第三章配置VLAN

1、第三章 配置VLAN一、 VLAN（Virtual Local Area Network，虚拟局域网）1、VALN概述VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN所指的LAN特指使用路由器分割的网段也就是广播域。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能

2、后，它能够将网络分割成多个广播域。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好

3、的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。一个VLAN就是一个交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN，IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是一个逻辑网络，发往另一V

4、LAN的数据包必须由路由器或网桥转发。由于VLAN被看成是一个逻辑网络，其具有自己的网桥管理信息庫 (MIB) 并可支持自己的生成树。VLAN常常与IP子网相联系，同一IP子网属于同一VLAN。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。图1是应用VLAN管理网络的典型例子：Switch #AVLAN5VLAN4VLAN3Pc1Pc2Pc3Pc4Pc5Pc612342324 图1、VLAN应用示意图在图1中编号为A的交换机端口fa0/1、fa0/2所连接的终端工作站PC1、PC2

5、组成了VLAN3，交换机端口fa0/3、fa0/4所连接的终端工作站PC3、PC4组成了VLAN4，交换机端口fa0/23、fa0/24所连接的终端工作站PC5、PC6组成了VLAN5。他们在各自的VLAN中是可以直接通信，若要跨VLAN通信，必须引入第三层交换或VLAN间路由技术才可能通信。注意：VLAN编号1，1002到1005是在交换机开机初始化时自动生成的不能被去掉的。因而在进行VLAN自定义编号时，应避开这些编号。2、VALN的划分方法（1）、基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。

6、这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。（2）、基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每

7、一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。（3）、基于网络层协议划分VLANVLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。（4）、根据IP组播划分VLANIP 组播实际上也是一种VLAN的

8、定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。（5）、按策略划分VLAN基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。（6）、按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN

9、，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。3、VLAN中继（VLAN Trunk）（1）、VLAN中继VLAN中继也称为VLAN主干，是在交换机与交换机之间或交换机与路由器械之间连接的情况下在互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。VLAN中继的帧格式，分为ISL（Inter-Swicth Link，交换机之间连接）和IEEE802.1Q两种协议，其中前者是Cisco交换机独有的协议，后者是国标标准协议，被几乎所有的网络设备生产厂商所共同支持。（2）、VLAN中继协议(V

10、LAN Trunking Protocol)对于Cisco设备而言，VLAN中继协议（即VTP协议）可以帮助交换设置VLAN。VTP协议可以维护VLAN信息的全网一致性。VTP工作模式分为三种：服务器模式、客户模式和透明模式。（3）、生成树协议（STP，Spanning Tree Protocol）STP协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。STP协议通过在交换机之间传递BPDU（Bridge Protocol Data Unit，桥接协议数据单元）来互相告知诸台交换机的桥IP（号）、链路性质、根桥（Root Bridge）ID等信息，以便确定根

11、桥，决定哪些端口处于转发状态，哪些端口处于阻止转发状态，以免引起网络环路。4、VALN的特点（1）、网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口；（2）、安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信；（3）、因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关；（4）、VLAN增加安全性；（5）、VLAN增加广播域的数量,而减小广播域的大小。5、应用VLAN技术应注意事项：1、 VLAN 的其中一个优点是交换机端口很容易便可以从一个VLAN改变到另一个VLAN。由于改变太容易，大部分的改变都没有立刻记录下来。

12、这也是对维护VLAN网络、做文档备案的最大挑战。因而在某一个VLAN发生变化时，应及时记录下来。2、 VLAN最佳实践的原因：拥有一个健康的VLAN 不能依靠侥幸。需要在脑海中有最优化性能的目标，仔细地设计和维护。如果在VLAN 设计的时候就不注意，结果就是网络会非常复杂，在故障查找和维护时都会非常困难。3、 使用VLAN减少路由跳数：为了把帧从一个VLAN传递到另一个，必须用一个3层设备进行路由。这个设备可以是一个传统的路由器，或者是一个3层交换机。从发送者到接收者，路由器每增加一跳都会增加帧的延迟时间，这有可能造成一个性能瓶颈。4、 保持最小的VLAN数目：有一个创建过多的不需要的VLAN

