VLAN
VLAN(Virtual Local Area Network)的中文名爲"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段,從而實現虛擬工作組的數據交換技術。
VLAN是一組由擁有共同需求且與物理位置無關的終端設備所組成的邏輯分組。
Cisco 交換機不僅僅具有2 層交換功能,它還具有VLAN 等功能。VLAN 技術可以使我們很容易地控制廣播域的大小。
有了VLAN,交換機之間的級聯鏈路就需要Trunk 技術來保證該鏈路可以同時傳輸多個VLAN 的數據。同時爲了方便管理各交換機上的VLAN 信息,VTP 也被引入了。交換機之間的級聯鏈路帶寬如果不夠,我們可以把多條鏈路捆綁起來形成邏輯鏈路。
VLAN可以隔離2層的廣播域。
不分層的網絡問題
大的故障域
大的廣播域
大的未知MAC流量傳輸
無界限的組播流量
管理網絡面臨挑戰
可以引起安全攻擊
分配連續的IP地址空間.
每個 VLAN劃分一個子網
·A VLAN =(一個) 廣播域 =(一個)邏輯子網
路由器是隔離廣播域的
單個端口只能承載單個VLAN的流量。
·使用VLAN好處:
1.有效的帶寬利用
2.提高了安全性
3.隔離故障域
====
VLAN 分割模型
End-to-End VLAN 端到端 VLAN
Local VLAN 本地VLAN
在網絡設計時,管理員可以用兩種模型來設計網絡,具體選擇哪種模型取決於業務需求,技術需求,過去的經驗,可以存在的動機等。
End-to-End VLAN
端到端VLAN (基於功能劃分):是通過基於一種共同性來將設備分成小組。
它具有以下的特點:
需要跨越多個交換機包括核心(Backbone)進行傳輸。
將用戶分組到VLAN可以和地理位置無關、在VLAN中的所有的用戶在用戶在園區網內移動時,其VLAN成員身份不變,可以是基於MAC地址的方式來實現、每個VLAN對所有成員有相同的安全策略。
====
Local VLAN
本地VLAN (基於物理位置劃分)
本地VLAN的定義就是在實際的物理位置上進行VLAN的劃分,也就是它的很多的服務都是集中的放在一個地方。這種方式的好處就是便於管理
本地VLAN:
就是說一個VLAN只存在於本地,而不會跨越很多交換機和核心(Backbone)進行傳輸。
在單個配線架之內的單臺接入交換機上配置最少數目的VLAN,
而不是在單臺交換機上配置多個部門的VLAN。
====
VLAN 的使用方式
1)Local VLAN :
一個VLAN 集中在一個機架中,便於故障分析定位,便於管理流量
a)數據流可預測
b)冗餘路徑 ------雙上行 雙歸屬
c)高可用性
d)有限的故障域
e)可擴展性
2)End-to-End VLAN:分段靈活,流量不合理,故障難定位
====
怎麼實現 VLAN
創建或配置一個 VLAN.
檢查 VLAN 配置.
添加交換機端口到相應VLAN.
檢查交換機端口配置.
測試 VLAN 連通性.
實現VLAN 和交換機安全
注意:已建立的VLAN只有被映射到一個或多個交換機端口後,纔會起作用,並且除非另做設置,否者所有的端口總是屬於VLAN 1
====
靜態VLAN(基於端口的VLAN):
手工配置交換機端口,將其設爲特定的VLAN。
只要接到這個端口的設備就屬於此VLAN。
Sw1#show cdp neighbors detail
VLAN 創建
(1) 熟悉VLAN 的創建
(2) 把交換機接口劃分到特定VLAN
要配置VLAN,首先要先創建VLAN,然後才把交換機的端口劃分到特定的端口上:
在劃分VLAN 前,配置R1 和R2 路由器的f0/0 接口,從R1 ping 192.168.12.2。
默認時,交換機的全部接口都在VLAN1 上,R1 和R2 應該能夠通信.
R1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/5/9 ms
====
在SW1 上創建VLAN
Switch#vlan database //進入到VLAN 配置模式
Switch(vlan)#vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2 //以上創建vlan,2 就是vlan 的編號,VLAN 號的範圍爲1~1005
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3
Switch(vlan)#exit
APPLY completed.
Exiting.... //退出VLAN模式,創建的VLAN立即生效:
另一種方法
Switch(config)#vlan 2
Switch(config-vlan)#name
Switch(config-vlan)#name CCNP
交換機中的VLAN 信息存放在單獨的文件中flash:vlan.dat,因此如果要完全清除
交換機的配置,除了使用“erase starting-config”命令外,還要使用“delete
flash:vlan.dat”命令把VLAN 數據刪除。
Switch#delete flash:
Delete filename []?vlan.dat
Delete flash:/vlan.dat? [confirm]
====
把端口劃分在VLAN 中
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
trunk Set trunking mode to TRUNK unconditionally
把交換機端口的模式改爲access 模式,說明該端口是用於連接計算機的,而不是用於trunk
Switch(config-if)#switchport access vlan 2 把該端口f0/1 劃分到VLAN 2 中
Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
默認時,所有交換機接口都在VLAN 1 上,VLAN 1 是不能刪除的。如果有多個接口
需要劃分到同一VLAN 下,也可以採用如下方式以節約時間,注意破折號前後的空格:
interface range f0/5 - 10 連續的端口號
switch mode access
switch access vlan 2
interface range f0/5 , f0/9 不連續的端口號
interface range f0/5 - 10 , f0/12 兩者的結合
如果要刪除VLAN,使用 “no vlan 2”命令即可。刪除某一VLAN後,要記得把該VLAN
上的端口重新劃分到別的VLAN上,否則將導致端口的“消失”
====
查看VLAN
使用“show vlan”或者“show vlan brief”命令可以查看VLAN 的信息,以及每個
VLAN 上有什麼端口。要注意這裏只能看到的是本交換機上哪個端口在VLAN 上,而不能看到其他交換機的端口在什麼VLAN 上。
Switch#show vlan brief
在交換上,VLAN1是默認VLAN,不能刪除,也不能改名。此外還有1002、1003等VLAN的存在。
可調整的爲 2-1001
創建擴展VLAN(1006~4095)
Switch(config)#vlan 1006
Switch(config-vlan)#exit
% Failed to create VLANs 1006
Extended VLAN(s) not allowed in current VTP mode.
在VLAN Database中不能創建擴展VLAN,只能在配置模式下,並且是VTP透明模式下才能創建
Switch(config)#vtp mode transparent
Switch(config)#vlan 1006
由於f0/1 和f0/2 屬於不同的VLAN,從R1 ping 192.168.12.2 應該不能成功了。
思科交換機vlan
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.