1、第6章 虚拟局域网第第6章章 虚拟局域网虚拟局域网n6.1 VLAN基础基础n6.2 VLAN标识标识n6.3 VLAN中继协议中继协议n6.4 VLAN间路由间路由n6.5 VLAN配置配置n6.6 排查排查VLAN故障故障26.1 VLAN基础基础n交换机仅可以分割冲突域,却不能分隔广交换机仅可以分割冲突域,却不能分隔广播域,需要依靠路由器来分隔广播域。然播域,需要依靠路由器来分隔广播域。然而,路由器端口有限,无法支持数量较多而,路由器端口有限,无法支持数量较多的广播域划分的广播域划分。n虚拟虚拟局域网局域网VLAN(Virtual Local Area Network)可以可以实现对纯交
2、换型网络进行实现对纯交换型网络进行广播域划分的功能。广播域划分的功能。36.1.1 VLAN与与LAN的关系的关系n虚拟局域网虚拟局域网VLAN是在一个物理局域网的基是在一个物理局域网的基础上,划分出不同的逻辑网络础上,划分出不同的逻辑网络。nVLAN虽然是一种逻辑上的局域网,但其操虽然是一种逻辑上的局域网,但其操作却与物理的局域网完全一样,是一个独立作却与物理的局域网完全一样,是一个独立的子网,也是一个独立的广播域的子网,也是一个独立的广播域。n根据职能对用户进行逻辑分组,适合现代企根据职能对用户进行逻辑分组,适合现代企业组成团队实施某个项目的需求,实现部门业组成团队实施某个项目的需求,实现
3、部门资源的有效管理资源的有效管理。n一个一个VLAN逻辑上就是一个逻辑上就是一个局域网局域网。46.1.2 控制广播域控制广播域n要将一个局域网划分成更小的广播域,原要将一个局域网划分成更小的广播域,原来只能使用来只能使用路由器路由器。n有了有了VLAN就方便多了,可以很容易地控就方便多了,可以很容易地控制交换机的每个端口以及通过该端口可以制交换机的每个端口以及通过该端口可以访问的网络访问的网络资源资源。n通过创建通过创建VLAN就可建立起所需的广播域就可建立起所需的广播域,并不需要另外增加设备,并不需要另外增加设备。nVLAN具有更好的灵活性和可扩展性。具有更好的灵活性和可扩展性。56.1.
4、3 VLAN的优点的优点n可以在可以在VLAN中随意加入、移走主机,简化中随意加入、移走主机,简化LAN的配的配置和网络管理。置和网络管理。n可以根据职能对用户进行逻辑分组,如按照功能、可以根据职能对用户进行逻辑分组,如按照功能、项目、团队等将网络分段而不管用户的物理位置,项目、团队等将网络分段而不管用户的物理位置,只要处于同一个只要处于同一个VLAN,就可以共享资源。,就可以共享资源。n增加了广播域的数量,同时缩小了广播域的规模,增加了广播域的数量,同时缩小了广播域的规模,灵活控制网络中的数据流量,提高网络的性能。灵活控制网络中的数据流量,提高网络的性能。n增强了网络的安全性,如可以缩小增强
5、了网络的安全性,如可以缩小ARP攻击的范围攻击的范围,限制其只能在同一个,限制其只能在同一个VLAN中传播,不会影响到局中传播,不会影响到局域网中的其他用户。域网中的其他用户。66.1.4 划分划分VLAN的方法的方法n基于端口划分基于端口划分VLANn基于基于MAC地址划分地址划分VLANn基于网络协议划分基于网络协议划分VLANn基于基于IP地址划分地址划分VLANn基于策略划分基于策略划分VLAN76.1.5 静态静态VLANn静态静态VLAN是最常用的是最常用的VLAN创建方法创建方法。n将交换机端口分配给某个将交换机端口分配给某个VLAN以后,以后,如果不进行手工的修改,这个端口就会
6、如果不进行手工的修改,这个端口就会一直属于所分配的一直属于所分配的VLAN。n静态静态VLAN举例,图举例,图6-18VLAN接入链路和中继链路接入链路和中继链路96.2 VLAN标识标识n端口类型端口类型中继端口中继端口:互连两个交换机的端口,可以互连两个交换机的端口,可以同时传输多个同时传输多个VLAN的数据流。的数据流。接入端口:只属于一个接入端口:只属于一个VLAN,只会传输,只会传输所属所属VLAN的数据流,也不需要对的数据流,也不需要对VLAN进进行标记。行标记。VLAN的桥接地址表(Bridging Table)语音接入端口:这是一种较为特殊的端口,可以同时属于数据VLAN和语音
7、VLAN。10VLAN标识标识nVLAN ID一条中继链路要支持多个一条中继链路要支持多个VLAN的数据传输的数据传输,为了为了区分不同区分不同VLAN的数据流的数据流,必须,必须对对VLAN的帧进行标记的帧进行标记。可以可以有一个有一个VLAN的数据流不用标记,的数据流不用标记,这这个个VLAN称为本机称为本机VLAN,默认为,默认为VLAN 1,也,也可以进行修改。可以进行修改。11VLAN标识标识n标识方法标识方法交换机间链路交换机间链路ISL(Inter-Switch Link)ISL是思科公司开发的私有技术,在以太网帧的前面和后面分别添加了新的首部和循环冗余校验(CRC)来对帧进行封
