• 第三层交换机的第三层交换机VLAN应用 ,不仅可以手工配置,也可以由交换机自动产生。交换机通过对数据包的分析后,自动配置交换机VLAN应用 ,自动更新VLAN的成员。



介绍交换机VLAN应用 配置最佳交换机性能,文章内容:过滤服务功能,二层(网络层) 交换机,三层(网络层) 交换机,数据帧入站,VLAN 标记,下面是一些不同形式的交换机VLAN应用举例。



过滤服务功能:



过滤服务功能用来设定界限,以限制不同的 交换机VLAN应用 的成员之间和使用单个MAC 地址和组MAC 地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则,交换机根据这些规则来决定是转发还是丢弃相应的帧。



早期的802.1d 标准(1993 ),定义的基本过滤服务规定,交换机必须广播所有的组MAC 地址的包到所有的端口。新的802.1d 标准(1998 )定义的扩展过滤服务规定,对组MAC 地址的包也可以进行过滤,对于交换机的外连端口要过滤掉所有的组播地址包。



如果没有设置静态的或者动态的过滤条件,交换机将采用缺省的过滤条件。扩展过滤服务功能使用GMRP(Group Multicast Registration Protocol) ,通过产生、删除一个组或者组成员,来控制交换机的动态组转发和组过滤。



交换机和工作站使用GMRP 来申明他们是否愿意接收一个组MAC 地址的帧。GMRP 协议在网上的交换机之间传波这样的组信息,使得交换机能够更新它们的过滤信息以实现扩展服务功能。交换机在不做任何配置的情况下,就具有过滤服务和扩展过滤服务功能。



交换机VLAN应用 标识的包是否应该转发到某一个端口:
◆默认地址
◆由管理员键入的静态过滤信息
◆通过查看数据包源地址而动态需学习到的单目地址
◆动态或者静态的 交换机VLAN应用
◆通过GMRP 管理的动态组播过滤信息或VLAN 成员信息



二层(链路层)交换机VLAN应用:



在第二层,可以支持基于端口的VLAN 和基于MAC 地址的VLAN 。基于端口的VLAN 可以快速的划分单个交换机上的冲突域,基于MAC 地址的VLAN 可以支持笔记本电脑的移动应用。



三层(网络层)交换机VLAN应用:



三层 交换机VLAN应用可以按照如下方式划分:
◆IP 子网地址
◆网络协议
◆组播地址



第三层交换机的第三层 交换机VLAN应用 ,不仅可以手工配置,也可以由交换机自动产生。交换机通过对数据包的分析后,自动配置 交换机VLAN应用 ,自动更新VLAN 的成员。第三层交换机能够工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的网络环境中。



交换机能自动发现IP 地址,动态产生基于IP 子网的VLAN ,当通过DHCP 分配一个新的IP 地址时,第三层交换机能很快的定位这个地址。第三层交换机通过IGMP 、GMRP 、ARP 和包探测技术来更新其三层的VLAN 成员组。通过基于Web 的网络管理界面,可以对自动学习的范围进行设定:自动学习可以是完全不受限、部分受限或者完全禁止。



第三层交换机是如何处理VLAN 的:



交换机VLAN应用通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新VLAN 成员表,根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理VLAN 的几个过程。



数据帧入站:



交换机根据入站数据帧的VLAN 标识号(VID )将它们分类,无标号的为一类,标号相同的为一类。交换机根据VID 来决定转发或者丢弃一个数据包,同时交换机也可以分配一个VID 给一个无标记帧或者贴了优先级标记的帧。



VLAN 标记:



如果一个数据帧没有标记VID ,交换机将会分配一个VID 给它,并把这个VID 插到它的帧头中,这个过程叫做贴VLAN 标签。交换机通过这个过程来处理包的转发,来填写数据帧的VLAN 或者优先级信息的标记字段。管理员可以设置优先级别来选择VLAN 类型,选择VID 值。交换机的缺省设置,首先选择的是贴IP 子网信息,然后是网络协议,然后是MAC 地址,然后是数据帧入站的端口。
◆过滤:该过程验证目的地址和源地址是否在同一个VLAN 中。
◆转发:根据VLAN 数据库的信息,交换机处理一个数据帧是要么转发,要么丢弃。
◆学习:交换机检查数据帧的源地址和VLAN 分类信息,并且把它们记录在转发库里。



下面是一些不同形式的交换机VLAN应用举例:



◆工程部有些机密文件需要保密;解决方法:通过把工程部的用户放到他(或她)自己的基于MAC 地址的VLAN 中。这个VLAN 所唯一允许的访问,只有该用户自己。任何其它用户都不能监听到该用户的内容,因为该用户的内容不会转发到其它的网段上去。另外,还有一种更加安全的方式,分配一个专用的端口给这个用户,为他产生一个基于端口的VLAN 。



◆销售部门的笔记本用户经常需要从外地进行拨号访问;解决方法:产生一个基于IP 子网的VLAN ,使用IP 地址来表示用户。这样无论用户处在何处都能进行网络访问。



◆公司安装了视频培训服务器,要防止用户做视频访问时占用太多的带宽;解决方法:产生一个组播地址的VLAN 。



◆公司总裁需要能访问财务,销售等其它部门的VLAN;解决方法:使公司总裁成为其它各部门的VLAN 的成


转载于:https://blog.51cto.com/yaozefeng/322481