虚拟局域网(vlan).ppt

1、传统的组网方式,广播域的分离需要路由器 多个子网需要接入多个路由器的端口,使用VLAN的组网方式,每个VLAN为一个独立的广播域 子网间的互联仅需一个路由器的端口,1、分段 2、灵活性 3、安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),VLAN综述,交换机A,交换机B,主干连接,1、每个逻辑的VLAN就象一个独立的物理桥 2、同一个VLAN可以跨越多个交换机 3、主干功能支持多个VLAN的数据,快速以太网,VLAN运作,绿色 VLAN,黑色 VLAN,红色 VLAN,绿色 VLAN,黑色 VLAN,红色 VLAN,VLAN特点,

2、1：一个VLAN中所有设备都是在同一广播域内；广播不能跨 越VLAN传播。 2：一个VLAN为一个逻辑子网；由被配置为此VLAN成员的 设备组成；不同VLAN通过路由器或三层交换机实现相互通 信。 3：VLAN中成员多基于Switch端口号码，划分VLAN就是对 Switch接口划分。 4：VLAN工作于OSI参考模型的第二层。,6,VLAN的成员模式,VLAN5,静态VLAN,动态VLAN,MAC = 1111.1111.1111,主干连接,VLAN成员策略服务器 1111.1111.1111 = vlan 10,VLAN10,端口 e0/9,端口 e0/4,VLAN识别,如果交换机端口是访

3、问端口,那么它就只能属于某一个 VLAN,如果端口是中继端口,那么它就可以属于所有VLAN,可以将某个端口配置为访问端口或中继端口或者让动态中继协议(dynamic trunking,DTP)基于每端口操作,以设置交换机的端口模示. 访问端口只能属于某一个VLAN,它只能承载某一个VLAN的流量,对于访问链路可以将它称为(端口已配置好的VLAN)任何连接到访问链路的设备并不知道VLAN的成员关系,它只假定它是同一个广播域它并没有整体的概念,因此它根本不理解物理网络拓扑.但是访问端口可以防止VLan跳跃式攻击,它可以使端口不与对方自动协商. 中继端口:中继链路可以同时承载多个VLAN的信息,也可

4、以使单个端口同时成为多个不同VLAN的一部分.注:如连接一个服务器那服务器端口也要支持 Trunk,Trunk和Trunk port,1、主干 Trunk：VLAN 中交换机之间的链 路；用来承载多个VLAN的数据流。 2、主干端口 Trunk port：交换机上用来负责 转发多VLAN数据流的特殊端口。,VLAN如何操作,交换机依靠VLAN标签识别不同VLAN的流量 VLAN标签由交换机添加，对用户端透明 只有定义为主干的交换机间链路才能携带多个VLAN的数据帧 主干不属于任何VLAN,1、trunk端口添加VLAN标签,3、 trunk端口剥离VLAN标签,2、交换机间链路（trunk）传

5、输携带VLAN标签的帧,VLAN的标准,VLAN主干上的标记帧应遵循工业标准： IEEE 802.1Q （dot1q） ISL（Cisco专有）,Red,Red,RED VLAN,Blue,Green,Blue,Green,Green,Blue,Red,trunk,RED VLAN,ISL,ISL封装头字段 26 bytes,原始的数据帧,CRC校验 4 bytes,DA,Type,User,SA,LEN,AAAA03,HSA,VLAN,BPDU,BPDU,INDEX,RES,1个VLAN = 1个生成树域 封装整个数据帧，不改变帧结构 用ISL头与CRC进行帧封装 可以支持多个VLAN (1

6、024),802.1q,1、将标签插入数据帧，对数据帧过更改 2、可用于不同厂家交换机产品的互联,配置 802.1Q 中继,将端口配置为 VLAN 中继,SwitchX(config-if)#,switchport mode trunk,switchport mode access | dynamic auto | desirable | trunk,SwitchX(config-if)#,配置端口的中继特征,14,SwitchX# show interfaces fa0/11 switchport Name:Fa0/11 Switchport:Enabled Administrative M

