第3章VLAN技术及其配置

第3章VLAN技术及其配置主讲教师刘静网络知识回顾冲突域：一个冲突域内不同设备同时发出数据帧就会产生冲突，导致发送失败广播域：网络中的一组设备集合；当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。我们常用的网络设备是如何处理广播域和冲突域的呢？中继器、集线器

：

单纯的放大，传播信号，运行在物理层，不能划分广播域和冲突域；网桥、交换机：运行在数据链路层，可划分冲突域，不可划分广播域；路由器：运行在网络层，可划分冲突域和广播域。主要内容第2层交换式网络的缺点划分VLAN的好处2种VLAN技术VLAN内主机通信VLAN间主机通信虚拟局域网主干协议（VTP）第2层交换式网络的缺点第2层交换式网络的缺点使用VLAN的原因：未划分VLAN时交换机网络的缺点PC1PC2PCn交换机缺点一：每次广播的数据包无论是否需要，都会到达网络中的任何一台设备，造成带宽资源的极大浪费缺点二：网络安全性差缺点三：易出现网络拥塞划分VLAN的好处划分VLAN的好处分段灵活性

安全性第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)划分VLAN的好处a.广播控制（BroadcastControl）通过将一个网络划分成多个VLAN（即多个广播域），可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。b.灵活性（Flexibility）VLAN技术能够在逻辑上将不同地理位置的计算机划分在同一个广播域内。而无VLAN技术时，在更改一台主机的所属组时，必须将此主机直接接到该组所在的交换机上。c.安全性（Security）不同VLAN之间是不能够直接相互访问的。因此，按职责权限把用户(主机)划归在不同的VLAN里，就可使得各自的内部信息得到保护，从而增强了安全性。2种VLAN技术2种VLAN技术

VLAN创建后，接下来就可指定端口所属的VLAN，默认情况下，交换机的所有端口均属于VLAN1，VLAN1是交换机默认创建和管理的VLAN。

1．静态VLAN静态VLAN就是明确指定各端口所属VLAN的设定方法，通常也称为基于端口的VLAN，其特点是将交换机按端口进行分组，每一组定义为一个VLAN，属于同一个VLAN的端口，可来自一台交换机，也可来自多台交换机，即可以跨越多台交换机设置VLAN。基于端口的VLAN划分如下图所示。

2种VLAN技术123456782种VLAN技术2．动态VLAN动态VLAN是根据每个端口所连的计算机，动态设置端口所属VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。基于MAC地址的VLAN，就是根据端口所连计算机的网卡MAC地址，来决定该端口所属的VLAN。在这种方式下，端口所属的VLAN，不是事先固定的，而是由所连计算机的MAC地址来决定的。比如，若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2，则该台计算机无论接到交换机的哪个端口，其所连端口就会被自动划归为VLAN2。基于子网的VLAN，是根据端口所连计算机的IP地址，来决定端口所属的VLAN。

基于用户的VLAN，是根据端口所连计算机的当前登录用户，来决定该端口所属的LAN。VLAN内主机通信VLAN内主机通信在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。VLAN内主机通信

VLAN内的主机彼此间应可以自由通讯，当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通讯呢?解决的办法就是在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示

VLAN内主机通信

VLAN内的主机在交换机间的通讯

VLAN内主机通信这种方法虽然解决了VLAN内主机间的跨交换机通讯，但每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，这对保贵的交换机端口而言，是一种严重的浪费，而且扩展性和管理效率都很差。为了避免这种低效率的连接方式和对交换机端口的大量占用，人们想办法让交换机间的互联链路汇集到一条链路上，让该链路允许各个VLAN的通讯流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通讯的链路，称为交换机的汇聚链路或主干链路（TrunkLink），如下图所示。VLAN内主机通信利用汇聚链路实现各VLAN内主机跨交换机的通讯

