虚拟局域网VLAN
创新互联公司专业为企业提供金塔网站建设、金塔做网站、金塔网站设计、金塔网站制作等企业网站建设、网页设计与制作、金塔企业网站模板建站服务,十载金塔做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
一、VLAN的概念及优势
1、 VLAN的概念及优势
在传统的交换式以太网中,所有的用户都在用一个广播域,当网络规模较大时,广播包的数量会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,就会不停的网络发送广播,从而导致广播风暴,使网络通讯陷于瘫痪。
我们可以使用分隔广播域的办法来解决这个问题,分隔广播域又以下两种办法:
①物理分隔:将网络从物理上分为若干个小网络,然后使用能隔离广播的路由器将不同的网络连接起来实现通信。
②逻辑分隔:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN(virtual local area network,虚拟局域网)。VLAN工作在OSI参考模型的数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在同一个广播域中,各VLAN通过路由设备连接实现通信。
VLAN具有灵活性和可扩展等特点,使用VLAN技术有以下好处:
①、控制广播
每个VLAN都是独立的广播域,这样就会减少了广播对网络带宽的专用,提高
网络传输效率,并且一个VLAN出现了广播风暴不会影响到其他VLAN。
②、增强网络安全
由于只能在同一个VLAN内的端口之间交换数据,不同VLAN的端口之间不能直接访问,因此,VLAN可以限制个别主机访问服务器等资源,所以通过划分VLAN可以提高网络的安全性。
③、简化网络管理
如果对于某些用户重新进行网段分配,需要对网络系统的物理结构进行调整,甚至追加设备,这样会增大网络管理的工作量。而对采用VLAN技术的网络来说,一个VLAN可以根据部门、对象组或者不同地理位置的用户划分到一个网络中,在不改动网络物理连接的情况下可以任意的将工作站在工作组之间移动,降低了网络管理和维护的工作负担,降低网络维护的费用。
2、 VLAN的种类
2.1、静态VLAN
静态VLAN也称基于端口的VLAN,是目前最常见的VLAN实现方式。
明确指定交换机的端口属于哪个VLAN,这需要给管理员手动配置,
这种端口和VLAN的映射只在本地有效,交换机之间不能共享这一信
息。
2.2、动态VLAN
动态VLAN是根据终端用户设备的mac地址来定义成员资格的。当设备连接一个交换机端口时,该交换机必须查询它的一个数据库以建立VLAN的成员资格。因此,网络管理员必须先把用户的MAC地址分配到VLAN成员资格策略服务器(VMPS,VLAN membership policy server)的数据库中的一个VLAN上。
对cisco交换机而言,动态VLAN是用如ciscoworks22000或ciscoworks for switched internetworks(CWSI)的网络管理工具来建立和进行管理的。动态VLAN对终端用户来说具有更大的灵活性和可移动性,但要求有更多的管理方面的开销。
3、 静态VLAN的配置
3.1、VLAN的范围
Cisco交换机最多能够支持4096个VLAN,不同型号的交换机支持的
VLAN数目也不同。
VLAN的ID范围 | 范围 | 用途 |
0、4095 | 保留 | 仅限系统使用 用户不能查看和使用这些VLAN |
1 | 正常 | Cisco默认VLAN 用户能够使用该VLAN,但不能删除它 |
2~1001 | 正常 | 用于以太网的VLAN 用户可以创建、使用和删除这些VLAN |
1002~1005 | 正常 | 用于FDDI和令牌环的Cisco默认VLAN 用户不能删除这些VLAN |
1006~1024 | 保留 | 仅限系统使用 用户不能查看和使用这些VLAN |
1025~4094 | 扩展 | 仅用于以太网VLAN |
3.2、VLAN的基本配置
创建VLAN分为两种模式,一种是数据库模式,一种是全局配置模式.
