交换机配置举例(二)-
发布时间:2010-11-08 14:06:27
交换机配置举例(二)发布时间:2010-11-08 14:06:27
定义VLAN和属于该VLAN的成员(使其可以接收来自同样PVID的端口发出的数据包)。因此,需要你指明成员端口是加标记端口(Tagging port)还是去标记端口(Untagging port)。可以在“VLAN Table Configuration”中对此项内容进行设置。端口干路(Port Trunking)
端口干路通常被用于将多个端口聚集在一起,从而形成一个高带宽的数据传输通道。交换机将把端口干路内的所有端口看作一个端口。在组成端口干路的端口中,将有一个端口被指定为主端口(anchor port)。由于干路中的所有成员需以相同的方式工作,所以,所有对主端口(anchor port)进行的设置,都将被同样作用到所有成员端口上。这样,当你需要对端口干路中的端口进行设置时,可以仅对主端口进行设置即可。
图1-3. 端口干路举例
在es3526j交换机的“Layer 2 Menu”中,选择“Port Trunking Configuration”项,将出现如下图所示的界面,就可以用来设置端口干路。
Trunk组允许包括如下的端口组合:
<13, 1> <14, 2> <15, 3> <16, 4>
<17, 5>> <18, 6> <19, 7> <20, 8>
<21, 9>> <22,10> <23,11> <24,12>
<13, 1, 14, 2> <15, 3, 16, 4>
<17, 5, 18, 6> <19, 7, 20, 8>
<21, 9, 22, 10> <23, 11, 24, 12>
<13, 1, 14, 2, 15, 3, 16, 4>
<17, 5, 18, 6, 19, 7, 20, 8>
<21, 9, 22, 10, 23, 11, 24, 12>
增加trunk按<ADD>; 删除trunk,高亮显示要求页按ENTER,在断开一个端口之前,采取以下步骤:
1. 通过配置菜单去除trunk端口,注:必须禁止trunk中所有的端口或拔掉所有的网络电缆,否则,就会产生一个环。
2. 首先拔掉网络线,禁止所有的终端连接,允许自动分发给trunk中的其他连接,这样不会丢失任何数据。
Trunk可以增加网络带宽并提供当某条连接断线时可有备份的连接可恢复。你可以在任何两个交换机之间配置Trunk,交换机的端口能够被合并到两个,四个,或八个trunk组中。当执行全双工的时候,使总的带宽达到400,800或1600Mbps。
1. 每一个端口仅能够被分配给一个trunk组
2. 两端的端口皆要被配置trunk
3. 两端的trunk端口一定要在同一的模式下配置,包括通讯模式和VLAN分配。
4. Trunk中的端口不能被配置为镜像或监视端口
5. Trunk组中所有的端口被视作一个整体
虚拟局域网(VLAN)
出于为了建立起安全的、自治的广播或者组播域的目的,可以将交换机上的端口组合成一个一个的虚拟局域网(VLAN)。利用VLAN技术可以将一个网络划分为多个网段,以减小广播域的大小。所有以太网数据包,如点播(unicast)、组播(multicast)、广播(broadcast),以及未知(unknown)的数据包,都将只在VLAN内传送。
VLAN的另一个优点是可以改变网络的拓扑结构,但是并不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动。可以仅仅改动工作站的VLAN设置,就将工作站从一个VLAN(如销售部VLAN)“移到”了另一个VLAN(市场部VLAN)。这可以使网络节点的移动、变换、增加变得非常灵活和容易。
VLAN还可以为你的网络提供一定的安全性。基于端口(Port-based)的VLAN,可以配置所属端口不向VLAN外发送数据包或者不接收VLAN外来的数据包。
IEEE 802.1Q VLAN的去标记特性(untagging)使得它可以与所有合法的、无法识别VLAN标记(VLAN tag)的交换机或网卡在一起工作。而IEEE 802.1Q VLAN的加标记特性(tagging)允许VLAN通过物理链路的连接而将VLAN范围扩展到多个兼容IEEE 802.1Q (802.1Q-compliant)的交换机上,并允许生成树(Spanning Tree)在所有端口上都能够正常地工作。
