3 VLAN文档格式.docx

1、这所社区大学需要的解决方案是使用一种称为虚拟局域网 （VLAN） 的网络技术。VLAN 可让网络管理员建立多组逻辑上联网的设备，即使这些设备与其它 VLAN 共享相同的基础架构，它们也能像在独立的网络中一样运作。配置 VLAN 时，可为它指定一个描述性的名字，以说明该 VLAN 的用户的主要角色。例如，学校中所有的学生计算机可以配置到称为 Student 的 VLAN 中。通过使用 VLAN，可以根据职能、部门或项目小组对交换网络进行逻辑分组。您还可以使用 VLAN 组织跨地域的网络，以支持各公司日益增多的家庭办公员工。如图所示，我们分别为学生和教师创建了一个 VLAN。这两个 VLAN 允许

2、网络管理员对特定的用户组实施各种访问策略和安全策略。例如，可以让教师访问电子教学管理服务器以编写在线课程教材，但禁止学生访问这些服务器。单击图中的“详细信息”按钮。VLAN 详细信息VLAN 是一个逻辑上独立的 IP 子网。多个 IP 网络和子网可以通过 VLAN 存在于同一个交换网络上。图中所示为包含三台计算机的网络。为了让同一个 VLAN 上的计算机能相互通信，每台计算机必须具有与该 VLAN 一致的 IP 地址和子网掩码。其中的交换机必须配置 VLAN，并且必须将位于 VLAN 中的每个端口分配给 VLAN。配置了单个 VLAN 的交换机端口称为接入端口。注意，如果两台计算机只是在物理上

3、连接到同一台交换机，并不表示它们能够通信。无论是否使用 VLAN，两个不同网络和子网上的设备必须通过路由器（第 3 层）才能通信。要将多个网络和子网组织到一个交换网络中，不一定要使用 VLAN，但是使用 VLAN 的确会带来很多好处。第 $PAGEVAR 页 3:VLAN 的优点用户效率和网络适应性是企业发展与成功的关键要素。采用 VLAN 技术能让网络以更加灵活的方式对业务目标予以支持。使用 VLAN 主要有以下优点： 安全 含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。教师计算机位于 VLAN 10 上，完全与学生数据传输和访客数据传输相隔离。 成本降低 成本高

4、昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 性能提高 将第 2 层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 广播风暴防范 将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。在“配置交换机”一章我们讨论过，LAN 划分可以防止广播风暴波及整个网络。如图所示，我们可以看到，虽然该网络中有六台计算机，但是只有三个广播域：Faculty、Student 和 Guest。 提高 IT 员工效率 VLAN 为管理网络带来了方便，因为有相似网络需求的用户将共享同一个 VLAN。当您为特定 VLAN 设置新的交换机时，之前为该 VLAN

5、配置的所有策略和规程均会在指定新交换机端口后应用到端口上。另外，通过为 VLAN 设置一个适当的名称，IT 员工很容易就知道该 VLAN 的功能。在右图中，为了便于识别，我们将 VLAN 20 命名为 Student，将 VLAN 10 命名为 Faculty，将 VLAN 30 命名为 Guest。 简化项目管理或应用管理 VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。第 $PAGEVAR 页 4:VLAN ID 范围接入 VLAN 分

6、为普通范围和扩展范围。普通范围的 VLAN 用于中小型商业网络和企业网络。 VLAN ID 范围为 1 到 1005。 从 1002 到 1005 的 ID 保留供令牌环 VLAN 和 FDDI VLAN 使用。 ID 1 和 ID 1002 到 1005 是自动创建的，不能删除。随着本章内容的展开，我们将更深入地了解 VLAN 1。 配置存储在名为 vlan.dat 的 VLAN 数据库文件中，vlan.dat 文件则位于交换机的闪存中。 用于管理交换机之间 VLAN 配置的 VLAN 中继协议 （VTP） 只能识别普通范围的 VLAN，并将它们存储到 VLAN 数据库文件中。扩展范围的 V