13、的倾向。当交换机本身可以支持上千个VLAN的时候，每增加一个VLAN就会给路由器和网络其他设备带来额外的开销。二、 VLAN配置常用命令1、有关常用命令命 令作 用ip address ip_address subnet_mask配置本机IP地址；ip default-gateway ip_address配置本机缺省网关；VTP Server配置交换机成为Vtp Server模式；VTP Client配置交换机成为Vtp Client模式；VTP domain vtp_domain_name配置VTP域名，后面为自定义的域名；trunk auto|desirable|nonegotiate|o

14、ff|on配置Trunk模式；vlan database进入VLAN配置模式；vlan vlan_id name vlan_name定义VLAN编号和VLAN名vlan-membership static vlan_id 配置端口的VLAN编号Switchport 配置二层口2、命令有关注释（1）、VTP配置 VTP domain vtp_domain_name 设置VTP域名为CISCO的例：vtp domain cisco 设置vtp模式：server、client和transparent（透明模式） 设置vtp口命令：vtp password（2）、VLAN中继命令： trunk aut

15、o|desirable|nonegotiate|off|on atuo：设置DISL（动态ISL）状态为自动，当相连设备端口状态为on和desirable，此时端口成为主干模式； desirable：设置DISL状态为“希望成为”，与之相连的设备端口状态为on、desirable或auto时，双方协商成为主干模式，若与之相连的设备端口状态为off、nonegotiate，则为非主干模式； off：禁止DISL状态成为主干模式；on：设置禁止DISL状态成为主干模式；（3）、Switchport配置二层口命令： switchport mode dynamic auto | desirable |

16、 trunk 配置二层trunk模式 dynamic auto自动协商是否成为trunk dynamic desirable把端口设置为trunk如果对方端口是trunk，desirable，或自动模式 trunk设置端口为强制的trunk模式，而不理会对方端口是否为trunk switchport access vlan vlan-id 指定一个缺省VLAN，如果此端口不再是trunk 交换机2950是只能支持二层的交换机，即是所有端口缺省的端口都是二层口。在三层交换机上，若端口已经配置成三层端口的话，则需要用switchport来使其成为二层端口。（4）、常用监测命令： show vlan

17、 name vlan-name | id vlan-id 查看VLAN编号配置信息 show vlan brief 查看VLAN配置信息 show vtp status 查看vtp配置信息 show running-config interface interface-id 查看某个端口的VLAN号 show interfaces interface-id switchport 查看某个端口的管理模式和VLAN配置信息 show interfaces interface-id trunk 查看某个端口有关trunk的配置信息 show running-config 查看整机运行配置信息三、 应

18、用VLAN的网络拓扑结构图网络拓扑结构图：跨交换机的VLAN设置VLAN Trunk交叉双绞线Fa0/24Fa0/24C2950AC2950B图2、跨交换机的VLAN设置两台交换机的fa0/24端口均是通过交叉双绞线相连，形成VLAN中继；四、 实验部分(一)、跨交换机的VLAN设置（取用图2拓扑图）A、实验目的1、配置VLAN。2、通过VLAN Trunk配置跨交换机的VLAN。3、配置VTP，STP。4、查看上述配置项目的相关信息B、实验设备1、Cisco Catalyst 2950-24 Switch二台。2、交叉线序双绞线一条。3、带网卡及装有超级终端的计算机一台。4、控制台专用线下一

19、根。C、实验网络拓扑图 取用图2拓扑图D、实验配置过程及结果监测(1)、在交换机C2950A配置VTP和VLAN；SwitchenSwitch#Switch#conf tSwitch(config)#hostn C2950AC2950A(config)#endC2950A#C2950A#vlan data/：用vlan database 进入VLAN配置状态，用no vlan vlan-id 来删除VLAN；C2950A(vlan)#vtp server /：将C2950A配置成VTP server 模式；Setting device to VTP SERVER mode.C2950A(vla

20、n)#vtp domain test /：配置C2950A 的VTP域为test；Changing VTP domain name from Test to testC2950A(vlan)#vlan 10 name vlan10 /：加入VLAN号及VLAN名；VLAN 10 modified: /：系统返回信息，编号为10的VLAN建立，VLAN名为vlan10； Name: vlan10C2950A(vlan)#vlan 11 name vlan11VLAN 11 modified: Name: vlan11C2950A(vlan)#vlan 12 name vlan12VLAN 12

