包括vlan干線 封裝 工作方式 vlan的配置 vlan間路由的實現 以及vlan的故障排除
一 vlan介紹
1.優點:提高網絡安全 降低開銷用於隔離不同的部門 高性能將一個大的廣播域分割成多個邏輯工作組 即廣播域 提升 網絡性能減輕廣播風暴
二.vlan干線
a 單個交換機內部存在多個vlan的情況下,只需要把交換機端口划分到特定vlan中即可實現端口之間的隔離、 兩台交換機之間有多個vlan存在可能會需要多條普通線纜 但是交換機的端口有限 可使用一根線纜實現trunk主干功能就可以傳輸多個vlan的信息 也是普通的網線 需要配置成trunk鏈路
b 干線協議
交換機之間的連接 一條干線可以同時傳輸多個vlan的信息
普通傳統交換機 收到一個幀 需要簡單的檢查數據幀的目的mac地址 再mac地址表 將其發送到適當的端口 而不考慮數據幀是從哪里來的 如果不知道目的地址 或者目的地址為廣播地址 則用泛洪法
但是在vlan中 情況要復雜一下 除了目的mac地址做轉發決定外 還必須考慮幀的源地址 因為后者會影響他所屬的vlan 並因此影響所需使用的端口。
追蹤一個幀的源地址有兩種方法 一是根據數據幀進入的端口屬於哪個vlan 這種稱謂幀標記 也是顯式標記
二是為每個vlan保持一張mac地址表 確定目的地址后 就做出是否轉發此幀的決定 這種方法稱為幀過濾 也稱為 隱式標記
幀標記和幀過濾的主要區別在於何時做出vlan的決定
幀標記優點是能夠立即表示vlan 通過給幀增加一個包含vlan標識的域來實現 不同廠商之間通過ieee 802.1q標准 來統一 避免兼容問題
幀過濾的優點是不修改幀 因此在通過任何網絡設備時不會出現問題 所有vlan設備必須能對每個幀做出唯一的vlan的決定 ,這意味着按照數據幀中的源mac地址進行過濾 所有vlan交換機必須擁有一張mac地址表 並且要標記每個mac地址所屬於的vlan
干線協議有以下幾種
isl 802.10(FDDI) 802.1Q 以及 局域網仿真LANE
ISL為思科私有干線傳輸
802.1QIEEE通用標准 在原以太網幀頭中的源地址后增加一個4個字節的802.1Q幀頭,添加新的字段域后,幀被重新計算FCS frame check sequence 幀校驗序列
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk //先配置封裝,再設置trunk)
幀格式 四個字節的信息如下
其中包括網絡類型 vlan標識 令牌環標記 優先級
3.交換機間的vlan的通信過程
解釋pc1發送數據包給pc3的過程
pc1發arp查詢報文 廣播的形式 報文用mm表示
交換機sw1接收報文 mac地址學習 mac地址表中加入pc1的mac地址 和對應的vlan標識及端口號
sw1在mm中插入vlan標識 並發送到除源端口外的其余屬於此vlan的端口(發送前去除mm中的標識)和trunk端口(發送前 不去除vlan標識)
sw2接收到mm 進行mac地址學習 在地址表中添加mac地址和對應vlan號及端口號
sw2將mm 去除vlan標識后 發往除源端口外的所有屬於此vlan標識的端口
pc3收到mm 之后封裝arp應答包 mm2 將磁暴發往交換機sw2
sw2收到mm2 之后 進行mac地址學習 過程同上
sw2封裝mm2 vlan標識
sw2比較源mac地址和目的mac地址 決定將mm2發往fa1/24端口 給sw1
sw1學習
sw1查詢mac地址表 將mm2發往fa1/1端口給 pc1
到此結束
4.DTP協議 dynamic trunking protocol
動態主干協議 私有協議
幾種主干模式 off on dynamicauto (動態自動) dynamic desirable(動態期望) nonegotiate (關閉dtp協議)
off : switchport mode access 接入端口 不能成為主干端口
on : switchport mode trunk 主干模式 定期向外發送dtp消息 並忽略遠端發過來的dtp消息
dynamic auto : switchport mode dynamic auto 不主動發送dtp消息 但可以被動響應
dynamic desirable : switchport mode dynamic desirable 定期發送dtp消息 通告自己可以轉變為主干狀態 並要求遠端 也改變到主干狀態
