包括vlan干线 封装 工作方式 vlan的配置 vlan间路由的实现 以及vlan的故障排除
一 vlan介绍
1.优点:提高网络安全 降低开销用于隔离不同的部门 高性能将一个大的广播域分割成多个逻辑工作组 即广播域 提升 网络性能减轻广播风暴
二.vlan干线
a 单个交换机内部存在多个vlan的情况下,只需要把交换机端口划分到特定vlan中即可实现端口之间的隔离、 两台交换机之间有多个vlan存在可能会需要多条普通线缆 但是交换机的端口有限 可使用一根线缆实现trunk主干功能就可以传输多个vlan的信息 也是普通的网线 需要配置成trunk链路
b 干线协议
交换机之间的连接 一条干线可以同时传输多个vlan的信息
普通传统交换机 收到一个帧 需要简单的检查数据帧的目的mac地址 再mac地址表 将其发送到适当的端口 而不考虑数据帧是从哪里来的 如果不知道目的地址 或者目的地址为广播地址 则用泛洪法
但是在vlan中 情况要复杂一下 除了目的mac地址做转发决定外 还必须考虑帧的源地址 因为后者会影响他所属的vlan 并因此影响所需使用的端口。
追踪一个帧的源地址有两种方法 一是根据数据帧进入的端口属于哪个vlan 这种称谓帧标记 也是显式标记
二是为每个vlan保持一张mac地址表 确定目的地址后 就做出是否转发此帧的决定 这种方法称为帧过滤 也称为 隐式标记
帧标记和帧过滤的主要区别在于何时做出vlan的决定
帧标记优点是能够立即表示vlan 通过给帧增加一个包含vlan标识的域来实现 不同厂商之间通过ieee 802.1q标准 来统一 避免兼容问题
帧过滤的优点是不修改帧 因此在通过任何网络设备时不会出现问题 所有vlan设备必须能对每个帧做出唯一的vlan的决定 ,这意味着按照数据帧中的源mac地址进行过滤 所有vlan交换机必须拥有一张mac地址表 并且要标记每个mac地址所属于的vlan
干线协议有以下几种
isl 802.10(FDDI) 802.1Q 以及 局域网仿真LANE
ISL为思科私有干线传输
802.1QIEEE通用标准 在原以太网帧头中的源地址后增加一个4个字节的802.1Q帧头,添加新的字段域后,帧被重新计算FCS frame check sequence 帧校验序列
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk //先配置封装,再设置trunk)
帧格式 四个字节的信息如下
其中包括网络类型 vlan标识 令牌环标记 优先级
3.交换机间的vlan的通信过程
解释pc1发送数据包给pc3的过程
pc1发arp查询报文 广播的形式 报文用mm表示
交换机sw1接收报文 mac地址学习 mac地址表中加入pc1的mac地址 和对应的vlan标识及端口号
sw1在mm中插入vlan标识 并发送到除源端口外的其余属于此vlan的端口(发送前去除mm中的标识)和trunk端口(发送前 不去除vlan标识)
sw2接收到mm 进行mac地址学习 在地址表中添加mac地址和对应vlan号及端口号
sw2将mm 去除vlan标识后 发往除源端口外的所有属于此vlan标识的端口
pc3收到mm 之后封装arp应答包 mm2 将磁暴发往交换机sw2
sw2收到mm2 之后 进行mac地址学习 过程同上
sw2封装mm2 vlan标识
sw2比较源mac地址和目的mac地址 决定将mm2发往fa1/24端口 给sw1
sw1学习
sw1查询mac地址表 将mm2发往fa1/1端口给 pc1
到此结束
4.DTP协议 dynamic trunking protocol
动态主干协议 私有协议
几种主干模式 off on dynamicauto (动态自动) dynamic desirable(动态期望) nonegotiate (关闭dtp协议)
off : switchport mode access 接入端口 不能成为主干端口
on : switchport mode trunk 主干模式 定期向外发送dtp消息 并忽略远端发过来的dtp消息
dynamic auto : switchport mode dynamic auto 不主动发送dtp消息 但可以被动响应
dynamic desirable : switchport mode dynamic desirable 定期发送dtp消息 通告自己可以转变为主干状态 并要求远端 也改变到主干状态
nonegotiate :当两端端口都被静态配置成主干链路时,或者一端是思科交换机,另一端是非思科交换机时可以关闭dtp协议 节省带宽
三配置vlan***
配置vlan 配置trunk 配置语音vlan 配置本地vlan 实验和测试
1.单台交换机上的vlan
a.静态vlan
包括插槽 端口 或端口组等 静态设置某个端口属于某个vlan
b.动态valn
动态vlan通常由接到机架上的结点的某些特征定义,这可以是结点的mac地址 正在使用的协议,甚至是某些认证信息,如名字与口令等。
1.创建vlan
进入交换机命令行 cli
show ip int brief 查看交换机上有哪些端口
创建vlan有两种方式 一种是全局配置模式 推荐
第二种是vlan数据库配置模式
举例:
en 进入特权模式
conf t 进入全局配置
host sw1 更改主机名
vlan 2 新增vlan2
name student vlan2的名字设置
vlan 3 新增vlan3
name teacher vlan3的名字设置
show vlan 或者 show vlan brief 查看vlan信息
