虚拟局域网VLAN要点

虚拟局域网VLAN演讲小组：第二组稀里哗啦工作室特别制作组员：袁海东詹浩杨云珊詹晓玲杨芳丁小青曹群刚为什么使用VLAN连接到第2层交换机的主机和服务器处于同一网段。会带来两个严重的问题：交换机会向所有端口泛洪广播。连接到交换机的每台设备都能够与该交换机上的所有其他设备转发和接收帧。1虚拟局域网的定义定义是一种逻辑广播域；可以跨越多个物理网段。举例2划分VLAN的好处减少了由移动、新增和变更所引起的管理成本提供控制广播活动的功能支持工作组并提供了网络安全性通过利用现有得集线器以节省开支3VLAN划分方法基于端口划分手动将每个交换机端口指定给特定的VLAN。优点：定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。缺点：如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。基于MAC地址根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。优点：当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN。缺点：初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。基于网络层划分VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分的。优点：用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。缺点：效率低（相对于前面两种方法，检查每一个数据包的网络层地址是需要消耗处理时间的），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。基于IP组播的vlanIP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN，这种划分的方法是动态地把需要同时通信的端口通过使用基于IP的D类地址定义到同一个vlan中，并用广播的方法解决点对多点的通信。该方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。4.配置VLAN无论VLAN采用何种方法创建，VLAN的最大数量取决于IOS的类型。默认情况下，Vlan1是管理Vlan。管理员可以为其配置IP地址来远程管理交换机。所有的端口默认均处于Vlan中。为了易于管理vlan，最好为vlan命名。创建vlan和命名的命令：c3640#vlandatabasec3640(vlan)#vlanvlan-number[namename]举例：c3640(vlan)#vlan2nameteacher将某个端口指定给vlanSwitch(config)#interface接口类型接口号Switch(config-if)#switchportaccessvlanvlan_number将某组端口指定给vlanSwitch(config)#interfacerange接口类型接口号范围Switch(config-if)#switchportaccessvlanvlan_number举例：在交换机上创建teachervlan，并指定端口fa1/0给teachervlan，指定其余端口给studentvlan。c3640(vlan)#vlan2nameteacherc3640(config)#intf1/0c3640(config-if)#switchportaccessvlan2c3640(vlan)#vlan3namestudentc3640(config)#intf1/1-12c3640(config-if)#switchportaccessvlan3c3640(config-if)#end检验、维护和排查Vlan故障c3640#showvlan-switchVLANNameStatusPorts1.----------------------------------------------------------------------------2.1defaultactiveFa1/13,Fa1/14,Fa1/153.2teacheractiveFa1/04.3studentactiveFa1/1,Fa1/2,Fa1/3,Fa1/45.Fa1/5,Fa1/6,Fa1/7,Fa1/86.Fa1/9,Fa1/10,Fa1/11,Fa1/127.1002fddi-defaultactive8.1003token-ring-defaultactive9.1004fddinet-defaultactive10.1005trnet-defaultactive11.VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans212.