问题: 1 VLAN含义? 把地理位置不在一起的设备逻辑上划分到一起。 2 划分VLAN优点? 管理方便; 安全
一、VLAN的定义及特点
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
静态VLAN(Static VLAN):基于端口划分的VLAN,管理员手工指定。
动态VLAN(Dynamic VLAN):基于主机的MAC地址,由VMPS(VLAN Manager Policy Server)建立主机MAC地址与VLAN的映射。
VLAN(Virtual Local Area Network ,VLAN)
分段网络(Segmentation)、灵活性、安全性
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
● 网络设备的移动、添加和修改的管理开销减少;
● 可以控制广播活动;
● 可提高网络的安全性。
二、VLAN的分类及优缺点
定义VLAN成员的方法有很多,由此也就分成了几种不同类型的VLAN。
基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况:
如图3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。
如图2所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。
基于端口的VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对VLAN成员进行重新配置。
三、VLAN的目的
VLAN(Virtual Local Area Network,虚拟局域网)技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。
1. 广播风暴防范:
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量.
Trunk:
在一个有两台交换机的网络拓扑中,相同的VLAN是否可以通讯呢?答案是肯定的!!
TRUNK本身中文含义就是:干线, 树干, 躯干, 箱子, 主干, 象鼻之意?那么在换句话来说它就是可以承载一些东西的意思,同样在网络中它也起到了一个承载作用,它可以承载多个VLAN,使不同交换设备的同一VLAN进行通信。
如图所视,TRUNK也同样有着自己的结构,既然说TRUNK是中继链路,那么我们就不能不提到链路的两种类型:
1、接入链路:接入链路只是VLAN的成员。连接到这个端口上的设备完全不知道存在VLAN这个东西,图上主机与交换机之间连接的链路就是接入链路。设备只是根据配置在该设备上的第3层信息,认为它是网络或子网的一个部分。接入链路是属于一个并且只属于一个VLAN的端口。这个端口不能从另外一个VLAN接收或发送信息,除非该信息经过了路由。
2、中继链路:刚才我说了中继链路可以承载多个VLAN。SW1与SW2之间的链路就是中继链路。
那么我们现在来看一下一个数据帧通过中继链路的过程。
1、当连接在SW1上的VLAN3中的主机A发送数据帧给SW2上的VLAN3中的主机B时。主机A发送的数据是普通的数据帧。
2、交换机SW1接收到这一系列数据帧,根据接收数据帧的端口的信息。得知这个数据帧来自VLAN3,并且查看MAC地址表后,知道需要转发给SW2,于是,SW1就会在这个数据帧中打上一个VLAN标记,也就是在数据帧中插一个字段,将VLAN ID信息写如这个字段。
3、SW2接收到这些有VLAN ID标示的数据帧后,根据目标MAC地址,将数据帧转发给VLAN3中的主机B。
以上就是数据通过中继链路的过程。
那么我们现在来看一下一个数据帧通过中继链路的过程。
1、当连接在SW1上的VLAN3中的主机A发送数据帧给SW2上的VLAN3中的主机B时。主机A发送的数据是普通的数据帧。
2、交换机SW1接收到这一系列数据帧,根据接收数据帧的端口的信息。得知这个数据帧来自VLAN3,并且查看MAC地址表后,知道需要转发给SW2,于是,SW1就会在这个数据帧中打上一个VLAN标记,也就是在数据帧中插一个字段,将VLAN ID信息写如这个字段。
3、SW2接收到这些有VLAN ID标示的数据帧后,根据目标MAC地址,将数据帧转发给VLAN3中的主机B。
以上就是数据通过中继链路的过程。
下面我们说说刚刚我提到的VLAN标示问题。
VLAN标示在TRUNK中起到了相当大的作用,VLAN标示就是帧标示,给在中继链路上传输的每个帧分配一个用户唯一定义的ID。这个ID是VLAN的VLAN号。如果帧在传输中还有发送到另外的中继链路,VLAN标示仍将保留在该帧头中。否则,如果该帧发送到一条接如链路,交换机就会把帧头里的VLAN标示删除。
VLAN标示又分两种:
一种是公有标记802.1Q封装所有厂商支持。还有一种是ISL封装,只限于CISCO使用(注意:CISCO2950不支持ISL,只支持802.1Q)。
