vlan原理及其配置(编辑修改稿)

vlan原理及其配置(编辑修改稿)内容摘要：

Sender BID Port ID „„ 网桥每隔 2秒产生一个 BPDU，在该 BPDU的 Root BID字段中填写它所认为的根桥的 BID，在 Sender BID字段中填写自己的 BID。 最初状态，在交换机了解到其它更好的 Root BID之前，将在 Root BID字段填写自己的 BID，宣告自己是根桥。 根桥的选举过程 —— P162图 2．选举根端口 根端口的选举过程 —— P163图 3．选举指定端口 指定端口的确定过程 —— P164图 4． STP状态 STP 状态及其转换 —— P167图 5． STP中的定时器 定时器 缺省值 主要用途 Hello Time 2s 根桥产生并发送配置 BPDU的时间间隔 Forward Delay 15s “监听”和“学习”状态的持续时间 Max Age 20s 网桥存储 BPDU的时间 配置 (Configuration)BPDU 和拓扑变更通知 (TCN—— Topology Change Notification)BPDU。 Configuration BPDU控制初始的 STP收敛过程， TCN BPDU负责在拓扑结构的变化时 —— HelloTime控制根桥产生并发送配置 BPDU的时间间隔。 每个端口都会保存所接收到的最佳 BPDU。 在此过程中，网桥保存的每 2秒一个的连续 BPDU流。 如果发送最佳 BPDU的网桥出现故障，将导致 Max Age定时器超时，此非根网桥就会停止周期性地发送 BPDU。 此 时，网桥会把保存的 BPDU作废，并开始寻找新的根端口。 6．拓扑变更时生成新的树形拓扑 在 STP 稳定工作的过程中，如果网络拓扑发生了变化，需要 30~50 秒 (20(Max Age)+15(Listening)+15(Learning))的时间才能收敛在一个新的拓扑结构上。 网络拓扑的变化会触发网桥产生一个拓扑变更通知 BPDU(TCN BPDU)，并发送给根桥 ——TCN BPDU在到达根桥的路径上传输，由指定网桥的从根端口和指定端口转发。 TCN BPDU通过BPDU中 1字节的 Type 字段标识 (其值为 0x80)。 网桥会一直发送 TCN BPDU，直到收到指定网桥的“拓扑变更响应 BPDU(TCA BPDU—— Topology Change Acknowledgment BPDU)”。 加快 STP收敛的技术 一、配置 STP 定时器 二、 PortFast 三、 UpLinkFast 四、 BackboneFast 以太通道 (EtherChannel) 以太通道技术是 Cisco 的专有技术。 该技术通过把多条物理链路聚集成一条逻辑链路，可以把网络主干的速度提高到 160 Gbps(全双工 )。 通道中的某一链 路出现故障时，以太通道能继续运行；在故障恢复时，该链路会再加入到以太通道中 (此即“弹性”的概念 )。 这样，就可以在交换机、路由器和服务器之间提供高速的容错链路。 以太通道有 4 种形式，分别是标准以太通道 (用于兼容以前的技术 )、快速以太通道 (FEC—FastEtherChannel)、吉比特以太通道 (GEC— Gigabit EtherChannel)和 10G 以太通道 (10Gigabit EtherChannel)。 以太通道可以把 2~8个链路聚集在一起，使通道的速率接近 1Tbps。 使用单模光纤时，在 50km的范 围内，通道速率可以达到 16 Tbps。 这样的通道既可以用作接入通道，也可以用作 Trunk 链路。 以太通道的特点： 1． 对网络应用是透明的 —— 不要求网络应用做任何改变 2． 负载均衡 —— 单播、组播和广播负载都可以由通道内的链路之间分担 3． “弹性”和快速收敛 —— 通道具有“弹性”；链路故障时重新分配负载的时间小于 1秒 一、帧分配 二、 PAgP和 LACP VLAN 之间的路由 VLAN 可以控制广播域的大小，并把通信限制在 VLAN 的范围内。 但是，如果没有外部路由器或者内部的路由处理器，不同 VLAN中的设备之间就无法通信。 VLAN之间的通信需要路由选择，可以配置一个或多个路由处理器或路由器实现 VLAN之间的路由选择。 路由器的功能就是实现网络之间的通信。 