第3章VLAN学习.docx

第3章VLAN学习.docx

《第3章VLAN学习.docx》由会员分享，可在线阅读，更多相关《第3章VLAN学习.docx（27页珍藏版）》请在冰点文库上搜索。

第3章VLAN学习

第9章

虚拟局域网VLAN（VirtualLocalAreaNetwork）

主要内容：

1VLAN概述

2VLAN作用　

3VLAN在交换机上的实现方法★

4交换机配置界面★

5配置实例

1VLAN概述

VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

LAN所指的LAN特指使用路由器分割的网络——也就是广播域。

广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。

严格地说，并不仅仅是广播帧，多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）也能在同一个广播域中畅行无阻。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案

把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2VLAN作用　

如图所示：

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。

VLAN技术优势：

　　1.增加了网络连接的灵活性

　　借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。

VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2.控制网络上的广播

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。

使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。

同样，相邻的端口不会收到其他VLAN产生的广播。

这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

3.增加网络的安全性

　　因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。

人们在LAN上经常传送一些保密的、关键性的数据。

保密的数据应提供访问控制等安全手段。

一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。

交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

3★VLAN在交换机上的实现方法:

　　交换机的端口，可以分为以下两种：

　　<1>访问链接（AccessLink）

　　<2>汇聚链接（TrunkLink）

<1>访问链接

访问链接，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。

在大多数情况下，访问链接所连的是客户机。

　　1>通常设置VLAN的顺序是：

　   生成VLAN

<2>设定访问链接（决定各端口属于哪一个VLAN）

2>静态VLAN和动态VLAN

　　静态VLAN

又被称为基于端口的VLAN（PortBasedVLAN）。

顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。

此主题相关图片如下：

动态VLAN

动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。

动态VLAN可以大致分为3类：

　　l    基于MAC地址的VLAN（MACBasedVLAN）

　2   基于子网的VLAN（SubnetBasedVLAN）

3    基于用户的VLAN（UserBasedVLAN）

1基于MAC地址的VLAN--第二层

就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。

假定有一个MAC地址“A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。

计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。

此主题相关图片如下：

　　基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以登录。

而且如果计算机交换了网卡，还是需要更改设定。

2基于子网的VLAN

则是通过所连计算机的IP地址，来决定端口所属VLAN的。

不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。

此主题相关图片如下：

与基于MAC地址的VLAN相比，能够更为简便地改变网络结构。

IP地址是OSI参照模型中第三层的信息，所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。

3基于用户的VLAN

根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。

这里的用户识别信息，一般是计算机*作系统登录的用户，比如可以是Windows域中使用的用户名。

这些用户名信息，属于OSI第四层以上的信息。

　　总的来说，决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活多变的网络。

　　访问链接的总结

　1访问链接的手法有静态VLAN和动态VLAN两种，其中动态VLAN又可以继续细分成几个小类。

　　其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事先确认。

　2下表总结了静态VLAN和动态VLAN的相关信息。

种类

解说

静态VLAN（基于端口的VLAN）

将交换机的各端口固定指派给VLAN

动态VLAN

基于MAC地址的VLAN

根据各端口所连计算机的MAC地址设定

基于子网的VLAN

根据各端口所连计算机的IP地址设定

基于用户的VLAN

根据端口所连计算机上登录用户设定

<2>汇聚链接

VLAN通过限制广播帧转发的范围分割了广播域。

上图中为了便于说明，以红、蓝两色识别不同的VLAN，

此主题相关图片如下：

　问题：

　明明接在同一台交换机上，但却偏偏无法通信，需要VLAN间

通信时怎么办

　VLAN是广播域。

而通常两个广播域之间由路由器连接，广播域之间来往的数据包都是由路由器中继的。

因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。

　　VLAN间路由，可以使用普通的路由器，也可以使用三层交换机

　　在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。

假设有如下图所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。

此主题相关图片如下：

这时最关键的就是“交换机1和交换机2该如何连接才好呢？

”