VLAN数据库模式,只支持VLAN正常范围(1~1005)。
VLAN全局配置模式,不仅支持VLAN正常范围,也可以配置VLAN数
据库模式不能配置的扩展范围的VLAN。
二、VLAN Trunk
1、Trunk概述
1.1、 Trunk的作用
在交换网络中,链路有两种类型:
接入链路:通常属于一个VLAN。主机与交换机之间连接的链路就是接入链路。
中继链路:可以承载多个VLAN之间通讯,通常是在交换机与交换机之间,后者交换机与路由器之间。
1)、VLAN30中的主机A发送数据帧给主机B时,主机A发送的数据
帧是普通的数据帧。
2)、交换机SW1收到数据帧,知道这个数据帧来自VLAN30,要转发
给SW2,于是就会在数据帧上打上VLAN30的标签,然后发送给SW2。
3)、SW2接收到带有VLAN30标签的数据帧后,根据目标MAC地址,
得知数据帧是发送给主机B的,就会删除VLAN标识还原为普通的数
据帧,然后转发给主
机B。
1.2、 VLAN的标识
VLAN标识可以采用几种方式进行。每一种标识方法都使用一种不同的帧标识机制。在以太网上实现中继,可用如下两种封装类型。
1)、ISL(inter-switch link,交换机间链路):是cisco私有的标记方法,
ISL只是对帧进行封装,不修改帧中的内容。尾部CRC(循环冗余校验)。
2)、IEEE 802.1q:公有的标记方法,其他厂商的产品也支持这种标记方法。802.1q使用了一种内部标记机制。中继设备将四字节的标记插入到数据帧内,并重新计算FCS。
这四个字节的标记头包含以下内容:
① 2字节标记协议标识符(TPID)包含了一个0x8100的固定值,这个特定的TPID值指明了该帧带有802.1q的标记。
② 2字节标记控制信息(TCI)包含了下面的元素
⑴ 3位的用户优先级(priority):802.1q不适用该字段。
⑵ 1位的规范格式标识符(CFI):CFI常用语以太网和令牌环网。在以太网中,CFI的值通常设置为0。
⑶ 12位VLAN标识符(VLAN ID):该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一的标识4096个VLAN,但VLAN 0和VLAN 4905是被保留的。
1.3、 Native VLAN
Cisco catast交换机上,默认的native VLAN是VLAN 1,但可以配置。Native VLAN的数据帧在trunk链路中是未标记的。对于两台设备之间的trunk端口,要求链路两侧具有相同的native VLAN配置。
1.4、 Trunk的模式和协商
对isl和IEEE802.1q的配置,要视cisco交换机的IOS而定,可以指定trunk链路使用ISL封装、802.1q封装或者自动协商封装类型。
自动协商是由DTP(动态中继协议)管理的。DTP协议为cisco专有,同时支持ISl和802.1q两种中继自动协商。但只能用于交换机之间的中继链路,不能同于交换机和路由器之间的中继链路。Cisco catalyst交换机端口默认为开启DTP协商。
三、EthernetChannel(端口聚合)
EthernetChannel通过捆绑多条以太网链路来提高链路带宽,并运行一种机制。将多个以太网端口捆绑城一条逻辑链路,以太网通道最多可以捆绑8条物理链路。其中物理链路可以是双绞线也可以是光纤。
以太网通道的要求:
1)、 参与捆绑的端口必须属于同一个VLAN,或者把他们配置为中继端口。
2)、端口为终极模式,链路两端应将通道中的所有端口配置为相同的中继模式。需要所有端口支持相同的VLAN范围许可,如果VLAN许可范围不一致,则端口不属于以太网通道。
3)、所有参与捆绑的端口的物理参数必须相同,应该有同样的速率和全/半双工模式。
四、课后实验
实验环境:
公司新扩建3个部门,分别为财务、销售和行政。需要按照各部门进行网段划分,网络规划如下:
PC1和PC3为财务部,属于VLAN2,名称caiwu,
PC2和PC5为销售部,属于VLAN3,名称xiaoshou,
PC4和PC6为行政部,属于VLAN4,名称xingzheng,
为了方便管理,需要为三台交换机配置远程管理地址,IP地址用VLAN 1 ,分别为192.168.100.1/24~192.168.100.3/24
并且因为数据量较大,增加传输速度并保障链路稳定,
实验拓扑:
实验配置
SW1#conf t \\进入全局配置模式
SW1(config)#int vlan 1 \\进入VLAN 1
SW1(config-if)#ip add 192.168.100.1 255.255.255.0 \\配置IP地址
SW1(config-if)#no sh \\开启接口
SW1(config-if)#end \\返回特权模式
SW1#vlan da \\进入VLAN数据库模式
