基于端口模式的VLAN實現(xiàn)

1、基于端口模式的VLAN實現(xiàn)一實訓(xùn)目的1理解VLAN的基本概念。2掌握VLAN的分類方法和實現(xiàn)原理。3掌握交換機(jī)上實現(xiàn)靜態(tài)VLAN的基本命令。二實訓(xùn)器材及環(huán)境1安裝Windows 2000 Server操作系統(tǒng)的計算機(jī)。2安裝Boson Netsim 5.31模擬軟件。3實驗環(huán)境見實訓(xùn)步驟中的描述。三實訓(xùn)理論基礎(chǔ)1虛擬局域網(wǎng)簡介Virtual Local Area Network（VLAN），翻譯成中文是“虛擬局域網(wǎng)”。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)，也就是廣播域。是指在邏輯上將物理的LAN分成不同的小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的廣播域。簡單地說，就是將一個大的物理的局

2、域網(wǎng)（LAN）在交換機(jī)上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（VLAN）。2VLAN的作用使用集線器或交換機(jī)所構(gòu)成的一個物理局域網(wǎng)，整個網(wǎng)絡(luò)屬于同一個廣播域。網(wǎng)橋、集線器和交換機(jī)設(shè)備都會轉(zhuǎn)發(fā)廣播幀，因此任何一個廣播幀或多播幀都將被廣播到整個局域網(wǎng)中的每一臺主機(jī)。在網(wǎng)絡(luò)通訊中，廣播信息是普遍存在的，這些廣播幀將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。目前，蠕蟲病毒相當(dāng)泛濫，如果不對局域網(wǎng)進(jìn)行有效的廣播域隔離，一旦病毒發(fā)起泛洪廣播攻擊，將會很快占用完網(wǎng)絡(luò)的帶寬，導(dǎo)致網(wǎng)絡(luò)的阻塞和癱瘓。 一個VLAN就是一個網(wǎng)段，通過在交換機(jī)上劃分VLAN，可

3、將一個大的局域網(wǎng)劃分成若干個網(wǎng)段，每個網(wǎng)段內(nèi)所有主機(jī)間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個VLAN就是一個廣播域，VLAN間是不能進(jìn)行直接通信的，從而就實現(xiàn)了對廣播域的分割和隔離。從中可見，通過在局域網(wǎng)中劃分VLAN，可起到以下方面的作用：控制網(wǎng)絡(luò)的廣播，增加廣播域的數(shù)量，減小廣播域的大小。便于對網(wǎng)絡(luò)進(jìn)行管理和控制。VLAN是對端口的邏輯分組，不受任何物理連接的限制，同一VLAN中的用戶，可以連接在不同的交換機(jī)，并且可以位于不同的物理位置，增加了網(wǎng)絡(luò)連接、組網(wǎng)和管理的靈活性。 增加網(wǎng)絡(luò)的安全性。由于默認(rèn)情況下，VLAN間是相互隔離的，不能直接通訊，對于保密性要求較

4、高的部門，比如財務(wù)處，可將其劃分在一個VLAN中，這樣，其他VLAN中的用戶，將不能訪問該VLAN中的主機(jī)，從而起到了隔離作用，并提高了VLAN中用戶的安全性。VLAN間的通訊，可通過應(yīng)用VLAN的訪問控制列表，來實現(xiàn)VLAN間的安全通訊。 3.VLAN的分類（1）靜態(tài)VLAN靜態(tài)VLAN就是明確指定各端口所屬VLAN的設(shè)定方法，通常也稱為基于端口的VLAN，其特點是將交換機(jī)按端口進(jìn)行分組，每一組定義為一個VLAN，屬于同一個VLAN的端口，可來自一臺交換機(jī)，也可來自多臺交換機(jī)，即可以跨越多臺交換機(jī)設(shè)置VLAN。 靜態(tài)指定各端口所屬的VLAN，需要對每一個端口地進(jìn)行設(shè)置，當(dāng)要設(shè)定的端口數(shù)目較多

