交换机VLAN配置

1、第二章第二章 交换机交换机VLAN配置配置2.1 交换机交换机VLAN技术技术n以太网交换技术的一个主要方面是以太网交换技术的一个主要方面是VLAN；nVLAN将局域网内的设备将局域网内的设备逻辑地逻辑地（而不是物理地）（而不是物理地）划分成一个个网段；划分成一个个网段；nVLAN标准：标准：IEEE802.1Qn物理上连通的机器可以通过物理上连通的机器可以通过VLAN的设置进行信的设置进行信息的隔离，属于同一个息的隔离，属于同一个VLAN的机器可以连通，的机器可以连通，不同不同VLAN的机器不能连通；的机器不能连通；nVLAN内部的广播和单播流量不会被转发到其他内部的广播和单播流量不会被转发

2、到其他VLAN中，有助于控制网络流量，简化网络管理，中，有助于控制网络流量，简化网络管理，提高网络安全性。提高网络安全性。nVLAN的主要目的是划分的主要目的是划分广播域广播域。VLAN的帧格式的帧格式标准以太网帧标准以太网帧带有带有IEEE802.1Q标记的以太网帧标记的以太网帧VLAN的划分方法的划分方法n基于端口的划分：基于端口的划分：某些端口连接的主机在一个广播域内，而另一些某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一个广播域。端口连接的主机在另一个广播域。是目前使用最是目前使用最广泛的方法，几乎所有交换机都支持。广泛的方法，几乎所有交换机都支持。n基于基于MAC地址

3、的划分地址的划分：根据连接在交换机上主机的根据连接在交换机上主机的MAC地址来划分广播地址来划分广播域，和他所连的端口和域，和他所连的端口和IP地址等都无关。地址等都无关。n基于协议的划分：基于协议的划分：根据网络主机所使用的网络协议来划分广播域。根据网络主机所使用的网络协议来划分广播域。n基于子网的划分：基于子网的划分：根据网络主机所用的根据网络主机所用的IP地址所在的网络子网来划地址所在的网络子网来划分广播域。分广播域。VLAN 基本配置基本配置n创建创建VLAN vlan vlan_idn删除删除VLANundo vlan vlan_id to vlan_id |all n向向VLAN中

4、添加一个或一组端口中添加一个或一组端口port interface_listn给给VLAN接口指定接口指定IP地址和子网掩码地址和子网掩码Quidwayinterface vlan-interface 1Quidway-vlan-interface 1ip address 192.168.1.23 255.255.255.0 交换机端口类型交换机端口类型n设置以太网端口的链路类型设置以太网端口的链路类型port link-type access|hybrid|trunkundo port link-typenaccess类型的端口只能属于一个类型的端口只能属于一个VLAN，一般用，一般用于连接

5、计算机的端口；于连接计算机的端口；ntrunk类型的端口可属于多个类型的端口可属于多个VLAN，一般用于交，一般用于交换机之间端口的连接；换机之间端口的连接；trunk端口只允许默认端口只允许默认VLAN的报文发送时不打标签；的报文发送时不打标签；nhybrid类型的端口可属于多个类型的端口可属于多个VLAN，可用于连，可用于连接交换机，也可连接接交换机，也可连接PC机；机；hybrid类型的端口可类型的端口可以允许多个以允许多个VLAN的报文发送时不打标签。的报文发送时不打标签。2.3 交换机交换机trunk类型端口类型端口n不同类型端口在加入不同类型端口在加入VLAN时的命令有所不同：时的

6、命令有所不同：nAccess端口属于一个端口属于一个VLAN；port access vlan vlan_idnHybrid端口可属于多个端口可属于多个VLAN；port hybrid vlan vlan_id_list tagged|untaggedport hybrid pvid vlan vlan_idnTrunk端口也可以属于多个端口也可以属于多个VLAN；port trunk permit vlan vlan_id_list|allport trunk pvid vlan vlan_idtrunk类型端口使用场合类型端口使用场合n欲将同一部门用户划到同一欲将同一部门用户划到同一VLA

