三层交换机实现VLAN间通信
一、基础知识
1、VLAN基础知识
第二层交换式网络存在很多缺陷。例如,全网属于一个广播域,极易引起广播碰撞和广播风暴等问题,必然会造成网络带宽资源的极大浪费;网络安全性不高,所有用户都可以监听到服务器以及其他设备端口发出的数据包;蠕虫病毒泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络阻塞和瘫痪。
虚拟局域网(VLAN) ,允许一组不限物理位置的用户群共享一个独立的广播域,可在一个物理网络中划分多个 VLAN,即可使不后的用户群属于不同的广播域。这样,通过划分用户群,控制广播范围等方式VLAN 技术能够从根本上解决网络效率与安全性等问题。
实际局域网划分VLAN 后,每个 VLAN 是一个单独的广播域,所以在默认情况下,不同 VLAN 中的计算机之间无法通信。允许此类计算机之间通信的种方法是 VLAN 间路由,它是使用三层设备 (如三层交换机或路由器)从一个VLAN向另一个 VLAN转发网络流量的过程。
在企业网和校园网中,三层交换机解决了局域网 VLAN必须依赖路由器进行管理的局面。利用三层交换机在局域网中划分 VLAN,可以满足用户端多种灵活的逻辑组合,对不同 VLAN之间可以根据需要设定不同的访问权限,以此增加网络的整体安全性,极大地提高网络管理员的工作效率,而且三层交换机可以合理配置信息资源,降低网络配置成本,使得交换机之间的连接变得灵活。
每个VLAN与网络中唯一的IP 子网相关联,VLAN 中的每个设备配置一个相同网段的IP 地址,不同的 VLAN 使用不同网段的IP 地址。这种子网VLAN 关联简化了多 VLAN 环境中的路由处理。三层交换机属于三层设备,因此,它是实现 VLAN 间设备通信的良好选择。
为了使第三层交换机执行路由功能,交换机上的 VLAN 接口须配置合适的IP 地址,该IP 地址就是该 VLAN 中主机的网关地址。
管理员可以手动指定交换机之间的链路是否形成中继,交换机也可以采用DTP(Dynamic Trunk Protocl) 自动协商形成中继链路。DTP有4种协商形成中继链路的模式。negotiate 模式强制把交换机接口置于中继模式,并会主动发送协商包或者响应对方的协商包;desirable 模式期望把交换机接口置于中继模式,并会主动发送协商包或者响应对方的协商包,只要对方能响应协商包,则交换机之间的接口会成功协商成中继模式;auto 模式不会主动发送协商包,但会响应对方的协商包,如果对方主动发送了协商包,则会成功协商成中继模式!nonegotiate 模式把接口强制置于中继模式,但不会主动发送协商包,也不响应对方的协商包,除非对方也已经把接口强制置于中继模式,否则交换机之间的接口无法形成中继链路。
2、VLAN中继
由于VLAN的设置通常按逻辑功能而非按物理位置进行,同一 VLAN跨越任意物理位置的多个交换机的情况更为常见。那么,怎样才能使主机间完成正确的识别并进行 VLAN 的内部通信呢?这里包含两层意思:一是属于同一VLAN的成员之间如何实现通信,二是属于不同 VLAN 的数据在交换时如何区分(或者说如何标识)。VLAN 中继 (Trunk Link) 技术就是解决这个问题的有效方法。VLAN 中继是以太网交换机端口和另一个连网设备 (如路由器或交换机)的以太网端口之间的点对点链路,负责在单个链路上传输多个 VLAN的流量。VLAN 中继不属于某个具体的 VLAN,而是作为交换机之间或交换机与路由器之间传输VLAN信息的通道。
3、VTP基础知识
随着中小型企业网络中的交换机数量的增加,全局统筹管理网络中的多个VLAN和中继成为了一个难题。Cisco开发了一种能帮助网络管理员自动完成 VLAN的创建、删除和同步等工作的技术,即虚拟局域网中继协议 (VLANTrunk Protocol,VTP)。
VTP 的主要优点:
使用VTP可以减少配置的工作量,减少配置错误的概率,减少配置的不一致性;
VTP是用来通告VLAN信息的;
VTP 的作用仅仅在一个管理域内 (可以自己设置哪些交换机属于管理域).
