RCCP-T001-V2.6-VLAN技术

第一章VLAN技术RCCP_T001教学目标通过本章学习使学员能够：1、掌握二层交换机中的VLAN基本配置；2、掌握VLAN间路由的基本配置；3、掌握PrivateVLAN的应用场合及配置；4、掌握SuperVLAN的应用场合及配置。本章内容VLAN基本配置使用SVI实现VLAN间通信使用单臂路由实现VLAN间通信PrivateVLAN原理与配置SuperVLAN原理与配置课程议题VLAN配置交换网络中的问题在交换机组成的校园网络里所有主机都在同一个广播域内广播域交换网络中的问题通过VLAN技术可以对网络进行一个安全的隔离、分割广播域VLAN10VLAN40VLAN30VLAN20VLAN技术1234交换机广播帧广播域广播帧广播域VLAN概述（VirtualLocalAreaNetwork）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN隔离广播域。VLAN技术的好处通过在交换网络中的VLAN技术的实施，可以为网络带来很多诸如隔离广播、安全、负载分担等好处。隔离广播：在交换网络中，通过广播域的隔离，可以大大减少网络中泛洪的广播包，从而提高网络中的带宽利用率。安全性：通过在二层网络划分VLAN，可以实现在二层网络中不同VLAN间的数据隔离，。故障隔离：通过VLAN的划分，由于将设备划分到不同的广播域当中，可以减小网络故障的影响。IEEE802.1Q数据帧标记协议标识（TPID）:固定值0x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比特，表示优先级Canonicalformatindicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围1－4094Trunk端口工作原理802.1Q工作特点：Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。NativeVLAN：这类VLAN可以省略掉打标签的过程，但是网络中只能有一个NativeVLAN，默认情况下，锐捷交换机上的NativeVLAN是VLAN1。数据帧Tag标签TrunkTrunk数据帧AB配置VLAN——创建VLAN步骤1：进入全局配置模式Switch#configureterminal步骤2：创建VLANSwitch(config)#vlanvlan-id步骤3：（可选）命名VLANSwitch(config-vlan)#namevlan-name配置VLAN——将端口加入VLAN步骤1：进入端口配置模式Swtich(config)#interfaceinterface步骤2：将端口模式设置为接入端口Switch(config-if)#switchportmodeaccess步骤3：将端口添加到特定VLANSwitch(config-if)#switchportaccessvlanvlan-id配置VLAN——将端口加入VLAN示例：将端口FastEthernet0/1加入VLANSwitch#configureterminalSwitch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end配置VLAN——将一组端口加入VLAN步骤1：进入到一组需要添加到VLAN的端口中Swtich(config)#interfacerangeinterface-range步骤2：将端口模式设置为接入端口Switch(config-range-if)#switchportmodeaccess步骤3：将一组端口划分到指定VLANSwitch(config-range-if)#swtichportaccessvlanvlan-id配置VLAN——将一组端口加入VLAN示例：将端口fastEthernet0/1~5,0/7同时划分到VLAN10Switch#configureterminalSwitch(config)#interfacerangefastEthernet0/1-5,0/7Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#exitVLAN配置——配置Trunk和NativeVLAN将级联端口设置为Trunk步骤1：进入需要配置的端口swtich(config)#interfaceinterface步骤2：将端口的模式设置为TrunkSwitch(config-if)#switchportmodetrunk配置NativeVLAN步骤1：进入到需要配置的Trunk端口中swtich(config)#interfaceinterface步骤2：配置Trunk的NativeVLANSwitch(config-if)#switchporttrunknativevlanvlan-id配置VLAN——配置VLAN许可列表步骤1：进入全局配置模式Switch#configureterminal步骤2：进入需要配置为Trunk的端口Switch(config)#interfaceinterface步骤3：定义该端口模式为TrunkSwitch(config-range-if)#switchportmodetrunk步骤4：定义Trunk的VLAN列表Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list配置VLAN——查看、删除VLAN删除VLANSwitch(config)#novlanVLAN-id验证配置信息Switch#showinterfacesfastethernet0/20switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-----------------------------------------------------------------Fa0/20EnabledTrunk11Enabled1,3-4094Switch#showvlanVLANNameStatusPorts-----------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,课程议题SVI实现VLAN间通信划分VLAN的问题划分VLAN的问题在交换机上划分VLAN后，带来了隔离广播、提高安全性、隔离故障的好处，但是，问题是不同VLAN之间无法通过二层设备互相通信。解决办法通过三层设备实现VLAN间路由。F0/3F0/1F0/2SVI实现不同VLAN间相互通信三层交换机上配置SVI接口地址各VLAN中主机将三层交换机上相应VLAN的SVI接口地址作为本VLAN网关数据到达三层交换机后利用路由功能转发到其他VLAN配置SVI步骤1开启路由功能（默认）Switch(config)#iprouting步骤2创建VLANSwitch(config)#vlanvlan-id步骤3进入VLAN的SVI接口配置模式Switch(config)#interfacevlanvlan-id步骤4给SVI接口配置IP地址Switch(config-if)#ipaddressip-addressmask配置SVI示例Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)exitSwitch(config)#vlan20Switch(config-vlan)#exitSwitch(config)#interfacevlan10Switch(config-if)#ipaddress192.168.1.1255.255.255.0Switch(config-if)#noshutdownSwitch(config)#interfacevlan20Switch(config-if)#ipaddress192.168.2.1255.255.255.0Switch(config-if)#noshutdown课程议题使用单臂路由实现VLAN间通信路由器实现VLAN间路由在路由器上为每个VLAN划分一个子接口每个子接口配置IP地址，作为相应VLAN的网关利用路由器的路由功能，实现不同子接口数据的转发缺点是：部署不灵活，形成网络瓶颈。单臂路由配置步骤1：创建以太网子接口Router(config)#interfaceinterface.sub-port步骤2：为子接口封装802.1q协议，并指定接口所属的VLANRouter(config-subif)#encapsulationdot1qvlan-id步骤3：为子接口配置IP地址Router(config-subif)#ipaddressip-addressmask-address步骤4：启用子接口Router(config-subif)#noshutdown单臂路由配置示例Router(config)#interfacefastEthernet0/0.1Router(config-subif)#encapsulationdot1q10Router(config-subif)#ipaddress192.168.1.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.2Router(config-subif)#encapsulationdot1q20Router(config-subif)#ipaddress192.168.2.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#end课程议题PrivateVLAN划分VLAN的问题可分配的VLAN编号是1-4094，需要划分更多的VLAN怎么办每一个VLAN都划分一个子网，当划分多个VLAN时，导致地址的浪费F0/1F0/2F0/3PrivateVLANPrivateVLAN（私有VLAN，PVLAN）是能够为相同VLAN内不同端口提供隔离的VLAN。F0/1F0/2F0/3PraviteVLAN的组成PVLAN可以将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：PrimaryVLAN（主VLAN）和SecondaryVLAN（辅助VLAN组成）。SecondaryVLANF0/2F0/1SecondaryVLANPrimaryVLANPraviteVLAN的组成主VLAN：主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。辅助VLAN：辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。隔离VLAN（IsolatedVLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。团体VLAN（CommunityVLAN）：同一个团体VLAN中的端口可以进行二层通信，但是不能