第六课、VLAN中继和单臂路由浙江工业职业技术学院SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLAN1.传输多个VLAN的信息2.实现同一VLAN跨越不同的交换机VLAN中继(带标记的VLAN)在Trunk链路上传输多个VLAN信息目的,源MAC地址类型,数据重新计算帧检测序列2字节标记协议标识2字节标记控制信息标记协议标识(TPID):固定值0x8100,表示该帧载有802.1q标记信息标记控制信息(TCI):Priority3比特表示优先级,Canonicalformatindicator1比特用于总线型以太网、FDDI、令牌环网。VlanID12比特表示VID,范围1-4094IEEE802.1Q数据帧Tag标记802.1q数据帧只在交换机的trunk链路上传输,对于用户是完全透明的。默认条件下,Trunk上会转发交换机上存在的所有VLAN的数据。A交换机1交换机2802.1q工作原理B数据帧Tag标签配置TagVLAN-Trunk•把Fa0/1配成Trunk口–Switch#configureterminal–Switch(config)#interfacefastethernet0/1–Switch(config-if)#switchportmodetrunkNativeVLAN•Switch(config-if)#switchporttrunknativevlan20•Switch(config-if)#end每个Trunk口的缺省nativeVLAN是VLAN1。在配置Trunk链路时,请确保连接链路两端的Trunk口属于相同的nativeVLAN。下面是一个把端口0/20配置为TRUNK端口,但是不包含VLAN2的例子:Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#end配置TagVLAN-Trunk配置TagVLAN•验证配置信息Switch#showinterfacesfastethernet0/20switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists------------------------------------------------------------------Fa0/20EnabledTrunk11Enabled1,3-4094Switch#showvlanVLANNameStatusPorts----------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/222VLAN0002activeFa0/5,4VLAN0004activeFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/205VLAN0005activeFa0/20,Fa0/23,Fa0/24将VLAN信息保存到flash中Switch#writememory从flash中清除VLAN信息Switch#deleteflash:vlan.dat保存/清除VLAN信息VLAN10VLAN20172.16.20.4VLAN30隔离的广播域通过VLAN的划分,不同VLAN间不能够直接访问VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通信的方法12三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。VLAN20Network172.16.20.4VLAN30Network172.16.30.5VLAN10Network172.16.10.3使用三层交换机进行VLAN间路由三层交换机•第一步:分别创建每个VLAN三层SVI端口,并分配IP地址:–Switch(config)#interfacevlanvlan–Switch(config-if)#ipaddressaddressnetmask–Switch(config-if)#noshutdown•第二步:开启路由功能(默认是开启的)–Switch(config)#iprouting•第三步:将每个VLAN内主机的网关指定为本VLAN接口地址配置方法VLAN10VLAN30VLAN20InterfaceFA1Subinterface1.1Subinterface1.2Subinterface1.3一条链路连接多个VLAN(单臂路由)使用路由器进行VLAN间路由•单臂路由Trunk链路•二层交换机单臂路由——RouteronaStick•路由器支持在一条Trunk链路上传输多个VLAN信息•二层交换机单臂路由配置方法1、在路由器上配置子接口,并用802.1Q进行封装;2、将与路由器相连的交换机接口配置成Trunk模式;3、在交换机上划分相应的VLAN。•二层交换机路由器上的配置:interfaceFastEthernet1/0.1encapsulationdot1Q10ipaddress10.1.1.1255.255.255.0interfaceFastEthernet1/0.2encapsulationdot1Q20ipaddress10.2.2.1255.255.255.0交换机上的配置vlan10namebm1!vlan20namebm2!interfaceFastEthernet0/1switchportaccessvlan10!interfaceFastEthernet0/2switchportaccessvlan20!interfaceFastEthernet0/4switchportmodetrunk!F0/4F1/0实验:小型企业网络搭建一IP:10.10.4.4网关:10.10.4.1F1/1IP:10.10.3.3网关:10.10.3.1S3760F0/1F0/3F0/4pc1pc2InternetF1/0NAT172.31.255.xy/2410.10.1.1/241.2/24财务部:VLAN303.1/24VLAN404.1/24工程部服务器群:VLAN808.1/2410.10.8.2:80172.31.255.1xy:81NAPT•要求:1、对外发布WEB/FTP服务器•2、禁止工程部用户访问财务部电脑Switch(config)#ipaccess-list{standard|extended}nameSwitch(config{std-|ext-}nacl)#{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}!取消访问列表Router(config-if)#ipaccess-groupname{in|out}补充:使用名称访问列表•所使用的名称必须一致•允许和拒绝语句不需要访问列表编号•“no”命令删除访问列表•在端口上应用访问列表用访问列表控制Vlan间的互访禁止10.2.2.0/24网络用户访问VLAN10ipaccess-liststandardabcdeny10.2.2.00.0.0.255permitany!interfaceVlan10ipaccess-groupabcin