虛擬局域網(wǎng)工程應(yīng)用需求

• 在我們的網(wǎng)絡(luò)中為什么要用到vlan這個(gè)技術(shù)？
  1、局域網(wǎng)需要隔離廣播這種需求
  交換機(jī)接收到一個(gè)廣播報(bào)文需要除了接收端口之外在其他的所有端口洪泛出去，如圖所示，PC1發(fā)送一個(gè)廣播峦睡，PC2翎苫，PC3，PC4都可以收到這個(gè)廣播榨了，所以我們說煎谍，交換機(jī)共享的是同一個(gè)廣播域，在傳統(tǒng)的組網(wǎng)里面龙屉，是一個(gè)由多個(gè)交換機(jī)所構(gòu)成的大的二層平面呐粘，在這個(gè)網(wǎng)絡(luò)里面，共享的是同一個(gè)廣播域叔扼，發(fā)送一個(gè)廣播，可以在整個(gè)網(wǎng)絡(luò)里面進(jìn)行洪泛漫雷，在這個(gè)廣播域中晌端，任何一臺(tái)PC發(fā)送的廣播其他PC都可以收到

  
  
  image.png
  
  
  image.png
  
  
  

  image.png
  
  

  2位岔、在實(shí)際生活中，一個(gè)項(xiàng)目是由多個(gè)交換機(jī)所組成的，由多個(gè)交換機(jī)所組成的大平面是在同一個(gè)廣播域的债蓝，在同一個(gè)廣播域中發(fā)送廣播如何進(jìn)行洪泛，有什么樣的影響董习？枫慷？

  
  
  image.png
  
  3、如上圖所示涡戳，網(wǎng)管網(wǎng)發(fā)送一個(gè)廣播结蟋，所有PC都收到了這個(gè)廣播，這只是這個(gè)廣播域中一臺(tái)主機(jī)發(fā)送的廣播報(bào)文渔彰，就已經(jīng)實(shí)現(xiàn)全網(wǎng)所有主機(jī)都收到廣播報(bào)文這個(gè)了嵌屎，假設(shè)在這個(gè)網(wǎng)絡(luò)中，有多臺(tái)主機(jī)同時(shí)發(fā)送大量的廣播報(bào)文恍涂，那么整個(gè)網(wǎng)絡(luò)就會(huì)充斥著所有的廣播報(bào)文宝惰，會(huì)造成這個(gè)網(wǎng)絡(luò)中廣播報(bào)文非常廣泛
  4、因此在傳統(tǒng)的局域網(wǎng)中再沧，共享的是同一個(gè)廣播域尼夺，共享的是一個(gè)大的二層網(wǎng)絡(luò)，那么他有什么樣的危害

局域網(wǎng)共享同一廣播域危害：
（1）廣播報(bào)文在全網(wǎng)進(jìn)行洪泛炒瘸，嚴(yán)重占用網(wǎng)絡(luò)中鏈路帶寬淤堵，太多廣播報(bào)文占用帶寬很有可能會(huì)讓正常的報(bào)文導(dǎo)致丟棄
（2）每一個(gè)網(wǎng)絡(luò)設(shè)備收到廣播報(bào)文會(huì)優(yōu)先進(jìn)行處理，大量無用的廣播報(bào)文會(huì)嚴(yán)重影響設(shè)備處理性能
（3）每一個(gè)PC網(wǎng)卡收到廣播報(bào)文會(huì)優(yōu)先處理顷扩，因此大量的廣播報(bào)文會(huì)導(dǎo)致PC處理延遲
（4）帶來安全隱患粘勒，使得網(wǎng)絡(luò)難以管理和維護(hù)

2、業(yè)務(wù)隔離的需求

局域網(wǎng)業(yè)務(wù)隔離需求：
（1）某局域網(wǎng)由5臺(tái)交換機(jī)組成屎即，根據(jù)所連接的業(yè)務(wù)不同庙睡，劃分為以下幾個(gè)功能區(qū)：
（2）用戶希望對(duì)研發(fā)區(qū)和辦公區(qū)之間進(jìn)行隔離事富，研發(fā)區(qū)和辦公區(qū)之間不能互相訪問，但是都能訪問服務(wù)器

image.png

• 小結(jié)：
  為什么需要使用VLAN技術(shù)乘陪？
  1统台、將廣播流量限制在僅需要該廣播的網(wǎng)絡(luò)區(qū)域中，最大化減少廣播流量對(duì)網(wǎng)絡(luò)的影響
  2啡邑、出于業(yè)務(wù)考慮贱勃，有些主機(jī)需要配置為能互相訪問，有些則不能這樣配置