7、LAN 可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大，从而需要使用扩展范围的 VLAN ID。 VLAN ID 范围从 1006 到 4094。 支持的 VLAN 功能比普通范围的 VLAN 更少。 保存在运行配置文件中。 VTP 无法识别扩展范围的 VLAN。可配置 255 个 VLAN一台 Cisco Catalyst 2960 交换机可支持最多 255 个普通范围与扩展范围的 VLAN，但是配置的 VLAN 数量的多少会影响交换机硬件的性能。由于企业网络可能需要含有大量端口的交换机，因此 Cisco 开发了企业级的交换机，这种交换机可以级联或堆叠在一起，建立起

8、由九台独立交换机组成的交换单元。每台独立的交换机可以有 48 个端口，因此这样的交换单元总共有 432 个端口。在这种情况下，每台交换机限制为 255 个 VLAN 可能使某些企业客户受到约束。 3.1.2 VLAN 的类型目前实现 VLAN 的方法主要有一种，这就是基于端口的 VLAN。基于端口的 VLAN 与称为接入 VLAN 的端口相关联。不过网络中有许多与 VLAN 相关的术语。有些术语定义了网络流量的类型，而其它术语定义 VLAN 执行的特定功能。下面介绍了一些常见的 VLAN 术语：将鼠标指针置于图中所示的“数据 VLAN”按钮上。数据 VLAN数据 VLAN 只传送用户产生的流量

9、。VLAN 也可以传送语音流量或用于传送管理交换机的流量，但这种流量可以从数据 VLAN 隔离开。我们一般会将语音流量和管理流量与数据流量分开。为了强调用户数据与交换机管理控制数据和语音流量分隔开这一点，我们使用了一个特别的术语 “数据 VLAN”来标识这种只传送用户数据的 VLAN。“数据 VLAN”有时也称为“用户 VLAN”。将鼠标指针置于图中所示的“默认 VLAN”按钮上。默认 VLAN在交换机初始启动之后，交换机的所有端口即加入到默认 VLAN 中。让所有这些交换机端口参与默认 VLAN 会使这些端口全部位于同一个广播域中。这样一来，连接到交换机任何端口的任何设备都能与连接到其它端口

10、的其它设备通信。Cisco 交换机的默认 VLAN 是 VLAN 1。VLAN 1 具有 VLAN 的所有功能，但是不能对它进行重命名，也不能删除。默认情况下，第 2 层的控制流量（例如 CDP 流量和生成树协议流量）与 VLAN 1 相关。如图所示，VLAN 1 的流量通过连接交换机 S1、S2 和 S3 的 VLAN 中继进行转发。为了确保安全，最好是将默认 VLAN 从 VLAN 1 更改为其它 VLAN；这种做法要求配置交换机上的所有端口，使这些端口与默认 VLAN 而不是与 VLAN 1 关联。VLAN 中继支持来自多个 VLAN 的流量传输。虽然我们在本节多处提到 VLAN 中继，

11、但其具体含义将在下一节“VLAN 中继”中介绍。注：有些网络管理员使用术语“默认 VLAN”表示除 VLAN 1 外的另一个 VLAN，这个 VLAN 由网络管理员自己定义，所有未使用的端口都一律分配到这一 VLAN。如果是这种情况，VLAN 1 的唯一作用则是处理网络第 2 层的控制流量。将鼠标指针置于图中所示的“本征 VLAN”按钮上。本征 VLAN本征 VLAN 分配给 802.1Q 中继端口。802.1Q 中继端口支持来自多个 VLAN 的流量（有标记流量），也支持来自 VLAN 以外的流量（无标记流量）。802.1Q 中继端口会将无标记流量发送到本征 VLAN。如图所示，本征 VLA

12、N 为 VLAN 99。如果交换机端口配置了本征 VLAN，则连接到该端口的计算机将产生无标记流量。本征 VLAN 在 IEEE 802.1Q 规范中说明，其作用是维护无标记流量的向下兼容性，这种流量在传统 LAN 方案中十分常见。对我们来说，本征 VLAN 的目的是充当中继链路两端的公共标识。最佳做法是使用 VLAN 1 以外的 VLAN 作为本征 VLAN。将鼠标指针置于图中所示的“管理 VLAN”按钮上。管理 VLAN管理 VLAN 是您配置用于访问交换机管理功能的 VLAN。如果您没有主动定义一个唯一的 VLAN 作为管理 VLAN，则 VLAN 1 会默认充当管理 VLAN。您需要为