路由器可以防止广播的传播，所使用的转发算法比交换机的转发算法更具有智能，可以有效地利用带宽。 路由器还支持源和目的之间的冗余路径，并能选择最优路径，有助于实现不同路径之间的负载均衡。 此外，在组播通信中，路由器也发挥着关键的作用。 路由处理器是一组可以提供路由选择功能的硬件组件，包括 RSM、 RSFC、 MSM和 MSFC，它们以电路板卡的形式出现，可以插在交换机中。 路由处理器是 3层 网络设备的主系统处理器，负责管理路由表和缓存，发送和接收路由信息，在网络之间进行路由选择。 “路由处理器 (Route Processor)”一般指的是带主系统处理器的交换模块，其功能与路由器是相同的。 因此，我们统称为路由器。 园区网中路由器的作用 在交换式网络中，路由器支持 VLAN 之间的通信。 在园区网络中，路由器支持到服务区块(DMZ?)的 VLAN访问，也支持对广域网直接或间接的访问。 一、分隔广播域 VLAN把通信限制在一个广播域内，而广播域对应着一个 3层的子网。 因此，如果没有路由器的介入， VLAN 之间就无法进行通信。 从相反的角度讲，路由器把不同的广播分隔开了。 二、实现主机的跨 VLAN通信 不同的子网用路由器连接，会引起终端计算机如何跨越多个局域网段与其它子网中用户通信的问题。 终端计算机不需要处理路由表，但它除了必须知道接收方的 IP 地址外，还必须进行配置，使自己知道默认路由器 (即缺省网关 )的 IP地址。 网络设备的缺省路由器 IP 地址取决于该网络设备所处的子网。 每个 VLAN 在路由器有自己的缺省网关。 类似地，配置 VLAN 之间的路由选择时，标准的配置过程是在交换机上配置 IP 缺省网关，指向路由器中为“管理 VLAN”配置的 IP 地址。 这样，就启动了通过“管理 VLAN”到园区网中其它设备的连接。 三、实现跨 VLAN边界的多 VLAN通信 当网络中的 VLAN 比较多时，就必须决定为每个 VLAN 分配一个单独的路由器接口，还是使用 VLAN Trunking把多个 VLAN指定到一个路由器接口。 可以设置路由器的一个接口专门为一个 VLAN服务。 这种方案的不足之处，是需要大量的路由器接口。 而有些 VLAN 之间也不一定需要经常进行 VLAN 之间的路由选择，会产生路由器接口不能充分利用的情况。 另一种方案是采用 Trunking技术，在一 条 ISL或者 IEEE Trunk链路上承载多个 VLAN的通信。 四、汇聚层的作用 汇聚层可以为不同的通信 (例如组播和广播 )提供边界， VLAN 也终止于汇聚层。 对于 3层核心，一般不使用 VLAN。 汇聚层一般由由较高端的交换机或带有 3层模块的交换机组成。 由于具备 3层功能，汇聚层就成为接入层与核心层之间的分界点。 五、外部路由器 VLAN之间的路由选择可以通过一台路由器和一台交换机实现。 在这种配置中，各 VLAN与该交换机相连，该交换机再与路由器连接。 路由器和该交换机之间通过 Trunk链路连接。 使用 Trunk链路的优点是可以减少所需要的路由器和交换机端口数量，也可以减少配置的复杂性。 其缺点也是明显的：  每个 VLAN的带宽可能不足 (各 VLAN共享 Trunk链路的带宽 )；  在路由器上可能产生额外的开销 (处理 Trunking协议的封装等 )；  低版本的 Cisco IOS在 ISL接口上支持的功能有限 (仅支持 IP 和 IPX，不支持热备份路由器协议 HSRP) 六、内部路由处理器 (带路由模块的交换机 ) 最新的汇聚层交换机的趋势是把路由处理器与交换模块集成在一起，交换机的背板 (交换机内部使用的高速交换通道 )提供交换引擎与路 由处理器之间的通信路径。 交换机内部的路由处理器使用的数据流与外部路由器与交换机配合工作时的数据流类似，其区别在于，交换机背板上是用 Trunk连接交换机和路由处理器的。 这样做的技术优点在于：  速度 (比外部 Trunk速率高，性能更好 )；  集成性 (路由处理和交换过程紧密集成、提供 2与 3层之间的智能通信 ) VLAN 间路由选择的配置 一、 二、 三、 地址转换 网络地址转换概述 一、内部地址与外部地址 IPv4使用 32比特的 IP 地址，整个地址空间大约包含 40亿个单独的 IP 地址。 表面看来地址空间特别大，实际上，地址空间已面临枯竭的威胁。 