第三章配置VLAN

——VLAN技术——-20-第三章配置VLAN一、VLAN（VirtualLocalAreaNetwork，虚拟局域网）1、VALN概述VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN所指的LAN特指使用路由器分割的网段——也就是广播域。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。一个VLAN就是一个交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN，IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是一个逻辑网络，发往另一VLAN的数据包必须由路由器或网桥转发。由于VLAN被看成是一个逻辑网络，其具有自己的网桥管理信息庫(MIB)并可支持自己的生成树。VLAN常常与IP子网相联系，同一IP子网属于同一VLAN。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。——VLAN技术——-21-图1是应用VLAN管理网络的典型例子：图1、VLAN应用示意图在图1中编号为A的交换机端口fa0/1、fa0/2所连接的终端工作站PC1、PC2组成了VLAN3，交换机端口fa0/3、fa0/4所连接的终端工作站PC3、PC4组成了VLAN4，交换机端口fa0/23、fa0/24所连接的终端工作站PC5、PC6组成了VLAN5。他们在各自的VLAN中是可以直接通信，若要跨VLAN通信，必须引入第三层交换或VLAN间路由技术才可能通信。注意：VLAN编号1，1002到1005是在交换机开机初始化时自动生成的不能被去掉的。因而在进行VLAN自定义编号时，应避开这些编号。2、VALN的划分方法（1）、基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。（2）、基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。（3）、基于网络层协议划分VLANVLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具Pc1Pc2Pc3Pc4Pc5Pc612342324VLAN3VLAN4VLAN5Switch#A——VLAN技术——-22-有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。（4）、根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。（5）、按策略划分VLAN基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。（6）、按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。3、VLAN中继（VLANTrunk）（1）、VLAN中继VLAN中继也称为VLAN主干，是在交换机与交换机之间或交换机与路由器械之间连接的情况下在互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。VLAN中继的帧格式，分为ISL（Inter-SwicthLink，交换机之间连接）和IEEE802.1Q两种协议，其中前者是Cisco交换机独有的协议，后者是国标标准协议，被几乎所有的网络设备生产厂商所共同支持。（2）、VLAN中继协议(VLANTrunkingProtocol)对于Cisco设备而言，VLAN中继协议（即VTP协议）可以帮助交换设置VLAN。VTP协议可以维护VLAN信息的全网一致性。VTP工作模式分为三种：服务器模式、客户模式和透明模式。（3）、生成树协议（STP，SpanningTreeProtocol）STP协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。STP协议通过在交换机之间传递BPDU（BridgeProtocolDataUnit，桥接协议数据单元）来互相告知诸台交换机的桥IP（号）、链路性质、根桥（RootBridge）ID等信息，以便确定根桥，决定哪些端口处于转发状态，哪些端口处于阻止转发状态，以免引起网络环路。4、VALN的特点（1）、网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口；（2）、安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信；（3）、因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,——VLAN技术——-23-地理位置无关；（4）、VLAN增加安全性；（5）、VLAN增加广播域的数量,而减小广播域的大小。5、应用VLAN技术应注意事项：1、VLAN的其中一个优点是交换机端口很容易便可以从一个VLAN改变到另一个VLAN。由于改变太容易，大部分的改变都没有立刻记录下来。这也是对维护VLAN网络、做文档备案的最大挑战。因而在某一个VLAN发生变化时，应及时记录下来。2、VLAN最佳实践的原因：拥有一个健康的VLAN不能依靠侥幸。需要在脑海中有最优化性能的目标，仔细地设计和维护。如果在VLAN设计的时候就不注意，结果就是网络会非常复杂，在故障查找和维护时都会非常困难。3、使用VLAN减少路由跳数：为了把帧从一个VLAN传递到另一个，必须用一个3层设备进行路由。这个设备可以是一个传统的路由器，或者是一个3层交换机。从发送者到接收者，路由器每增加一跳都会增加帧的延迟时间，这有可能造成一个性能瓶颈。4、保持最小的VLAN数目：有一个创建过多的不需要的VLAN的倾向。当交换机本身可以支持上千个VLAN的时候，每增加一个VLAN就会给路由器和网络其他设备带来额外的开销。二、VLAN配置常用命令1、有关常用命令命令作用ipaddressip_addresssubnet_mask配置本机IP地址；ipdefault-gatewayip_address配置本机缺省网关；VTPServer配置交换机成为VtpServer模式；VTPClient配置交换机成为VtpClient模式；VTPdomainvtp_domain_name配置VTP域名，后面为自定义的域名；trunk{auto|desirable|nonegotiate|off|on}配置Trunk模式；vlandatabase进入VLAN配置模式；vlanvlan_idnamevlan_name定义VLAN编号和VLAN名vlan-membershipstaticvlan_id配置端口的VLAN编号Switchport配置二层口2、命令有关注释（1）、VTP配置VTPdomainvtp_domain_name设置VTP域名为CISCO的例：vtpdomaincisco设置vtp模式：server、client和transparent（透明模式）设置vtp口命令：vtppassword——VLAN技术——-24-（2）、VLAN中继命令：trunk{auto|desirable|nonegotiate|off|on}atuo：设置DISL（动态ISL）状态为自动，当相连设备端口状态为on和desirable，此时端口成为主干模式；desirable：设置DISL状态为“希望成为”，与之相连的设备端口状态为on、desirable或auto时，双方协商成为主干模式，若与之相连的设备端口状态为off、nonegotiate，则为非主干模式；off：禁止DISL状态成为主干模式；on：设置禁止DISL状态成为主干模式；（3）、Switchport配置二层口命令：switchportmode{dynamic{auto|desirable}|trunk}配置二层trunk模式dynamicauto—自动协商是否成为trunkdynamicdesirable—把端口设置为trunk如果对方端口是trunk，desirable，或自动模式trunk—设置端口为强制的trunk模式，而不理会对方端口是否为trunkswitchportaccessvlanvlan-id指定一个缺省VLAN，如果此端口不再是trunk交换机2950是只能支持二层的交换机，即是所有端口缺省的端口都是二层口。在三层交换机上，若端口已经配置成三层端口的话，则需要用switchport来使其成为二层端口。（4）、常用监测命令：showvlan{namevlan-name|idvlan-id}查看VLAN编号配置信息showvlanbrief查看VLAN配置信息showvtpstatus查看vtp配置信息showrunning-configinterfaceinterface-id查看某个端口的VLAN号showinterfacesinterface-idswitchport查看某个端口的管理模式和VLAN配置信息showinterfacesinter