--------------------------------------------------------------------13.1enet1000011500-----1002100314.2enet1000021500-----0015.3enet1000031500-----0016.1002fddi1010021500-----1100317.1003tr101003150010050--srb1100218.1004fdnet1010041500--1ibm-0019.1005trnet1010051500--1ibm-00显示vlan的摘要信息c3640#showvlan-swithbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa1/13,Fa1/14,Fa1/152teacheractiveFa1/03studentactiveFa1/1,Fa1/2,Fa1/3,Fa1/4Fa1/5,Fa1/6,Fa1/7,Fa1/8Fa1/9,Fa1/10,Fa1/11,Fa1/121002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive显示单个vlan的信息c3640#showvlan-switchid2或c3640#showvlan-switchnameteacher删除vlanc3640#vlandatabasec3640(vlan)#novlan1取消端口与特定vlan的关联c3640(config)#interfa1/0c3640(config-if)#noswitchportaccessvlan2提示交换机中的VLAN信息存放在单独的文件中flash:vlan.dat，因此如果要完全清除交换机的配置，除了使用“erasestarting-config”命令外，还要使用“deleteflash:vlan.dat”命令把VLAN数据删除。新的IOS版本中，可以在全局配置模式中创建VLAN。默认时,所有交换机接口都在VLAN1上，VLAN1是不能删除的。如果有多个接口需要划分到同一VLAN下，也可以采用range以节约时间,注意破折号前后的空格。如果要删除VLAN，使用“novlan2”命令即可。删除某一VLAN后，要记得把该VLAN上的端口重新划分到别的VLAN上，否则将导致端口的“消失”。5.标识vlan帧标记常用帧标记标准：IEEE802.1Q。也可所写为DOT1Q，该标准在以太网帧中插入一个4字节的标记字段。5.中继和VLAN间的路由交换机端口角色接入端口：仅属于一个vlan。通常pc或服务器之类的单台设备连接此类端口。中继端口：是交换机和其他网络设备点到点的链路。中继通过一条链路传输多个vlan的流量，vlan可通过中继跨越整个网络。当在同一链路上传输多个vlan流量时，需要标识他们所属的vlan。帧标记协议：802.1q和交换机间链路ISL目前，catalyst6500系列之类的高端交换机支持上述两种协议，不过大多数LAN交换机仅支持802.1Q。将交换机配置为中继接口c3640(config)#interfacefastEthernet1/0c3640(config-if)#switchportmodetrunkc3640(config-if)#switchporttrunkencapsulation{dot1q|ISL|negotiate}/*只有在交换机同时支持802.1q和ISL时使用/Negotiate为交换机上的默认模式，此参数可自动检测邻居交换机的封装类型打开自动检测配置Switch(config-if)#switchportmodedynamic{desirable|auto}desirable:如果另一端设置为trunk、desirable或auto，则该端口即为中继端口；auto：如果另一端设置为trunk或desirable，则该端口为中继模式。从中继模式返回接入模式Switch(config-if)#noswitchportmodetrunk或Switch(config-if)#switchportmodeaccess配置本征vlan本征vlan：在802.1q中继端口处接收到的无标记帧将成为本征vlan成员。在ciscocatalyst交换机上，vlan1默认为本征vlan。任何vlan均可配置成本征vlan，但要确保802.1q中继两端的本征vlan相同，如果不同，可能导致环路。配置方法：Switch(config-if)#switchporttrunknativevlanvlan-id6.Vlan间的路由方法（分别画图说明）每个vlan通过单独的接口连接到第三层设备。连通不同vlan需要一种成为子接口的功能。子接口从逻辑上将一个物理接口划分成多条逻辑路径。将一条路径或子接口分配给一个vlan。具体步骤：将交换机接口配置为802.1q中继链路。在路由器上选择一个速度至少为100Mbps的快速以太网接口，配置支持802.1q封装的子接口。为每一个vlan分配一个子接口。子接口使得每个vlan拥有自己的逻辑路径和到路由器的默认网关。过程：发送方vlan中的主机使用默认网关将流量转发到路由器。路由器找到目的IP地址并查找路由表。如果目的主机和源主机在同一台交换机上，则路由器使用目的vlanid的子接口参数将流量转发回源主机。这种配置通常称单臂路由器。如果路由器的送出接口与802.1q兼容，帧继续保留其vlan标记。否则，路由器删除帧标记，恢复为原始的以太网帧。配置举例步骤1：在交换机上配置一个中继接口c3640(config)#interfacefastEthernet1/1c3640(config-if)#switchportmodetrunk步骤2：在路由器上配置一个不带IP地址或子网掩码的快速以太网接口。(*)router(config)#interfacefastEthernet0/1router(config-if)#noipaddressrouter(config-if)#noshutdown步骤3：在路由器