7、ode:trunk Operational Mode:down Administrative Trunking Encapsulation:dot1q Negotiation of Trunking:On Access Mode VLAN:1 (default) Trunking Native Mode VLAN:1 (default) . . .,SwitchX# show interfaces fa0/11 trunk Port Mode Encapsulation Status Native vlan Fa0/11 desirable 802.1q trunking 1 Port Vla

8、ns allowed on trunk Fa0/11 1-4094 Port Vlans allowed and active in management domain Fa0/11 1-13,检验中继,SwitchX# show interfaces interface switchport | trunk,VLAN 创建的指导原则,VLAN 的最大数目取决于交换机。 大部分 Cisco Catalyst 桌面交换机都支持 128 个单独的生成树实例，每个 VLAN 一个生成树实例。 VLAN 1 是出厂默认的以太网 VLAN。 Cisco 发现协议和 VTP 通告将在 VLAN 1 上发送

9、。 Cisco Catalyst 交换机的 IP 地址位于管理 VLAN 中（默认为 VLAN 1）。 如果使用 VTP，交换机必须处于 VTP 服务器模式或透明模式才能添加或删除 VLAN。,配置VLAN,1、依照需求创建VLAN 2、基于端口划分VLAN成员 3、定义交换机间的主干（trunk）链路 4、检查配置结果 注意： 1、VLAN1为默认VLAN，无需创建，无法删除,但可以修改在一个网络内如一台设备的默认VLAN被修改那么这个网络内的所有交换设备的默认VLAN都要修改成一样的 2、多个交换机上有同一VLAN的成员，需在每台交换 机上创建该VLAN 3、交换机上创建的VLAN数可大于

10、端口数量,17,创建VLAN,Switch(config)#vlan 2 Switch(config-vlan)#name baobao2 Switch(config-vlan)#exit Switch(config)#interface fa 0/10 Switch(config-if)#switchport access vlan 2 Switch(config)#interface range fa 0/10 - 14 Switch(config-if-range)#switchport access vlan 2 Switch(config)#interface fa 0/2 Swit

11、ch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk native vlan 99 Switch(config-if)#switchport trunk allowed vlan 2 ,3-5 Switch(config-if)#switchport trunk allowed vlan remove 2 Switch#show vlan Switch#show vlan name baobao2

12、Switch#show interface trunk,18,SwitchX# show vlan brief VLAN Name Status Ports - - - - 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4 3 vlan3 active 4 vlan4 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup VLAN Name Status Ports - - - - 1004 fddinet-default act/u

13、nsup 1005 trnet-default act/unsup,SwitchX# show vlan brief,检验 VLAN 成员资格,19,检验 VLAN 成员资格（续）,SwitchX# show interfaces fa0/2 switchport Name:Fa0/2 Switchport:Enabled Administrative Mode:dynamic auto Operational Mode:static access Administrative Trunking Encapsulation:dot1q Operational Trunking Encapsul

14、ation:native Negotiation of Trunking:On Access Mode VLAN:2 (switchlab99) Trunking Native Mode VLAN:1 (default) - 省略部分输出 -,show interfaces interface switchport,Switch#,20,VLAN间的路由（单臂路由）,Router(config)#interface fa 0/0 Router(config-if)#no ip address Router(config-if)#no shutdown Router(config-subif)#

15、interface fa 0/0.1 Router(config-subif)#encapsulation dot1q 1 Router(config-subif)#ip add 192.168.1.254 255.255.255.0 Router(config-if)#interface fa 0/0.2 Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip add 192.168.2.254 255.255.255.0,实验： Vlan1的两个电脑用192.168.1.0段 Vlan2的两个电脑用192.168

