虛擬局域網VLAN

第4章 虛擬局域網VLAN

實驗環境：

Benet上海分公司的員工人數已達到100人，其網絡設備如圖所示。現在的網絡環境導致廣播較多、網速慢，并且也不安全。公司希望按照部門劃分網絡，并且能夠保證一定的網絡安全性。

其網絡規劃如下：

? PC1和PC3為財務部，屬于VLAN2,名稱為caiwu，其IP地址分別為192.168.0.2/24、192.168.0.3/24

? PC2和PC5為銷售部，屬于VLAN3，名稱為xiaoshou，其IP地址分別為192.168.1.2/24、192.168.1.3/24

? PC4和PC6為生產部，屬于VLAN4，名稱為shengchan，其IP地址分別為192.168.2.2/24、192.168.2.3/2

三臺交換機之間的鏈路為Trunk。配置交換機管理的IP地址用VLAN1，SW1、SW2與SW3的IP地址分別為192.168.100.1/24、192.168.100.2/24、192.168.100.3/24

具體步驟：

1. 在SW1上創建vlan2，名稱為caiwu和vlan3，名稱為xiaoshou。如圖所示：

2. 在SW2上創建vlan2，名稱為caiwu和vlan4，名稱為shengchan。如圖所示：

3. 在SW3上創建vlan3，名稱為xiaoshou和vlan4，名稱為shengchan。如圖所示：

4. 將SW1的F0/1接口加入到vlan2中，F0/2接口加入到vlan3中。如圖所示：

5. 將SW2的F0/1接口加入到vlan2中，F0/2接口加入到vlan4中。如圖所示：

6. 將SW3的F0/1接口加入到vlan3中，F0/2接口加入到vlan4中。如圖所示：

7. 在SW1上給vlan1配置一個IP地址。如圖所示：

8. 將SW1的F0/14接口改為trunk模式。如圖所示：

9. 將SW1的F0/1接口到F0/14接口都開啟（模擬器需要這步過程，真實機就不需要）。如圖所示：

10. 在SW2上給vlan1配置一個IP地址。如圖所示：

11. 將SW2的F0/14和F0/15兩個接口改為trunk接口。如圖所示：

12. 將SW2的F0/1接口到F0/15接口都開啟（模擬器需要這步過程，真實機就不需要）。如圖所示：

13. 在SW3上給vlan1配置一個IP地址。如圖所示：

14. 將SW3的F0/15接口改為trunk接口。如圖所示：

15. 將SW3的F0/1接口到F0/15接口都開啟（模擬器需要這步過程，真實機就不需要）。如圖所示：

16. 給PC1配置IP地址：192.168.0.2/24，PC2配置IP地址：192.168.1.2/24，PC3配置IP地址：192.168.0.3/24，PC4配置IP地址：192.168.2.2/24，PC5配置IP地址：192.168.1.3/24，PC6配置IP地址：192.168.2.3/24。如圖所示:

17. 此時，當同網段的主機相互ping通時，發現只有PC2和PC5不能ping通，PC1和PC3能ping通，PC4和PC6能ping通。如圖所示：

18. 因為連接PC2和PC5的接口屬于vlan3，而且SW2上也沒創建vlan3，所以不能轉發數據，只要在SW2上創建vlan3即可。如圖所示：

19. 再讓PC2去pingPC5時，發現已經可以通信了。如圖所示：

n VLAN的概念及優勢

? 物理分隔：將網絡從物理上劃分為若干個小網絡，然后使用能隔離廣播的路由設備將不同的網絡連接起來實現通信。

? 邏輯分隔：將網絡從邏輯上劃分為若干個小的虛擬網絡，即VLAN（Virtual Local Area Network，虛擬局域網）。VLAN工作在OSI參考模型的數據鏈路層，一個VLAN就是一個交換網絡，其中的所有用戶都在同一個廣播域中，各VLAN通過路由設備連接實現通信。

使用VLAN技術的好處：

1. 控制廣播

2. 增強網絡安全性

3. 簡化網絡管理

n VLAN的種類

1. 靜態VLAN

靜態VLAN也稱基于端口的VLAN，是目前最常見的VLAN實現方式。就是明確指定交換機的端口屬于哪個VLAN，這需要網絡管理員手工配置。當用戶主機連接到交換機端口上時，就被分配到了對應的VLAN中。

