虚拟局域网VLAN

第4章 虚拟局域网VLAN

实验环境：

Benet上海分公司的员工人数已达到100人，其网络设备如图所示。现在的网络环境导致广播较多、网速慢，并且也不安全。公司希望按照部门划分网络，并且能够保证一定的网络安全性。

其网络规划如下：

? PC1和PC3为财务部，属于VLAN2,名称为caiwu，其IP地址分别为192.168.0.2/24、192.168.0.3/24

? PC2和PC5为销售部，属于VLAN3，名称为xiaoshou，其IP地址分别为192.168.1.2/24、192.168.1.3/24

? PC4和PC6为生产部，属于VLAN4，名称为shengchan，其IP地址分别为192.168.2.2/24、192.168.2.3/2

三台交换机之间的链路为Trunk。配置交换机管理的IP地址用VLAN1，SW1、SW2与SW3的IP地址分别为192.168.100.1/24、192.168.100.2/24、192.168.100.3/24

具体步骤：

1. 在SW1上创建vlan2，名称为caiwu和vlan3，名称为xiaoshou。如图所示：

2. 在SW2上创建vlan2，名称为caiwu和vlan4，名称为shengchan。如图所示：

3. 在SW3上创建vlan3，名称为xiaoshou和vlan4，名称为shengchan。如图所示：

4. 将SW1的F0/1接口加入到vlan2中，F0/2接口加入到vlan3中。如图所示：

5. 将SW2的F0/1接口加入到vlan2中，F0/2接口加入到vlan4中。如图所示：

6. 将SW3的F0/1接口加入到vlan3中，F0/2接口加入到vlan4中。如图所示：

7. 在SW1上给vlan1配置一个IP地址。如图所示：

8. 将SW1的F0/14接口改为trunk模式。如图所示：

9. 将SW1的F0/1接口到F0/14接口都开启（模拟器需要这步过程，真实机就不需要）。如图所示：

10. 在SW2上给vlan1配置一个IP地址。如图所示：

11. 将SW2的F0/14和F0/15两个接口改为trunk接口。如图所示：

12. 将SW2的F0/1接口到F0/15接口都开启（模拟器需要这步过程，真实机就不需要）。如图所示：

13. 在SW3上给vlan1配置一个IP地址。如图所示：

14. 将SW3的F0/15接口改为trunk接口。如图所示：

15. 将SW3的F0/1接口到F0/15接口都开启（模拟器需要这步过程，真实机就不需要）。如图所示：

16. 给PC1配置IP地址：192.168.0.2/24，PC2配置IP地址：192.168.1.2/24，PC3配置IP地址：192.168.0.3/24，PC4配置IP地址：192.168.2.2/24，PC5配置IP地址：192.168.1.3/24，PC6配置IP地址：192.168.2.3/24。如图所示:

17. 此时，当同网段的主机相互ping通时，发现只有PC2和PC5不能ping通，PC1和PC3能ping通，PC4和PC6能ping通。如图所示：

18. 因为连接PC2和PC5的接口属于vlan3，而且SW2上也没创建vlan3，所以不能转发数据，只要在SW2上创建vlan3即可。如图所示：

19. 再让PC2去pingPC5时，发现已经可以通信了。如图所示：

n VLAN的概念及优势

? 物理分隔：将网络从物理上划分为若干个小网络，然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。

? 逻辑分隔：将网络从逻辑上划分为若干个小的虚拟网络，即VLAN（Virtual Local Area Network，虚拟局域网）。VLAN工作在OSI参考模型的数据链路层，一个VLAN就是一个交换网络，其中的所有用户都在同一个广播域中，各VLAN通过路由设备连接实现通信。

使用VLAN技术的好处：

1. 控制广播

2. 增强网络安全性

3. 简化网络管理

n VLAN的种类

1. 静态VLAN

静态VLAN也称基于端口的VLAN，是目前最常见的VLAN实现方式。就是明确指定交换机的端口属于哪个VLAN，这需要网络管理员手工配置。当用户主机连接到交换机端口上时，就被分配到了对应的VLAN中。

