NP-03-虚拟局域网(VLAN)概述课件.ppt

1、第三章第三章虚拟局域网（虚拟局域网（VLAN）今日汗水，今日汗水，今日汗水，今日汗水，今日汗水，今日汗水，明朝辉煌明朝辉煌明朝辉煌明朝辉煌明朝辉煌明朝辉煌教学目标教学目标 理解虚拟局域网的概念理解虚拟局域网的概念 理解虚拟局域网的用途和优点理解虚拟局域网的用途和优点 掌握掌握802.1Q标准标准 掌握掌握VLAN的配置方法的配置方法 掌握掌握Trunk的配置方法的配置方法 掌握利用路由器和三层交换机实现掌握利用路由器和三层交换机实现VLAN间路由的方法间路由的方法 了解了解Private VLAN和和Super VLAN技术技术本章内容本章内容VLAN概述概述VLAN定义方法定义方法VLAN和

2、和Trunk的配置的配置交换机的基本配置交换机的基本配置VLAN间的通信间的通信VLAN排错排错Private VLANSuper VLAN课程议题课程议题3.1 VLAN概述概述广播域广播域 能够接收到某个节点发送的广播信号的范围即是广播域。能够接收到某个节点发送的广播信号的范围即是广播域。通常来说一个局域网就是一个广播域。通常来说一个局域网就是一个广播域。广播域过大带来的问题广播域过大带来的问题 广播过多，导致带宽浪费广播过多，导致带宽浪费 广播面大导致安全性降低广播面大导致安全性降低 节点需要处理过多的广播节点需要处理过多的广播 解决广播域过大的方法是分隔广播域，将一个大范围的解决广播域

3、过大的方法是分隔广播域，将一个大范围的广播域变成多个小范围的广播域广播域变成多个小范围的广播域 分隔广播域的方法分隔广播域的方法 使用路由器分割成多个子网使用路由器分割成多个子网 使用虚拟局域网使用虚拟局域网(VLAN)分隔成多个子网分隔成多个子网VLAN的概念的概念 虚拟局域网（虚拟局域网（Virtual Local Area Network，VLAN）将一个物理交换机通过配置变成多个逻辑上的交换机。将一个物理交换机通过配置变成多个逻辑上的交换机。每一个逻辑交换机连接一个局域网（子网）每一个逻辑交换机连接一个局域网（子网）交换机交换机广播帧广播帧广播帧广播帧VLAN 10VLAN 20VLA

4、N的特点的特点 VLAN的特点：的特点：基于逻辑的分组基于逻辑的分组 在同一在同一VLAN内和真实局域网相同内和真实局域网相同 不受物理位置限制不受物理位置限制 减少节点在网络中移动带来的管理代价减少节点在网络中移动带来的管理代价 不同不同VLAN内用户要通信需要借助三层设备内用户要通信需要借助三层设备VLAN的用途的用途 VLAN的用途的用途 控制不必要的广播的扩散，从而提高网络带宽利用控制不必要的广播的扩散，从而提高网络带宽利用率，减少资源浪费。率，减少资源浪费。划分不同的用户组，对组之间的访问进行限制，从划分不同的用户组，对组之间的访问进行限制，从而增加安全性。而增加安全性。与物理位置无

5、关的与物理位置无关的VLAN工程部工程部销售部销售部财务部财务部一层一层二层二层三层三层VLAN与网络管理与网络管理 由于实现了广播域分隔，由于实现了广播域分隔，VLAN可以将广播风暴控制在可以将广播风暴控制在一个一个VLAN内部，划分内部，划分VLAN后，随着广播域的缩小，后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例大大降低，网络性网络中广播包消耗的带宽所占的比例大大降低，网络性能得到显著提高；能得到显著提高；不同的不同的VLAN间的数据传输是通过第三层（网络层）的间的数据传输是通过第三层（网络层）的路由来实现的，因此使用路由来实现的，因此使用VLAN技术，结合数据链路层技术，结合

