交换机VLAN划分详细手册

   

交换机VLAN划分详细手册
-------------------------两年砍柴(2010.08.08)
VLAN的含义... 2
VLAN的目的... 3
VLAN的优点... 3
VLAN的标准... 5
VLAN技术简单谈... 5
VLAN的定义及特点... 6
VLAN的分类及优缺点... 6
几个相关概念... 8
VLAN的基本配置命令... 10
交换机的端口工作模式的利用... 11
交换机的配置步骤及方法... 11
公司内部进行VLAN的划分实例... 12
案例一... 13
案例二... 16
 


 

VLAN 的含义
VLAN( Virtual Local Area Network)的中文名为“虚拟局域网”, 它也是一种局域网(LAN)。 VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。 IEEE于 1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术( VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的 VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
   VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
   VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN的产生原因——广播风暴
图1


VLAN 的目的
  VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个 LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。 从而保证办公网安全,保证办公网不被其它部门网直接访问,实现办公网和其它网络之间的技术隔离。
1 构建安全办公网工作拓扑
 
VLAN 的优点
1. 限制网络上的广播VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
2. 增强局域网的安全性。不同 VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3. 增加了网络连接的灵活性。借助 VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的 VLAN即使是同名也不可以相互通信。
 
【组建 VLAN的条件】
VLAN是建立在物理 网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量.
 
VLAN的划分】
1 、根据端口来划分VLAN
许多 VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口 VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
  
2 、根据MAC地址划分VLAN
这种划分 VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
 
3. 根据网络层划分VLAN
这种划分 VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查 IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
  
4. 根据IP组播划分VLAN
IP 组播实际上也是一种 VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
  
5. 基于规则的VLAN
也称为基于策略的 VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自己包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。
 
6. 按用户定义、非用户授权划分VLAN
基于用户定义、非用户授权来划分 VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
以上划分 VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和IP广播方式建立在第三层上。
 
VLAN 的标准
VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。
· 802.10 VLAN 标准
1995年,Cisco公司提倡使用IEEE 802.10协议。在此之前,IEEE 802.10曾经在全球范围内作为VLAN安全性的统一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FrameTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。
 
· 802.1Q
1996年3月,IEEE802.1 Internet working委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了FrameTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
 
· Cisco ISL 标签
ISL( Inter-Switch Link)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。
 
VLAN 技术简单谈
局域网的发展是 VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
局域网( LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。图2所示即为使用路由器构建的典型的局域网环境。
2 传统的局域网环境
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:
首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作 : 路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
 
VLAN 的定义及特点
虚拟局域网 VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理网段的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
   ● 网络设备的移动、添加和修改的管理开销减少;
   ● 可以控制广播活动;
   ● 可提高网络的安全性。
 
VLAN 的分类及优缺点
定义 VLAN成员的方法有很多,由此也就分成了几种不同类型的VLAN。
1. 基于端口的VLAN
基于端口的 VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况:
3 多交换机端口定义
(1) 多交换机端口定义VLAN
如图 3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。
(2) 单交换机端口定义VLAN
4 单交换机端口定义VLAN
如图 4所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。
基于端口的 VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对VLAN成员进行重新配置。
 
2. 基于MAC地址的VLAN
基于 MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
 
3. 基于路由的VLAN
路由协议工作在 7层协议的第3层—网络层,比如基于IP和IPX的路由协议, [2]这类设备包括路由器和路由交换机。该方式允许一个 VLAN跨越多个交换机,或一个端口位于多个VLAN中。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
 
4. 基于策略的VLAN
基于策略的 VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。
  
常见的应用VLAN
Port vlan Tag vlan
port vlan 基于端口的 VLAN,处于同一VLAN端口之间才能相互通信。
tag vlan 基于 IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同的VLAN
A 、端口的虚拟局域网的优缺点
基于端口的 VLAN,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为: 由于一个端口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。
 
B 、静态虚拟局域网的优缺点
可以说静态 VLAN与基于端口的VLAN有一丝相似之处,用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。
 
C 、动态的虚拟局域网的优缺点
与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有 MAC地址全部输入到了路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。
 
几个相关概念
VLAN:每一个 VLAN对应一个广播域;二层交换机之间没有路由功能,不能在VLAN之间转发帧,因而处于不同VLAN之间的主机不能进行通信(三层交换机支持VLAN间的路由,可以实现VLAN间的通信)
 
