第9章虛擬局域網(wǎng)VLAN

1第九章虛擬局域網(wǎng)VLAN1.問(wèn)題的提出2.VLAN的劃分3.VLAN的運(yùn)行與Trunk鏈路4.VLAN的配置步驟5.VTP協(xié)議6.VLAN間路由概述7.VLAN的優(yōu)點(diǎn)2

解決方案：

VLAN的劃分

當(dāng)網(wǎng)絡(luò)中廣播域內(nèi)節(jié)點(diǎn)數(shù)量增多時(shí)，網(wǎng)絡(luò)中廣播包將嚴(yán)重影響網(wǎng)絡(luò)通信的效率，如何縮小廣播域呢？廣播域增大，提高安全性？用戶(hù)的邏輯分組發(fā)生變化，是否就一定要改變物理接線？1.問(wèn)題提出3以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)C3B3C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)4以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個(gè)虛擬局域網(wǎng):VLAN1,VLAN2和VLAN35VLAN的劃分VLAN將同一個(gè)交換機(jī)上或不同交換機(jī)上的多個(gè)計(jì)算機(jī)劃分為一個(gè)邏輯組；VLAN內(nèi)主機(jī)之間的通信就像在一個(gè)局域網(wǎng)一樣，且可以廣播；P459屬于不同VLAN的主機(jī)之間不能進(jìn)行數(shù)據(jù)鏈路層的通信，不能廣播，需要經(jīng)過(guò)路由器轉(zhuǎn)發(fā)，限制了廣播域的范圍。6以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個(gè)虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成當(dāng)B1

向VLAN2

工作組內(nèi)成員發(fā)送廣播時(shí)，工作站B2和B3將會(huì)收到廣播的信息。7以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)三個(gè)虛擬局域網(wǎng)VLAN1,VLAN2和VLAN3

的構(gòu)成B1發(fā)送數(shù)據(jù)時(shí)，工作站A1,A2和C1都不會(huì)收到B1發(fā)出的廣播信息。8以太網(wǎng)交換機(jī)A4B1以太網(wǎng)交換機(jī)VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太網(wǎng)交換機(jī)以太網(wǎng)交換機(jī)虛擬局域網(wǎng)限制了接收廣播信息的工作站數(shù)，使得網(wǎng)絡(luò)不會(huì)因傳播過(guò)多的廣播信息而引起性能惡化。9限制了廣播域邏輯分組靈活

提高安全性第三層第二層第一層銷(xiāo)售部人力資源部工程部一個(gè)VLAN=一個(gè)廣播域=一個(gè)邏輯網(wǎng)段(子網(wǎng))VLAN的好處102.VLAN的劃分方法靜態(tài)VLAN：用端口號(hào)定義虛擬局域網(wǎng)

VLAN10:1、3、4端口

VLAN20:2、5、6端口動(dòng)態(tài)VLAN：用MAC地址等定義虛擬局域網(wǎng)

VLAN10：MAC2、MAC3、MAC4VLAN20：MAC1、MAC5、MAC611用交換機(jī)端口號(hào)定義虛擬局域網(wǎng)VLAN內(nèi)部的通信通過(guò)交換機(jī)轉(zhuǎn)發(fā)；VLAN1和VLAN2之間的通信必須通過(guò)路由器轉(zhuǎn)發(fā)交換機(jī)A綠色VLAN黑色VLAN紅色VLAN交換機(jī)上的每一個(gè)端口都可以分配給不同的VLAN默認(rèn)的情況下，所有的端口都屬于VLAN1（Cisco）3.VLAN的運(yùn)行與Trunk鏈路每個(gè)邏輯的VLAN就象一個(gè)獨(dú)立的子網(wǎng)同一個(gè)VLAN可以跨越多個(gè)交換機(jī)VLAN的運(yùn)行交換機(jī)A交換機(jī)B

trunk連接快速以太網(wǎng)綠色VLAN黑色VLAN紅色VLAN綠色VLAN黑色VLAN紅色VLAN14中繼(Trunk)的概念中繼鏈路用于實(shí)現(xiàn)跨交換機(jī)的VLAN通信，它是指交換機(jī)之間用于傳輸VLAN信息的鏈路；交換機(jī)A交換機(jī)B

trunk連接主干trunk鏈路支持多個(gè)VLAN的數(shù)據(jù)主干使用了特殊的封裝格式支持不同的VLAN交換機(jī)之間（或交換機(jī)與路由器之間）的100Mb/s或1000Mb/s的點(diǎn)到點(diǎn)鏈路可以配置為主干端口快速以太網(wǎng)VLAN的運(yùn)行綠色VLAN黑色VLAN紅色VLAN綠色VLAN黑色VLAN紅色VLAN交換機(jī)的端口類(lèi)型P461訪問(wèn)端口:access