6、数据链路层和网络层的交换设备可搭建安全可靠的网络；和网络层的交换设备可搭建安全可靠的网络；同时，由于同时，由于VLAN是逻辑的而不是物理的，因此在规划是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。网络时可以避免地理位置的限制。VLAN具有的功能具有的功能 控制网络广播、提高网络性能；控制网络广播、提高网络性能；分隔网段、确保网络安全；分隔网段、确保网络安全；简化网络管理、提高组网灵活性。简化网络管理、提高组网灵活性。课程议题课程议题3.2VLAN定义方法定义方法VLAN的定义方法的定义方法 基于端口的基于端口的VLAN（静态静态VLAN）根据以太网交换机的端口来划分根据以太网交

7、换机的端口来划分VLAN 实际工作中最常用的实际工作中最常用的VLAN技术技术 基于基于MAC地址的地址的VLAN 根据每个主机网卡的根据每个主机网卡的MAC地址来划分地址来划分VLAN 基于网络层的基于网络层的VLAN 根据每个主机的网络层地址或协议类型（如果支持根据每个主机的网络层地址或协议类型（如果支持多协议）划分多协议）划分VLAN 基于基于IP组播的组播的VLAN 一个组播组就是一个一个组播组就是一个VLAN 基于端口的基于端口的VLAN 创建新创建新VLAN 手工将端口加入到新手工将端口加入到新VLAN中，即可实现基于端口的中，即可实现基于端口的VLAN 默认情况下，交换机所有端口

8、属于默认情况下，交换机所有端口属于VLAN1（Default VLAN），），VLAN 102 4 6 8 10 12 14 16 18 20 22 24VLAN 201 3 5 7 9 11 13 15 17 19 21 23VLAN 1（Default VLAN）VLAN 基于端口的基于端口的VLAN也称为静态也称为静态VLAN 其余三种属于动态其余三种属于动态VLAN课程议题课程议题3.3 VLAN标准标准多交换机同多交换机同VLAN的通信的通信 每个每个VLAN需要单独的线缆进行连接需要单独的线缆进行连接 每根互联线缆上只承载一个每根互联线缆上只承载一个VLAN内的数据内的数据 VLA

9、N越多，用于互联的线缆越多，用于连接主机的线越多，用于互联的线缆越多，用于连接主机的线缆越少缆越少VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30VLAN标准标准 为了实现在互联线缆上承载多个为了实现在互联线缆上承载多个VLAN的数据帧，需要的数据帧，需要一种能够区分不同一种能够区分不同VLAN数据帧的方式数据帧的方式 802.1Q规定了规定了VLAN的标签信息及标签格式，用来区别的标签信息及标签格式，用来区别不同不同VLAN的数据帧的数据帧VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30802.1Q帧格式帧格式 IEEE

10、802.1Q使用使用4Byte的标记头来定义的标记头来定义Tag（标记）；（标记）；Tag头中包括头中包括2Byte的协议标识的协议标识TPID（Tag Protocol Identifier）和）和2Byte的控制信息的控制信息TCI（Tag Control Information）。）。IEEE802.1Q数据帧数据帧 标记协议标识（标记协议标识（TPID）:固定值固定值0 x8100,表示该帧载有表示该帧载有802.1Q标记信息标记信息 标记控制信息（标记控制信息（TCI）:Priority：3比特，表示优先级比特，表示优先级 Canonical format indicator：1比特

11、，表示总线型以比特，表示总线型以太网、太网、FDDI、令牌环网、令牌环网 VlanID：12比特，表示比特，表示VID，范围，范围14094交换机的端口交换机的端口 Trunk:Tag Aware端口（连接交换机）端口（连接交换机）Acess：UnTagged端口（连接计算机）端口（连接计算机）交换机的端口模式交换机的端口模式 ACCESS端口端口 Access端口只能属于一个端口只能属于一个VLAN，它发送的帧不带有，它发送的帧不带有VLAN标签，一般用于连接计算机的端口，标签，一般用于连接计算机的端口，Port VLAN Trunk端口端口 可以允许多个可以允许多个VLAN通过，它发出的帧

12、一般是带有通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口，标签的，一般用于交换机之间连接的端口，TAG VLANVLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30Port-VLAN原理原理 通过查找通过查找MAC地址表，交换机对发往不同地址表，交换机对发往不同VLAN的数据的数据不转发不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机端口交换机端口 MAC地址地址VLAN IDF0/1A10F0/2B20F0/3C10何谓何谓TRUNK 所谓的所谓的Trunk是用来在不同的交换机之间进行连

