虛擬局域網VLAN
一、VLAN的概念及優勢
1、 VLAN的概念及優勢
在傳統的交換式以太網中,所有的用戶都在用一個廣播域,當網絡規模較大時,廣播包的數量會急劇增加,當廣播包的數量佔到總量的30%時,網絡的傳輸效率將會明顯下降。特別是當某網絡設備出現故障後,就會不停的網絡發送廣播,從而導致廣播風暴,使網絡通訊陷於癱瘓。
我們可以使用分隔廣播域的辦法來解決這個問題,分隔廣播域又以下兩種辦法:
①物理分隔:將網絡從物理上分爲若干個小網絡,然後使用能隔離廣播的路由器將不同的網絡連接起來實現通信。
②邏輯分隔:將網絡從邏輯上劃分爲若干個小的虛擬網絡,即VLAN(virtual local area network,虛擬局域網)。VLAN工作在OSI參考模型的數據鏈路層,一個VLAN就是一個交換網絡,其中的所有用戶都在同一個廣播域中,各VLAN通過路由設備連接實現通信。
VLAN具有靈活性和可擴展等特點,使用VLAN技術有以下好處:
①、控制廣播
每個VLAN都是獨立的廣播域,這樣就會減少了廣播對網絡帶寬的專用,提高
網絡傳輸效率,並且一個VLAN出現了廣播風暴不會影響到其他VLAN。
②、增強網絡安全
由於只能在同一個VLAN內的端口之間交換數據,不同VLAN的端口之間不能直接訪問,因此,VLAN可以限制個別主機訪問服務器等資源,所以通過劃分VLAN可以提高網絡的安全性。
③、簡化網絡管理
如果對於某些用戶重新進行網段分配,需要對網絡系統的物理結構進行調整,甚至追加設備,這樣會增大網絡管理的工作量。而對採用VLAN技術的網絡來說,一個VLAN可以根據部門、對象組或者不同地理位置的用戶劃分到一個網絡中,在不改動網絡物理連接的情況下可以任意的將工作站在工作組之間移動,降低了網絡管理和維護的工作負擔,降低網絡維護的費用。
2、 VLAN的種類
2.1、靜態VLAN
靜態VLAN也稱基於端口的VLAN,是目前最常見的VLAN實現方式。
明確指定交換機的端口屬於哪個VLAN,這需要給管理員手動配置,
這種端口和VLAN的映射只在本地有效,交換機之間不能共享這一信
息。
2.2、動態VLAN
動態VLAN是根據終端用戶設備的mac地址來定義成員資格的。當設備連接一個交換機端口時,該交換機必須查詢它的一個數據庫以建立VLAN的成員資格。因此,網絡管理員必須先把用戶的MAC地址分配到VLAN成員資格策略服務器(VMPS,VLAN membership policy server)的數據庫中的一個VLAN上。
對cisco交換機而言,動態VLAN是用如ciscoworks22000或ciscoworks for switched internetworks(CWSI)的網絡管理工具來建立和進行管理的。動態VLAN對終端用戶來說具有更大的靈活性和可移動性,但要求有更多的管理方面的開銷。
3、 靜態VLAN的配置
3.1、VLAN的範圍
Cisco 交換機最多能夠支持4096個VLAN,不同型號的交換機支持的
VLAN數目也不同。
VLAN 的ID範圍 | 範圍 | 用途 |
0、4095 | 保留 | 僅限系統使用 用戶不能查看和使用這些VLAN |
1 | 正常 | Cisco默認VLAN 用戶能夠使用該VLAN,但不能刪除它 |
2~1001 | 正常 | 用於以太網的VLAN 用戶可以創建、使用和刪除這些VLAN |
1002~1005 | 正常 | 用於FDDI和令牌環的Cisco默認VLAN 用戶不能刪除這些VLAN |
1006~1024 | 保留 | 僅限系統使用 用戶不能查看和使用這些VLAN |
1025~4094 | 擴展 | 僅用於以太網VLAN |
3.2、VLAN的基本配置
創建VLAN分爲兩種模式,一種是數據庫模式,一種是全局配置模式.