5、時，工作量會比較大，通常適合于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不是經(jīng)常變化的情況。靜態(tài)VLAN是目前最常用的一種VLAN端口劃分方式。 （2）動態(tài)VLAN動態(tài)VLAN是根據(jù)每個端口所連的計算機(jī)，動態(tài)設(shè)置端口所屬VLAN的設(shè)定方法。動態(tài)VLAN通?？煞譃榛贛AC地址的VLAN、基于子網(wǎng)的VLAN和基于協(xié)議的VLAN等?；贛AC地址的VLAN，就是根據(jù)端口所連計算機(jī)的網(wǎng)卡MAC地址，來決定該端口所屬的VLAN。在這種方式下，端口所屬的VLAN，不是事先固定的，而是由所連計算機(jī)的MAC地址來決定的。比如，若MAC地址為“00-0C-6E-E1-1B-36”的計算機(jī)被設(shè)置為屬于VLAN2，則該臺計算機(jī)無論接到交換機(jī)的

6、哪個端口，其所連端口就會被自動劃歸為VLAN2?；谧泳W(wǎng)的VLAN，是根據(jù)端口所連計算機(jī)的IP地址，來決定端口所屬的VLAN?；趨f(xié)議的VLAN，是根據(jù)協(xié)議字段劃分（如：IP協(xié)議和IPX協(xié)議）。4VLAN的匯聚鏈接與封裝協(xié)議 在實際應(yīng)用中，通常需要跨越多臺交換機(jī)的多個端口劃分VLAN，比如，同一個部門的員工，可能會分布在不同的建筑物或不同的樓層中，此時的VLAN，就將跨越多臺交換機(jī)。 圖10-1 跨越多臺交換機(jī)的VLAN跨越多臺交換機(jī)的VLAN，VLAN內(nèi)的主機(jī)彼此間應(yīng)可以自由通訊，當(dāng)VLAN成員分布在多臺交換機(jī)的端口上時，如何才能實現(xiàn)彼此間的通訊呢？解決的辦法就是在交換機(jī)上各拿出一個端口，用

7、于將兩臺交換機(jī)級聯(lián)起來，專門用于提供該VLAN內(nèi)的主機(jī)跨交換機(jī)相互通訊。有多少個VLAN，就對應(yīng)地需要占用多少個端口，用來提供VLAN內(nèi)主機(jī)的跨交換機(jī)相互通訊，如下圖所示。 圖10-2 VLAN內(nèi)的主機(jī)在交換機(jī)間的通訊這種方法雖然解決了VLAN內(nèi)主機(jī)間的跨交換機(jī)通訊，但每增加一個VLAN，就需要在交換機(jī)間添加一條互聯(lián)鏈路，并且還要額外占用交換機(jī)端口，這對保貴的交換機(jī)端口而言，是一種嚴(yán)重的浪費，而且擴(kuò)展性和管理效率都很差。為了避免這種低效率的連接方式和對交換機(jī)端口的大量占用，人們想辦法讓交換機(jī)間的互聯(lián)鏈路匯集到一條鏈路上，讓該鏈路允許各個VLAN的通訊流經(jīng)過，這樣就可解決對交換機(jī)端口的額外占用，

8、這條用于實現(xiàn)各VLAN在交換機(jī)間通訊的鏈路，稱為交換機(jī)的匯聚鏈路或主干鏈路（Trunk Link），如下圖所示。用于提供匯聚鏈路的端口，稱為匯聚端口。由于匯聚鏈路承載了所有VLAN的通訊流量，因此要求只有通訊速度在100Mbps或以上的端口，才能作為匯聚端口使用。 圖10-3 利用匯聚鏈路實現(xiàn)各VLAN內(nèi)主機(jī)跨交換機(jī)的通訊在引入VLAN后，交換機(jī)的端口按用途就分為了：訪問連接端口（Access Link）和匯聚連接（Trunk Link）端口兩種。訪問連接端口通常用于連接客戶PC機(jī)，以提供網(wǎng)絡(luò)接入服務(wù)。該種端口只屬于某一個VLAN，并且僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。端口所屬的VLAN通常也稱

