VLAN配置實(shí)例詳解

1、圖文筆記二十VLAN配置實(shí)例詳解這篇文章介紹一下VLAN相關(guān)技術(shù)，通過幾個實(shí)例來演示VLAN干線、VLAN的封裝和工作方 式、VLAN配置、VLAN間路由等。（本文中的大部分實(shí)驗(yàn)均可在” Cisco Packet Tracer 5.3中 完成） 文章目錄-*1*.VLAN 介紹VLAN （Virtual Local Area Network,虛擬局域網(wǎng)），通過在支持VLAN的交換機(jī)上添加VLAN, 并且動態(tài)的調(diào)整每個端口所屬VLAN （默認(rèn)端口都屬于VLAN1）,實(shí)現(xiàn)一臺物理交換機(jī)上可以 有多個LAN,每個LAN稱作VLAN, VLAN之間的廣播互不可達(dá)，VLAN間互不影響。每個VLAN 是一

2、個獨(dú)立的廣播域，如果不同VLAN中的結(jié)點(diǎn)想要互相訪問，需要通過一臺三層或三層以 上設(shè)備才能實(shí)現(xiàn)（比如路由器、三層交換機(jī)、防火墻等）。這樣就增加了安全性，可以在三 層設(shè)備上配置訪問列表來達(dá)到流量控制的目的。*2*.VLAN 干線 什么是VLAN干線干線（丁小門的就是在兩臺交換機(jī)之間可以傳輸多個VLAN的信息的那條線纜，干線又稱主干。 下圖是沒有使用干線的情況，在SW1和SW2上劃分了兩個VLAN （VLAN1、VLAN2）, PC1和 PC2屬于VLAN2, PC3和PC4屬于VLAN3,在沒有使用主干線路的時候，需要在SW1和SW2 之間使用兩條線纜，將一條線纜的兩個端口劃分到VLAN2,另一

3、條線纜的兩個端口劃分到 VLAN3，這樣PC1和PC2才能正常通信，PC3和PC4也能正常通信。在沒有使用間路由的情 況下，VLAN2中的PC1和PC2無法和VLAN3中的PC3和PC4通信。1*.VLAN 介紹-*2*.VLAN 干線什么是VLAN干線-干線協(xié)議介紹交換機(jī)間VLAN通信過程-DTP協(xié)議-*3*.VLAN配置實(shí)例創(chuàng)建VLAN把端口加入VLAN酉己置主干端口 （Trunk）本地VLAN語音VLANVLAN維護(hù)操作在GNS3上模擬配置VLAN*4*.VLAN 間路由基于路由器物理接口的VLAN間路由基于路由器子接口的VLAN間路由（單臂路由）交換機(jī)上的端口類型基于三層交換機(jī)的VLA

4、N間路由路由器和三層交換機(jī)在實(shí)現(xiàn)VLAN間路由上的區(qū)別PC2:fO/2f 0/2VLAN2PC4沒有使用主干的情況VlAiT3ftl/hfO/1下圖是使用了主干線路的情況，只需要在SW1和SW2之間使用一條線纜，并且設(shè)置這條線纜 為主干，這樣這條主干線纜就能同時傳輸多個VLAN的數(shù)據(jù)了。PC1和PC2能正常通信，PC3 和PC4也能正常通信。在沒有使用間路由的情況下，VLAN2中的PC1和PC2無法和VLAN3 中的PC3和PC4通信。使用了主干的暗況最后需要注意的是，現(xiàn)在只有100Mb/s以上（包括100Mb/s）的線路才支持Trunko*干線協(xié)議介紹對于VLAN交換機(jī)來說，干線就是交換機(jī)之

5、間的連線，它在兩個或兩個以上的VLAN之間傳 輸業(yè)務(wù)流。每個交換機(jī)必須確定它所收到的數(shù)據(jù)幀屬于哪個VLANo在傳統(tǒng)的交換機(jī)中，當(dāng)一個幀進(jìn)入交換機(jī)時，交換機(jī)只檢查目的MAC,然后根據(jù)自己的MAC 表進(jìn)行轉(zhuǎn)發(fā)或者泛洪。在VLAN中除了需要知道目的MAC做轉(zhuǎn)發(fā)決定外，還要考慮幀的源 地址，因?yàn)閹脑吹刂吠ǔ绊懰鶎賄LAN，并可能影響它被轉(zhuǎn)發(fā)出去的端口。追蹤一 個幀的源地址有兩種常用的方式：-幀標(biāo)記（又稱顯式標(biāo)記）：根據(jù)數(shù)據(jù)進(jìn)入交換機(jī)的端口屬于哪個VLAN來標(biāo)記一個幀。 當(dāng)一個幀進(jìn)入交換機(jī)的時候，根據(jù)那個端口所屬VLAN，為幀添加一個包含VLAN標(biāo) 識的域（VLAN著色），這種方式的缺點(diǎn)就是大多

6、數(shù)不支持VLAN的設(shè)備會將這種更 改后的幀當(dāng)成無效幀丟棄。但現(xiàn)在這種技術(shù)已經(jīng)形成了一個IEEE802.1Q的標(biāo)準(zhǔn)，這 個標(biāo)準(zhǔn)解決了不同廠商進(jìn)行幀標(biāo)記時候的兼容性問題。-幀過濾（又稱隱式標(biāo)記）：這種方法為每個VLAN保持一張MAC地址表，確定目標(biāo) 后就做出轉(zhuǎn)發(fā)決定。這種方式的好處就是不更改原來的幀格式，幀通過不同的網(wǎng)絡(luò) 設(shè)備都不會出現(xiàn)問題。這種方式的缺點(diǎn)就是每個VLAN交換機(jī)都要保存一張MAC地 址表，這張表還要包含每個MAC所屬VLAN的信息，并且能根據(jù)源地址的VLAN以 及MAC進(jìn)行過濾轉(zhuǎn)發(fā)?，F(xiàn)階段最常使用的干線協(xié)議是802.1Q和ISL （在不同廠商設(shè)備混用的情況下一定要使用802.1Q）

7、:1,802.1Q802.1Q是IEEE提出的一個通用標(biāo)準(zhǔn)，也是現(xiàn)在大部分廠商的默認(rèn)干線傳輸協(xié)議，通過在原 來的以太網(wǎng)幀頭部添加一個4字節(jié)的802.1Q頭部，然后重新計算FCS （幀效驗(yàn)序列）來實(shí)現(xiàn)，如下圖:（目物IAC）長度/類型）I （數(shù)據(jù)）IC占12bit）: r amHMmMBHM令聘環(huán)利封釜標(biāo)記 （占Ibit ）優(yōu)先綴占 3 bit）irce 皿AC f LeiLgth/Type : Data （源 MAC）QingSword.C本文中的配置均以802.1Q為例。2,ISL（Interior Switching Link,交換機(jī)間鏈路）ISL是思科私有的干線傳輸協(xié)議，這里不做過多介紹

8、。*交換機(jī)間VLAN通信過程這一部分結(jié)合“*什么是VLAN干線”中的第二張圖片，講解一下802.1Q干線協(xié)議的工作 流程：圖中PC1和PC2屬于VLAN2，PC3和PC4屬于VLAN3，SW1和SW2通過干線相連，干線運(yùn) 行的是802.1Q協(xié)議。1,假設(shè)PC1發(fā)送消息給PC2，剛開始PC1不知道PC2的MAC地址，所以它首先發(fā)送ARP查 詢包，查詢PC2的MAC地址，ARP查詢包以廣播形式發(fā)送。2，交換機(jī)SW1收到PC1發(fā)送過來的ARP查詢廣播包，SW1知道數(shù)據(jù)是從fa0/0接收到的， fa0/0被劃分到VLAN2中，是一個接入端口，SW1知道這是一個來自VLAN2的廣播包，SW1 在MAC地

9、址表中加入PC1的MAC和VLAN號以及對應(yīng)的端口號，非VLAN交換機(jī)和VLAN 交換機(jī)都會根據(jù)數(shù)據(jù)的源地址進(jìn)行學(xué)習(xí)，只不過VLAN交換機(jī)除了記錄源MAC地址，還需 要記錄源MAC所對應(yīng)的VLAN號。3，SW1在收到的數(shù)據(jù)幀中加入VLAN2的標(biāo)識（VLAN交換機(jī)從Access （接入）端口收到數(shù) 據(jù)時需要插入VLAN標(biāo)識），接著SW1將這個VLAN2的廣播包從除接收端口以外的所有屬于 VLAN2的接口以及主干發(fā)送出去，在從所有屬于VLAN2的接入接口發(fā)送出去前需要去掉 VLAN標(biāo)識（VLAN交換機(jī)從Access將數(shù)據(jù)發(fā)出時要去掉VLAN標(biāo)識，否則其他計算機(jī)不能識 別這個加了標(biāo)識的幀），從主干發(fā)

10、送出去的幀不需要去掉VLAN標(biāo)識（后面介紹到的本地VLAN 除外）。也就是說如果此時SW1上還有一個非主干端口也被分配到VLAN2中，這個廣播從 這接入端口送出前要去掉VLAN標(biāo)識，而從SW1的fa0/2發(fā)往SW2的數(shù)據(jù)幀不需要去掉VLAN 標(biāo)識（本地VLAN除外）。4，PC3接收不到PC1發(fā)出的ARP廣播請求，因?yàn)檫B接PC3的端口被劃分到VLAN3中了，不 屬于VLAN2，一個VLAN是一個廣播域。5,當(dāng)SW2從自己的fa0/2接口（主干接口）接收到一個數(shù)據(jù)幀時，SW2查看數(shù)據(jù)幀中的 VLAN標(biāo)識，并在本地MAC地址表中添加了幀中源MAC地址、VLAN號以及對應(yīng)的端口號 fa0/2。接下來S

11、W2將決定往哪轉(zhuǎn)發(fā)這個收到的數(shù)據(jù)幀,SW2通過查看VLAN標(biāo)識和目的MAC地址，知道這是一個VLAN2的廣播ARP查詢包，SW2將這個包從除接收接口（fa0/2）以外 的所有屬于VLAN2的接口以及其他的主干接口（如果有）發(fā)送出去，同理，在發(fā)出去之前， 如果接口屬于接入接口，則去掉VLAN標(biāo)識，如果是主干端口則保留VLAN標(biāo)識。PC4是收不到這個廣播包的，因?yàn)椴粚儆赩LAN2,這個時候PC2收到了這個ARP請求包， 發(fā)現(xiàn)請求的是自己的MAC地址，PC2封裝ARP應(yīng)答包發(fā)給SW2。SW2收到這個應(yīng)答包，首先學(xué)習(xí)PC2的MAC地址和VLAN號以及對應(yīng)端口到自己的MAC 地址表，然后給這個數(shù)據(jù)幀添加

