Cisco局域网交换基础

1、本章包括下列主题：理解传统的局域网网段；虚拟局域网入门；链路聚集方法；VLAN链路聚集协议；配置VTP/VLAN/干道；VLAN修剪；EtherChannel；理解VLAN 1；专用VLAN。第4章第2层技术基础本章研究VLAN设计和实施过程中的诸多问题。在采用第3层通信协议（IP）之前，大部分应用都根据第2层协议进行通信。基于上述原因，用户需要共享相同第2层网络中的应用和信息。尽管仅支持第2层的设计存在潜在不足，但它们仍然在生产网络中得到广泛应用。此外，本章还将介绍第2层网络的某些负面影响，并且解释为什么应当改变这种结构。因为替换现有第2层网络需要消耗大量时间和人力，所以替换的难度非常大。在

2、很多情况下，替换现有第2层硬件设备的主要原因就是设备陈旧。如果希望从第2层网络进行迁移，那么所需要投入的潜在费用可能非常巨大。上述因素导致第2层网络仍然继续存在。4.1 老式局域网网段在VLAN环境中，虽然身处网络中的任何物理位置，但用户却可以属于某个用户组的一部分，用户组内的用户具有相同的要求，例如IP寻址和特定的网络权限。在老式网络中，如果希望某些主机具有类似的网络要求，那么它们就必须位于相同局域网网段中。另一方面，VLAN是一种逻辑概念，并且不受任何物理位置的限制。在老式网络中，用户连接到集线器，如果需要建立广域网连接（如图4-1所示），集线器需要再连接到某类网桥或路由器。为了能够在相同

3、网段容纳更多的用户，可能需要互连多个集线器。这类网络非常适用于那些大量用户都在相同网段内的部门。因为通常仅需要采用一种网络配置来支持该部门，所以网络工程师也可以轻松地实现这种网络。例如，部门在相同的第2层网段中包括本地文件服务器，并且大部分流量都属图4-1 连接路由器或网桥的多集线器环境于本地流量。通过级联多台集线器，将可以在相同网段中容纳更多的用户，但是会导致主机之间网络访问的争用现象。如果碰撞域越大，那么网络中的分组碰撞也就越多，导致重传和分组丢弃的情况也就越多。通过级联多台集线器，那么可能会超过IEEE 802.3布线标准的要求，进而产生延迟碰撞，由此也会导致分组丢弃。对于存在问题的网卡

4、，因为它会连续发送错误数据，并且不遵守第1章“局域网交换技术基础”所介绍的 CSMA/CD规则，所以这类网络中会出现严重的性能问题。4.2 虚拟局域网入门在老式网络中，如果希望用户属于相同的逻辑网段或具有相同的接入和访问权限，那么他们就必须受到物理位置的限制，伴随着VLAN的出现，这种局面得到改善。通过部署VLAN，能够增加网络的灵活性，如图4-2所示。值得注意的是，交换机3的一个端口被做出“X”图4-2 多建筑物网络环境标记。为了防止网络中出现环路（如本书第1章中“生成树基础”一节所讨论）的情况，生成树将使得该端口进入阻塞状态。在老式网络中，当主机移动到另外一个路由器端口的不同位置的时候，就

5、必须更改主机的IP地址。为了容纳该用户，也可能需要对网络进行调整。例如，路由器访问控制列表需要允许该用户访问部门服务器。在没有对网络或主机做出某种类型变更的条件下，如果希望在网络中改变用户的位置，那么将不容易实现。在支持VLAN的环境中，因为采用第2层的平面网络的基础结构，所以可能不需要做出任何变更。如果将图4-2中的主机1搬迁到建筑物B中，那么无需变更用户计算机或网络的配置。用户只需要将连接主机网卡的网线插到信息插座中即可。注意：需要记住的是，我们到目前为止所讨论的内容都严格限于第2层概念，多台交换机位于相同的VLAN中，并且采用1个生成树实例。在最初的时候，网络中采用VLAN技术得到广泛推

