1、CCNA7CCNA中文笔记第7章:VLAN作者:红头发Chapter7 Virtual LANs(VLANs)VLAN Basics如何在1个交换性的网络里,分割广播域呢?答案是创建VLAN.VLAN是连接到定义好了的switch的端口的网络用户和资源的逻辑分组.给不同的子网分配不同的端口,就可以创建更小的广播域.默认情况下,在某个VLAN中的主机是不可以与其他VLAN通信的,除非你使用router来创建VLAN间的通信VLAN的一些特点:1.网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口2.安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信3.
2、因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关4.VLAN增加安全性5.VLAN增加广播域的数量,而减小广播域的大小Broadcast Control每种协议都会有广播的现象发生,至于发生不频率,次数,一般由以下几点决定:1.协议类型2.在网络上运行的应用程序3.这些服务如何的被使用Security安全性是VLAN的1大特点,不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信Flexibility and ScalabilityVLAN的灵活性和可扩展性:1.可以不管物理位置如何,把适当的端口分配到适当的 VLAN中就可以了.可以把VL
3、AN理解正下面的样子:2.当VLAN增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN中的用户越少,被广播影响的就越少,来比较下下面2个图,明显可以发现,图2,即VLAN的具有更高的灵活性和可扩展性,如下:VLAN Memberships手动由管理员分配端口划分的VLAN叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamic VLAN)Static VLANs静态VLAN:静态VLAN安全性较高,手动划分端口给VLAN,和设备的物理位置没什么关系.而且,每个VLAN中的主机必须拥有正确的IP地址信息,如VL
4、AN2配置为172.16.20.0/24Dynamic VLANs动态VLAN:使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN.Cisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上Identifying VLANs当帧在网络中被交换,switches根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1点要记住的是:在不同类型的连接中,帧被处理的方式也不一样要交换环境中的2种连接类型:1.
5、access links:指的是只属于一个VLAN,且仅向该VLAN转发数据帧的端口,也叫做native VLAN.switches把帧发送到access-link设备之前,移去任何的VLAN信息.而且access-link设备不能与VLAN外通信,除非数据包被路由。2.trunk links:指的是能够转发多个不同VLAN的通信的端口.trunk link必须使用100Mbps以上的端口来进行点对点连接,1次最多可以携带1005个VLAN信息.trunk link使你的单独的1个端口同时成为数个VLAN的端口,这样可以不需要层3设备.当你在switches之间使用了trunk link,多个
6、VLAN的信息将从这个连接上通过;如果在你switches之间没有使用trunk link而使用一般的连接,那么只有VLAN1的信息通过这个连接被互相传递.VLAN1默认作为管理VLANFrame Taggingframe tagging:帧的鉴别方法.当帧到达每个switch,首先先检查VLAN ID,然后决定如何对帧进行处理.当帧到达和VLAN ID所匹配的access link的时候,switch移去VLAN标识符VLAN Identification MethodVLAN标识符:在交换机的trunk link上,可以通过对数据帧附加VLAN信息,构建跨越多台交换机的VLAN.附加VLA
7、N信息的方法,最具有代表性的有:1.Inter-Switch Link(ISL):属于Cisco私有,只能在快速和千兆以太网连接中使用,ISL路由可以使用在switch的断端口,router的接口和服务器接口卡等2.IEEE 802.1Q:俗称dot 1 Q.由IEEE创建,所以在Cisco和非Cisco设备之间,就不能使用ISL必须使用802.1Q.802.1Q所附加的VLAN识别信息,位于数据帧中的源MAC地址与类型字段之间.基于IEEE802.1Q附加的VLAN信息,就像在传递物品时附加的标签。当然ISL和802.1Q的主要目的是提供VLAN间通信。Inter-Switch Link(I
8、SL) ProtocolISL:ISL运作在层2,ISL是1种外部标签处理过程,所以原始的数据帧不被改变,ISL在数据帧头部加上26字节长的ISL头部信息,在数据帧尾部加上4字节的FCS字段进行CRC运算,所以只有支持ISL的设备才能对它进行读取,最大程度1522字节.当帧被传送到access link时,ISL封装信息将被移去使用trunk link在多个VLAN中行走,比使用router连接的好处是:减少延时间VLAN Trunking Protocol(VTP)VTP也是Cisco创建的,但是现在已经不为Cisco所私有.VTP的主要目的是在1个交换性的环境中管理所有配置好的VLAN使所
9、有的VLAN保持一致性VTP允许增加,删除和重命名VLAN,然后这些修改后的信息传播到整个VTP域里的所有switches上VTP的一些优点:1.保持VLAN信息的连续性2.精确跟踪和监视VLAN3.动态报告增加了的VLAN信息给VTP域中所有switch4.可以使用即插即用(plug-and-play)的方法增加VLAN5.可以在混合型网络中进行trunk link,比如以太网到ATM LANE,FDDI等在你使用VTP管理VLAN之前,必须先创建个VTP服务器(VTP server),所有要共享VLAN信息的服务器必须使用相同的域名.而且,假如你把某个switch和其他的switch配置在
