第九章 虛擬局域網(wǎng)
一����、基本概念
通過虛擬局域網(wǎng)可以在一個(gè)純交換性的網(wǎng)絡(luò)中分隔廣播域。VLAN有兩兩部分組成:一是網(wǎng)絡(luò)用戶�、一是管理上連接到交換機(jī)所定義端口的資源。
如何實(shí)習(xí)VLAN之間的通信呢��,通過三層設(shè)備----路由器
劃分VLAN的好處:一是廣播控制�、一是安全性、一是靈活性和可擴(kuò)展性����。
默認(rèn)情況下:交換機(jī)上的所有端口都屬于VLAN1,它不能被刪除��,被改名��,在應(yīng)用中一般用它管理VLAN
VLAN的分類:靜態(tài)VLAN和動(dòng)態(tài)VLAN
靜態(tài)VLAN:VLAN通常由管理員創(chuàng)建�����,并由管理員將交換機(jī)端口分配到每個(gè)VLAN中����。這是最安全的應(yīng)用。
動(dòng)態(tài)VLAN:管理員將所有主機(jī)的MAC地址都分配到一個(gè)數(shù)據(jù)庫(kù)中���,交換機(jī)可以動(dòng)態(tài)的分配VLAN��。在同一臺(tái)交換機(jī)上��,可以有動(dòng)態(tài)接入端口和中繼端口����,但必須將動(dòng)態(tài)接入端口連接到終端工作站或集線器上���,而不是連接到另一臺(tái)交換機(jī)上�����。
二���、VLAN的識(shí)別
可以將某個(gè)端口手工配置為訪問端口或中繼端口����,也可以通過動(dòng)態(tài)中繼協(xié)議(dynamic trunking protocol.DTP)基于每個(gè)端口操作��,以設(shè)置交換機(jī)的端口模式����。
根據(jù)幀所穿越的鏈路類型不同,交換機(jī)對(duì)幀的處理方式也不同��,具體的有:訪問端口和中繼端口
訪問端口:只能屬于某一個(gè)VLAN����,只能承載某一個(gè)VLAN的流量。流量以本機(jī)格式接收和發(fā)送����,無論何時(shí)不帶有VLAN標(biāo)識(shí)。所有帶有VLAN標(biāo)識(shí)的幀只能由中繼器轉(zhuǎn)發(fā)���。
注:連接到訪問鏈路的設(shè)備不能與VLAN外部的設(shè)備進(jìn)行通信���,除非數(shù)據(jù)包是通過路由轉(zhuǎn)發(fā)�。只能讓交換機(jī)端口成為中繼端口或訪問端口�����,而不能既是訪問端口又是中繼端口��。
語(yǔ)音VLAN:以稱為輔助VLAN����,它被允許覆蓋在數(shù)據(jù)VLAN之上���,使得兩種類型的流量能夠通過同一個(gè)端口進(jìn)行傳送��。[只有訪問端口能夠被配置用于數(shù)據(jù)和語(yǔ)音VLAN]
中繼端口:它屬于所有VLAN��。中繼鏈路是兩臺(tái)交換機(jī)之間的100MB/S或1000MB/S的點(diǎn)對(duì)點(diǎn)鏈路�����。也可以是交換機(jī)與路由器之間的或者是交換機(jī)與服務(wù)器之間的連接�����。
注:如果在交換機(jī)之間使用訪問鏈路�����,就只能允許一個(gè)VLAN在交換機(jī)之間時(shí)行通信���。
幀的工作原理:接收到幀的每臺(tái)交換機(jī)首先識(shí)別幀標(biāo)記中的VLAN ID�,然后通過查看過濾表中的信息��,它就知道該對(duì)幀進(jìn)行哪些操作����,如果接收到幀的交換機(jī)有另一條中繼路,幀就從中繼鏈路端口上轉(zhuǎn)發(fā)出去����。在幀在轉(zhuǎn)發(fā)出去之前,交換機(jī)將刪除VLAN標(biāo)識(shí)��,這樣目的設(shè)備就可以接收到幀���,需無需去理解它們的VLAN ID�����。
VLAN的識(shí)別:當(dāng)幀正在穿越交換機(jī)結(jié)構(gòu)時(shí)���,交換機(jī)跟蹤所有這些幀的方式���。方式有:交換機(jī)間鏈路(ISL){是一種在以太網(wǎng)幀上顯式地標(biāo)記VLAN信息的方法。它允話VLAN在中繼鏈路上實(shí)現(xiàn)多路復(fù)用}�、IEEE802.1Q{在幀中插入一個(gè)字段以標(biāo)識(shí)VLAN,工作原理是首先指定準(zhǔn)備采用802.1Q封裝來實(shí)現(xiàn)中繼的那個(gè)端口���,必須為端口分配特定的VLAN ID,使他們成為本機(jī)VLAN,以便讓他們通信����。};
三、VLNA中繼協(xié)議(VTP):VLAN Trunking Protocol
它的目標(biāo)是:跨交換式互聯(lián)網(wǎng)絡(luò)管理所有已經(jīng)配置好的VLAN��,并在那個(gè)網(wǎng)絡(luò)上維護(hù)其一致性�。VTP允許管理員對(duì)VLAN進(jìn)行添加、刪除和更名�。并將這些信息傳播到VTP域中的所有其它交換機(jī)上。