12、VLAN2標(biāo)識，之后SW2查詢MAC地址表，找到PC1對應(yīng) 的MAC號、VLAN號和端口號，SW2比較數(shù)據(jù)幀的源MAC和目的MAC在同一個VLAN2中， SW2將數(shù)據(jù)幀從目的MAC對應(yīng)的fa0/2接口發(fā)出（PC1的MAC是第5步中收到SW1發(fā)來的 數(shù)據(jù)幀的時候記錄的）。SW1收到這個數(shù)據(jù)幀，首先也是對源MAC、VLAN號以及對應(yīng)端口進(jìn)行學(xué)習(xí)，然后查看 數(shù)據(jù)幀中的目的MAC,之前已經(jīng)保存過PC1的MAC, SW1將目的MAC所在VLAN號和源 MAC所在VLAN號進(jìn)行對比，發(fā)現(xiàn)他們處于同一個VLAN2下，SW2將這個數(shù)據(jù)幀中的VLAN 標(biāo)記去除并直接從目的MAC（PC1的MAC）所對應(yīng)的端口 f

13、a0/0發(fā)給PC1。PC1成功收到ARP應(yīng)答包，接下來的通信過程和這個步驟類似?？偨Y(jié)：交換機(jī)何時添加802.1Q標(biāo)簽頭（VLAN標(biāo)簽）與交換機(jī)的接口有關(guān)，如果交換機(jī)的接 口接的是一臺計算機(jī)，那么這個端口是接入端口，在數(shù)據(jù)幀進(jìn)入時被添加802.1Q標(biāo)簽頭， 數(shù)據(jù)幀從接入端口發(fā)出時去掉標(biāo)簽頭；如果交換機(jī)的接口接的是另外一臺交換機(jī)，那么這個 接口就屬于主干接口（Trunk）,數(shù)據(jù)從這種接口發(fā)出一般不會去掉標(biāo)簽頭（后面演示的Native VLAN除外）。* DTP協(xié)議DTP（Dynamic Trunking Protocol動態(tài)主干協(xié)議），是思科私有的協(xié)議，其它廠商不支持該協(xié) 議，當(dāng)交換機(jī)上某些端口被

14、配置成主干模式時，DTP自動運(yùn)行，用來協(xié)商鏈路能否成為主干 鏈路。DTP支持802.1Q和ISL封裝的主干鏈路協(xié)商。下面是思科交換機(jī)端口的幾種主干模式：OFF（關(guān)閉）：使用”switchport mode access”命令，靜態(tài)配置交換機(jī)端口為接入端口（非 主干端口）。ON（打開）：使用” switchport mode trunk”命令靜態(tài)配置交換機(jī)端口為主干端口。Dynamic auto （動態(tài)自動）：使用” switchport mode dynamic auto”命令，靜態(tài)配置交 換機(jī)端口為動態(tài)自動模式。Dynamic desirable （動態(tài)期望）：使用” switchport

15、mode dynamic desirable”命令，靜 態(tài)配置交換機(jī)端口為動態(tài)期望模式。Nonegotiate （關(guān)閉 DTP 協(xié)議）：使用” switchport nonegotiate” 命令，將關(guān)閉 DTP 協(xié) 議。思科交換機(jī)的接口可以配置以上五種模式。下表顯示了，交換機(jī)和交換機(jī)之間相連，在什么 情況下能建立起主干鏈路，什么情況下不能建立起主干線路：注:Access是鏈路通過DTP協(xié)議協(xié)商后成為了非主干鏈路；Trunking是指鏈路協(xié)商后成為了 主干線路；錯誤是指有故障的鏈路，協(xié)商失敗。OFFONON and HonegotdateDyriacnii c aut oDynaOFFAcce

16、ss靖濱惜謨Access錯誤Trurdcing：TrunkingTrunking；OM and MonegntiateTrunJcing：Trunking信誤；Dynamic autoAccessTrunking錯誤Access；Dynamic desirableAccessTrunking錯誤Trunking. QingSwt舉一個例子：兩臺交換機(jī)相連，一端使用命令” switchport mode dynamic autc”，另外一端使 用命令” switchport mode trunk”，那么根據(jù)這張表，最后的協(xié)商結(jié)果就是Trunking,也就是成 功協(xié)商成主干鏈路。后面”配置主干端口

17、 ”會演示到DTP，這個表可以作為參考。*3*.VLAN配置實(shí)例這個實(shí)例的配置環(huán)境是在” Cisco Packet Tracer 5.3模擬器中進(jìn)行，實(shí)驗(yàn)拓?fù)淙缦拢何迮_計算機(jī)，子網(wǎng)24位，IP地址如圖所示，其中PC1、PC2連接在SW1上，PC1和交換機(jī) 之間還連接了一臺IP電話，PC3、PC4連接在SW2上，PC5連接在一臺集線器上，SW1和 SW2也連接在這臺集線器上，在沒有劃分VLAN前，整個網(wǎng)絡(luò)屬于同一個廣播域，PC1-5互 相能夠ping通；現(xiàn)在要將PC1、PC3、PC5劃分到VLAN2里面，將PC2、PC4劃分到VLAN3里面，配置主干、本地VLAN、語音VLAN。(注意交換機(jī)和集

