1、VLAN VLANVLAN实现实现通过本章的学习,您应该掌握以下内容通过本章的学习,您应该掌握以下内容:配置一个配置一个VLAN;配置配置VTP 服务器;服务器;VLAN综述综述第一层第一层第二层第二层第三层第三层一个一个VLAN=一个广播域一个广播域=逻辑网段逻辑网段(子网子网)销售销售人力资源人力资源工程工程分段分段灵活性灵活性安全性安全性交换的基本概念交换的基本概念 1 1、共享式以太网:当一台主机发送数据的时候,、共享式以太网:当一台主机发送数据的时候,其他主机只能接收此数据,此时其他网上主机都其他主机只能接收此数据,此时其他网上主机都不能发送数据;不能发送数据;2 2,冲突域:域内的
2、不同设备同时发出的以太网帧,冲突域:域内的不同设备同时发出的以太网帧会互相冲突;特点为:每台主机得到的可用带宽会互相冲突;特点为:每台主机得到的可用带宽很低,网上冲突成倍增加,信息传输安全得不到很低,网上冲突成倍增加,信息传输安全得不到保证。保证。3 3,广播域:网络中的一组设备集合;当这些设备,广播域:网络中的一组设备集合;当这些设备中的一个发出一个广播时,所有其他的设备都能中的一个发出一个广播时,所有其他的设备都能接收到这个广播帧。接收到这个广播帧。交换的基本概念交换的基本概念 4,VLAN:每一个每一个VLAN对应一个广播域;二层交对应一个广播域;二层交换机之间没有路由功能,不能在换机之
3、间没有路由功能,不能在VLAN之间转发之间转发帧,因而处于不同帧,因而处于不同VLAN之间的主机不能进行通之间的主机不能进行通信;(三层交换机支持信;(三层交换机支持VLAN间的路由,可以实间的路由,可以实现现VLAN间的通信)间的通信)5,VLAN trunk:在交换机之间或交换机与路由:在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式,使得器之间,互相连接的端口上配置中继模式,使得属于不同属于不同VLAN的数据帧都可以通过这条中继链的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种。路进行传输。帧的格式分为两种。交换的基本概念交换的基本概念 6,VTP:VLAN中继协议
4、,用于维护全网中继协议,用于维护全网的一致性;有三种工作模式,服务器模式,的一致性;有三种工作模式,服务器模式,客户模式和透明模式。客户模式和透明模式。7,STP:生成树协议,在实现交换机之间:生成树协议,在实现交换机之间的备份链路,避免网络环路的出现,实现的备份链路,避免网络环路的出现,实现网络的高可用性。网络的高可用性。冲突域冲突域&广播域广播域 两者区别:两者区别:连接在一个连接在一个HUBHUB上的所有设备构成一个冲突上的所有设备构成一个冲突域域 ,同时也构成一个广播域;,同时也构成一个广播域;连接在一个没有划分连接在一个没有划分VLANVLAN的交换机上的各的交换机上的各个端口上的设
5、备分别属于不同的冲突域,个端口上的设备分别属于不同的冲突域,即每一个交换端口构成一个冲突域,但同即每一个交换端口构成一个冲突域,但同属于一个广播域属于一个广播域ISLIEEE802.1Q ISL:Inter-switch link,是是CISCO交换机独交换机独有的协议有的协议 IEEE802.1Q:是国际标准协议,被几乎所有是国际标准协议,被几乎所有的网络设备生产商所共同支持;的网络设备生产商所共同支持;生成树协议生成树协议STP STP协议工作方式:通过在交换机之间传协议工作方式:通过在交换机之间传递递BPDU(bridge protocol data unit,桥接桥接协议数据单元)来互
6、相告知诸如交换机的协议数据单元)来互相告知诸如交换机的链路性质,根桥信息等,以便确定根桥,链路性质,根桥信息等,以便确定根桥,决定哪些端口处于转发状态,哪些端口处决定哪些端口处于转发状态,哪些端口处于阻止状态,以免引起网络环路。于阻止状态,以免引起网络环路。生成树协议生成树协议STP 功能功能:允许在网络中存在容错的交换路径允许在网络中存在容错的交换路径,并并且不产生回路且不产生回路;即在之中有多个链路即在之中有多个链路,但是只但是只有一条是激活的有一条是激活的,其他的备份线路都于备用其他的备份线路都于备用状态以防止主链路出现故障状态以防止主链路出现故障.也可避免在两台已有的交换机中偶然地连也
7、可避免在两台已有的交换机中偶然地连接了一条链路接了一条链路,生成树是一项优秀的保护措生成树是一项优秀的保护措施施,它能确保产生上述错误时它能确保产生上述错误时,网络也不至网络也不至于于.VTP模式模式客户模式客户模式服务器模式服务器模式透明模式透明模式发送发送/转发转发 信息宣告信息宣告同步同步不会存贮于不会存贮于NVRAM创建创建vlan修改修改vlan删除删除vlan发送发送/转发转发 信息宣告信息宣告同步同步存贮于存贮于NVRAM创建创建vlan修改修改vlan删除删除vlan转发转发 信息宣告信息宣告不同步不同步存贮于存贮于NVRAMVTP是如何工作的是如何工作的 VTP信息宣告以多点
