VLAN基础.docx
《VLAN基础.docx》由会员分享,可在线阅读,更多相关《VLAN基础.docx(12页珍藏版)》请在冰豆网上搜索。
VLAN基础
CCNA中文笔记第7章:
VLAN
作者:
红头发
Chapter7VirtualLANs(VLANs)
VLANBasics
如何在1个交换性的网络里,分割广播域呢?
答案是创建VLAN.VLAN是连接到定义好了的switch的端口的网络用户和资源的逻辑分组.给不同的子网分配不同的端口,就可以创建更小的广播域.默认情况下,在某个VLAN中的主机是不可以与其他VLAN通信的,除非你使用router来创建VLAN间的通信
VLAN的一些特点:
1.网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口
2.安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信
3.因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关
4.VLAN增加安全性
5.VLAN增加广播域的数量,而减小广播域的大小
BroadcastControl
每种协议都会有广播的现象发生,至于发生不频率,次数,一般由以下几点决定:
1.协议类型
2.在网络上运行的应用程序
3.这些服务如何的被使用
Security
安全性是VLAN的1大特点,不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信
FlexibilityandScalability
VLAN的灵活性和可扩展性:
1.可以不管物理位置如何,把适当的端口分配到适当的VLAN中就可以了.可以把VLAN理解正下面的样子:
2.当VLAN增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN中的用户越少,被广播影响的就越少,来比较下下面2个图,明显可以发现,图2,即VLAN的具有更高的灵活性和可扩展性,如下:
VLANMemberships
手动由管理员分配端口划分的VLAN叫静态VLAN(staticVLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamicVLAN)
StaticVLANs
静态VLAN:
静态VLAN安全性较高,手动划分端口给VLAN,和设备的物理位置没什么关系.而且,每个VLAN中的主机必须拥有正确的IP地址信息,如VLAN2配置为172.16.20.0/24
DynamicVLANs
动态VLAN:
使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN.Cisco设备管理员可以使用VLAN管理策略服务器(VLANManagementPolicyServer,VMPS)的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上
IdentifyingVLANs
当帧在网络中被交换,switches根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1点要记住的是:
在不同类型的连接中,帧被处理的方式也不一样
要
交换环境中的2种连接类型:
1.accesslinks:
指的是只属于一个VLAN,且仅向该VLAN转发数据帧的端口,也叫做nativeVLAN.switches把帧发送到access-link设备之前,移去任何的VLAN信息.而且access-link设备不能与VLAN外通信,除非数据包被路由。
2.trunklinks:
指的是能够转发多个不同VLAN的通信的端口.trunklink必须使用100Mbps以上的端口来进行点对点连接,1次最多可以携带1005个VLAN信息.trunklink使你的单独的1个端口同时成为数个VLAN的端口,这样可以不需要层3设备.当你在switches之间使用了trunklink,多个VLAN的信息将从这个连接上通过;如果在你switches之间没有使用trunklink而使用一般的连接,那么只有VLAN1的信息通过这个连接被互相传递.VLAN1默认作为管理VLAN
FrameTagging
frametagging:
帧的鉴别方法.当帧到达每个switch,首先先检查VLANID,然后决定如何对帧进行处理.当帧到达和VLANID所匹配的accesslink的时候,switch移去VLAN标识符
VLANIdentificationMethod
VLAN标识符:
在交换机的trunklink上,可以通过对数据帧附加VLAN信息,构建跨越多台交换机的VLAN.附加VLAN信息的方法,最具有代表性的有:
1.Inter-SwitchLink(ISL):
属于Cisco私有,只能在快速和千兆以太网连接中使用,ISL路由可以使用在switch的断端口,router的接口和服务器接口卡等
2.IEEE802.1Q:
俗称dot1Q.由IEEE创建,所以在Cisco和非Cisco设备之间,就不能使用ISL必须使用802.1Q.802.1Q所附加的VLAN识别信息,位于数据帧中的源MAC地址与类型字段之间.基于IEEE802.1Q附加的VLAN信息,就像在传递物品时附加的标签。
当然ISL和802.1Q的主要目的是提供VLAN间通信。
Inter-SwitchLink(ISL)Protocol
ISL:
ISL运作在层2,ISL是1种外部标签处理过程,所以原始的数据帧不被改变,ISL在数据帧头部加上26字节长的ISL头部信息,在数据帧尾部加上4字节的FCS字段进行CRC运算,所以只有支持ISL的设备才能对它进行读取,最大程度1522字节.当帧被传送到accesslink时,ISL封装信息将被移去
使用trunklink在多个VLAN中行走,比使用router连接的好处是:
减少延时间
VLANTrunkingProtocol(VTP)
VTP也是Cisco创建的,但是现在已经不为Cisco所私有.VTP的主要目的是在1个交换性的环境中管理所有配置好的VLAN使所有的VLAN保持一致性VTP允许增加,删除和重命名VLAN,然后这些修改后的信息传播到整个VTP域里的所有switches上
VTP的一些优点:
1.保持VLAN信息的连续性
2.精确跟踪和监视VLAN
3.动态报告增加了的VLAN信息给VTP域中所有switch
4.可以使用即插即用(plug-and-play)的方法增加VLAN
5.可以在混合型网络中进行trunklink,比如以太网到ATMLANE,FDDI等
在你使用VTP管理VLAN之前,必须先创建个VTP服务器(VTPserver),所有要共享VLAN信息的服务器必须使用相同的域名.而且,假如你把某个switch和其他的switch配置在1个VTP域里,这个switch就只能和这个VTP域里的switch共享VLAN信息.其实,如果你只有1个VLAN,就不需要使用VTP了.VTP信息通过trunk端口进行发送和接收.可以给VTP配置密码,但是要记住的是,所有的switch必须配置相同的密码。