vlan1是默认存在的vlan
no vlan vlan的编号 删除对应的vlan
sw2的配置
en
vlan database 进入vlan数据库配置模式
vlan 2 name student 新增vlan2 并直接命名
exit 退出vlan配置模式
2.把端口加入vlan
int fa 0/1 进入交换机的端口配置模式
switchport mode access 端口模式改为接入端口
switchport access vlan 2 将这个接入模式的交换机端口分配到vlan2中
int fa 0/2
sw mo acc 简写命令 接入端口模式
swi acc vlan 3
show vlan brief
2.配置Trunk
a 配置主干端口
int fa 0/24 进入借口配置模式
switchport mode trunk 配置端口为主干模式
switchport mode nonegotiate 关闭dtp协议 因为两端口都直接配置了trunk模式 不需要在协商 节省带宽
注意 在交换机中输入 以下命令 会将端口的封装协议改为802.1Q
switchport trunk encapsulation dot1Q
b 配置主干端口允许传输的vlan
switchport trunk allowed vlan 可以添加 删除 修改 主干端口允许传输的vlan信息
举例 word 选项
switchport trunk allowed vlan 1,3,5-10 允许传输1.3.5.6.7.8.9.10号的vlan信息
c 查看主干链路状态
show int fa 0/24 switchport
show interface trunk 显示交换机工作在主干模式的端口
3.本地vlan 只有主干端口才有本地vlan的属性
上图中的pc1无法ping通pc5 hub是物理层设备 只能放大信号 不能识别加vlan的帧
native vlan是主干端口的特征 使用802.1Q封装 如果数据帧中的vlan标识与主干端口的本地vlan号相同 则交换机清除数据帧中的vlan标识 使用802.1Q封装协议的主干端口 如果帧中没有vlan标识 则交换机将在帧中添加主干端口的本地vlan号
sw1
int fa 0/24
switchport trunk native vlan 2 将主干端口的本地vlan修改成vlan2 默认的本地vlan是vlan 1
同时sw2主干端口的本地vlan也要修改
sw2
int fa 0/24
switchport trunk native vlan 2
也就是说主干线缆连接的两个主干端口要有相同本地vlan号
4.维护vlan的信息
show run 查看交换机sw1的运行配置文件
vlan信息被保存在交换机中的vlan.dat文件中 注意恢复出厂设置时需要删除此文件
sw1#delete vlan.dat
dir命令查看flash文件中的目录结构
show vlan brief 查看vlan的配置信息
删除某个vlan后 属于这个vlan的端口不会出现在vlan的配置信息中 此时这个端口被叫做游离端口 需要将端口重新加入其它的vlan端口才有作用
四 vlan间的路由
1.基于路由器物理接口的vlan间路由 现实中不用
r1的fa0/0 sw1的fa0/12和 fa0/1属于vlan1 网络192.168.1.0/24
r1的fa0/1 sw1的fa0/24和fa0/13属于valn2 网络192.168.2.0/24
命令 pc1 192.168.1.1/24 192.168.1.254
pc2 192.168.2.1/24 192.168.2.254
SW1配置
en
conf t
host sw1
vlan 2
int fa 0/1
swi mode acc
int fa 0/12
swi mode acc
int fa 0/13
swi mode acc
swi acc vlan 2
int fa 0/24
swi mode acc
swi acc vlan 2
R1配置
en
conf t
host r1
int fa 0/0
ip add 192.168.1.254 255.255.255.0
no shut 开启端口
int fa 0/1
ip add 192.168.2.254 255.255.255.0
no shut
2.基于路由器子接口的vlan间路由 需要用到trunk主干协议
使用路由器的一个屋里端口连接多个不同的vlan 称为单臂路由
SW1的配置
en
conf t
host sw1
vlan 2
int fa 0/1
swi mode acc
int fa 0/12
swi mode trunk
int fa 0/13
swi mode acc
swi acc vlan 2
R1的配置
en
conf t
host R1
int fa 0/0
no shut 开启
exit
int fa 0/0.? 查看路由器子接口的编号 同一个物理接口可以支持几十亿个子接口
int fa 0/0.1 对端口0/0的编号1的子接口进行配置 子端口默认为打开状态 不需要用no shut命令
encapsulation dot 1Q 1 指明封装数据帧的协议 这里的1代表该子端口所属的vlan号 简写格式为enc dot 1
ip address 192.168.1.254 255.255.255.0 配置网关和子网掩码
int fa 0/0.200
enc dot 2 封装并且设置vlan2
ip add 192.168.2.254 255.255.255.0
至此单臂路由的设置完成!