8、传送的方式来进行信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔信息宣告每隔5分钟或者有变化时发生(分钟或者有变化时发生(30s)1.新增新增VLAN2.版本版本3-版本版本4334.版本版本3-版本版本4 5.同步新的同步新的VLAN信息信息 4.版本版本3-版本版本4 5.同步新的同步新的VLAN信息信息客户客户客户客户VLANVLANVTPVTP配置的步骤配置的步骤 启用启用VTP 启用主干功能启用主干功能,以支持以支持VLAN间的路由功能间的路由功能 创建创建VLAN 将端口加入将端口加入VL
9、AN交换机交换机VLAN应用配置应用配置1功能需求及组网说明功能需求及组网说明 交换机交换机VLAN应用配置应用配置交换机交换机VLAN应用配置应用配置 配置环境参数配置环境参数 1.PC1和和PC2分别连接到交换机分别连接到交换机SwitchA的端口的端口E0/1和和E0/2,端口分别属,端口分别属于于VLAN10和和20 组网需求组网需求 1.PC1属于属于VLAN10。2.PC2属于属于VLAN20。数据配置步骤数据配置步骤 交换机交换机VLAN应用配置流程应用配置流程 1、缺省情况下,交换机存在一个默认的、缺省情况下,交换机存在一个默认的VLAN,即,即VLAN 1,且,且VLAN 1
10、不能被删除;不能被删除;2、将端口加入到某、将端口加入到某VLAN X中,有两种方中,有两种方法:创建某法:创建某VLAN X,进入,进入VLAN X的配置的配置视图,将指定端口加入视图,将指定端口加入VLAN X;进入指定;进入指定端口的配置视图,修改该端口的端口的配置视图,修改该端口的PVID为为X数据配置步骤数据配置步骤 方法方法1【SwitchA相关配置】相关配置】1.创建(进入)创建(进入)VLAN10,将,将E0/1加入到加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/1 2.创建(进入)创建(进入)VLAN20,将,将E0
11、/2加入到加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/2数据配置步骤数据配置步骤 方法方法2【SwitchA相关配置】相关配置】1.进入以太网端口进入以太网端口E0/1的配置视图的配置视图SwitchAinterface Ethernet 0/1 2.配置端口配置端口E0/1的的PVID为为10SwitchA-Ethernet0/1port access vlan 10 3.进入以太网端口进入以太网端口E0/1的配置视图的配置视图SwitchAinterface Ethernet 0/2 4.配置端口配置端口E0/2的的PVID为为
12、20SwitchA-Ethernet0/2port access vlan 20交换机交换机VLAN接口静态接口静态IP地址配置地址配置 1功能需求及组网说明功能需求及组网说明 交换机交换机VLAN接口静态接口静态IP地址配置地址配置 配置环境参数配置环境参数 1.SwitchA为三层交换机为三层交换机 2.PC1连接到连接到SwitchA的以太网端口的以太网端口E0/1,属于属于VLAN10 3.PC2连接到连接到SwitchA的以太网端口的以太网端口E0/2,属于属于VLAN20 4.SwitchA的的VLAN接口接口10的的IP地址为地址为10.1.1.1/24,VLAN接口接口20的的
13、IP地址为地址为20.1.1.1/24,分别作为,分别作为PC1和和PC2的网关的网关 组网需求组网需求 PC1和和PC2可以通过可以通过SwitchA进行互通进行互通交换机交换机VLAN接口静态接口静态IP地址配置地址配置 2数据配置步骤数据配置步骤 VLAN接口静态接口静态IP地址配置流程地址配置流程 创建创建VLAN接口,并配置接口,并配置IP地址。地址。【SwitchA相关配置】相关配置】1.创建(进入)创建(进入)VLAN10SwitchAvlan 10 2.将将E0/1加入到加入到VLAN10SwitchA-vlan10port Ethernet 0/1 3.创建(进入)创建(进入