注:在實(shí)現(xiàn)上述功能之前�,必須在網(wǎng)絡(luò)中創(chuàng)建一臺(tái)VTP服務(wù)器,并將與其相連的其它交換機(jī)設(shè)成客戶端�����。VTP信息通過中繼端口在交換機(jī)之間傳送。
要求:域名�����、密碼相同的情況下���。不需要路由器��。
VTP模式:服務(wù)器��、客戶機(jī)���、透明。
服務(wù)器模式:對(duì)于Catalyst交換機(jī)來說��,這是默認(rèn)模式���。在VTP中至少有一臺(tái)服務(wù)器����;只有在服務(wù)器模式下����,才能實(shí)現(xiàn)對(duì)VLAN的刪除�����、編輯等操作���。
客戶機(jī)模式:從VTP服務(wù)器接收信息。不能對(duì)VLAN進(jìn)行編輯���。
透明模式:不參與VTP域的工作��,也不與其他交換機(jī)共享其VLAN數(shù)據(jù)庫(kù),但他們?nèi)匀粚⑼ㄟ^任何已經(jīng)配置好的中繼鏈路轉(zhuǎn)發(fā)VTP通告���。他們可以添加或刪除VLAN�����。目的:允許遠(yuǎn)程交換機(jī)從VTP服務(wù)器接收發(fā)VLAN數(shù)據(jù)庫(kù)信息�,而這個(gè)VTP服務(wù)器是通過沒有參與同一個(gè)VLAN分配的交換機(jī)進(jìn)行配置的�����。
VTP修剪:用來保存帶寬���。通過配置修剪來減小廣播����、組播和單播包的數(shù)量。它只將廣播發(fā)送到真正需要該信息的中繼鏈路上����。
默認(rèn)時(shí),交換機(jī)上的修剪功能是關(guān)閉的��,在VTP服務(wù)器上配置修剪功能��,VLAN1不能啟用�����,因?yàn)樗怯脕碜龉芾淼摹?/span>
Sw1#show interface trunk //查看所有默認(rèn)時(shí)穿越中繼鏈路的VLAN
Sw1(config)#interface f0/1
Sw1(config-if)#switchport trunk pruning vlan 3~4 //在VLAN3和VLAN4上啟用修剪功能�。
獨(dú)臂路由器:就是將所有的二層設(shè)備的數(shù)據(jù)信息都經(jīng)過一條鏈路與路由器進(jìn)行通迅。這種方式構(gòu)成的網(wǎng)絡(luò)路由稱為��。既所有的VLAN信息都通過一條TRUNK鏈路與上層進(jìn)行通信�����。
四、配置VLAN
S1(config)#vlan 2
S1(config-vlan)#name sales
S1(config-vlan)#vlan 3
S1(config-vlan)#name marketing
S1(config-vlan)#vlan 4
S1(config-vlan)#name accounting
S1#show vlan
注:實(shí)際上可用的VLAN號(hào)只能到1005�����,而且不能修改主��、刪除VLAN1以及VLAN1002~1005,因?yàn)樗麄兪潜A舻?。超過這些數(shù)字的VLAN號(hào)被稱為“擴(kuò)展VLAN”,它們的不會(huì)被保存在數(shù)據(jù)庫(kù)中����,除非交換機(jī)設(shè)置了VTP透明模式。默認(rèn)時(shí)所有端口都屬于VLAN1����。所有的中繼端口都不會(huì)顯示在VLAN數(shù)據(jù)庫(kù)中,必須使用show interface trunk來查看中繼端口��。
分配端口到VLAN中�����,除了語(yǔ)音言訪問端口之外�����,每個(gè)端口可以只是某個(gè)VLAN的一部分��。
S1(config)#interface f0/3
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 3
配置中繼端口
S1(config)#interface f0/8
S1(config-if)#switchport mode trunk
注:switchport mode access 使接口(訪問端口)成為永久性的非中繼模式��,并協(xié)商將鏈路轉(zhuǎn)換為非中繼鏈路����。是專用于第2層接口。
Switchport mode dynamic auto 使接口將鏈路轉(zhuǎn)換為中繼鏈路����。如果鄰居接口設(shè)置為中繼或需要的模式,該接口將變?cè)谥欣^接口�。
Switchport mode dynamic desirable 使接口試圖動(dòng)態(tài)地將鏈路轉(zhuǎn)換為中繼鏈路。如果鄰居接口設(shè)置為中繼��、需要的或自動(dòng)模式��,該接口將變成中繼接口����。
Switchport mode trunk 使接口永久的成為中繼接口。并協(xié)商將鄰居鏈路轉(zhuǎn)為中繼鏈路�。
Switchport nonegotiate 用來防止接口產(chǎn)生DTP(dynamic trunk protocol)幀,僅當(dāng)接口的switchport模式為access或trunk時(shí)才使用此命令���。
