虚拟局域网VLAN
VLAN的概念
在传统的交换式以太网中,所有的用户都在同一个广播域内,当网络规模比较大的时候,广播包的数量会明显的增加,当广播包的数量站到总量的30%的时候,网络传输效率会明显的下降,特别是网络设备出现故障的时候,不停的向网络发送广播,从而导致广播风暴。在实际生产环境中同处于一个广播域内,会大大降低特殊部门的网络安全性,已经在局域网内被攻击的可能性。那么也就是说vlan能够分割广播域,在不同的广播域的计算机之间是不能正常通信的,要实现通信需要单臂路由和三层交换。
划分广播域分为:
物理分隔:将网络从物理上划分为若干个小网络,然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。
逻辑分隔:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN(Virtual Local Area Network,虚拟局域网)。VLAN工作在OSI参考模型的数据链路层,一个VLAN就是一个交换
网络,其中的所有用户都在同一个广播域中,各VLAN通过路由设备连接实现通信。
使用VLAN技术的好处:
1. 控制广播
2. 增强网络安全性
3. 简化网络管理
vlan的种类分为:静态VLAN和动态VLAN
静态vlan的范围:Cisco交换机最多能够支持4096个VLAN。型号不同支持的数量不同。
Trunk的作用
如果说两太交换机相同的vlan之间要进行通信理论上来说我们需要分别为不同交换机相同vlan拉条线。
那么我们能不能用一条线连接呢?这也就是我们的Trunk(中继链路)
Trunk(干道、中继)的作用就是使同一个VLAN能够跨交换机通信
在交换网络中,链路有两种类型:接入链路和中继链路
接入链路:通常属于一个VLAN。主机与交换机之间连接的链路就是接入链路。
中继链路:可以承载多个VLAN。两台交换机之间的链路就是中继链路。中继链路通常用来将一台交换机连接到其他交换机导航,或者将交换机连接到路由器上。
trunk的模式
端口模式不同,结果不同
VLAN的标识
中继链路如何工作的呢?很简单,把不同vlan传输打个标签呗。
1. ISL(Inter-Switch Link,交换机间链路)
ISL是Cisco私有的标记方法,ISL报头封装是26字节,CRC(Cyclic Redundancy Check,循环冗余校验)尾部是四个字节,总共30个字节。
ISL只是对帧进行封装,而没有修改帧中的任何内容。
2. IEEE802.1q
802.1q是公有的标记方法,其他厂商的产品也支持这种标记方法。不论采用哪种标记方法,链路双方的设备都要使用相同的标记方法。
802.1q使用了一种内部标记机制。中继设备将四个字节的标记插入到数据帧内,并重新计算FCS。
这个四字节的标记头包含以下内容:
2字节标记协议标示符(TPID)包含一个0x8100的固定值,这个特定的TPID值指明了该帧带有802.1q的标记信息。
2字节标记控制信息(TCI)包含额下面的元素:
3位的用户优先级(Priority):802.1q不使用该字段。
1位的规范格式标示符(CFI):CFI常用于以太网和令牌环网。在以太网中,CFI的值通常设置为0。
12位VLAN标示符(VLAN ID):该字段唯一标识了帧所属的VLAN。VLAN ID可以唯一的标识4096个VLAN,但VLAN0和VLAN 4095是被保留的。
3. Native VLAN
802.1q在设计时,为了兼容与不支持VLAN的交换机混合部署,特地设计了一个Native VLAN,它允许交换机从Trunk端口上转发为被标记的帧。在Cisco Catalyst交换机上,默认的Native VLAN是VLAN 1,但可以配置。Native VLAN的数据帧在Trunk链路中是未被标记的。
对于两台设备之间的Trunk端口,要求链路两侧具有相同的Native VLAN配置。
注意:Native VLAN是802.1q中的概念,ISL中没有Native VLAN,也就是说,ISL对Trunk链路上的所有数据帧都进行VLAN标记。
什么是EthernetChannel (以太网通道)
EthernetChannel通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口绑成一条逻辑链路。以太网通道最多可以捆绑8条物理链路,其中物理链路可以是双绞线的,也可以是光纤连接的。
但是,以太网通道必须遵循以下一些规则:
参与捆绑的端口必须属于同一个VLAN。如果是在中继模式下,要求所有参加捆绑的端口都是在中继模式下。并且所有端口上配置相同的准许VLAN范围。如果通道中所有中继的准许VLAN范围不相同,不允许某个VLAN的中继端口丢弃那个VLAN的数据包,而允许该VLAN的端口为其传送数据。
如果端口配置的是中继模式,那么,应该在链路两端将通道中的所有端口配置成相同的中继模式。
所有参与捆绑的端口的物理参数设置必须相同,应该有同样的速度和全/版双工模式设置。
实验及配置:
xxx公司的员工人数已达到100人,其网络设备如图所示。现在的网络环境导致广播较多、网速慢,并且也不安全。公司希望按照部门划分网络,并且能够保证一定的网络安全性。
其网络规划如下:
PC1和PC3为财务部,属于VLAN2,名称为caiwu,其IP地址分别为192.168.0.2/24、192.168.0.3/24