只能屬于某一個(gè)VLAN,它只能承載某一個(gè)VLAN的流量.中繼端口:trunk

能夠承載多個(gè)VLAN的流量,一般指交換機(jī)之間或交換機(jī)與路由器之間的鏈路.交換機(jī)的端口類(lèi)型1.VLAN

Trunk：對(duì)于多個(gè)VLAN交換機(jī)來(lái)說(shuō)，VLANtrunk就是兩個(gè)交換機(jī)之間的連接，它在兩個(gè)或兩個(gè)以上的VLAN之間傳輸通信。每個(gè)交換機(jī)必須確定它所收到的幀屬于哪個(gè)VLAN。當(dāng)端口配置成trunk后，該端口就失去了它自身的VLAN標(biāo)識(shí)，可以為該交換機(jī)內(nèi)的所有VLAN傳輸數(shù)據(jù)。2.一個(gè)交換機(jī)的任何訪問(wèn)端口（access端口）都必須屬于且只能屬于一個(gè)VLAN，VLAN的識(shí)別SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN

干道連接快速以太網(wǎng)主干上傳輸?shù)臄?shù)據(jù)包加上VLAN標(biāo)識(shí)，來(lái)幫助交換機(jī)區(qū)分不同的VLAN。通常是采用IEEE的802.1q或Cisco的ISL協(xié)議。ISL標(biāo)識(shí)（Cisco私有）通過(guò)硬件(ASIC)實(shí)現(xiàn)ISL標(biāo)識(shí)不會(huì)出現(xiàn)在工作站，客戶(hù)端并不知道ISL的封裝信息在交換機(jī)或路由器與交換機(jī)之間可以實(shí)現(xiàn)進(jìn)入主干線前加上VLAN標(biāo)識(shí)離開(kāi)主干線后去掉VLAN標(biāo)識(shí)ISL支持VLAN的標(biāo)識(shí)ISL封裝ISL頭26bytes以太幀數(shù)據(jù)CRC4bytes用ISL頭與CRC進(jìn)行幀封裝可以支持多個(gè)VLAN(1024)VLAN號(hào)DATypeUserSALENVLANAAAA03HSAVLANBPDUINDEXRES20IEEE公共幀標(biāo)記協(xié)議802.1Q如果要跨越cisco交換機(jī)和其他廠商的交換機(jī)來(lái)建立多個(gè)VLAN，必須使用802.1Q協(xié)議VLANTagaddedbyincomingportVLANTagstrippedbyforwardingport802.1QVLANidentifier22Trunk鏈路的配置sw2(config)#interfacefa0/23sw2(config-if)#switchporttrunkencapsulationdot1qsw2(config-if)#switchportmodetrunkISL:Inter-switchlink,是CISCO交換機(jī)獨(dú)有的協(xié)議IEEE802.1Q:是國(guó)際標(biāo)準(zhǔn)協(xié)議，被幾乎所有的網(wǎng)絡(luò)設(shè)備生產(chǎn)商所共同支持；4.Vlan的配置步驟1.全局配置模式下,輸入VLANID,進(jìn)入VLAN配置模式:Switch(config)#vlan{vlan-id}2.為VLAN設(shè)置名字（可選）:Switch(config-vlan)#name{vlan-name}3.創(chuàng)建VLAN之后,把交換機(jī)端口分配到特定的VLAN里.若把端口分配進(jìn)了不存在的VLAN里,那么新的VLAN將自動(dòng)被創(chuàng)建.

Switch(config)#interface{interface}4.定義VLAN端口的成員關(guān)系,把它定義為訪問(wèn)端口:Switch(config-if)#switchportmodeaccess5.把端口分配進(jìn)特定的VLAN里:Switch(config-if)#switchportaccessvlan{vlan-id}6.定義端口為中繼端口:P471Switch(config-if)#switchportmodetrunk7.配置中繼端口,定義封裝協(xié)議:Switch(config-if)#switchporttrunkencapsulation{isl|dot1q|negotiate}Negotiate:devicewillnegotiatetrunkingencapsulationWithpeeroninterfaceVLAN配置的步驟交換機(jī)端口類(lèi)型設(shè)置（PacketTracer）Switch(config-if)#switchportmode?accessSettrunkingmodetoACCESSunconditionallydynamicSettrunkingmodetodynamicallynegotiateaccessortrunkmodetrunkSettrunkingmodetoTRUNKunconditionally配置實(shí)例B配置實(shí)例交換機(jī)Asuqa配置如下:Asuqa#configureterminalAsuqa(config)#vlan2Asuqa(config-vlan)#nameSalesAsuqa(config-vlan)#vlan3Asuqa(config-vlan)#nameTechAsuqa(config-vlan)#interfacef0/2Asuqa(config-if)#switchportmodeaccessAsuqa(config-if)#switchportaccessvlan2Asuqa(config-if)#noshutdownAsuqa(config-if)#interfacef0/3Asuqa(config-if)#switchportmodeaccessAsuqa(config-if)#switchportaccessvlan3Asuqa(config-if)#noshutdownAsuqa(config-if)#interfacef0/1Asuqa(config-if)#switchporttrunkencapsulationdot1qAsuqa(config-if)#switchportmodetrunkAsuqa(config-if)#noshutdownAsuqa(config-if)#endAsuqa#配置實(shí)例配置實(shí)例交換機(jī)Aiko配置如下:Aiko#configureterminalAiko(config)#vlan2Aiko(config-vlan)#nameSalesAiko(config-vlan)#vlan3Aiko(config-vlan)#nameTechAiko(config-vlan)#interfacef0/3Aiko(config-if)#switchportmodeaccessAiko(config-if)#switchportaccessvlan2Aiko(config-if)#noshutdownAiko(config-if)#interfacef0/5Aiko(config-if)#switchportmodeaccessAiko(config-if)#switchportaccessvlan3Aiko(config-if)#noshutdownAiko(config-if)#interfacef0/1Aiko(config-if)#switchporttrunkencapsulationdot1qAiko(config-if)#switchportmodetrunkAiko(config-if)#noshutdownAiko(config-if)#endAiko#配置實(shí)例配置實(shí)例Asuqa#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/4,Fa0/5,Fa0/7Fa0/8,Fa0/9,Fa0/10,Fa0/11Fa0/12,Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22,Fa0/23，F(xiàn)a0/24,Gi0/1,Gi0/22SalesactiveFa0/23TechactiveFa0/31002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsupTrunk端口配置實(shí)例Aiko#showvlanbriefVLANNameStatusPorts------------------------------------------------------------------------1defaultactiveFa0/2,Fa0/4,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/24，Gi0/1,Gi0/22SalesactiveFa0/33TechactiveFa0/51002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsupTrunk端口交換機(jī)的配置練習(xí)驗(yàn)證交換機(jī)的配置Showmac-address-tableShowspanning-treeSpanning-treevlan1priority……P4355.VTP協(xié)議

(VLANTrunkingProtocol)在每臺(tái)交換機(jī)上配置所有的vlan，工作繁重枯燥，容易出錯(cuò)（P466真實(shí)場(chǎng)景）VTP協(xié)議使得用戶(hù)可以在一個(gè)或者幾個(gè)中央節(jié)點(diǎn)（Server）上創(chuàng)建、修改和刪除VLAN，VLAN信息通過(guò)Trunk鏈路自動(dòng)擴(kuò)散到其他交換機(jī)，任何參與VTP的交換機(jī)都可以接收這些修改，所有交換機(jī)自動(dòng)保持相同的VLAN信息。VTP協(xié)議一個(gè)能夠宣告VLAN配置信息的信息系統(tǒng)通過(guò)一個(gè)共有的管理域，維持VLAN配置信息的一致性VTP只能在主干端口發(fā)送要宣告的信息支持混合的介質(zhì)主干連接(快速以太網(wǎng),FDDI,ATM)1.“新增一個(gè)vlan”3.同步最新的vlan信息2VTP域“91L”VTP模式VTP可以分為以下3種模式。①服務(wù)器模式（Server）：在VTP服務(wù)器上能創(chuàng)建、修改和刪除VLAN，同時(shí)這些信息會(huì)通告給域中的其他的交換機(jī)。在默認(rèn)情況下，交換機(jī)是服務(wù)器模式。每個(gè)VTP域必須至少有一臺(tái)服務(wù)器，域中的VTP服務(wù)器可以有多臺(tái)。②客戶(hù)機(jī)模式（Client）：VTP客戶(hù)機(jī)上不允許創(chuàng)建、修改和刪除VLAN，但它會(huì)監(jiān)聽(tīng)來(lái)自其他交換機(jī)的VTP通告并更改自己的VLAN信息。接收到的VTP信息也會(huì)在Trunk鏈路上向其他交換機(jī)轉(zhuǎn)發(fā)，因此這種交換機(jī)還能充當(dāng)VTP中繼。③透明模式（Transparent）：這種模式的交換機(jī)不參與VTP。在這種模式的交換機(jī)創(chuàng)建、修改和刪除VLAN，但是這些VLAN信息并不會(huì)通告給其他交換機(jī)，它也不接受其他交換機(jī)的VTP通告而更新自己的VLAN信息。然而，它會(huì)通過(guò)Trunk鏈路轉(zhuǎn)發(fā)接收到的VTP通告，從而充當(dāng)了VTP中繼的角色，因此完全可以把該交換機(jī)看成是透明的。VTP模式服務(wù)器模式客戶(hù)模式透明模式發(fā)送/轉(zhuǎn)發(fā)

