第九章 虛擬局域網(wǎng)

一、基本概念

通過虛擬局域網(wǎng)可以在一個純交換性的網(wǎng)絡(luò)中分隔廣播域,。VLAN有兩兩部分組成：一是網(wǎng)絡(luò)用戶,、一是管理上連接到交換機所定義端口的資源。

如何實習(xí)VLAN之間的通信呢,，通過三層設(shè)備----路由器

劃分VLAN的好處：一是廣播控制,、一是安全性、一是靈活性和可擴展性,。

默認情況下：交換機上的所有端口都屬于VLAN1,，它不能被刪除，被改名,，在應(yīng)用中一般用它管理VLAN

VLAN的分類：靜態(tài)VLAN和動態(tài)VLAN

靜態(tài)VLAN：VLAN通常由管理員創(chuàng)建,，并由管理員將交換機端口分配到每個VLAN中。這是最安全的應(yīng)用,。

動態(tài)VLAN：管理員將所有主機的MAC地址都分配到一個數(shù)據(jù)庫中,，交換機可以動態(tài)的分配VLAN。在同一臺交換機上，可以有動態(tài)接入端口和中繼端口,，但必須將動態(tài)接入端口連接到終端工作站或集線器上,，而不是連接到另一臺交換機上。

二,、VLAN的識別

可以將某個端口手工配置為訪問端口或中繼端口,，也可以通過動態(tài)中繼協(xié)議(dynamic trunking protocol.DTP)基于每個端口操作，以設(shè)置交換機的端口模式,。

根據(jù)幀所穿越的鏈路類型不同,，交換機對幀的處理方式也不同，具體的有：訪問端口和中繼端口

訪問端口：只能屬于某一個VLAN,，只能承載某一個VLAN的流量,。流量以本機格式接收和發(fā)送，無論何時不帶有VLAN標識,。所有帶有VLAN標識的幀只能由中繼器轉(zhuǎn)發(fā),。

注：連接到訪問鏈路的設(shè)備不能與VLAN外部的設(shè)備進行通信，除非數(shù)據(jù)包是通過路由轉(zhuǎn)發(fā),。只能讓交換機端口成為中繼端口或訪問端口,，而不能既是訪問端口又是中繼端口。

語音VLAN：以稱為輔助VLAN,，它被允許覆蓋在數(shù)據(jù)VLAN之上,，使得兩種類型的流量能夠通過同一個端口進行傳送。[只有訪問端口能夠被配置用于數(shù)據(jù)和語音VLAN]

中繼端口：它屬于所有VLAN,。中繼鏈路是兩臺交換機之間的100MB/S或1000MB/S的點對點鏈路,。也可以是交換機與路由器之間的或者是交換機與服務(wù)器之間的連接。

注：如果在交換機之間使用訪問鏈路,，就只能允許一個VLAN在交換機之間時行通信,。

幀的工作原理：接收到幀的每臺交換機首先識別幀標記中的VLAN ID，然后通過查看過濾表中的信息,，它就知道該對幀進行哪些操作,，如果接收到幀的交換機有另一條中繼路，幀就從中繼鏈路端口上轉(zhuǎn)發(fā)出去,。在幀在轉(zhuǎn)發(fā)出去之前,，交換機將刪除VLAN標識，這樣目的設(shè)備就可以接收到幀,，需無需去理解它們的VLAN ID,。

VLAN的識別：當(dāng)幀正在穿越交換機結(jié)構(gòu)時，交換機跟蹤所有這些幀的方式,。方式有：交換機間鏈路(ISL){是一種在以太網(wǎng)幀上顯式地標記VLAN信息的方法,。它允話VLAN在中繼鏈路上實現(xiàn)多路復(fù)用},、IEEE802.1Q{在幀中插入一個字段以標識VLAN，工作原理是首先指定準備采用802.1Q封裝來實現(xiàn)中繼的那個端口,，必須為端口分配特定的VLAN ID,使他們成為本機VLAN,，以便讓他們通信。};