這種端口和VLAN的映射只是在本地有效，交換機之間不能共享這一信息。

2. 動態VLAN

動態VLAN的實現方法有多種，目前最普遍的實現方法是基于MAC地址的動態VLAN。基于MAC地址的動態VLAN，是根據主機的MAC地址自動將其指派到合適的VLAN中。這種VLAN劃分方法的最大優點就是，當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置。但這種方法的缺點是初始化時所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置任務將非常繁重。所以這種劃分方法通常不適用于大型局域網。

n 創建VLAN

? VLAN數據庫配置模式。此模式只支持VLAN正常范圍（1-1005）。

? 全局配置模式。此模式不僅支持VLAN正常范圍，而且也可以配置VLAN數據庫配置模式不能配置的擴展范圍的VLAN。

要刪除ID為20的VLAN，需要使用no vlan vlan-id命令。其執行過程如下：

也可以在VLAN數據庫中刪除VLAN。其執行過程如下：

? 將交換機的端口加入到相應的VLAN中

可以使用命令default interface interface-id，還原接口到默認配置狀態。

? 查看VLAN信息的命令

查看某個VLAN信息的命令

n Trunk的作用

Trunk（干道、中繼）的作用就是使同一個VLAN能夠跨交換機通信

在交換網絡中，鏈路有兩種類型：接入鏈路和中繼鏈路

? 接入鏈路：通常屬于一個VLAN。主機與交換機之間連接的鏈路就是接入鏈路。

? 中繼鏈路：可以承載多個VLAN。兩臺交換機之間的鏈路就是中繼鏈路。中繼鏈路通常用來將一臺交換機連接到其他交換機導航，或者將交換機連接到路由器上。

n VLAN的標識

1. ISL（Inter-Switch Link，交換機間鏈路）

ISL是Cisco私有的標記方法，ISL報頭封裝是26字節，CRC（Cyclic Redundancy Check，循環冗余校驗）尾部是四個字節，總共30個字節。

ISL只是對幀進行封裝，而沒有修改幀中的任何內容。

2. IEEE802.1q

802.1q是公有的標記方法，其他廠商的產品也支持這種標記方法。不論采用哪種標記方法，鏈路雙方的設備都要使用相同的標記方法。

802.1q使用了一種內部標記機制。中繼設備將四個字節的標記插入到數據幀內，并重新計算FCS。

這個四字節的標記頭包含以下內容：

? 2字節標記協議標示符（TPID）包含一個0x8100的固定值，這個特定的TPID值指明了該幀帶有802.1q的標記信息。

? 2字節標記控制信息（TCI）包含額下面的元素：

u 3位的用戶優先級（Priority）：802.1q不使用該字段。

u 1位的規范格式標示符（CFI）：CFI常用于以太網和令牌環網。在以太網中，CFI的值通常設置為0。

u 12位VLAN標示符（VLAN ID）：該字段唯一標識了幀所屬的VLAN。VLAN ID可以唯一的標識4096個VLAN，但VLAN0和VLAN 4095是被保留的。

3. Native VLAN

802.1q在設計時，為了兼容與不支持VLAN的交換機混合部署，特地設計了一個Native VLAN，它允許交換機從Trunk端口上轉發為被標記的幀。在Cisco Catalyst交換機上，默認的Native VLAN是VLAN 1，但可以配置。Native VLAN的數據幀在Trunk鏈路中是未被標記的。

對于兩臺設備之間的Trunk端口，要求鏈路兩側具有相同的Native VLAN配置。

注意：Native VLAN是802.1q中的概念，ISL中沒有Native VLAN，也就是說，ISL對Trunk鏈路上的所有數據幀都進行VLAN標記。

n Trunk的排錯

1. 接口模式

要確保至少一側的鏈路的Trunk模式應當是Trunk或desirable。通過使用命令show interface interface-id trunk可以驗證接口的Trunk配置。

2. 封裝類型

確保鏈路兩端的Trunk封裝類型兼容。

3. Native VLAN

如果使用802.1q封裝，要確保Trunk鏈路兩端的Native VLAN配置相同。

n 什么是EthernetChannel

EthernetChannel通過捆綁多條以太鏈路來提高鏈路帶寬，并運行一種機制，將多個以太網端口綁成一條邏輯鏈路。以太網通道最多可以捆綁8條物理鏈路，其中物理鏈路可以是雙絞線的，也可以是光纖連接的。

但是，以太網通道必須遵循以下一些規則：

? 參與捆綁的端口必須屬于同一個VLAN。如果是在中繼模式下，要求所有參加捆綁的端口都是在中繼模式下。并且所有端口上配置相同的準許VLAN范圍。如果通道中所有中繼的準許VLAN范圍不相同，不允許某個VLAN的中繼端口丟棄那個VLAN的數據包，而允許該VLAN的端口為其傳送數據。

? 如果端口配置的是中繼模式，那么，應該在鏈路兩端將通道中的所有端口配置成相同的中繼模式。

? 所有參與捆綁的端口的物理參數設置必須相同，應該有同樣的速度和全/版雙工模式設置。

n 以太網通道的配置

在如下圖所示的拓撲中配置以太網通道。

交換機A上的配置如下：

交換機B的配置方法與A相同。

查看以太網通道的配置，顯示如下內容表示配置正確。

交換機A：

交換機B：