虛擬局域網(wǎng)原理與配置

VLAN技術(shù)概述

• VLAN的定義：
  （1）VLAN：virtual LAN（虛擬局域網(wǎng)）
  （2）形象的說谤逼，交換機(jī)VLAN技術(shù)就是將一臺(tái)物理交換機(jī)劃分為若干臺(tái)邏輯上完全獨(dú)立的交換機(jī)
  也可以說贵扰，通過劃分vlan這種技術(shù)，將一個(gè)物理專網(wǎng)邏輯上劃分出多個(gè)相互隔離的虛擬局域網(wǎng)流部，也就是說通過這種技術(shù)可以滿足在一張物理網(wǎng)上面同時(shí)承載多個(gè)相互獨(dú)立的虛擬局域網(wǎng)戚绕，vlan這種技術(shù)既可以實(shí)現(xiàn)業(yè)務(wù)隔離又不造成資金的浪費(fèi)

  
  
  image.png

• 通過使用vlan技術(shù)，了可以看出vlan的特性：
  1枝冀、每一個(gè)vlan都是一個(gè)單獨(dú)的廣播域
  2舞丛、某個(gè)vlan中的廣播報(bào)文只能在本vlan中進(jìn)行洪泛

  
  
  image.png
  
  

  3、每一個(gè)vlan通常情況下是一個(gè)單獨(dú)的子網(wǎng)
  4果漾、vlan與vlan之間默認(rèn)不允許二層流量之間訪問球切，但允許通過三層的路由實(shí)現(xiàn)訪問

VLAN技術(shù)在工程中的應(yīng)用

image.png

VLAN的類型

• 基于接口的vlan
  1、基于交換機(jī)接口進(jìn)行vlan劃分
  是目前使用最多最廣泛的一種方式绒障，這種方式就是在我們交換機(jī)上面吨凑，創(chuàng)建了vlan之后，他把相應(yīng)的接口直接邦定 或者劃分進(jìn)哪一個(gè)vlan而不管這一個(gè)端口下面連的是哪一臺(tái)PC也不管這個(gè)端口下面連了多少臺(tái)PC户辱，都屬于這個(gè)端口所屬的vlan

  
  
  image.png

• 基于mac的vlan
  1怀骤、基于接入終端的MAC地址進(jìn)行了VLAN劃分
  通過將vlan信息與mac信息靜態(tài)的綁定在vlan信息表里面，意思就是說不管你這個(gè)pc從哪一個(gè)端口連接進(jìn)來的焕妙，只要是這個(gè)pc擁有這個(gè)mac地址的這個(gè)設(shè)備蒋伦，進(jìn)交換機(jī)就會(huì)自動(dòng)的把你歸為哪一個(gè)vlan

  
  
  image.png

VLAN原理-標(biāo)簽的處理

vlan這種技術(shù)是如何來實(shí)現(xiàn)在我們一個(gè)交換機(jī)上面如何來滿足相同的vlan之間可以直接訪問，不同的vlan之間是不允許訪問的焚鹊，實(shí)現(xiàn)原理是怎么樣的痕届？？

• 引入了標(biāo)簽末患，標(biāo)簽也就是說在我們的以太網(wǎng)數(shù)據(jù)幀中加上了一個(gè)特定的標(biāo)識(shí)研叫，用來標(biāo)識(shí)這個(gè)數(shù)據(jù)幀是屬于哪一個(gè)vlan的
  1、如圖所示：PCA發(fā)送了一個(gè)以太網(wǎng)數(shù)據(jù)幀璧针，數(shù)據(jù)幀進(jìn)入交換機(jī)之后嚷炉，只要你從接口一進(jìn)來，就會(huì)在這個(gè)普通的以太網(wǎng)數(shù)據(jù)幀里面打上一個(gè)特定的標(biāo)記 探橱，因?yàn)檫@個(gè)接口是屬于vlan10的申屹，所以會(huì)在這個(gè)以太網(wǎng)標(biāo)記中打上一個(gè)標(biāo)記10绘证，也就是用來區(qū)分這個(gè)數(shù)據(jù)是從vlan10收到的

  
  
  image.png
  
  

