Vlan
Vlan是什么?
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。控制广播,逻辑隔离广播域。
为什么需要Vlan?
- 由于广播域的存在,当广播域过大时,会增加网络终端的负担,降低网络安全性。
- 传统隔离广播域需要通过路由器隔离,通过路由器隔离有不灵活与成本高的弊病。
- 采用Vlan来控制广播域,可以解决上述问题。
VLAN如何实现?
Vlan是在交换机上实现的,通过逻辑隔离划分广播域。
一个VLAN=一个广播域=一个网段,VLAN是ISO二层技术。
动态Vlan与静态Vlan
- 静态Vlan手工配置,基于端口配置
- 动态Vlan手工配置,基于MAC地址划分Vlan,若交换机采用802.1X端口认证来可以基于账号来配置Vlan。
交换机配置静态Vlan命令
每个交换机都要创建各自的Vlan,这点需要注意。
//创建VLAN
conf t
vlan ID,ID,ID-ID
[name 自定义名称]
exit
//查看VLAN表:
show vlan b
//将端口加入到VLAN:
int f0/x
switchport access vlan ID
exit
trunk协议
为什么需要trunk协议
由于交换机所有端口默认在Vlan1,不同交换机会有相同Vlan请求通信,但是信息只能在相同Vlan的端口通信,只有通过配更多的公共Vlan端口,这是一种资源浪费。
产生trunk协议解决不同交换机间相同Vlan端口的通信问题。
trunk/中继链路/公共链路
作用:允许所有VLAN数据通过trunk链路
方法:通过在数据帧上加标签,来区分不同的vlan的数据
非trunk口不会加上Vlan标签
trunk标签
1)ISL标签:cisco私有的,标签大小30字节26+4。
2)802.1q标签:公有协议,所有厂家都支持,标签大小4字节。属于内部标签。
交换机端口链路类型
1)接入端口:也称为access端口,一般用于连接pc,只能属于某1个vlan,也只能传输1个vlan的数据
2)中继端口:也称为trunk端口,一般用于连接其他交换机,属于公共端口,允许所有vlan的数据通过!
配置trunk命令
int f0/x
[switchport trunk encapsulation dot1q/isl]//isl已淘汰
switchport mode trunk
exit
单臂路由
单臂路由的作用
在网络中引入Vlan。
- 在网络中使用Vlan来控制广播域
- 不同Vlan之间无法通信
- 1个Vlan=1个网段
- 不同Vlan之间通过路由器来控制实现
单臂路由具体实现
- 单臂路由在一个端口下产生子接口,每存在一个Vlan产生一个子接口,对子接口配置Vlan相应网段IP、Vlan
- 配置路由器与交换机之间的交换机接口使用trunk协议
- 在配置单臂路由时,内网中多个交换机之间只能由一个交换机连接路由器
单臂路由缺点
- 网络瓶颈
- 容易发生单点物理故障(所有的子接口依赖于总物理接口)
- VLAN间通信的每一个帧都进行单独路由
单臂路由配置命令
cont f
int F0/0.1
encapsulation dot1q 10 //设置Vlan
ip add 10.1.1.254 255.255.255 //设置Vlan网段IP
no shut
exit
int F0/0
no shut
三层交换技术
三层交换机概述
三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。
三层交换机的意义
- 三层交换机 = 三层路由+二层交换机
- 三层路由引擎是可以关闭或开启的
conf t
ip routing //开启三层路由功能
no ip routing //关闭三层路由功能
三层交换机的优点
- 解决了网络瓶颈问题
三层交换机等同于将路由器与交换机集成在一起,在三层交换机中每个Vlan都会配置单独的虚拟接口,通过背板走线,突破单臂路由的物理限制。 - 解决了单点故障(虚拟接口不再依赖任何的物理接口)
由于每个Vlan都有自己的接口,突破物理限制。 - 一次路由,永久交换
在三层交换机路由数据包时,转发的MAC的源MAC固定,永远是三层交换机自己的MAC地址。当三层交换机进行路由功能时,若目标端口固定,则转发包的MAC地址IP地址始终唯一。简而言之,通过三层交换机来路由数据包时,只要目标地址固定,则转发包头数据固定,提高转发效率。
在单臂路由器对数据包转发时:解析数据帧->查找arp缓存表->封装数据帧。
在三层交换机对数据包转发时:
当第一次对某目标端口转发时->解析数据帧->查找arp缓存表->封装数据帧,与此同时在交换机的快速转发表(目标端口Vlan与IP地址)与邻接关系表(目标端口MAC)一一对应存储数据。
非第一次对某目标端口转发时->查找快速转发表->查找对应的邻接关系表->使用邻接关系表替换数据包帧头MAC值-封装数据帧。
三层交换机其他配置命令
//三层交换机上起虚接口(配置VLAN的网关)
int vlan 10
ip add 10.1.1.254 255.255.255.0
no shut
exit
//二层端口升级为三层端口
int f0/x //配置路由端口信息
no switchport
ip add ...
