Скачать презентацию Security Level VLAN原理 ISSUE 1 0 www huawei
d7a3058ba521bc84b052d181fcb505cc.ppt
- Количество слайдов: 61
Security Level: VLAN原理 ISSUE 1. 0 www. huawei. com HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential
l VLAN的产生为传统的LAN网络注入了 新的活力,引起了LAN应用的一场变革。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
学习指南 l 本课程主要针对VLAN相关的技术和应用进行讲解。 l 共分四章,其中第一章为基础,第二章是VLAN学习 的重点,第三、四章除VLAN特性部分需要会配置, 其它内容作为了解。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
参考资料 l IEEE 802. 1 Q l IEEE 802. 1 D l RFC 3096 l VRP手册 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
l 学习完此课程,您将会: [ 掌握VLAN的基本概念 [ 掌握VLAN的网络功能 [ 了解VLAN动态注册协议 [ 了解VLAN的网络应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
第 1章 VLAN的基本概念 第 2章 VLAN的网络功能 第 3章 VLAN动态注册协议 第 4章 VLAN的网络应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的产生 广播 HUAWEI TECHNOLOGIES CO. , LTD. …… HUAWEI Confidential Page
通过路由器将网络分段 路由器 广播 HUAWEI TECHNOLOGIES CO. , LTD. …… HUAWEI Confidential Page
通过VLAN划分广播域 1 VLAN 10 广播域 2 VLAN 20 广播域 3 VLAN 30 程部 财务部 市场部 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的优点 l 隔离广播域,抑制广播报文. l 分隔不同用户, 提高网络安全性. l 虚拟 作组, 超越传统网络的 作方式. HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
IEEE 802. 1 Q概述 VLAN架构 IEEE 802. 1 Q VLAN提供的服务 VLAN涉及的协议和算法 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的帧格式 DA SA Type Data CRC 标准以太网帧 DA SA tag Type Data CRC TCI TPID Priority CFI VLAN ID 带有IEEE 802. 1 Q标记的以太网帧 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
基于端口的VLAN表 以太网交换机 端口 Port 1 主机A 主机B 主机C HUAWEI TECHNOLOGIES CO. , LTD. …… VLAN 5 …… Port 10 VLAN 10 …… Port 7 Port 2 VLAN 5 …… Port 1 所属VLAN 10 主机D HUAWEI Confidential Page
基于MAC地址的VLAN 以太网交换机 VLAN表 MAC地址 MAC A MAC B 主机B MAC B 主机C MAC C HUAWEI TECHNOLOGIES CO. , LTD. VLAN 5 VLAN 10 MAC C MAC D 主机A MAC A 所属VLAN 5 VLAN 10 主机D MAC D HUAWEI Confidential Page
基于协议的VLAN 以太网交换机 VLAN表 协议类型 IPX协议 使用IPX协议 运行IP协议 主机C VLAN 10 …… 主机B VLAN 5 IP协议 主机A 所属VLAN …… 主机D 使用IPX协议 运行IP协议 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
基于子网的VLAN 以太网交换机 VLAN表 IP网络 IP 1. 1. 1. 0/24 IP 1. 1. 2. 0/24 …… 主机A 主机B 主机C 1. 1. 2. 88 1. 1. 1. 8 VLAN 5 VLAN 10 …… 主机D 1. 1. 1. 5 所属VLAN 1. 1. 2. 99 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
第 1章 VLAN的基本概念 第 2章 VLAN的网络功能 第 3章 VLAN动态注册协议 第 4章 VLAN的网络应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的网络功能 l 二层交换 l 三层路由 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
Access Link和Trunk Link 干道链路 接入链路 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