switch通告VTP管理域信息,加上版本号和已知VLAN配置参数信息.还有种叫做透明VTP模式(transparentVTPmode),在这种模式里,你可以给switch配置成通过trunk端口转发VTP信息,但是不接受VTP更新信息来更新它自己的VTP数据库
switch通过VTP通告检测到增加的VLAN,然后把新增加的VLAN和已有的联结在一起共享信息.新的更新信息在之前的版本号上加1。
VTPModesofOperation
在VTP域里操作的3种模式:
1.服务器模式(servermode):
所有Catalystswitches的默认设置,1个VTP域里必须至少要有1个服务器用来传播VLAN信息,对VTP信息的改变必须在服务器模式下操作.配置保存在NVRAM里
2.客户机模式(clientmode):
在这种模式下,switches从VTP服务器接受信息,而且它们也发送和接收更新,但是它们不能做任何改变.在VTP服务器通知客户switches说增加了新的VLAN之前,你不能在客户switch的端口上增加新的VLAN.配置不保存在NVRAM里
3.透明模式(transparentmode):
该模式下的switch不能增加和删除VLAN,因为它们保持的有自己的数据库,不和其他的共享.配置保存在NVRAM里
VTPPruning
VTPpruning:
减少广播,组播,单播,保留带宽.VTPpruning只在trunklink上发送广播.默认情况,VTPpruning在所有的switches上是没有启用的.当你在VTP服务器上启用了VTPpruning,整个VTP域就启用了VTPpruning,默认只能在VLAN2到VLAN1005,VLAN1是管理VLAN
RoutingbetweenVLANs
可以使用支持ISL路由的router来连接VLAN,支持ISL路由的最低型号是2600系列,1600,1700和2500系列都不支持.如下图,就是router和每个VLAN之间的关联,每个router的接口都插入1个accesslink,这个同时也说明了router的每个接口的IP地址都是每个VLAN的默认网关:
假如你有太多的VLAN,数量超过了router接口数量,明显上面的方法就不适用了.你可以使用Cisco的3层switchCisco3550,或者使用router的快速以太网接口来做ISL或者802.1Q的trunklink,这样的方法叫做单臂路由(routeronastick).如下图:
ConfiguringVLANs
创建VLAN:
1900下,使用vlan[vlan#]name[name][vlan#]命令,如下:
>en
#configt
(config)#hostname1900
1900(config)#vlan2namesales
1900(config)#vlan3namemarketing
1900(config)#vlan4namemis
1900(config)#exit
验证,使用showvlan命令,记住在你没给VLAN分配端口之前,之前做的VLAN是不会起作用的.而且所有的端口默认是处在VLAN1的,VLAN1是管理VLAN.如下:
1900#shvlan
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultEnable1-12,AUI,A,B
2salesEnable
3marketingEnable
(略)
在2950下创建VLAN,在特权模式下使用vlandatabase命令,创建命令和1900下的类似,注意结尾使用apply命令.如下:
2950#vlandatabase
2950(vlan)#vlan2nameMarketing
VLAN2modified:
Name:
Marketing
2950(vlan)#vlan3nameAccounting
VLAN3added:
Name:
Accounting
2950(vlan)#apply
APPLYcomplete
2950(vlan)#Ctrl+C
2950#
使用showvlan或者showvlanbrief命令验证下:
2950#shvlanbrief
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultactiveFa0/1...Fa0/12
2Marketingactive
3Accountingactive
(略)
AssigningSwitchPortstoVLANs
创建了VLAN,接下来要做的就是给VLAN分配端口.1900下,使用vlan-membership命令1次只能分配1个,可以 static或dynamic作为参数,如下:
1900(config)#inte0/2
1900(config-if)#vlan-membershipstatic2
1900(config)#inte0/4
1900(config-if)#vlan-membershipstatic3
1900(config)#inte0/5
1900(config-if)#vlan-membershipstatic4
1900(config-if)#exit
1900(config)#exit
1900#
验证,如下:
1900#shvlan
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultEnable1-12,AUI,A,B
2salesEnable2
3marketingEnable4
(略)
2950下的配置,使用switchportaccessvlan[vlan#]命令,如下:
2950(config-if)#intf0/2
2950(config-if)#switchportaccessvlan2
2950(config-if)#intf0/3
2950(config-if)#switchportaccessvlan3
2950(config-if)#intf0/4
2950(config-if)#switchportaccessvlan4
2950(config-if)#exit
2950(config)#exit
2950#
验证配置信息,如下:
2950#shvlanbrief
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultactiveFa0/1Fa0/5...Fa0/12
2MarketingactiveFa0/2
3AccountingactiveFa0/3
(略)
ConfiguringTrunkPorts
1900只使用动态ISL(DISL)封装方式,在快速以太网配置trunk,在接口配置模式下使用trunk[参数]的命令,如下,将26接口设置为trunk端口:
1900(config)#intf0/26
1900(config-if)#trunk?