Trunking 技术:所谓的 Trunking是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为Trunk端口。trunk这个词是干线或者树干的意思,不过一般不翻译,直接用原文。
假设没有 Trunking技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。
当交换机支持 Trunking的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了1024个VLAN也只用1个端口就解决了。
 
VTPVLAN中继协议,用于维护全网的一致性;VTP能够提供三种工作模式:其中模式有三种工作模式——服务器模式(server mode)、客户模式(client mode)和透明模式(transparent mode)。交换机同时只能处于一种模式。
VTP信息宣告以多点传送的方式来进行。
VTP服务器和客户模式下会同步最新版本的宣告信息。
VTP信息宣告每隔 5分钟或者有变化时发生(30s)。
 
VLAN trunk:在交换机之间或交换机与路由器之间,互相连接的端口上配置中继模式,使得属于不同 VLAN的数据帧都可以通过这条中继链路进行传输。
帧的格式分为两种。
ISL: Inter-switch link,是CISCO交换机独有的协议。
IEEE802.1Q:是国际标准协议,被几乎所有的网络设备生产商所共同支持。
 
STP:生成树协议,在实现交换机之间的备份链路,避免网络环路的出现,实现网络的高可用性。其功能是允许在网络中存在容错的交换路径,并且不产生回路。即在之中有多个链路,但是只有一条是激活的,其他的备份线路都于备用状态以防止主链路出现故障。也可避免在两台已有的交换机中偶然地连接了一条链路。
  
VLAN 发展趋势
目前在宽带网络中实现的 VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(Class of Service)标准,这使网络通信优先级控制机制有了参考。
  
VLAN 的基本配置命令
1、 创建 vlan方法一
Switch#vlan database
switch(vlan)#vlan 10 name mahaobin
switch(vlan)#exit
2、 创建 vlan方法二
switch(config)#vlan 10
switch(config-vlan)#name mahaobin
3、 删除 vlan方法一
switch(vlan)#no vlan 10
switch(vlan)#exit
4、 删除 vlan方法二
switch(config)#no vlan 10
5、 删除 vlan方法三
switch#delete vlan.dat
6、 将端口加入到 vlan中
switch(config)#interface fastethernet 0/3
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
7、 将一组连续的端口加入到 vlan中可用关键字range
switch(config)# interface range fastethernet 0/1-5
switch(config-if-range)#switchport access vlan 10
switch(config-if)#exit
8、 将端口从 vlan中删除
switch(config-if)#no switchport access vlan 10
switch(config-if)#switchport access vlan 1
switch(config-if-range)#no switchport access vlan 10
switch(config-if-range)#switchport access vlan 1
9、 查看所有 vlan的摘要信息
switch#show vlan brief
10、 查看指定 vlan的信息
switch#show vlan id 10
11、 指定端口成为 trunk
switch(config-if)#switchport mode trunk
12、 Trunk的自动协商
switch(config-if)#switchport mode dynamic desirable
switch(config-if)#switchport mode dynamic auto
注意:如果中继链路两端都设置成 auto将不能成为trunk
13、 查看端口状态
switch#show interface f0/2 switchport
14、 在 trunk上移出vlan
switch(config-if)#switchport trunk allowed vlan remove 20
15、 在 trunk上添加vlan
switch(config-if)#switchport trunk allowed vlan add 20
 
交换机的端口工作模式的利用
交换机的端口工作模式通常可以分为三种 ,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通计算机的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,通常使用在交换机之间的级联端口上;multi模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口,所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台交换机中,不过Trunk模式的交换端口和multi模式的交换端口相互之间不能直接切换,往往只能先将交换端口设置为Access模式,之后再设置为其他模式。
 
交换机的配置步骤及方法
配置过程如下:
一、基本配置
交换机 1命令
交换机 2命令
1 、 Switch>enable                  进入特权模式
2 、 Seitch#config terminal         进入全局配置模式
3 、 Switch(config)#hostname SW1      给交换机命令
4 、 SW1(config)#enable secret 123    配置enable密码
5 、 SW1(config)#line console 0       进入line模式
6 、 SW1(config-line)#password 123    配置进入用户模式密码
7 、 SW1(config-line)#login           配置login登陆
8 、 SW1(config-line)#exit            退出到全局模式
 