18、線器之間的連線需要使用交叉 線，其他全部使用直通線)*創(chuàng)建VLAN打開SW1和SW2的CLI界面(點(diǎn)擊交換機(jī)圖標(biāo)，然后選擇CLI,就可以輸入命令了)，首先創(chuàng)建VLAN2 和 VLAN3:SW1配置：SwitchenSwitch#conf tSwitch(config)#host SW1SW1(config)#vlan 2/*創(chuàng)建 VLAN2*/SW1(config-vlan)#name vlan2name /*給 VLAN2 命名*/SW1(config-vlan)#vlan 3/*創(chuàng)建 VLAN3*/SW1(config-vlan)#name vlan3name /*給 VLAN3 命名*/

19、SW1(config-vlan)#end TOC o 1-5 h z SW1#10/*查看VLAN信息，可以看到默認(rèn)情況下所有端口都屬于VLAN1，* VLAN1也是交換機(jī)上默認(rèn)存在的VLAN。*下面是我們新建的VLAN2和VLAN3。* VLAN1002-1005也是交換機(jī)上默認(rèn)存在的VLAN，有特殊用途，這里暫且不用理會。*/SW1#show vlan2021 VLAN NameStatus Ports22 23 1defaultactive Fa0/1, Fa0/2, Fa0/3, Fa0/424Fa0/5, Fa0/6, Fa0/7, Fa0/825Fa0/9, Fa0/10, Fa0

20、/11, Fa0/1226Fa0/13, Fa0/14, Fa0/15, Fa0/1627Fa0/17, Fa0/18, Fa0/19, Fa0/2028Fa0/21, Fa0/22, Fa0/23, Fa0/2429Gig1/1, Gig1/230 2vlan2nameactive31 3vlan3nameactive1002fddi-32default act/unsup1003token-ringdefault act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupSW2配置：SwitchenSwitch#c

21、onf tSwitch(config)#host SW2SW2(config)#vlan 2SW2(config-vlan)#name vlan2nameSW2(config-vlan)#vlan 3SW2(config-vlan)#name vlan3nameSW2(config-vlan)#endSW2#這樣VLAN2和VLAN3就創(chuàng)建好了，繼續(xù)下一步。*把端口加入VLAN默認(rèn)情況下所有端口都屬于VLAN1，根據(jù)拓?fù)湟?，我們需要調(diào)整SW1和SW2上的端口， 在SW1上將和PC1相連的端口靜態(tài)的分配給VLAN2，將于PC2相連的端口靜態(tài)的分配給 VLAN3，同理SW2上也要做出調(diào)整：SW1

22、配置：SW1#conf tSW1(config)#int fa 0/1 /*進(jìn)入和 PC1 相連的端口*/3/*交換機(jī)默認(rèn)的端口模式是Dynamic auto,由于這個端口連接的是終端設(shè)備，所以要配置 成接入接口 */SW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 2 /*將這個接口劃分到 VLAN2*/SW1(config-if)#int fa 0/2 /*進(jìn)入和 PC2 相連的端口*/SW1(config-if)#swi mod acc /*同上，這是簡寫形式*/SW1(config-if

23、)#swi acc vlan 3SW1(config-if)#endSW1#11/*查看VLAN分配情況，可以看到Fa0/1和Fa0/2被分配到了對應(yīng)的VLAN下*/SW1#show vlan brief1617 1 defaultactive Fa0/3, Fa0/4, Fa0/5, Fa0/618Fa0/7, Fa0/8, Fa0/9, Fa0/1019Fa0/11, Fa0/12, Fa0/13, Fa0/1420Fa0/15, Fa0/16, Fa0/17, Fa0/1821Fa0/19, Fa0/20, Fa0/21, Fa0/2222Fa0/23, Fa0/24, Gig1/1,

24、Gig1/223 2 vlan2nameactive Fa0/124 3 vlan3nameactive Fa0/225 1002 fddi-defaultactive100326 default activetoken-ring-1004fddinet-27 default active28 1005 trnet-defaultactive15 VLAN NameStatus Ports29 SW1#SW2配置：SW2#conf tSW2(config)#int fa 0/1SW2(config-if)#swi mod accSW2(config-if)#swi acc vlan 2SW2(

25、config-if)#int fa 0/2SW2(config-if)#swi mod accSW2(config-if)#swi acc vlan 3SW2(config-if)#endSW2#端口分配完畢后，在PC1上Ping拓?fù)渲腥我庖慌_其他的PC,都Ping不通；PC1 ping不通PC2 是因?yàn)樗麄儾辉谝粋€VLAN中，ping不通其他幾臺是因?yàn)镾W1的fa0/24端口默認(rèn)屬于VLAN1， 并且是一個接入端口，該端口只轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)包，而PC1在VLAN2中，所以ping不通。 繼續(xù)下一步，配置主干。*配置主干端口 (TRUNK)在SW1和SW2上配置fa0/24為主干端口 ：S