一种解决办法是使用更高版本的 TCP/IPv6协议 (其 IP 地址使用 128比特编码 )；另一种方案是使用保留公共地址空间的 RFC 1918。 RFC 1918为专用网络设置了保留的地址空间，这个地址空间用做专用网络的内部地址。 ISP 通常在其路由器上进行配置，拒绝转发内部地址用户的流量。 因此，不能使用内部地址访问 Inter 网络，内部地址也不能被 Inter所访问。 1．内部地址的设置 Inter地址授权委员会设置的专用地址空间如下： 网络类型 内部地址范围 CIDR前缀 A ~(16777214个 ) B ~(1048574个 ) C ~(65534个 ) 上述地址空间是专用地址空间，只能在内部网络中使用 (不同的内部网络之间可以重复 )，无法与公共网络连接并实现路由。 当内部网络要与 Inter 互连时，必须进行地址转换。 也就是把不惟一的内部地址转换为全球惟一的全局地址，使内部网络节点可以访问 Inter。 被转换的内部节点地址叫做内部地址 (本地地址 )，转换后的地址叫做外部地址 (全局地址 )。 这种转换不仅支持内部网络与 Inter网络的互连，也为内部网络提供了一种附加的保护功能。 2．内部和外部地址的类型 有两种不同类的内部地址和两种不同类的外部地址。 参见 (3P270图 )。 内部局部地址 —— 内部网络中分配给一般计算机的 IP 地址，一般是 RFC 1918规定的保留地址 内部全局地址 —— 外部网络可看到的内部计算机的 IP地址 (全局地址 )，一般由 ISP提供 外部局部地址 —— 外部网络表现在内部网络的 IP 地址 (从 RFC 1918 地址空间中分配 )——。 外部全局地址 —— 外部网络主机配置的 IP地址 二、网络地址转换 NAT(Network Address Translation)的类型 根据转换的方式， NAT的类型划分为下列两种。 1．动态地址转换 把很多的本地地址转换为一个全局地址或数量有限的一组全局地址，也就是建立很多个内部地址与一个全局地址的映射关系，或者是建立很多个内部地址与一组全局地址的映射关系。 因为在建立向外的连接时，转换 协议选择第一个可用的全局地址进行分配并使用，因此，这种转换叫做动态地址转换 (在连接期间，保持该全局地址 )。 动态地址转换又进一步分为网络地址转换 NAT(Network Address Translation)和端口地址转换PAT(Port Address Translation)。 网络地址转换把多个本地地址映射到一个全局地址池中；端口地址转换则把多个本地地址映射到一个全局地址。 只所以叫做端口地址转换，是因为防火墙或路由器使用转换成的单一源地址，而并不改变源端口，以允许多个连接使用单一的全局地址。 因为受可用 端口数的限制 (总共 65536个，而其中 1024个已经作为知名端口使用 )， PAT 大约可以支持 64000个内部节点。 因为需要使用源端口和目的端口，因而，一些应用不使用 PAT。 2．静态地址转换 对于静态地址转换，允许本地地址到全局地址按一比一的比例进行转换。 即使是内部网络，Web服务器和 Email服务器一般都必须有静态地址 (更实际的做法是直接使用全局地址 )。 网络地址转换 NAT NAT 支持把大量的本地地址转换为数量有限的一组全局地址。 这种技术可以对外部网络隐藏内部网络地址的配置，实现一定的安全性。 图 (2P55)展示了 NAT的转换原理 —— 内部网络所有节点的地址被映射到一个全局地址池中。 严格地讲， NAT 执行的是一个对 IP 包头中的目的 IP 地址、源 IP 地址或两个地址同时进行替换的过程。 通过这种方式，把包头中所使用的内部地址转换为全局地址的进程。 因此，就可以不必为内部网络的每个用户分配全局的 IP地址。 替换过程是由路由器使用 NAT 软件或硬件实现的。 执行 NAT 功能的设备叫做 NAT 逻辑单元，它可以是路由器、 Windows计算机或其它设备系统。 一般情况下，实现 NAT功能的设备在一个存根域 (Stub Domain)的边界上运行。 所谓存根域，也就是一个与外界有单一连接的网络。 NAT 进程检查内部网络来的 IP 包，用一个全局 IP 地址替换本地源 IP 地址，并在 NAT转换表中记录这个转换。 当外部主机发送应答的时候， NAT 路由器接收该应答包。 通过检查当前网络地址转换表的方式，把外来包的目的。