  2、帶有標(biāo)記的數(shù)據(jù)進(jìn)了交換機(jī)之后通過這個(gè)標(biāo)記在交換機(jī)內(nèi)部進(jìn)行一個(gè)查找哗讥，還有哪些端口和我所帶的標(biāo)記是屬于同一個(gè)vlan的嚷那，那么我就允許我的數(shù)據(jù)從這個(gè)接口發(fā)送出去，發(fā)送出去之前杆煞，講這個(gè)標(biāo)記進(jìn)行脫離魏宽，最終發(fā)送給PC的還是一個(gè)普通的數(shù)據(jù)幀，因?yàn)槿绻鸓C收到的是一個(gè)帶有標(biāo)記的數(shù)據(jù)幀决乎，pc會(huì)認(rèn)為這個(gè)是一個(gè)畸形的不正確的數(shù)據(jù)幀队询，就會(huì)把這個(gè)數(shù)據(jù)幀丟棄

  
  
  image.png
  
  3、vlan的標(biāo)記僅僅是在交換機(jī)內(nèi)部來使用构诚，用來幫助交換機(jī)用來區(qū)分用來識(shí)別數(shù)據(jù)是屬于哪一個(gè)vlan的應(yīng)該從哪一個(gè)端口發(fā)送出去
  
  image.png
  
  
  image.png

VLAN標(biāo)簽處理案例分析

image.png

VLAN配置

• 創(chuàng)建vlan

  
  
  image.png
  
  
  image.png
  
  
  image.png

• 將接口劃分到VLAN

  
  
  image.png

• VLAN信息查看

  
  
  image.png

跨交換機(jī)VLAN互連互通

跨交換機(jī)VLAN互連

• 在實(shí)際工作應(yīng)用中蚌斩，或許會(huì)存在各種原因，導(dǎo)致原本屬于同一個(gè)功能區(qū)的不同的PC沒有辦法集中進(jìn)行部署唤反，就是說也可能研發(fā)區(qū)在這個(gè)樓層有凳寺，在另外一個(gè)樓層有鸭津，在其他的辦公室也會(huì)有彤侍，同理，在同一個(gè)辦公室中也可能既有研發(fā)區(qū)的也有辦公區(qū)的逆趋，這種情況下就會(huì)導(dǎo)致我們某些接入交換機(jī)它可能會(huì)接入多個(gè)不同的vlan盏阶，多個(gè)不同的功能區(qū)域，這種情況下的要求是闻书，雖然我們交換機(jī)同時(shí)接入了不同的多個(gè)vlan 名斟，但是，同一個(gè)valn內(nèi)都要求同時(shí)進(jìn)行訪問魄眉，比如說研發(fā)區(qū)的能夠根我網(wǎng)絡(luò)中其他研發(fā)區(qū)的進(jìn)行訪問砰盐，辦公區(qū)的能夠根我網(wǎng)絡(luò)中其他辦公區(qū)的進(jìn)行訪問，現(xiàn)在要求的是我們這條鏈路上面能夠同時(shí)發(fā)送多個(gè)不同的vlan的流量坑律，能夠?qū)崿F(xiàn)同時(shí)進(jìn)行訪問岩梳，那么交換機(jī)與交換機(jī)之間的那條鏈路究竟應(yīng)該劃分到哪一個(gè)vlan中去？晃择？如果只配成一個(gè)冀值，那么其他的就不能進(jìn)行訪問了

  
  
  image.png

• 跨越多個(gè)交換機(jī)的VLAN
  解決辦法：

  
  
  image.png

Trunk與Access端口特點(diǎn)

實(shí)際上也是一個(gè)端口下的概念，通過倆個(gè)交換機(jī)互連的端口宫屠，我們把他配置成Trunk列疗，所以將我們這條鏈路配制成串口鏈路，

• Trunk端口
  1浪蹂、允許同一條物理鏈路上同時(shí)承載多個(gè)VLAN的數(shù)據(jù)
  2抵栈、默認(rèn)情況下該端口屬于所有已創(chuàng)建的VLAN
  3告材、數(shù)據(jù)幀進(jìn)端口不打標(biāo)，出端口也不打標(biāo)
• Access端口
  1竭讳、僅屬于某個(gè)特定的VLAN
  2创葡、進(jìn)接口打標(biāo)，出接口拆標(biāo)

