VLAN技术
VLAN技术原理及其在校园网的应用简介
当前交换技术的迅速发展,也加快了虚拟子网技术(VLAN—Virtual Local Area Network)的应用速度,特别是在当前校园网上的应用更广泛。通过将校园网络划分为虚拟子网(VL AN),可以强化网络管理和网络安全,控制不必要的数据广播。数据广播在网络中起着非常重要的作用,随着校园网内的计算机数量的增加,VOD视频点播在课堂教学上的大量应用,广播包的数量也会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。当校园网络内计算机数超过200台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。
分隔广播域的方式有两种,一是物理分隔,即将一个完整网络物理地一分为二或一分为多,然后通过一个能够隔离广播的网络设备将彼此连接起来。二是逻辑分隔,即将一个大的网络划分为若干个小的虚拟子网,也就是VLAN,各虚拟子网间通过路由设备连接实现通讯。
一、VLAN技术的优点
1、降低移动和变更的管理成本
在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网,如果使用了VLAN,迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的M AC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络管理而言,可以轻松完成变更。假若使用物理手段划分子网,这种迁移所耗费的精力和时间相当可观的。
2、控制广播
由于不同的VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
3、增强网络的安全性
由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
4、网络监督和管理的自动化
网络管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变的更加简单、有效。
二、VLAN实现的途径
1、基于端口的VLAN,就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的计算机具有相同的网络地址,不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中,把一个网络节点迁移时,如果新旧端口不在一个VLAN内,则用户必须对该端口重新设置。对于不同年级、科室互相访问时,可以通过路由器转发,并配合MAC地址的端口过滤,就可以防止非法入侵和IP地址的盗用问题。
2、基于MAC地址的VLAN,这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个VLAN。
3、基于IP地址的VLAN,新增加节点时,无须进行太多配置,交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高,实现最复杂。一旦离开该VLAN,原I P地址将不可用,从而防止了非法用户通过修改IP地址来越权使用资源。
三、VLAN的配置
因为对于不同的交换机,VLAN配置都有差异,并不是所有的交换机都支持VLAN和VLAN 的三个实现途径,有的交换机只支持基于端口的VLAN,而不支持基于MAC地址的VLAN 等。现结合我校的校园网络设备,介绍一下VLAN的配置。
我校的校园网共有节点650个,中心交换机采用Avaya Cajun P580,楼层交换机全部采用Avaya Cajun P334T 48口交换机,电信宽带经CISCO 2621路由器接入校园网。学校按年级、科室共划分7个VLAN,从而有效地控制了网络风暴的产生,提高了网络传输的有效率和网络的安全性。
对于Avaya Cajun P580 三层中心交换机和P334T交换机的采用基于端口的VLAN划分是一个很轻松的事情,该交换机支持WEB和命令行(CLI)界面的管理,特别是WEB界面管理,直观方便,但是不如命令行(CLI)功能强大。由于P580为中心交换机,各楼层间的P334T交换机经千兆光纤与P580相连,因此VLAN的划分一是在P580上直接端口划分,对与P334T交换机连接的光纤端口设置成主干线路,这样在Cajun P334T交换机上可以同时定义多个VLAN,最后通过在P580上设置三层路由协议实现各VLAN之间的通讯。
登陆到P580,进入配置模式设置VLAN:
1、新建VLAN:set vlan vlan_id name vlan_name
2、选择欲配置的接口:interface vlan vlan_id
3、配置该VLAN的IP地址和子网掩码:ip address ip_address subsnet_mask
4、设置三层路由关联,实现VLAN间的通讯:ip vlan vlan_id
5、保存设置:copy run config
P580与P334T相连接的千兆光纤接口设置trunk,以实现交换机之间的互连,P580设置:
1、绑定ieee-802.1q VLAN间通讯协议:set port trunking-format 模块号/端口号ieee-8
02.1q
2、设置主干:set port vlan-binding-mothod 模块号/端口号bingd-to-all
同样对P334T相应的与P580互连端口作Trunk,进入配置模式设置:
1、set port trunking-fromat 模块号/端口号ieee-802.1q
2、set port vlan-binding-method模块号/端口号bind-to-all
