第11章 拾遺3:虛擬區域網(VLAN)
1. 虛擬區域網(VLAN)
(1)VLAN是建立在物理網路基礎上的一種邏輯子網,它將把一個LAN劃分成多個邏輯的區域網(VLAN),每個VLAN是一個廣播域,VLAN內的主機間通訊就和在一個LAN內一樣,而VLAN之間不能直接互通。
(2)VLAN是一種將局域裝置從邏輯上劃分成一個個網段,而不用考慮這些LAN是否在同一個交換機上。
(3)VLAN的優點就是可以防範廣播風暴以及增強區域網的安全性。
2. 建立和管理VLAN
(1)VLAN劃分
①將一個交換機劃分成兩個VLAN,相當於將交換機邏輯上分成了兩個交換。
②這兩個不同的VLAN之間通訊必須通過路由器轉發
(2)建立和管理VLAN
Switch>en Switch#show vlan //檢視vlan,預設所有的介面都在VLAN1 Switch#config t Switch(config)#vlan 2 //建立VLAN2, 刪除命令為no vlan 2 Switch(config-vlan)#exit Switch(config)#interface range fastEthernet 0/13-24 //進入介面配置模式 Switch(config-if-range)#switchport mode access //將這些介面設定為“訪問介面” Switch(config-if-range)#switchport access vlan 2 //將這些介面指定到vlan 2 Switch(config-if-range)#exit Switch(config)#exit Switch#show vlan //檢視vlan
3. 交換機埠型別與幀標記
(1)交換機埠的型別
①訪問埠:只能屬於某一個VLAN,它只能承載某一個VLAN的流量。連線訪問埠的鏈路稱為訪問鏈路。
②中繼埠:能同時承載多個VLAN的流量,連線中繼埠的鏈路稱為幹道鏈路。資料幀進入幹道鏈路時需要新增幀標記(VLAN ID),離開幹道鏈路時去掉幀標記(這對計算機來說是透明的),這些幀標記的意義在於用來識別通過幹道的資料幀是來自哪個VLAN的,所以訪問鏈路沒有幀標記。
(2)幀標記
①IEEE802.1Q協議:俗稱“Dot one Q”是由IEEE建立的,作為幀標記的標準方法。它實際上是在幀中插入一個欄位以標識VLAN,可以Cisco交換機和不同品牌交換機之間中繼鏈路。使用時要先指定準備採用802.1Q封裝來實現中繼的埠,同時為這些埠分配VLAN ID。
②ISL協議:交換機間鏈路(Inter-Switch Link),是Cisco產品支援的一種與IEEE802.1Q類似的,用於在中繼鏈路上附加VLAN資訊的協議。這是Cisco交換機專用的方法,只用於快速乙太網和吉位元乙太網鏈路,其用途廣泛,可用在交換機埠、路由器埠和伺服器介面卡上。
(3)幹道鏈路連線多個VLAN
①圖中VLAN1跨2個交換機,為了確保VLAN1網內部的計算機能通訊,可以用一根網線連線在交換機A和B的VLAN1埠。如果交換機劃分出多個VLAN時就需要多根網線來連線相應的VLAN埠,同時也佔用大量的交換機埠。
②可以使用一條幹道鏈路連線兩個交換機的中繼埠。這樣當計算機A發廣播幀時,SwitchA知道計算機A屬於VLAN1的,就將該廣播幀傳送到本交換機上VLAN1的所有埠。同時通過幹道鏈路傳送到SwitchB,SwitchB收到後根據幀標誌後,去掉幀標誌然後轉給其VLAN1埠上的計算機。(注意在訪問鏈路上是沒有幀標記的)
(4)幹道鏈路和訪問鏈路的選擇
①如果需要多個VLAN通過的鏈路則需要配置為幹道鏈路(如交換機B、C、D與交換機E之間的連線配置成幹道鏈路)
②如果鏈路上只需要單一VLAN的資料通過則可以配置為訪問鏈路。(如交換機A與E之間,因為交換機A上連線的是同一個VLAN的計算機!)
4. 跨交換機的VLAN
(1)配置幹道鏈路
①在Switch1和Switch2上建立VLAN2並配置訪問埠和幹道埠
Switch>en
Switch#config t
Switch(config)#vlan 2
Switch(config)#interface range fastEthernet 0/13-24 //進入介面配置模式
Switch(config-if-range)#switchport mode access //將這些介面設定為訪問介面
Switch(config-if-range)#switchport access vlan 2 //將介面指定到VLAN2
Switch(config-if-range)#ex
Switch(config)#interface gigabitEthernet 0/1 //進入幹道埠
Switch(config-if)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
trunk Set trunking mode to TRUNK unconditionally
Switch(config-if)#switchport mode trunk //將介面指定為幹道介面②在匯聚層交換機Switch0建立VLAN2並配置幹道埠
Switch>en
Switch#config t
Switch(config)#vlan 2 //必須建立VLAN2,雖然沒有VLAN2的計算機直接連線到該交換機
Switch(config-vlan)#ex
//進入介面配置模式(只有FastEthernet和GigabitEthernet介面支援幹道)
Switch(config)#interface range gigabitEthernet 0/1-2
Switch(config-if-range)#switchport trunk encapsulation dot1q //幹道鏈路使用IEEE802.1Q協議
Switch(config-if-range)#switchport mode trunk //將介面指定為幹道介面
Switch(config-if-range)#③存在問題:如果網路中需要新增加一個VLAN3或將VLAN2刪除,則需要在Switch1、Switch2和Switch0三個交換機上都進行增刪操作,比較繁瑣。這可以通過配置VTP域來統一管理,簡化操作!
