网络设备配置与管理 子项目2 实现Vlan间通信(1)
子项目2 实现Vlan间通信(1) 学习目标: 重点、难点: 教学过程: 提出任务 分析任务 相关知识 任务完成 评价任务 任务小结 知识拓展 随堂实训:
【学习目标】-技能目标 掌握内部子网的搭建方法 用二层交换机级联搭建各部门子网 测试部门内部及部门之间的连通性 在各交换机上创建相应VLAN
【学习目标】-知识目标 掌握VLAN类型及原理 掌握VLAN配置
【学习目标】-职业目标 会根据项目要求搭建内部子网
重点、难点 教学重点 : 1.VLAN类型及原理 2.VLAN配置 教学难点 : VLAN配置
【教学过程】-提出任务 根据项目要求搭建内部各子网,做到各部门子网内部可以相互访问,而子网间不能直接通信。
【教学过程】-分析任务 为满足任务要求,可以使用LAN和VLAN两种技术实现, 考虑本项目内网规模较大,直接用LAN组建容易形成广播风暴(直接用LAN组建网络,需要为各部门分配一个独立的网段,这样同一部门的主机IP在同一网段,不同部门的主机IP不在同一网段中,从而实现各部门内部可以通信,但部门之间不可以相互访问的组网目标,但此时所有端口仍在同一个广播域中,所以容易产生广播风暴);而使用VLAN技术能很好的解决广播风暴问题,同时还方便网络管理,能提高网络安全性。 本任务先尝试通过二层交换机级联,直接用LAN完成各部门子网组建,并分析这样建网的缺点,再使用VLAN技术组建内部子网。本任务的工作流程:用二层交换机级联搭建各部门子网→测试部门内部及部门之间的连通性→在各交换机上创建相应VLAN→将接口加入VLAN→测试部门内部及部门之间的连通性。
【教学过程】-相关知识 2.1 VLAN类型及原理 1.VLAN概念 虽然交换机的所有端口已不再处于同一冲突域,但它们仍处于同一广播域中,因此当网络规模不断增大时,广播风暴的产生仍然无法避免。为了解决这个问题,虚拟局域网技术应运而生。 虚拟局域网通常简称为VLAN,是指在一个物理网络上划分出来的逻辑网络。一个虚拟局域网就是一个网段,通过在交换机上划分VLAN,可以将一个大的局域网划分成若干个网段,每个网段内所有主机间的通信和广播仅限于该VLAN,广播帧不会被转发到其他网段,即一个VLAN就是一个广播域(如图1-2-1所示)。VLAN间是不能进行直接通信的,这就实现了对广播域的分割和隔离。
【教学过程】-相关知识 2.1 VLAN类型及原理 1.VLAN概念 VLAN的划分不受网络端口的实际物理位置的限制,可以覆盖多个网络设备。 广播域 图1-2-1 一个VLAN只有一个广播域
【教学过程】-相关知识 2.1 VLAN类型及原理 2.VLAN类型 划分VLAN所依据的标准是多种多样的,可以按端口、MAC地址、网络协议和策略等的不同划分不同类型的VLAN,目前多采用前两种形式。 1)按端口划分的VLAN 将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了,因此,它是最常用的一种方式。其主要缺点在于不允许用户移动,一旦用户移动到一个新的位置,网络管理员必须配置新的VLAN。
【教学过程】-相关知识 2.1 VLAN类型及原理 2.VLAN类型 划分VLAN所依据的标准是多种多样的,可以按端口、MAC地址、网络协议和策略等的不同划分不同类型的VLAN,目前多采用前两种形式。 2)按MAC地址划分的VLAN VLAN工作基于工作站的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址,从某种意义上说,这是一种基于用户的网络划分手段,因为MAC在工作站的网卡(NIC)上。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份,但这种方式要求网络管理员将每个用户都一一划分在某个VLAN中,在一个大规模的VLAN中,这就有些困难。
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 1)IEEE 802.1q协议 IEEE 802.1q协议为标识带有VLAN成员信息的以太帧建立了一种标准方法,主要用来解决如何将大型网络划分为多个小网络,从而广播和组播流量就不会占据更多带宽的问题。支持IEEE 802.1q的交换端口可被配置来传输标签帧或无标签帧。一个包含VLAN信息的标签字段可以插入到以太帧中。如果端口与支持IEEE 802.1q的设备(如另一个交换机)相连,那么这些标签帧可以在交换机之间传送VLAN成员信息,这样VLAN就可以跨越多台交换机。
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 1)IEEE 802.1q协议
