补充+虚拟局域网

1、2022-5-31第六章 虚拟局域网及其配置 2022-5-32第六章 虚拟局域网及其配置 6.1 虚拟局域网概述6.1.1 虚拟局域网的概念6.1.2 VLAN产生的技术背景6.1.3 VLAN的分类6.2 VLAN的汇聚连接与封装协议6.2.1 VLAN的汇聚连接6.2.2 VLAN的封装协议2022-5-336.3 VLAN间主机的通信 6.3.1 利用路由器实验VLAN间通信1 6.3.2 利用路由器实验VLAN间通信2 6.3.3 利用路由器实验VLAN间通信3 6.3.4 利用三层交换机实验VLAN间通信6.4 VLAN的配置2022-5-34 1. 什么是虚拟局域网（什么是虚拟局

2、域网（VLAN） VLANVLAN是建立在局域网交换机或ATM交换机之上的，它以软件方式来实现逻辑工作组的划分和管理，逻辑工作组的结点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接在同一个物理网段上，它们可以连接在同一个局域网交换机上，也可以连接在不同的局域网交换机上，只要这些交换机是互连的。当一个结点从一个逻辑工作组转移到另一个逻辑工作组时，只要通过软件设定，而不需要改变它在网络中的物理位置。同一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。VLANVLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个网段，从而实现虚拟工

3、作组的新兴数据交换技术。 6.1.1 虚拟局域网的概念虚拟局域网的概念2022-5-35虚拟局域网技术 1234交换机交换机广播帧广播帧广播域广播域广播帧广播帧广播域广播域交换机收到广播帧后,只转发到属于同一VLAN的其它端口2022-5-36以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 2022-5-37以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN

4、2和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。2022-5-38以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 B1 发送数据时，工作站 A1, A2 和 C1都不会收到 B1 发出的广播信息。 2022-5-39以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构

5、成 虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。 2022-5-3106.1.2 1.基于网络性能的考虑 传统的共享的以太网中所有用户共同处于一个广播域 解决冲突域、广播域、带宽的问题2022-5-3116.1.2 2.基于安全的因素限制不同工作组间的用户二层之间的互访基于组织结构的考虑3.将物理LAN逻辑地划分为不同的广播域，每个VLAN有着相同的需求。突破物理地理范围的限制2022-5-312 6.1.3 v基于端口的VLAN（Port-Based）v基于协议的VLAN（Protocol-Based）v基于MAC层分组的VLAN

6、（MAC-Layer Grouping）v基于网络层分组的VLAN（Network-Layer Grouping）v基于IP组播分组的VLAN（IP Multicast Grouping）v基于策略的VLAN（Policy-Based）2022-5-313基于端口的VLAN v基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法。它是交换机的若干个端口（可以连续也可以不连续）的集合，按交换机的端口来划分，管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。 v属于一个VLAN的端口可以连续也可以不连续，可以在同一个交换机上，也可以跨越多个交换机。v这种方法的优点在于只需定义端口，非

7、常灵活、简单方便。缺点在于连接到某VLAN上的用户离开原来的端口，到了一个新的交换机的端口，就要重新定义其所属的VLAN。 2022-5-314基于端口的VLAN 2022-5-315基于协议的VLAN v基于协议的VLAN是通过区分承载的数据所采用的三层协议的不同来确定VLAN的成员，然而这需要工作在一个多类型协议的环境下，在一个主要以IP为基础的网络上，这种方法不是特别有用。2022-5-316基于MAC层分组的VLAN v这类VLAN是依据连接在交换机端口上的工作站和服务器的MAC地址来进行划分的。网络管理员需要管理MAC地址，当用户发生物理位置移动时，即从一个交换机换到另一台交换机时，

8、VLAN不用重新配置。但初始化时，需要配置所有的MAC地址，如果有几百个甚至上千个用户的话，工作量是非常巨大的。而且这种划分的方法也导致了交换机运行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。2022-5-317基于网络层划分VLANv根据每个主机的网络层地址或协议类型来进行划分的。虽然这种划分方法是依据网络地址（如IP地址），但这不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以没有RIP、OSPF等路由协议，而是根据生成树算法进行桥交换。v优点:如果用户的物理位置变化了，不需要重新配置所属的VLAN，而且

9、可以根据协议类型来划分VLAN，这对于网络管理者来说很重要。另外，不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。v缺点:效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。2022-5-318根据IP组播划分VLAN vIP组播实际上也是一种VLAN，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此有更大的灵活性，而且也很容易通过路由器进行扩展，但由于效率不高，不适用于局域网。2022-5-319基于策略的VLAN v它是一种比较灵活有效的VLAN划分方法，该方法的核心是采用什么样的策略。常用的策略有：按MAC地址、按IP地址、按以太网的协