此主题相关图片如下：

例如，在现有网络基础上再新建VLAN时，为了让这个VLAN能够互通，就需要在交换机间连接新的网线。

建筑物楼层间的纵向布线是比较麻烦的，一般不能由基层管理人员随意进行。

并且，VLAN越多，楼层间（严格地说是交换机间）互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。

　　为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是汇聚链接（TrunkLink）。

　　何谓汇聚链接？

　　汇聚链接（TrunkLink）指的是能够转发多个不同VLAN的通信的端口。

　　汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。

　　汇聚链接是如何实现跨越交换机间的VLAN？

　　A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。

　　交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。

这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。

只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。

　　蓝色VLAN发送数据帧时的情形也与此相同。

此主题相关图片如下：

通过汇聚链路时附加的VLAN识别信息，有可能支持标准的“IEEE802.1Q”协议，也可能是Cisco产品独有的“ISL（InterSwitchLink）”。

如果交换机支持这些规格，那么用户就能够高效率地构筑横跨多台交换机的VLAN。

　　另外，汇聚链路上流通着多个VLAN的数据，自然负载较重。

因此，在设定汇聚链接时，有一个前提就是必须支持100Mbps以上的传输速度。

　　另外，默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据。

换一个角度看，可以认为汇聚链接（端口）同时属于交换机上所有的VLAN。

由于实际应用中很可能并不需要转发所有VLAN的数据，因此为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。

汇聚方式

　　在交换机的汇聚链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。

　　附加VLAN信息的方法，最具有代表性的有:

　　l      IEEE802.1Q

　　l      ISL

　　现在就让我们看看这两种协议分别如何对数据帧附加VLAN信息。

　　IEEE802.1Q

　　IEEE802.1Q，俗称“DotOneQ”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。

　　在此，请大家先回忆一下以太网数据帧的标准格式。

　　IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（TypeField）”之间。

具体内容为2字节的TPID和2字节的TCI，共计4字节。

　　在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。

这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。

此主题相关图片如下：

而当数据帧离开汇聚链路时，TPID和TCI会被去除，这时还会进行一次CRC的重新计算。

　　TPID的值，固定为0x8100。

交换机通过TPID，来确定数据帧内附加了基于IEEE802.1Q的VLAN信息。

而实质上的VLANID，是TCI中的12位元。

由于总共有12位，因此最多可供识别4096个VLAN。

　　基于IEEE802.1Q附加的VLAN信息，就像在传递物品时附加的标签。

因此，它也被称作“标签型VLAN（TaggingVLAN）”。

　　ISL（InterSwitchLink）

　　ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。

　　使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISLHeader）”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。

换而言之，就是总共增加了30字节的信息。

　　在使用ISL的环境下，当数据帧离开汇聚链路时，只要简单地去除ISL包头和新CRC就可以了。

由于原先的数据帧及其CRC都被完整保留，因此无需重新计算CRC。

此主题相关图片如下：

ISL有如用ISL包头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN（EncapsulatedVLAN）”。

　　需要注意的是，不论是IEEE802.1Q的“TaggingVLAN”，还是ISL的“EncapsulatedVLAN”，都不是很严密的称谓。

不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。

　　并且由于ISL是Cisco独有的协议，因此只能用于Cisco网络设备之间的互联。

　　1、基于端口划分的VLAN

　　这种划分VLAN的方法是根据以太网交换机的端口来划分，

这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，

例如：

可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

优点——定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。

缺点——如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

2、基于MAC地址划分VLAN

　　这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。

最大优点——当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN。

缺点——初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置过程复杂。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。

3、基于网络层划分VLAN

　　这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。

它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

优点——用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

缺点——效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。

4、根据IP组播划分VLAN

　　IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

4★交换机配置界面

设置好超级终端，连接上1900交换机可以进入主配置界面：

　　-------------------------------------------------

　　1user（s）nowactiveonManagementConsole.

　　UserInterfaceMenu

　　[M]Menus

　　[K]CommandLine

　　[I]IPConfiguration

　　EnterSelection:

[M]Menus是主菜单，主要是交换机的初始配置和监控交换机的运行状况。

[K]CommandLine是命令行，很象路由器里面用命令来配置和监控路由器一样，主要是通过命令来操作。

[I]IPConfiguration是配置IP地址、子网掩码和默认网管的一个选项。

[K]CommandLine实现VLAN的配置的。

　选择[K]CommandLine，进入命令行配置

　　EnterSelection:

K回车

　　CLIsessionwiththeswitchisopen.

　　ToendtheCLIsession,enter[Exit].