PC2和PC5为销售部,属于VLAN3,名称为xiaoshou,其IP地址分别为192.168.1.2/24、192.168.1.3/24
PC4和PC6为生产部,属于VLAN4,名称为shengchan,其IP地址分别为192.168.2.2/24、192.168.2.3/2
三台交换机之间的链路为Trunk。配置交换机管理的IP地址用VLAN1,SW1、SW2与SW3的IP地址分别为192.168.100.1/24、192.168.100.2/24、192.168.100.3/24
具体步骤:
1. 在SW1上创建vlan2,名称为caiwu和vlan3,名称为xiaoshou。如图所示:
2. 在SW2上创建vlan2,名称为caiwu和vlan4,名称为shengchan。如图所示:
3. 在SW3上创建vlan3,名称为xiaoshou和vlan4,名称为shengchan。如图所示:
4. 将SW1的F0/1接口加入到vlan2中,F0/2接口加入到vlan3中。如图所示:
5. 将SW2的F0/1接口加入到vlan2中,F0/2接口加入到vlan4中。如图所示:
6. 将SW3的F0/1接口加入到vlan3中,F0/2接口加入到vlan4中。如图所示:
7. 在SW1上给vlan1配置一个IP地址。如图所示:
8. 将SW1的F0/14接口改为trunk模式。如图所示:
9. 将SW1的F0/1接口到F0/14接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:
10. 在SW2上给vlan1配置一个IP地址。如图所示:
11. 将SW2的F0/14和F0/15两个接口改为trunk接口。如图所示:
12. 将SW2的F0/1接口到F0/15接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:
13. 在SW3上给vlan1配置一个IP地址。如图所示:
14. 将SW3的F0/15接口改为trunk接口。如图所示:
15. 将SW3的F0/1接口到F0/15接口都开启(模拟器需要这步过程,真实机就不需要)。如图所示:
16. 给PC1配置IP地址:192.168.0.2/24,PC2配置IP地址:192.168.1.2/24,PC3配置IP地址:192.168.0.3/24,PC4配置IP地址:192.168.2.2/24,PC5配置IP地址:192.168.1.3/24,PC6配置IP地址:192.168.2.3/24。如图所示:
17. 此时,当同网段的主机相互ping通时,发现只有PC2和PC5不能ping通,PC1和PC3能ping通,PC4和PC6能ping通。如图所示:
18. 因为连接PC2和PC5的接口属于vlan3,而且SW2上也没创建vlan3,所以不能转发数据,只要在SW2上创建vlan3即可。如图所示:
19. 再让PC2去pingPC5时,发现已经可以通信了。如图所示:
VLAN的种类
1. 静态VLAN
静态VLAN也称基于端口的VLAN,是目前最常见的VLAN实现方式。就是明确指定交换机的端口属于哪个VLAN,这需要网络管理员手工配置。当用户主机连接到交换机端口上时,就被分配到了对应的VLAN中。
这种端口和VLAN的映射只是在本地有效,交换机之间不能共享这一信息。
2. 动态VLAN
动态VLAN的实现方法有多种,目前最普遍的实现方法是基于MAC地址的动态VLAN。基于MAC地址的动态VLAN,是根据主机的MAC地址自动将其指派到合适的VLAN中。这种VLAN划分方法的最大优点就是,当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置。但这种方法的缺点是初始化时所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置任务将非常繁重。所以这种划分方法通常不适用于大型局域网。
创建VLAN
VLAN数据库配置模式。此模式只支持VLAN正常范围(1-1005)。
全局配置模式。此模式不仅支持VLAN正常范围,而且也可以配置VLAN数据库配置模式不能配置的扩展范围的VLAN。
要删除ID为20的VLAN,需要使用no vlan vlan-id命令。其执行过程如下:
也可以在VLAN数据库中删除VLAN。其执行过程如下:
将交换机的端口加入到相应的VLAN中
可以使用命令default interface interface-id,还原接口到默认配置状态。
查看VLAN信息的命令
查看某个VLAN信息的命令
Trunk的排错
1. 接口模式
要确保至少一侧的链路的Trunk模式应当是Trunk或desirable。通过使用命令show interface interface-id trunk可以验证接口的Trunk配置。
2. 封装类型
确保链路两端的Trunk封装类型兼容。
3. Native VLAN
如果使用802.1q封装,要确保Trunk链路两端的Native VLAN配置相同。
以太网通道的配置
在如下图所示的拓扑中配置以太网通道。
交换机A上的配置如下:
交换机B的配置方法与A相同。
查看以太网通道的配置,显示如下内容表示配置正确。
交换机A:
交换机B: