第七講 虛擬局域網(wǎng)Vlan及其配置

虛擬局域網(wǎng)Vlan虛擬局域網(wǎng)主要內(nèi)容Vlan概念基于端口的Vlan劃分Vlan的標(biāo)識和幀的鑒別Vlan中繼協(xié)議-VTPVlan的配置Vlan的概念局域網(wǎng)（LAN）通常被定義為一個單獨的廣播域，主要使用Hub，網(wǎng)橋，或交換機等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點。同處一個局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點之間可以不通過網(wǎng)絡(luò)路由器直接進行通信；而處于不同局域網(wǎng)段內(nèi)的設(shè)備之間的通信則必須經(jīng)過網(wǎng)絡(luò)路由器。Vlan的概念VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將位于不同物理局域網(wǎng)段的設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。使用VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域。一個Vlan是一個獨立的廣播域未劃分Vlan，未分割廣播域計算機A廣播“ARP請求（ARPRequest）信息”，來嘗試獲取計算機B的MAC地址。Vlan的優(yōu)點1.增加了網(wǎng)絡(luò)連接的靈活性和可擴展性借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低。

Vlan的優(yōu)點2.控制網(wǎng)絡(luò)上的廣播

使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換機上或跨接多個交換機，在一個VLAN中的廣播幀不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播幀。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。

Vlan的優(yōu)點3.增加網(wǎng)絡(luò)的安全性

因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。

VLAN的劃分方法基于端口劃分的VLAN

這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當(dāng)于一個獨立的VLAN交換機。優(yōu)點是定義VLAN成員時非常簡單，缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。交換機端口類型交換機的端口，可以分為以下兩種：訪問鏈接（AccessLink）訪問鏈接，指的是“只屬于一個VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。訪問連接是到具體標(biāo)準(zhǔn)化以太網(wǎng)網(wǎng)絡(luò)接口卡的設(shè)備連接。匯聚/中繼鏈接（TrunkLink）能夠轉(zhuǎn)發(fā)多個不同Vlan的通信的端口。匯聚鏈接端口修改原始幀來發(fā)送Vlan信息。交換機端口類型Vlan標(biāo)識符和幀的鑒別每一個VLAN標(biāo)記幀包含指明自身所屬VLAN的字段。有兩種主要的VLAN標(biāo)簽格式，思科公司的Inter-SwitchLink（ISL）格式和標(biāo)準(zhǔn)的802.1Q格式。思科ISLInter-SwitchLink（ISL）格式是思科私有VLAN標(biāo)簽格式。在使用的時候，VLAN標(biāo)簽在每個幀的頭部增加26字節(jié)信息，在幀尾部附加4字節(jié)CRC。標(biāo)簽的格式如下：Vlan標(biāo)識符和幀的鑒別ISL報頭封裝幀CRCVlan標(biāo)識符和幀的鑒別Vlan標(biāo)識符和幀的鑒別基于802.1Q標(biāo)準(zhǔn)的標(biāo)簽

802.1Q是IEEE的標(biāo)準(zhǔn)格式。802.1Q標(biāo)準(zhǔn)允許VLAN標(biāo)記幀可以在不同廠家的交換機之間傳遞。802.1Q標(biāo)簽比ISL標(biāo)簽包含更少的域，將其插入幀中。Vlan

TrunkingProtocolVTP—VLANTrunk協(xié)議

VTP協(xié)議允許在一個單獨的設(shè)備（VTP服務(wù)器）上配置VLAN，并把配置信息通過交換網(wǎng)絡(luò)傳遞出去。這減少了管理VLAN需要的總時間。在一個VTP環(huán)境里，一臺交換機可以是以下3種不同的角色之一。可以是一臺VTP服務(wù)器、一臺VTP客戶機、或者工作在透明模式。角色決定了交換機在VLAN網(wǎng)絡(luò)中被如何配置。Vlan

TrunkingProtocolVTP服務(wù)器模式VTP服務(wù)器是每個VTP域的根本。服務(wù)器是可以增加、刪除、重命名VLAN的交換機。思科交換機的默認模式是服務(wù)器模式。VTP服務(wù)器周期性地廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號。這個修改號是VTP域的一部分，它確保VTP域內(nèi)的所有交換機有現(xiàn)行的、正確的VLAN配置信息。當(dāng)VLAN在VTP服務(wù)器上被創(chuàng)建的時候，和其他VLAN配置信息一起存儲在服務(wù)器的NVRAM（存儲單元）。Vlan

TrunkingProtocolVTP客戶模式VTP客戶交換機從VTP服務(wù)器接收所有VLAN配置信息?？蛻艚粨Q機不能刪除、添加、重命名VLAN。Vlan

TrunkingProtocolVTP透明模式VTP透明交換機和VTP客戶交換機不同，VLAN可以在這些交換機上手工配置。如果配置為VTP域的一部分，他們可以從VTP服務(wù)器接收VLAN配置信息。然而，他們不會通告VTP域本地配置的VLAN。配置成透明模式的交換機還是會收到VTP配置幀并傳遞這些幀到所有的匯聚端口。這允許VTP客戶交換機可以連接到一個VTP透明交換機?？蛻艚粨Q機透過透明交換機還是可以和VTP服務(wù)器交換VLAN配置信息。Vlan

TrunkingProtocol服務(wù)器客戶透明可以添加、修改和刪除Vlan是否是可以產(chǎn)生VTP消息是否否可以傳播VTP消息是是是可以接受VTP消息中的修改是是否缺省VTP模式是否否Vlan間的路由同一Vlan內(nèi)的主機可以直接進行通信，不同Vlan內(nèi)的主機不能直接通信，必須通過三層設(shè)備進行路由Vlan間路由的方法多以太網(wǎng)接口路由器路由單以太網(wǎng)接口路由器路由（單臂路由）三層交換機路由Vlan間的路由多以太網(wǎng)接口路由器路由既路由器和每個Vlan相連，有多少Vlan就需要路由器有多少以太網(wǎng)接口與交換機相連。Vlan間的路由單臂路由無論有多少Vlan，路由器與交換機都只有一個接口相連。路由器接口需要支持匯聚鏈接，交換機端口需要設(shè)置為匯聚鏈接。在路由器上定義對應(yīng)每個Vlan的子接口，即把一個物理接口定義為多個虛擬接口。對應(yīng)每個Vlan，有一個虛擬接口與之相連。Vlan間的路由Vlan間的路由單臂路由的缺點單點失效產(chǎn)生瓶頸Vlan配置第一步：配置VTP(vlandatabase模式)Vlan配置第一步：配置VTP(config

模式)Switch(config)#vtpmodeserverDevicemodealreadyVTPSERVER.Switch(config)#vtpdomainmanageChangingVTPdomainnamefromNULLtomanageSwitch(config)#vtppasswordciscoSettingdeviceVLANdatabasepasswordtociscoVlan配置第二步：配置Trunk端口Vlan配置第三步：創(chuàng)建Vlan（vlandatabase模式）第三步：創(chuàng)建Vlan（config模式）Switc