这样,交换机互连通讯后,就可以在P334T上划分VLAN了。进入P334T的配置模式,用命令行:set port vlan vlan_id 模块号/端口号,就可以把端口分到相应的VLAN内。
四、结束语
VLAN技术的应用,使网络工作组的划分突破了地理位置的限制,而完全根据管理功能来划分,这种基于工作流的分组模式很适合校园网的教学部门的划分。随着校园网络的规模不断扩大和发展,使VLAN技术在校园网上得到更广泛的应用。
(完整版)子网划分与VLAN技术详解
子网划分与VLAN技术详解 子网划分 子网划分定义:Internet组织机构定义了五种IP地址,有A、B、C三类地址。A类网络有126个,每个A类网络可能有16777214台主机,它们处于同一广播域。而在同一广播域中有这么多结点是不可能的,网络会因为广播通信而饱和,结果造成16777214个地址大部分没有分配出去。可以把基于类的IP网络进一步分成更小的网络,每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后,通过使用掩码,把子网隐藏起来,使得从外部看网络没有变化,这就是子网掩码。 子网掩码 RFC 950定义了子网掩码的使用,子网掩码是一个32位的2进制数,其对应网络地址的所有位置都为1,对应于主机地址的所有位都置为0。由此可知,A类网络的默认子网掩码是255.0.0.0,B类网络的默认子网掩码是255.255.0.0,C类网络的默认子网掩码是255.255.255.0。将子网掩码和IP地址按位进行逻辑“与”运算,得到IP地址的网络地址,剩下的部分就是主机地址,从而区分出任意IP地址中的网络地址和主机地址。子网掩码常用点分十进制表示,我们还可以用网络前缀法表示子网掩码,即“/<网络地址位数>”。如138.96.0.0/16表示B类网络138.96.0.0的子网掩码为255.255.0.0。 路由器判断IP 子网掩码告知路由器,地址的哪一部分是网络地址,哪一部分是主机地址,使路由器正确判断任意IP地址是否是本网段的,从而正确地进行路由。例如,有两台主机,主机一的IP 地址为222.21.160.6,子网掩码为255.255.255.192,主机二的IP地址为222.21.160.73,子网掩码为255.255.255.192。现在主机一要给主机二发送数据,先要判断两个主机是否在同一网段。 主机一 222.21.160.6即:11011110.00010101.10100000.00000110 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.00000000 主机二 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.192即:11111111.11111111.11111111.11000000 按位逻辑与运算结果为:11011110.00010101.10100000.01000000 两个结果不同,也就是说,两台主机不在同一网络,数据需先发送给默认网关,然后再发送给主机二所在网络。那么,假如主机二的子网掩码误设为255.255.255.128,会发生什么情况呢? 让我们将主机二的IP地址与错误的子网掩码相“与”: 222.21.160.73 即:11011110.00010101.10100000.01001001 255.255.255.128即:11111111.11111111.11111111.10000000 结果为11011110.00010101.10100000.00000000 这个结果与主机一的网络地址相同,主机一与主机二将被认为处于同一网络中,数据不
GVRP技术白皮书
GVRP技术白皮书 关键词:GARP,GVRP,属性,注册,VLAN 摘要:GVRP可以实现VLAN的动态配置,本文介绍了GVRP协议的基本原理和典型应用。缩略语: 缩略语英文全名中文解释 GARP Generic Attribute Registration Protocol 通用属性注册协议 GMRP GARP Multicast Registration Protocol 组播属性注册协议 GVRP GARP VLAN Registration Protocol VLAN属性注册协议 MSTP Multiple Spanning Tree Protocol 多生成树协议
目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 技术实现方案 (4) 2.1 概念介绍 (4) 2.1.1 应用实体 (4) 2.1.2 VLAN的注册和注销 (4) 2.1.3 消息类型 (5) 2.1.4 定时器 (6) 2.1.5 注册模式 (7) 2.2 报文结构 (8) 2.3 工作过程 (9) 2.4 应用限制 (12) 3 典型组网应用 (12) 4 展望 (13) 5 参考文献 (13)
1 概述 GARP协议主要用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注 销该属性。GARP作为一个属性注册协议的载体,可以用来传播属性。将GARP协 议报文的内容映射成不同的属性即可支持不同上层协议应用。例如,GMRP和 GVRP: z GMRP是GARP的一种应用,用于注册和注销组播属性; z GVRP是GARP的一种应用,用于注册和注销VLAN属性。 GARP协议通过目的MAC地址区分不同的应用。在IEEE Std 802.1D中将01-80-C2- 00-00-20分配给组播应用,即GMRP。在IEEE Std 802.1Q中将01-80-C2-00-00-21 分配给VLAN应用,即GVRP。 本文仅介绍GVRP的相关知识。 1.1 产生背景 如果需要为网络中的所有设备都配置某些VLAN,就需要网络管理员在每台设备上 分别进行手工添加。如图1所示,Device A上有VLAN 2,Device B和Device C上只 有VLAN 1,三台设备通过Trunk链路连接在一起。为了使Device A上VLAN 2的报 文可以传到Device C,网络管理员必须在Device B和Device C上分别手工添加 VLAN 2。 图1GVRP应用组网 对于上面的组网情况,手工添加VLAN很简单,但是当实际组网复杂到网络管理员 无法短时间内完全了解网络的拓扑结构,或者是整个网络的VLAN太多时,工作量 会非常大,而且非常容易配置错误。在这种情况下,用户可以通过GVRP的VLAN