三种端口类型 l Access端口:以untagged形式属于一个VLAN l Trunk端口:以tagged形式属于一个或多个VLAN l Hybrid端口:以untagged形式属于某些VLAN,同时以tagged形式 属于另外一些VLAN. HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN与二层交换 l VLAN在一个交换机内部实现二层交换 VLAN HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential MAC Page 端口
VLAN与二层交换 l VLAN跨交换机实现二层交换 VLAN 2标签报文 非标签报文 Trunk 端口 VLAN 2 HUAWEI TECHNOLOGIES CO. , LTD. Trunk 端口 VLAN 2 HUAWEI Confidential Page
VLAN 与三层路由 VLAN 100 VLAN 200 VLAN 300 l VLAN在隔离广播的同时也限制了各个VLAN之间的数据流,分属不 同VLAN的用户不能通过二层交换机实现通信。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN与三层路由 VLAN 100 VLAN 200 VLAN 300 l VLAN之间的用户要实现通信, 需要使用三层路由,通过路由将报文 从一个VLAN转发到另外一个VLAN。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN与三层路由 VLAN 100 VLAN 200 1. 10/24 Ping 2. 20 非本地通信 使用默认网关 2. 20/24 网络 1. 1. 1. 0/24在接口 1 网络 2. 2. 2. 0/24在接口 2 l 在主机上配置默认网关,对于非本地的通信,主机会自动寻找默认 网关,并把报文交给默认网关转发而不是直接发给目的主机。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN与三层路由 VLAN TRUNKING VLAN 3标签报文 VLAN 2标签报文 非标签报文 VLAN 2 VLAN 3 1. 1. 1. 2/24 2. 1. 1. 2/24 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
交换和路由的集成 VLAN 100 VLAN 200 VLAN 300 l 二层交换机上和路由器在功能上的集成构成了三层交换机,三层交 换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN 间路由的功能。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
三层交换机功能模型 ETH 0: 10. 110. 0. 254/24 ETH 2: 10. 110. 2. 254/24 ETH 1: 10. 1. 254/24 10. 110. 0. 113/24 G: 10. 110. 0. 254 HUAWEI TECHNOLOGIES CO. , LTD. 10. 1. 69/24 10. 1. 88/24 G: 10. 110. 1. 254 HUAWEI Confidential 10. 110. 2. 200/24 G: 10. 110. 2. 254 Page
三层交换机中的路由和二层交换 l 二层交换引擎:实现同一网段内的快速二层转发 l 三层路由引擎:实现跨网段的三层路由转发 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
报文到报文的三层交换技术 3 3 2 2 1 1 l 传统三层技术对每个报文进行处理,并基于第三层地址转发报文。 这一方法称为报文到报文(PXP)。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
基于流交换的三层交换技术 3 3 2 2 1 1 l 不在三层处理所有报文的的方法称之为流交换(FS)。 第一个报文 后续报文 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
最长匹配算法 网络地址 子网掩码 接口编号 其他 10. 111. 0. 0 255. 0. 0 3 . . . 10. 111. 1. 0 255. 0 2 . . . 10. 119. 0. 0 255. 0. 0 2 . . . Intf 1 Intf 2 DA: xx-xx-xx-xx SA: xx-xx-xx-xx DA: xx-xx-xx-xx Intf 3 SA: xx-xx-xx-xx . . . SIP: 10. 110. 0. 113 DIP: 10. 111. 1. 88 . . . HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
精确匹配算法 网络地址 路由接口 端口号 其他 10. 111. 1. 88 1 2 . . . 10. 111. 1. 99 1 2 . . . 10. 119. 6. 199 3 3 . . . Port 1 Port 2 DA: xx-xx-xx-xx-xx-xx SA: xx-xx-xx-xx-xx-xx . . . SIP: 10. 110. 0. 113 Port 3 . . . SIP: 10. 110. 0. 113 DIP: 10. 111. 1. 88 . . . HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