14、)VLAN接口接口10SwitchAinterface Vlan-interface 10交换机交换机VLAN接口静态接口静态IP地址配置地址配置 4.为为VLAN接口接口10配置配置IP地址地址SwitchA-Vlan-interface10ip address 10.1.1.1 255.255.255.0 5.创建(进入)创建(进入)VLAN20SwitchAvlan 20 6.将将E0/2加入到加入到VLAN20SwitchA-vlan20port Ethernet 0/2 7.创建(进入)创建(进入)VLAN接口接口20SwitchAinterface Vlan-interface 2
15、0 8.为为VLAN接口接口20配置配置IP地址地址SwitchA-Vlan-interface20ip address 20.1.1.1 255.255.255.0交换机交换机VLAN接口静态接口静态IP地址配置地址配置 交换机的交换机的VLAN虚接口承载在物理端口之上,即虚接口承载在物理端口之上,即某某VLAN所包含的物理端口所包含的物理端口UP之后,该之后,该VLAN虚虚接口才会接口才会UP。对于三层交换机,可以为多个对于三层交换机,可以为多个VLAN接口配置接口配置IP地址,而且默认情况下各个地址,而且默认情况下各个VLAN接口之间可以接口之间可以访问;对于二层交换机来说,为访问;对于
16、二层交换机来说,为VLAN接口配置接口配置的的IP地址只能用于管理。地址只能用于管理。交换机端口链路类型介绍交换机端口链路类型介绍 交换机以太网端口共有三种链路类型:交换机以太网端口共有三种链路类型:Access、Trunk和和Hybrid。l Access类型的端口只能属于类型的端口只能属于1个个VLAN,一,一般用于连接计算机的端口;般用于连接计算机的端口;l Trunk类型的端口可以属于多个类型的端口可以属于多个VLAN,可,可以接收和发送多个以接收和发送多个VLAN的报文,一般用于交换的报文,一般用于交换机之间连接的端口;机之间连接的端口;l Hybrid类型的端口可以属于多个类型的端
17、口可以属于多个VLAN,可以接收和发送多个可以接收和发送多个VLAN的报文,可以用于交的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。换机之间连接,也可以用于连接用户的计算机。交换机端口链路类型介绍交换机端口链路类型介绍 其中,其中,Hybrid端口和端口和Trunk端口的相同之处在于端口的相同之处在于两种链路类型的端口都可以允许多个两种链路类型的端口都可以允许多个VLAN的报的报文发送时打标签;不同之处在于文发送时打标签;不同之处在于Hybrid端口可以端口可以允许多个允许多个VLAN的报文发送时不打标签,而的报文发送时不打标签,而Trunk端口只允许缺省端口只允许缺省VLAN的
18、报文发送时不打标签。的报文发送时不打标签。三种类型的端口可以共存在一台以太网交换机上,三种类型的端口可以共存在一台以太网交换机上,但但Trunk端口和端口和Hybrid端口之间不能直接切换,端口之间不能直接切换,只能先设为只能先设为Access端口,再设置为其他类型端口。端口,再设置为其他类型端口。例如:例如:Trunk端口不能直接被设置为端口不能直接被设置为Hybrid端口,端口,只能先设为只能先设为Access端口,再设置为端口,再设置为Hybrid端口。端口。各类型端口使用注意事项各类型端口使用注意事项 配置配置Trunk端口或端口或Hybrid端口,并利用端口,并利用Trunk端端口或
19、口或Hybrid端口发送多个端口发送多个VLAN报文时一定要注报文时一定要注意:本端端口和对端端口的缺省意:本端端口和对端端口的缺省VLAN ID(端口的端口的PVID)要保持一致。要保持一致。当在交换机上使用当在交换机上使用isolate-user-vlan来进行二层来进行二层端口隔离时,参与此配置的端口的链路类型会自端口隔离时,参与此配置的端口的链路类型会自动变成动变成Hybrid类型。类型。Hybrid端口的应用比较灵活,主要为满足一些特端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用规则的交换机
20、上,利用Hybrid端口收发报文时的端口收发报文时的处理机制,来完成对同一网段的处理机制,来完成对同一网段的PC机之间的二层机之间的二层访问控制。访问控制。各类型端口在接收和发送报文时的处理各类型端口在接收和发送报文时的处理 1)端口接收报文时的处理:端口接收报文时的处理:端口接收到的报文类型报文帧结构中携带VLAN标记报文帧结构中不携带VLAN标记Access端口端口丢弃该报文为该报文打上VLAN标记为本端口的PVIDTrunk端口端口判断本端口是否允许携带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发,否则丢弃该报文同上Hybrid端口端口同上同上各类型端口在接收和发
