任务3企业网络划分虚拟局域网

任务3：企业网络划分虚拟局域网——了解VLAN企业网中，为了限制广播流量，提高网络的安全性，方便网络的施工和管理，通常会在企业网中划分多个虚拟局域网（VLAN），将业务相关的计算机划分到一个虚拟工作组，每个虚拟工作组就像一个独立的局域网一样。虚拟局域网(VirtualLocalAreaNetwork，VLAN)是一种将物理局域网根据某种网络特征从逻辑上划分（注意，不是从物理上划分）成多个网段，从而实现虚拟工作组的数据交换技术。划分后的VLAN具有局域网的所有特征，一个VLAN内部的广播和单播流量不会转发到其他VLAN中，从而可以隔离网络上的广播流量、提高网络的安全性。VLAN可应用于交换机和路由器中，但目前主流应用还是在交换机之中。不是所有交换机都具有VLAN功能，这一点可以查看相应交换机的说明书。VLAN流量可以跨域交换机，多个VLAN通过一条物理线路时，需要给数据帧打标签，以区分不同的VLAN流量。任务3：企业网络划分虚拟局域网——为什么要划分VLAN？提高了网络通信效率。由于缩小了广播域，一个VLAN内的单播、广播不会进入另一个VLAN，减小了整个网络的流量。方便了维护和管理。VLAN是逻辑划分的，不受物理位置的限制，给网络管理带来了方便。提高网络的安全性。不同VLAN不能直接通信，杜绝了广播信息的不安全性。要求高安全性的部门可以单独使用一个VLAN，可有效防止外界的访问。没有划分VLAN的传统局域网，处于同一个网段，是一个大的广播域，广播帧占用了大量的带宽，当网络内的计算机数量增加时，广播流量也随之增大，广播流量大到一定程度时，网路效率急剧下降。VLAN的作用主要有：任务3：企业网络划分虚拟局域网——可以基于哪些网络特征划分VLAN？（1）基于端口划分VLAN基于端口划分的VLAN属于静态VLAN，是将交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。（2）基于MAC地址划分VLAN基于MAC地址的VLAN是动态VLAN，就是将MAC地址分成若干个组，使用同一组MAC地址的用户构成一个虚拟局域网。（3）基于网络层协议划分VLAN基于网络层协议的VLAN也是动态，可划分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。通常用以下几种定义方法：VLAN目前主要是在交换机上划分，可以分为静态VLAN和动态VLAN。静态VLAN就是明确地指定交换机的端口分别属于哪个VLAN，动态VLAN是根据交换机端口上所连接的计算机的情况来决定属于哪个VLAN。普遍使用的是基于端口的静态VLAN。任务3：企业网络划分虚拟局域网——基于端口划分VLAN（1）新交换机中有VLAN1和VLAN1002、VLAN1003、VLAN1004和VLAN1005这5个默认VLAN。默认情况下交换机所有的端口都属于VLAN1。VLAN1称为本地VLAN(NativeVLAN)，生成树协议（STP，可防止局域网路）的桥接协议数据单元（BPDU）、VLANID(VLAN的编号)的信息等都要通过NativeVLAN来传输。任务3：企业网络划分虚拟局域网——基于端口划分VLAN（2）基于端口划分VLAN分为两步：第一步创建VLAN,第二步给每个VLAN分配端口成员。创建VLAN可以在全局配置模式下创建，也可以在VLAN数据库模式下创建。但是，Cisco不推荐在VLAN数据库模式下创建VLAN。①在全局模式下创建和删除VLAN②在VLAN数据库模式下创建和删除VLAN第一步，创建VLAN任务3：企业网络划分虚拟局域网——基于端口划分VLAN（3）基于端口划分VLAN就是将交换机的端口分配给不同的VLAN，作为各个VLAN的成员。第二步，给每个VLAN分配端口成员完成三个任务：①指定端口；②设置交换机端口为access模式；③将交换机端口分配给某个VLAN。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（1）VTP（VLANTrunkProtocol）协议实现了在单个控制点上管理整个网络，实现了VLAN的统一配置和管理，减轻了网络管理员的负担，减少了出错的几率。在大型企业网络中，交换机的数量非常多，而各个交换机的VLAN配置基本相同，因此，在企业交换网络的配置和管理过程中存在非常多的重复劳动，而且，也会由此产生一些配置错误，使网络出现故障。VTP协议在某个域内工作，域内的每台交换机必须使用相同的VTP域名，在交换机与交换机之间不能连接其它设备，即交换机必须是相邻的，而且要求在所有交换机中启用Trunk。域内的VTP服务器通过VLAN1向特定的组播地址发送VTP消息，来通告VTP服务器的VLAN配置情况，域内的其他服务器和VTP客户机接收通告统一自己的VLAN信息。要完成交换机之间的VLAN信息交换，需要完成配置Trunk端口、封装VLAN协议、指定VTP域、指定工作模式以及修剪不必要的VLAN流量等工作。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（2）交换机在划分了VLAN后，两台交换机上的相同VLAN之间的通信怎么来解决？1、配置Trunk端口如果每对VLAN之间使用一条物理连接，只传输本VLAN的信息，那么有多少个VLAN，每台交换机就需要多少个端口用于交换机之间的连接，这样非常浪费交换机的端口。为了节约端口，就出现了Trunk技术。Trunk是连接交换机与交换机或交换机与路由器的一条物理链路，用于交换机之间传输多个VLAN的信息，统一VLAN数据库，从而节约了交换机端口。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（3）在接口配置模式下配置Trunk的命令语法如下：在Catalyst3560和2960之间各自通过F0/24端口建立Trunk链路的参考配置如下：多个VLAN的通信流量在交换机之间传输时，交换机之间的级联链路必须采用Trunk链路，链路两端的交换机端口必须设置为Trunk模式。