7、N中，以隔离不中，以隔离不同的部门，但同一部门用户又分散在不同的接入同的部门，但同一部门用户又分散在不同的接入交换机上，这时要把交换机之间互联的端口设置交换机上，这时要把交换机之间互联的端口设置为为trunk属性，来传输多个属性，来传输多个VLAN的数据；的数据；n用户接入的二层设备与实现用户接入的二层设备与实现VLAN间通信的三层间通信的三层交换机之间互联的端口要设置成交换机之间互联的端口要设置成trunk属性；属性；n在需要对用户实现详细的认证和计费策略时，需在需要对用户实现详细的认证和计费策略时，需要将接入设备的出口设置为要将接入设备的出口设置为trunk属性；属性；Trunk端口使用注

8、意事项端口使用注意事项n几乎所有主机都不支持带标志域的以太网数据帧；几乎所有主机都不支持带标志域的以太网数据帧；n如果从如果从trunk转发出去的报文的转发出去的报文的VLAN ID 和端口和端口的的PVID一致，则该报文的一致，则该报文的VLAN信息会被剥去；信息会被剥去；n默认情况下默认情况下trunk端口的端口的PVID为为1，可用相应命令，可用相应命令修改；修改；n在一台以太网交换机上，在一台以太网交换机上，trunk端口和端口和hybid端口端口不能同时被设置；不能同时被设置；nTrunk端口的端口的PVID和相连的对端交换机的和相连的对端交换机的trunk端口的端口的PVID必须一

9、致。必须一致。用用Quidway S3026简单组网案例简单组网案例 目标：目标：nPCA和和PCC同属于一个同属于一个VLAN 2且能相互通信。且能相互通信。nPCB和和PCD同属于另一个同属于另一个VLAN 3且能相互通信。且能相互通信。n两台两台S3026用两根用两根100M网线通过网线通过Trunk链路互连，链路互连，并使用端口聚合功能增加链路带宽并使用端口聚合功能增加链路带宽trunkPCA:VLAN2PCD:VLAN3PCC:VLAN2PCB:VLAN3trunkLink AggregationSwitchASwitchB组网案例配置组网案例配置n配置配置VLAN：以以Switch

10、A为例，为例， SwitchB类似类似nSwitchAvlan 2nSwitchA-vlan2port ethernet 0/1nSwitchA-vlan2vlan 3nSwitchA-vlan3port ethernet 0/2n配置接口配置接口nSwitchA-Ethernet0/23speed 100nSwitchA-Ethernet0/23duplex fullnSwitchA-Ethernet0/23port link-type trunknSwitchA-Ethernet0/23port trunk permit vlan 2 to 3nSwitchA-Ethernet0/24sp

11、eed 100nSwitchA-Ethernet0/24duplex fullnSwitchA-Ethernet0/24port link-type trunknSwitchA-Ethernet0/24port trunk permit vlan 2 to 3n配置端口聚合配置端口聚合nSwitchAlink-aggregation ethernet 0/23 to ethernet 0/24 bothIsolate-user-vlan的的基本概念基本概念n交换机上存在一个或多个交换机上存在一个或多个primary vlan和多个和多个secondary vlan。n一个一个primary v

12、lan包含几个包含几个secondary vlan，对于上层，对于上层交换机只能见到交换机只能见到primary vlan。n一个一个primary vlan就是一个就是一个IP子网，即同一个子网，即同一个primary vlan中包含的所有中包含的所有secondary vlan处在同一个子网中，处在同一个子网中，节省了节省了vlan资源。资源。Isolate-user-vlan的配置的配置n配置配置primary VLANnVlan vlan-idnisolate-user-vlan enable nport port_numn配置配置secondary VLANnvlan vlan-id

13、nport port-numn设置设置primary VLAN和和secondary VLAN的映射关系的映射关系nIsolate-user-vlan primary_vlan_num secondary secondary_vlan_numlist Isolate-user-vlan的配置举例的配置举例Isolate-user-vlan的注意事项的注意事项n使用版本的注意点使用版本的注意点n配置映射关系前的注意点配置映射关系前的注意点nprimary vlan和和secondary vlan中必须已经包含了端口。中必须已经包含了端口。n建立映射关系后的注意点建立映射关系后的注意点n不可以向不