关于IEEE802.1Q,它的正式名称是虚拟桥接局域网标准,它支持通过一条中继链路承载一个一上的VLAN数据流的能力。它也定义了VLAN的架构,VLAN中所提供的服务以及提供这些服务所涉及的协议和算法
采用802.1Q封装的帧,是在标准以太网帧上添加了4个字节。
原始以太网帧不能超过1518个字节,如果一个最大长度的帧是通过8021.起来标示的,那么。这个帧变成1522个字节,被称为小巨帧。但交换机仍可成功处理这种帧。
TPID:指明帧带有802.1Q/802.1P标示信息。
至于ISL封装就是:
ISL给帧增加了一个26字节的帧头和一个4字节的帧尾。帧尾包含了一个循环冗余效验码(CRC)。
那么我们现在回过头来看看IEEE802.1Q和ISL的不同之处:
1、802.1Q是公有的VLAN-TRUNK标示,而ISL是CISCO私有的标示方式。
2、802.1Q将标记添加到以太网帧的中间,而ISL将标示添加到以太网帧的首尾。
3、ISL标记比802.1Q标记长26个字节,802.1Q标记共4字节长,ISL共30个字节长。
本地VLAN(Native VLAN):在Trunk链路中不加入帧标记的VLAN,默认为VLAN1。在交换网络中,Native VLAN保持一致。
IEEE 802.1Q Trunk:开放的数据链路层协议。支持多厂商设备。在帧中间加入4个字节的Tag字段。Cisco 1900XL不支持802.1Q,2900XL、2950系列、3500系列、4000系列、6500系列都支持802.1Q,2950只支持802.1Q。
本地VLAN(Native VLAN):在Trunk链路中不加入帧标记的VLAN,默认为VLAN1。在交换网络中,Native VLAN保持一致。
交换机间链路(Inter-Switch Link,ISL):Cisco私有的数据链路层协议。在帧的头部加入26Byte的头部信息,在帧的尾部加入4Byte CRC信息。Cisco 1900XL只支持ISL;Cisco 2900XL、3500系列、4000系列、6500系列默认采用ISL。
VTP
VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息
VTP有三种工作模式:VTP Server、VTP Client 和 VTP Transparent。新交换机出厂时的默认配置是预配置为VLAN1,VTP 模式为服务器。 一般,一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表,VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息。
VTP模式有3种 服务器模式(Server)客户机模式(Client)透明模式(Transparent)
提供VTP消息:包括VLAN ID和名字信息
学习相同域名的VTP消息
转发相同域名的VTP消息
可以添加、删除和更改VLAN VLAN信息写入NVRAM
请求VTP消息
学习相同域名的VTP消息
转发相同域名的VTP消息
不可以添加、删除和更改VLAN VLAN信息不会写入NVRAM
不提供VTP消息
不学习VTP消息
转发VTP消息
可以添加、删除和更改VLAN,只在本地有效 VLAN信息写入NVRAM
新交换机出厂时的默认配置是预配置为VLAN1,VTP 模式为服务器。
VTP的配置创建VTP域名
Swithc(config)#vtp domain [域名] 域名必须一致
配置VTP的工作模式
Swithc(config)#vtp mode [server | client | transparent]
配置VTP的口令
Swithc(config)#vtp password [口令]
检查VTP
Switch#show vtp status
问题:
4 如何将指定端口加入VLAN? Switch(config)#int f0/10 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 5 为什么跨交换机出现VLAN1之间能PING通,其它VLAN之间PING不通? 6 怎么解决上面的问题? 设置中继链路(trunk) 7 中继链路设置完后重要的查看命令: Switch#show interfaces trunk 8 如何限制某些VLAN 不能通过TRUNK 链路? Switch(config-if)#switchport trunk allowed vlan 1,2 9 本征VALN含义? 不打标记的VLAN 10 一台交换机有三个VLAN,分别是1,2,3. 本征VALN一端设置成1,另外一端为2,请问 哪些VLAN可以ping通?哪些不通?分析原因 答案: VLAN1 之间不通;VLAN2之间不通;VLAN3之间 通; 11、如何修改trunk的本征VALN? Switch(config-if)#switchport trunk native vlan 2