8、装。只能用于快速以太网和吉比特以太网链路。IEEE 802.1Q IEEE制定的VLAN标识标准,在以太网帧中插入了一个字段,用于标识VLAN。126.3 VLAN中继协议中继协议(VTP)n为了保持整个交换网络为了保持整个交换网络VLAN配置数据配置数据的一致性的一致性。nVLAN中继协议中继协议VTP(VLAN Trunk Protocol),让用户在一台交换机上进),让用户在一台交换机上进行的行的VLAN创建、添加、删除和创建、添加、删除和VLAN重命名等操作信息,能够传播到网络中重命名等操作信息,能够传播到网络中的其他交换机,由此实施对所有的其他交换机,由此实施对所有VLAN配置的管理
9、。配置的管理。136.3.1 VTP域域nVLAN配置信息的传播范围由配置信息的传播范围由VTP域来域来界定,交换机之间要能共享界定,交换机之间要能共享VLAN信息信息,则交换机必须使用相同的域名,而且,则交换机必须使用相同的域名,而且一台交换机不能同时属于多个不同的域一台交换机不能同时属于多个不同的域。n只有只有中继端口才会在交换机之间发送中继端口才会在交换机之间发送VTP信息信息。nVLAN信息的新旧通过修订号来标识信息的新旧通过修订号来标识。14VTP域域n两台交换机之间要能交换两台交换机之间要能交换VLAN信息,信息,则必须满足以下三个条件:则必须满足以下三个条件:(1)具有相同的)具
10、有相同的VTP域名;域名;(2)至少有一台交换机被设置为)至少有一台交换机被设置为VTP服务器模式;服务器模式;(3)如果设置了)如果设置了VTP密码,则两台交换机具有相同密码,则两台交换机具有相同的密码。的密码。156.3.2 VTP运行模式运行模式n服务器模式:服务器模式:具有具有创建、修改、删除创建、修改、删除VLAN的的功能,则交换机必须处于服务器模式。默认情功能,则交换机必须处于服务器模式。默认情况下,交换机都是处于服务器模式况下,交换机都是处于服务器模式。n客户端模式:这种模式的交换机不能创建、修客户端模式:这种模式的交换机不能创建、修改、删除改、删除VLAN,只能接收来自其他,只
11、能接收来自其他VTP服务器服务器模式交换机所做的配置信息模式交换机所做的配置信息。n透明模式:处于透明模式的交换机并不是透明模式:处于透明模式的交换机并不是VTP域中的一员,只是起一个转发域中的一员,只是起一个转发VTP信息的角色信息的角色。166.3.3 VTP修剪修剪n如果一个交换机上没有属于某个如果一个交换机上没有属于某个VLAN的端口的端口,则关于这个,则关于这个VLAN的信息就不需要发送给这的信息就不需要发送给这个交换机。个交换机。n如果启用修剪,将可以作用于如果启用修剪,将可以作用于VLAN 2-1001。n举例:举例:Switch(config)#int fa0/4Switch(
12、config-if)#switchport trunk pruning vlan 2-3176.4 VLAN间路由间路由n同一个同一个VLAN中的主机可以自由通信,中的主机可以自由通信,但不同但不同VLAN中的主机是不能通过交换中的主机是不能通过交换机直接通信的,需要采用能提供路由功机直接通信的,需要采用能提供路由功能的第三层设备将不同的能的第三层设备将不同的VLAN互连起互连起来,才能实现不同来,才能实现不同VLAN之间的通信。之间的通信。18VLAN间路由间路由n在路由器上为每个在路由器上为每个VLAN提供一个接口提供一个接口19VLAN间路由间路由n每个子接口连接一个每个子接口连接一个V
13、LAN206.5 VLAN配置配置n在进行在进行VLAN配置之前,需要对配置之前,需要对VLAN进行规划设计,如建立多少个进行规划设计,如建立多少个VLAN、哪些用户应该属于哪个哪些用户应该属于哪个VLAN、每个、每个VLAN分配哪一个网段的分配哪一个网段的IP地址等地址等。n以图以图6-3的的交换网络为例来说明交换网络为例来说明VLAN的的配置。配置。216.5.1 创建创建VLANn图图6-3中,中,VLAN 1是默认的管理是默认的管理VLAN,不需要创建,不需要创建,需要创建的是需要创建的是VLAN 2和和VLAN 3。Switch0(config)#vlan 2Switch0(conf
