女生二郎腿高潮坏处:第九章 虚拟局域网
第九章 虚拟局域网
一、基本概念
通过虚拟局域网可以在一个纯交换性的网络中分隔广播域。VLAN有两两部分组成:一是网络用户、一是管理上连接到交换机所定义端口的资源。
如何实习VLAN之间的通信呢,通过三层设备----路由器
划分VLAN的好处:一是广播控制、一是安全性、一是灵活性和可扩展性。
默认情况下:交换机上的所有端口都属于VLAN1,它不能被删除,被改名,在应用中一般用它管理VLAN
VLAN的分类:静态VLAN和动态VLAN
静态VLAN:VLAN通常由管理员创建,并由管理员将交换机端口分配到每个VLAN中。这是最安全的应用。
动态VLAN:管理员将所有主机的MAC地址都分配到一个数据库中,交换机可以动态的分配VLAN。在同一台交换机上,可以有动态接入端口和中继端口,但必须将动态接入端口连接到终端工作站或集线器上,而不是连接到另一台交换机上。
二、VLAN的识别
可以将某个端口手工配置为访问端口或中继端口,也可以通过动态中继协议(dynamic trunking protocol.DTP)基于每个端口操作,以设置交换机的端口模式。
根据帧所穿越的链路类型不同,交换机对帧的处理方式也不同,具体的有:访问端口和中继端口
访问端口:只能属于某一个VLAN,只能承载某一个VLAN的流量。流量以本机格式接收和发送,无论何时不带有VLAN标识。所有带有VLAN标识的帧只能由中继器转发。
注:连接到访问链路的设备不能与VLAN外部的设备进行通信,除非数据包是通过路由转发。只能让交换机端口成为中继端口或访问端口,而不能既是访问端口又是中继端口。
语音VLAN:以称为辅助VLAN,它被允许覆盖在数据VLAN之上,使得两种类型的流量能够通过同一个端口进行传送。[只有访问端口能够被配置用于数据和语音VLAN]
中继端口:它属于所有VLAN。中继链路是两台交换机之间的100MB/S或1000MB/S的点对点链路。也可以是交换机与路由器之间的或者是交换机与服务器之间的连接。
注:如果在交换机之间使用访问链路,就只能允许一个VLAN在交换机之间时行通信。
帧的工作原理:接收到帧的每台交换机首先识别帧标记中的VLAN ID,然后通过查看过滤表中的信息,它就知道该对帧进行哪些操作,如果接收到帧的交换机有另一条中继路,帧就从中继链路端口上转发出去。在帧在转发出去之前,交换机将删除VLAN标识,这样目的设备就可以接收到帧,需无需去理解它们的VLAN ID。
VLAN的识别:当帧正在穿越交换机结构时,交换机跟踪所有这些帧的方式。方式有:交换机间链路(ISL){是一种在以太网帧上显式地标记VLAN信息的方法。它允话VLAN在中继链路上实现多路复用}、IEEE802.1Q{在帧中插入一个字段以标识VLAN,工作原理是首先指定准备采用802.1Q封装来实现中继的那个端口,必须为端口分配特定的VLAN ID,使他们成为本机VLAN,以便让他们通信。};
三、VLNA中继协议(VTP):VLAN Trunking Protocol
它的目标是:跨交换式互联网络管理所有已经配置好的VLAN,并在那个网络上维护其一致性。VTP允许管理员对VLAN进行添加、删除和更名。并将这些信息传播到VTP域中的所有其它交换机上。
注:在实现上述功能之前,必须在网络中创建一台VTP服务器,并将与其相连的其它交换机设成客户端。VTP信息通过中继端口在交换机之间传送。
要求:域名、密码相同的情况下。不需要路由器。
VTP模式:服务器、客户机、透明。
服务器模式:对于Catalyst交换机来说,这是默认模式。在VTP中至少有一台服务器;只有在服务器模式下,才能实现对VLAN的删除、编辑等操作。
客户机模式:从VTP服务器接收信息。不能对VLAN进行编辑。
透明模式:不参与VTP域的工作,也不与其他交换机共享其VLAN数据库,但他们仍然将通过任何已经配置好的中继链路转发VTP通告。他们可以添加或删除VLAN。目的:允许远程交换机从VTP服务器接收发VLAN数据库信息,而这个VTP服务器是通过没有参与同一个VLAN分配的交换机进行配置的。
VTP修剪:用来保存带宽。通过配置修剪来减小广播、组播和单播包的数量。它只将广播发送到真正需要该信息的中继链路上。
默认时,交换机上的修剪功能是关闭的,在VTP服务器上配置修剪功能,VLAN1不能启用,因为他是用来做管理的。
Sw1#show interface trunk //查看所有默认时穿越中继链路的VLAN
Sw1(config)#interface f0/1
Sw1(config-if)#switchport trunk pruning vlan 3~4 //在VLAN3和VLAN4上启用修剪功能。
独臂路由器:就是将所有的二层设备的数据信息都经过一条链路与路由器进行通迅。这种方式构成的网络路由称为。既所有的VLAN信息都通过一条TRUNK链路与上层进行通信。
四、配置VLAN
S1(config)#vlan 2
S1(config-vlan)#name sales
S1(config-vlan)#vlan 3
S1(config-vlan)#name marketing
S1(config-vlan)#vlan 4
S1(config-vlan)#name accounting
S1#show vlan
注:实际上可用的VLAN号只能到1005,而且不能修改主、删除VLAN1以及VLAN1002~1005,因为他们是保留的。超过这些数字的VLAN号被称为“扩展VLAN”,它们的不会被保存在数据库中,除非交换机设置了VTP透明模式。默认时所有端口都属于VLAN1。所有的中继端口都不会显示在VLAN数据库中,必须使用show interface trunk来查看中继端口。
分配端口到VLAN中,除了语音言访问端口之外,每个端口可以只是某个VLAN的一部分。
S1(config)#interface f0/3