13、管理 VLAN 分配 IP 地址和子网掩码。交换机可通过 HTTP、Telnet、SSH 或 SNMP 进行管理。Cisco 交换机的出厂配置是将 VLAN 1 作为默认 VLAN，但是您会发现 VLAN 1 作为管理 VLAN 是不当选择；因为您不会希望连接到交换机的任意用户都默认进入管理 VLAN。请回顾“交换机的基本概念和配置”一章，您是如何将管理 VLAN 配置为 VLAN 99。下一页，我们将继续探讨另外一种 VLAN：语音 VLAN。语音 VLAN为什么需要单独的 VLAN 来支持 IP 语音 （VoIP）？这不难理解。您只需想象一下，您正在接听紧急电话，但传输质量突然大大下降，以

14、致于您无法听清另一方的讲话，这会是什么感觉？因此 VoIP 流量要求： 足够的带宽来保证语音质量 高于其它网络流量类型的传输优先级 能够在融合网络中得到路由 在网络上的延时小于 150 毫秒 （ms）为满足这些要求，整个网络的设计都必须适合支持 VoIP。具体如何配置网络使其支持 VoIP 的内容已经超出本课程的范围。但是，大体了解一下语音 VLAN 在路由器、Cisco IP 电话以及计算机之间的工作方式很有意义。如图所示，VLAN 150 用于传送语音流量。学生计算机 PC5 连接到 Cisco IP 电话，而电话又连接到交换机 S3。PC5 位于 VLAN 20 这个主要用于传输学生数据

15、的 VLAN 中。S3 上的 F0/18 端口配置为语音模式，这样它可以指示电话为语音帧添加 VLAN 150 标记，而来自 PC5 的数据帧经过 Cisco IP 电话时则不添加此标记。从端口 F0/18 发往 PC5 的数据在到达电话的途中会添加 VLAN 20 标记，但在从电话转发给 PC5 之前会将 VLAN 标记删除。作标记是指在数据帧的字段中添加额外的字节，其作用是让交换机识别该数据帧应该发往哪个 VLAN。稍后我们将学习如何标记数据帧。Cisco 电话是一种交换机Cisco IP 电话集成了一台三端口的 10/100 交换机，如图所示。从这些端口可连接到如下设备： 端口 1 连接

16、到交换机或其它 IP 语音 （VoIP） 设备。 端口 2 是内部 10/100 接口，用于传送 IP 电话流量。 端口 3（接入端口）连接到 PC 或其它设备。右图显示了 IP 电话的一种连接方式。交换机端口可通过语音 VLAN 功能传送来自 IP 电话的 IP 语音流量。当交换机连接到 IP 电话时，该交换机将发送消息，指示连接到交换机的 IP 电话在发送语音流量时为流量添加 VLAN 150 标记。连接到 IP 电话的 PC 所发出的流量在经过 IP 电话时不作标记。当交换机端口配置语音 VLAN 后，交换机与 IP 电话之间的链路将充当中继，用以传送有标记的语音流量和无标记的数据流量。

17、交换机和 IP 电话之间的通信通过 CDP 协议实现。此协议在“CCNA Exploration：路由协议和概念”课程中有详细论述。单击图中的“示例配置”按钮。示例配置右图显示了输出示例。关于 Cisco IOS 命令的讨论已超出本课程的范围，但您可以观察到，输出示例中的突出显示区域表示 F0/18 接口已配置一个数据 VLAN （VLAN 20） 和一个语音 VLAN （VLAN 150）。网络流量类型在“CCNA Exploration：网络基础知识”中，您已经学习过 LAN 所处理的不同流量类型。由于 VLAN 具有 LAN 的所有特征，因此 VLAN 必须像 LAN 一样处理网络流量。