6、广。事实上，基于以下两方面原因，大多数学校都实施了VLAN技术：首先，VLAN是一种相对比较简单的技术；其次，当时的应用通信协议需要工作在相同的第2层网络中。网络工程师只需要采用较大的IP地址空间来配置VLAN。VLAN中包括安全和网络策略方面的改善。VLAN技术能够节省时间和费用。在采用VLAN技术不久之后，人们很快注意到与之关联的风险。如果将VLAN扩展到未知领域，那么将扩大广播域范围。例如，如果某台主机发送广播报文，那么无论建筑物和交换机的数目多少，VLAN中的所有机器都能够接收到该报文。上述过程就会导致网络中存在过多的流量。当网络中的主机发送错误广播报文的时候，VLAN中的所有主机都将

7、接收到该报文，并且再发送各自的广播，更严重的后果就是产生广播风暴。上述过程最终会导致第2层平面网络陷入瘫痪。当在交换网络中采用VLAN技术的时候，生成树也能够导致网络宕机。如果网络中流量过多，或者发生部分或完全硬件故障的情况，那么也可能导致生成树故障。在生成树故障的情况下，生成树将不能正确计算无环路拓扑，并且会产生网络环路。与透明网桥环境中的环路相类似，除非打破网络环路，否则流量将呈指数速度增加，并最终导致网络彻底瘫痪，而打破网络环路往往需要人工干涉。为了区分不同的VLAN，可以采用VLAN编号来标记。例如，对于属于VLAN 4的用户，他们位于相同的子网中，并且拥有相同的广播域，而VLAN 5

8、也拥有自己的用户和广播域。通常情况下，对于企业交换机，它所配置的VLAN数目不会超过30。根据所采用的链路聚集（trunking）机制，交换机所能配置的VLAN数目最大可达4096减去保留VLAN的数目。本章的“链路聚集方法”一节将深入讨论链路聚集的相关内容。表4-1列出交换机所能配置的VLAN的有效范围。Catalyst 5500交换机不支持1025-4096范围内的扩展VLAN。此外，所采用的链路聚集机制也可能限制可用VLAN数目。例如，ISL（Inter-Switch Link，交换机间链路）不支持扩展VLAN的范围。本章的“VLAN链路聚集协议”一节将深入讨论VTP的相关内容。表4-1

9、VLAN有效范围VLAN范围用途是否通过VTP传播（是/否）0和4095保留范围仅限系统使用，用户不能查看或使用这两个VLAN不适用1正常范围Cisco产品的默认VLAN范围。用户能够使用VLAN 1，但不能删除它是续表VLAN范围用途是否通过VTP传播（是/否）2-1000正常范围用于以太网的VLAN范围。用户能够创建、使用和删除这些VLAN是1001正常范围用户不能创建或删除VLAN 1001，将来可能会利用它是1002-1005保留范围Cisco为FDDI和令牌环提供的默认VLAN。Catalyst 6000家族交换机不支持VLAN 1002-1005。用户不能删除这些VLAN不适用10

10、06-1009保留范围Cisco默认VLAN范围。尽管目前尚未使用，但将来可以利用，在必要的情况下，非保留VLAN能够映射到这些保留VLAN不适用1010-1024保留范围用户不能查看或使用这些VLAN，但它们能够在必要的情况下映射到非保留VLAN不适用1025-4094扩展范围仅限于以太网使用的VLAN范围，用户可以创建、使用和删除这些VLAN，但下述情况除外：FlexWAN模块和路由端口自动分配VLAN 1025之后的一段范围。如果已经使用这些设备，那么就必须考虑需要分配的VLAN范围否4.3 链路聚集方法到目前为止，本章所介绍的多交换机环境示例中只包括1个VLAN。通常情况下，在实际工作

11、环境中，多交换机环境需要配置多个VLAN。图4-3所给出的交换网络包括2个VLAN。每个VLAN包括属于自己的STP拓扑、IP范围和网络要求条件等。图4-3 多交换机环境（2个VLAN）假设增加第三个VLAN，那么就要求交换机之间增加额外的物理链路。伴随着VLAN数目的增加，如果继续采用增加物理链路的方法来解决问题，那么效率将非常低，但采用链路聚集（trunking）机制则能够提供完美的解决方案。我们可以在如下三种环境中配置干道（trunk）：交换机之间；路由器和交换机之间；交换机和主机（例如服务器）之间。通过查看硬件的技术参数，将能够知道设备支持哪种类型的链路聚集功能。本节将主要关注Cisc