auto SetDISLstatetoAUTO
desirable SetDISLstatetoDESIRABLE
nonegotiate SetDISLstatetoNONEGOTIATE
off SetDISLstatetoOFF
on SetDISLstatetoON
1900(config-if)#trunkon
设置参数为on,即接口将作为永久ISL的trunk端口,可以和和相连的设备协商,并且把连接转换成trunklink
2950下在接口配置模式,使用switchport命令,如下:
2950(config)#intf0/12
2950(config-if)#switchportmodetrunk
2950(config-if)#^Z
2950#
验证配置信息:
2950#shrun
(略)
!
interfaceFastEthernet0/12
switchportmodetrunk
noipaddress
!
(略)
ConfiguringInter-VLANRouting
使VLAN间互相通信,就必须使用router或者3层switch来连接.要在router的快速以太网接口支持ISL和802.1Q,要把接口划分成许多逻辑接口(非物理),1个接口对应1个VLAN.这些接口就叫子接口(subinterfaces).还有要必须知道的是,默认你不可能在1900和2950之间做trunk连接,因为1900只支持ISL路由而2950只支持802.1Q路由,2种相互不兼容。
给连接1900的trunk端口配置,使用encapsulationisl[vlan#]命令,如下:
2600Router(config)#intf0/0.1
2600Router(config-subif)#encapsulationisl[vlan#]
给连接2950的这样配置,如下:
2600Router(config)#intf0/0.1
2600Router(config-subif)#encapsulationdot1q[vlan#]
ConfiguringVTP
默认下,1900和2950都被配置成VTP服务器模式,配置VTP,先配置VTP域名,还有密码,是否pruning等。
1900下,在全局配置模式下使用vtp命令,如下:
1900(config)#vtp?
clientVTPclient
domainSetVTPdomainname
passwordSetVTPpassword
pruningVTPpruning
serverVTPserver
transparentVTPtransparent
trapVTPtrap
1900(config)#vtpserver
1900(config)#vtpdomainnoco
1900(config)#vtppasswordnoko
在特权模式下使用showvtp命令验证,如下:
1900#shvtp
VTPversion:
1
Configurationrevision:
0
MaximumVLANssupportedlocally:
1005
NumberofexistingVLANs:
5
VTPdomainname:
noco
VTPpassword:
noko
VTPoperatingmode:
Server
(略)
2950如下:
2950(config)#vtpmodeserver
2950(config)#vtpdomainnoco
验证信息,如下:
2950#shvtp?
countersVTPstatistics
statusVTPdomainstatus
2950#shvtpstatus
(略)
ConfiguringSwitchinginOurSampleInternetwork
配置实例:
先配置2950C,如下
2950C(config)#enablesecretnoko
2950C(config)#linecon0
2950C(config-line)#login
2950C(config-line)#passwordnoco
2950C(config-line)#linevty015
2950C(config-line)#login
2950C(config-line)#passwordnoco
2950C(config-line)#bannermotd#
2950C
#
2950C(config-line)#exit
2950C(config)#intvlan1
2950C(config-if)#ipaddress172.16.10.2255.255.255.0
2950C(config-if)#noshut
2950C(config-if)#exit
2950C(config)#updefault-gateway172.16.10.1
2950C(config)#^Z
2950C#copyrunstart
配置2950B,如下:
2950B(config)#enablesecretnoko
2950B(config)#linecon0
2950B(config-line)#login
2950B(config-line)#passwordnoco
2950B(config-line)#linevty015
2950B(config-line)#login
2950B(config-line)#passwordnoco
2950B(config-line)#bannermotd#
2950B
#
2950B(config-line)#exit
2950B(config)#intvlan1
2950B(config-if)#ipaddress172.16.10.3255.255.255.0
2950B(config-if)#noshut
2950B(config-if)#exit
2950B(config)#updefault-gateway172.16.10.1
2950B(config)#^Z
2950B#copyrunstart
配置trunk,2950B如下:
2950B(config)#intf0/1
2950B(config-if)#switchportmodetrunk
2950B(config-if)#intf0/4
2950B(config-if)#switchportmodetrunk
2950B(config-if)#intf0/5
2950B(confgi-if)#switchportmodetrunk
配置trunk,2950C如下:
2950C(co
升级会员 