信息工程系陆玉阳

信息工程系陆玉阳,第10章虚拟局域网技术,第10章虚拟局域网技术,本章将学习VLAN的基本概念，中继(trunking)，VLAN成员关系，VLAN的识别，VLAN中继协议（VTP），VLAN之间的路由，通过实际操作使学生能熟练配置VLAN和VTP。教学要求：(1)熟悉VLAN的基本功能(2)能够熟练配置VLAN和VTP,章节内容,10.1VLAN基础10.2VLAN干道协议（VTP）10.3VLAN的识别10.4VLAN间的路由选择10.5实验10.6小结,vlan概述,VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。,VLAN的分类,基于端口划分的VLAN基于MAC地址划分VLAN基于网络层划分VLAN根据IP组播划分VLAN,VLAN的优点,安全性广播控制延迟VLAN的灵活性和可扩展性,分段灵活性安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN=一个广播域=逻辑网段(子网),VLAN综述,交换机A,交换机B,每个逻辑的VLAN就象一个独立的物理桥同一个VLAN可以跨越多个交换机,VLAN运作,绿色VLAN,黑色VLAN,红色VLAN,绿色VLAN,黑色VLAN,红色VLAN,交换机A,交换机B,主干连接,每个逻辑的VLAN就象一个独立的物理桥同一个VLAN可以跨越多个交换机主干功能支持多个VLAN的数据,快速以太网,VLAN运作,绿色VLAN,黑色VLAN,红色VLAN,绿色VLAN,黑色VLAN,红色VLAN,VLAN特点,一个VLAN中所有设备都是在同一广播域内；广播不能跨越VLAN传播。一个VLAN为一个逻辑子网；由被配置为此VLAN成员的设备组成；不同VLAN通过路由器实现相互通信。VLAN中成员多基于Switch端口号码，划分VLAN就是对Switch接口划分。VLAN工作于OSI参考模型的第二层。,VLAN的配置,VLAN的配置实际上十分容易，可采用“vlanvlanname”命令来配置，当创建了VLAN后，可以采用“showvlan”命令来查看它们。VLAN创建好以后，必须将交换机上的端口配置到VLAN中，但一次只能配置一个VLAN端口。命令格式为“switchportaccessvlanvlanname”。如果要将创建好的VLAN删除，命令格式为：“novlanvlanname”。,启用VTP(可选)启用主干功能创建VLAN将端口加入VLAN,VLAN配置的步骤,在全局配置模式下创建VLAN,switch(config)#vlan300switch(config-vlan)#nametestswitch(config-vlan)#intgig2/1switch(config-if)#switchportaccessvlan300switch(config-if)#endswitch#showvlanbriefVLANNameStatusPorts-1defaultactiveGi1/2,Gi3/1300testactiveGi1/1,Gi2/1500manageractiveGi2/41,在特权模式下配置vlan,switch#vlandatabaseswitch(vlan)#vlan200nametest2VLAN200added:Name:test2switch(vlan)#novlan200,vlan干道协议（VTP）,VTP域VTP被组织成管理域。一台交换机除了和域中的其它的交换机共享VLAN信息外，它只能属于一个VTP域，不同域中交换机不能共享VLAN信息。VTP域中的交换机不停地向域内的邻居通告信息。当网络中的VLAN信息发生变化时，通过VTP通告向其它的交换机这个变化，这样域内所有的交换机都能知道这个变化,VTP模式,服务器模式(servermode)客户机模式(clientmode)透明模式(transparentmode),VTP协议,一个能够宣告VLAN配置信息的信息系统通过一个共有的管理域，维持VLAN配置信息的一致性VTP只能在主干端口发送要宣告的信息支持混合的介质主干连接(快速以太网,FDDI,ATM),1.“新增一个vlan”,3.同步最新的vlan信息,2,VTP域“ICND”,18,VTP模式,服务器模式,客户模式,透明模式,发送/转发信息宣告同步不会存贮于NVRAM,创建vlan修改vlan删除vlan发送/转发信息宣告同步存贮于NVRAM,创建vlan修改vlan删除vlan转发信息宣告不同步存贮于NVRAM,VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生,1.新增VLAN2.版本3-版本4,服务器,客户,客户,4.版本3-版本45.同步新的VLAN信息,3,3,4.版本3-版本45.同步新的VLAN信息,VTP是如何工作的,20,VTP域名VTP模式(服务器/客户/透明)VTP服务器模式是缺省值VTP裁减VTP密码VTP捕取,VTP配置的内容,注意：当加入一新的交换机到一个已经存在的VTP域时，这个交换机会被以客户模式加入，以便防止该交换机宣告不正确的VLAN信息可以用命令deletevtp来复位VTP的版本号,VTP修剪（pruning）,VTP修剪是指可以通过配置来减少广播、组播和其它单播包的数量来提供一种方式来保留带宽。