第9章 虚拟局域网 vlan

本章将学习VLAN的基本概念，中继(trunking)，VLAN成员关系，VLAN的识别，VLAN中继协议（VTP），VLAN之间的路由，通过实际操作使学生能熟练配置VLAN和VTP。教学要求：(1)熟悉VLAN的基本功能(2)能够熟练配置VLAN和VTP9.1VLAN基础9.2VLAN干道协议（VTP）9.3VLAN的识别9.4VLAN间的路由选择9.5实验9.6小结VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN安全性广播控制延迟VLAN的灵活性和可扩展性•分段•灵活性•安全性第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)交换机A交换机B•每个逻辑的VLAN就象一个独立的物理桥•同一个VLAN可以跨越多个交换机绿色VLAN黑色VLAN红色VLAN绿色VLAN黑色VLAN红色VLAN交换机A交换机B主干连接•每个逻辑的VLAN就象一个独立的物理桥•同一个VLAN可以跨越多个交换机•主干功能支持多个VLAN的数据快速以太网绿色VLAN黑色VLAN红色VLAN绿色VLAN黑色VLAN红色VLAN一个VLAN中所有设备都是在同一广播域内；广播不能跨越VLAN传播。一个VLAN为一个逻辑子网；由被配置为此VLAN成员的设备组成；不同VLAN通过路由器实现相互通信。VLAN中成员多基于Switch端口号码，划分VLAN就是对Switch接口划分。VLAN工作于OSI参考模型的第二层。10VLAN5静态VLAN动态VLANMAC=1111.1111.1111主干连接VLAN成员策略服务器1111.1111.1111=vlan10VLAN10端口e0/9端口e0/4VLAN的配置实际上十分容易，可采用“vlanvlanname”命令来配置，当创建了VLAN后，可以采用“showvlan”命令来查看它们。VLAN创建好以后，必须将交换机上的端口配置到VLAN中，但一次只能配置一个VLAN端口。命令格式为“switchportaccessvlanvlanname”。如果要将创建好的VLAN删除，命令格式为：“novlanvlanname”。–启用VTP(可选)–启用主干功能–创建VLAN–将端口加入VLANswitch(config)#vlan300switch(config-vlan)#nametestswitch(config-vlan)#intgig2/1switch(config-if)#switchportaccessvlan300switch(config-if)#endswitch#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveGi1/2,Gi3/1300testactiveGi1/1,Gi2/1500manageractiveGi2/41,switch#vlandatabaseswitch(vlan)#vlan200nametest2VLAN200added:Name:test2switch(vlan)#novlan200VTP域VTP被组织成管理域。一台交换机除了和域中的其它的交换机共享VLAN信息外，它只能属于一个VTP域，不同域中交换机不能共享VLAN信息。VTP域中的交换机不停地向域内的邻居通告信息。当网络中的VLAN信息发生变化时，通过VTP通告向其它的交换机这个变化，这样域内所有的交换机都能知道这个变化。一个能够宣告VLAN配置信息的信息系统通过一个共有的管理域，维持VLAN配置信息的一致性VTP只能在主干端口发送要宣告的信息支持混合的介质主干连接(快速以太网,FDDI,ATM)1.“新增一个vlan”3.同步最新的vlan信息2VTP域“ICND”服务器模式(servermode)客户机模式(clientmode)透明模式(transparentmode)18透明模式•发送/转发信息宣告•同步•不会存贮于NVRAM•创建vlan•修改vlan•删除vlan•发送/转发信息宣告•同步•存贮于NVRAM•创建vlan•修改vlan•删除vlan•转发信息宣告•不同步•存贮于NVRAM–VTP信息宣告以多点传送的方式来进行–VTP服务器和客户模式下会同步最新版本的宣告信息–VTP信息宣告每隔5分钟或者有变化时发生1.新增VLAN2.版本3--版本4服务器客户客户4.版本3--版本45.同步新的VLAN信息334.版本3--版本45.同步新的VLAN信息VTP域名VTP模式(服务器/客户/透明)—VTP服务器模式是缺省值VTP裁减VTP密码VTP捕取20注意：当加入一新的交换机到一个已经存在的VTP域时，这个交换机会被以客户模式加入，以便防止该交换机宣告不正确的VLAN信息可以用命令deletevtp来复位VTP的版本号VTP修剪是指可以通过配置来减少广播、组播和其它单播包的数量来提供一种方式来保留带宽。VTP修剪只将广播发送到真正需要该信息的中继线路上。在VTP服务器上启用修剪时，整个域上都启用了它。默认时，所有的交换机都禁用VTP修剪，VLAN2至1005是可以启用修剪的，但VLAN1是不能启用修剪，因为它是负责管理整个VLAN的。–通过阻止不必要数据的泛洪传送来增加可用的带宽–例如:主机A发出广播，广播仅仅泛洪到已有端口被分配到红色VLAN的所有交换机交换机4交换机2交换机6交换机3交换机1端口2被泛洪的数据在这些地方被阻止红色VLAN端口1交换机5AB在VTP域中可以使用两种版本，即VTP版本1和VTP版本2。在VTP域中两种版本不能相互操作的，所以同一个域中所有的交换机必须配置相同的VTP版本。VTP版本1是交换机上默认协议。