9、作native vlan。匯聚連接端口屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通訊流量。由于匯聚鏈路承載了所有VLAN的通訊流量，為了標(biāo)識各數(shù)據(jù)幀屬于哪一個VLAN，為此，需要對流經(jīng)匯聚鏈接的數(shù)據(jù)幀進(jìn)行打標(biāo)（tag）封裝，以附加上VLAN信息，這樣交換機(jī)就可通過VLAN標(biāo)識，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到對應(yīng)的VLAN中。 目前交換機(jī)支持的打標(biāo)封裝協(xié)議有IEEE 802.1Q和ISL。其中IEEE 802.1Q是經(jīng)過IEEE認(rèn)證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議，屬于國際標(biāo)準(zhǔn)協(xié)議，適用于各個廠商生產(chǎn)的交換機(jī)，該協(xié)議通常也簡稱為dot1q。5如何設(shè)置交換機(jī)的TRUNK（1）設(shè)置TRUNK需要指定一個

10、作為主干的端口，比如2/24，如把某個端口設(shè)成Trunk方式，命令如下： set trunk mod/port on | off | desirable | auto | nonegotiate vlan_range isl | dot1q dot10 | lane | negotiate。 該命令可以分成以下4個部分： mod/port：指定用戶想要運行Trunk的那個端口； Trunk的運行模式，分別有：on | off | desirable | auto | nonegotiate。 要想在快速以太網(wǎng)和千兆以太網(wǎng)上自動識別出Trunk，則必須保證在同一VTP域內(nèi)。也可使用On或None

11、gotiate模式來強迫一個端口上起Trunk，無論其是否在同一個VTP域內(nèi)。 承載的VLAN范圍。缺省下是11005，可以修改，但必須有TRUNK協(xié)議。使用TRUNK時，相鄰端口上的協(xié)議要一致。 另外在中心交換機(jī)上需要把和下面的交換機(jī)相連的端口設(shè)置成TRUNK，這樣下面的交換機(jī)中的多個VLAN就能夠通過一條鏈路和中心交換機(jī)通信了。 （2）配置TRUNK時的注意事項 在一個TRUNK中，數(shù)據(jù)總是從一個特定的源點到目的點，一條單一的鏈路被設(shè)計去處理廣播包或不知目的地的包。在配置TRUNK時，必須遵循下列規(guī)則： 正確選擇TRUNK的端口數(shù)目，必須是2，4或8。 必須使用同一組中的端口，在交換機(jī)上的

12、端口分成了幾個組，TRUNK的所有端口必須來自同一組。 使用連續(xù)的端口；TRUNK上的端口必須連續(xù)，如你可以用端口4，5，6和7組合成一個端口匯聚。 在一組端口只產(chǎn)生一個TRUNK；如對于安奈特的AT8224XL以太網(wǎng)交換機(jī)有3組，假定沒有擴(kuò)展槽。所以該交換機(jī)可以支持3個端口聚合。加上擴(kuò)展槽可以使得該交換機(jī)多支持一個端口匯聚。 基于端口號維護(hù)接線順序：在接線時最重要的是兩頭的連接線必須相同。在一端交換機(jī)的最低序號的端口必須和對方最低序號的端口相連接，依次連接。舉例來說，假定你從OPF-8224E交換機(jī)端口聚合到另一臺OPF-8288XL交換機(jī)，在OPF-8224E上你選擇了第二組端口12、13

13、、14、15，在OPF-8288XL上你選擇了第一組端口5、6、7、8，為了保持連接的順序，你必須把OPF-8224XL上的端口12和OPF-8288XL上的端口5連接，端口13對端口6，其它如此。 為TRUNK配置端口參數(shù)：在TRUNK上的所有端口自動認(rèn)為都具有和最低端口號的端口參數(shù)相同的配置（比如在VLAN中的成員）。比如如果你用端口4、5、6和7產(chǎn)生了TRUNK，端口4是主端口，它的配置被擴(kuò)散到其他端口（端口5、6和7）。只要端口已經(jīng)被配置成了TRUNK,你不能修改端口5、6和7的任何參數(shù)，可能會導(dǎo)致和端口4的設(shè)置沖突。 使用擴(kuò)展槽：有些擴(kuò)展槽支持TRUNK。這要看模塊上的端口數(shù)量。6V