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 3
配置中继端口
S1(config)#interface f0/8
S1(config-if)#switchport mode trunk
注:switchport mode access 使接口(访问端口)成为永久性的非中继模式,并协商将链路转换为非中继链路。是专用于第2层接口。
Switchport mode dynamic auto 使接口将链路转换为中继链路。如果邻居接口设置为中继或需要的模式,该接口将变在中继接口。
Switchport mode dynamic desirable 使接口试图动态地将链路转换为中继链路。如果邻居接口设置为中继、需要的或自动模式,该接口将变成中继接口。
Switchport mode trunk 使接口永久的成为中继接口。并协商将邻居链路转为中继链路。
Switchport nonegotiate 用来防止接口产生DTP(dynamic trunk protocol)帧,仅当接口的switchport模式为access或trunk时才使用此命令。
必须手工将邻居接口配置为中继接口,经建立中继链路。
禁用中继时,可以将该接口设置成为ACCESS模式。
在三层交换机上配置中继
Core(config-if)#switchport trunk encapsulation dot1q
Core(config-if)#switchport mode trunk
在中继端口上定义允许的VLAN
S1(config)#interface f0/1
S1(config-if)#switchport trunk allowed vlan remove 4 //阻止在S1的商品F0/1上配置中继链路,从而使它丢弃所有从VLAN4发送和接收的流量。要删除某个范围的VLAN,只需要使用switchport trunk allowed vlan remove 4~8;
如果不小心从中继链路上删除了一些VLAN,需要将中继设置回默认状态,可以使用switchport trunk allowed vlan all或用no switchport trunk allowed vlan
变更或修改中继端口本机VLAN
S1(config)#interface f0/1
S1(config-if)#switchport trunk native vlan 40 //将VLAN40做为管理VLAN.
配置VLAN间路由
S1(config)#int f0/1
S1(config-if)#switchport mode trunk
S1(config-if)#int f0/2
S1(config-if)#switchport mode access vlan 1
S1(config-if)#int f0/3
S1(config-if)#switchport mode access vlan 1
S1(config-if)#int f0/4
S1(config-if)#switchport mode access vlan 3
S1(config-if)#int f0/5
S1(config-if)#switchport mode access vlan 3
S1(config-if)#int f0/6
S1(config-if)#switchport mode access vlan 2
在配置路由器之前需要配置逻辑网络
VLAN1:192.168.10.16 /28
VLAN2:192.168.10.32/28
VLAN3:192.168.10.48/28
路由器配置
R1(config)#int f0/0
Ri(config-if)#no ip address
Ri(config-if)#no shutdown
Ri(config-if)#int f0/0.1
Ri(config-subif)#encapsulation dot1q 1
Ri(config-subif)#ip address 192.168.10.17 255.255.255.240
Ri(config-subif)#int f0/0.2
Ri(config-subif)#encapsulation dot1q 2
Ri(config-subif)#ip address 192.168.10.33 255.255.255.240
Ri(config-subif)#int f0/0.3
Ri(config-subif)#encapsulation dot1q 3
Ri(config-subif)#ip address 192.168.10.49 255.255.255.240
需要从每个VLAN的子网范围中,为VLAN中的主机分配一个地址,默认网关则是在那个VLAN中分配给路由器子接口的IP地址。
默认情况不,不需要为VLAN配置IP地址,但VLAN 1做为管理VLAN需要配置IP地址
S1(config)#int vlan 1
S1(config-if)#ip adderss 192.168.10.2 255.255.255.128
S1(config-if)#no shutdown
配置VTP
默认时所有的交换机都配置为VTP服务器模式。
S1(config)#vtp mode server
S1(config)#vtp domain lammle
S1(config)#vtp password todd
S1#show vtp status
Core(config)#vtp mode client
Core(config)#vtp domain lammle
Core(config)#vtp password todd
S2(config)#vtp mode vlient
S2(config)#vtp domain lammle
S2(config)#vtp password todd
S2#show vlan brief