13、接，以是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个保证在跨越多个交换机上建立的同一个VLAN的成员能的成员能够相互通讯；够相互通讯；其中交换机之间互联用的端口就称为其中交换机之间互联用的端口就称为Trunk端口。端口。Trunk这个词是干线或者树干的意思，不过一般不翻译，这个词是干线或者树干的意思，不过一般不翻译，直接用原文。直接用原文。注意：与一般的交换机的级联不同，注意：与一般的交换机的级联不同，Trunk是基于是基于OSI第二层的。第二层的。VLAN Trunk 在交换机之间或交换机与路由器之间，互相连接的端口在交换机之间或交换机与路由器之间，互相连接的端口上配

14、置中继模式，使得属于不同上配置中继模式，使得属于不同VLAN的数据帧都可以的数据帧都可以通过这条中继链路进行传输。通过这条中继链路进行传输。帧的格式分为两种：帧的格式分为两种：ISL：Inter-Switch link，是，是Cisco交换机独有的协议交换机独有的协议 IEEE802.1Q：是国际标准协议，被几乎所有的网络：是国际标准协议，被几乎所有的网络设备生产商所共同支持；设备生产商所共同支持；IEEE802.1Q标准标准 1996年年3月，月，IEEE802.1 Internet Working委员会结束了委员会结束了对对VLAN初期标准的修订工作；初期标准的修订工作；统一了统一了Fra

15、me-Tagging（帧标记）方式中不同厂商的标（帧标记）方式中不同厂商的标签格式，制定签格式，制定IEEE802.1Q VLAN标准，进一步完善了标准，进一步完善了VLAN的体系结构；的体系结构；802.1Q定义了定义了VLAN的桥接规则，能够正确识别的桥接规则，能够正确识别VLAN的帧格式，更好地支持多媒体应用；的帧格式，更好地支持多媒体应用；它为以太网提供了更好服务质量（它为以太网提供了更好服务质量（QoS）保证和安全的）保证和安全的能力。能力。802.1Q工作原理工作原理 802.1Q工作特点：工作特点：802.1Q数据帧传输对于用户是完全透明的。数据帧传输对于用户是完全透明的。Tru

16、nk上默认会转发交换机上存在的所有上默认会转发交换机上存在的所有VLAN的数据。的数据。交换机在从交换机在从Trunk口转发数据前会在数据打上个口转发数据前会在数据打上个Tag标签，标签，在到达另一交换机后，再剥去此标签。在到达另一交换机后，再剥去此标签。A AB B数据帧数据帧TagTag标签标签802.1Q的的Native VLAN Native VLAN用于实现与不支持用于实现与不支持802.1Q帧的设备兼容帧的设备兼容 802.1Q不为不为Native VLAN的帧打标签的帧打标签 默认情况下，默认情况下，Native VLAN=Default VLAN=VLAN1没有打标签的没有打标

17、签的VLAN流量（流量（Native VLAN）VLAN 3VLAN 2VLAN 1VLAN 3VLAN 2VLAN 1TrunkTrunk集线器集线器课程议题课程议题3.4 VLAN和和Trunk的配置的配置VLAN的配置的配置 添加或者修改添加或者修改VLANSwitch(config)#vlan vlan-id /创建一个新创建一个新VLANSwitch(config-vlan)#name vlan-name /命名（可选）命名（可选）删除删除VLANSwitch(config)#no vlan vlan-id VLAN的配置的配置 查看查看VLAN 向向VLAN内添加端口内添加端口 将

18、端口分配给一个将端口分配给一个VLANSwitch(config)#interface interface-id /进入交换机端口进入交换机端口 Switch(config-if)#switchport mode access /将端口配置为将端口配置为access口口Switch(config-if)#switchport access vlan vlan-id /将端口指派到某将端口指派到某VLAN配置配置VLAN Trunk 将端口设置成将端口设置成Trunk端口端口Switch(config)#interface interface-id Switch(config-if)#switc

19、hport mode trunk 指定指定Trunk端口的端口的Native VLANSwitch(config-if)#switchport trunk native vlan vlan-id 默认的默认的native VLAN是是VLAN 1 Trunk链路两端链路两端native vlan必须一致必须一致配置配置VLAN举例举例 创建创建VLAN10，将它命名为，将它命名为test的例子的例子Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#name testSwitch(config-vlan)#exi