14、可以向primary VLAN和和secondary VLAN执行添加和删执行添加和删除端口的操作，也不可以执行删除除端口的操作，也不可以执行删除vlan的操作。的操作。n要重新建立映射关系必须先解除原有的映射关系。要重新建立映射关系必须先解除原有的映射关系。nprimary vlan中的端口类型中的端口类型nprimary vlan中的所有端口都不是中的所有端口都不是802.1Q的的trunk端口，端口，包括与其他包括与其他 交换机相连的交换机相连的uplink口。口。n每个每个port的的PVID就是它所属就是它所属secondary vlan的的ID。nuplink端口的端口的PVID是

15、是primary vlan的的ID。VLAN路由使用路由器路由使用路由器n不同不同VLAN之间的流量不能直接跨越之间的流量不能直接跨越VLAN的边界，的边界，需要使用路由，通过路由将报文从一个需要使用路由，通过路由将报文从一个VLAN转发转发到另外一个到另外一个VLAN。VLAN路由交换和路由的集成路由交换和路由的集成n二层交换机上和路由器在功能上的集成构成了二层交换机上和路由器在功能上的集成构成了三层交换三层交换机机，三层交换机在功能上实现了，三层交换机在功能上实现了VLAN的划分、的划分、VLAN内内部的二层交换和部的二层交换和VLAN间路由的功能。间路由的功能。三层交换机三层交换机n一个

16、具有三层交换功能的设备是一个带有第一个具有三层交换功能的设备是一个带有第3层层路由功能的第路由功能的第2层交换机；层交换机；n与路由器有关的第与路由器有关的第3层层路由硬件模块路由硬件模块插接在高速插接在高速背板总线上，可以与其他模块间高速交换数据；背板总线上，可以与其他模块间高速交换数据；n对于数据封包的转发这些有规律的过程通过硬件对于数据封包的转发这些有规律的过程通过硬件得以高速实现；得以高速实现；n对于第对于第3层路由，如路由信息的更新、路由表维层路由，如路由信息的更新、路由表维护、路由计算、路由的确定等功能用优化、高效护、路由计算、路由的确定等功能用优化、高效的软件实现；的软件实现；n

17、三层交换机实现三层交换机实现“一次路由，多次转发一次路由，多次转发”。级连和堆叠级连和堆叠n级连和堆叠是两种常用的增加端口密度的方法；级连和堆叠是两种常用的增加端口密度的方法；n级连网络中受收敛比、级连层数等因素的限制，给网级连网络中受收敛比、级连层数等因素的限制，给网络发展和管理带来了很大麻烦；络发展和管理带来了很大麻烦；n级连网络要为每个级连交换机分配一个级连网络要为每个级连交换机分配一个IP地址来管理地址来管理交换机，不仅浪费交换机，不仅浪费IP地址，管理也复杂；地址，管理也复杂；n堆叠技术是由一些堆叠口相连的交换机组成的一个管堆叠技术是由一些堆叠口相连的交换机组成的一个管理域，其中包括

18、一个主交换机和一个从交换机；理域，其中包括一个主交换机和一个从交换机；n堆叠在一起的以太网交换机可看作一个设备，用户通堆叠在一起的以太网交换机可看作一个设备，用户通过主交换机实现对堆叠内所有交换机的管理；过主交换机实现对堆叠内所有交换机的管理；n堆叠是一种非标准化技术，各厂商不支持混合堆叠。堆叠是一种非标准化技术，各厂商不支持混合堆叠。菊花链式堆叠菊花链式堆叠收收 发发同一个高速端口同一个高速端口PCAPCBB访问访问A的帧的帧A访问访问B的帧的帧星形堆叠星形堆叠MATRIXMEMBER第三章第三章 交换机交换机STP的配置的配置STP产生的原因路径回环产生的原因路径回环引入生成树协议引入生成