第 1章 VLAN的基本概念 第 2章 VLAN的网络功能 第 3章 VLAN动态注册协议 第 4章 VLAN的网络应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
GVRP协议 l GVRP(GARP VLAN Registration Protocol)是一种基于GARP( IEEE 802. 1 d)的VLAN注册协议,它为处于同一个交换网内的交换 成员之间提供了分发、传播、注册,注销VLAN信息的一种手段。 声明 回收声明 HUAWEI TECHNOLOGIES CO. , LTD. 注册 注销 HUAWEI Confidential Page
GVRP协议 l 当GVRP在交换机上启动的时候,每个启动GVRP的Trunk端口对应 一个GVRP应用实体。 l GVRP实体之间的VLAN信息的注册,注销通过具有特定MAC地址 的报文交互来实现。 l GVRP五种报文类型:Leave all , Join empty , Join in , Leave empty, leave in , empty。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的单向注册 VLAN 10注册 声明 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN的双向注册 VLAN 10注册 声明 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
GVRP---GVRP注册类型 l NORMAL———允许在该聚合端口动态创建、注册和注销VLAN。 l FIXED———允许手 创建和注册VLAN,并且防止VLAN的注销和 在其它trunk端口注册此端口所知的VLAN。 l FORBIDDEN———注销除VLAN 1之外的所有VLAN,并且禁止在 该端口上创建和注册任何其它VLAN。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
第 1章 VLAN的基本概念 第 2章 VLAN的网络功能 第 3章 VLAN动态注册协议 第 4章 VLAN的网络应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN在企业网中的应用 l VLAN的引入,为企业网用户实现不同企业或同一企业不同部门间 的隔离和互通提供了更加灵活的组网方式。下面以商务楼宇为例, 说明VLAN在企业网中的应用。 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
企业网——虚拟 作组 l 商务楼宇内的中心交换机,根据 VLAN 2 VLAN 3 VLAN 4 楼宇内不同公司对端口需求,将 每个公司所拥有的端口划分到不 同的VLAN,实现公司间业务数据 的完全隔离,可以认为每个公司 拥有独立的“虚拟交换机”,每个 VLAN就是一个“虚拟 作组”。 公司A HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential 公司B Page 公司C
企业网——跨交换机虚拟 作组 Trunk l 公司业务发展,部门需要跨越 不同的商务楼宇,通过TRUNK 端口连接不同楼宇的中心交换 机,实现跨不同的交换机的不 同公司的业务数据隔离,以及 同一公司内业务数据的互通 VLAN 2 VLAN 3 VLAN 4 公司 公司 公司 A HUAWEI TECHNOLOGIES CO. , LTD. 公司 公司 公司 A B HUAWEI Confidential C Page B C
企业网——多层级联虚拟 作组 Trunk l 随着商业楼宇内的用户的增 多,需要通过级联交换机来 达到扩展用户数量的目的, 为了继续保证用户的隔离和 互通,将在级联交换机间采 用TRUNK连接,并且可以运 行GVRP或VTP协议,来自 VLAN 2 VLAN 3 VLAN 4 动配置各个中心交换机上的 VLAN。 公司 公司 公司 A HUAWEI TECHNOLOGIES CO. , LTD. 公司 公司 公司 A B HUAWEI Confidential C Page B C
企业网——虚拟 作组互通 Trunk l 对于不同的公司之间的互通需求, 可以通过VLAN间互通来解决。对 于VLAN终结在一个三层交换机上 的组网方式,可以直接在三层交换 机上为每个VLAN配置路由虚接口, 实现VLAN间路由。如果不允许 VLAN之间互通,则可以配置ACL VLAN 2 VLAN 3 VLAN 4 规则。 VLAN 2路由虚接口 VLAN 3路由虚接口 公司 公司 公司 VLAN 4路由虚接口 A A HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential B C Page B C
企业网——虚拟 作组互通 Trunk l 为了管理上的方便,以及分担 三层路由 一定的互通流量,VLAN终结在 不同的三层交换机。VLAN间的 互通需要三层交换机之间的路 由来实现,在交换机上需要配 置配置静态路由或运行路由协议。 VLAN 2 VLAN 3 VLAN 4路由虚接口 VLAN 2路由虚接口 HUAWEI TECHNOLOGIES CO. , LTD. 公司 公司 公司 A VLAN 3路由虚接口 公司 公司 公司 A HUAWEI Confidential B C Page B C