信息宣告同步創(chuàng)建vlan修改vlan刪除vlan發(fā)送/轉(zhuǎn)發(fā)

信息宣告同步創(chuàng)建vlan修改vlan刪除vlan轉(zhuǎn)發(fā)

信息宣告不同步Catalystswitches上默認(rèn)的VTP模式是服務(wù)器模式，這樣在向VLAN中增加一臺(tái)交換機(jī)時(shí)必須注意這一點(diǎn)。VTP信息宣告以多點(diǎn)傳送的方式來(lái)進(jìn)行VTP服務(wù)器和客戶(hù)模式下會(huì)同步最新版本的宣告信息VTP信息宣告每隔5分鐘或者有變化時(shí)發(fā)生1.新增VLAN2.版本5-->版本6服務(wù)器客戶(hù)客戶(hù)4.版本5-->版本65.同步新的VLAN信息334.版本5-->版本65.同步新的VLAN信息VTP是如何工作的VTP是如何工作的VTP通告是以組播幀的方式發(fā)送的，VTP通告中有一個(gè)字段稱(chēng)為修訂號(hào)（Revision），初始值為0.只要在VTPServer上創(chuàng)建、修改和刪除VLAN，通告的Revision就增加1，通告中還包含了VLAN的變化信息。需要注意的是：高Revision的通告會(huì)覆蓋低Revision的通告，而不管發(fā)送者是Server還是Client。交換機(jī)只在本地保存的Resivison號(hào)更高的通告；如果交換機(jī)收到比自己的Resivison號(hào)更低的通告，會(huì)用自己的VLAN信息反向覆蓋。通過(guò)阻止不必要數(shù)據(jù)的廣播傳送來(lái)增加可用的帶寬，只將廣播發(fā)送到真正需要該信息的中繼鏈路上。例如:主機(jī)A發(fā)廣播，廣播僅僅泛洪到已有端口被分配到紅色VLAN的所有交換機(jī)交換機(jī)4交換機(jī)2交換機(jī)6交換機(jī)3交換機(jī)1端口2被泛洪的數(shù)據(jù)在

這些地方被阻止紅色

VLAN端口1交換機(jī)5ABVTP裁減---P466VTP配置步驟1.全局配置模式下,定義VTP模式:Switch(config)#vtpmode{server|client|transparent}2.定義VTP域名,在同一個(gè)VLAN管理域的交換機(jī)的VTP域名必須相同.該域名長(zhǎng)度為1到32字符:Switch(config)#vtpdomain{domain-name}3.設(shè)置VTP域的密碼,同一VTP域里的交換機(jī)的VTP域的密碼必須一致,密碼長(zhǎng)度為8到64字符.可選:Switch(config)#vtppassword{password}配置實(shí)例配置實(shí)例交換機(jī)Asuqa配置如下:Asuqa#configureterminalAsuqa(config)#vtpdomainqustAsuqa(config)#vtpmodeserverAsuqa(config)#vtppasswordcomputerAsuqa(config)#endAsuqa#配置實(shí)例交換機(jī)Aiko配置如下:Aiko#configureterminalAiko(config)#vtpdomainqustAiko(config)#vtpmodeclientAiko(config)#vtppasswordcomputerAiko(config)#endAiko#在交換機(jī)上劃分VLAN后，VLAN間的計(jì)算機(jī)就無(wú)法通信了。VLAN間的通信需要借助第3層具有路由功能的設(shè)備;VLAN間路由的實(shí)現(xiàn):

1)使用路由器，采用單臂路由模式;2)采用三層交換機(jī).6.VLAN間路由概述VLAN間路由----單臂路由VLAN1VLAN2RouterApplicationTCPIPISLEthernetf0/10f0/0如果每個(gè)vlan連一個(gè)路由器接口,占用太多路由器接口R1(config)#intf0/0R1(config-if)#noshutdownR1(config)#intf0/0.1R1(config-subif)#encapsulationdot1q1native//以上是定義該子接口承載哪個(gè)VLAN流量，由于交換上的NativeVLAN是VLAN1，所以我們這里也要指明該VLAN就是NativeVLAN。實(shí)際上，默認(rèn)時(shí)，NativeVLAN就是VLAN1R1(config-subif)#ipaddress54//在子接口上配置IP地址，這個(gè)地址就是VLAN1的網(wǎng)關(guān)R1(config)#intf0/0.2R1(config-subif)#encapsulationdot1q2R1(config-subif)#ipaddress54VLAN