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 1)IEEE 802.1q协议 TPID:标记协议标识字段,占2个字节,值为0x8100时,则表明帧包含802.1Q标记。 TCI:标签控制信息字段,包括帧优先级(Priority)、规范格式指示器(CFI)和VLAN号(VLAN ID)。其中“Priority”占3个bit,用于指定帧的优先级; CFI占1个bit,常用于指出是否为令牌环帧;“VLAN ID”(简称VID)是对VLAN识别的字段,该字段为12位,支持4096(2^12)个VLAN的识别。
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 2)交换机的端口 对于使用IOS的交换机,交换机的端口(port)通常也称为接口(interface)。交换机的端口按用途分为访问连接(Access Link)端口和主干链路(Trunk Link)端口两种。访问连接端口通常用于连接交换机与计算机,以提供网络接入服务。该种端口只属于某一个VLAN,并且仅向该VLAN发送或接受无标签数据帧。主干链路端口属于所有VLAN共有,承载所有VLAN在交换机间的通信流量,只能传输带标签数据帧。通常用于连接交换机与交换机,交换机与路由器。
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 3)VLAN交换机数据的传输过程 当VLAN交换机从工作站接收到数据后,会对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较后,确定数据去向,如果数据要发往一个VLAN设备(VLAN-aware),一个VLAN标识就被加到这个数据上,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发送不带VLAN标识的数据。
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 3)VLAN交换机数据的传输过程 下图1-2-3所示是一个跨交换机的VLAN的数据传输过程。其中,VLAN 1中的PC1向PC2发送信息的详细过程如下: (1)PC1构造一个目标地址为PC2的普通以太网数据帧,并发送到交换机SW1; (2)SW1查MAC地址表发现PC2不在MAC地址表中,于是将信息广播至SW1的所有端口(因Trunk口只能接收带标签的数据帧,所以SW1先为数据帧加上标签后,才将其发送至Trunk口); (3)SW1的Trunk口进一步将信息传送到SW2的Trunk口;
【教学过程】-相关知识 2.1 VLAN类型及原理 3.VLAN技术原理 3)VLAN交换机数据的传输过程 (4)SW2的Trunk口收到数据包后,查MAC地址表找到了与数据包MAC地址相匹配的记录; (5)因PC2只能接受普通以太网数据帧,SW2先将数据帧中的标签去掉,然后再按MAC地址表将数据包发送到与PC2相连的端口,最后传送到PC2。 PC1 PC21 SW1 SW2 图1-2-3 跨交换机VLAN的数据传输过程
【教学过程】-相关知识 2.2 VLAN配置 1.创建VLAN 方法一:创建VLAN的配置命令在全局配置模式下运行,其用法为: switch(config)#vlan vlan-id switch(config-vlan)#name vlan-name 方法二:创建VLAN的配置命令在VLAN数据库模式下运行,其用法为: Switch#vlan database //进入VLAN数据库模式 Switch(vlan)#vlan vlan-id name vlan-name 其中,vlan-id代表要创建的VLAN的序号,vlan-name代表该VLAN的名字,为可选项。默认情况下,交换机会自动创建和管理VLAN 1,所有交换机端口默认均属于VLAN 1,用户不能删除VLAN 1。
【教学过程】-相关知识 2.2 VLAN配置 2.划分VLAN端口 1)选择接口 (1)选择单个接口 在全局配置模式下,执行interface命令,即可选择接口(端口)进入接口配置模式(在该模式下,可对选定的接口进行配置,并且只能执行配置交换机接口的命令)。该命令行提示符为: Switch(config)#interface type mod_num/port_num Switch(config-if)#
【教学过程】-相关知识 2.2 VLAN配置 2.划分VLAN端口 其中,“type”代表端口类型,通常有Ethernet(以太网端口,通信速度为10Mbit/s)、FastEthernet(快速以太网端口,100Mbit/s)、GigabitEthernet(吉比特以太网端口,1000Mbit/s)和TenGigabitEthernet(万兆以太网端口);这些端口类型通常可简约表达为e、fa、gi和tengi;“mod_num/port_num”代表端口所在的模块和在该模块中的编号。 例如,选择交换机的0号模块的第3个快速以太网端口: Switch(config)#interface fastethernet 0/3(fastethernet 0/3也可简写成f0/3) Switch(config-if)#