21、送报文时的处理各类型端口在接收和发送报文时的处理 2)端口发送报文时的端口发送报文时的处理:处理:Access端口端口剥掉报文所携带的VLAN标记,进行转发Trunk端口端口首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等,则剥掉报文所携带的VLAN标记,进行转发;否则报文将携带原有的VLAN标记进行转发Hybrid端口端口首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发,则处理方式同Access端口;如果是tagged方式转发,则处理方式同Trunk端口交换机交换机Trunk端口配置端口配置 1功能需求及组网说明功能需求及组网说明 交
22、换机交换机Trunk端口配置端口配置 配置环境参数配置环境参数 1.PC1的的IP地址为地址为10.1.1.1/24,PC2的的IP地地址为址为10.1.1.2/24,PC3的的IP地址为地址为10.1.1.3/24,PC4的的IP地址为地址为10.1.1.4/24;2.PC1和和PC2分别连接到交换机分别连接到交换机SwitchA的的端口端口E0/1和和E0/2,端口分属于,端口分属于VLAN10和和20;PC3和和PC4分别连接在交换机分别连接在交换机SwitchB的端口的端口E0/10和和E0/20,端口分别属于,端口分别属于VLAN10和和20。3.SwitchA通过端口通过端口G2/
23、1,连接到,连接到SwitchB的端口的端口G1/1;SwitchA的端口的端口G2/1和和SwitchB的的端口端口G1/1均是均是Trunk端口,而且允许端口,而且允许VLAN10和和VLAN20通过。通过。交换机交换机Trunk端口配置端口配置 组网需求组网需求 1.SwitchA与与SwitchB之间相同之间相同VLAN的的PC之间可以互访。之间可以互访。2.SwitchA与与SwitchB之间不同之间不同VLAN的的PC之间禁止互访。之间禁止互访。交换机交换机Trunk端口配置端口配置 交换机交换机Trunk端口应用配置图端口应用配置图2交换机交换机Trunk端口配置端口配置 配置环
24、境参数配置环境参数 1.PC1和和PC2分别连接到二层交换机分别连接到二层交换机SwitchA的端口的端口E0/1和和E0/2,端口分属于,端口分属于VLAN10和和20;2.PC1的的IP地址为地址为10.1.1.1/24,PC2的的IP地址为地址为20.1.1.1/24;PC1和和PC2的网关都在三层交换机的网关都在三层交换机SwitchB上;上;3.SwitchA通过端口通过端口G2/1,连接到,连接到SwitchB的端口的端口G1/1;SwitchA的端口的端口G2/1和和SwitchB的端口的端口G1/1均是均是Trunk端口,而且允许端口,而且允许VLAN10和和VLAN20通过;
25、通过;4.SwitchB的的VLAN接口接口10的的IP地址为地址为10.1.1.254/24,VLAN接口接口20的的IP地址为地址为20.1.1.254/24。组网需求组网需求 1.PC1与与PC2之间可以互访。之间可以互访。交换机交换机Trunk端口配置端口配置 交换机交换机Trunk端口配置流程端口配置流程 利用将端口配置为利用将端口配置为Trunk端口来完成在不同交换端口来完成在不同交换机之间透传机之间透传VLAN,达到属于相同,达到属于相同VLAN的的PC机,机,跨交换机进行二层访问;或者不同跨交换机进行二层访问;或者不同VLAN的的PC机机跨交换机进行三层访问的目的。跨交换机进行
26、三层访问的目的。交换机交换机Trunk端口配置端口配置 图图1配置过程配置过程【SwitchA相关配置】相关配置】1.创建(进入)创建(进入)VLAN10,将,将E0/1加入到加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/1 2.创建(进入)创建(进入)VLAN20,将,将E0/2加入到加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/2 3.将端口将端口G2/1配置为配置为Trunk端口,并允许端口,并允许VLAN10和和VLAN20通过通过SwitchAinterface G