在理解IEEE 802.1Q VLAN时,有两个非常重要的名词需要掌握,就是端口VLAN的ID(Port VLAN ID numbers,简写为PVID)和VLAN的ID(VLAN ID numbers,简写为VID)。这两个变量都是定义在端口上的,但是两者间有很大的区别。用户可以仅为每个交换机端口上定义一个PVID。PVID定义了交换机将向哪一个VLAN转发数据包,以及什么时候数据包会需要转发到另一台交换机的端口上,或者网络中的某个地方。另外,用户也可以定义某个端口同时属于多个VLAN(VIDs),使得它可以接收网络中多个VLAN的数据包。PVID和VID这两个变量用于控制端口发送和接收VLAN数据流的能力,而两者之间的区别在于后者还允许信息可以在多个VLAN间共享。
VLAN网段:
举例来说,假设VLAN2中连接在交换机的端口12上的计算机发送出一个数据包,而且其端口VLAN ID(Port VLAN ID number)是2(PVID=2)。如果目的地址在另一个端口(通过查找转发地址表得到的),那么,交换机将看该目的端口(如端口10)是否属于VLAN2。如果端口10不属于VLAN2,那么该数据包将被丢弃,不会送到它的目的地址。而如果端口10属于VLAN2,那么数据包将被送达其目的地址。这就是基于端口VLAN的工作机制。实质就是端口12发送出的数据包只会在VLAN2中传送,因为它的端口VLAN ID(Port VLAN ID number)是2(PVID=2)。
VLAN间信息的共享(Sharing Resources Across VLANs):
但是网络中的打印机和服务器等资源是需要跨VLAN进行共享的。这可以通过设置重叠的VLAN方式来实现,见下图所示。
图1-4. 典型的VLAN设置示意图
在上图中,共有三个不同的VLAN,每个端口依据它们的端口VLAN ID(PVID)在各自的VLAN中传送数据包。但是,有一个端口可以接收所有VLAN的数据包。设置如下:
VLAN #
VLAN成员
Port
PVID
VID
Ports
Port 1
1
1
1,2,3,7
Port 2
1
Port 3
1
Port 7
3
3
1,2,3,7,11,12
Port 11
2
2
11,12,7
Port 12
2
表1-2. VLAN的分配
服务器连接在端口7上,可以被VLAN 1和VLAN 2所共享,因为端口7同时是两个VLAN的成员。因为端口7能够接收来自两个VLAN中的数据包,所以,所有端口都可以发送数据包给端口7。端口1、2和3在VLAN 1(它们的PVID=1)中向其发送数据包,而端口11和12在VLAN 2(它们的PVID=2)中向其发送数据包。服务器使用第3个VLAN(PVID=3)来发送VLAN 1和VLAN 2中计算机要求传送的文件。
在“DEVICE CONTROL MENU”的“第三项“VLAN MENU”中,选择“VLAN Port ConfigurATION”,将出现如下图所示的“VLAN Port CONFIGURATION”界面。
在上图界面中允许你为每个端口设置Port VLAN ID (PVID)。然后,按APPLY使设置生效。
在“VLAN MENU”中,选择“VLAN TABLE ConfigurATION”,将出现如下图所示的“VLAN TABLE ConfigurATION”界面。
在上图界面中允许你为每个端口设置Port VLAN ID (PVID)
跨交换机的VLAN(VLANs Spanning Multiple Switches):
VLAN可以设置在多台交换机之间。在设置这种VLAN时,需要注意两点:1. 这些交换机是否支持IEEE 802.1Q(IEEE 802.1Q-compliant)。
2. VLAN的数据包是需加标记的(tagged)还是去标记的(untagged)。
相关的术语如下:
¨ Tagging:将802.1Q VLAN的信息加入数据包的包头的操作。具有加标记能力的(tagging enabled)端口会将VID、优先级和其它VLAN信息加入到所有进出该端口的数据包内。如果在此前数据包已经被做过标记,那么,端口将不对该数据包进行改动,让其保持其已有的VLAN信息。标记(Tagging)使得数据包能够从一台支持802.1Q的交换机能够传送到另一台同类的交换机上。
