实施 VLAN 和VLAN间路由

1、实施 VLAN 和VLAN间路由,设计欠佳的网络中存在的问题,极大的故障域 较大的广播域 大量的未知 MAC 单播流量 极大的组播流量 管理上的挑战 可能存在安全漏洞,VLAN 概述,一个VLAN = 一个广播域 = 逻辑网络（子网）,分段灵活 提高安全性 提高性能 （隔离广播域）,应用 IP 地址空间的指导原则,为每个 VLAN 分配一个 IP 子网。 在连续的地址块内分配 IP 地址空间。,End-To-End VLAN(端到端VLAN),分段灵活 流量不合理 故障难定位,Local VLAN（本地VLAN）,Local VLAN是指将同一个机架的交换机划分成同一个VLAN，这样划分就便于

2、故障分析定位，同时可以减轻汇聚层交换机的负担。,本地VLAN的优点,VLAN 划分方式,VLAN管理策略服务器（VMPS）上存有VLAN与MAC地址表映 射关系的文本文件,VLAN Access 端口,连接终端设备 一个access端口划分到一个VLAN中，它只能属于一个VLAN 一个access端口接收和发送的数据为标准Ethernet II数据帧， 不能携带802.1Q的tag,802.1Q 帧,标记（tag）位占4个字节：2个字节用来标识以太网类型， 3bit:标识优先级（PRI），1bit:令牌环封装标志（CFI=1） 12bit:VLAN-ID 0,4095：保留，仅限系统使用。用户

3、不能查看。 1：CISCO默认VLAN，不能删除。21001：用于以太网的VLAN，用户可自己创建的VLAN10021005：用于FDDI和令牌环的默认VLAN，不能删除。10061024：保留，仅限系统使用。用户不能查看。10254094：仅用于以太网的VLAN. 扩展的VLAN，只有3550以上的交换机才能配， 且必须将VTP模式设为透明模式。,VLAN Access 端口,接收： （1）若数据帧无tag：则根据端口所属的VLAN，添加tag （2）若数据帧有tag：丢弃 发送（从交换机内部往外发送）： （1）若数据帧无tag：不可能出现 （2）若数据帧有tag：去除tag后，再发送,VL

4、AN Trunk 端口,通常用于交换机之间或交换机与路由器之间的互连 一个Trunk端口并不属于任何一个VLAN，类似一个公共通道，它允许多个VLAN通过 一个Trunk端口接收和发送的数据，可以携带802.1Q的tag 发送： （1）若数据帧无tag：不可能出现 （2）若数据帧有tag：若该数据帧所属的VLAN等于该trunk端口的 native VLAN，则删除tag后发送；否则，保留Tag发送。 接收： （1）若数据帧无tag：则根据该Trunk端口的nativeVLAN，添加tag （2）若数据帧有tag：保留该Tag,802.1Q 中继,802.1Q Native VLAN(本征 V

5、LAN),注:(1)中继链路两端 802.1Q 中继的本征 VLAN 要相同。 (2)本征 VLAN 帧是无标记帧。,注:(1)中继链路两端 802.1Q 中继的本征 VLAN 要相同。 (2)本征 VLAN 帧是无标记帧。,添加 VLAN,SwitchX# configure terminal SwitchX(config)# vlan 2 SwitchX(config-vlan)# name switchlab99,全局模式,Vlan Database 模式,分配交换机端口到 VLAN,SwitchX# configure terminal SwitchX(config)# interfa

6、ce range fastethernet 0/2 - 4 SwitchX(config-if)# switchport access vlan 2 SwitchX# show vlan VLAN Name Status Ports - - - - 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4,switchport access vlan vlan_id,SwitchX(config-if)#,常用show 命令,（1）show interface :查看第一层，第二层的工作状态，查看该接口的报文收发统计信息。

7、（2）show ip interface:查看第三层IP的相关信息 （3）show interface interface switchport 查看交换端口属性 （4）show interface interface trunk 查看交换机上的trunk端口,VLAN操作,封装方式,ISL(Inter-Switch Link):思科私有 若采用ISL封装，所有VLAN数据经过Trunk链路时，均需要进行ISL封装，不存在Native Vlan的概念。 802.1Q:IEEE 标准 （1）在交换机内部进行数据帧处理时，所有VLAN的数据均加Tag （2）存在Native VLAN,ISL与80