园区网——Isolate-user-vlan l 优点:节约交换机VLAN的使用数量 l 特点:isolate-user-vlan是个纯二层的概念,在单个交换机上配置的 VLAN对于其他交换机是不可见的, 不能与Trunk同时使用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
Isolate-user-vlan-实现原理 Primary VLAN vlan 3 vlan 1 1 Lan. Switch 2 4 3 vlan 2 vlan 4 Secondary VLAN HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
园区网---Isolate-user-vlan 7 骨干网络 8 Isolate-user-vlan 5 5 1 L 3 Secondary vlan 10 6 2 Secondary Vlan 20 3 Secondary vlan 10 L 2 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page Isolate-uservlan 6 4 Secondary vlan 10
园区网—Isolate-user-vlan区别业务 VOD GK IP L 3 NMS 服务器群 L 3 HUB L 2 HUB HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
园区网---VLAN聚合 l VLAN Aggregation:RFC 3069 —— Super. VLAN,Sub. VLAN l 概念:在一个物理网络内,用VLAN隔离广播域,不同的VLAN属于 同一个子网 l 优点:节约大量的IP地址:子网地址、广播地址、 网关地址,扩展 容易 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
VLAN聚合-- 作原理 Super VLAN 1 Sub vlan 3 路由接口 1. 1/24 1 Sub vlan 2 Sub vlan 4 Lan. Switch 2 3 4 IP地址: 1. 1. 1. 3/24 IP地址: 1. 1. 1. 2/24 网关: 1. 1 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
园区网---VLAN聚合 L 3 骨干网络 网 管 L 2 Super. VLAN 1 ARP Proxy Sub. VLAN 1 Sub. VLAN 3 Sub. VLAN 4 . . ¹ «Ë¾m Sub. VLAN 2 . . . ¹ «Ë¾m HUAWEI TECHNOLOGIES CO. , LTD. Super. VLAN 2 HUAWEI Confidential ¹ «Ë¾m Page
城域网---异地局域网互联 异地互联用户 IP Address: 192. 1. 1. 2 VLAN 100 二层交换层面 VLAN 100 VLAN Trunk 异地互联用户 IP Address: 192. 1. 1. 1 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
虚拟城域网 l 虚拟城域网------双Tag交换 MAN Domain B Domain A HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
园区网---专线用户接入 专线用户C IP Address: 199. 1. 1. * VLAN 100路由接口: 199. 1. 1. 1 三层路由平面 VLAN 100路由接口: 198. 1. 1. 1 VLAN 100 专线用户A VLAN 200路由接口: 198. 1. 2. 1 VLAN 专线用户B VLAN Trunk IP Address: 198. 1. 1. * IP Address: 198. 1. 2. * HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential PPP 路由 Page
园区网---PPPOE用户接入 二层交换平面 PPPoe用户A VLAN 100 静态配置IP地址 PPPoe用户B VLAN DHCP获得IP地址 VLAN 200 VLAN Trunk PPP 路由 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
园区网---VLAN绑定认证 CORE Vlan 1 HUAWEI TECHNOLOGIES CO. , LTD. Vlan 1 HUAWEI Confidential Vlan 2 Page
问题 l VLAN的产生解决了传统交换网络面临的什么问题? l VLAN有什么样的网络功能? l VLAN动态注册协议是怎么样 作的? l 在实际组网中,VLAN都有哪些应用? HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
总结 总 结 l VLAN的产生引起了传统LAN的一场革命 l VLAN可以实现二层交换、三层路由 l 通过GVRP协议可以实现VLAN动态配置 l VLAN在企业网、园区网和城域网中广泛应用 HUAWEI TECHNOLOGIES CO. , LTD. HUAWEI Confidential Page
谢谢 www. huawei. com