浅谈VLAN技术(一)
浅谈VLAN技术(一) 摘要:随着网络的不断扩展,接入设备逐渐增多,迫切需要一种技术解决在局域网内部出现的访问冲突与广播风暴一类的问题,VLAN的产生就解决这个问题。本文介绍了VLAN技术的概念、优点,详细描述了VLAN的划分方法,给出了一个简单的公司内部进行VLAN的划分实例。 关键词:VLAN;网络管理 一、VLAN技术概述 VLAN(VirtualLocalAreaNetwork)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备。 二、VLAN的优点 (一)可以控制网络广播 在没有应用VLAN技术的局域网内的整个网络都是广播域,这样就使得网内的一台设备发出网络广播时,在局域网内的任何一台设备的接口都能接收到广播,因此当网络内的设备越来越多时,网络上的广播也就越来越多,占用的时间和资源也就越来越多,当广播多到一定的数量时,就会影响到正常的信息的传送。这样就能导致信息延迟,严重的可以造成网络的瘫痪、堵塞,严重的影响了正常的网络应用,这就是所谓的网络风暴。 在应用了VLAN技术的局域网中,缩小了广播的广播域,在一个VLAN中的广播风暴也不会影响到其他的VLAN,从而有效地减少了广播风暴对局域网网络的影响。 (二)增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而也减轻了因广播包被截获而引起的信息泄露,增强了网络的安全性。 (三)简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络,灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。 三、VLAN的划分方法 (一)根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。不足之处是不够灵活,当一台机器设备需要从一个端口移动到另一个新的端口,但是新端口与旧端口不在同一个VLAN之中时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能使这台设备加入到新的VLAN。 (二)根据MAC地址划分VLAN 这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,就无需对它进行重新配置,自动把它添加到相应的VLAN中。所以,可以认为这种
Selective QinQ技术白皮书
1.1 Selective QinQ 在用户安全章节已经提及通过使用QinQ技术,突破了原来VLAN只能隔离或区分4K用户的局限。通过两层VLAN标签,实现了最多4K*4K用户的隔离和区分,真正可满足城域接入网对用户数目的实际需求。不仅如此,QinQ的外层标签还具有区分用户区域、区分用户业务类型的作用,实现业务处理的层次化。根据外层标签所代表的业务,可把数据包送到相应的业务处理设备去处理。 QinQ一般是在汇聚交换机上实现的,典型的外层标签的叠加是基于端口来加入的。如下图所示,边界交换机在原来含IVLAN数据包的基础上叠加外层标签OVLAN,组成连续的OVLAN、IVLAN组合,而这个OVLAN在通常情况下直接与端口相关,从而只能标识用户区域。当需要进一步区分业务的时侯,仅与端口相关就不够用了,应该根据端口和内层标签的结合信息来加不同的外层VLAN标签。例如在同一接入端口上为普通的上网分配一个外层标签,为大客户接入分配第二个外层标签,为IPTV用户分配第三种外层标签,然后在上层设备上可根据不同的外层标签将数据流送到不同的服务器上去。这种工作方式称为Selective QinQ,因为可同时区分区域和业务,具有很好的应用前景。
中兴的以太网交换机T160G/T64G/T40G以及3906/ 3952/ 3928/ 3206/ 3252/ 3228顺应电信城域网业务发展的要求,开发了Selective QinQ功能,包括以下要点: 1)根据接入物理端口、内层标签的VLAN ID映射外层标签的VLAN ID; 2)对某些内层标签如不需要VLAN ID映射,则根据接入物理端口提供一个缺省的外层标签的VLAN ID; 3)对进入接入物理端口的未加标签的包,可启动过滤功能滤除这些不合法的数据包; 4)根据接入物理端口、内存标签的优先级映射外层标签的优先级; 5)对某些内层标签如不需要优先级映射,则根据接入物理端口提供一个缺省的外层标签的优先级。
VLAN技术原理及方案解析
