虛擬局域網(wǎng)VLAN

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供金塔網(wǎng)站建設(shè)、金塔做網(wǎng)站、金塔網(wǎng)站設(shè)計(jì)、金塔網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、金塔企業(yè)網(wǎng)站模板建站服務(wù)，十載金塔做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

一、VLAN的概念及優(yōu)勢(shì)

1、 VLAN的概念及優(yōu)勢(shì)

在傳統(tǒng)的交換式以太網(wǎng)中，所有的用戶都在用一個(gè)廣播域，當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，廣播包的數(shù)量會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，就會(huì)不停的網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致廣播風(fēng)暴，使網(wǎng)絡(luò)通訊陷于癱瘓。

我們可以使用分隔廣播域的辦法來(lái)解決這個(gè)問(wèn)題，分隔廣播域又以下兩種辦法：

①物理分隔：將網(wǎng)絡(luò)從物理上分為若干個(gè)小網(wǎng)絡(luò)，然后使用能隔離廣播的路由器將不同的網(wǎng)絡(luò)連接起來(lái)實(shí)現(xiàn)通信。

②邏輯分隔：將網(wǎng)絡(luò)從邏輯上劃分為若干個(gè)小的虛擬網(wǎng)絡(luò)，即VLAN（virtual local area network，虛擬局域網(wǎng)）。VLAN工作在OSI參考模型的數(shù)據(jù)鏈路層，一個(gè)VLAN就是一個(gè)交換網(wǎng)絡(luò)，其中的所有用戶都在同一個(gè)廣播域中，各VLAN通過(guò)路由設(shè)備連接實(shí)現(xiàn)通信。

VLAN具有靈活性和可擴(kuò)展等特點(diǎn)，使用VLAN技術(shù)有以下好處：

①、控制廣播

每個(gè)VLAN都是獨(dú)立的廣播域，這樣就會(huì)減少了廣播對(duì)網(wǎng)絡(luò)帶寬的專用，提高

網(wǎng)絡(luò)傳輸效率，并且一個(gè)VLAN出現(xiàn)了廣播風(fēng)暴不會(huì)影響到其他VLAN。

       ②、增強(qiáng)網(wǎng)絡(luò)安全

由于只能在同一個(gè)VLAN內(nèi)的端口之間交換數(shù)據(jù)，不同VLAN的端口之間不能直接訪問(wèn)，因此，VLAN可以限制個(gè)別主機(jī)訪問(wèn)服務(wù)器等資源，所以通過(guò)劃分VLAN可以提高網(wǎng)絡(luò)的安全性。

       ③、簡(jiǎn)化網(wǎng)絡(luò)管理

           如果對(duì)于某些用戶重新進(jìn)行網(wǎng)段分配，需要對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)進(jìn)行調(diào)整，甚至追加設(shè)備，這樣會(huì)增大網(wǎng)絡(luò)管理的工作量。而對(duì)采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè)VLAN可以根據(jù)部門、對(duì)象組或者不同地理位置的用戶劃分到一個(gè)網(wǎng)絡(luò)中，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意的將工作站在工作組之間移動(dòng)，降低了網(wǎng)絡(luò)管理和維護(hù)的工作負(fù)擔(dān)，降低網(wǎng)絡(luò)維護(hù)的費(fèi)用。

2、 VLAN的種類

2.1、靜態(tài)VLAN

靜態(tài)VLAN也稱基于端口的VLAN，是目前最常見(jiàn)的VLAN實(shí)現(xiàn)方式。

明確指定交換機(jī)的端口屬于哪個(gè)VLAN，這需要給管理員手動(dòng)配置，

這種端口和VLAN的映射只在本地有效，交換機(jī)之間不能共享這一信

息。

     2.2、動(dòng)態(tài)VLAN

         動(dòng)態(tài)VLAN是根據(jù)終端用戶設(shè)備的mac地址來(lái)定義成員資格的。當(dāng)設(shè)備連接一個(gè)交換機(jī)端口時(shí)，該交換機(jī)必須查詢它的一個(gè)數(shù)據(jù)庫(kù)以建立VLAN的成員資格。因此，網(wǎng)絡(luò)管理員必須先把用戶的MAC地址分配到VLAN成員資格策略服務(wù)器（VMPS，VLAN membership policy server）的數(shù)據(jù)庫(kù)中的一個(gè)VLAN上。