16、.2.0段 vlan3的两个电脑用192.168.3.0段 练习一：不用trunk让 vlan1组通信、vlan2组通 信和vlan3组通信 练习二：使用trunk让 vlan1组通信、vlan2组通 信和vlan3组通信 练习三：只允许vlan2组通 信，其他组不允许 练习四：让vlan1组、 vlan2组和vlan3组互通,VTP协议(VLAN Trunking Protocol ),1、一个能够宣告VLAN配置信息的信息系统 2、通过一个共有的管理域，维持VLAN配置信息的一致性 3、VTP只能在主干端口发送要宣告的信息 4、支持混合的介质主干连接(快速以太网, FDDI, ATM),1

17、.“新增一个vlan”,3.同步最新的vlan信息,2,VTP 域 “ICND”,23,VTP模式,服务器模式,客户模式,透明模式,发送/转发 信息宣告 同步 不会存贮于NVRAM,创建vlan 修改vlan 删除vlan 发送/转发 信息宣告 同步 存贮于NVRAM,创建vlan 修改vlan 删除vlan 转发 信息宣告 不同步 存贮于NVRAM,VTP 运行,VTP 通告作为组播帧进行发送。 VTP 服务器和客户端将同步到最新的修订版。 VTP 通告每 5 分钟发送一次，或者当发生变更时发送。,1、通过阻止不必要数据的泛洪传送来增加可用的带宽 例如: 主机A发出广播，广播仅仅泛洪到已有端

18、口被分配到红色VLAN的所有交换机,VTP裁减,支持的最大VLAN数取决于交换机 Catalyst 1900系列交换最大支持64个VLAN，每个VLAN可以有其独立的生成树 VLAN1是出厂缺省设置的VLAN之一 CDP和VTP宣告被发送到VLAN1 Catalyst 1900系列交换机的IP地址作用于VLAN1的广播域中 只有在VTP的服务器或透明模式下才可以创建、增加或删除VLAN,VLAN配置的原则,27,Cisco Catalyst 交换机的默认 VTP 配置： VTP 域名：无 VTP 模式：服务器模式 VTP 修剪：启用或禁用（特定于型号） VTP 口令：空 VTP 版本：第 1

19、版 新交换机收到来自服务器的通告之后，可自动成为域的一部分。 如果客户端具有更高的修订版号，VTP 客户端将覆盖 VTP 服务器数据库。 域名分配了之后就无法删除；只能再重新分配。,VTP 配置的原则(续),28,1、VTP域名 2、VTP模式 (服务器/客户/透明)VTP服务器模式是缺省值 3、VTP裁减 4、VTP密码 5、VTP捕取,VTP 配置的内容,注意：当加入一新的交换机到一个已经存在的VTP域时，这个交换机会被以客户模式加入，以便防止该交换机宣告不正确的VLAN信息 可以用命令delete vtp来复位VTP的版本号,29,VTP配置,Router(config)#interfa

20、ce fa 0/0 Switch(config)#vtp mode server Switch(config)#vtp domain baobao Switch(config)#vtp password cisco Switch(config)#vtp version 2 Switch(config)#vtp pruning Switch#show vtp status Switch#show interface trunk,SwitchX(config)# vtp domain ICND Changing VTP domain name to ICND SwitchX(config)# vt

21、p mode transparent Setting device to VTP TRANSPARENT mode. SwitchX(config)# end SwitchX# show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 17 VTP Operating Mode :Transparent VTP Domain Name :ICND VTP Pruning Mode :Disabled VTP

22、V2 Mode :Disabled VTP Traps Generation :Disabled MD5 digest :0 x7D 0 x6E 0 x5E 0 x3D 0 xAF 0 xA0 0 x2F 0 xAA Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05 SwitchX#,VTP 配置和验证示例,实验： 了解VTP,交换机故障排除,故障排除的通用建议： 熟悉常规交换机操作。 拥有准确的网络物理图和逻辑图。 制定计划。 未检验某个组件确实在工作之前，请勿假设其正在工作。,端口连通性故障排除,VLAN 和中继故障排除,VTP 故障排除,VTP 排除故障（续）,如果 Catalyst 交换