26、W1配置：SW1#conf tSW1(config)#int fa 0/244/*配置主干模式，這種模式就是前面DTP協(xié)議協(xié)商圖中的ON and Nonegotiate,*交換機(jī)兩端都配置成這種模式，協(xié)商的結(jié)果就是Trunking，即主干。*/SW1(config-if)#switchport mode trunkSW1(config-if)#switchport nonegotiate1011/*配置主干允許傳輸?shù)腣LAN，用？查看一下可以執(zhí)行的操作。*/SW1(config-if)#switchport trunk allowed vlan ?WORD VLAN IDs of the al

27、lowed VLANs when this port is in trunking modeadd add VLANs to the current listall all VLANsexcept all VLANs except the followingnone no VLANsremove remove VLANs from the current list19/*本例設(shè)置成允許所有VLAN的傳輸。*如果只允許VLAN1、3、1002-1005，可以像下面這樣寫，* switchport trunk allowed vlan 1,3,1002-1005*如果想追加新的VLAN2被允許可以

28、這樣寫：* switchport trunk allowed vlan add 2*/SW1(config-if)#switchport trunk allowed vlan allSW1(config-if)#endSW1#SW2配置：SW2(config)#int fa 0/242/*SW2 的 fa0/24 也配置成ON and Nonegotiate模式*/SW2(config-if)#swi mod trunkSW2(config-if)#swi nonegotiate6SW2(config-if)#swi trunk allowed vlan allSW2(config-if)#e

29、nd配置完成后在SW1上查看主干鏈路狀態(tài)：SW1#show interfaces fa 0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunk /*配置的端口模式是主干*/Operational Mode: trunk /*鏈路的狀態(tài)是主干*/Administrative Trunking Encapsulation: dot1q /*主干默認(rèn)封裝協(xié)議 dot1q(802.1Q)*/Operational Trunking Encapsulation: dot1q /*有效的封裝協(xié)議也是 dot1q*/N

30、egotiation of Trunking: Off /*DTP 協(xié)議關(guān)閉*/Access Mode VLAN: 1 (default) /*端 口默認(rèn) VLAN 是 VLAN1*/Trunking Native Mode VLAN: 1 (default) /*該主干端口 的本地 VLAN 是 VLAN1*/Voice VLAN: none/*沒有配置語言 VLAN*/*以下輸出省略*/SW1#查看SW1工作在主干模式的端口：SW1#show interfaces trunk2/*端口 模式 封裝協(xié)議狀態(tài) 本地VLAN號*/Port Mode Encapsulation Status Na

31、tive vlanFa0/24 on 802.1q trunking 1/*主干上允許傳輸?shù)腣LAN號*/Port Vlans allowed on trunkFa0/24 1-10058Port Vlans allowed and active in management domainFa0/24 1,2,311Port Vlans in spanning tree forwarding state and not prunedFa0/24 1,2,3SW1#在這一步，大家可以使用DTP協(xié)議部分介紹的命令，將交換機(jī)兩端的模式替換成協(xié)商表里 面的其他模式，來測試DTP協(xié)議?，F(xiàn)在，再次測試Pin

32、g，PC1和PC3可以互相Ping通，PC2和PC4可以互相Ping通，但是PC1 和PC3確Ping不通PC5，根據(jù)拓?fù)鋱D，PC5也必須在VLAN2中，可以和PC1和PC3通信， 是什么原因造成這一情況的呢？繼續(xù)往下看。PS： ” Cisco Packet Tracer 5.3不支持更改主干端口封裝協(xié)議的命令，在真實(shí)交換機(jī)中可以通 過下面的命令來更改主干端口的封裝協(xié)議：1 /*進(jìn)入主干接口進(jìn)行更改*/Switch(config-if)#switchport trunk encapsulationdot1q ./*802.1Q*/isl ./*思科私有的 ISL*/5/*將主干端口的封裝協(xié)議改

33、成802.1Q*/Switch(config-if)#switchport trunk encapsulation dot1q*本地VLAN本地Vlan (Native Vlan)是主干端口的特征，使用802.1Q協(xié)議封裝的主干端口，將數(shù)據(jù)幀從 主干發(fā)出時，如果數(shù)據(jù)幀中的VLAN標(biāo)識與主干端口的本地VLAN號一致，那么交換機(jī)清除 數(shù)據(jù)幀中的VLAN標(biāo)識，再從主干端口發(fā)出；使用802.1Q封裝的主干端口，從主干端口接 收到數(shù)據(jù)幀時，如果數(shù)據(jù)幀中沒有VLAN標(biāo)識，交換機(jī)將給這個數(shù)據(jù)幀添加接收這個幀的主 干端口的本地VLAN號。理解了上面主干端口本地VLAN的工作方式后，就可以解釋上面的問題7，PC

34、1屬于VLAN2， PC1 ping PC5的時候，首先要獲取PC5的MAC地址，ARP請求包被以廣播的形式發(fā)送出去， 交換機(jī)SW1在廣播幀上添加VLAN2標(biāo)識，然后從fa0/24發(fā)出，fa0/24是主干端口默認(rèn)情況 下該主干端口的默認(rèn)本地VLAN號是1，和要發(fā)出去的數(shù)據(jù)幀中的VLAN號不一樣，所以SW1 不做任何修改，直接將這個數(shù)據(jù)幀從主干端口發(fā)出，由于PC5連接在集線器上，集線器收到 這個數(shù)據(jù)幀后簡單的放大信號，然后從除接收端口以外的所有端口發(fā)出，PC5收到這個數(shù)據(jù) 幀，由于數(shù)據(jù)幀是添加了 VLAN2標(biāo)識的，PC5直接判斷這是一個錯誤的幀，最后丟棄。在這種情況下，如果想讓PC1和PC3能夠

