.,小型企业网络解决方案,主讲：郭登科,.,越来越多的企业拥有自己的远程站点，这些网点都需要和总部联系，需要和互联网联系。 企业的远程站点规模变大，为了安全和方便管理。 小企业的大量出现。,背景,.,企业网络远程接入站点,.,5.1 小型企业网组网需求,.,小型企业网络组网需求分析,业务类型 Internet业务 企业内部业务 IP通信业务 流量访问模型 本地访问 远程访问 用户接入需求 用户接入数量不大（几十个信息点） 组网原则 一般可靠性 性价比,.,小型企业网络组网方案,网络拓扑：一层模型的星型结构，通过级联交换机来扩展网络接入容量。接入交换机连接用户信息点和边界路由器。 设备：接入交换机：Cisco29XX系列，边界路由器：Cisco 1800/2800系列 链路：快速以太网技术 技术：VLAN、Trunk、VTP，单臂路由,.,5.2 局域网业务隔离,.,业务隔离的必要性,技术需要 交换机替代HUB减小了冲突域 二层交换机不能阻隔广播域 二层交换网络规模越大，广播危害也严重 路由器可以阻隔广播，但是会成为性能瓶颈 业务接入需要 按照部门分组接入 业务安全需要 将特殊流量与一般流量分开 用户接入灵活、易扩展 交换机业务隔离技术 VLAN,.,广播域可以跨网段，而冲突域只是发生的同一个网段的。,冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧 广播域：网络中能接收任一设备发出的广播帧的所有设备的集合,冲突域是基于第一层（物理层） 而广播域是机于第二层（数据链路层）,HUB 所有端口都在同一个广播域、冲突域内。 Swith所有端口都在同一个广播域内，而每一个端口就是一个冲突域。,.,LAN与VLAN,一台物理交换机在逻辑上分割成若干台虚拟交换机,LAN LAN是指相同广播域内的所有设备，这些设备可以发送广播帧，而相同LAN内的所有其他设备都可以获得该广播帧的一份拷贝。 二层交换机默认时，所有端口都属于相同LAN VLAN 交换机创建的广播域 VLAN相当于一个逻辑上的网桥 VLAN直接二层隔离 交换机默认所有端口属于VLAN1 VLAN间通信必须经过三层设备,.,网络设备的域,.,冲突域与广播域,广播域指接收同样广播消息的节点的集合，如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分 交换机分割冲突域，但是不分割广播域，即交换机的所有端口属于同一个广播域,. . . .,广播域,广播域,冲突域,冲突域,广播,.,VLAN分割广播域,广播域,广播,VLAN 1,VLAN 2,广播域,.,VLAN规划,VLAN划分原则 按业务划分（VoIP） 按部门划分 按广播域大小划分 按网络物理位置划分 VLAN划分方法 根据端口划分VLAN 根据MAC地址划分VLAN 根据用户认证授权划分VLAN VLAN与IP子网一一对应 管理VLAN划分,.,基于端口划分的静态VLAN,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port 1,VLAN 5,Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,.,基于MAC地址划分的动态VLAN,VLAN表,MAC地址,所属VLAN,MAC D,VLAN 10,VLAN 5,VLAN 10,VLAN 5,主机A,主机B,主机C,主机D,以太网交换机,MAC A,MAC B,MAC C,MAC D,VMPS服务器 （vlan管理策略服务器）,当主机发送数据帧，交换机查看了数据帧的源MAC地址后，才能判断主机属于哪个VLAN,当一个帧到达动态端口时，交换机根据帧的源地址查询VMPS，获取相应的VLAN分配,.,Cisco交换机上静态VLAN的配置,配置VLAN的步骤 创建VLAN 将端口加入到相应的VLAN中 验证,.,创建VLAN,创建VLAN有以下2种方法 在全局配置模式下创建VLAN 进入VLAN数据库中创建VLAN,.,在全局配置模式下创建VLAN,Switch(config)#vlan vlan-id Switch(config-vlan)#name vlan-name,添加一个VLAN,给VLAN命名，此命令可选,.,进入VLAN 数据库创建VLAN,Switch#vlan database Switch(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 Switch(vlan)#exit APPLY completed. Exiting.,进入VLAN database,添加VLAN 2,如果不给VLAN指定名称，交换机自动添加VLAN 2的名称为默认的VLAN0002,保存退出,.,删除已创建的VLAN,Switch#vlan database Switch(vlan)#no vlan 2 Deleting VLAN 2. 或： Switch(config)#no vlan 2,如果配置错误，或配置修改，需要删除VLAN时。 