3.交换机上的端口类型
三种类型 交换端口 switchport 路由端口 no switchport和svi端口 switch virtual interface交换机虚拟端口
前者为二层端口不能配置三层的ip地址 路由端口和SVI端口都是三层端口 可以配置ip地址
a 二层交换机 思科一般有两种交换端口 2900 35000 3550-smi系列等
交换端口 二层交换机上的物理端口就是一个二层的交换端口
svi端口是可以配置ip地址 对交换机进行远程管理
int vlan 1
ip add 192.168.1.100 255.255.255.0
no shut 对三层的svi端口需要是使用 no shutdown命令
ip default-gateway 192.168.1.254 设置交换机svi口的网关 其余同一子网的pc可以ping通
b三层交换机
3550-emi 3560 3750 以及更加高档的交换机
三种端口 交换端口 路由端口 SVI端口
模拟器中的三层交换机是 3560
4.基于三层交换机的vlan间路由
A单臂路由
其中SW1是三层交换机 在本例中 不开启路由功能
sw1配置
conf t
host SW1
no cdp run 思科设备发现协议关闭
no ip routing 关闭三层交换机的路由功能
exit
valn 2 创建vlan2
exit
conf t
int fa 1/5
switchport mode access
swithcport access vlan 2
int fa 1/6
switchport mode trunk ;(注意这里 如果sw1用的是三层交换机 则在设置主干网络时候需要先封装 再设置主干模式
接口的中继封装是“自动”不能被配置为“主干”的模式。
解决方法:Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk //先配置封装,再设置trunk)
PC1配置 其实是路由器1设备
en
conf t
host PC1
no cdp run
ip add 192.168.1.1 255.255.255.0
no shut
exit
no ip routing关闭路由器的路由功能 模拟一台计算机
ip default-gateway 192.168.1.254 配置计算机的网关,对于关闭路由协议的路由设备 要使用此命令来制定默认路由
如果未关闭路由协议则使用ip route 0.0.0.0 0.0.0.0 配置默认路由
PC2配置 路由器2设备
en
conf t
host pc2
no cdp run
int fa 0/0
ip add 192.168.2.1 255.255.255.0
no shut
exit
no ip routing
ip default-gateway 192.168.2.254
B三层交换机的vlan间路由
上图中的r1关闭 并开启sw1的路由功能 pc1和pc2配置保持不变
sw1配置
ip routing 开启路由功能 为不同网间的数据包提供路由转发功能
int vlan 1 此为三层交换机的svi端口 相当于路由器的一个端口 虚拟端口 看不见
ip add 192.168.1.254 255.255.255.0
no shut
int vlan 2
ip add 192.168.2.254 255.255.255.0 在三层交换机上,可以配置多个SVI端口,多个svi端口的ip地址可以同时有效 而二层交换机上只能有一个有效
no shut
5.路由器和三层交换机在实现vlan见路由上的差异
二层交换机+路由器 不如三层交换机方案要好
首先速度问题 数据包流经路由器的延时比交换机要大 因为处理过程比较复杂 解封装-查询路由表--再次封装,带宽瓶颈问题。vlan1去往vlan2的数据包都要流经路由器
三层交换机不存在这样的问题
pc1将数据包发送给三层的svi端口 三层知道是vlan的通信 又把数据包发往三层中的路由模块 路由模块解封数据包,查询pc2的mac地址然后封装 将数据包转发给三层中的交换模块,交换模块查询mac地址表,把数据帧从交换机的
fa0/13口发出 之后pc1到pc2的数据包 三层交换机会查询缓存 直接修改数据帧中的源和目的mac地址 将数据帧从fa0/13端口发出 这叫做 一次路由 多次交换 vlan1到vlan2的数据包邮交换机额背板转发 带宽远远高于端口的链路带宽。
五 vlan的故障排除
故障包括端口错、ip错、网关错、本地vlan不匹配、trunk模式不匹配 、trunk允许的vlan不匹配
1.物理层排错
线型 直通还是双绞线
交换机之间端口默认打开
可以使用命令show ip int brief命令检查链路是否被关闭
2.数据链路层排错
封装协议是否正确 时钟是否设置 交换机配置 主干链路的配置是否正确
以太网不同步串行链路 不考虑时钟问题
使用命令show run查看子接口的封装
封装协议方法 encapsulation dot1Q 2
这里的2代表的vlan号
3.网络层排错
难度很大
涉及ip地址配置 vlan创建 端口分配 trunk模式 trunk链路上允许的vlan trunk链路的本地vlan
A ip地址排错
检查1、2、3的ip地址 子网掩码和网管的配置是否正确
B 本地vlan排错
Sw1上不停出现 native vlan mismatch discovered on fastethernet 0/24 的报错信息说明两端主干端口的本地vlan不一致使用下面命令修改
Int fa 0/24
Swi trunk native vlan 1
C 主干链路排错
查看sw1上的主干端口是否正确 用如下命令
Show int fa 0/24 switchport
端口fa 0/24的详细信息会显示
命令show int trunk显示的是工作在主干模式下的端口
D vlan的创建和端口分配排错
命令show vlan brief显示vlan信息
E 主干链路允许的vlan排错
命令取消sw2 fa0/1端口的vlan限制 允许传输所有的vlan
Int fa 0/1
No switchport trunk allowed vlan 取消vlan的限制