　　>

　　进入到了交换机的普通用户模式，输入enable，进入特权模式：

　　>enable

　　#configt

　　Enterconfigurationcommands,oneperline.EndwithCNTL/Z

　　（config）#

　　为了安全和方便起见，给这个交换机起个名字，并且设置登陆密码。

　　（config）#hostname1900Switch

　　1900Switch（config）#enablepasswordlevel15goodwork

　　1900Switch（config）#

注意：

密码必须是4-8位的字符。

交换机密码的设置和路由器稍微不同，交换机用level级别的大小来决定密码的权限。

Level1是进入命令行界面的密码，也就是说，设置了level1的密码后，你下次连上交换机，并输入K后，就会让你输入密码，这个密码就是level1设置的密码。

level15是你输入了enable命令后让你输入的特权模式密码。

路由器里面是使用enablepassword和enablescreet做此区分的。

1单个交换机设置VLAN

配置步骤：

　1>创建VLAN名称

1900Switch（config）#vlan2nameaccounting

1900Switch（config）#vlan3namemarketing

Switch#showvlan--------查看VLAN

2>进入某端口

1900Switch（config）#intf0/1

2>把相应的端口指定给VLAN

　　1900Switch（config-if）#switchportaccessvlan2

设置VLAN的名称。

使用vlanvlan号namevlan名称。

在特权配置模式下进行配置：

1900Switch（config）#vlan2nameaccounting

1900Switch（config）#vlan3namemarketing

　　我们新配置了2个VLAN，为什么VLAN号从2开始呢？

这是因为默认情况下，所有的端口否放在VLAN1上，所以要从2开始配置。

1900系列的交换机最多可以配置1024个VLAN，但是，只能有64个同时工作。

配置好了VLAN名称后我们要进入每一个端口来设置VLAN。

在交换机中，要进入某个端口比如说第4个端口，要用interfaceEthernet0/4，好的，结合上面给出的图我们让端口2、3、4和5属于VLAN2，端口17---22属于VLAN3。

命令是vlan-membershipstatic/dynamicVLAN号。

静态的或者动态的两者必须选择一个，后面是刚才配置的VLAN号。

：

　　1900Switch（config）#interfaceethernet0/2

　　1900Switch（config-if）#vlan-membershipstatic2

　　1900Switch（config-if）#inte0/3

　　1900Switch（config-if）#vlan-membershipstatic2

　　1900Switch（config-if）#inte0/4

　　1900Switch（config-if）#vlan-membershipstatic2

　　1900Switch（config-if）#inte0/5

　　1900Switch（config-if）#vlan-membershipstatic2

　　1900Switch（config-if）#inte0/17

　　1900Switch（config-if）#vlan-membershipstatic3

　　。

。

。

。

。

。

　　1900Switch（config-if）#inte0/22

　　1900Switch（config-if）#vlan-membershipstatic3

　　1900Switch（config-if）#

　验证配置，在特权模式使用showvlan命令。

输出如下：

　　1900Switch（config）#showvlan

　　VLANNameStatusPorts

　　--------------------------------------

　　1defaultEnabled1,6-16,22-24,AUI,A,B

　　2accontingEnabled2-5

　　3marketingEnabled17-22

　　1002fddi-defaultSuspended

　　1003token-ring-defauSuspended

　　1004fddinet-defaultSuspended

　　1005trnet-defaultSuspended

　　这是一个24口的交换机，并且带有AUI和两个100兆端口（A、B），可以看出来，我们的设置已经正常工作了，什么，还要不要保存runningconfigure？

当然不用了，交换机是即时自动保存的，所以不用我们使用命令来保存设置了。

2、多个交换机的配置

　　为了允许VLAN跨越多个交换机，这就必须配置主干（trunk）来连接这些交换机。

Cisco要求在这种主干链路上使用诸如ISL的主干协议，于是启用主干协议的命令就是trunk。

使用trunk接口配置命令将一个快速以太网接口设置成主干模式，在CiscoCatalyst1900交换机上有两个快速以太网接口fa0/26和fb0/27。

在使用动态交换链路协议（DISL）为ISL时，启用和定义主干协议类型可以静态和动态地进行。

trunk接口配置命令的语法如下：

switch（config）#trunk[on/off/desirable/auto/nonnegotiate]

·o