Trunk链路承载了多个VLAN的通信流量，为了区分各个流量属于哪个VLAN，就需要对Trunk链路上来自不同VLAN的数据帧做不同的标记（tag），这样，交换机就可以根据这个不同的标记，将来自Trunk的数据帧送给不同的VLAN。switchportmodetrunk任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（4）2、在Trunk口封装VLAN协议IEEE802.1Q协议是国际标准VLAN封装协议，称为VirtualBridgedLocalAreaNetworks协议。IEEE802.1Q协议对发往Trunk的以太网数据帧打标记时，是在以太网的数据帧中间加入了4个字节的内容，这四个字节的内容包含一个标记协议标识符（TPID，TagProtocolIdentifier）以及VLAN号等内容。交换机根据这个TPID来确定数据帧中的VLAN标记是哪种VLAN封装协议封装的。如果这个TPID值为16进制数0x8100，说明是使用的IEEE802.1Q协议。VLAN号用12为二进制数来表示，最大可表示的VLAN数值为4096。（1）IEEE802.1Q协议任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（4）（2）ISL协议（交换链路内协议）ISL（交换链路内协议）是Cisco私有VLAN封装协议，用于Cisco交换机之间以及和路由器之间的VLAN封装。ISL协议对发往Trunk的以太网数据帧打标记时，是在以太网数据帧的头部附加26个字节ISL包头、尾部附加4个字节的CRC校验，总共在以太网数据帧上增加了30个字节。IEEE802.1Q和ISL都是为了不同的VLAN数据打标记，但IEEE802.1Q封装破坏了以太网的数据帧，而ISL封装不破坏以太网数据帧。IEEE802.1Q和ISL互不兼容。IEEE802.1Q和ISL互不兼容。如果网络设备全部是Cisco设备，则可以使用ISL协议；如果网络上有Cisco以外的网络设备，则需要使用IEEE802.1Q协议。它们的区别在于针对NativeVLAN是否打标记。ISL是全部都打标记，有几个VLAN打几个标记；而IEEE802.1Q协议除了VLAN1（也就是NativeVLAN）不打标记之外，其他的VLAN都打标记。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（5）在Trunk端口上封装VLAN协议的命令语法如下：switchporttrunkencapsulationdot1q|ISL默认情况下，Trunk链路承载所有VLAN的信息，但是，有时候交换机上可能有多条Trunk链路，VLAN信息需要分流，可以通过配置Trunk链路，允许或不允许某个VLAN信息通过。在Trunk接口模式下只允许某个VLAN通过的命令语法如下：Switchporttrunkallowedvlanvlan-listvlan-list是指允许通过的那些VLAN号，多个VLAN号之间用“,”分割。如果设置允许所有的VLAN通过，vlan-list就是all。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（6）例如，在Catalyst3560和2960上各自有VLAN1、VLAN10、VLAN20、VLAN30、VLAN40，交换机之间各自通过F0/24端口和对方建立Trunk链路，封装IEEE802.1Q协议，允许VLAN1、VLAN10、VLAN20信息通过，不允许VLAN30和VLAN40信息通过的参考配置如下：vlan-list是指允许通过的那些VLAN号，多个VLAN号之间用“,”分割。如果设置允许所有的VLAN通过，vlan-list就是all。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（7）在Trunk链路上，如果需要在现有允许通过的VLAN中指定不允许通过的VLAN，可以采用以下命令：Switchporttrunkallowedvlanremovevlan-id在Trunk链路上，如果需要在现有允许通过的基础上增加允许通过的VLAN，可以采用以下命令：Switchporttrunkallowedvlanaddvlan-id例如，在Catalyst3560的F0/24上现有允许通过的VLAN1、VLAN10、VLAN20中不允许VLAN10通过。增加允许VLAN30和VLAN40通过。任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（8）3、配置VTP管理域（administrativedomain）和VTP工作模式网络内具有相同VTP域名的交换机组成一个VTP管理域。Cisco交换机配置VTP管理域可以在两种模式下进行，一种是在全局配置模式下进行，还有一种是在VLAN数据库模式下进行。两种模式下配置VTP管理域的命令语法是一样的：vtpdomaindomain-name域名是区分大小写的，域名不会隔离广播域，仅仅用于同步VLAN配置信息。VTP是VLAN中继协议，是第2层信息传送协议，主要控制网络内具有相同VTP域名的交换机上VLAN的添加、删除和重命名。一台交换机只能属于一个域，同一个域内的交换机之间才能交换VLAN信息。（1）配置VTP管理域任务3：企业网络划分虚拟局域网——基于VTP协议在交换机之间交换VLAN信息（9）运行VTP协议的交换机必须设置某一种模式。Cisco交换机默认为VTP的server模式。服务器模式：控制它所在域中所有VLAN的修改、添加与删除。一个网络最少要有一台Server模式的交换机，可以有多台。Server模式的交换机在配置了VLAN后，会将VLAN信息向网络上的其他交换机进行通告，同时接收网络上其他Server模式的交换机发来的通告，以统一VLAN数据库。客户端模