二、配置 vlan,两种方法
步骤
交换机 1命令
交换机 2命令
作用
1 、 SW1#vlan database              进入vlan database
2 、 SW1(vlan)#vlan 2 name vlan2    配置vlan2
3 、 SW1(vlan)#vlan 3 name vlan3    配置vlan3
4 、 SW1(vlan)exit                  返回特权模式
Or
1 、 SW1#config terminal            进入全局配置模式
2 、 SW1(config)#vlan 2             配置VLAN 2
3 、 SW1(config-vlan)#name vlan2    将VLAN 2命名
4 、 SW1(config-vlan)#vlan 3        配置VLAN 3
5 、 SW1(config-vlan)#name vlan3    将VLAN3命名
6 、 SW1(config-vlan)#end           退出到特权模式
7 、 SW1#show vlan brief           查看VLAN情况
 
三、配置中继
步骤
交换机 1命令
交换机 2命令
作用
1 、 SW1#config terminal                   进入特权模式
2 、 SW1(config)#interface f0/24           进入接口配置模式
3 、 SW1(config-if)#switchport mode trunk  将F0/24口配置为中继
4 、 SW1(config-if)#end                    返回特权模式
5 、 SW1#show interface f0/24 switchport   查看F0/24的中继状态
 
四、将接口加入 vlan
步骤
交换机 1命令
交换机 2命令
作用
1 、 SW1#config terminal                             进入特权模式
2 、 SW1(config)#interface range f0/1-10             进入接口配置模式
3 、 SW1(config-if-range)#switchport access vlan 2   将f0/1-10分配给valn2
4 、 SW1(config-if-range)#interface range f0/11-20   进入f0/11-20的接口配置模式
5 、 SW1(config-if-range)#switchport access vlan 3   将接口分配vlan 3
6 、 SW1(config-if-range)#end                        返回特权模式
7 、 SW1#show vlan brief                             查看vlan 情况
 
公司内部进行VLAN的划分实例
对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的 VLAN的实例,这样也可以成为我们以后为公司划分VLAN的依据。
某公司现在有工程部、销售部、财务部。 VLAN的划分:工程部VLAN10,销售部VLAN20,财务部VLAN30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器,Cisco Catalyst 2924交换机一台,二层交换机若干台。
交换机配置文件中的部分代码如下:
   ......
   !
   interface vlan10
   ip address 192.168.0.1
   !
   interface vlan20
   ip address 192.168.1.1
   !
   interface vlan30
   ip address 192.168.2.1
   !
   ......
  路由器配置文件中的部分代码如下:
   ......
   interface FastEthernet 1/0.1
   Encapsulation isl 10
   ip address 192.168.0.2
   !
   interface FastEthernet 1/0.2
   Encapsulation isl 20
   ip address 192.168.1.2
   !
   interface FastEthernet 1/0.3
   Encapsulation isl 30
   ip address 192.168.2.2
   !
   ......
   !
   router rip
   network 192.168.0.0
      
 
案例一
技术实验报告——地址表
设备名称
设备地址
接口连接
SW-L3
VLAN2:192.168.2.1/24
F0/1 连接S2126G1 F0/1
VLAN3:192.168.3.1/24
F0/2 连接S2126G1 F0/2
VLAN10:192.168.10.1/24
F0/23 连接S2126G2 F0/23
F0/24 连接S2126G2 F0/24
VLAN11:192.168.11.1/24
F0/11(VLAN11) 连接S2126G3 F0/1
VLAN99:192.168.99.1/24
F0/9(VLAN99) 连接总经理PC
S2126G1
VLAN3:192.168.3.2/24
F0/1 连接SW-L3 F0/1
F0/2 连接SW-L3 F0/2
S2126G2
VLAN11:192.168.5.2/24
F0/23 连接SW-L3 F0/23
F0/24 连接SW-L3 F0/24
S2126G3
VLAN11:192.168.11.2/24
F0/1 连接SW-L3 F0/11接口
S2126G4
 