8、2.1Q的比较,ISL封装,ISL封装（续）,802.1Q 中继,Trunk 配置命令,静态配置 switch trunk encapsulation dot1q switch mode trunk 通过DTP(Dynamic Trunking Protocol)协议进行动态协商 switch mode dynamic desirable switch mode dynamic auto,配置交换机端口模式,关闭DTP协商：switchport nonegotiate(接口模式),配置工作方式,switchport mode access| trunk | dynamic auto | dyn

9、amic desirable,SwitchX(config-if)#,配置端口的中继特征,配置trunk工作方式,将端口配置为 VLAN 中继,SwitchX(config-if)#,switchport mode trunk,设置trunk端口的封装方式,SwitchX(config-if)#,Switchport trunk encapsulation dot1q | isl |negotiate,设置trunk端口的native vlan,缺省时为1,SwitchX(config-if)#,Switchport trunk native vlan vlan_id,设置trunk端口允许哪

10、些VLAN通过,SwitchX(config-if)#,Switchport trunk allowed vlanword |add |all |excep | none| remove,SwitchX# show vlan id 2 VLAN Name Status Ports - - - - 2 switchlab99 active Fa0/2, Fa0/12 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 - - - - - - - - - - - 2 enet 100002 1500 - - -

11、- - 0 0 . . . SwitchX#,检验 VLAN,SwitchX# show vlan brief | id vlan-id | name vlan-name,SwitchX# show vlan brief VLAN Name Status Ports - - - - 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4 3 vlan3 active 4 vlan4 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup VL

12、AN Name Status Ports - - - - 1004 fddinet-default act/unsup 1005 trnet-default act/unsup,SwitchX# show vlan brief,检验 VLAN,SwitchX# show interfaces fa0/11 switchport Name:Fa0/11 Switchport:Enabled Administrative Mode:trunk Operational Mode:down Administrative Trunking Encapsulation:dot1q Negotiation

13、of Trunking:On Access Mode VLAN:1 (default) Trunking Native Mode VLAN:1 (default) . . .,SwitchX# show interfaces fa0/11 trunk Port Mode Encapsulation Status Native vlan Fa0/11 desirable 802.1q trunking 1 Port Vlans allowed on trunk Fa0/11 1-4094 Port Vlans allowed and active in management domain Fa0

14、/11 1-13,检验中继,SwitchX# show interfaces interface switchport | trunk,如何配置中继链路（Trunking）,802.1Q 中继配置,VLAN间的路由连接方法,1、将路由器与交换机上的每个VLAN分别连接 将交换机上用于和路由器互联的每个端口设为access端口，然后分别用网线与路由器上的独立端口互联。如下图所示，交换机上有2个VLAN，那么就需要在交换机上预留2个端口用于与路由器互联；路由器上同样需要有2个端口；两者之间用2条网线分别连接。,该种连接方法的缺点： 如果采用这个办法，大家应该不难想象它的扩展性很成问题。每增加一个新

15、的VLAN，都需要消耗路由器的端口和交换机上的访问链接端口，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。,VLAN间的路由连接方法,2、不论VLAN有多少个，路由器与交换机都只用一条网线连接 首先将用于连接路由器的交换机端口设为trunk端口，而路由器上的端口也必须支持trunk链路。接着在路由器上定义对应各个VLAN的“子接口（Sub Interface）”。尽管实际与交换机连接的物理端口只有

16、一个，但在理论上我们可以把它分割为多个虚拟端口。VLAN将交换机从逻辑上分割成了多台，因而用于VLAN间路由的路由器，也必须拥有分别对应各个VLAN的虚拟接口。,VLAN间的路由连接方法,该连接方法的缺点： 进行VLAN间通信时，即使通信双方都连接在同一台交换机上，也必须经过：发送方交换机路由器交换机接收方 这样一个流程。 如果使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，流量会集中到路由器和交换机互联的trunk链路部分，这一部分尤其特别容易成为整个网络的速度瓶颈。,VLAN间的路由连接方法,三层交换机（Layer 3 Switch）,为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是“带有路由功能的（二层）交换机”。路由属于OSI参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。 关于三层交换机的内部结构，可以参照下面的简图。,三层交换