三,、VLNA中繼協(xié)議（VTP）:VLAN Trunking Protocol

它的目標是：跨交換式互聯(lián)網(wǎng)絡(luò)管理所有已經(jīng)配置好的VLAN,，并在那個網(wǎng)絡(luò)上維護其一致性。VTP允許管理員對VLAN進行添加,、刪除和更名,。并將這些信息傳播到VTP域中的所有其它交換機上。

注：在實現(xiàn)上述功能之前,，必須在網(wǎng)絡(luò)中創(chuàng)建一臺VTP服務(wù)器，并將與其相連的其它交換機設(shè)成客戶端,。VTP信息通過中繼端口在交換機之間傳送,。

要求：域名、密碼相同的情況下,。不需要路由器,。

VTP模式：服務(wù)器、客戶機,、透明,。

服務(wù)器模式：對于Catalyst交換機來說，這是默認模式,。在VTP中至少有一臺服務(wù)器,；只有在服務(wù)器模式下，才能實現(xiàn)對VLAN的刪除,、編輯等操作,。

客戶機模式：從VTP服務(wù)器接收信息。不能對VLAN進行編輯,。

透明模式：不參與VTP域的工作,，也不與其他交換機共享其VLAN數(shù)據(jù)庫，但他們?nèi)匀粚⑼ㄟ^任何已經(jīng)配置好的中繼鏈路轉(zhuǎn)發(fā)VTP通告,。他們可以添加或刪除VLAN,。目的：允許遠程交換機從VTP服務(wù)器接收發(fā)VLAN數(shù)據(jù)庫信息，而這個VTP服務(wù)器是通過沒有參與同一個VLAN分配的交換機進行配置的,。

VTP修剪：用來保存帶寬,。通過配置修剪來減小廣播、組播和單播包的數(shù)量,。它只將廣播發(fā)送到真正需要該信息的中繼鏈路上,。

默認時，交換機上的修剪功能是關(guān)閉的，在VTP服務(wù)器上配置修剪功能,，VLAN1不能啟用,，因為他是用來做管理的。

Sw1#show interface trunk //查看所有默認時穿越中繼鏈路的VLAN

Sw1(config)#interface f0/1

Sw1(config-if)#switchport trunk pruning vlan 3~4 //在VLAN3和VLAN4上啟用修剪功能,。

獨臂路由器：就是將所有的二層設(shè)備的數(shù)據(jù)信息都經(jīng)過一條鏈路與路由器進行通迅,。這種方式構(gòu)成的網(wǎng)絡(luò)路由稱為。既所有的VLAN信息都通過一條TRUNK鏈路與上層進行通信,。

四,、配置VLAN

S1(config)#vlan 2

S1(config-vlan)#name sales

S1(config-vlan)#vlan 3

S1(config-vlan)#name marketing

S1(config-vlan)#vlan 4

S1(config-vlan)#name accounting

S1#show vlan

注：實際上可用的VLAN號只能到1005，而且不能修改主,、刪除VLAN1以及VLAN1002~1005,因為他們是保留的,。超過這些數(shù)字的VLAN號被稱為“擴展VLAN”，它們的不會被保存在數(shù)據(jù)庫中,，除非交換機設(shè)置了VTP透明模式,。默認時所有端口都屬于VLAN1。所有的中繼端口都不會顯示在VLAN數(shù)據(jù)庫中,，必須使用show interface trunk來查看中繼端口,。

分配端口到VLAN中，除了語音言訪問端口之外,，每個端口可以只是某個VLAN的一部分,。

S1(config)#interface f0/3

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 3

配置中繼端口

S1(config)#interface f0/8

S1(config-if)#switchport mode trunk

注：switchport mode access 使接口（訪問端口）成為永久性的非中繼模式，并協(xié)商將鏈路轉(zhuǎn)換為非中繼鏈路,。是專用于第2層接口,。

Switchport mode dynamic auto 使接口將鏈路轉(zhuǎn)換為中繼鏈路。如果鄰居接口設(shè)置為中繼或需要的模式,，該接口將變在中繼接口,。