18、网络管理流量和控制流量网络上可以存在许多不同类型的网络管理流量和控制流量，例如 Cisco 发现协议 （CDP） 更新、简单网络管理协议 （SNMP） 流量和远程监控 （RMON） 流量。将鼠标指针悬停在右图中的“网络管理”按钮上。IP 电话IP 电话的流量类型包括信令流量和语音流量。信令流量从网络一端发送到另一端路径，负责呼叫的建立、执行和终止。另一种电话流量包含实际语音通话的数据包。我们前面学习过，在配置了 VLAN 的网络中，强烈建议分配除 VLAN 1 外的其它 VLAN 作为管理 VLAN。数据流量应该与数据 VLAN（而非 VLAN 1）关联，而语音流量与语音 VLAN 关联。将鼠

19、标指针悬停在右图中的“IP 电话”按钮上。IP 组播IP 组播流量从特定的源地址发送到某个组播组中，该组播组由一个 IP 与 MAC 目的组地址对所标识。Cisco IP/TV 广播就是产生这种流量的实例。组播流量可以在网络上产生大量数据流传输。如果要求网络必须支持组播流量，则应当配置 VLAN，以确保组播流量只会到达符合一定条件的用户设备，即有权获得特定服务的用户设备（如远程视频或音频应用程序）。此外还必须配置路由器，以确保组播流量只会转发到发出了组播流量请求的网络区域。将鼠标指针悬停在右图中的“IP 组播”按钮上。普通数据涉及普通数据流量的有：文件创建和存储、打印服务、电子邮件数据库访问以

20、及其它常用于商业用途的共享网络应用程序。VLAN 是这种流量的理想解决方案，因为您可以按用户执行的功能或所处的地理位置对用户分组，从而更加方便地管理用户的特定需求。将鼠标指针置于图中所示的“普通数据”按钮上。Scavenger 类型Scavenger 类型的作用是为某些应用程序提供等级比“尽最大努力”服务更低的服务。被授予此类服务的应用程序对企业的组织目标而言很少有或根本没有作用，而是通常用于娱乐目的。这些应用程序包括点对点媒体共享应用程序（KaZaa、Morpheus、Groekster、Napster 和 iMesh 等）、游戏应用程序（Doom、Quake 和 Unreal Tourna

21、ment 等）以及其它娱乐视频应用程序。3.1.3 交换机端口成员资格模式交换机端口交换机端口是指工作在第 2 层的接口，并与具体的物理端口关联。交换机端口用于管理物理接口和关联的第 2 层协议，不会用于处理路由或桥接。交换机端口属于一个或多个 VLAN。VLAN 交换机端口模式配置 VLAN 时，必须为它分配一个数字 ID，也可根据需要为其指定一个名称。VLAN 实施过程中需要以灵活的方式将端口与特定的 VLAN 相关联。要将帧转发到特定的 VLAN，您必须配置相应的端口。我们在前面提到过，您可以将 VLAN 配置为语音模式，使其支持来自 Cisco IP 电话的语音流量和数据流量。您可以将

22、某个端口分配给某个 VLAN，具体的方法是指定成员资格模式，这种成员资格模式会指定该端口传送的流量种类以及该端口所属的 VLAN。可以将端口配置为以下 VLAN 类型： 静态 VLAN 交换机上的端口以手动方式分配给 VLAN。静态 VLAN 通过 Cisco CLI 配置，也可通过 GUI 管理应用程序（例如 Cisco Network Assistant）完成配置。但是 CLI 有一个方便的功能，即如果将接口分配给一个不存在的 VLAN，它会为您新建一个 VLAN。要查看静态 VLAN 配置示例，单击图中的“静态模式示例”按钮。然后，单击图中的“端口模式”按钮。现在我们暂时不详细分析这一配

23、置。本章后面部分我们还会看到此配置。 动态 VLAN 此模式在生产网络中的运用并不广泛，本课程不探讨它。但是，了解动态 VLAN 的含义还是很有帮助。动态端口 VLAN 成员资格模式的配置需通过一种称为 VLAN 成员资格策略服务器 （VMPS） 的特殊服务器完成。使用 VMPS 可以根据连接到交换机端口的设备的源 MAC 地址，动态地将端口分配给 VLAN。当您将主机从网络中一台交换机的端口移到另一台交换机的端口时，第二台交换机会将该主机的端口动态地分配给适当的 VLAN，这时动态 VLAN 的优点也就凸现出来了。 语音 VLAN 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话