21、modified: Name: vlan12C2950A(vlan)#vlan 13 name vlan13VLAN 13 modified: Name: vlan13C2950A(vlan)#exit /：更新VLAN数据库并退出；APPLY completed.Exiting.C2950A#sh vtp status /：查看VTP的配置，并显示VTP相关信息；VTP Version : 2Configuration Revision : 3Maximum VLANs supported locally : 64Number of existing VLANs : 9VTP Operati

22、ng Mode : ServerVTP Domain Name : testVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x28 0x7C 0x81 0x45 0x9D 0x76 0x6F 0x3DConfiguration last modified by 0.0.0.0 at 3-1-93 00:06:32Local updater ID is 0.0.0.0 (no valid interface found)C2950A#sh vtp counV

23、TP statistics:Summary advertisements received : 4Subset advertisements received : 2Request advertisements received : 0Summary advertisements transmitted : 3Subset advertisements transmitted : 2Request advertisements transmitted : 2Number of config revision errors : 0Number of config digest errors :

24、0Number of V1 summary errors : 0VTP pruning statistics:Trunk Join Transmitted Join Received Summary advts received from non-pruning-capable device- - - -Fa0/24 0 0 0C2950A#C2950A#conf tC2950A(config)#int fa0/1C2950A(config-if)#switchport mode access /：将端口fa0/1定义为二层口；C2950A(config-if)#switch acc vlan

25、 10 /：把端口fa0/1分配给编号为10的VLAN；C2950A(config-if)#int fa0/2C2950A(config-if)#switch mode accessC2950A(config-if)#switch acc vlan 11C2950A(config-if)#int fa0/3C2950A(config-if)#switch mode accessC2950A(config-if)#switch acc vlan 12C2950A(config-if)#int fa0/4C2950A(config-if)#switch mode accessC2950A(conf

26、ig-if)#switch acc vlan 13C2950A(config-if)#endC2950A#C2950A#sh vlan brief /：查看VLAN配置情况；VLAN Name Status Ports- - - -1 default /：自动生成VLAN号； active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/2310 vlan10 act

27、ive Fa0/111 vlan11 active Fa0/212 vlan12 active Fa0/313 vlan13 active Fa0/41002 fddi-default active /：FDDI专用缺省VLAN号；1003 token-ring-default active /：令牌环专用缺省VLAN号；1004 fddinet-default active /：FDDInet专用缺省VLAN号；1005 trnet-default active /： TRnet专用缺省VLAN号；C2950A#(2)、配置在交换机C2950B的VTP；SwitchenSwitch#conf

28、 tSwitch(config)#host C2950BC2950B(config)#int vlan1/：在VLAN1接口下配置，默认所有接口均是VLAN1的成员；C2950B(config-if)#ip addr 192.168.1.1 255.255.255.0C2950B(config-if)#no shut /：打开接口；C2950B(config-if)#endC2950B#C2950B#vlan dataC2950B(vlan)#vtp domain test /：配置C2950B 的VTP域为test；Domain name already set to test . /：作为

29、Client端的VTP取名必须与Server端的VTP的域名相同；C2950B(vlan)#vtp client /：配置VTP为Client模式；Setting device to VTP CLIENT mode.C2950B(vlan)#exitIn CLIENT state, no apply attempted.Exiting.C2950B#(3)、配置和监测交换机C2950A和C2950B之间VLAN Trunk；a、在C2950A上配置VLAN Trunk：C2950A#C2950A#conf tC2950A(config)#int fa0/24C2950A(config-if)#

30、switch mode trunk /：设置端口fa0/24为强制的trunk模式；C2950A(config-if)#endC2950A#b、在C2950B上监测VLAN Trunk运行信息：C2950B#C2950B#show int fa0/24 switch /：显示端口fa0/24有关switchport 的配置及运行信息；Name: Fa0/24Switchport: EnabledAdministrative Mode: dynamic desirableOperational Mode: trunkAdministrative Trunking Encapsulation: dot1q /：dot1Q IEEE 802.1Q 协议；Operational Trunking Encapsulation: dot1q /：802.1Q的主要目的是提供VLAN间通信；Negotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative private-vlan host-association: noneAdministrative private-vlan map