         對(duì)cisco交換機(jī)而言，動(dòng)態(tài)VLAN是用如ciscoworks22000或ciscoworks for switched internetworks（CWSI）的網(wǎng)絡(luò)管理工具來(lái)建立和進(jìn)行管理的。動(dòng)態(tài)VLAN對(duì)終端用戶來(lái)說(shuō)具有更大的靈活性和可移動(dòng)性，但要求有更多的管理方面的開(kāi)銷。

3、 靜態(tài)VLAN的配置

3.1、VLAN的范圍

Cisco交換機(jī)最多能夠支持4096個(gè)VLAN，不同型號(hào)的交換機(jī)支持的

VLAN數(shù)目也不同。

3.2、VLAN的基本配置

   創(chuàng)建VLAN分為兩種模式，一種是數(shù)據(jù)庫(kù)模式，一種是全局配置模式.

    VLAN數(shù)據(jù)庫(kù)模式，只支持VLAN正常范圍（1~1005）。

    VLAN全局配置模式，不僅支持VLAN正常范圍，也可以配置VLAN數(shù)

據(jù)庫(kù)模式不能配置的擴(kuò)展范圍的VLAN。

二、VLAN  Trunk

1、Trunk概述

1.1、     Trunk的作用

在交換網(wǎng)絡(luò)中，鏈路有兩種類型：

接入鏈路：通常屬于一個(gè)VLAN。主機(jī)與交換機(jī)之間連接的鏈路就是接入鏈路。

中繼鏈路：可以承載多個(gè)VLAN之間通訊，通常是在交換機(jī)與交換機(jī)之間，后者交換機(jī)與路由器之間。

1）、VLAN30中的主機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)B時(shí)，主機(jī)A發(fā)送的數(shù)據(jù)

幀是普通的數(shù)據(jù)幀。

2）、交換機(jī)SW1收到數(shù)據(jù)幀，知道這個(gè)數(shù)據(jù)幀來(lái)自VLAN30，要轉(zhuǎn)發(fā)

給SW2，于是就會(huì)在數(shù)據(jù)幀上打上VLAN30的標(biāo)簽，然后發(fā)送給SW2。

3）、SW2接收到帶有VLAN30標(biāo)簽的數(shù)據(jù)幀后，根據(jù)目標(biāo)MAC地址，

得知數(shù)據(jù)幀是發(fā)送給主機(jī)B的，就會(huì)刪除VLAN標(biāo)識(shí)還原為普通的數(shù)

據(jù)幀，然后轉(zhuǎn)發(fā)給主

機(jī)B。

1.2、     VLAN的標(biāo)識(shí)

VLAN標(biāo)識(shí)可以采用幾種方式進(jìn)行。每一種標(biāo)識(shí)方法都使用一種不同的幀標(biāo)識(shí)機(jī)制。在以太網(wǎng)上實(shí)現(xiàn)中繼，可用如下兩種封裝類型。

         1）、ISL（inter-switch link，交換機(jī)間鏈路）：是cisco私有的標(biāo)記方法，

ISL只是對(duì)幀進(jìn)行封裝，不修改幀中的內(nèi)容。尾部CRC（循環(huán)冗余校驗(yàn)）。

         2）、IEEE 802.1q：公有的標(biāo)記方法，其他廠商的產(chǎn)品也支持這種標(biāo)記方法。802.1q使用了一種內(nèi)部標(biāo)記機(jī)制。中繼設(shè)備將四字節(jié)的標(biāo)記插入到數(shù)據(jù)幀內(nèi)，并重新計(jì)算FCS。