12、o交换机之间的链路聚集方法。干道可以在单条物理连接上复用多个VLAN。从基本概念角度出发，这种复用类似于微波利用多种频率传输多路电视信号。在这种类比关系中，每个VLAN类似于不同的电视台，它们共享相同的物理线路。在快速以太网、吉比特以太网和10吉比特以太网端口中，Cisco支持两种类型的干道：Cisco ISL（Inter-Switch Link，交换机间链路）和IEEE 802.1Q。通过利用DTP（Dynamic Trunking Protocol，动态链路聚集协议），端口能够协商采用哪种链路聚集方法。首先，如果两台交换机都支持ISL，那么DTPS将尝试形成ISL干道；如果两台交换机不都支

13、持ISL，那么DTP将尝试形成IEEE 802.1Q干道。DTP采用一个SNAP协议类型为0x2004的组播MAC地址01-00-0C-CC-CC-CC。DTP每间隔1秒发送报文，在干道形成之后，将每间隔30秒发送报文。对于正在进行干道协商的端口，除非协商完成，否则它们都不会加入到生成树中。因为IEEE 802.1Q是一种IEEE标准，所以它们在网络中的应用也逐渐普遍。ISL是Cisco公司的一种专有协议。Cisco公司的很多路由器和老式Catalyst交换机都不支持动态链路聚集。在这些情况下，网络设备就要求采用静态配置的方法。如图4-4所示，因为交换机环境采用了链路聚集技术，所以能够在相同线

14、缆之上运行VLAN 1和VLAN 2。但对于在此之前的图4-3中，交换机环境就必须采用额外的连接来支持多VLAN环境。图4-4 交换机间干道链路聚集是连网技术中的重要组成部分，并且值得继续详细讨论Cisco ISL和IEEE 802.1Q方法。此外，本节还将提供某些有助于正确配置交换机的最佳实践。4.3.1 交换机间链路协议ISL对以太网帧进行封装，其中报头封装是26字节，FCS（frame check sequence，帧校验序列）封装是4字节，总共增加30字节的开销。如果计划采用ISL封装，那么要求设备之间至少为快速以太网连接。ISL报头中包括VLAN ID字段（长度为15比特），它表示单

15、条线路中能够复用多个VLAN。因为Cisco交换机只使用VLAN ID字段（长度为15比特）中的最低10个比特，所以ISL最多支持1024个VLAN。在对以太网帧进行ISL封装之后，分组的最小长度是94字节（最小以太网帧64字节+ISL封装30字节），而最大长度是1548字节（最大以太网帧1518字节+ISL封装30字节）。在采用ISL配置的环境中，每个VLAN都拥有属于自己的生成树拓扑。例如，如果ISL干道上配置2个VLAN，那么每个VLAN就拥有属于字节的根和生成树拓扑布局。图4-5给出ISL封装的帧格式，下面将分别描述各字段的含义：图4-5 ISL帧封装格式DA目标地址采用组播MAC地址

16、01-00-0c-00-00-00；Type被封装帧的类型：以太网（0000）、令牌环（0001）、FDDI（0010）和ATM（0011）；User用于描述Type字段的扩展，还可以定义帧的优先级。对于低优先级的以太网帧，取值是0000；SA发送ISL帧的交换机的源地址；Len用于描述除DA、User、SA、Len和CRC之外的帧长度；AAAA03标准的SNAP 802.2 LLC报头，其取值为常数；HASSA的最高3个字节（代表制造商或特定组织的ID）；VLAN ID虚拟局域网ID，其长度是15比特。只有最低10个比特用于描述VLAN，最多能够表示1024个VLAN；BPDU用于控制流量的

17、STP BPDU/CDP（Bridge Protocol Data Unit/Cisco Discovery Protocol，桥接协议数据单元/Cisco发现协议）；Index分组源端口的索引；Res用于描述其他信息的保留字段，例如令牌环或FDDI的帧校验序列。对于以太网，该字段的取值应当为0；Encap Frame真实的以太网帧；FCSFCS字段的长度是4字节，FCS用于检查ISL分组是否受到破坏。4.3.2 IEEE 802.1QISL通过增加30字节报头的方式来封装以太网帧，但IEEE 802.1Q只是向以太网帧（以太网帧类型是0x8100）中增加4字节的标记字段。除了EtherTyp