VLAN數據庫模式,只支持VLAN正常範圍(1~1005)。
VLAN全局配置模式,不僅支持VLAN正常範圍,也可以配置VLAN數
據庫模式不能配置的擴展範圍的VLAN。
二、VLAN Trunk
1、Trunk概述
1.1、 Trunk的作用
在交換網絡中,鏈路有兩種類型:
接入鏈路:通常屬於一個VLAN。主機與交換機之間連接的鏈路就是接入鏈路。
中繼鏈路:可以承載多個VLAN之間通訊,通常是在交換機與交換機之間,後者交換機與路由器之間。
1)、VLAN30 中的主機A發送數據幀給主機B時,主機A發送的數據
幀是普通的數據幀。
2)、交換機SW1收到數據幀,知道這個數據幀來自VLAN30,要轉發
給SW2,於是就會在數據幀上打上VLAN30 的標籤,然後發送給SW2。
3)、SW2接收到帶有VLAN30標籤的數據幀後,根據目標MAC地址,
得知數據幀是發送給主機B的,就會刪除VLAN標識還原爲普通的數
據幀,然後轉發給主
機B。
1.2、 VLAN的標識
VLAN標識可以採用幾種方式進行。每一種標識方法都使用一種不同的幀標識機制。在以太網上實現中繼,可用如下兩種封裝類型。
1)、ISL(inter-switch link,交換機間鏈路):是cisco私有的標記方法,
ISL只是對幀進行封裝,不修改幀中的內容。尾部CRC(循環冗餘校驗)。
2)、IEEE 802.1q:公有的標記方法,其他廠商的產品也支持這種標記方法。802.1q使用了一種內部標記機制。中繼設備將四字節的標記插入到數據幀內,並重新計算FCS。
這四個字節的標記頭包含以下內容:
① 2字節標記協議標識符(TPID)包含了一個0x8100的固定值,這個特定的TPID值指明瞭該幀帶有802.1q的標記。
② 2字節標記控制信息(TCI)包含了下面的元素
⑴ 3位的用戶優先級(priority):802.1q不適用該字段。
⑵ 1位的規範格式標識符(CFI):CFI常用語以太網和令牌環網。在以太網中,CFI的值通常設置爲0。
⑶ 12位VLAN標識符(VLAN ID):該字段唯一標識了幀所屬的VLAN。VLAN ID 可以唯一的標識4096個VLAN,但VLAN 0 和VLAN 4905是被保留的。
1.3、 Native VLAN
Cisco catast 交換機上,默認的native VLAN是VLAN 1,但可以配置。Native VLAN 的數據幀在trunk 鏈路中是未標記的。對於兩臺設備之間的trunk端口,要求鏈路兩側具有相同的native VLAN配置。
1.4、 Trunk的模式和協商
對isl和IEEE802.1q 的配置,要視cisco交換機的IOS而定,可以指定trunk鏈路使用ISL封裝、802.1q封裝或者自動協商封裝類型。
自動協商是由DTP(動態中繼協議)管理的。DTP協議爲cisco專有,同時支持ISl和802.1q兩種中繼自動協商。但只能用於交換機之間的中繼鏈路,不能同於交換機和路由器之間的中繼鏈路。Cisco catalyst交換機端口默認爲開啓DTP協商。
三、EthernetChannel(端口聚合)
EthernetChannel通過捆綁多條以太網鏈路來提高鏈路帶寬,並運行一種機制。將多個以太網端口捆綁城一條邏輯鏈路,以太網通道最多可以捆綁8條物理鏈路。其中物理鏈路可以是雙絞線也可以是光纖。
以太網通道的要求:
1)、 參與捆綁的端口必須屬於同一個VLAN,或者把他們配置爲中繼端口。
2)、端口爲終極模式,鏈路兩端應將通道中的所有端口配置爲相同的中繼模式。需要所有端口支持相同的VLAN範圍許可,如果VLAN許可範圍不一致,則端口不屬於以太網通道。
3)、所有參與捆綁的端口的物理參數必須相同,應該有同樣的速率和全/半雙工模式。
四、課後實驗
實驗環境:
公司新擴建3個部門,分別爲財務、銷售和行政。需要按照各部門進行網段劃分,網絡規劃如下:
PC1和PC3爲財務部,屬於VLAN2,名稱caiwu,
PC2和PC5爲銷售部,屬於VLAN3,名稱xiaoshou,
PC4和PC6爲行政部,屬於VLAN4,名稱xingzheng,
爲了方便管理,需要爲三臺交換機配置遠程管理地址,IP地址用VLAN 1 ,分別爲192.168.100.1/24~192.168.100.3/24
並且因爲數據量較大,增加傳輸速度並保障鏈路穩定,
實驗拓撲:
實驗配置
SW1#conf t \\進入全局配置模式
SW1(config)#int vlan 1 \\進入VLAN 1
SW1(config-if)#ip add 192.168.100.1 255.255.255.0 \\配置IP地址
SW1(config-if)#no sh \\開啓接口
SW1(config-if)#end \\返回特權模式
SW1#vlan da \\進入VLAN數據庫模式