10、议类型、按网络应用等。2022-5-320VLAN的优越性 1可以有效地控制网络的广播风暴2增加网络的安全性3简化网络管理，提高网络灵活性2022-5-3216.2 VLAN的汇聚连接与封装协议6.2.1 VLAN的汇聚连接 1.跨多台交换机实现VLAN 2.跨交换机实现VLAN内主机间通信 3.利用Trunk Link实现跨交换机VLAN内 主机通信 2022-5-3221.跨多台交换机实现VLAN 2022-5-3232. 跨交换机实现VLAN内主机间通信 v解决的办法就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。v缺点:效率低,对

11、交换机端口的大量占用 2022-5-3243.利用Trunk Link实现跨交换机VLAN 内主机通信 v交换机间的互连链路汇集到一条链路上，让该链路允许各个VLAN的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链路或主干链路（Trunk Link)。v用于提供汇聚链路的端口，称为汇聚端口。 2022-5-3256.2 VLAN的汇聚连接与封装协议6.2.2 VLAN的封装协议 1. IEEE 802.1Q产生 2. IEEE 802.1Q 3. IEEE 802.1Q工作原理2022-5-3261.Tag VLAN封装协议IEE

12、E 802.1Q v1996年3月，IEEE 802.1 Internet Working委员会制定出802.1Q VLAN标准。vIEEE 802.1Q的帧在原来的以太网帧的基础上增加了4个字节的Tag信息，其中包括2个字节的TPID（Tag Protocol Identifier）和2个字节的TCI（Tag Control Information）。vTPID是一个固定值：0X8100，而TCI中又包含3位的优先级，一位的CFI（Canonical Format Indicator）,其默认值为0，其余的12位作为VID（VLAN Identifier）。 2022-5-3272. IEE

13、E 802.1Q目的MAC源MAC长度DATAFCS目的MAC源MAC长度DATAFCSVPIDVCL0X8100 2B优先级 3bitCFI 1bitVID 12bits4Bytes2022-5-3283. IEEE 802.1Q工作原理A AB BDES SRCDES SRC2022-5-3296.3 VLAN间主机的通信 6.3.1 利用路由器实验VLAN间通信1 6.3.2 利用路由器实验VLAN间通信2 6.3.3 利用路由器实验VLAN间通信3 6.3.4 利用三层交换机实验VLAN间通信2022-5-3301.利用路由器实现VLAN间通信1 当每个交换机上只一个VLAN时，路由器

14、和交换机的接线方式，如图4-7所示，每个交换机中留出一个端口用作与路由器的相应接口连接。2022-5-3312.利用路由器实现VLAN间通信2将路由器与交换机上的每个VLAN分别连接。实现的方法即把路由器和交换机以VLAN为单位分别用网线连接。将交换机上用于和路由器互连的每个端口设为Access模式，然后分别用网线与路由器上的独立端口互连。2022-5-3323.利用路由器实现VLAN间通信3不论VLAN有多少个，路由器与交换机都只用一条网线连接.此时路由器的快速以太网端口与交换机的快速以太网端口，应以汇聚链路的方式相连，并在路由器的快速以太网接口上，为每一个VLAN创建一个对应的虚拟子接口（

15、SVI），并设置虚拟子接口的IP地址，该IP地址以后就成为该VLAN的默认网关。2022-5-3334.利用三层交换机实现VLAN间通信 2022-5-334 6.4 VLAN的配置v配置VLAN大致有以下几个步骤:1.VLAN配置分析规划，解决配置什么的问题。2.VLAN的具体配置，实现在交换机上配置VLAN。3.VLAN配置信息的查看、修改，确保配置合理正确。4.VLAN配置信息的保存。2022-5-335VLAN的默认配置 参 数默 认 值范 围VLAN ID114094VLAN nameVLAN x其中x是VLAN Name，无范围VLAN stateactiveactive、inac

16、tiveVLAN是以VLANID来标识的，遵循IEEE 802.1Q标准，最多支持250个VLAN（VLAN ID范围是14094）。在交换机上可以添加、删除、修改VLAN 2VLAN 4094，而VLAN 1则是由交换机自动创建，并且不可被删除。 2022-5-336VLAN端口vVLAN端口类型有两种：Access端口和Trunk端口。v一个Access端口只能属于一个VLAN，并且是通过手工设置指定VLAN的。交换机上的所有端口默认都是Access端口，属于VLAN1。v一个Trunk端口，在默认情况下是属于本交换机所有VLAN的，它能够转发所有VLAN的帧，但是可以通过设置许可VLAN

17、列表（allowed-VLANs）来加以限制。2022-5-337创建VLAN v创建VLAN是在全局模式下进行 vvlan vlan-id v其中vlan-id代表要创建的VLAN号。v默认情况下，交换机会自动创建和管理VLAN 1，所有交换机端口默认均属于VLAN 1，用户不能删除该VLAN。用户可创建的VLAN的ID范围是24094，但最多只能建立250个VLAN。如果输入的是一个新的VLAN ID，则交换机会创建一个VLAN，并进入到VLAN配置模式，如果输入的是已经存在的VLAN ID，则进入到vlan配置模式修改相应的VLAN配置。 2022-5-338命名VLAN v为区分不同的

