VLAN技術（下）

mzsm 2015-06-24

展開全文

使用本地VLAN來實施企業(yè)園區(qū)網架構具有以下優(yōu)勢：

· 輕松判斷數據流：這種簡單的設計方案可以讓判斷二層和三層的數據流變得更加輕松。如果出現了某種故障，且網絡中的冗余技術并沒有解決這個問題時，那么一個簡單的模型可以讓管理員更加輕松的找到問題的所在，并在相應的交換機上解決問題。

· 靈活的冗余路徑：在實施PVST（每VLAN生成樹）或MSTP（多生成樹）時，由于網絡無環(huán)，因此所有鏈路都可以使用冗余的路徑。

· 高可用性：所有的網絡基礎設施都可以配置冗余路徑。因此，如果首選的二層路徑出現故障，那么接入層交換機上的本地VLAN流量還可以沿著另一條二層路徑穿過建筑分布層交換機。如果接入層VLAN的默認網關出現了故障，那么路由器冗余協議可以實現故障倒換（Failover）。當生成樹（STP）實例和VLAN都配置在了一臺特定的接入層或分布層交換機上時，那么管理員也可以使用相應的方法來配置二層和三層冗余及協議。

· 有限故障域：如果VLAN僅限于本地交換機，那么每個VLAN中的設備數量就不會太多，于是二層故障就會被限制在不大的用戶范疇內。

· 設計方案擴展性強：如上圖是一個企業(yè)園區(qū)架構的設計方案，管理員可以十分輕松地在網絡中添加新的交換機，在必要的時候，也可以在網絡中添加新的子模塊。

規(guī)劃端到端VLAN需要的步驟：

1. 把握現有網絡的流量。收集一些信息，這些信息包括：子網及與其相關聯的VLAN，VLAN號，名稱，作用，以及VLAN和IP地址之間的映射。

2. 在收集這些信息之后，應該記錄下來哪一部分需要使用哪個VLAN。這樣就確定了交換機之間的數據流向，以及哪些VLAN應該配置在哪些交換機上。

3. VLAN一般是基于端口來劃分的。

4. 在獲得了所有與VLAN相關的信息之后，下一個重要的步驟就是配置Trunk（干道）。如果交換機之間需要通信，就需要使用Trunk。在配置Trunk時，應該考慮在Trunk上時否允許所有的VLAN，以及NativeVLAN應該如何設計等。

5. VTP可以簡化VLAN的配置和修剪。應該考慮哪臺交換機充當服務器，哪臺充當客戶端，哪臺配置為透明模式。

設計VLAN的最佳做法：

· 對于本地VLAN模型來說，一般推薦設計者在每個模塊上使用1~3個VLAN，將這些VLAN限制在幾臺接入層交換機和分布層交換機的范圍內。

· 不要將VLAN1作為未使用端口的“黑洞”。要將這些不使用的端口劃分到其他VLAN中，只要不是VLAN1就好。

· 盡量將語音VLAN，數據VLAN，管理VLAN，Native VLAN，黑洞VLAN和默認VLAN1分開。

· 在本地VLAN模型中，不要使用VTP。可以用手動的方式配置Trunk上允許哪些VLAN。

· 對于Trunk端口來說，應該關閉DTP并且手動對其進行配置。這里應該使用802.1Q而不應該使用ISL，因為IEEE802.1Q能夠更好的支持QOS,而且，IEEE802.1Q也是標準（即共有）協議。

· 手動配置那些不打算用于Trunk鏈路的Access端口。

· 阻止所有來自VLAN1的數據流量；VLAN1上只允許運行控制協議（如DTP,VTP,STPBPDU,PAgP,LACP,CDP等）。

· 出于安全性的考慮，不要使用telnet，但可以使管理VLAN支持SSH協議。

動態(tài)中繼協議DTP，是 VLAN 組中思科的私有協議，主要用于協商兩臺設備間鏈路上的中繼過程及中繼封裝 802.1Q類型。DTP的用途是取代動態(tài)ISL（Dynamic ISL，DISL）。