Trunk鏈路數(shù)據(jù)幀處理

• 假設(shè)pc1與pc3都屬于vlan10绢慢，pc2與pc4都屬于vlan11灿渴，按照Trunk的意義，pc1與pc3能夠同時(shí)訪問胰舆，pc2和pc4也能夠同時(shí)訪問骚露，pc1發(fā)送一個(gè)普通的數(shù)據(jù)幀，在通過屬于vlan10的端口的時(shí)候缚窿，會(huì)打上一個(gè)vlan10的標(biāo)記棘幸，通過一個(gè)標(biāo)記10，會(huì)在內(nèi)部進(jìn)行一個(gè)查找倦零，這個(gè)數(shù)據(jù)應(yīng)該是可以往哪些端口進(jìn)行發(fā)送误续，可以往所有屬于vlan10的端口進(jìn)行發(fā)送，Trunk屬于所有端口扫茅，所以交換機(jī)1與交換機(jī)2中間這條鏈路即屬于vlan10蹋嵌，又屬于vlan11，所以帶有vlan10的標(biāo)記的數(shù)據(jù)他是可以從Trunk上面進(jìn)行發(fā)送的葫隙，但是Trunk工作原理是從接口出去不打標(biāo)也不拆標(biāo)栽烂，所以到達(dá)交換機(jī)2的數(shù)據(jù)是原封不動(dòng)的，在交換機(jī)2內(nèi)部恋脚，通過vlan10的標(biāo)記找到屬于vlan10的端口然后發(fā)送腺办，在出端口的時(shí)候進(jìn)行拆標(biāo)

  
  
  image.png

Trunk封裝模式

• Trunk的封裝模式：ISL、dot1q
  數(shù)據(jù)在Trunk上面打標(biāo)糟描，不同的廠商有不同的處理方式怀喉，數(shù)據(jù)幀如何來打標(biāo)如何來處理，這是由Trunk的封裝模式來決定的船响，Trunk的封裝模式主要有倆種躬拢、

• ISL（用的不多）
  1、ISL是Cisco專用的標(biāo)準(zhǔn)灿意，在其他廠商設(shè)備里面是不允許使用的
  2估灿、在 以太網(wǎng)報(bào)文中增加了26bite作為VLAN tag

  
  
  image.png

• Dot1q（一般用這種）
  1、Dot1q是IEEE制定的標(biāo)準(zhǔn)802.1Q缤剧，幾乎所有得廠商設(shè)備都支持
  2馅袁、在以太網(wǎng)報(bào)文中增加了4bite作為VLAN tag
  3、802,1q標(biāo)簽幀比ISL標(biāo)簽幀包含更少的域荒辕，因?yàn)樗窃跇?biāo)準(zhǔn)以太網(wǎng)幀中插入4個(gè)字節(jié)的tag幀而不是放入標(biāo)簽頭部信息

  
  
  image.png

802.1Q數(shù)據(jù)幀格式

image.png

• 交換機(jī)VLAn號(hào)范圍
  1汗销、802.1q tag 為12位
  2犹褒、最多的vlan個(gè)數(shù)2^12-2=4094個(gè)

  
  
  image.png

本地VLAN工作原理

• NativeVlan特點(diǎn)
  1、每個(gè)802.1qTrunk接口都有1個(gè)Native Vlan弛针，默認(rèn)為Vlan1叠骑，本地vlan數(shù)據(jù)發(fā)送不帶有任何標(biāo)記
  2、很多第2層協(xié)議例如BPDU削茁，CDU宙枷，VTP，PAgP和DTP 需要在一個(gè)特定的vlan中發(fā)送消息茧跋，因此定義了本地VLAN

  
  
  image.png

Trunk接口的允許VlAN列表

在Trunk上面慰丛，你可以定義這種列表，明確的定義允許哪些Vlan的流量在我的Trunk上面可以承載瘾杭，進(jìn)行發(fā)送,
1诅病、Cisco Trunk接口默認(rèn)允許所有VLAN通過
2、Huawei/H3C Trunk 接口默認(rèn)不允許任何VLAN通過
3粥烁、對(duì)于不在允許列表中的VLAN贤笆，該Trunk接口數(shù)據(jù)收發(fā)都禁止

image.png

VLAN Trunk配置

image.png

查看Trunk鏈路狀態(tài)

image.png

虛擬局域網(wǎng)工程部署

在大規(guī)模的網(wǎng)絡(luò)中vlan究竟要怎么樣去規(guī)劃，怎么樣去設(shè)計(jì)讨阻，怎么樣去部署

局域網(wǎng)VLAN劃分

1芥永、按業(yè)務(wù)/功能區(qū)劃分
2、按訪問控制/隔離需求劃分
3变勇、按主機(jī)數(shù)/廣播域大小劃分
4恤左、按IP子網(wǎng)劃分
5贴唇、分塊劃分