【教学过程】-相关知识 2.2 VLAN配置 2.划分VLAN端口 (2)选择多个接口 若选择多个端口,对于Cisco 2950、Cisco 2960和Cisco 3560交换机,支持使用range关键字,来指定端口范围,并对这些端口进行统一的配置。同时选择多个交换机端口的配置命令为: Switch(config)#interface range type mode/startport–endport Switch(config-if-range)# Startport代表要选择的起始端口号,endport代表结尾的端口号,用于代表起始范围的连字符“-”的两端,应注意留一个空格,否则命令将无法识别。
【教学过程】-相关知识 2.2 VLAN配置 2.划分VLAN端口 2)将接口加入VLAN Switch(config-if(-range))#switchport mode access //将端口(组)设置成access模式(二层交换机端口默认是access模式,此句可以省略) Switch(config-if)#switchport access vlan vlan-id //将端口(组)加入vlan(vlan-id代表VLAN的序号,表示将端口划入哪一个VLAN) 3)将接口设置为trunk模式 Switch(config-if)#switchport mode trunk //将端口设置成trunk模式
【教学过程】-相关知识 2.2 VLAN配置 2.划分VLAN端口 2)将接口加入VLAN Switch(config-if(-range))#switchport mode access //将端口(组)设置成access模式(二层交换机端口默认是access模式,此句可以省略) Switch(config-if)#switchport access vlan vlan-id //将端口(组)加入vlan(vlan-id代表VLAN的序号,表示将端口划入哪一个VLAN) 3)将接口设置为trunk模式 Switch(config-if)#switchport mode trunk //将端口设置成trunk模式
【教学过程】-相关知识 2.2 VLAN配置 3.显示VLAN信息 若要显示VLAN信息,可在特权模式下使用如下命令: Switch#show vlan、 4.VLAN配置实例 例1:现有1台Cisco Catalyst 2960-24TT交换机,两台PC机。PC1(192.168.1.1)和PC2(192.168.1.24)连接在同一台交换机上,但是处在不同的VLAN中。测试两台计算机的连通性,并加以显示和验证,同时说明其中的道理。实验拓扑如图1-2-5所示: 图1-2-5 例1连接拓扑图
【教学过程】-相关知识 2.2 VLAN配置 3.显示VLAN信息 若要显示VLAN信息,可在特权模式下使用如下命令: Switch#show vlan、 4.VLAN配置实例 例2:现有2台Cisco Catalyst 2960-24TT交换机,3台PC。PC1(192.168.1.1)和PC2(192.168.1.2)连接到同一台交换机机上,但是处在不同的VLAN中,PC3(192.168.1.3)连接到另一台的交换机上。要求PC1能与PC3互相通信,PC2不能与PC3互相通信,并加以显示和验证,同时说明其中的道理。拓扑连接如图1-2-11所示: 图1-2-11 例2连接拓扑图
【教学过程】-相关知识 2.2 VLAN配置 5.VLAN中继(VTP) VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议,是思科私有协议。主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
【教学过程】-相关知识 2.2 VLAN配置 5.VLAN中继(VTP) 2)VTP的三种工作模式 VTP有三种工作模式:VTP Server、VTP Client 和 VTP Transparent。 (1)VTP Server 新交换机出厂时的默认配置是预配置为VLAN1,VTP 模式为服务器。 一般,一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表,VTP Server可以建立、删除或修改VLAN,发送并转发相关的通告信息,同步vlan配置,会把配置保存在NVRAM中。