Vlan技术原理 在数据通信和宽带接入设备里,只要涉及到二层技术的,就会遇到VLAN。而且,通常情况下,VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生,还是已经在这个行业打拼了很多年的前辈,都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题,在工作中也经常被问起关于VLAN的这样或那样的问题,所以,有了想写一点东西的冲动。 大部分童鞋接触交换这门技术都是从思科技术开始的,讨论的时候也脱离不了思科的影子。值得说明的是,VLAN是一种标准技术,思科在实现VLAN的时候加入了自己的专有名词,这些名词可能不是通用的,尽管它们已经深深印在各位童鞋们的脑海里。本文的描述是从基本原理开始的,有些说法会和思科技术有些出入,当然,也会讲到思科交换中的VLAN。 1. 以太网交换原理 VLAN的概念是基于以太网交换的,所以,为了保持连贯性,还是先从交换原理讲起。不过,这里没有长篇累牍的举例和配置,都是一些最基本的原理。 本节所说的以太网交换原理,是针对‘传统’的以太网交换机来说的。所谓‘传统’,是指不支持VLAN。 简单的讲,以太网交换原理可以概括为‘源地址学习,目的地址转发’。考虑到IP层也涉及到地址问题,为了避免混淆,可以修改为‘源MAC学习,目的MAC转发’。从语文的语法角度来讲,可能还有些问题,就再修改一下‘根据源MAC进行学习,根据目的MAC进行转发’。总之,根据个人习惯了。本人比较喜欢‘源MAC学习,目的MAC转发’的口诀。 稍微解释一下。 所谓的‘源MAC学习’,是指交换机根据收到的以太网帧的帧头中的源MAC地址
来建立自己的MAC地址表,‘学习’是业内的习惯说法,就如同在淘宝上买东西都叫‘宝贝’一样。 所谓的‘目的MAC转发’,是指交换机根据收到的以太网帧的帧头中的目的MAC 地址和本地的MAC地址表来决定如何转发,确定的说,是如何交换。 这个过程大家应该是耳熟能详了。但为了与后面的VLAN描述对比方便,这里还是简单的举个例子。 Figure 1-1: |-------------------------------| | SW1 (Ethernet Switch) | |-------------------------------| | | |port1 |port 2 | | |-------| |-------| | PC1| | PC2| |-------| |-------| 简单描述一下PC1 ping PC2的过程:(这里假设,PC1和PC2位于同一个IP网段,IP地址分别为IP_PC1和IP_PC2,MAC地址分别为MAC_PC1和MAC_PC2) 1). PC1首先发送ARP请求,请求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(广播);源MAC=MAC_PC1。 SW1收到该广播数据帧后,根据帧头中的源MAC地址,首先学习到了PC1的MAC,建立MAC地址表如下: MAC地址端口 MAC_PC1 PORT 1 2). 由于ARP请求为广播帧,所以,SW1向除了PORT1之外的所有UP的端
分析VLAN技术概念及划分方法
分析VLAN技术概念及划分方法 一、VLAN技能概述 A, VLAN skills summary VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交流技能根底之上的,经过将局域网内的机器设备逻辑地而不是物理地区分红一个个不一样的网段,以软件办法完成逻辑作业组的区分与办理的技能。VLAN的作用是使得同一VLAN中的成员间能够彼此通讯,而不一样VLAN之间则是彼此阻隔的,不一样的VLAN间的若是要通讯就要经过必要的路由设备。 VLAN ( Virtual Local Area Network ) is a virtual local area network, is a kind of built on the foundation of communication skills, after the equipment will be LAN logical rather than physical area into a different network segment, complete the distinction between logical operations group in software way and management skills. The role of VLAN is to make the members in the same VLAN can communicate with each other, and not the same between VLAN is another barrier, not the same between VLAN
WDS技术白皮书(CN)
WDS 技术白皮书
目录 1应用背景 (1) 2术语解释 (1) 3运用场景 (1) 4实现方式及优点 (2) 4.1WDS桥接的优点: (2) 4.2WDS实现 (3) 4.2.1WDS帧中4 MAC地址概念 (3) 4.2.2新疆WDS场景介绍 (3) 4.2.3新疆WDS场景数据转发流程 (4) 5结论 (5)
1 应用背景 主要应用在布线比较困难或环境比较复杂的场景当中,需要能够将有线数据通过无线网络进行传输; 2 术语解释 WDS: Wireless Distribution System ,无线分布式系统,在无线网络中让不同的AP 之间能够互相通信,充当无线网络中继器的角色; AP: Access Point,无线接入点,用来连接802.11无线工作站与有线骨干网络; BSS:基本服务集(Basic Service Set)。802.11网络的基本组件,每个BSS包含了一组逻辑上彼此关联的工作站; STA:无线工作站,无线终端设备; 3 运用场景 图1 LTE-FI设备与WOA5200桥接场景 新疆lte-fi公交场站AP与公交车上LTE-FI设备之间使用了WDS桥接功能,主要实现将与LTE-FI有线口连接的海信网络摄像头采集到的视频文件通过LTE-FI桥接回传到与场站AP WOA5200后连接的服务器上,由于公交车每天都会进出公交站,不方便布线,通过WDS无线回传解决了多台公交车视频监控文件的无线上传功能,避免布线并且实施方便;