配置VLAN：

所有的CiscoCatalyst交換機都能夠支持VLAN。但是CiscoCatalyst交換機所支持的VLAN數量卻有所區(qū)別。高端的CiscoCatalyst交換機可以支持多達4096個VLAN。如圖：

Cisco Catalyst交換機支持最多4096個VLAN，具體支持的VLAN數量取決于設備的型號及軟件系統的版本。

注意：對于安裝了標準操作系統軟件（Standard Softwareimage）的Catalyst2950和2955交換機來說，它們最多能夠支持64個VLAN；對于安裝了增強型系統軟件（EnhancedSoftware image）的Catalyst

2950和2955交換機來說，它們最多能夠支持250個VLAN。CiscoCatalyst交換機不支持1002~1005，因為這些VLAN是為令牌環(huán)和FDDI VLAN所預留的。除此之外，Catalyst4500和6500系列交換機也不支持VLAN 1006~1024，此外，好幾系列的交換機支持的VLAN比生成樹實例還要多。例如：CiscoCatalyst2970支持1005個VLAN，但它只支持128個生成樹實例。

VLAN配置步驟：

1.進入全局配置模式

Switch#configure terminal

2.使用特定ID編號創(chuàng)建新的VLAN。

Switch（config）#vlan vlan-id

3.命名VLAN（可選）

Switch（config）#name vlan-name

刪除VLAN：

1.進入全局配置模式刪除特定ID編號的VLAN

Switch（config）#no vlan vlan-id

分配交換機端口到所創(chuàng)建的VLAN：

1.在全局配置命令進入接口模式

Switch（config）#interface interface_id

2.將端口指定為access端口

Switch（config-if）#switchport modeaccess

Switch（config-if）#switchport host

命令switchporthost的作用是將某端口配置為主機模式（例如工作站或服務器）所連端口。在啟用該特性的時候，就表示同時對該端口啟用生成樹portfast并禁用EtherChannel特性。

3.將端口放入某個VLAN中，或從該VLAN中移除

Switch（config-if）#【no】 switchport access vlan vlan-id

驗證VLAN的配置：

如需驗證Catalyst交換機上的VLAN配置，那么就需要使用show 命令來實現。在特權模式中，使用showvlan命令能夠顯示特定VLAN的相關信息。

show vlan 字段描述：

show vlan顯示出來的字段

VLAN 該VLAN編號

Name 如果配置，那么表示該VLAN的名稱

Status 該VLAN的狀態(tài)（active(活動)還是Suspended(掛起)）

Ports 屬于該VLAN的端口

Type 該VLAN的介質名稱

SAID 該VLAN的安全關聯ID值

MTU 該VLAN最大傳輸單元的大小

Parent 如果存在，那么表示父輩VLAN

RingNo 如果可用，那么表示環(huán)編號

BridgNo 如果可用，那么表示該VLAN的橋接編號

Stp 該VLAN所使用的生成樹協議類型

BrdgMode 該VLAN的橋接模式

Trans1 透明網橋1

Trans2 透明網橋2

AREHops ALL-Route探測幀的最大跳計數

STEHops 生成樹探測幀的最大跳計數

如圖查看VLAN的相關信息：

如果想查看某個特定接口當前的配置信息，可以使用命令showrunning-config interfaceinterface_typeslot/port來實現。如果希望顯示特定交換機端口的詳細信息，那么就應該使用命令showinterfaces來實現。如果使用帶有關鍵字switchport的命令showinterfaceinterface_typeslot/port，設備就不僅會顯示出交換機的端口特征，而且還能顯示NativeVLAN和鏈路聚集（Trunking）等信息。通過使用命令showmac-address-tableinterfaceinterface_typeslot/port，設備能夠顯示指定VLAN中特定接口的MAC地址表的信息。在排錯時，這些命令可以幫助管理員判斷直連設備是否正在向正確的VLAN發(fā)送數據包。