20、t 把接口把接口F 0/10加入加入VLAN10 Switch(config)#interface fastEthernet 0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#end配置配置VLAN举例举例 将一组接口加入某一个将一组接口加入某一个VLANSwitch(config)#interface range fastethernet 0/1-8，0/15，0/20Switch(config-if-range)#switchpor

21、t mode accessSwitch(config-if-range)#switchport access vlan 10 注：连续接口注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要，不连续接口用逗号隔开，但一定要写明模块编号写明模块编号配置配置VLAN Trunk举例举例 两边交换机配置一样两边交换机配置一样TrunkF0/1F0/1查看查看VLAN配置配置查看查看VLAN配置配置定义定义Trunk端口的许可端口的许可VLAN列表列表 Trunk接口默认可以传输本交换机支持的所有接口默认可以传输本交换机支持的所有VLAN（14094），但是也可以通过设置接口的许可），但是也可以通

22、过设置接口的许可VLAN列表来限制某列表来限制某些些VLAN的流量不能通过这个的流量不能通过这个trunk口。口。Switch(config-if)#all：许可列表包含所有支持的：许可列表包含所有支持的VLAN add：将指定：将指定VLAN列表加入许可列表加入许可VLAN列表。列表。remove：将指定：将指定VLAN列表从许可列表从许可VLAN列表中删除。列表中删除。except：将除列出的：将除列出的VLAN列表外的所有列表外的所有VLAN加入许可加入许可VLAN列表列表 Trunk端口许可端口许可VLAN列表举例列表举例Switch(config)#interface fastEth

23、ernet 0/20Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan remove 2Switch(config-if)#endSwitch#show interfaces fastethernet0/20 switchportInterface Switchport Mode Access Native Protected VLAN lists-Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094保存保存/清除清除VLAN信息信息 将将VL

24、AN信息保存到信息保存到flash中中Switch#write memory 从从flash中只清除中只清除VLAN信息信息Switch#delete flash:vlan.dat 从从RAM中删除中删除VLANSwitch(config)#no vlan vlan-id课程议题课程议题3.5VLAN间的通信间的通信划分划分VLAN的问题的问题 划分划分VLAN的问题的问题 在交换机上划分在交换机上划分VLAN后，带来了隔离广播、提高安后，带来了隔离广播、提高安全性、隔离故障的好处，但是，问题是不同全性、隔离故障的好处，但是，问题是不同VLAN之之间无法通过二层设备互相通信。间无法通过二层设备

25、互相通信。解决办法解决办法 通过三层设备实现通过三层设备实现VLAN间路由。间路由。F0/3F0/1F0/2利用路由器实现利用路由器实现VLAN间的通信间的通信VLAN 10VLAN 20利用单臂路由实现利用单臂路由实现VLAN间的通信间的通信 单臂路由：在路由器的物理接口上创建多个子接口，不单臂路由：在路由器的物理接口上创建多个子接口，不同的子接口用于转发不同同的子接口用于转发不同VLAN标签的数据帧，从而实标签的数据帧，从而实现不同现不同VLAN之间的通信之间的通信802.1QTrunkF0/0VLAN 10VLAN 20VLAN 30FastEthernet 0/0FastEtherne

26、t 0/0.1FastEthernet 0/0.2FastEthernet 0/0.3单臂路由单臂路由 在路由器上为每个在路由器上为每个VLAN划分一个子接口划分一个子接口 每个子接口配置每个子接口配置IP地址，作为相应地址，作为相应VLAN的网关的网关 利用路由器的路由功能，实现不同子接口数据的转发利用路由器的路由功能，实现不同子接口数据的转发 缺点是：部署不灵活，缺点是：部署不灵活，形成网络瓶颈。形成网络瓶颈。F0/0.1192.168.10.1F0/0.2192.168.20.1单臂路由的配置单臂路由的配置Router(config)#interface interface-id Rou