         這四個(gè)字節(jié)的標(biāo)記頭包含以下內(nèi)容：

         ① 2字節(jié)標(biāo)記協(xié)議標(biāo)識(shí)符（TPID）包含了一個(gè)0x8100的固定值，這個(gè)特定的TPID值指明了該幀帶有802.1q的標(biāo)記。

         ② 2字節(jié)標(biāo)記控制信息（TCI）包含了下面的元素

             ⑴ 3位的用戶優(yōu)先級(jí)（priority）：802.1q不適用該字段。

             ⑵ 1位的規(guī)范格式標(biāo)識(shí)符（CFI）：CFI常用語(yǔ)以太網(wǎng)和令牌環(huán)網(wǎng)。在以太網(wǎng)中，CFI的值通常設(shè)置為0。

             ⑶ 12位VLAN標(biāo)識(shí)符（VLAN ID）：該字段唯一標(biāo)識(shí)了幀所屬的VLAN。VLAN ID可以唯一的標(biāo)識(shí)4096個(gè)VLAN，但VLAN 0和VLAN 4905是被保留的。

1.3、     Native VLAN

Cisco catast交換機(jī)上，默認(rèn)的native VLAN是VLAN 1，但可以配置。Native VLAN的數(shù)據(jù)幀在trunk鏈路中是未標(biāo)記的。對(duì)于兩臺(tái)設(shè)備之間的trunk端口，要求鏈路兩側(cè)具有相同的native VLAN配置。

1.4、     Trunk的模式和協(xié)商

對(duì)isl和IEEE802.1q的配置，要視cisco交換機(jī)的IOS而定，可以指定trunk鏈路使用ISL封裝、802.1q封裝或者自動(dòng)協(xié)商封裝類型。

自動(dòng)協(xié)商是由DTP（動(dòng)態(tài)中繼協(xié)議）管理的。DTP協(xié)議為cisco專有，同時(shí)支持ISl和802.1q兩種中繼自動(dòng)協(xié)商。但只能用于交換機(jī)之間的中繼鏈路，不能同于交換機(jī)和路由器之間的中繼鏈路。Cisco catalyst交換機(jī)端口默認(rèn)為開(kāi)啟DTP協(xié)商。

三、EthernetChannel（端口聚合）

EthernetChannel通過(guò)捆綁多條以太網(wǎng)鏈路來(lái)提高鏈路帶寬，并運(yùn)行一種機(jī)制。將多個(gè)以太網(wǎng)端口捆綁城一條邏輯鏈路，以太網(wǎng)通道最多可以捆綁8條物理鏈路。其中物理鏈路可以是雙絞線也可以是光纖。

以太網(wǎng)通道的要求：

1）、 參與捆綁的端口必須屬于同一個(gè)VLAN，或者把他們配置為中繼端口。

2）、端口為終極模式，鏈路兩端應(yīng)將通道中的所有端口配置為相同的中繼模式。需要所有端口支持相同的VLAN范圍許可，如果VLAN許可范圍不一致，則端口不屬于以太網(wǎng)通道。

3）、所有參與捆綁的端口的物理參數(shù)必須相同，應(yīng)該有同樣的速率和全/半雙工模式。

四、課后實(shí)驗(yàn)

實(shí)驗(yàn)環(huán)境：

  公司新擴(kuò)建3個(gè)部門，分別為財(cái)務(wù)、銷售和行政。需要按照各部門進(jìn)行網(wǎng)段劃分，網(wǎng)絡(luò)規(guī)劃如下：

PC1和PC3為財(cái)務(wù)部，屬于VLAN2，名稱caiwu，

PC2和PC5為銷售部，屬于VLAN3，名稱xiaoshou，

PC4和PC6為行政部，屬于VLAN4，名稱xingzheng，

為了方便管理，需要為三臺(tái)交換機(jī)配置遠(yuǎn)程管理地址，IP地址用VLAN 1 ，分別為192.168.100.1/24~192.168.100.3/24