35、ping通PC5,其實(shí)可以將SW1和SW2的fa0/24這 個主干端口的本地VLAN號改成VLAN2,這樣根據(jù)上面所說的本地VLAN的工作原理，當(dāng)SW1 將VLAN2的數(shù)據(jù)幀從這個主干發(fā)出時，將去掉幀中的VLAN標(biāo)記，那么PC5收到的就是一個 正常的幀了。SW1設(shè)置：SW2(config)#int fa 0/24 /*將主干端口 的本地 VLAN 改成 VLAN2*/SW2(config-if)#switchport trunk native vlan 2SW2(config-if)#endSW2#SW2設(shè)置：SW1(config)#int fa 0/24SW1(config-if)#swit

36、chport trunk native vlan 2SW1(config-if)#endSW1#現(xiàn)在再次測試PC1以及PC3 ping PC5,都能夠成功Ping通。根據(jù)本地VLAN的工作原理，PC5 去ping PC2和PC4是ping不通的，因?yàn)楫?dāng)SW1或SW2從自己的主干接收到一個沒有打標(biāo) 記的VLAN幀后，它會給這個幀打上這個接收端口的本地VLAN標(biāo)記，即VLAN2的標(biāo)記，而 PC2和PC4屬于VLAN3，這個數(shù)據(jù)幀不會送給任何被劃分到VLAN3的端口。大家可能注意到拓?fù)鋱D中SW1和PC1之間連接了一臺IP電話，下面繼續(xù)配置語音VLAN。*語音VLANIP語音電話需要帶寬保證、優(yōu)先傳輸

37、、擁塞避免并且要求穿過整個網(wǎng)絡(luò)的延時小于150毫 秒，思科IP電話機(jī)一般有兩個接口，一個接口可以接交換機(jī)，一個接口可以接PC， IP電話 可以單獨(dú)連接在交換機(jī)上，有時為了節(jié)約端口，可以連接IP電話后再連接計算機(jī)，本例就 使用了這種方式。下面簡單的介紹一下VoIP的配置，在SW1上執(zhí)行下面的命令：1/*在沒有配置語音VLAN前，IP電話和PC1處于同一個VLAN2中，* Cisco交換機(jī)支持一種獨(dú)特的功能，*可以通過下面這條命令將IP電話和PC工作站劃分到不同的VLAN中。*/SW1(config)#int fa 0/1SW1(config-if)#switchport voice vlan 5

38、0SW1(config-if)#endSW1#1011/*查看交換接口參數(shù)，可以看到Vioce VLAN變成了 50*/SW1#show int fa 0/1 switchportVoice VLAN： 50* VLAN維護(hù)操作可以在SW1上查看全局配置信息：SW1#show running- 1 configBuilding configuration.!interface FastEthernet0/1switchport access vlan 2switchport mode accessswitchport voice vlan 508!interface FastEthernet0

39、/2switchport access vlan 3switchport mode access!interface FastEthernet0/24switchport trunk native vlan 2switchport mode trunkswitchport nonegotiate!.從上面的輸出中我們發(fā)現(xiàn)，找不到VLAN的創(chuàng)建信息，這是因?yàn)閂LAN的創(chuàng)建信息是被單獨(dú) 保存在vlan.dat文件中，可以使用下面的命令查看：1/* dir命令可以查看此交換機(jī)的Flash空間中的文件，*從命令的輸出可以看到Flash空間中除了保存IOS外還保存了 vlan.dat文件。*/SW1#d

40、irDirectory of flash:/71 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin2 -rw- 676 vlan.dat1064016384 bytes total (59600787 bytes free) TOC o 1-5 h z SW1#使用” show vlan brief”可以查看交換機(jī)上VLAN配置信息；/*從配置信息可以看到，SW1上新建立了兩個VLAN(vlan2和vlan3)，*每個VLAN中還包含了一個端口，F(xiàn)a0/24是主干端口，不屬于任何VLAN。*/SW1#show vlan brief67 VLAN NameS

41、tatus Ports89 1 defaultactive Fa0/3, Fa0/4, Fa0/5, Fa0/610Fa0/7, Fa0/8, Fa0/9, Fa0/1011Fa0/11, Fa0/12, Fa0/13, Fa0/1412Fa0/15, Fa0/16, Fa0/17, Fa0/1813Fa0/19, Fa0/20, Fa0/21, Fa0/2214Fa0/23, Gig1/1, Gig1/215 2 vlan2nameactive Fa0/116 3 vlan3nameactive Fa0/217 1002 fddi-defaultactive100318 default ac

42、tivetoken-ring-fddinet-default active1005 trnet-default activeSW1#使用” reload ”命令重啟SW1:SW1#reloadProceed with reload? confirm3/*在真實(shí)交換機(jī)上還會出現(xiàn)下面的提示信息，輸Ano,不保存配置*/System configuration has been modified. Save?yes/no:no重啟完成后再次查看VLAN配置：1/*從下面的輸出可以看到，雖然沒有保存配置文件，但是創(chuàng)建的VLAN還在，*這是因?yàn)閯?chuàng)建的VLAN信息是默認(rèn)保存在Flash的vlan.dat里