VTP修剪只将广播发送到真正需要该信息的中继线路上。在VTP服务器上启用修剪时，整个域上都启用了它。默认时，所有的交换机都禁用VTP修剪，VLAN2至1005是可以启用修剪的，但VLAN1是不能启用修剪，因为它是负责管理整个VLAN的。,通过阻止不必要数据的泛洪传送来增加可用的带宽例如:主机A发出广播，广播仅仅泛洪到已有端口被分配到红色VLAN的所有交换机,交换机4,交换机2,交换机6,交换机3,交换机1,端口2,被泛洪的数据在这些地方被阻止,红色VLAN,端口1,交换机5,A,B,VTP裁减,VTP版本,在VTP域中可以使用两种版本，即VTP版本1和VTP版本2。在VTP域中两种版本不能相互操作的，所以同一个域中所有的交换机必须配置相同的VTP版本。VTP版本1是交换机上默认协议。如果一台交换机能够启用VTP版本2，但是没有启用，这样该交换机能够和其它VTP版本1的交换机共存，但是一但该交换机启用了VTP版本2，那么会导致所有的交换机会自动启用VTP版本2。VTP的两个版本所支持的功能有所不同，VTP版本2比版本1提供了许多额外的功能,配置VTP,switch(config)#vtpdomainshdswitch(config)#vtpmodeserverSettingdevicetoVTPSERVERmodeswitch(config)#vtppasswordshdahSettingdeviceVLANdatabasepasswordtoshdahswitch(config)#vtpversion2switch(config)#vtppruningPruningswitchedon,25,确认VTP配置,switch#showvtpVTPversion:1Configurationrevision:4MaximumVLANssupportedlocally:1005NumberofexistingVLANs:6VTPdomainname:switchlabVTPpassword:VTPoperatingmode:TransparentVTPpruningmode:EnabledVTPtrapsgeneration:EnabledConfigurationlastmodifiedby:10.1.1.40at00-00-000000:00:00,switch#showvtp,VLAN的识别,访问链路（accesslinks）在访问链路中，接口仅属于一个VLAN的一部分。接入端口（accessport）是一个连接终端设备或者服务器的交换机接口。访问链路上的设备不能与VLAN外部的设备通信，除非数据包是被路由转发。,VLAN的识别,中继链路（trunklinks）：在多台互联的交换机的网络中使用VLAN时，需要在交换机之间使用VLAN中继技术。中继链路则负责在同一个点到点链路上同时传送多个VLAN的通信。Trunk是一条点到点的链路，连接两台交换机，一台交换机和一台路由器或者服务器（需要使用特殊的适配卡），它可以承载1到1005个VLAN。在trunking协议中，多个VLAN在一条链路上实现复用。中继也可以使单个端口同时成为多个VLAN的一部分。,VLAN的识别的方法,交换机间链路（ISL,Inter-SwitchLink）这是一种Cisco专用的封装协议，用于交换机之间的trunking。ISL在数据帧的前面添加了26字节的头部，这个帧头包含10位的VLANID。此外，在帧的末尾还添加了一个4字节的循环冗余校验（CRC）。在需要进行校验的以太网帧后面，都要添加CRC。当数据在交换机之间传递时负责保持VLAN信息的协议。这项技术提供了一种在一条高速骨干线路上传送多个网桥组（即VLAN）的方法。ISL只可以用于快速以太网和吉比特以太网。从CiscoIOS软件版本11.1开始，就支持ISL功能。,29,ISL标识,通过硬件(ASIC)实现ISL标识不会出现在工作站，客户端并不知道ISL的封装信息在交换机或路由器与交换机之间，在交换机与具有ISL网卡的服务器之间可以实现,ISL的主干功能使得VLAN信息可以穿越主干线,进入主干线前加上VLAN标识,离开主干线后去掉VLAN标识,ISL支持VLAN的标识,30,ISL封装,ISL头26bytes,以太帧数据,CRC4bytes,用ISL头与CRC进行帧封装可以支持多个VLAN(1024)VLAN号BPDU控制位,DA,Type,User,SA,LEN,AAAA03,HSA,VLAN,BPDU,BPDU,INDEX,RES,VLAN的识别的方法,IEEE802.1Q标准的正式名称是虚拟桥接局域网标准（StandardforVirualBridgedLocal-AreaNetworks）。帧头内插入VLAN标识来标明VLAN这项标准支持在一个网段上传送多个VLAN。802.1Q委员会定义这种VLAN复用方法的目的是为了支持多厂商的VLAN。当你使用不同品牌的交换机之间进行中继时，必须要使用802.1Q,ISL和802.1Q的比较,ISL和802.1Q都提供中继功能。它们使用的报头不同，只有ISL对以太网帧进行封装，802.1Q并不封装以太网帧，而是在以太网帧中间添加一个4字节的报头。