VLAN
1 1.园区网VLAN技术
1.1 VLAN分割模型
1.1.1 端到端VLAN
1.1.2 nativevlan(默认是1,经过trunk时不需被标记)
1.1.3 实施端到端的理由
可以将用户进行分组
安全
QoS
避免路由选择
特殊用途vlan
设计粗劣
1.2 配置vlan
1.2.1 vlan的范围(0-4095)
根据平台和软件版本不同,Cisco交换机最多支持4094个VLAN。
0,4095:保留,仅限系统使用。用户不能查看。
1:CISCO默认VLAN,不能删除。
2-1001:用于以太网的VLAN,用户可自己创建的VLAN
1002-1005:用于FDDI和令牌环的默认VLAN,不能删除。
1006-1024:保留,仅限系统使用。用户不能查看。
1025-4094:以太网扩展的VLAN,3550以上才能用,VTP为透明模式。
1.2.2 全局配置模式
vlan 10
name huo
access端口
switchport mode access
switchport host
switchport access vlan 10
show vlan
1.2.3 vlan 数据库模式
vlan database
2 2.Trunk
2.1 链路聚集协议
2.1.1 ISL(cisco私有):在帧的两端加入ISL帧头和ISL FCS
2.1.2 802.1Q:在帧中插入Tag,改变FCS
为转发未被标记的帧而定义native vlan
两端的native vlan必须相同
2.2 DTP(消耗资源,不采用)
Dynamic Auto |
Dynamic Desirable |
Trunk |
Access |
|
Dynamic Auto |
Access |
Trunk |
Trunk |
Access |
Dynamic Desirable |
Trunk |
Trunk |
Trunk |
Access |
Trunk |
Trunk |
Trunk |
Trunk |
连接受限 |
Access |
Access |
Access |
连接受限 |
Access |
2.3 配置
2.3.1 switchportmode trunk
2.3.2 switchporttrunk encapsulation dot1q
2.3.3 switchporttrunk native vlan 10
2.3.4 switchporttrunk allowed vlan 1-100
3 3.VTP(cisco私有二层协议)
3.1 模式
3.1.1 server(默认)
可以创建、修改和删除vlan
向其他交换机发送或转发通告
会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步
会将vlan配置保存到NVRAM中
3.1.2 client
不能创建、修改和删除vlan
向其他交换机转发通告
会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步
不会将vlan配置保存到NVRAM中
3.1.3 transparent
只能在本地创建、修改和删除vlan
向其他交换机发送或转发通告
不会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步
会将vlan配置保存到NVRAM中
3.2 vtp修剪
3.2.1 通告修剪,减少vtp泛洪
3.2.2 通常只需在server端开启
3.3 版本
3.3.1 1
3.3.2 2(一般使用)
支持不能识别的TLV
支持令牌环
与版本无关的透明模式
一致性检查
3.3.3 3(不能直接处理vlan,没有被广泛使用)
3.4 通告
3.4.1 汇总通告消息:每5分钟发送一条
3.4.2 子集通告消息:vlan信息列表
3.4.3 通告请求消息
交换机重启
vtp域名被修改
Subtopic
3.5 配置
3.5.1 vtp modeserver
3.5.2 vtpdomin huo
3.5.3 vtpversion 2
3.5.4 vtppassword 123
3.5.5 vtppruning
3.5.6 show vtpstatus
3.5.7 Subtopic
4 6.vlan间路由
4.1 单臂路由
4.1.1 优势
可以与支持vlan和802.1q的交换机一起工作
实施方法简单
路由器负责vlan间的通信
4.1.2 缺点
存在单点故障问题
流量路径单一可能会造成拥塞
路由决策,延时增加
4.1.3 配置
interface f0/0
no shutdown
interface f0/0.1
description VLAN 1
encapsulation dot1Q 1 native
ip add 10.1.1.1 255.255.255.0
exit
interface f0/0.2
description VLAN 2
encapsulation dot1Q 2
ip add 10.2.2.1 255.255.255.0
exit
interface f4/2
switchport trunk encapsulation dot1q
switchport mode trunk
end
4.2 SVI(int vlan 10)
4.2.1 优势
速度远远快于单臂路由
不必使用交换机与路由器相连的外部链路进行路由
链路不仅限一条
延迟很低
4.2.2 劣势:要使用三层交换机来执行vlan间路由
4.2.3 配置
interface vlan 10
ip address 10.1.1.1 255.255.255.0
no shutdown
ip routing
4.3 路由端口
4.3.1 同一台多层交换机上可以同时拥有SVI接口和路由端口
4.3.2 多层交换机可以使用硬件来转发二层或三层的流量
4.3.3 配置
interface f0/1
no switchport
ip address 10.1.1.1 255.255.255.0
5 4.PrivateVlan
5.1 解决问题