24、。在端口上配置语音 VLAN 之前，需要先配置语音 VLAN 和数据 VLAN。图中，VLAN 150 为语音 VLAN，VLAN 20 为数据 VLAN。假定网络已经过配置，可以确保语音流量在整个网络中的传输优先级最高。当首次将电话接入处于语音模式的交换机端口时，交换机端口会向电话发送消息，进而为电话提供相应的语音 VLAN ID 和配置。然后该 IP 电话将为语音帧添加语音 VLAN ID，并通过语音 VLAN 转发所有语音流量。要查看语音模式配置示例，单击图中的“语音模式示例”按钮。 使用配置命令 mls qos trust cos 可确保将语音流量识别为需要优先传送的流量。请注意，必须

25、将整个网络设置为优先传送语音流量，不能只是使用此命令配置端口。 switchport voice vlan 150 命令将 VLAN 150 标识为语音 VLAN。屏幕底部的截图证实了这一点：Voice VLAN: 150 （VLAN0150）。 switchport access vlan 20 命令将 VLAN 20 配置为接入模式（数据）VLAN。Access Mode VLAN: 20 （VLAN0020）。有关配置语音 VLAN 的详细信息，请访问此 C 网站：3.1.4 通过 VLAN 控制广播域没有 VLAN 的网络以常规方式运作时，如果交换机在某个端口上收到广播帧，它会将该帧从

26、交换机的所有端口上转发出去。如图所示，整个网络配置在相同的子网 172.17.40.0/24 中。结果，当教师计算机 PC1 发出广播帧时，交换机 S2 将该广播帧从所有端口上发送出去。最终整个网络都会收到该帧，因此整个网络是一个广播域。单击图中的“划分了 VLAN 的网络广播”按钮。有 VLAN 的网络如图所示，网络已划分为两个 VLAN：Faculty VLAN 10 和 Student VLAN 20。当广播帧从教师计算机 PC1 发送到交换机 S2 时，S2 只会将此广播帧转发到那些配置为支持 VLAN 10 的交换机端口。图中，交换机 S2 和 S1 相连的端口（端口 F0/1）以及

27、 S1 和 S3 相连的端口（端口 F0/3）都已配置为支持网络中的所有 VLAN。这种连接称为中继。随着本章内容的展开，我们将更深入了解中继。当 S1 在端口 F0/1 上收到广播帧时，S1 只会将该帧从配置为支持 VLAN 10 的端口（端口 F0/3）上转发出去。当 S3 在端口 F0/3 上收到该广播帧时，它也只会将该帧从配置为支持 VLAN 10 的端口（端口 F0/11）转发出去。然后该广播帧只到达网络 VLAN 10 中的计算机，即教师计算机 PC4。为交换机配置 VLAN 后，特定 VLAN 中的主机所发出的单播流量、组播流量和广播流量，其传输均仅限于该 VLAN 中的设备。通

28、过交换机和路由器控制广播域将大型的广播域细分成几个较小的广播域可以减少广播流量，并提升网络性能。将域细分成 VLAN 还可以让组织更好地保持信息的机密性。细分广播域可以通过 VLAN（在交换机上）也可以通过路由器完成。无论是否使用 VLAN，位于不同第 3 层网络的设备都必须通过路由器才能通信。单击“VLAN 内通信”按钮，并单击“播放”按钮开始动画演示。VLAN 内通信如图所示，PC1 要与另一台设备 PC4 通信。PC1 和 PC4 二者均位于 VLAN 10。在同一个 VLAN 中与某台设备通信称为 VLAN 内通信。下面说明如何完成这一过程：步骤 1. VLAN 10 中的 PC1 将自己的 ARP 请求帧发送给交换机 S2（广播）。交换机 S2 和 S1 将该 ARP 请求帧从 VLAN 10 上的所有端口发送出去。然后交换机 S3 将该 ARP 请求从端口 F0/11 发送给 VLAN 10 中的 PC4。步骤 2. 网络中的交换机将 ARP 应答帧转发（单播）给 PC1。PC1 会收到应答帧，该帧包含