该报头包含一个用于标识VLAN号的字段。它们都使用了12位的VLANID字段，它们支持的VLAN数也相同。ISL和802.1Q都支持每个VLAN一个生成树实例。两者的差别是：802.1Q不支持多个生成树。,33,设置主干功能,switch#confterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Zswitch(config)#interfacef0/26switch(config-if)#trunkon,首先打开端口的主干功能(端口A),On=打开主干功能并与对方协商执行Off=关闭主干功能并与对方协商执行Desirable=与对方协商执行如果对方设为on、desirable或auto则打开主干功能Auto=只有对方设为on或desirable时才打开主干功能Non-negotiate=打开主干功能并不再与对方协商执行,trunkon|off|desirable|auto|nonegotiate,switch(config-if)#,显示交换机端口中继线状况,switch#showintgig3/2trunkPortModeEncapsulationStatusNativevlanGi3/2on802.1qtrunking1PortVlansallowedontrunkGi3/21-4094PortVlansallowedandactiveinmanagementdomain,在交换机端口限制允许的vlan,switch(config)#intgig3/2switch(config-if)#switchporttrunkallowedvlanremove801switch(config-if)#endswitch#showintgig3/2switchportName:Gi3/2Switchport:EnabledAdministrativeMode:trunkOperationalMode:trunkAdministrativeTrunkingEncapsulation:dot1qOperationalTrunkingEncapsulation:dot1q,将接入端口变为Trunk端口,switch(config)#intgig2/1switch(config-if)#switchportmodedynamicautoswitch(config-if)#endswitch#showintgig2/1switchportName:Gi2/1Switchport:EnabledAdministrativeMode:dynamicautoOperationalMode:dynamicautoAdministrativeTrunkingEncapsulation:negotiateNegotiationofTrunking:On,将Trunk端口变为接入端口,switch(config)#intgig2/1switch(config-if)#switchportmodeaccessswitch(config-if)#endswitch#showintgig2/1switchportName:Gi2/1Switchport:EnabledAdministrativeMode:staticaccessOperationalMode:staticaccess,vlan间的路由选择,外部路由器内部路由器另一种采用的方式为集成了路由处理器的多层交换机。这种情况下，路由处理器位于交换机机箱的某块线路卡上或交换引擎的模块上。交换机的背板提供了交换引擎和路由处理器之间的通信路径。,配置vlan间的路由选择,第二层接口的配置switch(config)#intgig2/1switch(config-if)#switchportswitchport命令是设置第二层模式的端口命令,第三层接口的配置,当被分配了第三层网络地址并且可以路由选择时，交换机端口就可以在第三层接口上进行工作。switch(config-if)#intgig2/1switch(config-if)#noswitchportswitch(config-if)#ipaddress192.168.1910.221255.255.255.0,Vlan三层功能的配置,在使用多层交换机的时候，也可以对交换机上的vlan使用第三层功能。Vlan的端口配置是一种虚拟的接口，并没有物理的连接。如下所示：switch(config-vlan)#interfacevlan999switch(config-if)#ipaddress192.168.220.254255.255.255.0switch(config-if)#noshutdownvlan必须在交换机上定义并激活，可使用noshutdown命令来激活,验证vlan间的路由选择,验证第二层、第三层端口的配置，可采用以下命令switch#showintgig2/1switchportName:Gi2/1Switchport:Disabled验证vlan端口的配置，可采用以下命令switch#showintvlan999Vlan999isup,lineprotocolisupHa