10、1个VTP域里,这个switch就只能和这个VTP域里的switch共享VLAN信息.其实,如果你只有1个VLAN,就不需要使用VTP了.VTP信息通过trunk端口进行发送和接收.可以给VTP配置密码,但是要记住的是,所有的switch必须配置相同的密码。switch通告VTP管理域信息,加上版本号和已知VLAN配置参数信息.还有种叫做透明VTP模式(transparent VTP mode),在这种模式里,你可以给switch配置成通过trunk端口转发VTP信息,但是不接受VTP更新信息来更新它自己的VTP数据库switch通过VTP通告检测到增加的VLAN,然后把新增加的VLAN和已有
11、的联结在一起共享信息.新的更新信息在之前的版本号上加1。VTP Modes of Operation在VTP域里操作的3种模式:1.服务器模式(server mode):所有Catalyst switches的默认设置,1个VTP域里必须至少要有1个服务器用来传播VLAN信息,对VTP信息的改变必须在服务器模式下操作.配置保存在NVRAM里2.客户机模式(client mode):在这种模式下,switches从VTP服务器接受信息,而且它们也发送和接收更新,但是它们不能做任何改变.在VTP服务器通知客户switches说增加了新的VLAN之前,你不能在客户switch的端口上增加新的VLAN
12、.配置不保存在NVRAM里3.透明模式(transparent mode):该模式下的switch不能增加和删除VLAN,因为它们保持的有自己的数据库,不和其他的共享.配置保存在NVRAM里VTP PruningVTP pruning:减少广播,组播,单播,保留带宽.VTP pruning只在trunk link上发送广播.默认情况,VTP pruning在所有的switches上是没有启用的.当你在VTP服务器上启用了VTP pruning,整个VTP域就启用了VTP pruning,默认只能在VLAN2到VLAN1005,VLAN1是管理VLANRouting between VLANs可
13、以使用支持ISL路由的router来连接VLAN,支持ISL路由的最低型号是2600系列,1600,1700和2500系列都不支持.如下图,就是router和每个VLAN之间的关联,每个router的接口都插入1个access link,这个同时也说明了router的每个接口的IP地址都是每个VLAN的默认网关:假如你有太多的VLAN,数量超过了router接口数量,明显上面的方法就不适用了.你可以使用Cisco的3层switch Cisco3550,或者使用router的快速以太网接口来做ISL或者802.1Q的 trunk link,这样的方法叫做单臂路由(router on a stic
14、k).如下图:Configuring VLANs创建VLAN:1900下,使用vlan vlan# name name vlan#命令, 如下:en#config t(config)#hostname 19001900(config)#vlan 2 name sales1900(config)#vlan 3 name marketing1900(config)#vlan 4 name mis1900(config)#exit验证,使用show vlan命令,记住在你没给VLAN分配端口之前,之前做的VLAN是不会起作用的.而且所有的端口默认是处在VLAN1的,VLAN1是管理VLAN.如下:1
15、900#sh vlanVLAN Name Status Ports-1 default Enable 1-12, AUI, A, B2 sales Enable3 marketing Enable(略)在2950下创建VLAN,在特权模式下使用vlan database命令,创建命令和1900下的类似,注意结尾使用apply命令.如下:2950#vlan database2950(vlan)#vlan 2 name MarketingVLAN 2 modified:Name: Marketing2950(vlan)#vlan 3 name AccountingVLAN 3 added:Name
16、: Accounting2950(vlan)#applyAPPLY complete2950(vlan)#Ctrl+C2950#使用show vlan或者show vlan brief命令验证下:2950#sh vlan briefVLAN Name Status Ports-1 default active Fa0/1.Fa0/122 Marketing active3 Accounting active(略)Assigning Switch Ports to VLANs创建了VLAN,接下来要做的就是给VLAN分配端口.1900下,使用vlan-membership命令1次只能分配1个,可
17、以static或dynamic作为参数,如下:1900(config)#int e0/21900(config-if)#vlan-membership static 21900(config)#int e0/41900(config-if)#vlan-membership static 31900(config)#int e0/51900(config-if)#vlan-membership static 41900(config-if)#exit1900(config)#exit1900#验证,如下:1900#sh vlanVLAN Name Status Ports-1 default E
18、nable 1-12, AUI, A, B2 sales Enable 23 marketing Enable 4(略)2950下的配置,使用switchport access vlan vlan#命令,如下:2950(config-if)#int f0/22950(config-if)#switchport access vlan 22950(config-if)#int f0/32950(config-if)#switchport access vlan 32950(config-if)#int f0/42950(config-if)#switchport access vlan 4295
19、0(config-if)#exit2950(config)#exit2950#验证配置信息,如下:2950#sh vlan briefVLAN Name Status Ports-1 default active Fa0/1 Fa0/5.Fa0/122 Marketing active Fa0/23 Accounting active Fa0/3(略)Configuring Trunk Ports1900只使用动态ISL(DISL)封装方式,在快速以太网配置trunk,在接口配置模式下使用trunk 参数的命令,如下,将26接口设置为trunk端口:1900(config)#int f0/26