18、e字段之外，IEEE 802.1Q的标记字段还包括如下3个部分：Priority（PRI）为了实现第2层的QoS，802.1p使用优先级字段，其长度是3比特；CFI（Canonical Format Identifier，规范格式标识符）CFI字段用于以太网和令牌环之间的兼容，其长度为1比特；VLAN ID（VID）VID字段用于区分链路上的不同VLAN，其长度为12比特。在插入4字节的标记之后，IEEE 802.1Q将重新计算FCS。因为VLAN ID字段的长度为12比特，所以IEEE 802.1Q最多能够支持4096个VLAN。Native VLAN（在成为干道端口之前，端口都属于Nati

19、ve VLAN）中不能插入IEEE 802.1Q标记。图4-6图例说明IEEE 802.1Q标记的帧格式。图4-6 IEEE 802.1Q标记格式如果相邻干道端口的Native VLAN与交换机的本地端口配置不同，那么就会发生Native VLAN不匹配的情况，进而需要桥接VLAN STP信息，它将转换为单个STP，而不是为每个VLAN提供1个STP。例4-1在远端交换机的端口1/1之后标记“*”，它代表Native VLAN不匹配的情况。例4-1 检测Native VLAN不匹配4.3.3 配置最佳实践链路聚集支持如下5种工作模式：开启（On）；关闭（Off）；期望（Desirable）；自

20、动（Auto）；非协商（Nonegotiate）。在非协商模式中，交换机将形成干道，并且将不发送DTP帧。为了保证非协商模式能够正常工作，另外一端的交换机必须工作在“开启”或“非协商”模式中。通常情况下，如果准备连接到不支持DTP的第三方交换机，那么就可以采用这种设置。表4-2详细解释了不同的链路聚集模式。表4-2链路聚集模式链路聚集模式描述开启将端口强制设定为干道端口，并且劝说邻接端口成为干道端口。即使邻接接口不同意成为干道端口，此端口也将成为干道端口关闭将端口强制设定为非干道端口，并且劝说邻接端口成为非干道端口。即使邻接接口不同意成为非干道端口，此端口也将成为非干道端口期望使得端口主动地与

21、邻接端口协商成为干道链路自动如果邻接端口尝试协商成为干道链路，那么端口将成为干道端口链路非协商将端口强制设定为干道端口，并且可以禁止端口向邻接端口发送DTP帧Cisco推荐在所有干道端口中使用“期望-期望”模式。4.4 VLAN链路聚集协议在图4-4中，通过采用链路聚集的方法，交换机之间能够传递2个VLAN。为了使得干道能够正常地工作，对于共享干道的每台交换机，它们都必须支持共同的VLAN信息。为了便于创建和管理VLAN信息，Cisco创建了VTP（VLAN Trunking Protocol，VLAN链路聚集协议）。值得注意的是，除非配置VTP，否则交换机中所创建的任何VLAN都处于非工作状

22、态。对于在相同管理控制之下并且支持相同VLAN范围的一组交换机，它们工作在相同的VTP域中。VTP域名用于标识共享相同VTP信息的交换机，域名的最大长度可达32个字符。此外，域名对于大小写敏感。VTP分组被发送到SNAP类型为0x2003的MAC地址01-00-0C-CC-CC-CC。交换机能够工作在如下三种模式之一：服务器（默认）；客户端；透明。在服务器模式中，交换机能够列出管理域内的所有VLAN，并且能够增加、删除或重命名任何VLAN，配置信息将保存到NVRAM（Nonvolatile random-access memory，非易失性随机访问内存）中。在客户端模式中，交换机将从VTP服务

23、器获取VLAN数据库的信息，但它不能修改任何信息。客户端交换机所学习到的信息不能保存到NVRAM中。如果重新启动客户端交换机，那么该交换机必须重新向VTP服务器动态地学习所有VLAN信息。在透明模式中，交换机不参与VTP，它们只是向其他交换机传递VTP通告。在透明模式中，交换机能够在本地增加、删除、修改VLAN信息，并且这些信息能够保存到NVRAM中。在能够使用VTP来管理域和分发VLAN信息之前，网络必须满足如下要求：每台交换机必须已经配置干道端口；使用相同的管理域；交换机之间直接互连。如前所述，干道端口用于向邻接交换机发送VTP信息。通过利用干道端口，VTP能够向相同VTP域中的其他交换机