需要注意的是：确定这个VLAN中不包含任何的端口,.,将端口加入VLAN,Switch(config)# interface f0/1 Switch(config-if)# switchport access vlan vlan-id Switch(config-if)# no switchport access vlan vlan-id 也可以同时将多个端口添加到某个VLAN中： Switch(config)# interface range f0/1 10 Switch(config-if-range)# switchport access vlan vlan-id,进入接口配置模式,将接口添加到某个VLAN中,将接口从某个VLAN中删除,.,验证VLAN的配置,Switch# show vlan brief Switch# show vlan id vlan-id,查看所有VLAN的摘要信息,查看指定VLAN的信息,.,VLAN配置实例,Switch#vlan database Switch(vlan)#vlan 2 name v2 VLAN 2 added: Name: v2 Switch(vlan)#exit APPLY completed. Exiting. Switch#config terminal Switch(config)#interface range f0/5 - 10 Switch(config-if-range)#switchport access vlan 2,.,查看VLAN配置,Switch#show vlan brief VLAN Name Status Ports - - - - 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 2 v2 active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active,.,5.3 跨越交换机部署VLAN,.,跨越多个交换机的VLAN,.,VLAN标识,交换机给每个去往其他交换机的数据帧打上VLAN标识,VLAN 1,VLAN 2,VLAN 3,VLAN 1,VLAN 2,VLAN 3,中继链路（Trunk）,接入链路（Access）,VLAN 1标记,VLAN 3标记,.,Trunk与Access端口,Trunk端口 一条物理链路同时承载多个VLAN的数据 默认时属于所有VLAN 必须100M以上端口 连接交换机-交换机，交换机-路由器，交换机-服务器 Access端口 仅属于某个特定VLAN 连接交换机-终端，交换机-路由器，交换机-服务器,.,Trunk与Access端口（续）,.,VLAN中继Trunk,Trunk的封装格式：ISL、dot1Q ISL是Cisco专用的标准。 在以太网报文中增加了26byte作为VLAN tag. Dot1Q是IEEE制订的标准802.1Q，几乎所有的厂商设备都支持。 在以太网报文中增加了4byte作为VLAN tag. 802.1Q 标签帧比ISL 标签帧包含更少的域，因为它是在标准以太网帧中插入4个字节的tag帧而不是放入标签头部信息。,.,IEEE802.1Q的工作原理和帧格式21,中继链路,接入链路,802.1Q 标记 4字节,.,dot1Q封装格式,标准以太网帧,TCI,带有IEEE802.1Q标记的以太网帧,IEEE802.1Q的帧格式,.,dot1Q封装格式,标记协议标识符（TPID） 是被全局分配的。定义值为0 x8100，表明一个帧是802.1Q VLAN数据帧。 标记控制信息（TCI） 用户优先级（priority）：该域用来标记帧穿过交换机时携带用户优先级信息，主要是802.1p 使用（qos里面有介绍）。其长度为3，取值从0-7。 规范格式指示器（CFI）：cfi值为0说明是规范格式 ，如运行802.3数据帧 ，为1说明是非规范格式（用在令牌环/FDDI介质访问方法中）。其长度为1。 VLAN ID ：标识帧所属的VLAN ，其长度为12，可以标识4096个VLAN从04095 。,.,Cisco ISL工作原理和帧格式31,中继链路,VLAN 2,接入链路,ISL头 26字节,CRC 4字节,.,Cisco ISL工作原理和帧格式32,26字节ISL头,4字节ISL尾,.,.,dot1Q Trunk特性,tag和untag 在trunk中，有两情形的数据，打上VLAN tag和没有VLAN tag（untag）的数据。 Tag数据:需要在trunk中透传的数据带有VLAN tag，在不同交换机中相同vlan tag的数据即是同一个VLAN。 Untag数据：在trunk中，untag数据不带VLAN tag，交换机从trunk上发送native vlan的数据时，将数据以untag方式发送到trunk。 native VLAN Native vlan就是本地VLAN，交换机上每个端口都有一个Native vlan。在Cisco交换机和华为交换机上默认native VLAN为VLAN 1。,.,Trunk端口配置方法,DTP自动协商 自动协商由DTP协议管理 自动协商的端口都属于同一VTP域 switchport mode dynamic auto switchport mode dynamic desirable switchport mode trunk Access端口 禁止DTP协商，禁止Trunk，将端口设置为终端接入模式 switchport mo