27、ter(config-if)#no ip address Router(config-if)#exit Router(config)#interface fastethernet slot-number/interface-number.subinterface-number /进入子接口Router(config-subif)#encapsulation dot1Q VlanID /封装dot1QRouter(config-subif)#ip address ip-address mask 单臂路由配置举例单臂路由配置举例802.1QTrunkF0/0VLAN 10VLAN 20VLAN 3

28、0Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#exit Switch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#vlan 30Switch(config-vlan)#exitSwitch(config)#interface range fastethernet 0/1-5Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exitSwitch(co

29、nfig)#interface range fastethernet 0/6-10Switch(config-if-range)#switchport access vlan 20Switch(config-if-range)#exitSwitch(config)#interface range fastethernet 0/11-20Switch(config-if-range)#switchport access vlan 30Switch(config-if-range)#exitSwitch(config)#interface fastethernet 0/24Switch(confi

30、g-if)#switchport mode trunk单臂路由配置举例单臂路由配置举例802.1QTrunkF0/0VLAN 10VLAN 20VLAN 30Router(config)#interface fastEthernet 0/0Router(config-if)#no ip address Router(config-if)#exitRouter(config)#interface fastEthernet 0/0.1Router(config-subif)#encapsulation dot1Q 10Router(config-subif)#ip address 192.168.

31、10.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.3Router(config-subif)#encapsulation dot1Q 30Ro

32、uter(config-subif)#ip address 192.168.30.1 255.255.255.0Router(config-subif)#end查看单臂路由的配置查看单臂路由的配置Router#show ip routeCodes:C-connected,S-static,R-RIP B-BGP O-OSPF,IA-OSPF inter area N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2 E1-OSPF external type 1,E2-OSPF external type 2 i-IS-IS,L1-

33、IS-IS level-1,L2-IS-IS level-2,ia-IS-IS inter area *-candidate defaultGateway of last resort is no setC 192.168.10.0/24 is directly connected,FastEthernet 0/0.10C 192.168.10.1/32 is local host.C 192.168.20.0/24 is directly connected,FastEthernet 0/0.20C 192.168.20.1/32 is local host.C 192.168.30.0/2

34、4 is directly connected,FastEthernet 0/0.30C 192.168.30.1/32 is local host.利用三层交换机实现利用三层交换机实现VLAN间通信间通信 单臂路由缺点单臂路由缺点 容易产生瓶颈容易产生瓶颈 端口带宽小端口带宽小 转发速率低转发速率低 采用三层交换机实现采用三层交换机实现VLAN间的路由间的路由 内含交换机模块和路由器模块内含交换机模块和路由器模块 使用使用ASIC硬件处理路由，可以实现高速路由。硬件处理路由，可以实现高速路由。路由与交换模块内部汇聚连接，可以确保带宽路由与交换模块内部汇聚连接，可以确保带宽 交换机的三层接口交

35、换机的三层接口 默认三层交换机的路由功能是开启的默认三层交换机的路由功能是开启的 默认交换机上的接口都是工作在默认交换机上的接口都是工作在2层的，只能识别层的，只能识别2层数层数据帧（据帧（MAC地址）地址）可以将可以将2层接口配置为层接口配置为3层接口，从而让接口可以识别层接口，从而让接口可以识别3层数据包（层数据包（IP地址）地址）配置命令：配置命令：Switch(config-if)#no switchport 配置了配置了3层接口的交换机可以像路由器一样直接连接不层接口的交换机可以像路由器一样直接连接不同的网段同的网段利用利用3层交换机实现层交换机实现VLAN间的通间的通信信VLAN

36、10VLAN 20利用利用SVI技术实现技术实现VLAN间通信间通信 SVI端口：交换机虚拟接口（端口：交换机虚拟接口（Switch Virtual Interface）三层交换机上配置三层交换机上配置SVI接口接口地址地址 各各VLAN中主机将三层交换中主机将三层交换机上相应机上相应VLAN的的SVI接口接口地址作为本地址作为本VLAN网关网关 数据到达三层交换机后利用路由功能转发到其他数据到达三层交换机后利用路由功能转发到其他VLAN 创建创建VLAN的虚拟接口并配置的虚拟接口并配置IP地址地址Switch(config)#interface vlan vlan-idSwitch(conf