图2哈尔滨驾校CPE回传场景 哈尔滨驾校场景中通过CPE与WOA5200设备进行WDS桥接回传,实现将考试车中视频数据实时传输到监控中心,实现了在移动设备上也能够进行实时监控功能 4 实现方式及优点 4.1 WDS桥接的优点: 能够在复杂环境下快速布网,无需布线,设备安装使用方便,主要用于公交场站,公交站牌, 驾校或室内等环境;
可管理交换机VLAN的几种划分
2007-01-12 11:51 作者: 出处:IT世界网 ( 0 ) 砖 ( 0 ) 好评论 ( 1 ) 条进入论坛 关键词:VLAN划分 阅读提示:其实VLAN即虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 其实VLAN即虚拟局域网(Virtual Local Area Network的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域即VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的 VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网 AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN 不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停地配置。 3.根据网络层划分VLAN
vlan技能技术总结(知识点)
精心整理 第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#intf0/5//进入到端口F0/5 SW2(config-if)#switchportmodeaccess
//设置端口为数据接入模式 SW2(config-if)#switchportport-security //启动端口安全 SW2(config-if)#switchportport-securitymac-address //为本端口绑定MAC地址 练习5:为交换机SW1连接交换机SW2的端口F0/10设置端口安全,允许最大连接数为“3”,安全模式设置为“protect” SW1(config)#intf0/10 SW1(config-if)#switchportmodetrunk SW1(config-if)#switchportport-security
SW1(config-if)#switchportport-securitymaximum3 //允许端口F0/10最多对应3个MAC地址 SW1(config-if)#switchportport-securityviolationprotect 四、组建虚拟局域网 1.首先,这些处于局域网中的个人电脑能够通信。 2. 3. 4. 5. 6. 7.和f0/2收 8.如何让交换机为端口进行分组: 练习6:把交换机SW1端口f0/1和f0/2分到编号是“10”的虚拟局域网,f0/3和f0/4分到编号是“20”的虚拟局域网。 把交换机“SW2”的f0/5和f0/6分到编号是“20”的虚拟局域网。为交换机相连的端口开启“trunk”
华为-VLAN技术白皮书
VLAN技术白皮书 华为技术有限公司 北京市上地信息产业基地信息中路3号华为大厦 100085 二OO三年三月
摘要 本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展,其中包括基于端口的VLAN划分、PVLAN,动态VLAN注册协议,如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展,并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性,并结合每个主题,简要的介绍了系列VLAN技术在实际组网中的应用方式。 关键词 VLAN,PVLAN, GVRP,VTP
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN在交换机上的实现方法,可以大致划分为4类: 1、基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。 3、基于网络层划分VLAN
DA000005 VLAN技术原理ISSUE1.0
课程 DA000005 VLAN技术原理 ISSUE 1.0
目录 课程说明 (1) 课程介绍 (1) 课程目标 (1) 第1章虚拟局域网(VLAN)概述 (2) 1.1 VLAN的产生 (2) 1.2 VLAN的类型 (6) 1.2.1 基于端口的VLAN (6) 1.2.2基于MAC地址的VLAN (7) 1.2.3基于协议的VLAN (8) 1.2.4基于子网的VLAN (9) 第2章 IEEE802.1Q协议 (10) 2.1 协议概述 (10) 2.2 VLAN帧格式 (11) 2.3 VLAN链路 (12) 2.3.1 VLAN链路的类型 (12) 2.3.2 VLAN帧在网络中的通信 (14) 2.3.3 Trunk和VLAN (15)
课程说明 课程介绍 本课程介绍虚拟局域网(VLAN)的原理,VLAN 在功能和操作上与传统LAN 基本相同,可以提供一定范围内终端系统的互联。IEEE于1999年颁布了用 以标准化VLAN实现方案的802.1Q协议标准草案。 课程目标 完成本课程的学习后,您应该能够: ●了解VLAN 产生的原因 ●了解划分VLAN的方法 ●掌握VLAN的帧格式 ●掌握以太网帧在通信过程中的变化