19、树协议(STP)n通过通过阻断阻断冗余链路来消除桥接网络中可能存在的路径回环；冗余链路来消除桥接网络中可能存在的路径回环；n当前活动路径发生故障时当前活动路径发生故障时激活激活冗余备份链路恢复网络连通性。冗余备份链路恢复网络连通性。生成树协议的基本原理生成树协议的基本原理n 基本思想：在网桥之间传递特殊的消息（基本思想：在网桥之间传递特殊的消息（配置消配置消息息），包含足够的信息做以下工作：），包含足够的信息做以下工作：n从网络中的所有网桥中，选出一个作为从网络中的所有网桥中，选出一个作为根网桥根网桥（RootRoot）；）；n计算本网桥到根网桥的最短路径；计算本网桥到根网桥的最短路径；n对每

20、个对每个LANLAN，选出离根桥最近的那个网桥作为，选出离根桥最近的那个网桥作为指定指定网桥网桥，负责所在，负责所在LANLAN上的数据转发；上的数据转发；n网桥选择一个网桥选择一个根端口根端口，该端口给出的路径是此网，该端口给出的路径是此网桥到根桥的最佳路径；桥到根桥的最佳路径；n选择除根端口之外的包含于生成树上的端口（指选择除根端口之外的包含于生成树上的端口（指定端口）；定端口）；配置消息的内容配置消息的内容n配置消息也被称作桥协议数据单元（配置消息也被称作桥协议数据单元（BPDU）n主要内容包括主要内容包括n根网桥的根网桥的Identifier（RootID）n从指定网桥到根网桥的最小路

21、径开销从指定网桥到根网桥的最小路径开销（RootPathCost）n指定网桥的指定网桥的Identifiern指定网桥的指定端口的指定网桥的指定端口的Identifiern即（即（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）配置消息的处理配置消息的处理n将各个端口收到的配置消息和自己的配置消息做比较，得出将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置消息更新本身的配置消息，主要工作有：优先级最高的配置消息更新本身的配置消息，主要工作有：n选择根网桥选择根网桥RootID：最优配置消息的：最优配置消息的Ro

22、otID；n计算到根桥的最短路径开销计算到根桥的最短路径开销RootPathCost：如果自己是：如果自己是根桥，则最短路径开销为根桥，则最短路径开销为0，否则为它所收到的最优配置，否则为它所收到的最优配置消息的消息的RootPathCost与收到该配置消息的端口开销之和与收到该配置消息的端口开销之和;n选择根端口选择根端口RootPort：如果自己是根桥，则根端口为：如果自己是根桥，则根端口为0，否则根端口为收到最优配置消息的那个端口否则根端口为收到最优配置消息的那个端口;n选择指定端口：包括在生成树上处于转发状态的其他端口选择指定端口：包括在生成树上处于转发状态的其他端口;n从指定端口发送

23、新的配置消息从指定端口发送新的配置消息端口的几种状态端口的几种状态生成树协议不足生成树协议不足n端口从阻塞状态进入转发状态必须经历两倍的端口从阻塞状态进入转发状态必须经历两倍的Forward Delay时间，所以网络拓扑结构改变之时间，所以网络拓扑结构改变之后需要至少两倍的后需要至少两倍的Forward Delay时间，才能恢时间，才能恢复连通性；复连通性；n如果网络中的拓朴结构变化频繁，网络会频繁的如果网络中的拓朴结构变化频繁，网络会频繁的失去连通性，这样用户就会无法忍受。失去连通性，这样用户就会无法忍受。快速生成树协议快速生成树协议(RSTP)n为根端口和指定端口设置了快速切换用的为根端口和指定端口设置了快速切换用的替换端替换端口口和和备份端口备份端口，当根端口，当根端口/指定端口失效时，替指定端口失效时，替换端口换端口/备份端口可以无时延地进入转发状态；备份端口可以无时延地进入转发状态；n在只连接了两个交换机的点对点链路中，指定端在只连接了两个交换机的点对点链路中，指定端口向下游网桥发送一个口向下游网桥发送一个握手请求握手请求报文，如果下游报文，如果下游网桥发送了一个同意报文，指定端口就可以无时网桥发