Switchport mode dynamic desirable 使接口試圖動態(tài)地將鏈路轉(zhuǎn)換為中繼鏈路。如果鄰居接口設(shè)置為中繼,、需要的或自動模式,，該接口將變成中繼接口。

Switchport mode trunk 使接口永久的成為中繼接口,。并協(xié)商將鄰居鏈路轉(zhuǎn)為中繼鏈路,。

Switchport nonegotiate 用來防止接口產(chǎn)生DTP（dynamic trunk protocol）幀，僅當(dāng)接口的switchport模式為access或trunk時才使用此命令,。

必須手工將鄰居接口配置為中繼接口,，經(jīng)建立中繼鏈路。

禁用中繼時,，可以將該接口設(shè)置成為ACCESS模式,。

在三層交換機上配置中繼

Core(config-if)#switchport trunk encapsulation dot1q

Core(config-if)#switchport mode trunk

在中繼端口上定義允許的VLAN

S1(config)#interface f0/1

S1(config-if)#switchport trunk allowed vlan remove 4 //阻止在S1的商品F0/1上配置中繼鏈路,，從而使它丟棄所有從VLAN4發(fā)送和接收的流量。要刪除某個范圍的VLAN,，只需要使用switchport trunk allowed vlan remove 4~8;

如果不小心從中繼鏈路上刪除了一些VLAN,，需要將中繼設(shè)置回默認狀態(tài)，可以使用switchport trunk allowed vlan all或用no switchport trunk allowed vlan

變更或修改中繼端口本機VLAN

S1(config)#interface f0/1

S1(config-if)#switchport trunk native vlan 40 //將VLAN40做為管理VLAN.

配置VLAN間路由

S1(config)#int f0/1

S1(config-if)#switchport mode trunk

S1(config-if)#int f0/2

S1(config-if)#switchport mode access vlan 1

S1(config-if)#int f0/3

S1(config-if)#switchport mode access vlan 1

S1(config-if)#int f0/4

S1(config-if)#switchport mode access vlan 3

S1(config-if)#int f0/5

S1(config-if)#switchport mode access vlan 3

S1(config-if)#int f0/6

S1(config-if)#switchport mode access vlan 2

在配置路由器之前需要配置邏輯網(wǎng)絡(luò)

VLAN1:192.168.10.16 /28

VLAN2:192.168.10.32/28

VLAN3:192.168.10.48/28

路由器配置

R1(config)#int f0/0

Ri(config-if)#no ip address

Ri(config-if)#no shutdown

Ri(config-if)#int f0/0.1

Ri(config-subif)#encapsulation dot1q 1

Ri(config-subif)#ip address 192.168.10.17 255.255.255.240

Ri(config-subif)#int f0/0.2

Ri(config-subif)#encapsulation dot1q 2

Ri(config-subif)#ip address 192.168.10.33 255.255.255.240

Ri(config-subif)#int f0/0.3

Ri(config-subif)#encapsulation dot1q 3

Ri(config-subif)#ip address 192.168.10.49 255.255.255.240

需要從每個VLAN的子網(wǎng)范圍中,，為VLAN中的主機分配一個地址,，默認網(wǎng)關(guān)則是在那個VLAN中分配給路由器子接口的IP地址。

默認情況不,，不需要為VLAN配置IP地址,，但VLAN 1做為管理VLAN需要配置IP地址

S1(config)#int vlan 1

S1(config-if)#ip adderss 192.168.10.2 255.255.255.128

S1(config-if)#no shutdown

 配置VTP

默認時所有的交換機都配置為VTP服務(wù)器模式。

S1(config)#vtp mode server

S1(config)#vtp domain lammle

S1(config)#vtp password todd

S1#show vtp status

Core(config)#vtp mode client

Core(config)#vtp domain lammle

Core(config)#vtp password todd

S2(config)#vtp mode vlient

S2(config)#vtp domain lammle

S2(config)#vtp password todd

S2#show vlan brief