【教学过程】-相关知识 2.2 VLAN配置 5.VLAN中继(VTP) (2)VTP Client VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN,但可以转发通告,同步vlan配置,不保存配置到NVRAM中。 (3)VTP Transparent VTP Transparent相当于是一项独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息,同时会转发通告并把配置保存到NVRAM中。
【教学过程】-相关知识 2.2 VLAN配置 5.VLAN中继(VTP) 3)VTP的基本配置 VTP的配置要在VLAN数据库模式下完成。要在交换机中激活启动VTP,应先创建VTP管理域(一个域中域名只创建一次即可,一般在VTP server设置),然后再设置VTP的工作模式和密码,并且要做到所有交换机相连的接口都设置为trunk。 (1)创建VTP管理域 Switch(vlan)#vtp domain domain_name 其中,domain_name代表要创建的VTP管理域。注意该域名称是区分大小写的,VTP域名不会隔断广播域,仅用于同步VLAN配置信息。 (2)设置VTP模式 Switch(vlan)#vtp [server|client|transparent] Switch#show vtp status
【教学过程】-相关知识 2.2 VLAN配置 5.VLAN中继(VTP) 3)VTP的基本配置 (3) 设置VTP密码 Switch(vlan)#vtp password password 其中,password表示VTP真实密码。 (4)查看VTP信息 Switch#show vtp status
【教学过程】-任务完成 1.用LAN组建内部网络 1)子网物理规划 根据各部门包含信息点的情况可以考虑通过下接低档次交换机、Hub,或者直接连接到二层交换机上几种方式实现各部门计算机的接入。 2)内网拓扑补全 3)子网物理连接 4)子网地址规划 5)子网设备IP使用
【教学过程】-任务完成 2.连通性测试与分析 PC1 ping PC2和PC3都不通(反之亦然),原因是它们虽然连接在物理上相互连通的局域网中,但它们并不在同一个网段上;而PC2与PC3既连接在物理上相互连通的局域网中,又处在同一个逻辑网段上,所以它们能相互ping通。 3.在各交换机上创建相应VLAN AAA公司总部内网中有三台交换机,可以在每个交换机上分别创建5个VLAN,也可以使用VTP进行VLAN中继,减少工作重复,这里采用后一种情况。
【教学过程】-任务完成 详细步骤: 1)SW3配置 (1)配置VTP server SW3#conf t SW3(config)#vlan database //创建域名为“AAA”的VTP管理域 //设置VTP的工作模式为“server模式” SW3(vlan)#vtp password 123 SW3(vlan)#exit
【教学过程】-任务完成 详细步骤: (2)创建各VLAN //在交换机SW3上创建“vlan 10” //将“vlan 10”命名为“Marking” //在交换机SW3上创建“vlan 20” //将“vlan 20”命名为“Finance” //在交换机SW3上创建“vlan 30” //将“vlan 30”命名为“HR” //在交换机SW3上创建“vlan 40” //将“vlan 40”命名为“CEO” //在交换机SW3上创建“vlan 100” //将“vlan 40”命名为“IT” SW3(config-vlan)#exit
【教学过程】-任务完成 详细步骤: (3)SW3(config-if-range)#switch mode access //思科三层交换机端口默认是auto模式,这种模式不可以直接转换为trunk模式,要想将其转换为trunk模式,必须先将其设置为access才可以。 //设置端口模式为trunk 2)SW1配置 (1)配置VTP client SW1#conf t SW1(config)#vlan database
【教学过程】-任务完成 详细步骤: //设置SW1为client,并自动加入到AAA域中 SW1(vlan)#vtp password 123 SW1(vlan)#exit //查看VTP的状态信息 (2)查看VLAN继承结果 //查看VLAN继承结果 3)SW2配置 配置VTP client SW2#conf t SW2(config)#vlan database
【教学过程】-任务完成 详细步骤: //设置SW2为client,并自动加入到AAA域中 SW2(vlan)#vtp password 123 SW2(vlan)#exit SW2# 4.将接口加入VLAN (1) 将交换机SW1 上的F0/5~F0/10作为access口加入VLAN10,F0/20~F0/22作为access口加入VLAN100。 SW1#conf t SW1(config)#interface range f0/5-10
