控制交换网络中的广播流量

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,3,章,VLAN,技术,掌握,VLAN,的基本概念（包括,Native,Vlan,、技术标准的规定）,掌握,VLAN,的定义：,Port VLAN,和,Tag VLAN,掌握,VLAN,配置方法,掌握,VLAN,间路由（原理介绍）,掌握,VTP,协议原理及配置方法,教学大纲要求：,3.1,引言,3.2 VLAN,技术及基本配置,3.3 VLAN,间的通信,3.4,VLAN,中继协议,(VTP),本章内容,引言,交换网络中广播的问题,发送未知帧,广播！发送不在同一交换机的帧,还是广播！,在交换机组成的网络里所有主机都在同一个广播域内。,F0/1,F0/2,F0/3,A,B,C,F0/1,F0/2,F0/3,E,F,G,F0/1,F0/2,F0/3,H,I,J,引言,交换网络中的数据安全问题,要点：通过,VLAN,技术可以分割广播域，对网络进行一个安全的隔离、,交换网络在数据安全上存在的问题,学校或公司各部门组成局域网，并共享一条链路访问互联网。但其中有些重要部门,的数据,不能被其他部门随意访问；,交换机不能隔离广播；,一台交换机内所有主机直接可以访问，如何隔离？,解决办法之一：,VLAN,（,虚拟局域网）,将物理网络进行逻辑划分，不受地理位置限制。每个,VLAN,具有物理网络的所有特性。,解决办法之二：用路由器划分子网：路由技术,引言,交换网络中问题的解决,VLAN,技术,VLAN20,要点：通过,VLAN,技术可以对网络进行一个安全的隔离、分割广播域,VLAN10,VLAN30,VLAN40,VLAN,的优点,减少移动和改变的代价,虚拟工作组,限制广播包,安全性,VLAN,标准,802.1Q,协议,ISL,协议,ISL 头,26 bytes,以太帧数据,CRC,4 bytes,用,ISL,头与,CRC,进行帧封装,可以支持多个,VLAN(1024),VLAN,号,BPDU,控制位,DA,Type,User,SA,LEN,VLAN,AAAA03,BPDU,HSA,VLAN,BPDU,BPDU,INDEX,RES,VLAN,（,Virtual Local Area Network,）,VLAN,是在一个物理网络上划分出来的逻辑网络。这个网络对应于,OSI,模型的第二层网络。,VLAN,的划分不受网络端口的实际物理位置的限制。,VLAN,有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个,VLAN,内转发、扩散，而不会直接进入其他的,VLAN,之中。,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,3.2 VLAN,技术及基本配置,3.2.1 VLAN,概述,VLAN,的分类,基于端口的,VLAN,：,是某些交换端口的集合，是目前应用最多的，最基本的划分方式，目前几乎所有交换机都支持该种,VLAN,的划分方式；,基于协议的,VLAN,：,根据承载数据的三层协议来确定,VLAN,的成员，如基于,IP,，,IPX,等协议的,VLAN,；,基于,MAC,地址的,VLAN,：,根据计算机网卡的,MAC,地址划分,VLAN,。,其特点是用户的物理位置可以任意移动，但是交换机的执行效率较低；,3.2.1 VLAN,概述,VLAN,的分类（续,）,基于子网的,VLAN,：,根据主机的网络层地址，如,IP,地址划分,VLAN,。,它根据第三层子网信息划分不同的,VLAN,；,根据,IP,组播地址划分,VLAN,：,根据组播地址划分,VLAN,，,一个组播组就是一个,VLAN,，,这种划分方法将,VLAN,扩展到广域网；,基于策略的,VLAN,：,根据高层协议（应用）划分,VLAN,。,它可以根据不同的应用、策略进行应用级的划分。,3.2.2,单交换机基于端口的,VALN:Port VLAN,概述：将单个交换机的不同的端口划分为不同的,VLAN,。,F0/1,F0/2,F0/6,VLAN10,广播域,VLAN20,广播域,F0/7,2.Port-vlan,原理：在,MAC,地址表中增加,VLAN ID,字段,交换机端口,源,MAC,地址,VLAN ID,F0/1,A,10,F0/2,B,20,F0/3,C,10,F0/1,F0/2,F0/3,A,B,C,Vlan,10,Vlan,20,Vlan,10,A B,A C,X,3.2.2,单交换机基于端口的,VALN:Port VLAN(,续,),创建,VLAN100,，,将它命名为,test,的例子,Switch#,configure terminal,Switch(config,)#,vlan,100,Switch(config-vlan,)#,name test,Switch(config-vlan,)#,end,把,ethernet,0/10,作为,access,口加入了,VLAN100,Switch#,configure terminal,Switch(config,)#,interface fastethernet0/10,Switch(config,-if)#,switchport,mode access,Switch(config,-if)#,switchport,access,vlan,100,Switch(config,-if)#,end,注：端口模式可分为,access,模式及,trunk,模式。,Port VLAN,，,即将连接主机的端口设成,access,模式。,3.,配置,Port VLAN-Access,：,创建,VLAN,，,并加入一个端口,3.2.2,单交换机基于端口的,VALN:Port VLAN(,续,),将一组接口加入某一个,VLAN,Switch(config,)#,vlan,20 /,创建,VLAN20,Switch(config-vlan,)#,exit,Switch(config)#,interface,range,fastethernet,0/1-10,，,0/15,，,0/20,/,选择端口组,fastethernet,0/1-10,，,0/15,，,0/20,Switch(config-if-range)#,switchport,access,vlan,20,/,将该端口组加入到,VLAN20,中；,注：连续接口,0/1-10,，不连续接口用逗号隔开，但一定要写明模块编号,3.2.2,单交换机基于端口的,VALN:Port VLAN(,续,),4.,配置,Port VLAN-Access,：,将一组端口加入,VLAN,将不同的,PC,机,接入同一,VLAN,中的不同端口,ping,结果：可以,ping,通,将不同的,PC,机接入不同,VLAN,中的不同端口,ping,结果：不能,ping,通,注意：各,PC,机的,IP,地址要在同一子网中,3.2.2,单交换机基于端口的,VALN:Port VLAN(,续,),5.,验证,Port VLAN-Access,：,实验,单交换机基于端口的,VALN,的,配置与验证,【,试验目的,】,通过三层交换机实现,VLAN,间的相互通信。,【,试验设备,】1,台,S2126G(SA),、,1,台,S3550(SB),。,【,试验拓扑,】,：见下图,F0/1,F0/2,F0/6,Vlan,10,Vlan,20,Vlan,10,Vlan,20,F0/7,PC1,PC2,PC3,PC4,【,地址规划,】,：,PC1,：,192.168.0.1 PC3:192.168.0.3,PC2,：,192.168.0.2 PC4:192.168.0.4,实验,单交换机基于端口的,VALN,的,配置与验证,试验步骤与验证测试：,1.,未划分,VLAN,时,将不同的,PC,机接入同一交换机的不同端口,ping,结果：可以,ping,通,2.,划分,VLAN,后,（,1,）将不同的,PC,机接入同一,VLAN,中的不同端口,ping,结果：可以,ping,通,（,2,）将不同的,PC,机接入不同,VLAN,中的不同端口,ping,结果：不能,ping,通,注意：各,PC,机的,IP,地址要在同一子网中,