匹配的动作是用报文目的地址与路由项的子网掩码进行“与”;如图 目的和各表项子网掩码“与”的结果如下,10.111.1.88 & 255.255.0.0 ,10.111.1.88 & 255.255.255.0 ,10.111.1.88 & 255.255.0.0 ,如果“与”的结果和路由项中网络地址相同,则认为路由匹配,所有匹配项中子网掩码位数最长的为最佳匹配项,报文据此进行转发(从该表项对应接口发送),如果找不到匹配项,则根据缺省路由进行转发,如果没有缺省路由则报文被丢弃,路由表和FIB表,交换机选路,交换机的报文选路转发通过ASIC硬件进行,效率大大超过路由器;,交换机除了支持最长匹配转发外(和路由器相同),还支持精确匹配转发,L3FDB表是三层交换机转发的基础,三层交换机转发-精确匹配(流转发),支持精确匹配转发的L3FDB是类似于二层交换机MAC地址表的Cache;,交换机根据报文的目的IP在L3FDB表中进行查找;,对于能够在此“Cache”命中的报文,则直接根据表项的端口信息进行转发;,不能在“Cache”命中的报文将被送到CPU进行软件路由,路由的原理和路由器完全相同的最长地址匹配;,软件路由后将把该目的IP添加到L3FDB表中;,如果表项长期不被刷新则会被老化掉;,因此,通过多次地址学习就可以把表项逐一加进来,这样后续的流量就可以直接Cache命中,不需要软件路由。这就是三层交换机所谓的“,一次路由,多次交换”。,三层交换机转发-最长匹配(逐包转发),最长匹配转发也依赖于L3FDB;,L3FDB转发项通过FIB表项下发建立起来;,对于能够在此“Cache”命中的报文,则直接进行转发。”Cache”方式采用最长匹配算法;,不能在“Cache”命中的报文将被转发到CPU进行软件路由,路由的原理和路由器完全相同的最长地址匹配。,逐包转发引擎保护设备本身,逐包转发,流转发,流转发模式无法适应网络的动荡,更严重的是在“冲击波”等网络蠕虫病毒发作时可能会使全网陷于瘫痪!,逐包转发模式即使在加载大量路由、网络路由频繁波动、网络蠕虫极其严重的情况下,仍然保证,IP,报文的线速转发,因而可以保障正常业务的运行。,物理接口与三层接口,Eth0/1,Eth0/2,Eth0/3,Eth0/4,VLAN2:,VLAN1:,路由器和三层交换机比较,实际上三层交换机和路由器并没有绝对的区别,往高端上其技术是融合的。,项目,路由器,三层交换机,端口类型,非常丰富,几乎可以支持所有通信端口,比较单一,主要支持以太网,在骨干级设备上才会支持POS和ATM,转发实现途径,主要以CPU加软件实现为主。,(GSR是实现硬件的路由),由硬件ASIC实现转发,路由算法,最长匹配,第一包路由,以后做精确匹配或者最长匹配,包转发率,低,高,成本,高,低,二层交换,不支持,支持,三层接口和物理接口对应关系,一一对应,一个VLAN三层接口可以包含多个物理接口,VLAN 基础,GARP/GVRP基本原理,三层交换机基本原理,VLAN & GVRP 基本配置,课程内容,进入,VLAN,视图,及创建/删除,VLAN,用途:,进入vlan视图,如果指定的vlan没有创建则先创建它,undo vlan vlan_id,undo vlan :删除已创建的vlan,注:此命令在系统视图下使用,给,VLAN,指定端口,用途:,给指定vlan增加/剔除以太网接口,命令格式:,port port_num to port_num & ,Undo port port_num to port_num & ,参数含义:,port_num:由端口类型和端口序号组成;端口序号由槽号和端口号的二元组组成,如果是百兆口,则槽号为0,端口号取值范围为124;如果是千兆口,则槽号为1或2,端口号取值围为1。,注:此命令在VLAN视图下使用,给端口指定,VLAN,用途:,给指定vlan增加/剔除以太网接口,命令格式:,port access vlan vlan-id,Undo port access vlan vlan-id,参数说明:,vlan-id:VLAN接口的ID,取值范围为24094,注:此命令在物理接口视图下使用,设置/取消接口为,VLAN Trunk,用途:,打开/关闭以太网接口的vlan trunk功能,基于标准,命令格式:,port link-type access | trunk | hybrid ,缺省值:缺省为,access,注:此命令在物理端口视图下使用,设置/取消,Trunk,端口中允许通过的,VLAN,用途:,该命令用来设置或取消Trunk端口中允许通过的VLAN,命令格式:,undo port trunk permit vlan vlan_id_list | all ,缺省值:,端口为非Trunk端口,不具备Trunk功能。,注:此命令在物理端口视图下使用,且端口要先设置为,trunk,类型。,设置,Trunk,端口的缺省,VLAN ID(pvid),用途:,该命令用来设置Trunk端口的缺省VLAN ID(pvid),此命令的undo形式用来恢复端口的缺省VLAN ID。,命令格式:,port trunk pvid vlan vlan_id,undo port trunk pvid,缺省值:vlan_id的缺省值为1,注:此命令在物理端口视图下使用,且端口要先设置为,trunk,类型。,其他常用命令,指定/删除VLAN描述字符:,description,string,undo description,查看VLAN设置:,display vlan vlan_id ,开启/关闭VLAN接口:,shutdown,Undo shutdown,用Quidway S3026简单组网案例,目标:,PCA和PCC同属于一个VLAN 2且能相互通信。,PCB和PCD同属于另一个VLAN 3且能相互通信。