并且因?yàn)閿?shù)據(jù)量較大，增加傳輸速度并保障鏈路穩(wěn)定，

實(shí)驗(yàn)拓?fù)洌?/p>

實(shí)驗(yàn)配置

SW1#conf t                         \\進(jìn)入全局配置模式

SW1(config)#int vlan 1                \\進(jìn)入VLAN 1

SW1(config-if)#ip add 192.168.100.1 255.255.255.0  \\配置IP地址

SW1(config-if)#no sh                          \\開(kāi)啟接口

SW1(config-if)#end                            \\返回特權(quán)模式

SW1#vlan  da                              \\進(jìn)入VLAN數(shù)據(jù)庫(kù)模式

SW1(vlan)#vlan 2 name caiwu                   \\創(chuàng)建VLAN 2 名稱為caiwu

SW1(vlan)#vlan 3 name xiaoshou

SW1(vlan)#vlan 4 name xiengzheng

SW1(vlan)#exit

SW1#conf t

SW1(config)#int f0/1                         \\進(jìn)入f0/1 接口

SW1(config-if)#sw ac vlan 2                    \\將接口加入vlan 2

SW1(config-if)#no sh

SW1(config-if)#int f0/2

SW1(config-if)#sw ac vlan 3

SW1(config-if)#no sh

SW1(config-if)#exit

SW1(config)#line vty 0 4                  \\進(jìn)入vty

SW1(config-line)#password cisco           \\配置密碼

SW1(config-line)#login                   \\允許登錄

SW1(config-line)#exit

SW1(config)#enable password cisco123      \\設(shè)置特權(quán)密碼

SW1(config)#int r f0/5 – 6                 \\進(jìn)入5和6接口

SW1(config-if-range)#channel-group 1 mode on   \\創(chuàng)建以太網(wǎng)通道，通道號(hào)為1

SW1(config-if-range)#no sh

SW2#conf t

SW2(config)#int vlan 1

SW2(config-if)#ip add 192.168.100.2 255.255.255.0

SW2(config-if)#no sh

SW2(config-if)#end

SW2#vlan da

SW2(vlan)#vlan 2 name caiwu

SW2(vlan)#vlan 3 name xiaoshou

SW2(vlan)#vlan 4 name xingzheng

SW2(vlan)#exit

SW2#conf t

SW2(config)#int f0/1

SW2(config-if)#sw ac vlan 2

SW2(config-if)#no sh

SW2(config)#int f0/2

SW2(config-if)#sw ac vlan 3

SW2(config-if)#no sh

SW2(vlan)#exit

SW2(config)#line vty 0 4                 

SW2(config-line)#password cisco          

SW2(config-line)#login                  

SW2(config-line)#exit

SW2(config)#enable password cisco123

SW2(config)#int r f0/5 - 6

SW2(config-if-range)#channel-group 1 mo on

SW2(config-if-range)#no sh

SW2(config-if-range)#exit

SW2(config)#int r f0/7 – 8                    \\進(jìn)入7和8接口

SW2(config-if-range)#channel-group 2 mo on    \\創(chuàng)建以太網(wǎng)通道，通道號(hào)為2

SW2(config-if-range)#no sh

SW3#conf t

SW3(config)#int vlan 1

SW3(config-if)#ip add 192.168.100.3 255.255.255.0

SW3(config-if)#no sh

SW3(config-if)#end

SW3#vlan da

SW3(vlan)#vlan 2 name caiwu

SW3(vlan)#vlan 3 name xiaoshou

SW3(vlan)#vlan 4 name xingzheng

SW3(vlan)#exit

SW3(config)#int f0/1

SW3(config-if)#sw ac vlan 3

SW3(config-if)#no sh

SW3(config-if)#int f0/2

SW3(config-if)#sw

SW3(config-if)#sw ac vlan 4

SW3(config-if)#no sh

SW3(config-if)#exit

SW3(config)#line vty 0 4

SW3(config-line)#password cisco

SW3(config-line)#login

SW3(config-line)#exit

SW3(config)#enable password cisco123

SW3(config)#int r f0/7 - 8

SW3(config-if-range)#channel-group 2 mo on

SW3(config-if-range)#no sh