第1章虚拟局域网(VLAN)概述 1.1 VLAN的产生 传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。 所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域。任何 一台主机发出的报文都会被同一冲突域中的所有其它机器接收到。后来,组 网时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一 根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大 提高,极大地提高了二层网络的性能。但是网络中所有端口仍然处于同一个 广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网 络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报 文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的 问题。 由于网桥二层网络工作原理的限制,网桥对广播风暴的问题无能为力。为了 提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个 小的广播域。
关于路由器VLAN的划分应用
关于路由器VLAN的划分应用 VLAN的划分应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配臵方法。 这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。 一、对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 二、从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。 三、基于MAC地址划分VLAN,根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配臵他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN 交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网
络用户从一个物理位臵移动到另一个物理位臵时,自动保留其所属VLAN的成员身份。 四、由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位臵移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配臵,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配臵,如果有几百个甚至上千个用户的话,配臵是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低。 五、因为在每一个交换机的端口都可能存在很多个VLAN 组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配臵,VLAN按网络层协议来划分,这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。 六、这种方法的优点是用户的物理位臵改变了,不需要重新配臵所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加
vlan技术(知识点)
第二周:局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说,需要“直连线”网线把本身独立的个人电脑,连接到“交换机”上。 2.从软件的角度来说,需要连接到局域网的个人电脑,拥有IP地址。 (1)IP地址的分配,首先要求处于同一个局域网的个人电脑拥有相同的网络位。 (2)其次在拥有相同的网络位的前提先,必须拥有不同的主机位。 (3)处于同一个局域网的电脑拥有相同的“子网掩码”。练习1:组建局域网,局域网中拥有四台电脑,局域网处于192.168.1.0网络中,子网掩码是255.255.255.0 四台电脑的IP地址的主机位分别是“1”、“2”、“3”、“4”。 二、组建多台交换机组成的局域网 1.要求首先每个交换机都能够通过连接,实现自己建立的局域网。 2.交换机之间需要通过“反线”的网线进行连接。 3.多台交换机连接的个人电脑必须处于同一个网段。拥有相同的网络位,不同的主机位,相同的子网掩码。 练习2:组建由两台交换机组成的局域网,网络地址如练习1。
三、端口安全 练习3:为交换机SW2的端口f0/5,设置端口安全,绑定PC5,的mac地址,安全模式设置为“shutdown” SW2(config)#int f0/5 //进入到端口F0/5 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全 SW2(config-if)#switchport port-security mac-address 0010.1158.ECEA //为本端口绑定MAC地址 SW2(config-if)#switchport port-security violation shutdown //设置控制规则为遇到非绑定的MAC地址的数据包的时候,关闭端口。 练习4:为交换机SW2的端口f0/6设置端口安全,绑定PC6的mac地址,安全模式设置为“protect” SW2(config)#int f0/6 //进入端口 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全
华为802.1X技术白皮书
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1