no shut
路由器的DHCP中继
Vlan与DHCP
对大型网络而言需要配置Vlan来控制广播域,但是网络中又需要使用DHCP统一自动分配IP地址,因此需要解决Vlan隔绝DHCP广播消息。
单臂路由与DHCP
Vlan之间的通信需要通过单臂路,因此可以通过配置单臂路由实现。
注:路由器有DHCP功能,但是服务的网络不能过大。
//在三层路由器上部署DHCP服务器:
conf t
ip dhcp excluded-address 10.1.1.1 10.1.1.99 //排除网段
ip dhcp pool v10
network 10.1.1.0 255.255.255.0
default-router 10.1.1.254
dns-server 40.1.1.1
//删除配置:
no ip dhcp excluded-address 10.1.1.1 10.1.1.99
no ip dhcp pool v10
路由器的DHCP中继
在网络中部署DHCP服务器,但是DHCP的广播消息需要路由器通过单播形式来进行转发。
//路由器配置DHCP中继:
int f0/0.1 //该接口需要被帮助
ip helper-address DHCP服务器的IP
exit
VTP
VTP概述(VLAN Trunking Protocol)
VTP是思科私有协议,是一种通过添加、删除、修改VLAN等管理操作,来维护网络内VLAN配置一致性的2层协议。交换机只能通过802.1Q或ISL Trunk传输VTP消息。思科交换机会通过管理VLAN(默认为VLAN 1),使用2层组播数据帧每5分钟传输一次VTP汇总通告。VTP数据包会发送给目的的MAC地址01-00-0C-CC-CC-CC,其逻辑链路控制(LLC)编码为子网访问协议(SNAP)(AAAA),类型值为0x2003(位于SNAP头部)。
VTP域
VTP域是由一台或多台共享相同VTP配置的互联的交换机组成,每台交换机只能处在一个VTP域中。默认情况下,思科Catalyst交换机处于“no=management-domain”状态(null状态),直到通过Trunk链路收到带有域名的VTP通告,或手动配置了VTP域名。配置应在VTP服务器上执行,随后会通过Trunk链路宣告给网络中的所有互联交换机。当VTP域名和VTP密码匹配之后,配置信息将会同步。
VTP模式
| 模式功能 | 创建、修改、删除 | 发送公告 | 转发公告 | 同步VLAN配置 | 配置保存 |
|---|---|---|---|---|---|
| Server | √ | √ | √ | √ | Flash、vlan.dat |
| Client | × | √ | √ | √ | Flash、vlan.dat |
| Transparent | √ | × | √ | × | Config |
VTP同步规则
看域名,没有域名的向有域名的学习;
如果域名相同,则比较VTP修订版本号,大的覆盖小的;
透明模式不参与同步,仅仅帮助转发消息;
VTP信息通告类型
- 汇总通告(Summary Advertisement)
告知邻居交换机当前的VTP域名和配置修订号;
周期性发送:每5分钟被Server或者Client发送,通知当前修订号;
触发发送:如果VTP配置发生变化,VTP汇总通告被立即发送;
当交换机接收到汇总通告数据包时,会将数据包中的域名与本地配置的VTP域名相比较。如果名称不同,就会忽略这个数据包。如果域名相同,交换机会继续比较配置修订号,如果自身的配置修订号高于或等于接收数据包的修订号,数据包也会被忽略。如果本地的配置修订号比收到的低,交换机则会发送一个请求通告信息。