SW1(vlan)#vlan 2 name caiwu \\创建VLAN 2 名称为caiwu
SW1(vlan)#vlan 3 name xiaoshou
SW1(vlan)#vlan 4 name xiengzheng
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1 \\进入f0/1 接口
SW1(config-if)#sw ac vlan 2 \\将接口加入vlan 2
SW1(config-if)#no sh
SW1(config-if)#int f0/2
SW1(config-if)#sw ac vlan 3
SW1(config-if)#no sh
SW1(config-if)#exit
SW1(config)#line vty 0 4 \\进入vty
SW1(config-line)#password cisco \\配置密码
SW1(config-line)#login \\允许登录
SW1(config-line)#exit
SW1(config)#enable password cisco123 \\设置特权密码
SW1(config)#int r f0/5 – 6 \\进入5和6接口
SW1(config-if-range)#channel-group 1 mode on \\创建以太网通道,通道号为1
SW1(config-if-range)#no sh
SW2#conf t
SW2(config)#int vlan 1
SW2(config-if)#ip add 192.168.100.2 255.255.255.0
SW2(config-if)#no sh
SW2(config-if)#end
SW2#vlan da
SW2(vlan)#vlan 2 name caiwu
SW2(vlan)#vlan 3 name xiaoshou
SW2(vlan)#vlan 4 name xingzheng
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/1
SW2(config-if)#sw ac vlan 2
SW2(config-if)#no sh
SW2(config)#int f0/2
SW2(config-if)#sw ac vlan 3
SW2(config-if)#no sh
SW2(vlan)#exit
SW2(config)#line vty 0 4
SW2(config-line)#password cisco
SW2(config-line)#login
SW2(config-line)#exit
SW2(config)#enable password cisco123
SW2(config)#int r f0/5 - 6
SW2(config-if-range)#channel-group 1 mo on
SW2(config-if-range)#no sh
SW2(config-if-range)#exit
SW2(config)#int r f0/7 – 8 \\进入7和8接口
SW2(config-if-range)#channel-group 2 mo on \\创建以太网通道,通道号为2
SW2(config-if-range)#no sh
SW3#conf t
SW3(config)#int vlan 1
SW3(config-if)#ip add 192.168.100.3 255.255.255.0
SW3(config-if)#no sh
SW3(config-if)#end
SW3#vlan da
SW3(vlan)#vlan 2 name caiwu
SW3(vlan)#vlan 3 name xiaoshou
SW3(vlan)#vlan 4 name xingzheng
SW3(vlan)#exit
SW3(config)#int f0/1
SW3(config-if)#sw ac vlan 3
SW3(config-if)#no sh
SW3(config-if)#int f0/2
SW3(config-if)#sw
SW3(config-if)#sw ac vlan 4
SW3(config-if)#no sh
SW3(config-if)#exit
SW3(config)#line vty 0 4
SW3(config-line)#password cisco
SW3(config-line)#login
SW3(config-line)#exit
SW3(config)#enable password cisco123
SW3(config)#int r f0/7 - 8
SW3(config-if-range)#channel-group 2 mo on
SW3(config-if-range)#no sh