S2126G4 S2126G3堆叠
总经理PC
IP:192.168.99.99/24
网卡与SW-L3 F0/9连接
 
技术实验报告—— VLAN分配表
设备名称
VLAN ID
接口分配
SW-L3
VLAN11
F0/11(VLAN11)
VLAN99
F0/9(VLAN99)
S2126G1
VLAN2
F0/3-F0/11
VLAN3
F0/12-F0/24
S2126G2
VLAN11
F0/1-F0/22
S2126G3
VLAN11
全部接口分配到 VLAN11
S2126G4
 
技术实验报告——需求1
需求 1:公司内部员工可以互相通过网络互相交流。
1步:在相关交换机上创建VLAN,并将接口划分到相关VLAN中。
S2126G1 (config)# vlan 2
S2126G1 (config-vlan)#exit
S2126G1 (config)# vlan 3
S2126G1 (config-vlan)#exit
S2126G1 (config)# interface range fastethernet 0/3-11
S2126G1 (config-if-range)# switchport access vlan 2
S2126G1 (config-if-range)#exit
S2126G1 (config)# interface range fastethernet 0/12-24
S2126G1 (config-if-range)# switchport access vlan 3
注:连续接口 0/3-11,中间使用空格分离;
    不连续多个接口,中间用逗号隔开;
    如果使用模块,一定要写明模块编号。
其他交换机配置略
……
 
2步:在核心交换机上开启VLAN间路由。
在此步骤之前应完成 SW-L3上相关VLAN的建立,并将相应接口加入到相应VLAN
SW-L3(config)#interface vlan 2
SW-L3(config-if)#ip address 192.168.2.1 255.255.255.0
SW-L3(config-if)#no shutdown
SW-L3(config-if)#exit
SW-L3(config)#interface vlan 3
SW-L3(config-if)#ip address 192.168.3.1 255.255.255.0
SW-L3(config-if)#no shutdown
SW-L3(config-if)#exit
SW-L3(config)#interface vlan 10
SW-L3(config-if)#ip address 192.168.10.1 255.255.255.0
SW-L3(config-if)#no shutdown
SW-L3(config-if)#exit
SW-L3(config)#interface vlan 11
SW-L3(config-if)#ip address 192.168.11.1 255.255.255.0
SW-L3(config-if)#no shutdown
SW-L3(config-if)#exit
SW-L3(config)#interface vlan 99
SW-L3(config-if)#ip address 192.168.99.1 255.255.255.0
SW-L3(config-if)#no shutdown
SW-L3(config-if)#exit
 
技术实验报告——需求2
需求 2: 保证销售部门的员工能够全部接入网络,并且要保障接入交换机的工作效率。
S2126G3与S2126G4上的堆叠模块用堆叠线缆连接起来。
连接方式为 S2126G3  UP --- S2126G4 DOWN
                   S2126G3 DOWN --- S2126G4 UP
 
技术实验报告——需求3
需求 3:保证财务部门接入网络时不因线路问题出现不能访问的情况。
1步:建立S2126G1与SW-L3之间的双链路
S2126G1(config)#interface range fastethernet 0/1-2
S2126G1(config-if-range)#switchport mode trunk
SW-L3(config)#interface range fastethernet 0/1-2
SW-L3(config-if-range)#switchport mode trunk
 
2步:S2126G1与SW-L3运行快速生成树协议RSTP
S2126G1(config)#spannning-tree
S2126G1(config)#spanning-tree mode rstp
SW-L3(config)#spannning-tree
SW-L3(config)#spanning-tree mode rstp
 
技术实验报告-需求4
需求 4:保证市场推广部高速利用网络传输文件。
1步:建立S2126G2与SW-L3之间的双链路
S2126G2的F0/23、F0/24与SW-L3的F0/23、F0/24级联。
 
2步:建立S2126G2与SW-L3之间的聚合链路
S2126G2(config)#interface range fastethernet 0/23-24
S2126G1(config-if-range)#port-group 1
SW-L3(config)#interface range fastethernet 0/23-24
SW-L3(config-if-range)# port-group 1
 
技术实验报告——相关结果查看
#show spanning-tree             生成树协议查看
#show aggregateport summary     聚合端口查看
#show vlan                     VLAN查看
#show ip route                  路由表查看
 