nonegotiate :當兩端端口都被靜態配置成主干鏈路時,或者一端是思科交換機,另一端是非思科交換機時可以關閉dtp協議 節省帶寬
三配置vlan***
配置vlan 配置trunk 配置語音vlan 配置本地vlan 實驗和測試
1.單台交換機上的vlan
a.靜態vlan
包括插槽 端口 或端口組等 靜態設置某個端口屬於某個vlan
b.動態valn
動態vlan通常由接到機架上的結點的某些特征定義,這可以是結點的mac地址 正在使用的協議,甚至是某些認證信息,如名字與口令等。
1.創建vlan
進入交換機命令行 cli
show ip int brief 查看交換機上有哪些端口
創建vlan有兩種方式 一種是全局配置模式 推薦
第二種是vlan數據庫配置模式
舉例:
en 進入特權模式
conf t 進入全局配置
host sw1 更改主機名
vlan 2 新增vlan2
name student vlan2的名字設置
vlan 3 新增vlan3
name teacher vlan3的名字設置
show vlan 或者 show vlan brief 查看vlan信息
vlan1是默認存在的vlan
no vlan vlan的編號 刪除對應的vlan
sw2的配置
en
vlan database 進入vlan數據庫配置模式
vlan 2 name student 新增vlan2 並直接命名
exit 退出vlan配置模式
2.把端口加入vlan
int fa 0/1 進入交換機的端口配置模式
switchport mode access 端口模式改為接入端口
switchport access vlan 2 將這個接入模式的交換機端口分配到vlan2中
int fa 0/2
sw mo acc 簡寫命令 接入端口模式
swi acc vlan 3
show vlan brief
2.配置Trunk
a 配置主干端口
int fa 0/24 進入借口配置模式
switchport mode trunk 配置端口為主干模式
switchport mode nonegotiate 關閉dtp協議 因為兩端口都直接配置了trunk模式 不需要在協商 節省帶寬
注意 在交換機中輸入 以下命令 會將端口的封裝協議改為802.1Q
switchport trunk encapsulation dot1Q
b 配置主干端口允許傳輸的vlan
switchport trunk allowed vlan 可以添加 刪除 修改 主干端口允許傳輸的vlan信息
舉例 word 選項
switchport trunk allowed vlan 1,3,5-10 允許傳輸1.3.5.6.7.8.9.10號的vlan信息
c 查看主干鏈路狀態
show int fa 0/24 switchport
show interface trunk 顯示交換機工作在主干模式的端口
3.本地vlan 只有主干端口才有本地vlan的屬性
上圖中的pc1無法ping通pc5 hub是物理層設備
只能放大信號 不能識別加vlan的幀
native vlan是主干端口的特征 使用802.1Q封裝 如果數據幀中的vlan標識與主干端口的本地vlan號相同 則交換機清除數據幀中的vlan標識 使用802.1Q封裝協議的主干端口 如果幀中沒有vlan標識 則交換機將在幀中添加主干端口的本地vlan號
sw1
int fa 0/24
switchport trunk native vlan 2 將主干端口的本地vlan修改成vlan2 默認的本地vlan是vlan 1
同時sw2主干端口的本地vlan也要修改
sw2
int fa 0/24
switchport trunk native vlan 2
也就是說主干線纜連接的兩個主干端口要有相同本地vlan號
4.維護vlan的信息
show run 查看交換機sw1的運行配置文件
vlan信息被保存在交換機中的vlan.dat文件中 注意恢復出廠設置時需要刪除此文件
sw1#delete vlan.dat
dir命令查看flash文件中的目錄結構
show vlan brief 查看vlan的配置信息
刪除某個vlan后 屬於這個vlan的端口不會出現在vlan的配置信息中 此時這個端口被叫做游離端口 需要將端口重新加入其它的vlan端口才有作用