18、VLAN，应对VLAN取一个名字。vVLAN的名字默认为“VLAN+用0开头的4位VLAN ID号”。比如，VLAN 0004就是VLAN 4的默认名字。给VLAN命名的配置命令为：vname vlan-namev其中，vlan-name为VLAN的名字。v此命令在vlan模式下运行，如果想把VLAN的名字改回默认，输入no命令即可。2022-5-339删除VLANv删除已经创建的VLAN，使用的配置命令为：vno vlan vlan-idv其中，vlan-id是要删除的VLAN，VLAN删除后，原来属于该VLAN的交换机端口将仍然属于该VLAN，不会自动划归到VLAN 1。由于所属的VLAN

19、已被删除，此时这些端口将处于非活动状态，在查看VLAN时看不到这些端口。因此，在删除VLAN之前，最好先将属于该VLAN的端口划归到VLAN 1，然后再删除该VLAN。vVLAN 1是系统默认的，不能由用户删除。2022-5-340向VLAN分配Access端口 v在接口模式下可利用如下命令将选中的端口划分到一个已经创建的VLAN中。如果把一个接口分配给一个不存在的VLAN，那么这个VLAN将自动被创建。vswitchport access vlan vlan-idv其中，vlan-id是VLAN的ID号，表示将端口划入哪一个VLAN。可见,建立一个VLAN既可以在全局模式下建立,也可以在接口

20、模式下建立.2022-5-341显示VLAN信息 v在特权模式下，才可以查看VLAN的信息。v显示的信息包括vlan-id、VLAN状态、VLAN成员端口以及 VLAN 配置信息。显示命令为：vShow vlan vlan-idvvlan-id是可选项，如果有此项则显示某一VLAN的信息，如果没此项则显示所有已建立的VLAN的信息。2022-5-342显示接口状态信息 v在特权模式下，还可以使用如下命令来显示与VLAN配置有关的接口配置是否正确。vshow interfaces interface-id switchport 2022-5-343【例4-1】v在S2126上建立一个VLAN10

21、0，并将它命名为test。将15号口、8号口划分到VLAN100中，划分完毕后显示VLAN及接口信息。vSwitch# configure terminalvSwitch(config)#vlan 100vSwitch(config-vlan)# name vtestSwitch(config-vlan)#endvSwitch#show vlanVLAN Name Status Ports- - -1 default active Fa0/1 ,Fa0/2 ,Fa0/3 Fa0/4 ,Fa0/5 ,Fa0/6 Fa0/7 ,Fa0/8 ,Fa0/9 Fa0/10,Fa0/11,Fa0/12 F

22、a0/13,Fa0/14,Fa0/15 Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24100 test active 2022-5-344vSwitch# configure terminalvSwitch(config)#interface range f 0/1-5vSwitch(config-if-range)#switchport mode accessvSwitch(config-if-range)# switchport access vlan 100vSwitch(config-if-range)#ex

23、itvSwitch(config)#interface f 0/8vSwitch(config-if)#switchport mode accessvSwitch(config-if)# switchport access vlan 100vSwitch(config-if)#end2022-5-345【例4-2】 v在S2126上删除在例4-1中已建立的VLAN 100。v在删除VLAN之前应先将此VLAN中的端口划回到VLAN 1，然后再删除。2022-5-346配置VLAN TrunkvTrunk可以在一条链路上传输多个VLAN的流量。Trunk采用802.1Q标准封装。使用switch

24、pot mode命令可以把一个普通的以太网端口在Access模式和Trunk模式之间切换。v将一个接口设置成为Access模式；switchpot mode access：v将一个接口设置成为Trunk模式。switchpot mode trunk：2022-5-347配置Native VLAN v所谓Native VLAN，就是指在这个接口上收发的UNTAG报文，都被认为是属于这个VLAN的。显然，这个接口的默认VLAN ID（即IEEE802.1Q中的PVID）就是Native VLAN的VLAN ID。同时，在Trunk上发送属于Native VLAN的帧，则必然采用UNTAG的方式。每

25、个Trunk口的默认Native VLAN是VLAN 1。配置Trunk链路时，要确认连接链路两端的Trunk口属于相同的Native VLAN。v在接口模式下，利用如下命令可以为一个Trunk口配置Nativc VLAN。vswitchport trunk native vlan vlan-id2022-5-348定义Trunk口的许可VLAN列表 vTrunk口默认可以传输本交换机支持的所有VLAN（14094）的流量。但是也可以通过设置Trunk口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。v在接口模式下，可以修改一个Trunk口的许可VLAN列表：vswitchport trunk allowed vlan all | add| remove| except vlan-listv（1）参数vlan-list可以是一个VLAN，也可以是一系列VLAN，以值小的VLAN ID开头，以值大的VLAN ID结尾，中间用“-”号连接，如10-20。v（2）all的含义是许可VLAN列表包含所有支持的VLAN。2022-5-349（3）add表示将指定VLAN列表加入许可VLAN列表。（4）remove表示将指定VLAN列表从许可VLAN列表中删除。（5）except表示将除列出的VLAN列表外的所有VLAN加入许可VLA