虚拟局域网VLAN

虚拟局域网VLAN

VLAN的概念

在传统的交换式以太网中,所有的用户都在同一个广播域内,当网络规模比较大的时候,广播包的数量会明显的增加,当广播包的数量站到总量的30%的时候,网络传输效率会明显的下降,特别是网络设备出现故障的时候,不停的向网络发送广播,从而导致广播风暴。在实际生产环境中同处于一个广播域内,会大大降低特殊部门的网络安全性,已经在局域网内被攻击的可能性。那么也就是说vlan能够分割广播域,在不同的广播域的计算机之间是不能正常通信的,要实现通信需要单臂路由和三层交换。

划分广播域分为:

物理分隔:将网络从物理上划分为若干个小网络,然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。

逻辑分隔:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN(Virtual Local Area Network,虚拟局域网)。VLAN工作在OSI参考模型的数据链路层,一个VLAN就是一个交换

网络,其中的所有用户都在同一个广播域中,各VLAN通过路由设备连接实现通信。

 

使用VLAN技术的好处

1. 控制广播

2. 增强网络安全性

3. 简化网络管理

vlan的种类分为:静态VLAN和动态VLAN

静态vlan的范围:Cisco交换机最多能够支持4096个VLAN。型号不同支持的数量不同。

image

Trunk的作用

如果说两太交换机相同的vlan之间要进行通信理论上来说我们需要分别为不同交换机相同vlan拉条线。

        image

那么我们能不能用一条线连接呢?这也就是我们的Trunk(中继链路)

image

Trunk(干道、中继)的作用就是使同一个VLAN能够跨交换机通信

在交换网络中,链路有两种类型:接入链路和中继链路

接入链路:通常属于一个VLAN。主机与交换机之间连接的链路就是接入链路。

中继链路:可以承载多个VLAN。两台交换机之间的链路就是中继链路。中继链路通常用来将一台交换机连接到其他交换机导航,或者将交换机连接到路由器上。

trunk的模式

image

端口模式不同,结果不同

image

VLAN的标识

中继链路如何工作的呢?很简单,把不同vlan传输打个标签呗。

image

1. ISL(Inter-Switch Link,交换机间链路)

image

ISL是Cisco私有的标记方法,ISL报头封装是26字节,CRC(Cyclic Redundancy Check,循环冗余校验)尾部是四个字节,总共30个字节。

ISL只是对帧进行封装,而没有修改帧中的任何内容。

2. IEEE802.1q

image

802.1q是公有的标记方法,其他厂商的产品也支持这种标记方法。不论采用哪种标记方法,链路双方的设备都要使用相同的标记方法。

802.1q使用了一种内部标记机制。中继设备将四个字节的标记插入到数据帧内,并重新计算FCS。

这个四字节的标记头包含以下内容:

2字节标记协议标示符(TPID)包含一个0x8100的固定值,这个特定的TPID值指明了该帧带有802.1q的标记信息。

2字节标记控制信息(TCI)包含额下面的元素:

3位的用户优先级(Priority):802.1q不使用该字段。

1位的规范格式标示符(CFI):CFI常用于以太网和令牌环网。在以太网中,CFI的值通常设置为0。

12位VLAN标示符(VLAN ID):该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一的标识4096个VLAN,但VLAN0和VLAN 4095是被保留的。

3. Native VLAN

802.1q在设计时,为了兼容与不支持VLAN的交换机混合部署,特地设计了一个Native VLAN,它允许交换机从Trunk端口上转发为被标记的帧。在Cisco Catalyst交换机上,默认的Native VLAN是VLAN 1,但可以配置。Native VLAN的数据帧在Trunk链路中是未被标记的。

对于两台设备之间的Trunk端口,要求链路两侧具有相同的Native VLAN配置。

注意:Native VLAN是802.1q中的概念,ISL中没有Native VLAN,也就是说,ISL对Trunk链路上的所有数据帧都进行VLAN标记。

什么是EthernetChannel (以太网通道)

EthernetChannel通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口绑成一条逻辑链路。以太网通道最多可以捆绑8条物理链路,其中物理链路可以是双绞线的,也可以是光纤连接的。

但是,以太网通道必须遵循以下一些规则:

参与捆绑的端口必须属于同一个VLAN。如果是在中继模式下,要求所有参加捆绑的端口都是在中继模式下。并且所有端口上配置相同的准许VLAN范围。如果通道中所有中继的准许VLAN范围不相同,不允许某个VLAN的中继端口丢弃那个VLAN的数据包,而允许该VLAN的端口为其传送数据。

如果端口配置的是中继模式,那么,应该在链路两端将通道中的所有端口配置成相同的中继模式。

所有参与捆绑的端口的物理参数设置必须相同,应该有同样的速度和全/版双工模式设置。

image

实验及配置

xxx公司的员工人数已达到100人,其网络设备如图所示。现在的网络环境导致广播较多、网速慢,并且也不安全。公司希望按照部门划分网络,并且能够保证一定的网络安全性。

其网络规划如下:

PC1和PC3为财务部,属于VLAN2,名称为caiwu,其IP地址分别为192.168.0.2/24、192.168.0.3/24

PC2和PC5为销售部,属于VLAN3,名称为xiaoshou,其IP地址分别为192.168.1.2/24、192.168.1.3/24

PC4和PC6为生产部,属于VLAN4,名称为shengchan,其IP地址分别为192.168.2.2/24、192.168.2.3/2

三台交换机之间的链路为Trunk。配置交换机管理的IP地址用VLAN1,SW1、SW2与SW3的IP地址分别为192.168.100.1/24、192.168.100.2/24、192.168.100.3/24

clip_image002

具体步骤:

1. 在SW1上创建vlan2,名称为caiwu和vlan3,名称为xiaoshou。如图所示:

clip_image004

2. 在SW2上创建vlan2,名称为caiwu和vlan4,名称为shengchan。如图所示:

clip_image006

3. 在SW3上创建vlan3,名称为xiaoshou和vlan4,名称为shengchan。如图所示:

clip_image008

4. 将SW1的F0/1接口加入到vlan2中,F0/2接口加入到vlan3中。如图所示:

clip_image010

5. 将SW2的F0/1接口加入到vlan2中,F0/2接口加入到vlan4中。如图所示:

clip_image012

6. 将SW3的F0/1接口加入到vlan3中,F0/2接口加入到vlan4中。如图所示:

clip_image014

7. 在SW1上给vlan1配置一个IP地址。如图所示:

clip_image016

8. 将SW1的F0/14接口改为trunk模式。如图所示:

clip_image018

9. 将SW1的F0/1接口到F0/14接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:

clip_image020

10. 在SW2上给vlan1配置一个IP地址。如图所示:

clip_image022

11. 将SW2的F0/14和F0/15两个接口改为trunk接口。如图所示:

clip_image024

12. 将SW2的F0/1接口到F0/15接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:

clip_image026

13. 在SW3上给vlan1配置一个IP地址。如图所示:

clip_image028

14. 将SW3的F0/15接口改为trunk接口。如图所示:

clip_image030

15. 将SW3的F0/1接口到F0/15接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:

clip_image032

16. 给PC1配置IP地址:192.168.0.2/24,PC2配置IP地址:192.168.1.2/24,PC3配置IP地址:192.168.0.3/24,PC4配置IP地址:192.168.2.2/24,PC5配置IP地址:192.168.1.3/24,PC6配置IP地址:192.168.2.3/24。如图所示:

clip_image034

17. 此时,当同网段的主机相互ping通时,发现只有PC2和PC5不能ping通,PC1和PC3能ping通,PC4和PC6能ping通。如图所示:

clip_image036

18. 因为连接PC2和PC5的接口属于vlan3,而且SW2上也没创建vlan3,所以不能转发数据,只要在SW2上创建vlan3即可。如图所示:

clip_image038

19. 再让PC2去pingPC5时,发现已经可以通信了。如图所示:

clip_image040

VLAN的种类

1. 静态VLAN

静态VLAN也称基于端口的VLAN,是目前最常见的VLAN实现方式。就是明确指定交换机的端口属于哪个VLAN,这需要网络管理员手工配置。当用户主机连接到交换机端口上时,就被分配到了对应的VLAN中。

这种端口和VLAN的映射只是在本地有效,交换机之间不能共享这一信息。

2. 动态VLAN

动态VLAN的实现方法有多种,目前最普遍的实现方法是基于MAC地址的动态VLAN。基于MAC地址的动态VLAN,是根据主机的MAC地址自动将其指派到合适的VLAN中。这种VLAN划分方法的最大优点就是,当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置。但这种方法的缺点是初始化时所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置任务将非常繁重。所以这种划分方法通常不适用于大型局域网。

创建VLAN

VLAN数据库配置模式。此模式只支持VLAN正常范围(1-1005)。

clip_image041

全局配置模式。此模式不仅支持VLAN正常范围,而且也可以配置VLAN数据库配置模式不能配置的扩展范围的VLAN。clip_image043

要删除ID为20的VLAN,需要使用no vlan vlan-id命令。其执行过程如下:

clip_image045

也可以在VLAN数据库中删除VLAN。其执行过程如下:

clip_image046

将交换机的端口加入到相应的VLAN中

clip_image048

可以使用命令default interface interface-id,还原接口到默认配置状态。

clip_image049

查看VLAN信息的命令

clip_image050

查看某个VLAN信息的命令

clip_image051

 

  Trunk的排错

1. 接口模式

要确保至少一侧的链路的Trunk模式应当是Trunk或desirable。通过使用命令show interface interface-id trunk可以验证接口的Trunk配置。

2. 封装类型

确保链路两端的Trunk封装类型兼容。

3. Native VLAN

如果使用802.1q封装,要确保Trunk链路两端的Native VLAN配置相同。

 

以太网通道的配置

在如下图所示的拓扑中配置以太网通道。

clip_image052

交换机A上的配置如下:

clip_image053

交换机B的配置方法与A相同。

clip_image054

查看以太网通道的配置,显示如下内容表示配置正确。

交换机A:

clip_image055

交换机B:

clip_image056

你可能感兴趣的:(广播域,刘明远)