27、igabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20交换机交换机Trunk端口配置端口配置【SwitchB相关配置】相关配置】1.创建(进入)创建(进入)VLAN10,将,将E0/10加入到加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/10 2.创建(进入)创建(进入)VLAN20,将,将E0/20加入到加入到VLAN20SwitchAvlan 20Sw
28、itchA-vlan20port Ethernet 0/20 3.将端口将端口G2/1配置为配置为Trunk端口,并允许端口,并允许VLAN10和和VLAN20通过通过SwitchAinterface GigabitEthernet 2/1SwitchA-GigabitEthernet2/1port link-type trunkSwitchA-GigabitEthernet2/1port trunk permit vlan 10 20交换机交换机Trunk端口配置端口配置 图图2配置过程配置过程【SwitchA相关配置】相关配置】主要配置与图主要配置与图1中的配置一样。中的配置一样。【Swi
29、tchB相关配置】相关配置】主要配置与图主要配置与图1中的配置一样,只需要分别给中的配置一样,只需要分别给VLAN接口接口10和和VLAN接口接口20配置制定的配置制定的IP地址地址即可。即可。交换机交换机STP配置配置 1功能需求及组网说明功能需求及组网说明 交换机交换机STP配置配置 配置环境参数配置环境参数 1.SwitchA选用华为选用华为-3com公司的高中端交换机,如公司的高中端交换机,如S8500或者或者S6500系列交换机系列交换机 2.SwitchB和和SwitchC选用华为选用华为-3com公司的低端交公司的低端交换机,如换机,如S3500或者或者S3550系列交换机系列交
30、换机 3.SwitchD、SwitchE和和SwitchF选用华为选用华为-3com公公司的低端交换机,如司的低端交换机,如S3000或者或者S2000系列交换机系列交换机 4.各交换机之间端口的连接如上图所示各交换机之间端口的连接如上图所示 组网需求组网需求 1.所有设备运行所有设备运行STP(Spanning Tree Protocol)生成生成树协议树协议 2.以以SwitchB为根网桥,阻断网络中的环路,并能达为根网桥,阻断网络中的环路,并能达到链路冗余备份的效果到链路冗余备份的效果交换机交换机STP配置配置 2数据配置步骤数据配置步骤 交换机交换机STP配置流程配置流程 通过改变交换
31、机或者端口的通过改变交换机或者端口的STP优先级,优先级,从而达到手工指定网络中的根网桥,以及从而达到手工指定网络中的根网桥,以及端口的端口的STP角色,完成阻断环路及链路的角色,完成阻断环路及链路的冗余备份。冗余备份。交换机交换机STP配置配置【SwitchB相关配置】1.全局使能STP功能(缺省情况下,DHCP功能处于使能状态)SwitchBstp enable 2.将SwtichB配置为树根(两种方法:将SwitchB的Bridge优先级设置为0,或者直接将SwitchB指定为树根,两种方法一个效果)SwitchBstp priotity 0SwitchBstp root primary
32、 3.在各个指定端口上启动根保护功能(在此例中,SwtichB的所有端口都是制定端口)SwitchBinterface Ethernet 0/1SwitchB-Ethernet-0/1stp root-protection交换机交换机STP配置配置【其他【其他Switch的相关配置】的相关配置】将接将接PC机的端口机的端口stp功能关闭,或者配置功能关闭,或者配置为边缘端口,并使能为边缘端口,并使能BPDU保护功能保护功能SwitchD-Ethernet0/4stp disableSwitchD-Ethernet0/5stp edged-port enable交换机交换机STP配置配置【补充说
33、明】【补充说明】配置了配置了”bpdu-protection”以后,如果某个边以后,如果某个边缘端口收到缘端口收到BPDU报文,则该边缘端口将会被关报文,则该边缘端口将会被关闭,必须由手工进行恢复。闭,必须由手工进行恢复。当端口上配置了当端口上配置了”stp root-protection”以后,以后,该端口的角色只能是指定端口,且一旦该端口上该端口的角色只能是指定端口,且一旦该端口上收到了优先级高的配置消息,则该端口的状态将收到了优先级高的配置消息,则该端口的状态将被配置为侦听状态,不再转发报文,当在足够长被配置为侦听状态,不再转发报文,当在足够长的时间内没有收到更优的配置消息时,端口会恢的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。复原来的正常状态。演讲完毕,谢谢观看!