- 子集通告(Subset Advertisement)
subset公告是一种更加细化的携带VLAN信息的报文,一个或几个该报文会跟在汇总通告后面;
例如删除VLAN,挂起激活VLAN,改变VLAN的名字等;
当管理员在交换机上添加、删除或修改VLAN时,配置修订号会相应地增加,并且会发送一个汇总通告信息。随后,还会发送一条或多条子集通告信息。每条子集通告包含一个VLAN信息列表。如果VLAN的数量很多,就会以多条子集通告的形式通告所有VLAN。
- 请求通告(Advertisement Request)
如下情况通告申请:交换机重置,VTP名字改变等;
当VTP Server收到一个查询通告时,VTP Server会发送一个VTP汇总通告和VTP子集通告;
VTP域名发生变化时;
交换机收到一个汇总通告,汇总通告修订号高于本交换机的配置修订号;
某些原因,子集通告丢失;
交换机重启;
在收到了一个请求通告之后,VTP设备会发送一条汇总通告信息,随后在发送一条或多条子集通告信息。
注意事项:
(1)VTP消息只能在Trunk链路上传递;
(2)不同设备不同的IOS版本默认的VTP版本号不同;
(3)如果VTP没有域名,那么VTP无法向外传递信息(没有域名我哪知道传给谁?)。
通常情况下,在一台设备上配置域名即可,其它设备由于没有域名,在VTP消息同步过程中会自动向它学习域名。
(4)VTP的同步不看模式,看域名、看配置修订号(每修改一次,修订号+1);
(5)Client存在的意义,防止无意的误操作(因为不能修改VLAN信息);
(6)同步,不是合并,事实上是一个覆盖的过程;
(7)VTP Client只能控制1005以下的VLAN,其它的大于1005的不受控制,也就是说在Client上创建一个VLAN 2000,不会弹出提示,并且能够敲上去;
(8)如果想把修订号重置,可以改变VTP的域名为最初的名字(vtp domain null,其中null不区分大小写),修改域名和配置成transparent也会使得修订号清0;
(9)vtp domain null敲过之后,该交换机不会再同步其它交换机传来的信息,即使它是Client;
(10)VTP域名和密码是区分大小写的;
(11)Server和Client配置后,使用show run查看不到配置,只有Transparent可以查看到;
(12)敲完vtp mode client后,无法敲vtp version命令,只能通过同步修改;
//配置命令
SW(config)#vtp domain CCNA/NULL //配置域名,当配置为NULL(不区分大小写),修订号为空
SW(config)#vtp password cisco //配置VTP密码,区分大小写,多敲空格无影响
SW(config)#vtp mode server/client/transparent/off //手动配置模式,默认是server
SW(config)#vtp version 1/2/3 //配置VTP版本
SW#show vtp status //查看VTP状态
SW#show vtp counters //查看VTP计数
SW#show vtp password //查看VTP的密码,使用service encrypted-password,还是显示明文
SW#debug sw-vlan vtp events
网络中交换机与路由器配置思路
- 交换机部分
- 配置trunk
- VTP
- 创建Vlan
- 分配端口到Vlan
- 起三层虚接口
- 路由器部分
- 配置IP,并开启
- 配置路由表,注意一个直连的互联网段尽量不要两端都配置默认路由,容易产生环路