VLAN内主机通信在引入VLAN后，交换机的端口按用途就分为了访问连接端口（AccessLink）和主干连接（TrunkLink）端口两种。访问连接端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。主干连接端口属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。1.访问连接（AccessLink）通过访问连接方式接入VLAN的成员仅仅属于广播域内的一个简单成员，它只与在同一个VLAN里的其他成员进行通信，并不需要了解其他VLAN的信息（同本VLAN外的其他VLAN的成员通信则必须使用路由器等第三层网络设备）。VLAN内主机通信2.主干连接（TrunkLink）主干连接是在不同交换机之间的一条链路，用其来同时承载多个VLAN的信息。使用交换机的100Mb／s或1000Mb／s端口，这种连接方式的传输速率为100Mb／s或1000Mb／s，以免成为网络传输的瓶颈。支持主干连接的网络技术常见的有以下几种类型：a.InterSwitchLink（ISL）该标准属于Cisco的自有标准，是Cisco为自己的交换机建立的一种专用标准。它主要适用于快速以太网和千兆位以太网的连接，应用于交换机端口、路由器接口以及服务器接口类设备的配置中。b.IEEE802.1Q该标准是由IEEE建立的通用连接标准，它在每个数据帧中的特定字段建立一个标识，从而进行VLAN的识别。IEEE802.1Q属于通用型标准，被许多厂商广泛采纳，国产交换机多采用此标准。Cisco交换机与其他厂商的交换机相连时，不能采用Cisco的ISL标准而应该采用IEEE802.1Q标准。VLAN内主机通信2.主干连接（TrunkLink）c.局域网仿真（LANE，LANEmulation）该标准适用于ATM技术，当VLAN是基于ATM技术连接时，必须采用该标准。d.802.10（FDDI，光纤分布式数据接口）该标准也属于Cisco的自有标准，它适用于FDDI技术，即对基于FDDI技术的VLAN进行连接必须使用该标准。VLAN内主机通信ISL(Inter-SwitchLink，交换机间连接)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议，通过在交换机直接相连的端口封装ISL协议，即可跨越交换机进行整个网络的vlan分配。实现跨越多个Cisco交换机之间的VLAN信息控制，控制的实现是靠帧标记（FrameTagging）来完成的。帧标记主要用于在交换网络中对用户数据的跟踪或VLAN号码的识别，当一个用户的数据帧通过主干连接（TrunkLink）时，交换机将会根据它的VLAN识别号，进行数据路由选择。如果数据是在同一交换机中传送而不需要经过其他交换机时，该识别号将会被自动删除，然后送到相应端口的主机。反之，则会由交换机附加上VLAN的识别号一起送到相应的端口。CiscoCatalyst系列交换机均支持这种低延迟的VLAN识别方式。VLAN内主机通信ISL的帧标记封装过程实际属于一个外部的标识进程，也就是说它要将每一个发出的以太网数据帧加入VLAN识别号，之后再送到网络上传输。ISL协议作用在网络的第二层数据链路层，这不会改变数据的帧内容而是在原始数据的基础上添加一个新的ISL帧头与一段CRC冗余校验码。在多VLAN端口的交换网络中（即一个端口同时配置在多个VLAN中，如多个VLAN共享的网络打印机、服务器等，它们所连接的交换机端口就应如此配置），使用ISL封装的网络接口允许数据帧带有多个VLAN的标识，这样，数据帧便可以在多个VLAN间进行高速交换了。VLAN间主机通信VLAN间主机通信同一个VLAN属于同一个广播域，主机彼此间可相互自由通讯。不同VLAN的主机若要相互通讯，则必须为VLAN指定路由，这可通过三层交换机的路由交换模块或借助外部的路由器来实现。对于没有路由功能的二层交换机，若要实现VLAN间的相互通信，就要借助外部的路由器来为VLAN指定默认路由，此时路由器的快速以太网接口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个VLAN创建一个对应的虚拟子接口，并设置虚拟子接口的IP地址，该IP地址以后就成为该VLAN的默认网关（路由）。由于这些虚拟子接口是直接连接在路由器上的，设置IP地址后，路由器会自动在路由表中，为各VLAN添加路由，从而实现VLAN间的路由转发，如下图所示。VLAN间主机通信二层交换机借助外部路由器实现VLAN间通讯

VLAN间主机通信VLAN间的主机通讯，遵循以下通讯过程：源主机→交换机→路由器→交换机→目的主机

三层交换机是带有路由功能的交换机，其路由模块与交换模块共同使用ASIC硬件芯片，可实现高速度的路由，并且在对第一个数据帧进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据帧再次通过时，交换机会直接从二层转发，而不用再路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。另一方面，交换机的路由模块与交换模块是在交换机内部直接汇聚连接的，可以提供相当高的带宽，因此，使用三层交换机来配置VLAN和提供VLAN间的通讯，比使用二层交换机和路由器更好，配置和使用也更方便。虚拟局域网主干协议VTP虚拟局域网主干协议VTP虚拟局域网主干协议（VLANTrunkProtocol，VTP协议）用来管理和配置整个VLAN交换网络。VTP协议工作在OSI参考模型中的数据链路层。1.VTP协议的特点

(1)VTP遵循的是客户/服务器结构模式。

(2)VTP的服务器模式可以控制、建立、删除或调整在VTP工作域内的所有VLAN；VTP的客户机模式则仅仅能够接收来自该工作域内服务器的信息。(3)VTP协议通过使用组播的方式向工作域内的交换机传送VLAN信息。虚拟局域网主干协议VTP2.VTP协议的工作域一个VTP工作域内需要包含一台工作在VTP服务器模式下的交换机，其他交换机则必须配置在非服务器模式下工作。该交换机用来完成创建、调整、删除VLAN以及使运行在同一工作域内、工作在VTP客户机模式下的交换机同步等工作。

虚拟局域网主干协议VTP3.VTP的工作模式VTP能够提供三种工作模式：服务器模式（ServerMode）客户机模式（ClientMode）透明模式（TransparentMode）交换机可以工作在任意一种模式下，但同时只能处于其中一种模式。VTP的工作模式服务器模式客户模式透明模式发送/转发

信息宣告同步不会存贮于NVRAM创建vlan修改vlan删除vlan发送/转发

信息宣告同步存贮于NVRAM创建vlan修改vlan删除vlan转发

信息宣告不同步存贮于NVRAM案例一跨交换机的VLAN内通信

拓扑结构图配置思路1、由于是跨交换机的VLAN配置，在两台交换机上都启用VTP，交换机间的连接链路（两个port12端口）配置VlanTrunk。2、在VTP服务器（通常设定为核心交换机，此处设为C2950A）上设置VLAN标识，并把有关的端口加入到相应的VLAN中。3、VLAN标识信息会自动发送到VTP域中所有的VTP客户端（此处只有C2950B），把该交换机的有关端口也加入到相应的VLAN中。配置步骤步骤一：配置VTPa.C2950A上的配置设置交换机为VTP服务器，VTP管理域域名为Stone：

配置步骤b.C2950B上的配置设置交换机为VTP客户端，VTP域名仍为Stone：

配置步骤步骤二：配置VLANTrunka.C2950A上的配置设置端口f0/12为Trunk口：C2950A(config)#interfacef0/12C2950A(config-if)#switchportmodetrunkb.C2950B上的配置设置端口f0/12为Trunk口：C2950B(config)#interfacef0/12C2950B(confg-if)#switchportmodetrunk配置步骤步骤三：在C2950A上划分VLAN，并把两交换机上的有关端口加入a.C2950A上的配置划分VLAN2和VLAN3，把f0/10和f0/11分别加入：配置步骤