20、1900(config-if)#trunk ?autoSet DISL state to AUTOdesirableSet DISL state to DESIRABLEnonegotiateSet DISL state to NONEGOTIATEoffSet DISL state to OFFonSet DISL state to ON 1900(config-if)#trunk on设置参数为on,即接口将作为永久ISL的trunk端口,可以和和相连的设备协商,并且把连接转换成trunk link2950下在接口配置模式,使用switchport命令,如下:2950(config)#in
21、t f0/122950(config-if)#switchport mode trunk2950(config-if)#Z2950#验证配置信息:2950#sh run(略)!interface FastEthernet0/12switchport mode trunkno ip address!(略)Configuring Inter-VLAN Routing使VLAN间互相通信,就必须使用router或者3层switch来连接.要在router的快速以太网接口支持ISL和802.1Q,要把接口划分成许多逻辑接口(非物理),1个接口对应1个VLAN.这些接口就叫子接口(subinterfac
22、es).还有要必须知道的是,默认你不可能在1900和2950之间做trunk连接,因为1900只支持ISL路由而2950只支持802.1Q路由,2种相互不兼容。给连接1900的trunk端口配置,使用encapsulation isl vlan#命令,如下:2600Router(config)#int f0/0.12600Router(config-subif)#encapsulation isl vlan#给连接2950的这样配置,如下:2600Router(config)#int f0/0.12600Router(config-subif)#encapsulation dot1q vlan
23、#Configuring VTP默认下,1900和2950都被配置成VTP服务器模式,配置VTP,先配置VTP域名,还有密码,是否pruning等。1900下,在全局配置模式下使用vtp命令,如下:1900(config)#vtp ?client VTP clientdomain Set VTP domain namepassword Set VTP passwordpruning VTP pruningserver VTP servertransparent VTP transparenttrap VTP trap1900(config)#vtp server1900(config)#vtp
24、 domain noco1900(config)#vtp password noko在特权模式下使用show vtp命令验证,如下:1900#sh vtpVTP version: 1Configuration revision: 0Maximum VLANs supported locally: 1005Number of existing VLANs: 5VTP domain name: nocoVTP password: nokoVTP operating mode: Server(略)2950如下:2950(config)#vtp mode server2950(config)#vtp
25、domain noco验证信息,如下:2950#sh vtp ?counters VTP statisticsstatus VTP domain status2950#sh vtp status(略)Configuring Switching in Our Sample Internetwork配置实例:先配置2950C,如下2950C(config)#enable secret noko2950C(config)#line con 02950C(config-line)#login2950C(config-line)#password noco2950C(config-line)#line
26、vty 0 152950C(config-line)#login2950C(config-line)#password noco2950C(config-line)#banner motd #2950C#2950C(config-line)#exit2950C(config)#int vlan12950C(config-if)#ip address 172.16.10.2 255.255.255.02950C(config-if)#no shut2950C(config-if)#exit2950C(config)#up default-gateway 172.16.10.12950C(conf
27、ig)#Z2950C#copy run start配置2950B,如下:2950B(config)#enable secret noko2950B(config)#line con 02950B(config-line)#login2950B(config-line)#password noco2950B(config-line)#line vty 0 152950B(config-line)#login2950B(config-line)#password noco2950B(config-line)#banner motd #2950B#2950B(config-line)#exit295
28、0B(config)#int vlan12950B(config-if)#ip address 172.16.10.3 255.255.255.02950B(config-if)#no shut2950B(config-if)#exit2950B(config)#up default-gateway 172.16.10.12950B(config)#Z2950B#copy run start配置trunk,2950B如下:2950B(config)#int f0/12950B(config-if)#switchport mode trunk2950B(config-if)#int f0/42950B(config-if)#switchport mode trunk2950B(config-if)#int f0/52950B(confgi-if)#switchport mode trunk配置trunk,2950C如下:2950C(con
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 