四 vlan間的路由
1.基於路由器物理接口的vlan間路由 現實中不用
r1的fa0/0 sw1的fa0/12和 fa0/1屬於vlan1 網絡192.168.1.0/24
r1的fa0/1 sw1的fa0/24和fa0/13屬於valn2 網絡192.168.2.0/24
命令 pc1 192.168.1.1/24 192.168.1.254
pc2 192.168.2.1/24 192.168.2.254
SW1配置
en
conf t
host sw1
vlan 2
int fa 0/1
swi mode acc
int fa 0/12
swi mode acc
int fa 0/13
swi mode acc
swi acc vlan 2
int fa 0/24
swi mode acc
swi acc vlan 2
R1配置
en
conf t
host r1
int fa 0/0
ip add 192.168.1.254 255.255.255.0
no shut 開啟端口
int fa 0/1
ip add 192.168.2.254 255.255.255.0
no shut
2.基於路由器子接口的vlan間路由 需要用到trunk主干協議
使用路由器的一個屋里端口連接多個不同的vlan
稱為單臂路由
SW1的配置
en
conf t
host sw1
vlan 2
int fa 0/1
swi mode acc
int fa 0/12
swi mode trunk
int fa 0/13
swi mode acc
swi acc vlan 2
R1的配置
en
conf t
host R1
int fa 0/0
no shut 開啟
exit
int fa 0/0.? 查看路由器子接口的編號 同一個物理接口可以支持幾十億個子接口
int fa 0/0.1 對端口0/0的編號1的子接口進行配置 子端口默認為打開狀態 不需要用no shut命令
encapsulation dot 1Q 1 指明封裝數據幀的協議 這里的1代表該子端口所屬的vlan號 簡寫格式為enc dot 1
ip address 192.168.1.254 255.255.255.0 配置網關和子網掩碼
int fa 0/0.200
enc dot 2 封裝並且設置vlan2
ip add 192.168.2.254 255.255.255.0
至此單臂路由的設置完成!
3.交換機上的端口類型
三種類型 交換端口 switchport 路由端口 no switchport和svi端口 switch virtual interface交換機虛擬端口
前者為二層端口不能配置三層的ip地址 路由端口和SVI端口都是三層端口 可以配置ip地址
a 二層交換機 思科一般有兩種交換端口 2900 35000 3550-smi系列等
交換端口 二層交換機上的物理端口就是一個二層的交換端口
svi端口是可以配置ip地址 對交換機進行遠程管理
int vlan 1
ip add 192.168.1.100 255.255.255.0
no shut 對三層的svi端口需要是使用 no shutdown命令
ip default-gateway 192.168.1.254 設置交換機svi口的網關 其余同一子網的pc可以ping通
b三層交換機
3550-emi 3560 3750 以及更加高檔的交換機
三種端口 交換端口 路由端口 SVI端口
模擬器中的三層交換機是 3560
4.基於三層交換機的vlan間路由
A單臂路由
其中SW1是三層交換機 在本例中 不開啟路由功能
sw1配置
conf t
host SW1
no cdp run 思科設備發現協議關閉
no ip routing 關閉三層交換機的路由功能
exit
valn 2 創建vlan2
exit
conf t
int fa 1/5
switchport mode access
swithcport access vlan 2
int fa 1/6
switchport mode trunk ;(注意這里 如果sw1用的是三層交換機 則在設置主干網絡時候需要先封裝 再設置主干模式
接口的中繼封裝是“自動”不能被配置為“主干”的模式。
解決方法:
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk //先配置封裝,再設置trunk)
PC1配置 其實是路由器1設備
en
conf t
host PC1
no cdp run
ip add 192.168.1.1 255.255.255.0
no shut
exit
no ip routing關閉路由器的路由功能 模擬一台計算機
ip default-gateway 192.168.1.254 配置計算機的網關,對於關閉路由協議的路由設備 要使用此命令來制定默認路由
如果未關閉路由協議則使用ip route 0.0.0.0 0.0.0.0 配置默認路由
PC2配置 路由器2設備
en
conf t
host pc2
no cdp run
int fa 0/0
ip add 192.168.2.1 255.255.255.0
no shut
exit
no ip routing
ip default-gateway 192.168.2.254
B三層交換機的vlan間路由
上圖中的r1關閉 並開啟sw1的路由功能 pc1和pc2配置保持不變
sw1配置
ip routing 開啟路由功能 為不同網間的數據包提供路由轉發功能
int vlan 1 此為三層交換機的svi端口 相當於路由器的一個端口 虛擬端口 看不見
ip add 192.168.1.254 255.255.255.0
no shut
int vlan 2
ip add 192.168.2.254 255.255.255.0 在三層交換機上,可以配置多個SVI端口,多個svi端口的ip地址可以同時有效 而二層交換機上只能有一個有效
no shut
5.路由器和三層交換機在實現vlan見路由上的差異
二層交換機+路由器 不如三層交換機方案要好
首先速度問題 數據包流經路由器的延時比交換機要大 因為處理過程比較復雜 解封裝-查詢路由表--再次封裝,帶寬瓶頸問題。vlan1去往vlan2的數據包都要流經路由器
三層交換機不存在這樣的問題
pc1將數據包發送給三層的svi端口 三層知道是vlan的通信 又把數據包發往三層中的路由模塊 路由模塊解封數據包,查詢pc2的mac地址然后封裝 將數據包轉發給三層中的交換模塊,交換模塊查詢mac地址表,把數據幀從交換機的
fa0/13口發出 之后pc1到pc2的數據包 三層交換機會查詢緩存 直接修改數據幀中的源和目的mac地址 將數據幀從fa0/13端口發出 這叫做
一次路由 多次交換 vlan1到vlan2的數據包郵交換機額背板轉發 帶寬遠遠高於端口的鏈路帶寬。
五 vlan的故障排除
故障包括端口錯、ip錯、網關錯、本地vlan不匹配、trunk模式不匹配 、trunk允許的vlan不匹配
1.物理層排錯
線型 直通還是雙絞線
交換機之間端口默認打開
可以使用命令show ip int brief命令檢查鏈路是否被關閉
2.數據鏈路層排錯
封裝協議是否正確 時鍾是否設置 交換機配置 主干鏈路的配置是否正確
以太網不同步串行鏈路 不考慮時鍾問題
使用命令show run查看子接口的封裝
封裝協議方法 encapsulation dot1Q 2
這里的2代表的vlan號
3.網絡層排錯
難度很大
涉及ip地址配置 vlan創建 端口分配 trunk模式 trunk鏈路上允許的vlan trunk鏈路的本地vlan
A ip地址排錯
檢查1、2、3的ip地址 子網掩碼和網管的配置是否正確
B 本地vlan排錯
Sw1上不停出現 native vlan mismatch discovered on fastethernet 0/24 的報錯信息說明兩端主干端口的本地vlan不一致使用下面命令修改
Int fa 0/24
Swi trunk native vlan 1
C 主干鏈路排錯
查看sw1上的主干端口是否正確 用如下命令
Show int fa 0/24 switchport
端口fa 0/24的詳細信息會顯示
命令show int trunk顯示的是工作在主干模式下的端口
D vlan的創建和端口分配排錯
命令show vlan brief顯示vlan信息
E 主干鏈路允許的vlan排錯
命令取消sw2 fa0/1端口的vlan限制 允許傳輸所有的vlan
Int fa 0/1
No switchport trunk allowed vlan 取消vlan的限制