24、分发VLAN信息。通过手工配置，还可以限定只允许某些交换机才能够分发VLAN信息。因为易于部署，所以这种采用服务器/客户端模式的动态过程易于管理。通过在服务器交换机中配置VLAN，管理域中的其他交换机将接收到VLAN配置信息。另外一方面，服务器/客户端模式也会给网络带来某些潜在风险，本章稍后将简要讨论这些风险。透明模式要求手工配置每台交换机。VTP支持4种类型的消息：汇总通告（0x01）；子集通告（0x02）；通告请求（0x03）；加入（0x04）。VTP的两种版本类型（VTP版本1和VTP版本2）存在某些主要区别。版本2支持令牌环。在VTP版本2中，如果交换机工作在透明模式，那么无论所接收到

25、的VTP的版本或域名如何，交换机都将转发所接收到的VTP通告。在VTP版本1中，如果交换机工作在透明模式，那么对于来自不同VTP域名的VTP通告，交换机将忽略这些通告。默认情况下，Cisco交换机支持VTP版本1。4.4.1 汇总通告为了向所连接的交换机告知域名和配置版本号，VTP服务器交换机将每隔5分钟发送一次汇总通告。配置版本号与VLAN信息的变更紧密相关，每当VTP服务器交换机进行一次修改的时候，配置版本号都将递增1。当交换机接收到配置版本号的时候，它将与自己的配置版本号进行对比。如果所接收到的配置版本号不超过自己的配置版本号，那么交换机将忽略汇总通告。在例4-2中，与交换机当前的配置版

26、本号相比较，它所接收到汇总通告的配置版本号更低，所以交换机将忽略这个VTP消息。例4-2 汇总通告的调试输出结果如果所接到汇总通告的配置版本号更高，那么交换机将利用所接收到的信息更新VLAN数据库。因为配置版本号的高低能够决定交换机是否更新VLAN数据库，所以配置版本号是非常重要的参数。假定发生如下情况：测试交换机意外连接到生产网络中，如果测试交换机与生产网络具有相同的VTP域名，并且测试交换机的配置版本号更高，那么该域中的所有生产交换机都将与这台测试交换机进行同步。对于生产交换机中原先所使用的VLAN信息，它们将被测试交换机VLAN数据库的信息所覆盖。如果测试交换机没有配置与生产环境相同的V

27、LAN，那么交换端口将恢复为VLAN 1的成员，从而导致连接丢失。基于上述原因，在向网络中增加新交换机的时候，无论交换机工作在客户端或服务器模式，都应当事先检查交换机的配置版本号，并且保证交换机的配置版本号低于生产网络中服务器交换机的配置版本号。为了确保新增交换机不会影响到现有VTP域中其他交换机的工作，一种简便的方法就是将新增交换机的VTP域名更改为某个虚构名称，之后再将其改回有效的域名。此时，因为更改VTP域名会导致配置版本号重置，所以新增交换机就可以安全地转移到生产网络中。此外，重新启动交换机也能对配置版本号进行重置。4.4.2 子集通告子集通告能够向客户端和服务器交换机发送VLAN列表

28、。该列表是向交换机发送的真实数据库。子集通告提供关于VLAN名称、状态和类型等信息。在真实网络中，可能将多台交换机配置为VTP服务器，在各台服务器交换机的数据库同步之前，它们将利用子集通告信息协商VLAN信息。在例4-3中，交换机不仅接收到VLAN 12、30、34和100的信息，而且还接收到新增VLAN 111的通告信息。通过在交换机上执行set trace vtp命令，将能够获得上述信息。因为该命令会消耗大量的交换机资源，所以只应在网络排错的时候使用set trace命令，并且通常仅作为最后的措施。例4-3 子集通告的调试输出结果4.4.3 通告请求当发生如下3种情况之一的时候，交换机会发送通告请求：交换机重新启动；更改域名；VTP汇总配置版本号高于本地交换机的配置版本号。如例4-4所示，交换机正向它所连接的交换机请求VTP数据库信息。例4-4 VTP通告请求4.4.4 加入VTP加入消息能够防止上行交换机修剪干道上的VLAN。本章“VTP修剪”一节将展开讨论这种消息类型。4.4.5 VTP示例1图4-7给出VTP域中包括两台交换机的情况。服务器交换机将向客户端交换机扩散VLAN信息。任何