43、面的，*但是端口的分配信息是保存在配置文件中的，所以端口分配信息丟失了。*/Switch#show vlan brief8 VLAN NameStatus Ports9101 defaultactive11Fa0/5, Fa0/6, Fa0/7, Fa0/812Fa0/9, Fa0/10, Fa0/11, Fa0/1213Fa0/13, Fa0/14, Fa0/15, Fa0/1614Fa0/17, Fa0/18, Fa0/19, Fa0/2015Fa0/21, Fa0/22, Fa0/23, Fa0/2416Gig1/1, Gig1/217 2 vlan2nameactive18 3 vla

44、n3nameactive19 1002 fddi-defaultactive100320 default activetoken-ring-1004fddinet-21default active22 1005 trnet-defaultactive723 Switch#Fa0/1, Fa0/2, Fa0/3, Fa0/4其實(shí)vlan.dat文件中不僅僅包含了 VLAN信息，還包含了 VTP信息（下一篇文章中將會講 到），可以通過下面這條命令刪除vlan.dat文件：Switch#delete vlan.datDelete filename vlan.dat? /*回車確定*/Delete f

45、lash:/vlan.dat? confirm再次查看” show vlan brief”就看不到我們創(chuàng)建的VLAN信息了。*在GNS3上模擬配置VLAN這一部分使用GNS3模擬器來完成跨交換機(jī)的VLAN配置實(shí)驗(yàn)，實(shí)驗(yàn)中用到的命令和” CiscoPacket Tracer 5.3中稍有不同，實(shí)驗(yàn)拓?fù)淙缦拢簣D中4臺計算機(jī)分別用VPCS來模擬，兩臺交換機(jī)實(shí)際上是3640路由器上面增加了一個16 口的快速以太網(wǎng)交換模塊”NM-16ESW”，實(shí)驗(yàn)要求VPC1和VPC3劃分到VLAN2中，VPC2和 VPC4劃分到VLAN3中，兩臺交換機(jī)SW1和SW2之間相連的線路設(shè)置成主干線路，實(shí)現(xiàn)VPC1 可以和V

46、PC3通信，VPC2可以和VPC4通信。VPCS配置：/*配置每臺VPC的IP地址和子網(wǎng)掩碼*/VPCS1 ip 24PC1 : VPCS1 2VPCS2 ip 24PC2 : VPCS2 3VPCS3 ip 24PC3 : VPCS3 4VPCS4 ip 24PC4 : 13/*查看配置是否生效*/VPCS4 show1617 NAME IP/CIDR GATEWAY MAC LPORT RPORTVPCS1/2418 00:50:79:66:68:00 20000 30000fe80:250:79ff:fe66:6800/64VPCS2 /24 00:50:79:66:68:01 2000

47、1 30001fe80:250:79ff:fe66:6801/64VPCS3 /24 00:50:79:66:68:02 20002 30002fe80:250:79ff:fe66:6802/64VPCS4 /24 00:50:79:66:68:03 20003 30003fe80:250:79ff:fe66:6803/64VPCS4SW1配置：RouterenRouter#conf tRouter(config)#host SW1 /*改個名字看起來像一點(diǎn)*/SW1(config)#end56/*GNS3中只支持?jǐn)?shù)據(jù)庫配置模式配置VLAN*/SW1#vlan databaseSW1(vlan

48、)#vlan 2 name vlan2 /*創(chuàng)建 VLAN2 并且起名為 vlan2*/VLAN 2 added:Name: vlan2SW1(vlan)#vlan 3 name vlan3 /*創(chuàng)建 VLAN3 并且起名為 vlan3*/VLAN 3 added:Name: vlan3SW1(vlan)#exit /*退出vlan數(shù)據(jù)庫配置模式*/APPLY completed.Exiting.SW1#conf tSW1(config)#int fa 0/0SW1(config-if)#swi acc vlan 2 /*將 fa0/0 接入 vlan2*/SW1(config-if)#int

49、 fa 0/1SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3 /*將 fa0/1 接入 vlan3*/SW1(config-if)#int fa 0/15SW1(config-if)#swi mod trunk /*將 fa0/15 配置成主干模式*/SW1(config-if)#switchport trunk allowed vlan all /*允許所有 VLAN*/26/*GNS3模擬器上支持這條命令，更改主干線路封裝協(xié)議為802.1Q (默認(rèn)也是這個)*/SW1(config-if)#switchport trunk e

50、ncapsulation dot1qSW1(config-if)#endSW1#SW2配置：RouterRouterenRouter#conf tRouter(config)#host SW2SW2(config)#endSW2#vlan databaseSW2(vlan)#vlan 2 name vlan2VLAN 2 added:Name： vlan2SW2(vlan)#vlan 3 name vlan3VLAN 3 added:Name: vlan3SW2(vlan)#exitAPPLY completed.ExitingSW2#conf tSW2(config)#int fa 0/0S

51、W2(config-if)#swi acc vlan 2SW2(config-if)#int fa 0/1SW2(config-if)#swi acc vlan 3SW2(config-if)#int fa 0/15SW2(config-if)#swi mod trunkSW2(config-if)#swi trunk allowed vlan allSW2(config-if)#swi trunk encapsulation dot1qSW2(config-if)#endSW2#配置完成后，在VPCS上測試PING:/*VPC4可以和VPC2通信*/VPCS4 ping icmp_seq=1