如果一台交换机能够启用VTP版本2，但是没有启用，这样该交换机能够和其它VTP版本1的交换机共存，但是一但该交换机启用了VTP版本2，那么会导致所有的交换机会自动启用VTP版本2。VTP的两个版本所支持的功能有所不同，VTP版本2比版本1提供了许多额外的功能Switch#showvtp？显示VTP信息switch(config)#vtpdomainshd配置VTP管理域switch(config)#vtpmodeserver配置VTP模式SettingdevicetoVTPSERVERmodeswitch(config)#vtppasswordshdahSettingdeviceVLANdatabasepasswordtoshdahswitch(config)#vtpversion2配置VTP版本switch(config)#vtppruning启用VTP修剪Pruningswitchedon25switch#showvtpVTPversion:1Configurationrevision:4MaximumVLANssupportedlocally:1005NumberofexistingVLANs:6VTPdomainname:switchlabVTPpassword:VTPoperatingmode:TransparentVTPpruningmode:EnabledVTPtrapsgeneration:EnabledConfigurationlastmodifiedby:10.1.1.40at00-00-000000:00:00switch#showvtp访问链路（accesslinks）在访问链路中，接口仅属于一个VLAN的一部分。接入端口（accessport）是一个连接终端设备或者服务器的交换机接口。访问链路上的设备不能与VLAN外部的设备通信，除非数据包是被路由转发。中继链路（trunklinks）：在多台互联的交换机的网络中使用VLAN时，需要在交换机之间使用VLAN中继技术。中继链路则负责在同一个点到点链路上同时传送多个VLAN的通信。Trunk是一条点到点的链路，连接两台交换机，一台交换机和一台路由器或者服务器（需要使用特殊的适配卡），它可以承载1到1005个VLAN。在trunking协议中，多个VLAN在一条链路上实现复用。中继也可以使单个端口同时成为多个VLAN的一部分。通过硬件(ASIC)实现ISL标识不会出现在工作站，客户端并不知道ISL的封装信息在交换机或路由器与交换机之间，在交换机与具有ISL网卡的服务器之间可以实现28ISL的主干功能使得VLAN信息可以穿越主干线进入主干线前加上VLAN标识离开主干线后去掉VLAN标识ISL支持VLAN的标识用ISL头与CRC进行帧封装可以支持多个VLAN(1024)VLAN号BPDU控制位29ISL头26bytes以太帧数据CRC4bytesDATypeUserSALENVLANAAAA03BPDUHSAVLANBPDUBPDUINDEXRES交换机间链路（ISL,Inter-SwitchLink）这是一种Cisco专用的封装协议，用于交换机之间的trunking。ISL在数据帧的前面添加了26字节的头部，这个帧头包含10位的VLANID。此外，在帧的末尾还添加了一个4字节的循环冗余校验（CRC）。在需要进行校验的以太网帧后面，都要添加CRC。当数据在交换机之间传递时负责保持VLAN信息的协议。这项技术提供了一种在一条高速骨干线路上传送多个网桥组（即VLAN）的方法。ISL只可以用于快速以太网和吉比特以太网。从CiscoIOS软件版本11.1开始，就支持ISL功能。IEEE802.1Q标准的正式名称是虚拟桥接局域网标准（StandardforVirualBridgedLocal-AreaNetworks）。帧头内插入VLAN标识来标明VLAN这项标准支持在一个网段上传送多个VLAN。802.1Q委员会定义这种VLAN复用方法的目的是为了支持多厂商的VLAN。当你使用不同品牌的交换机之间进行中继时，必须要使用802.1QISL和802.1Q都提供中继功能。它们使用的报头不同，只有ISL对以太网帧进行封装，802.1Q并不封装以太网帧，而是在以太网帧中间添加一个4字节的报头。该报头包含一个用于标识VLAN号的字段。它们都使用了12位的VLANID字段，它们支持的VLAN数也相同。ISL和802.1Q都支持每个VLAN一个生成树实例。两者的差别是：802.1Q不支持多个生成树。33switch#confterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Zswitch(config)#interfacef0/26switch(config-if)#trunkon首先打开端口的主干功能(端口A)•On=打开主干功能并与对方协商执行•Off=关闭主干功能并与对方协商执行•Desirable=与对方协商执行如果对方设为on、desirable或auto则打开主干功能•Auto=只有对方设为on或desirable时才打开主干功能•Non-negotiate=打开主干功能并不再与对方协商执行trunk[on|off|desirable|auto|nonegotiate]switch(config-if)#switch#showintgig3/2trunkPortModeEncapsulationStatusNativevlanGi3/2on802.1qtrunking1PortVlansallowedontrunkGi3/21-4094PortVlansallowedandactiveinmanagementdomainswitch(c