14、ig-vlan)#vlan 3n可以创建可以创建ID为为1-1005的的VLAN,其中,其中VLAN 1和和VLAN 1002-1005是保留的是保留的,不能被修改、重命名和删除。,不能被修改、重命名和删除。226.5.2 将端口添加到将端口添加到VLANn属于一个属于一个VLAN的端口是接入端口,所的端口是接入端口,所以需将其端口模式设置为以需将其端口模式设置为access。n端口模式的配置,有如下一些可选项:端口模式的配置,有如下一些可选项:switchport mode accessswitchport mode trunkswitchport mode dynamic autoswit
15、chport mode dynamic desirableswitchport nonegotiate23将端口添加到将端口添加到VLANn配置配置Switch0:Switch0(config)#int fa0/2Switch0(config-if)#switchport mode accessSwitch0(config-if)#switchport access vlan 2Switch0(config-if)#int fa0/3Switch0(config-if)#switchport mode accessSwitch0(config-if)#switchport access vla
16、n 3n用用show vlan查看一下查看一下VLAN的情况的情况246.5.3 中继端口配置中继端口配置nSwitch0和和Switch1通过各自的通过各自的Fa0/4端口端口互连互连,配置配置两端的两端的Fa0/4为为中继中继端口端口:Switch0(config)#int fa0/4Switch0(config-if)#switchport mode trunkSwitch0(config-if)#switchport trunk allowed vlan alln修改本机修改本机VLAN:Switch0(config-if)#switchport trunk native vlan 2
17、中继链路两端的本机中继链路两端的本机VLAN必须必须一致一致256.5.4 VLAN间路由配置间路由配置n采用采用“单臂路由器单臂路由器”方式实现方式实现VLAN之之间的通信间的通信,需要,需要根据根据VLAN数量将路由数量将路由器的接口分成多个逻辑子接口器的接口分成多个逻辑子接口。n给每个给每个VLAN分配一个子接口,并给子分配一个子接口,并给子接口配置相应的接口配置相应的IP地址地址。n举例:举例:配置交换机配置交换机Switch0配置路由器配置路由器Router026VLAN间路由配置间路由配置n路由器路由器Fa0/0物理接口上不配置物理接口上不配置IP地址,地址,IP地地址要配置在每个
18、子接口上址要配置在每个子接口上。n子接口标识选择与子接口标识选择与VLAN ID相同,这样有利于相同,这样有利于查询查询。n使用三层交换机也可以实现使用三层交换机也可以实现VLAN之间的通信之间的通信,只需在三层交换机的路由模块上定义与只需在三层交换机的路由模块上定义与VLAN数量相同的逻辑接口,然后将这些接口数量相同的逻辑接口,然后将这些接口和需路由的和需路由的VLAN一一对应,并为每个逻辑接一一对应,并为每个逻辑接口配置好口配置好IP地址地址。276.5.5 VTP配置配置nVTP是为了保证交换网络是为了保证交换网络VLAN配置的一配置的一致性,使用致性,使用VTP域名来识别一个交换机是域
19、名来识别一个交换机是否属于某个否属于某个VTP域的范围内,其他一些设域的范围内,其他一些设置还包括密码、运行模式、修剪等方面置还包括密码、运行模式、修剪等方面。n举例:举例:将将交换机交换机Switch0和和Switch1加入到同一个加入到同一个VTP域来保证二者域来保证二者VLAN配置信息的一致性配置信息的一致性。show vtp status:查看查看VTP的状态信息的状态信息286.6 排查排查VLAN故障故障n物理层的线路要正常、接口的速度和双物理层的线路要正常、接口的速度和双工方式要工方式要匹配匹配。n确保路由器或交换机的基本配置确保路由器或交换机的基本配置正常正常。n检查有关检查有关VLAN的配置是否的配置是否正常正常:VTP工作工作是否是否正常正常:域名、密码、:域名、密码、VTP模式模式检查链路两端的端口模式是否都为检查链路两端的端口模式是否都为Trunk两端的封装协议是否两端的封装协议是否相同相同中继链路两端允许通过的中继链路两端允许通过的VLAN是否配置是否配置一致一致路由器接口路由器接口上上配置配置的的逻辑逻辑子子接口接口是否正确是否正确29