52、 ttl=64 time=32.000 ms4/*VPC4不能和VLAN2中的任何計算機(jī)通信*/VPCS4 ping host () not reachableVPCS4 ping host () not reachable10/*切換到VPC3進(jìn)行測試*/VPCS4 3VPCS3 ping icmp_seq=1 ttl=64 time=31.000 ms15VPCS3 ping host () not reachableVPCS3 ping host () not reachable在添加了交換模塊的路由器上顯示VLAN信息和在交換機(jī)上顯示的命令有略微差異:/*使用下面的命令來查看VLAN信

53、息*/SW1#show vlan-switch brief3VLAN NameStatus Ports1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5Fa0/6, Fa0/7, Fa0/8, Fa0/9Fa0/10, Fa0/11, Fa0/12, Fa0/139Fa0/142 vlan210 0active Fa0/11 3 vlan3active Fa0/112 1002 fddi-defaultactive100313 default activetoken-ring-14 1004 fddinet-default active1005 trnet-

54、default activeSW1#除此命令外，其他命令都相同。*4*.VLAN 間路由在上面的試驗(yàn)中VLAN之間是不能互訪的，VLAN間的互訪需要借助路由器或三層交換機(jī)來 實(shí)現(xiàn)。*基于路由器物理接口的VLAN間路由如下圖所示,PC1和PC2連接在SW1上,PC的IP和網(wǎng)關(guān)配置如圖所示，PC1屬于VLAN2，PC2 屬于VLAN3,為了實(shí)現(xiàn)VLAN2能夠和VLAN3通信，需要將SW1的Fa0/23劃分到VLAN2中， 將Fa0/24劃分到VLAN3中，并且在R1上配置對應(yīng)的網(wǎng)關(guān)IP地址。IM IVLANSFG2IP-1G2.16S；2.If24 網(wǎng)吳:屈:? W 翱Fs0/O:19?z 1&8

55、. 17 54/2 4FsO/1 : 192. 168.2.：54/24IP:12.1BB.1.1/24Faa/2網(wǎng)1.254Fa0/23QlngSw6rd.COMSW1配置：SW1(config)#vlan 2 /*創(chuàng)建 VLAN*/SW1(config-vlan)#name vlan2SW1(config-vlan)#vlan 3SW1(config-vlan)#name vlan3SW1(config-vlan)#int fa 0/1 /*將端口劃分到 VLAN*/SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(con

56、fig-if)#int fa 0/2SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#int fa 0/23SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(config-if)#int fa 0/24SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#endSW1#R1配置：R1(config)#int fa 0/0R1(config-if)#ip

57、add 54 R1(config-if)#no shutR1(config-if)#int fa 0/1R1(config-if)#ip add 54 R1(config-if)#no shutR1(config-if)#endR1#?aJ0/O. 1 :19. 168 1; 254/24 FMl/Cl.N: 19或 168.2254/24配置完成后在PC1上可以Ping通PC2, VLAN2和VLAN3通信成功。*基于路由器子接口的VLAN間路由(單臂路由)在上面的實(shí)例中，如果使用路由的物理接口來配置，那么交換機(jī)上有多少個VLAN就需要在 路由器上配置多少個物理接口來實(shí)現(xiàn)VLAN間的互訪，這

58、樣成本很高?，F(xiàn)實(shí)中一般使用”單 臂路由”的形式，也就是使用路由器接口的子接口來實(shí)現(xiàn)VLAN間的互訪。如下圖所示：吟IP: 19&比&楚.L他 網(wǎng)關(guān):192/166. 254網(wǎng)天；192, 16S. 1.254PC1和PC2的IP地址和網(wǎng)關(guān)如圖所示，路由器R1的Fa0/0接口上配置兩個子接口分別作為 VLAN2和VLAN3的網(wǎng)關(guān),SW1的fa0/24接口需要配置成主干。SW1配置：SW1(config)#vlan 2SW1(config-vlan)#name vlan2 /*創(chuàng)建 VLAN*/SW1(config-vlan)#vlan 3SW1(config-vlan)#name vlan3SW

59、1(config-vlan)#int fa 0/1 /*分配端口到 VLAN*/SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(config-if)#int fa 0/2SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#int fa 0/24 /*配置和R1相連的接口為主干模式*/SW1(config-if)#swi mod trunkSW1(config-if)#endSW1#R1配置：R1(config)#int fa0/0R1(c

60、onfig-if)#no shut /*主接口只需要打開即可*/R1(config-if)#int fa 0/0.1 /*創(chuàng)建子接口*/4/*子接口封裝模式要和SW1的主干封裝模式一致，*因?yàn)樗伎平粨Q機(jī)主干默認(rèn)的封裝模式是802.1Q(dot1Q)，所以這里也要是這個。*在dot1Q后面的數(shù)字2要和VLAN號對應(yīng)，這個子接口是針對VLAN2的，所以這里是82。*/R1(config-subif)#encapsulation dot1Q 2R1(config-subif)#ip add 54 R1(config-subif)#no shut /*其實(shí)子接口默認(rèn)是打開的，這條命令可以省去*/R1(