37、ig-if)#ip address ip mask 三层交换配置举例三层交换配置举例S3750(config)#interface fastethernet 0/24S3750(config-if)#switchport mode trunkS3750(config)#interface vlan 10S3750(config-if)#ip address 192.168.10.1 255.255.255.0S3750(config-if)#exitS3750(config)#interface vlan 20S3750(config-if)#ip address 192.168.20.1 2

38、55.255.255.0S3750(config-if)#exitS3750(config)#interface vlan 30S3750(config-if)#ip address 192.168.30.1 255.255.255.0S3750(config-if)#end查看路由表查看路由表S3750#show ip routeCodes:C-connected,S-static,R-RIP B-BGP O-OSPF,IA-OSPF inter area N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2 E1-OSPF ex

39、ternal type 1,E2-OSPF external type 2 i-IS-IS,L1-IS-IS level-1,L2-IS-IS level-2,ia-IS-IS inter area *-candidate defaultGateway of last resort is no setC 192.168.10.0/24 is directly connected,VLAN 10C 192.168.10.1/32 is local host.C 192.168.20.0/24 is directly connected,VLAN 20C 192.168.20.1/32 is lo

40、cal host.C 192.168.30.0/24 is directly connected,VLAN 30C 192.168.30.1/32 is local host.练习练习S3750S2126S2326F0/24F0/24F0/12F0/11F0/1S3750VL10:192.168.10.1/24VL20:192.168.20.1/24S2126VL10:F0/1-F0/10VL20:F0/11-F0/20S2326VL10:F0/1-F0/10VL20:F0/11-F0/20练习练习S3750S2126S2326F0/24F0/24F0/12F0/11F0/1S3750VL10

41、:192.168.10.1/24VL20:192.168.20.1/24VL30:192.168.30.1/24S2126VL10:F0/1-F0/10VL20:F0/11-F0/20VL30:F0/21-23S2326VL10:F0/1-F0/10VL20:F0/11-F0/20S2126-2S2126-2VL10:F0/1-F0/10VL30:F0/11-F0/20F0/24F0/23课程议题课程议题3.6VLAN排错排错常规局域网排错方法常规局域网排错方法常见故障举例常见故障举例 吞吐量很低：吞吐量很低：需要检查存在错误的类型，可能是网卡的故障需要检查存在错误的类型，可能是网卡的故障 大

42、量的帧大量的帧RCS校验错误、长度小于校验错误、长度小于64字节等：字节等：往往是端口之间双工不匹配，原因可能是设备之间往往是端口之间双工不匹配，原因可能是设备之间的自动协商或是双方的连接错误所导致。的自动协商或是双方的连接错误所导致。常见故障举例常见故障举例 VLAN内的主机不能和其他内的主机不能和其他VLAN通信通信：主机上错误的网关、主机上错误的网关、IP地址和子网掩码设置地址和子网掩码设置 主机所连接的端口被划分到了错误的主机所连接的端口被划分到了错误的VLAN 交换机上的交换机上的Trunk端口设置错误，例如缺省端口设置错误，例如缺省VLAN设设置不匹配，允许的置不匹配，允许的VLA

43、N列表不正确等列表不正确等 路由器子接口或三层交换机路由器子接口或三层交换机SVI端口的端口的IP地址和子网地址和子网掩码设置错误掩码设置错误 路由器或者三层交换机可能需要添加到达其他子网路由器或者三层交换机可能需要添加到达其他子网的路由的路由VLAN错误排查方法错误排查方法 从低层（物理层）逐步向上排查，如端口和线缆无故障，从低层（物理层）逐步向上排查，如端口和线缆无故障，则：则：检查主机的网络设置是否匹配和正确检查主机的网络设置是否匹配和正确 通过通过show vlan命令，确定命令，确定VLAN内的端口划分正确内的端口划分正确 通过通过show interface trunk命令，检查命

44、令，检查Trunk链路两端链路两端的的Trunk设置是否匹配且正确设置是否匹配且正确 通过通过show interface命令，确定是否设置了正确的命令，确定是否设置了正确的IP地址和子网掩码地址和子网掩码 通过通过show ip route命令，确定各个子网都能够正确出命令，确定各个子网都能够正确出现在路由表中现在路由表中VLAN错误排查方法错误排查方法 通过通过show interface subinterface 命令，检查路由器的子命令，检查路由器的子接口是否正确封装了接口是否正确封装了802.1Q，并指定到了正确的，并指定到了正确的VLAN 通过通过show interface命令，