¨ Untagging:将802.1Q VLAN的信息从数据包的包头去掉的操作。具有去标记能力的(untagging enabled)端口会将VID、优先级和其它VLAN信息从所有进出该端口的数据包包头中去掉。如果在此前数据包内没有被标记过,那么,端口将不对该数据包进行改动。去标记(Tagging)使得数据包能够从一台支持802.1Q的交换机能够传送到其它不支持802.1Q的交换机上。
u Ingress port:入站端口(Ingress port)是交换机上的一个端口,数据包就是从该端口进入交换机的。在此端口处必须进行是否属于相同VLAN的判断。交换机将检查数据包包头中的VLAN信息,并决定是否转发该数据包。如果该数据包内包含VLAN的标记信息,那么,入站端口首先判断自身端口是否是被标记的VLAN的成员之一,是否可以接收该数据包(如果Ingress Filter被设置为enabled时),然后再判断目的端口是否是被标记的VLAN的成员之一。假如这两个端口都是被标记的VLAN的成员,那么,数据包将被转发。而如果数据包内不包含VLAN信息(即未被标记),那么,入站端口首先判断自身端口是否可以接收该数据包(如果Ingress Filter被设置为enabled时),并用其PVID值为数据包加上标记(如果该端口是可加标记的端口的话),再查看目的端口是否具有相同的PVID(即是否属于同一个VLAN),以决定是否可以接收该数据包。如果Ingress filtering被设置为disabled,且目的端口是同一VLAN的成员,那么,数据包将被转发。而如果ingress port是一个去标记端口(untagging port),那么,它在转发数据包之前只会检查过滤条件(如果filter condition被设置为enabled)。
基于802.1Q的VLAN:
当交换机以802.1Q为依据来维护VLAN时,就需要用到加标记的操作(tagging)。加标记操作可以将802.1Q VLAN的信息加入到每个数据包的包头,以使接收到这些数据包的其它支持802.1Q的交换机能够知道应该如何处理这些数据包。根据接收到的数据包的标记信息,支持802.1Q的交换机才能够用以维护VLAN的完整性,并按照其优先级来转发数据包,等等。
在支持802.1Q 的交换机(802.1Q-compliant switches)之间的数据传送原理,如下图所示。
在上述例子中,步骤4是非常重要的。因为数据包内已经包含了标记信息,ingress port将根据其标记信息以决定是否转发该数据包。如服务器2所连接的端口是否属于VLAN 2,数据包是否可以被转发,应该给该数据包的排队优先级的高低,等等。
如果步骤4中的ingress port所连接的设备是不支持802.1Q(non-802.1Q-compliant),那么,它接收到的数据包是未被标记过的数据包,这样的话,它需要以其PVID值为数据包加标记,并根据此标记信息来判断是否转发该数据包。换句话说,从不支持802.1Q的设备(non-802.1Q-compliant device)来的数据包将被自动地认为与ingress port属于同一个VLAN,并且可以与属于该VLAN的其它端口进行通信。
配置IEEE802.1Q VLAN(Configure IEEE 802.1Q VLANs)
如果要配置IEEE 802.1Q port-based VLAN,你必须做三件事情:1. 决定是否希望使入站过滤功能(Ingress Filtering)在所选定的端口生效。入站过滤(Ingress filtering)功能生效,可以使端口检查所有进入该端口的数据包,查看该端口本身是否是VLAN中的成员。可以在“Ingress Filtering”中对此项内容进行设置。
2. 定义端口的PVID号。某个端口只能在一个VLAN中发送数据包,但可以接收多个VLAN的数据包(作为一个被动的成员)。可以在“Port VID”中对此项内容进行设置。
接《交换机配置举例(三)》
MyPrice版权所有,未经授权禁止转载、摘编、复制或建立镜像。如果有问题,请发电子邮件给webmaster@myprice.cn。谢谢!
京ICP备16069040号-1 网络实名:IT价格网 网站经营者信息公示 QQ:57525973