14、TP協(xié)議VTP（VLAN Trunk Protocol，VLAN干道協(xié)議）的功能與GVRP相似，也是用來使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動態(tài)注冊的一種二層協(xié)議。在一臺VTP Server上配置一個新的VLAN信息，則該信息將自動傳播到本域內(nèi)的所有交換機(jī)，從而減少在多臺設(shè)備上配置同一信息的工作量，且方便了管理。VTP信息只能在Trunk端口上傳播。任何一臺運行VTP的交換機(jī)可以工作在三種模式：VTP Server、VTP Client及VTP Transparent。（1）VTP Server維護(hù)該VTP域中所有VLAN信息列表，可以增加、刪除或修改VLAN。 （2） VTP Cli

15、ent也維護(hù)該VTP域中所有VLAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發(fā)布的通告報文中接收。 （3）VTP Transparent不參與VTP工作，它雖然忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報文轉(zhuǎn)發(fā)出去。它只擁有本設(shè)備上的VLAN信息。其中，VTP Server和VTP Client必須處于同一個VTP域，且一個交換機(jī)只能位于一個VTP域中。四實訓(xùn)內(nèi)容1進(jìn)一步學(xué)習(xí)模擬軟件Boson Netsim的使用方法。2模擬實現(xiàn)基于端口的VLAN。五實訓(xùn)步驟 1繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。雙擊打開Boson Network Designer，繪制出如下拓

16、撲圖。其中計算機(jī)PC1和PC2分別通過雙絞線和交換機(jī)Switch1的e0/1以及e0/2端口連接。注意，選擇硬件時，以夠用為原則，這里我們使用1912系列的交換機(jī)。2. 圖形化配置計算機(jī)的IP地址。點擊Boson Network Designer中的“File下的Load Netmap into the simulator”,調(diào)用出命令行控制界面，既打開Boson Netsim。選擇Boson Netsim上的“eStations”，可以看到PC1和PC2的選項。然后分別使用同一命令winipcfg，直接調(diào)用出設(shè)定各自IP屬性的圖形界面。具體設(shè)置如下：PC1 IP地址：192.168.1.2

17、子網(wǎng)掩碼：255.255.255.0 默認(rèn)網(wǎng)關(guān)：192.168.1.1 PC2 IP地址：192.168.1.3 子網(wǎng)掩碼：255.255.255.0 默認(rèn)網(wǎng)關(guān)：192.168.1.13PC1和PC2相互Ping，二者此時顯示連通，可見此時屬于同一個LAN；4接著選擇Boson Netsim上的“eSwitches”進(jìn)入Switch1的配置界面。注意：初始情況下PC1和PC2所在端口都在“默認(rèn)的VLAN1”上，可采用命令show vlan查看；5創(chuàng)建一個新的VLAN,利用vlan database進(jìn)入交換機(jī)的Vlan數(shù)據(jù)庫維護(hù)模式，建立一個編號為555，名字為jsj的虛擬網(wǎng)，并退出VLAN數(shù)據(jù)

18、庫維護(hù)模式。命令如下：>en#configure terminal (config)#vlan database(config)#vlan 555 name jsj(config)#exit#show vlan屏幕提示如下，可見一個新的名叫555的vlan被成功創(chuàng)建。6為新建VLAN分配端口。接上面執(zhí)行configure terminal命令進(jìn)入全局配置模式，并告知交換機(jī)要配置的端口為其1號端口，再將它分配給新建的編號為555的VLAN，采用的是靜態(tài)方案（Static）。命令如下：(config)#int e0/1(config-if)#vlan-membership static 555 (config-if)#exit(config)#exit#show vlan 屏幕提示如下，可見端口“1”被成功分到了新的名叫555的vlan中。7 PC1和PC2再相互Ping，顯示不通，此時基于端口實現(xiàn)VLAN起到了作用，因為PC1位于新建的VLAN