HCNAv2.0进阶课件VLAN原理和配置.pptx
- 文档编号:17173189
- 上传时间:2023-07-22
- 格式:PPTX
- 页数:28
- 大小:386.01KB
HCNAv2.0进阶课件VLAN原理和配置.pptx
《HCNAv2.0进阶课件VLAN原理和配置.pptx》由会员分享,可在线阅读,更多相关《HCNAv2.0进阶课件VLAN原理和配置.pptx(28页珍藏版)》请在冰点文库上搜索。
,HUAWEITECHNOLOGIESCO.,LTD.,VLAN原理和配置,前言,随着网络中计算机的数量越来越多,传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是将一个物理的局域网在逻辑上划分成多个广播域的技术。
通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。
这样既能够隔离广播域,又能够提升网络的安全性。
Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page2,学习目标,学完本课程后,您应该能:
理解VLAN的工作原理掌握VLAN的基本配置,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page3,若某时刻有多个节点同时试图发送消息,那么它们将产生冲突。
从任意节点发出的消息都会被发送到其他节点,形成广播。
所有主机共享一条传输通道,无法控制网络中的信息安全。
这种网络构成了一个冲突域,网络中计算机数量越多,冲突越严重,网络效率越低。
同时,该网络也是一个广播域,当网络中发送信息的计算机数量越多时,广播流量将会耗费大量带宽。
因此,传统局域网不仅面临冲突域太大和广播域太大两大难题,而且无法保障传输信息的安全。
为了扩展传统LAN,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交换机,它们能有效隔离冲突域。
网桥和交换机采用交换方式将来自入端口的信息转发到出端口上,克服了共享网络中的冲突问题。
但是,采用交换机进行组网时,广播域和信息安全问题依旧存在。
为限制广播域的范围,减少广播流量,需要在没有二层互访需求的主机之间进行隔离。
路由器是基于三层IP地址信息来选择路由和转发数据的,其连接两个网段时可以有效抑制广播报文的转发,但成本较高。
因此,人们设想在物理局域网上构建多个逻辑局域网,即VLAN。
传统以太网,随着主机数量的增加,共享网络中的冲突会越来越严重,交换网络中的广播也会越来越多。
Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page4,本例中,原本属于同一广播域的主机被划分到了两个VLAN中,即,VLAN1和VLAN2。
VLAN内部的主机可以直接在二层互相通信,VLAN1和VLAN2之间的主机无法直接实现二层通信。
VLAN技术,VLAN能够隔离广播域。
VLAN1,VLAN2,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page5,TPID:
TagProtocolIdentifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。
如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
TCI:
TagControlInformation,2字节。
帧的控制信息,详细说明如下:
Priority:
3比特,表示帧的优先级,取值范围为07,值越大优先级越高。
当交换机阻塞时,优先发送优先级高的数据帧。
CFI:
CanonicalFormatIndicator,1比特。
CFI表示MAC地址是否是经典格式。
CFI为0说明是经典格式,CFI为1表示为非经典格式。
用于区分以太网帧、FDDI(FiberDistributedDigitalInterface)帧和令牌环网帧。
在以太网中,CFI的值为0。
VLANIdentifier:
VLANID,12比特,在X7系列交换机中,可配置的VLANID取值范围为04095,但是0和4095在协议中规定为保留的VLANID,不能给用户使用。
在现有的交换网络环境中,以太网的帧有两种格式:
没有加上VLAN标记的标准以太网帧(untaggedframe);有VLAN标记的以太网帧(taggedframe)。
VLAN帧格式,没有携带Tag的帧,DMAC,Data,SMAC,Type,FCS,6bytes,6bytes,2bytes,46-1500bytes,4bytes,TPID2bytes,TCI2bytes,通过Tag区分不同VLAN。
Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page6,接入链路(AccessLink):
连接用户主机和交换机的链路称为接入链路。
如本例所示,图中主机和交换机之间的链路都是接入链路。
干道链路(TrunkLink):
连接交换机和交换机的链路称为干道链路。
如本例所示,图中交换机之间的链路都是干道链路。
干道链路上通过的帧一般为带Tag的VLAN帧。
链路类型,Trunk,Access,Trunk,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page7,Trunk,Access,Access,Access,Access,VLAN2VLAN3用户主机和交换机之间的链路为接入链路,交换机与交换机之间的链路为干道链路。
PVID,PVID1,PVID2,PVID2,PVID3,PVID3,PVID1,缺省情况下,X7系列交换机每个端口的PVID是1。
Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page8,PVID表示端口在缺省情况下所属的VLAN。
SWA,SWB,主机AVLAN2,主机CVLAN2,主机DVLAN3,主机BVLAN3,Access端口收发数据帧的规则如下:
如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLANID。
当VLANID与该端口的PVID相同时,接收该报文。
当VLANID与该端口的PVID不同时,丢弃该报文。
Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。
Access端口发往对端设备的以太网帧永远是不带标签的帧。
在本示例中,交换机的G0/0/1,G0/0/2,G0/0/3端口分别连接三台主机,都配置为Access端口。
主机A把数据帧(未加标签)发送到交换机的G0/0/1端口,再由交换机发往其他目的地。
收到数据帧之后,交换机根据端口的PVID给数据帧打上VLAN标签10,然后决定从G0/0/3端口转发数据帧。
G0/0/3端口的PVID也是10,与VLAN标签中的VLANID相同,交换机移除标签,把数据帧发送到主机C。
连接主机B的端口的PVID是2,与VLAN10不属于同一个VLAN,因此此端口不会接收到VLAN10的数据帧。
端口类型Access,主机A,主机C,主机B,Untagged,Untagged,PVID10,PVID10,Frame,10,Access端口在转发数据前会移除VLANTag。
Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page9,Access端口在收到数据后会添加VLANTag,VLANID和端口的PVID相同。
SWA,G0/0/1,PVID2G0/0/2,G0/0/3,Trunk端口收发数据帧的规则如下:
当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLANID列表中,则接收该报文,否则丢弃该报文。
当接收到对端设备发送的带Tag的数据帧时,检查VLANID是否在允许通过的VLANID列表中。
如果VLANID在接口允许通过的VLANID列表中,则接收该报文。
否则丢弃该报文。
端口发送数据帧时,当VLANID与端口的PVID相同,且是该端口允许通过的VLANID时,去掉Tag,发送该报文。
当VLANID与端口的PVID不同,且是该端口允许通过的VLANID时,保持原有Tag,发送该报文。
在本示例中,SWA和SWB连接主机的端口为Access端口,PVID如图所示。
SWA和SWB互连的端口为Trunk端口,PVID都为1,此Trunk链路允许所有VLAN的流量通过。
当SWA转发VLAN1的数据帧时会剥离VLAN标签,然后发送到Trunk链路上。
而在转发VLAN20的数据帧时,不剥离VLAN标签直接转发到Trunk链路上。
端口类型Trunk,当Trunk端口收到帧时,如果该帧不包含Tag,将打上端口的PVID;如果该帧包含Tag,则不改变。
当Trunk端口发送帧时,该帧的VLANID在Trunk的允许发送列表中:
若与端口的PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送。
主机A,主机C,主机B,主机D,Untagged,Untagged,Frame,20,Untagged,SWA,SWB,Untagged,Untagged,PVID1,PVID20,PVID1,PVID20,PVID1,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page10,PVID1,Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
Hybrid端口既可以连接接入链路又可以连接干道链路。
Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。
华为设备默认的端口类型是Hybrid。
在本示例中,要求主机A和主机B都能访问服务器,但是它们之间不能互相访问。
此时交换机连接主机和服务器的端口,以及交换机互连的端口都配置为Hybrid类型。
交换机连接主机A的端口的PVID是2,连接主机B的端口的PVID是3,连接服务器的端口的PVID是100。
端口类型-Hybrid,Hybrid端口既可以连接主机,又可以连接交换机。
Hybrid端口可以以Tagged或Untagged方式加入VLAN。
G0/0/1,主机A,主机B,服务器,Untagged,Frame,G0/0/1,Frame,3,2,Untagged,Untagged,SWA,SWB,G0/0/2,G0/0/2,G0/0/3,Untagged,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page11,当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLANID列表中,则接收该报文,否则丢弃该报文。
当接收到对端设备发送的带Tag的数据帧时,检查VLANID是否在允许通过的VLANID列表中。
如果VLANID在接口允许通过的VLANID列表中,则接收该报文,否则丢弃该报文。
Hybrid端口发送数据帧时,将检查该接口是否允许该VLAN数据帧通过。
如果允许通过,则可以通过命令配置发送时是否携带Tag。
配置porthybridtaggedvlanvlan-id命令后,接口发送该vlan-id的数据帧时,不剥离帧中的VLANTag,直接发送。
该命令一般配置在连接交换机的端口上。
配置porthybriduntaggedvlanvlan-id命令后,接口在发送vlan-id的数据帧时,会将帧中的VLANTag剥离掉再发送出去。