45、检查主机和交换机端口的速命令，检查主机和交换机端口的速度和双工设置是否匹配度和双工设置是否匹配 配置端口工作模式配置端口工作模式Switch(config-if)#duplex auto|full|half 课程议题课程议题3.7 Private VLAN划分划分VLAN的问题的问题 可分配的可分配的VLAN编号是编号是1-4094，需要划分更多的，需要划分更多的VLAN怎么办怎么办 每一个每一个VLAN都划分一个子网，当划分多个都划分一个子网，当划分多个VLAN时，时，导致地址的浪费导致地址的浪费F0/1F0/2F0/3Private VLAN Private VLAN（私有（私有VLAN，

46、PVLAN）是能够为相同）是能够为相同VLAN内不同端口提供隔离的内不同端口提供隔离的VLANF0/1F0/2F0/3Private VLAN的组成的组成 PVLAN可以将一个可以将一个VLAN的二层广播域划分成多个子域，的二层广播域划分成多个子域，每个子域都由一对每个子域都由一对VLAN组成：组成：Primary VLAN（主（主VLAN）Secondary VLAN（辅助（辅助VLAN组成）组成）Secondary VLANF0/2F0/1Secondary VLANPrimary VLANPrivate VLAN的组成的组成 主主VLAN：主主VLAN是是PVLAN的高级的高级VLAN，

47、每个，每个PVLAN中只有一个主中只有一个主VLAN。辅助辅助VLAN：辅助辅助VLAN是是PVLAN中的子中的子VLAN，并且，并且映射到一个主映射到一个主VLAN。每台接入设备都连接到辅助。每台接入设备都连接到辅助VLAN。隔离隔离VLAN（Isolated VLAN）：同一个隔离）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有中的端口互相不能进行二层通信，一个私有VLAN域域中只有一个隔离中只有一个隔离VLAN。团体团体VLAN（Community VLAN）：同一个团体）：同一个团体VLAN中的端口可以进行二层通信，但是不能与其他中的端口可以进行二层通信，但是不能与其他团体

48、团体VLAN中的端口进行二层通信，一个私有中的端口进行二层通信，一个私有VLAN中可以有多个团体中可以有多个团体VLAN。Pravite VLAN的端口类型的端口类型 混杂端口（混杂端口（Promiscuous Port）：混杂端口为主）：混杂端口为主VLAN中的端口，可以与任意端口通信，包括同一个中的端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和团体端口。中的隔离端口和团体端口。隔离端口（隔离端口（Isolated Port）：隔离端口为隔离）：隔离端口为隔离VLAN中的中的端口，隔离端口只能与混杂端口进行通信。端口，隔离端口只能与混杂端口进行通信。团体端口（团体端口（Comm

49、unity Port）：团体端口为团体）：团体端口为团体VLAN中的端口，同一个团体中的端口，同一个团体VLAN中的团体端口之间可以互中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体与其他团体VLAN的端口进行通信。的端口进行通信。Private VLAN的实现的实现 主主VLAN中的混杂端口用于连接到网关设备，可以和本中的混杂端口用于连接到网关设备，可以和本VLAN中所有端口通信中所有端口通信 隔离隔离VLAN中的各端口均为隔离端口，互相不可通信，中的各端口均为隔离端口，互相不可通信，也不可与其他隔离也不可与其他

50、隔离VLAN或团体或团体VLAN通信通信 团体团体VLAN中的端口均为团体端口，可与本团体端口通中的端口均为团体端口，可与本团体端口通信，不可与其他团体端口或隔离端口通信信，不可与其他团体端口或隔离端口通信Private VLAN的实现的实现配置配置Private VLAN 配置配置Private VLAN主要包括以下几个步骤：主要包括以下几个步骤：配置主配置主VLAN与辅助与辅助VLAN 关联辅助关联辅助VLAN到主到主VLAN 将辅助将辅助VLAN映射到主映射到主VLAN的的3层接口层接口 配置主机端口配置主机端口 配置混杂端口配置混杂端口 配置配置Private VLAN 配置主配置主V