(2)配置VTP域(VLAN幹道協議)
①VTP協議能夠在幹道鏈路上通告VLAN新增和刪除,從而可以方便管理VLAN。它需要在交換機間共享VLAN資訊。
②一個VTP域至少應該有一個交換機為Server(VTP模式設定為Server),可以在該交換機上新增、刪除VLAN。這些更改將會通過VTP協議通告給VTP中的其他交換機。
③如果將交換機模式設定為Client,該交換機從VTP伺服器接收VLAN資訊,同時也傳送和接收更新。但不能在這些交換機上新增或刪除VLAN。如果將VTP模式設定為Transparent,能夠通過幹道鏈路通告VTP資訊,但不會修改自己的VLAN資訊。
//1. 在Switch1和Switch2上配置VTP域(含域名、密碼和模式)
Switch>en
Switch#config t
Switch(config)#vtp domain myDM //必須有相同的VTP域名
Switch(config)#vtp password 123456 //必須有相同的密碼
Switch(config)#vtp mode ? //檢視VTP模式
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
Switch(config)#vtp mode client //設定為Client模式//2. 在Switch0上的配置VTP
Switch(config)#vtp domain myDM //VTP域名
Switch(config)#vtp password 123456 //密碼
Switch(config)#vtp mode server //Server模式
Switch(config)#vlan 40 //建立VLAN 40,用於測試增加VLAN,可去其他client交換機檢視是否發生變化
Switch(config-vlan)#ex
Switch(config)#no vlan 40 //刪除VLAN 40,可去其他Client觀察是否出現相應的變化
Switch(config)#ex
Switch#show vlan //檢視VLAN
Switch#show vtp status //檢視vtp域的配置5. VLAN間通訊與路由配置
5.1 單臂路由器實現VLAN間路由
(1)兩條路由方法:
①普通路由:使用路由器的兩個乙太網絡分別接入交換機的VLAN1和VLAN2介面來作為閘道器。(如左圖)
②單臂路由:如果路由器的乙太網介面支援802.1Q或ISL,就可以將路由器的乙太網介面和交換機的幹道介面相連(如右圖),通過將路由器的物理介面分為邏輯上的介面,分別作為VLAN1和VLAN2的閘道器。(路由器介面的FastEthernet或gigabitEthernet支援單臂路由)
(2)實驗:單臂路由
①在Switch1上建立VLAN2,將F0/13-24埠指定到VLAN2。
//Switch1
Switch#config t
Switch(config)#vlan 2 //建立VLAN2
Switch(config-vlan)#ex
Switch(config)#interface rang fastEthernet 0/13-24 //進入介面配置模式
Switch(config-if-range)#switchport mode access //指定這些介面為訪問介面
Switch(config-if-range)#switchport access vlan 2 //指定到VLAN2
Switch(config-if-range)#ex
Switch(config)#interface gigabitEthernet 0/1 //將介面配置為幹道介面
Switch(config-if)#switchport mode trunk②在Router0上配置子介面支援VLAN
Router#config t
Router(config)#interface gigabitEthernet 0/0 //進入介面配置模式
Router(config-if)#no sh //物理介面需要啟用,但不需要配置
Router(config)#ex
Router(config)#interface gigabitEthernet 0/0.1 //進入0.1子介面,作為VLAN1的閘道器
Router(config-subif)#encapsulation dot1q 1 //使用802.1協議封裝,1代表VLAN1的幀標誌
Router(config-subif)#ip address 192.168.1.1 255.255.255.0 //子介面(邏輯介面)IP
Router(config-subif)#no sh //啟用子介面
Router(config-subif)#ex
Router(config)#interface gigabitEthernet 0/0.2 //進入0.2子介面,作為VLAN2的閘道器
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#ex
Router(config)#ex③測試:pc0 ping pc1
5.2 多層交換機實現VLAN間路由
(1)多層交換機的邏輯結構
①多層交換機虛擬介面(SVI)代表由交換埠構成的VLAN,一個SVI對應一個VLAN。
②每個SVI介面可用於連線一個子網,當需要路由虛擬區域網之間的流量時,SVI介面(也叫VLAN介面)的IP地址就是該子網的閘道器。
③組成SVI的物理介面都必須是Access介面。
(2)配置SVI介面
①在Switch0上配置VLAN介面
Switch#config t
Switch(config)#interface vlan 1 //進入VLAN1的虛擬介面
Switch(config-if)#ip address 192.168.0.1 255.255.255.0 //設定介面IP和子網掩碼
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#interface vlan 2 //進入VLAN1的虛擬介面
Switch(config-if)#ip address 192.168.1.1 255.255.255.0 //設定介面IP和子網掩碼
Switch(config-if)#no sh
Switch(config-if)#end
Switch#show interface vlan 1 //檢視VLAN1介面
Switch(config)#ip routing //啟用三層交換機的路由功能(重要!)
Switch#show ip route //檢視路由表②測試:PCO ping PC3