VTP 只在trunk端口上传播,普通的access端口上是不会传播VTP信息的
VTP 用来管理和配置整个 VLAN交换网络。它允许网络管理员添加、册除或重新配置交换网络,并同时提供对多种网络介质的支持,能够准确、及时地跟踪和监测 VLAN信息,动态地向所有的网络交换机报告当前的网络状况例如 VLAN的添加或删除等。这些新增的 VLAN还具有即插即用的特性,允许管理员在同一个域内管理多个 VLAN。域中所有交换机通过 VTP 通告共享VLAN配置的详细信息,VTP 域包括一台交换机或者共享相同 VTP 域名的多台互连交换机,一台交换机每次只能成为一个 VTP 域的成员。配置 VTP 域的好处是,如果发生配置更改错误,它可以限制该错误在网络中的传播范围。
要成功配置 VTP 服务器,需要遵循以下原则:
VTP域名是交换机上设置的关键参数。错误配置的VTP域名将影响交换机之间的VLAN同步。
在第一台交换机上配置VTP域后,VTP将开始通告VLAN信息。其他通过中继链路相连的交换机会自动接收VTP通告中的VTP域信息。
确保VTP域名称精确匹配。特别注意,VTP域名区分大小写。
如果要配置VTP口令,要确保对域内需要交换VTP信息的所有交换机上设置相同的口令,没有口令或口令错误的交换机将拒绝VTP通告例如,在全局配置模式下输入“vtp password cisco”后,则要求在这个VTP域内的其他所有交换机都执行这条命令。
在VTP服务器上启用VTP之后,再创建VLAN。在启用之前所创建的VLAN会被自动删除。
二、常用命令
1、创建vlan
vlan [name ] 例如:Switch(config)#vlan 10 name xiaoqiang,即创建名为xiaoqiang、ID名为10的VLAN。[ ]里的为可选参数。
2、设置vlan名
name vlan-name例如:Switch(config-vlan)#name soft_sziit。
3、设置vtp域名
vtp domain <域名>例如:命令Switch3560(vlan)#vtp domain xiaoqiang 就是设置VTP的域名为xiaoqiang。
随着中小型企业网络中的交换机数量的增加,全局统筹管理网络中的多个VLAN和中继成为了一个难题。Cisco开发了一种能帮助网络管理员自动完成 VLAN的创建、删除和同步等工作的技术,即虚拟局域网中继协议 (VLANTrunk Protocol,VTP)。
4、进入VLAN数据库
vlan database5、设置端口为存取模式
switchport mode access6、将端口添加到指定VLAN ID的VLAN中
switchport access vlan 例如:命令Switch1(config-if)#switchport access vlan 20,即把当前端口划分到VLAN 20中。
7、将当前端口置为永久中继模式
switchport mode trunk8、把交换机的接口主动变为中继模式
Switchport mode dynamic desirable例如,思科3560交换机的接口默认是auto模式,如果另一端的交换机接口不是nonegotiate中继协商模式,那么进入端口模式,采用上述命令就可以把当前端口主动协商成中继模式。
9、设置交换机VTP工作模式
vtp mode server|client|transparent例如:命令Switch1(config)#vtp mode client就是设置交换机工作在VTP客户模式,server为服务器模式,transparent为透明模式。
10、显示VLAN信息
show vlan11、显示VTP状态
show vtp status12、显示交换机的端口信息
show interface 端口名 switchport例如,命令show interface f0/24 switchport可以查看交换机的f0/24口是否处于中继状态、DTP协商中继模式等信息
三、学习情景
学院的信息中心拟按照学院行政部门把学校校园网划分成三个VLAN,校园网的计算机按部门分为三组,分别属于不同的VLAN。计算机的分组情况是:第一组计算机PC11、PC12和PC13属于学院计算机应用系,划分到第一个VLAN;第二组计算机PC21、PC22 和PC23 属于学院软件系,划分到第二个 VLAN,第三组计算机PC31、PC32和 PC33 属于学院通信系,划分到第三个 VLAN,校园网由一台 3560交换机和三台 2960 交换机组成。
四、网络拓扑图
五、相关参数
计算机名 |
IP地址 |
VLAN ID |
网关 |
PC0 |
192.168.10.10 |
10 |
192.168.10.254 |
PC1 |
192.168.20.10 |
20 |
192.168.20.254 |
PC2 |
192.168.30.10 |
30 |
192.168.30.254 |
PC3 |
192.168.40.10 |
40 |
192.168.40.254 |
六、配置计算机IP地址
以PC0为例,其他的和PC0设置方法基本相同
七、VTP域配置
1、在3560三层交换机上配置VTP域名
Switch3560#vlan database
Switch3560(vlan)#vtp domain xiaoqiang
Domain name already set to xiaoqiang
Switch3560(vlan)#ex2、用命令show vtp status查看当前3560交换机的VTP信息
Switch3560#show vtp status查看结果:
3、配置Switch0和Switch1的VTP相关参数
下面以Switch0为例设置VTP的域名和工作模式。可以按照同样的命令设置Switch1。
Switch0>en
Switch0#conf t
Switch0(config)#vtp mode client
Setting device to VTP CLIENT mode.
Switch0(config)#vtp domain xiaoqiang
Changing VTP domain name from NULL to xiaoqiang4、创建VLAN
由于在当前的网络中,只有Switch 3560工作在VTP服务器模式,所以,在Switch3560上创建校园网的VLAN。
Switch3560#vlan database
Switch3560(vlan)#vlan 10
VLAN 10 added:
Name: VLAN0010
Switch3560(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
Switch3560(vlan)#vlan 30
VLAN 30 added:
Name: VLAN0030
Switch3560(vlan)#vlan 40
VLAN 40 added:
Name: VLAN0040
Switch3560(vlan)#ex
APPLY completed.
Exiting....5、建立交换机的中继链路
建立Switch3560与Switch0之间的中继链路
Switch3560#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch3560(config)#int f0/1
Switch3560(config-if)#switchport mode dynamic desirable建立Switch3560与Switch1之间的中继链路
Switch(config-if)#int f0/2
Switch(config-if)#switchport mode dynamic desirable6、查看VLAN信息
分别查看两个交换机上的VLAN信息
八、配置各个VLAN网关
在Switch3560上配置各个VLAN网关,这样三层交换机就会产生VLAN间通信所需要的路由表项。
Switch3560#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch3560(config)#int vlan 10
Switch3560(config-if)#ip add 192.168.10.254 255.255.255.0
Switch3560(config-if)#int vlan 20
Switch3560(config-if)#ip add 192.168.20.254 255.255.255.0
Switch3560(config-if)#int vlan 30
Switch3560(config-if)#ip add 192.168.30.254 255.255.255.0
Switch3560(config-if)#int vlan 40
Switch3560(config-if)#ip add 192.168.40.254 255.255.255.0
Switch3560(config-if)#exit
Switch3560(config)#ip routingip routing开启三层交换机路由功能(必不可少)
九、验证
PC0分别ping PC1,PC2,PC3