这种端口和VLAN的映射只是在本地有效，交换机之间不能共享这一信息。

2. 动态VLAN

动态VLAN的实现方法有多种，目前最普遍的实现方法是基于MAC地址的动态VLAN。基于MAC地址的动态VLAN，是根据主机的MAC地址自动将其指派到合适的VLAN中。这种VLAN划分方法的最大优点就是，当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。但这种方法的缺点是初始化时所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置任务将非常繁重。所以这种划分方法通常不适用于大型局域网。

n 创建VLAN

? VLAN数据库配置模式。此模式只支持VLAN正常范围（1-1005）。

? 全局配置模式。此模式不仅支持VLAN正常范围，而且也可以配置VLAN数据库配置模式不能配置的扩展范围的VLAN。

要删除ID为20的VLAN，需要使用no vlan vlan-id命令。其执行过程如下：

也可以在VLAN数据库中删除VLAN。其执行过程如下：

? 将交换机的端口加入到相应的VLAN中

可以使用命令default interface interface-id，还原接口到默认配置状态。

? 查看VLAN信息的命令

查看某个VLAN信息的命令

n Trunk的作用

Trunk（干道、中继）的作用就是使同一个VLAN能够跨交换机通信

在交换网络中，链路有两种类型：接入链路和中继链路

? 接入链路：通常属于一个VLAN。主机与交换机之间连接的链路就是接入链路。

? 中继链路：可以承载多个VLAN。两台交换机之间的链路就是中继链路。中继链路通常用来将一台交换机连接到其他交换机导航，或者将交换机连接到路由器上。

n VLAN的标识

1. ISL（Inter-Switch Link，交换机间链路）

ISL是Cisco私有的标记方法，ISL报头封装是26字节，CRC（Cyclic Redundancy Check，循环冗余校验）尾部是四个字节，总共30个字节。

ISL只是对帧进行封装，而没有修改帧中的任何内容。

2. IEEE802.1q

802.1q是公有的标记方法，其他厂商的产品也支持这种标记方法。不论采用哪种标记方法，链路双方的设备都要使用相同的标记方法。

802.1q使用了一种内部标记机制。中继设备将四个字节的标记插入到数据帧内，并重新计算FCS。

这个四字节的标记头包含以下内容：

? 2字节标记协议标示符（TPID）包含一个0x8100的固定值，这个特定的TPID值指明了该帧带有802.1q的标记信息。

? 2字节标记控制信息（TCI）包含额下面的元素：

u 3位的用户优先级（Priority）：802.1q不使用该字段。

u 1位的规范格式标示符（CFI）：CFI常用于以太网和令牌环网。在以太网中，CFI的值通常设置为0。

u 12位VLAN标示符（VLAN ID）：该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一的标识4096个VLAN，但VLAN0和VLAN 4095是被保留的。

3. Native VLAN

802.1q在设计时，为了兼容与不支持VLAN的交换机混合部署，特地设计了一个Native VLAN，它允许交换机从Trunk端口上转发为被标记的帧。在Cisco Catalyst交换机上，默认的Native VLAN是VLAN 1，但可以配置。Native VLAN的数据帧在Trunk链路中是未被标记的。

对于两台设备之间的Trunk端口，要求链路两侧具有相同的Native VLAN配置。

注意：Native VLAN是802.1q中的概念，ISL中没有Native VLAN，也就是说，ISL对Trunk链路上的所有数据帧都进行VLAN标记。

n Trunk的排错

1. 接口模式

要确保至少一侧的链路的Trunk模式应当是Trunk或desirable。通过使用命令show interface interface-id trunk可以验证接口的Trunk配置。

2. 封装类型

确保链路两端的Trunk封装类型兼容。

3. Native VLAN

如果使用802.1q封装，要确保Trunk链路两端的Native VLAN配置相同。

n 什么是EthernetChannel

EthernetChannel通过捆绑多条以太链路来提高链路带宽，并运行一种机制，将多个以太网端口绑成一条逻辑链路。以太网通道最多可以捆绑8条物理链路，其中物理链路可以是双绞线的，也可以是光纤连接的。

但是，以太网通道必须遵循以下一些规则：

? 参与捆绑的端口必须属于同一个VLAN。如果是在中继模式下，要求所有参加捆绑的端口都是在中继模式下。并且所有端口上配置相同的准许VLAN范围。如果通道中所有中继的准许VLAN范围不相同，不允许某个VLAN的中继端口丢弃那个VLAN的数据包，而允许该VLAN的端口为其传送数据。

? 如果端口配置的是中继模式，那么，应该在链路两端将通道中的所有端口配置成相同的中继模式。

? 所有参与捆绑的端口的物理参数设置必须相同，应该有同样的速度和全/版双工模式设置。

n 以太网通道的配置

在如下图所示的拓扑中配置以太网通道。

交换机A上的配置如下：

交换机B的配置方法与A相同。

查看以太网通道的配置，显示如下内容表示配置正确。

交换机A：

交换机B：