,两台S3026用两根100M网线通过Trunk链路互连,并使用端口聚合功能增加链路带宽,trunk,PCA:VLAN2,PCD:VLAN3,PCC:VLAN2,PCB:VLAN3,用Quidway S3026简单组网案例,配置VLAN:SwitchA & SwitchB,SwitchAvlan 2,SwitchA-vlan2port ethernet 0/1,SwitchA-vlan2vlan 3,SwitchA-vlan3port ethernet 0/2,配置接口,SwitchA-Ethernet0/23speed 100,SwitchA-Ethernet0/23duplex full,SwitchA-Ethernet0/23port link-type trunk,SwitchA-Ethernet0/23port trunk permit vlan 2 to 3,SwitchA-Ethernet0/24speed 100,SwitchA-Ethernet0/24duplex full,SwitchA-Ethernet0/24port link-type trunk,SwitchA-Ethernet0/24port trunk permit vlan 2 to 3,配置端口聚合,SwitchAlink-aggregation ethernet 0/23 to ethernet 0/24 both,设置主机IP地址,PVLAN,的配置,配置primary VLAN,Vlan,vlan-id,isolate-user-vlan enable,port port_num,配置secondary VLAN,vlan,vlan-id,port,port-num,设置primary VLAN和secondary VLAN的映射关系,Isolate-user-vlan,primary_vlan_num,secondary,secondary_vlan_numlist,PVLAN,的注意事项,使用版本的注意点,配置映射关系前的注意点,primary vlan和secondary vlan中必须已经包含了端口。,建立映射关系后的注意点,不可以向primary VLAN和secondary VLAN执行添加和删除端口的操作,也不可以执行删除vlan的操作。,要重新建立映射关系必须先解除原有的映射关系。,primary vlan中的端口类型,primary vlan中的所有端口都不是的trunk端口,包括与其他 交换机相连的uplink口。,每个port的PVID就是它所属secondary vlan的ID。,uplink端口的PVID是primary vlan的ID。,GVRP 配置,开启/关闭GVRP协议(系统视图):,undo gvrp,配置端口的GVRP注册类型:,gvrp registration normal | fixed | forbidden ,normal:允许动态创建、注册和删除VLAN属性信息,fixed :允许静态创建、注册和删除VLAN属性信息,但不能动态学习VLAN属性信息,forbidden:除VLAN 1外,禁止创建或注册所有的VLAN属性信息,undo gvrp registration,GVRP 监控和维护,显示GVRP 的统计信息:,display,gvrp statistics ports_list ,显示GVRP 的全部状态信息:,display gvrp status,开启/关闭GVRP调试信息输出开关:, undo debugging gvrp packet | event,GVRP配置实例(一),VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,VLAN 5VLAN10,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1,GVRP 配置实例(二),VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,VLAN 5VLAN10,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Port 1,(Fixed),GVRP 配置实例(三),VLAN 5VLAN10,VLAN 15VLAN20,VLAN 15VLAN20,VLAN 25VLAN30,VLAN 5VLAN10,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1(forbidden),GVRP 配置实例(四),VLAN 5VLAN 10,VLAN 15VLAN 20,VLAN 15VLAN 20,VLAN 25VLAN 30,VLAN 5VLAN 10,A,B,C,D,E,F,Port 1,Port 1,Port 1,Port 1,Port 2,Port 3,Port 2,Port 3,Port 1,Trunk 1524,Port 1,创建/删除VLAN的Route Interface属性,用途:,为了给VLAN指定IP地址,需要给vlan创建一个虚拟路由接口。,undo interface vlan vif_id,参数含义:,vif_id :虚接口号,且虚接口号与vlan id相等,给VLAN指定/删除IP地址和掩码,用途:,给VLAN指定IP地址和掩码/掩码长度,ip address ip_address mask | mask_length,undo ip address ip_address,undo ip address:删除vlan的ip地址,参数含义:,ip_address: vlan的ip地址,mask: 对应的子网掩码,mask_length:对应的掩码长度,配置VLAN,Quidway vlan 100,Quidway-vlan100 port e0/1 to e0/10,Quidway vlan 200,Quidway-vlan200 port e0/11 to e0/20,VLAN 100,VLAN 200,给VLAN配置路由接口,Quidway vlan 100,Quidway-vlan100 interface vlan 100,Quidway-vlan,Quidway vlan 200,Quidway-vlan200 interface vlan 200,Quidway-vlan- interface 200 ip,VLAN 100,VLAN 200,给主机配置默认网关,在主机上配置主机的默认网关,将默认网关指向所在VLAN在三层交换机上的接口的地址。,VLAN 100,VLAN 200,默认网关:,默认网关:,给主机配置默认网关,在主机上访问网络上已经配置好的部分,测试配置的网络是否已经正常连通。,VLAN 100,VLAN 200,默认网关:,默认网关:,配置路由协议,在三层交换机上,根据网络的路由规划配置使用路由协议和配置路由协议参数。,VLAN 100,VLAN 200,默认网关:,默认网关:,VLAN 基本原理,数据帧,VLAN 基本配置,GARP/GVRP基本原理,GARP/GVRP基本配置,总结,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 商业计划


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!