该命令一般配置在连接主机的端口上。
本例介绍了主机A和主机B发送数据给服务器的情况。
在SWA和SWB互连的端口上配置了porthybridtaggedvlan23100命令后,SWA和SWB之间的链路上传输的都是带Tag标签的数据帧。
在SWB连接服务器的端口上配置了porthybriduntaggedvlan23,主机A和主机B发送的数据会被剥离VLAN标签后转发到服务器。
端口类型-Hybrid,PVID1,主机A,主机B,服务器,Untagged,Frame,PVID1,Frame,3,2,Untagged,Untagged,SWA,SWB,PVID100,PVID2,PVID3,Untagged,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page12,基于端口划分:
根据交换机的端口编号来划分VLAN。
通过为交换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。
初始情况下,X7系列交换机的端口处于VLAN1中。
此方法配置简单,但是当主机移动位置时,需要重新配置VLAN。
基于MAC地址划分:
根据主机网卡的MAC地址划分VLAN。
此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLANID的映射关系。
如果交换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携带的MAC地址来添加相应的VLAN标签。
在使用此方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。
基于IP子网划分:
交换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。
基于协议划分:
根据数据帧的协议类型(或协议族类型)、封装格式来分配VLANID。
网络管理员需要首先配置协议类型和VLANID之间的映射关系。
基于策略划分:
使用几个条件的组合来分配VLAN标签。
这些条件包括IP子网、端口和IP地址等。
只有当所有条件都匹配时,交换机才为数据帧添加VLAN标签。
另外,针对每一条策略都是需要手工配置的。
VLAN划分方法,G0/0/1,主机A10.0.1.1,主机D10.0.2.2,主机B10.0.2.1,主机C10.0.1.2,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page13,G0/0/2,G0/0/7G0/0/9,SWA,基于端口的VLAN划分方法在实际中最为常见。
VLAN配置,SWAvlan10SWA-vlan10quitSWAvlanbatch2to3Info:
Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.,主机A,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page14,主机D,主机B,主机C,SWA,SWB,执行displayvlanvlan-idverbose命令,可以查看指定VLAN的详细信息,包括VLANID、类型、描述、VLAN的状态、VLAN中的端口、以及VLAN中端口的模式等。
执行displayvlanvlan-idstatistics命令,可以查看指定VLAN中的流量统计信息。
执行displayvlansummary命令,可以查看系统中所有VLAN的汇总信息。
配置验证,SWAdisplayvlanThetotalnumberofvlansis:
4-U:
Up;D:
Down;TG:
Tagged;UT:
Untagged;MP:
Vlan-mapping;ST:
Vlan-stacking;#:
ProtocolTransparent-vlan;*:
Management-vlan;-VIDTypePorts-commonUT:
GE0/0/1(U)commoncommon:
common,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page15,配置端口类型的命令是portlink-type,type可以配置为Access,Trunk或Hybrid。
需要注意的是,如果查看端口配置时没有发现端口类型信息,说明端口使用了默认的hybrid端口链路类型。
当修改端口类型时,必须先恢复端口的默认VLAN配置,使端口属于缺省的VLAN1。
配置Access端口,SWAinterfaceGigabitEthernet0/0/5SWA-GigabitEthernet0/0/5portlink-typeaccessSWA-GigabitEthernet0/0/5interfaceGigabitEthernet0/0/7SWA-GigabitEthernet0/0/7portlink-typeaccess,SWA,SWB,G0/0/1,G0/0/7,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page16,G0/0/5,主机A,主机D,主机B,主机C,第一种方法是进入到VLAN视图,执行port命令,把端口加入VLAN。
第二种方法是进入到接口视图,执行portdefault命令,把端口加入VLAN。
vlan-id是指端口要加入的VLAN。
添加端口到VLAN,SWAvlan2SWA-vlan2portGigabitEthernet0/0/7SWA-vlan2quitSWAinterfaceGigabitEthernet0/0/5SWA-GigabitEthernet0/0/5portdefaultvlan3,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page17,SWA,SWB,G0/0/1,G0/0/7,G0/0/5,主机A,主机D,主机B,主机C,配置验证,SWAdisplayvlanThetotalnumberofvlansis:
4-U:
Up;D:
Down;TG:
Tagged;UT:
Untagged;MP:
Vlan-mapping;ST:
Vlan-stacking;#:
ProtocolTransparent-vlan;*:
Management-vlan;-VIDTypePorts-commonUT:
GE0/0/1(U)commonUT:
GE0/0/7(U)commonUT:
GE0/0/5(U)10common,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page18,执行porttrunkpvidvlanvlan-id命令,可以修改Trunk端口的PVID。
修改Trunk端口的PVID之后,需要注意:
缺省VLAN不一定是端口允许通过的VLAN。
只有使用命令porttrunkallow-passvlanvlan-id1tovlan-id2|all允许缺省VLAN数据通过,才能转发缺省VLAN的数据帧。
交换机的所有端口默认允许VLAN1的数据通过。
在本示例中,将SWA的G0/0/1端口配置为Trunk端口,该端口PVID默认为1。
配置porttrunkallow-passvlan23命令之后,该Trunk允许VLAN2和VLAN3的数据流量通过。
配置Trunk端口,SWA-GigabitEthernet0/0/1portlink-typetrunkSWA-GigabitEthernet0/0/1porttrunkallow-passvlan23,SWA,SWB,G0/0/1,G0/0/1,主机A,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page19,主机D,主机B,主机C,配置验证,SWAdisplayvlanThetotalnumberofvlansis:
4-U:
Up;D:
Down;TG:
Tagged;UT:
Untagged;MP:
Vlan-mapping;ST:
Vlan-stacking;#:
ProtocolTransparent-vlan;*:
Management-vlan;-VIDTypePorts-commonUT:
GE0/0/1(U)commonUT:
GE0/0/7(D)TG:
GE0/0/1(U)commonUT:
GE0/0/5(U)TG:
GE0/0/1(U)10common,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page20,porthybridtaggedvlanvlan-id1tovlan-id2|all命令用来配置允许哪些VLAN的数据帧以Tagged方式通过该端口。
porthybriduntaggedvlanvlan-id1tovlan-id2|all命令用来配置允许哪些VLAN的数据帧以Untagged方式通过该端口。
在本示例中,要求主机A和主机B都能访问服务器,但是它们之间不能互相访问。
此时通过命令portlink-typehybrid配置交换机连接主机和服务器的端口,以及交换机互连的端口都为Hybrid类型。
通过命令porthybridpvidvlan2配置交换机连接主机A的端口的PVID是2。
类似地,连接主机B的端口的PVID是3,连接服务器的端口的PVID是100。
通过在G0/0/1端口下使用命令porthybridtaggedvlan23100,配置VLAN2,VLAN3和VLAN100的数据帧在通过该端口时都携带标签。
在G0/0/2端口下使用命令porthybriduntaggedvlan2100,配置VLAN2和VLAN100的数据帧在通过该端口时都不携带标签。
在G0/0/3端口下使用命令porthybriduntaggedvlan3100,配置VLAN3和VLAN100的数据帧在通过该端口时都不携带标签。
配置Hybrid端口,SWA-GigabitEthernet0/0/1portlink-typehybridSWA-GigabitEthernet0/0/1porthybridtaggedvlan23100SWA-GigabitEthernet0/0/2porthybridpvidvlan2SWA-GigabitEthernet0/0/2porthybriduntaggedvlan2100SWA-GigabitEthernet0/0/3porthybridpvidvlan3SWA-GigabitEthernet0/0/3porthybriduntaggedvlan3100,G0/0/1,主机A,主机B,服务器,G0/0/1,SWA,SWB,G0/0/2,G0/0/2,G0/0/3,Copyright2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.,Page21,在G0/0/1端口下使用命令porthybridtaggedvlan23100,配置VLAN2,VLAN3和VLAN100的数据帧在通过该端口时都携带标签。
在G0/0/2端口下使用命令porthybriduntaggedvlan23100,配置VLAN2,VLAN3和VLAN100的数据帧在通过该端口时都不携带标签。
配置Hybrid,SWB-GigabitEthernet0/0/1portlink-typehy
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- HCNAv2 进阶 课件 VLAN 原理 配置