【教学过程】-任务完成 详细步骤: //设置端口模式为access //将端口加入“vlan 10” SW1(config)#interface range f0/5-10 //将端口加入“vlan 100” SW1(config-if-range)#end SW1# (2)将交换机SW2上的F0/5~F0/10作为access口加入VLAN10,F0/20~F0/22作为access口加入VLAN100。 方法与SW1完全相同。
【教学过程】-任务完成 详细步骤: 5.通信验证 PC1 ping PC2和PC3都 [通/不通](反之亦然),原因是 。PC2与PC3相互ping [通/不通],原因是 。
【教学过程】-评价任务 1、任务展示 2、个人评价 3、组间互评 4、教师总评
【教学过程】-任务小结 本任务主要介绍了VLAN的基本理论和相关操作。通过在交换机上划分VLAN,可以将一个大的局域网划分成若干个网段,每个网段内所有主机间的通信和广播仅限于该VLAN内,广播帧不会被转发到其他网段。VLAN间是不能进行直接通信的,这就实现了对广播域的分割和隔离。 通过对本任务的学习,要求了解VLAN产生的原因,理解VLAN的功能和工作原理,熟练掌握通过VTP创建和继承VLAN方法,以及向VLAN中添加接口的方法,能完成连通性测试并能明白其中的道理。 操作中注意VTP server和 VTP client两端密码要一致。
【教学过程】-知识拓展 1.删除VLAN 删除VLAN时,必须确认这个VLAN的任何端口都处于不活动状态。然后使用如下命令: Switch(vlan)#no vlan vlan-id 其中,vlan-id是要删除的vlan的序号。 例如:下面我们要删除例1中的VLAN10,则配置命令为: Switch>enable Switch#configure terminal Switch(config)#no vlan 10 //删除VLAN10 这样删除后,我们再执行switch#show vlan命令就看不到vlan10的信息了(如图1-2-18所示)。但是,如果我们执行switch#show run命令,却发现vlan10还在那里,并且端口f0/1还在被删除的vlan10里(如图1-2-19所示)。
【教学过程】-知识拓展 1.删除VLAN 图1-2-18 删除VLAN10后的信息
【教学过程】-知识拓展 1.删除VLAN 图1-2-19 删除VLAN10后的信息
【教学过程】-知识拓展 1.删除VLAN 那么,如何才能将VLAN10彻底删除呢?我们可以先删除接口f0/1,再删除VLAN10。具体配置命令如下: Switch#config t Switch(config)#interface f0/1 Switch(config-if)#no switchport access vlan 10 //删除接口 Switch(config-if)#exit Switch(config)#no vlan 10 Switch(config)#end 执行完上述命令,下面我们再执行switch#show run命令,你会发现这次VLAN10被彻底删除了,如图1-2-20所示。
【教学过程】-知识拓展 1.删除VLAN 图1-2-20 彻底删除VLAN10后的信息
【随堂实训】 实训任务2:搭建内部子网 现有两台Cisco Catalyst 2960-24TT交换机、3台PC。PC1(192.168.2.1)和PC2(192.168.2.2)连接到同一交换机上,但是处在不同的VLAN中,PC3(192.168.2.3)连接到另一台交换机上。要求PC1不能与PC2互相通信,PC1能与PC3通信,并加以显示和验证。实验拓扑如图1-2-21所示:
【随堂实训】 实训任务2:搭建内部子网 图1-2-21 实训拓扑图
【随堂实训】 实训任务2:搭建内部子网 实训要求:根据上面的拓扑结构图搭建网络,完成下面的各项实训任务。 1.配置两台交换机的主机名分别为benbu和fenxiao。 2. 创建VTP管理域cqddvtpdomain,并将交换机benbu设置为VTP服务器,将交换机fenxiao设置为VTP Client工作模式。 3. 在名为benbu的交换机上创建id号为2.3.4的3个VLAN,VLAN的名称分别为student、teacher和office。 4.查看fenxiao交换机上的VLAN信息。
【随堂实训】 实训任务2:搭建内部子网 实训要求:根据上面的拓扑结构图搭建网络,完成下面的各项实训任务。 5.将benbu交换机的2~6号端口和fenxiao交换机的2~4号端口划入VLAN2,将benbu交换机的7~9号端口和fenxiao交换机的5~9号端口划入VLAN3,将benbu交换机的10~12号端口和fenxiao交换机的10~12号端口划入VLAN4。 6.将交换机benbu的F0/24端口设置为trunk端口,将交换机fenxiao的F0/24端口设置为trunk端口。 7.查看VTP 信息。 8.测试连通性。