轉(zhuǎn)發(fā)路徑上VLAN存在的重要性

• Vlan數(shù)據(jù)的發(fā)送搀绣，需要標(biāo)簽的一個(gè)打標(biāo)和拆標(biāo)過程，所以數(shù)據(jù)整個(gè)交換的過程中戳气，中間的交換機(jī)如果沒有這個(gè)vlan链患，那么這個(gè)交換機(jī)收到這種數(shù)據(jù)就會(huì)丟掉，在中間設(shè)備必須要擁有這些vlan瓶您，否則的話麻捻，數(shù)據(jù)轉(zhuǎn)到這個(gè)交換機(jī)可能會(huì)在這個(gè)交換機(jī)上被丟棄

  
  
  image.png

局域網(wǎng)VLAN部署

• 方法一：靜態(tài)全配置
  1、交換機(jī)上線之后呀袱，把vlan2-4094所有vlan全部創(chuàng)建贸毕，不管這些vlan有沒有被使用，在接入層和核心層夜赵，將2-4094所有vlan都創(chuàng)建好明棍，想使用哪個(gè)vlan，就把相應(yīng)的端口綁定或者規(guī)劃到該vlan里面去
  缺點(diǎn)：vlan信息表過多寇僧，難以進(jìn)行查找

  
  
  image.png
  
  

  2摊腋、在核心層通過批處理的方式將2-4094這種所有vlan進(jìn)行創(chuàng)建沸版，而在接入層僅僅創(chuàng)建所需要的vlan，這樣不會(huì)造成接入層信息表過多

  
  
  image.png
  
  3兴蒸、三層結(jié)構(gòu)视粮，核心層和匯聚層創(chuàng)建2-4094，接入層僅僅創(chuàng)建所需要的接口
  
  image.png

• 方法二：按網(wǎng)絡(luò)規(guī)劃靜態(tài)配置
  1橙凳、在核心層創(chuàng)建所有vlan蕾殴，匯聚層和接入層僅創(chuàng)建所需要的vlan

  
  
  image.png
  
  

  2、

  
  
  image.png
  
  3岛啸、
  
  image.png
  
  缺點(diǎn)：有可能因?yàn)槿藛T的疏忽区宇，有的vlan沒有創(chuàng)建，而無法訪問
• 方法三：動(dòng)態(tài)學(xué)習(xí)
  動(dòng)態(tài)學(xué)習(xí)就是在全網(wǎng)中vlan的刪除增加修改不需要在所有設(shè)備上進(jìn)行修改值戳，只需要在一臺(tái)設(shè)備上進(jìn)行修改就可以了议谷，我們核心層創(chuàng)建一個(gè)vlan，通過發(fā)送小溪堕虹，vlan信息可以洪泛到整個(gè)網(wǎng)絡(luò)中所有交換機(jī)卧晓，讓交換機(jī)可以自動(dòng)的學(xué)習(xí)vlan里面的vlan信息，這種方式就是你只需要在一臺(tái)設(shè)備或者倆臺(tái)設(shè)備上操作就行赴捞，其他的交換機(jī)可以

VTP可以實(shí)現(xiàn)vlan動(dòng)態(tài)學(xué)習(xí)

VTP工作模式

image.png

• 服務(wù)器模式（Server）
  1逼裆、可以創(chuàng)建、添加和刪除vlan
  2赦政、提供VTP消息
  3胜宇、學(xué)習(xí)VTP消息；轉(zhuǎn)發(fā)VTP消息
  4恢着、保存vlan信息到flash（不會(huì)丟掉）
  通常情況下桐愉，我們會(huì)把核心交換機(jī)配置為服務(wù)器模式，因?yàn)檫@個(gè)設(shè)備是最穩(wěn)定的掰派，也是性能最好的
• 客戶模式（Client）
  1从诲、不可以創(chuàng)建、添加和刪除vlan
  2靡羡、學(xué)習(xí)VTP消息系洛；轉(zhuǎn)發(fā)VTP消息
  3、保存vlan信息到RAM
• 透明模式（Tranapartent）
  1略步、可以創(chuàng)建描扯、添加和刪除vlan，但只在本交換機(jī)生效
  2趟薄、不提供VTP消息绽诚；不學(xué)習(xí)VTP消息
  3、不轉(zhuǎn)發(fā)VTP消息

VTP配置

image.png

• VTP信息查看

  
  
  image.png