必須手工將鄰居接口配置為中繼接口���,經(jīng)建立中繼鏈路���。
禁用中繼時(shí),可以將該接口設(shè)置成為ACCESS模式��。
在三層交換機(jī)上配置中繼
Core(config-if)#switchport trunk encapsulation dot1q
Core(config-if)#switchport mode trunk
在中繼端口上定義允許的VLAN
S1(config)#interface f0/1
S1(config-if)#switchport trunk allowed vlan remove 4 //阻止在S1的商品F0/1上配置中繼鏈路����,從而使它丟棄所有從VLAN4發(fā)送和接收的流量。要?jiǎng)h除某個(gè)范圍的VLAN�,只需要使用switchport trunk allowed vlan remove 4~8;
如果不小心從中繼鏈路上刪除了一些VLAN,需要將中繼設(shè)置回默認(rèn)狀態(tài)���,可以使用switchport trunk allowed vlan all或用no switchport trunk allowed vlan
變更或修改中繼端口本機(jī)VLAN
S1(config)#interface f0/1
S1(config-if)#switchport trunk native vlan 40 //將VLAN40做為管理VLAN.
配置VLAN間路由
S1(config)#int f0/1
S1(config-if)#switchport mode trunk
S1(config-if)#int f0/2
S1(config-if)#switchport mode access vlan 1
S1(config-if)#int f0/3
S1(config-if)#switchport mode access vlan 1
S1(config-if)#int f0/4
S1(config-if)#switchport mode access vlan 3
S1(config-if)#int f0/5
S1(config-if)#switchport mode access vlan 3
S1(config-if)#int f0/6
S1(config-if)#switchport mode access vlan 2
在配置路由器之前需要配置邏輯網(wǎng)絡(luò)
VLAN1:192.168.10.16 /28
VLAN2:192.168.10.32/28
VLAN3:192.168.10.48/28
路由器配置
R1(config)#int f0/0
Ri(config-if)#no ip address
Ri(config-if)#no shutdown
Ri(config-if)#int f0/0.1
Ri(config-subif)#encapsulation dot1q 1
Ri(config-subif)#ip address 192.168.10.17 255.255.255.240
Ri(config-subif)#int f0/0.2
Ri(config-subif)#encapsulation dot1q 2
Ri(config-subif)#ip address 192.168.10.33 255.255.255.240
Ri(config-subif)#int f0/0.3
Ri(config-subif)#encapsulation dot1q 3
Ri(config-subif)#ip address 192.168.10.49 255.255.255.240
需要從每個(gè)VLAN的子網(wǎng)范圍中�����,為VLAN中的主機(jī)分配一個(gè)地址��,默認(rèn)網(wǎng)關(guān)則是在那個(gè)VLAN中分配給路由器子接口的IP地址。
默認(rèn)情況不����,不需要為VLAN配置IP地址�����,但VLAN 1做為管理VLAN需要配置IP地址
S1(config)#int vlan 1
S1(config-if)#ip adderss 192.168.10.2 255.255.255.128
S1(config-if)#no shutdown
配置VTP
默認(rèn)時(shí)所有的交換機(jī)都配置為VTP服務(wù)器模式�。
S1(config)#vtp mode server
S1(config)#vtp domain lammle
S1(config)#vtp password todd
S1#show vtp status
Core(config)#vtp mode client
Core(config)#vtp domain lammle
Core(config)#vtp password todd
S2(config)#vtp mode vlient
S2(config)#vtp domain lammle
S2(config)#vtp password todd
S2#show vlan brief