5.1.1 为每个客户都分配一个不同的vlan就需要在ISP的网络设备上使用大量的三层接口
5.1.2 当很多vlan互相通信时,生成树就会变得复杂
5.1.3 浪费地址空间
5.1.4 使用很多ACL确保安全性,增加管理复杂程度
5.2 端口类型
5.2.1 孤立端口:即使在同一Pvlan中,只能与杂合端口进行通信
5.2.2 杂合端口:可以与所有vlan中的端口通信,一般是路由器或服务器
5.2.3 团体端口:同一团体的端口之间可以通信,也可以与杂合端口通信,但与不同团体,孤立端口之间是隔离的
5.3 类型
5.3.1 主pVLAN
5.3.2 辅助pVLAN
5.3.3 团体VLAN
5.3.4 孤立VLAN
5.4 基本配置
3、PVLAN——用于高端会所、五星级酒敆(企业高管、行政官员)(VTP模式为Transparent模式)
3)、PVLAN配置
1. 设置主VLAN
SW1(config)# vlan 200
private-vlan primary
2. 设置二级子VLAN
SW1(config)# vlan 201
private-vlan isolated 设置为孤立VLAN
SW1(config)# vlan 202
private-vlan community 设置为团体VLAN
3. 将子VLAN划入主VLAN中,建立一个联系或者关联
SW1(config)# vlan 200
private-vlan association 201-202
SW1(config)# vlan 200
private-vlan association add 203 加入一个子VLAN
private-vlan association remove 203 移除一个子VLAN
4. 将端口设定一个模式,并划入相应的VLAN中
int e0
switchport mode private-vlan host 设置端口的模式,根据子VLAN的类型成为相应的端口
switchport private-vlan host-association200 201-----将端口划入VLAN200中的子VLAN201
show vlan private-vlan
int e0
switchport mode private-vlan promiscuous设置混杂端口
switchport private-vlan mapping 200201-202 设定混杂端口所能管理的子VLAN
switchport private-vlan mapping 200201-202 设定混杂端口所能管理的子VLAN
switchportprivate-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLAN
5.5 端口保护
5.5.1 某些低端交换机(2960)不支持PVlan
5.5.2 受保护端口不会向同一交换机的受保护端口发送数据包
6 5.EtherChannel
6.1 概述:将多条物理链路绑定为一条逻辑链路来解决链路拥挤问题(最多8条)
6.2 PAgP(cisco私有)
6.2.1 每30s发送一次
6.2.2 模式
auto:被动协商
desirable:主动协商
on:手工强制指定
non-silent:
6.3 LACP
6.3.1 模式
passive:被动协商
active:主动协商
on:手工强制指定
6.3.2 系统优先级
6.3.3 端口优先级
6.3.4 管理密钥
6.4 配置
二层EtherChannel配:î
interfaceFastEthernet0/1
shutdown
Switchport
switchport trunkencapsulation dot1q
switchport modetrunk
switchportnonegotiate(禁用DTP协商)
Speed 1000
Duplex full
channel-group 1 modeon(手动强制指定为EtherChannel)
No shutdown
interfaceFastEthernet0/2
shutdown
Switchport
switchport trunkencapsulation dot1q
switchport modetrunk
switchportnonegotiate(禁用DTP协商)
Speed 1000
Duplex full
channel-group 1 modeon(手动强制指定为EtherChannel)
No shutdown
三层EtherChannel配置:
interfaceFastEthernet0/1
shutdown
No Switchport
Speed 1000
Duplex full
channel-group 1modeon(手动强制指定为EtherChannel)
No shutdown
Interfaceport-channel 1
Ip address x.x.x.xy.y.y.y
interfaceFastEthernet0/2
shutdown
No Switchport
Speed 1000
Duplex full
channel-group 1mode on(手动强制指定为EtherChannel)
No shutdown
Interfaceport-channel 1
Ip address x.x.x.xy.y.y.y
6.4.1 showinterface f0/1 etherchannel
6.4.2 showetherchannel 1 port-channel
6.4.3 showether-channel summary
6.5 负载均衡
6.5.1 port-channelload-balance
src-mac---源MAC地址
dst-mac---目标MAC地址
src-dst-mac---源和目标MAC地址
src-ip---源IP地址
dst-ip---目标IP地址
src-dst-ip---源和目标IP地址
src-port---源端口
dst-port---目标端口
src-dst-port---源和目标端口