案例二
跨交换机实现 vlan
【背景描述】
你是企业的网管,企业有两个主要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接,他们之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离。
【实现功能】
掌握交换机 Tag VLAN的配置,理解相同VLAN主机通讯,不同VLAN主机隔离的特点。
【使用设备】
S 2126G 2台),PC(3台)、直通线(4条)
【网络拓扑图】
【实现步骤】
1、根据拓扑图将主机和交换机进行连接
2、测试主机之间可以相互 ping通
3、配置交换机 Port VLAN
4、配置 Trunk接口
5、测试
6、配置 Native vlan为VLAN 10
 
配置步骤如下:
1、在交换机 SwitchA 上创建 Vlan 10,并将 0/5 端口划分到 Vlan 10 中。
SwitchA#configure terminal
SwitchA(config)# vlan 10
SwitchA(config-vlan)# name sales
SwitchA(config-vlan)#exit
SwitchA(config)#interface fastethernet0/5
SwitchA(config-if)#switchport access vlan 10
验证测试:验证已创建了 Vlan 10,并将 0/5 端口已划分到 Vlan 10 中。
SwitchA#show vlan id 10 !查看某一个 VLAN10 的信息
 
2、在交换机 switchA 上创建 Vlan 20,并将 0/8 端口划分到 Vlan 20 中。
SwitchA(config)# vlan 20
SwitchA(config-vlan)# name technical
SwitchA(config-vlan)#exit
SwitchA(config)#interface fastethernet0/8
SwitchA(config-if)#switchport access vlan 20
验证测试:验证已创建了 Vlan 20,并将 0/8 端口已划分到 Vlan 20 中。
SwitchA#show vlan id 20 !查看某一个 VLAN20 的信息
3、把交换机 SwitchA 与交换机 SwitchB 相连的端口(假设为 0/24 端口)定义为 tag vlan 模式。
SwitchA#configure terminal
SwitchA(config)#interface fastethernet0/24
SwitchA(config-if)#switchport mode trunk
!将 fastethernet 0/24 端口设为 tag vlan 模式
验证测试:验证 fastethernet 0/24 端口已被设置为 tag vlan 模式。
SwitchA#show interfaces fastEthernet0/24 switchport
Interface Switchport Mode Access Native Protected VLAN lists
Fa0/24 Enabled Trunk 1 1 Disabled All
 
4、在交换机 SwitchB 上创建 Vlan 10,并将 0/5 端口划分到 Vlan 10 中。
SwitchB # configure terminal
SwitchB(config)# vlan 10
SwitchB(config-vlan)# name sales
SwitchB(config-vlan)#exit
SwitchB(config)#interface fastethernet0/5
SwitchB(config-if)#switchport access vlan 10
验证测试:验证已在 SwitchB 上创建了 Vlan 10,并将 0/5 端口已划分到 Vlan 10 中。
SwitchB#show vlan id 10  !查看某一个 VLAN10 的信息
 
5、把交换机 SwitchB 与交换机 SwitchA 相连的端口(假设为 0/24 端口)定义为 tag vlan 模式。
SwitchB # configure terminal
SwitchB(config)#interface fastethernet0/24
SwitchB(config-if)#switchport mode trunk
验证测试:验证 fastethernet 0/24 端口已被设置为 tag vlan 模式。
SwitchB#show interfaces fastEthernet 0/24 switchport
Interface Switchport Mode Access Native Protected VLAN lists
-------------------------------------------------------------------
Fa0/24 Enabled Trunk 1 1 Disabled All
验证 PC1 与 PC3 能互相通信,但 PC2 与 PC3 不能互相通信。
C:\>ping 192.168.10.30 !在 PC1 的命令行方式下验证能 Ping 通 PC3
Pinging 192.168.10.30 with 32 bytes of data:
Reply from 192.168.10.30: bytes=32 time
Reply from 192.168.10.30: bytes=32 time
Reply from 192.168.10.30: bytes=32 time
Reply from 192.168.10.30: bytes=32 time
Ping statistics for 192.168.10.30:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>ping 192.168.10.30 ! 在 PC2 的命令行方式下验证不能 Ping 通 PC3
Pinging 192.168.10.30 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.10.30:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
 
注意事项:
§         两台交换机之间的端口应该设置为 tag vlan的传输。
§         Trunk接口在默认情况下支持所有 vlan的传输。

 

   

本文出自 “两年砍柴” 博客,谢绝转载!

你可能感兴趣的:(VLAN,休闲,交换机,划分,详细手册)