控制交换网络中的广播流量

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第3章 VLAN技术,掌握,VLAN,的基本概念（包括,Native,Vlan,、技术标准的规定）,掌握,VLAN,的定义：,Port VLAN,和,Tag VLAN,掌握,VLAN,配置方法,掌握,VLAN,间路由（原理介绍）,掌握,VTP,协议原理及配置方法,教学大纲要求：,3.1,引言,3.2 VLAN,技术及基本配置,3.3 VLAN,间的通信,3.4,VLAN中继协议(VTP),本章内容,引言交换网络中广播的问题,发送未知帧广播！发送不在同一交换机的帧还是广播！,在交换机组成的网络里所有主机都在同一个广播域内。,F0/1,F0/2,F0/3,A,B,C,F0/1,F0/2,F0/3,E,F,G,F0/1,F0/2,F0/3,H,I,J,引言交换网络中的数据安全问题,要点：通过VLAN技术可以分割广播域，对网络进行一个安全的隔离、,交换网络在数据安全上存在的问题,学校或公司各部门组成局域网，并共享一条链路访问互联网。但其中有些重要部门的数据不能被其他部门随意访问；,交换机不能隔离广播；,一台交换机内所有主机直接可以访问，如何隔离？,解决办法之一：VLAN（虚拟局域网）,将物理网络进行逻辑划分，不受地理位置限制。每个VLAN具有物理网络的所有特性。,解决办法之二：用路由器划分子网：路由技术,引言交换网络中问题的解决VLAN技术,VLAN20,要点：通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN10,VLAN30,VLAN40,VLAN的优点,减少移动和改变的代价,虚拟工作组,限制广播包,安全性,VLAN标准,802.1Q协议,ISL协议,ISL 头,26 bytes,以太帧数据,CRC,4 bytes,用ISL头与CRC进行帧封装,可以支持多个VLAN (1024),VLAN号,BPDU控制位,DA,Type,User,SA,LEN,VLAN,AAAA03,BPDU,HSA,VLAN,BPDU,BPDU,INDEX,RES,VLAN,（,Virtual Local Area Network,）,VLAN,是在一个物理网络上划分出来的逻辑网络。这个网络对应于,OSI,模型的第二层网络。,VLAN,的划分不受网络端口的实际物理位置的限制。,VLAN,有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个,VLAN,内转发、扩散，而不会直接进入其他的,VLAN,之中。,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,3.2 VLAN技术及基本配置,3.2.1 VLAN概述,VLAN的分类,基于端口的VLAN：是某些交换端口的集合，是目前应用最多的，最基本的划分方式，目前几乎所有交换机都支持该种VLAN的划分方式；,基于协议的VLAN：根据承载数据的三层协议来确定VLAN的成员，如基于IP，IPX等协议的VLAN；,基于MAC地址的VLAN：根据计算机网卡的MAC地址划分VLAN。其特点是用户的物理位置可以任意移动，但是交换机的执行效率较低；,3.2.1 VLAN概述,VLAN的分类（续）,基于子网的VLAN：根据主机的网络层地址，如IP地址划分VLAN。它根据第三层子网信息划分不同的VLAN；,根据IP组播地址划分VLAN：根据组播地址划分VLAN，一个组播组就是一个VLAN，这种划分方法将VLAN扩展到广域网；,基于策略的VLAN：根据高层协议（应用）划分VLAN。它可以根据不同的应用、策略进行应用级的划分。,3.2.2,单交换机基于端口的VALN:Port VLAN,概述：将单个交换机的不同的端口划分为不同的,VLAN,。,F0/1,F0/2,F0/6,VLAN10广播域,VLAN20广播域,F0/7,2.Port-vlan原理：在MAC地址表中增加VLAN ID字段,交换机端口,源MAC地址,VLAN ID,F0/1,A,10,F0/2,B,20,F0/3,C,10,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 10,A B,A C,X,3.2.2,单交换机基于端口的VALN:Port VLAN(续),创建,VLAN100,，,将它命名为,test,的例子,Switch#,configure terminal,Switch(config,)#,vlan,100,Switch(config-vlan,)#,name test,Switch(config-vlan,)#,end,把,ethernet,0/10,作为,access,口加入了,VLAN100,Switch#,configure terminal,Switch(config,)#,interface fastethernet0/10,Switch(config,-if)#,switchport,mode access,Switch(config,-if)#,switchport,access,vlan,100,Switch(config,-if)#,end,注：端口模式可分为,access,模式及,trunk,模式。,Port VLAN，即将连接主机的端口设成access模式。,3.配置Port VLAN-Access：创建VLAN，并加入一个端口,3.2.2,单交换机基于端口的VALN:Port VLAN(续),将一组接口加入某一个VLAN,Switch(config)#,vlan 20 /创建VLAN20,Switch(config-vlan)#,exit,Switch(config)#,interface range fastethernet 0/1-10，0/15，0/20,/选择端口组fastethernet 0/1-10， 0/15，0/20,Switch(config-if-range)#,switchport access vlan 20,/将该端口组加入到VLAN20中；,注：连续接口 0/1-10，不连续接口用逗号隔开，但一定要写明模块编号,3.2.2,单交换机基于端口的VALN:Port VLAN(续),4.配置Port VLAN-Access：将一组端口加入VLAN,将不同的PC机接入同一VLAN中的不同端口ping,结果：可以ping通,将不同的PC机接入不同VLAN中的不同端口ping,结果：不能ping通,注意：各PC机的IP地址要在同一子网中,3.2.2,单交换机基于端口的VALN:Port VLAN(续),5.验证Port VLAN-Access：,实验,单交换机基于端口的VALN的配置与验证,【试验目的】通过三层交换机实现VLAN间的相互通信。,【试验设备】1台S2126G(SA)、1台S3550(SB)。,【试验拓扑】：见下图,F0/1,F0/2,F0/6,Vlan 10,Vlan 20,Vlan 10,Vlan 20,F0/7,PC1,PC2,PC3,PC4,【地址规划】：,PC1：192.168.0.1 PC3:192.168.0.3,PC2：192.168.0.2 PC4:192.168.0.4,实验,单交换机基于端口的VALN的配置与验证,试验步骤与验证测试：,1.,未划分,VLAN,时,将不同的,PC,机接入同一交换机的不同端口,ping,结果：可以,ping,通,2.,划分,VLAN,后,（,1,）将不同的,PC,机接入同一,VLAN,中的不同端口,ping,结果：可以,ping,通,（,2,）将不同的,PC,机接入不同,VLAN,中的不同端口,ping,结果：不能,ping,通,注意：各,PC,机的,IP,地址要在同一子网中,