SW1(vlan)#vlan 2 name caiwu \\創建VLAN 2 名稱爲caiwu
SW1(vlan)#vlan 3 name xiaoshou
SW1(vlan)#vlan 4 name xiengzheng
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1 \\進入f0/1 接口
SW1(config-if)#sw ac vlan 2 \\將接口加入vlan 2
SW1(config-if)#no sh
SW1(config-if)#int f0/2
SW1(config-if)#sw ac vlan 3
SW1(config-if)#no sh
SW1(config-if)#exit
SW1(config)#line vty 0 4 \\進入vty
SW1(config-line)#password cisco \\配置密碼
SW1(config-line)#login \\允許登錄
SW1(config-line)#exit
SW1(config)#enable password cisco123 \\設置特權密碼
SW1(config)#int r f0/5 – 6 \\進入5和6接口
SW1(config-if-range)#channel-group 1 mode on \\創建以太網通道,通道號爲1
SW1(config-if-range)#no sh
SW2#conf t
SW2(config)#int vlan 1
SW2(config-if)#ip add 192.168.100.2 255.255.255.0
SW2(config-if)#no sh
SW2(config-if)#end
SW2#vlan da
SW2(vlan)#vlan 2 name caiwu
SW2(vlan)#vlan 3 name xiaoshou
SW2(vlan)#vlan 4 name xingzheng
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/1
SW2(config-if)#sw ac vlan 2
SW2(config-if)#no sh
SW2(config)#int f0/2
SW2(config-if)#sw ac vlan 3
SW2(config-if)#no sh
SW2(vlan)#exit
SW2(config)#line vty 0 4
SW2(config-line)#password cisco
SW2(config-line)#login
SW2(config-line)#exit
SW2(config)#enable password cisco123
SW2(config)#int r f0/5 - 6
SW2(config-if-range)#channel-group 1 mo on
SW2(config-if-range)#no sh
SW2(config-if-range)#exit
SW2(config)#int r f0/7 – 8 \\進入7和8接口
SW2(config-if-range)#channel-group 2 mo on \\創建以太網通道,通道號爲2
SW2(config-if-range)#no sh
SW3#conf t
SW3(config)#int vlan 1
SW3(config-if)#ip add 192.168.100.3 255.255.255.0
SW3(config-if)#no sh
SW3(config-if)#end
SW3#vlan da
SW3(vlan)#vlan 2 name caiwu
SW3(vlan)#vlan 3 name xiaoshou
SW3(vlan)#vlan 4 name xingzheng
SW3(vlan)#exit
SW3(config)#int f0/1
SW3(config-if)#sw ac vlan 3
SW3(config-if)#no sh
SW3(config-if)#int f0/2
SW3(config-if)#sw
SW3(config-if)#sw ac vlan 4
SW3(config-if)#no sh
SW3(config-if)#exit
SW3(config)#line vty 0 4
SW3(config-line)#password cisco
SW3(config-line)#login
SW3(config-line)#exit
SW3(config)#enable password cisco123
SW3(config)#int r f0/7 - 8
SW3(config-if-range)#channel-group 2 mo on
SW3(config-if-range)#no sh