交换机VLAN技术及配置

交换机VLAN技术及配置本节主要内容使用VLAN的原因及VLAN的概念在交换机上划分VLAN和相互通信原理交换机VLAN的划分方法配置管理静态VLANVLAN的产生原因－广播风暴广播域通过路由器将网络分段广播域广播域通过VLAN划分广播域Port1:VLAN-1Port2:VLAN-2VLAN的概念VLAN（VirtualLocalAreaNetwork）就是虚拟局域网的意思。交换机上提供了VLAN的广播分类方法。在交换机上，一个VLAN被定义成一个广播域，处于同一个VLAN的站点之间可以接受彼此的广播消息。但是广播消息会被不属于同一VLAN的端口或设备过滤掉。交换机上划分VLAN隔离广播风暴A在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。使用VLAN的目的•VLAN的优点：相对与传统的LAN技术，VLAN具有如下优势：–隔离广播域，抑制广播风暴。–限制广播包，提高带宽的利用率：–提高网络的整体安全性–方便网络的管理VLAN标准•IEEE802.1Q是新的虚拟局域网标准，符合IEEE802.1Q标准的以太网交换机可支持虚拟局域网技术。目的MAC地址6Bytes源MAC地址6Bytes类型2Bytes数据部分46-1500BytesCRC目的MAC地址6Bytes源MAC地址6BytesTag4Bytes类型2Bytes数据部分46-1500BytesCRC协议标识符TPID2BytesPriority(报文优先级)3bitsCFI(规范格式指示符)1bitVLANID12bits2Bytes的标记控制信息(TCI)在交换机上配置VLAN时，需要考虑以下三项配置：端口类型：标志端口所连接的设备是否支持带有802.1QTagheader的帧。端口的默认VLAN。当交换机不能从一个帧的tagheader中识别该帧属于哪一个VLAN时，就指定其属于接收端口的默认VLAN(VLAN1)VLAN广播域，所有属于同一个VLAN的端口属于同一个广播域，从而确定了该VLAN的帧的转发范围。VLAN的实现方式VLAN的实现方式有两种：静态VLAN动态VLAN静态VLAN静态VLAN又被称为基于端口的VLAN（PortBasedVLAN）。就是明确指定各端口属于哪个VLAN的设定方法。优点：实现容易而且比较安全。缺点：如果某个用户离开了原来的交换机端口，到了一个新的交换机的某个端口，则必须重新定义。基于端口的VLAN分类•基于端口的VLAN有两类，分别是PortVLAN和TagVLAN。–PortVLAN：这种划分模式将VLAN限制在一台交换机上。–TagVLAN：允许跨越多个交换机的多个不同端口划分VLAN，这种跨交换机的基于端口的VLAN，称为TagVLAN。动态VLAN动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为三类：基于MAC地址的VLAN（MACBasedVLAN）基于子网(IP)的VLAN(SubnetBasedVLAN）基于用户的VLAN（UserBasedVLAN）基于MAC地址的动态VLAN基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以记录。而且如果计算机交换了网卡，还是需要更改设定。基于子网的动态VLAN基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。即使计算机因为交换了网卡只要它的IP地址不变，就仍可以加入原先设定的VLAN。•基于用户的VLAN–基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。–这里的用户识别信息，一般是计算机操作系统登录的用户。基于端口VLAN的配置-PortVLANPortVLAN配置PortVLAN配置是一种基于交换机端口VLAN，而且是在同一台交换机内进行划分的VLAN。PortVLAN的特征一个端口只属于一个VLANPortVLAN设置在交换机连接主机的端口PortVLAN的模式为Access模式。PortVLAN配置过程基本步骤创建VLAN为各VLAN组命名设置将要添加到PortVLAN中的端口的工作模式。把交换机的相应端口划分到相应的VLAN中。配置过程：Switch(config)#vlan2-2094//创建一个VLANSwitch(config-vlan)#nametest//命名为“test”Switch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan2上机练习PortVLAN配置将两台PC连到没有划分VLAN的交换机的相应端口上，并确保两台PC互相ping是可以连通的。创建VLAN2和VLAN3，分别命名为test2和test3.验证测试showvlan.设置连接到PC机的交换机端口模式，并分配到指定的VLAN中。验证测试showvlan.测试两台计算机互相ping，是否能连通。上周作业交换机的组成部分有哪些？交换机的配置管理方式有几种？交换机的操作模式有几种？写出配置交换机名和IP地址的基本步骤写出配置远程登录密码和特权密码的基本步骤基于端口VLAN的配置-TagVLANTagVLAN介绍TagVLAN又称为跨交换机VLAN。不同的交换机的端口属于同一VLAN，满足IEEE802.1Q协议标准，而且是基于交换机端口的划分方法。划分方法满足条件交换机和交换机相连的端口必须实现多个VLAN信息的传输。实现同一VLAN跨越不同的交换机。TagVLAN实现的技术原理链路类型一台交换机上可以存在多个VLAN,并且这些VLAN可以跨越交换机来实现，因此交换机之间的链路必须传输来自不同VLAN的数据流。交换机是如何区分不同VLAN的数据帧呢？利用干道链路。接入链路干道链路干道链路VLAN20接入链路帧帧VLAN20接入链路VLAN20接入链路帧干道链路VID帧VID帧汇聚链接（TrunkLink）汇聚链接（TrunkLink）指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。IEEE802.1Q与ISL在交换机的汇聚链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。附加VLAN信息的方法，最具有代表性的有:IEEE802.1QISLIEEE802.1QIEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（TypeField）”之间。具体内容为2字节的TPID和2字节的TCI（标记控制信息），共计4字节。ISL（InnerSwitchLink）ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISLHeader）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之，就是总共增加了30字节的信息。ISL有如用ISL包头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN（EncapsulatedVLAN）”。TagVLAN配置过程TagVLAN的特征将交换机之间的级联端口设置为Trunk模式Trunk口属于所有的VLAN，可以传输所有VLAN信息。TagVLAN配置步骤Switch(config)#interfacefastethernet0/24进入级联端口Switch(config-if)#switchportmodetrunk将级联端口设置为trunk注意：两个交换机的级联端口都要设置成trunk模式。Switch#showvlan显示全部的vlanSwitch#showvlanid显示单独的vlanSwitch#writememory将vlan信息保存到flash中。上机练习TagVLAN配置在交换机上创建两个vlan，分别为vlan10和vlan20，将5端口划分到VLAN10中，10端口划分到vlan20中，把端口0/24作为级联端口，并将该端口设置为trunk。显示vlan配置信息。定义trunk口的许可vlan列表Trunk口默认状况下可以传输本交换机支持的所有的vlan的流量，但也可以通过设置trunk口的许可vlan列表来限制某些vlan的流量不能通过这个trunk口。Trunk口的许可vlan列表的配置。Switch(config)#interfaceinterfaceIDSwitch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowed{all\[add\remove\execpt]}vlan-list例如把vlan2从trunk端口f0/20移出Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch#showinterfacefa0/20switchVLAN的通信同一交换机VLAN的通信相同VLAN不同VLAN跨交换机VLAN的通信相同VLAN不同VLAN不同VLAN间的通信通过路由器实现VLAN间的通信用三层交换机代替路由器实现VLAN间的通信