第十三章 使用VLAN扩展交换网络
一个VLAN =一个广播域 = 逻辑网段 (子网) 分段 灵活性 安全性 第三层 第二层 Slide 1 of 1 Purpose: Emphasize: A VLAN is a broadcast domain. Note: In order to have inter-vlan communications, a router is required. 第一层 销售部 工程部 人力资源部 一个VLAN =一个广播域 = 逻辑网段 (子网)
VLAN运作 每个逻辑的VLAN就象一个独立的物理桥 交换机上的每一个端口都可以分配给不同的VLAN 红色 VLAN 黑色 VLAN 绿色 VLAN Slide 1 of 3 Purpose: Emphasize: Each port on the switch can be assigned to a VLAN. By default, all ports are in VLAN 1, a factory default VLAN. 每个逻辑的VLAN就象一个独立的物理桥 交换机上的每一个端口都可以分配给不同的VLAN 默认的情况下,所有的端口都属于VLAN1(Cisco)
VLAN运作 每个逻辑的VLAN就象一个独立的物理桥 同一个VLAN可以跨越多个交换机 交换机A 交换机B 红色 VLAN 黑色 VLAN Slide 2 of 3 Purpose: Emphasize: To allow VLANs to span across multiple switches, the connection between the switches must belong to mulitple VLANs. 红色 VLAN 黑色 VLAN 绿色 VLAN 红色 VLAN 黑色 VLAN 绿色 VLAN 每个逻辑的VLAN就象一个独立的物理桥 同一个VLAN可以跨越多个交换机
VLAN运作 主干功能支持多个VLAN的数据 主干使用了特殊的封装格式支持不同的VLAN 只有快速以太网端口可以配置为主干端口 交换机A 交换机B 干道连接 快速以太网 红色 VLAN 黑色 VLAN 绿色 VLAN 红色 VLAN 黑色 VLAN 绿色 VLAN Slide 3 of 3 Purpose: Emphasize: A trunk is used to connect two switches together. A trunk carries traffic for multiple VLANs. Only the fastethernet ports on the 1900 can be configured as trunk port. Trunking is off by default on the 1900 fastethernet ports (fa 0/26 and fa 0/27). Note: The 1900 supports DISL. At the time of the beta, the core switch (2900xl) doesn’t support DISL. 主干功能支持多个VLAN的数据 主干使用了特殊的封装格式支持不同的VLAN 只有快速以太网端口可以配置为主干端口
VLAN Trunk 交换机对帧进行VLAN标记有两种协议:ISL和802.1Q Switch A Switch B 干道连接 快速以太网 Green VLAN Black Red Switch B 干道连接 快速以太网 Red VLAN Black VLAN Green VLAN 交换机对帧进行VLAN标记有两种协议:ISL和802.1Q
VLAN Trunk(cont.) VLAN干道:对于多个VLAN交换机来说,VLAN干线就是两个交换机之间的连接,它在两个或两个以上的VLAN之间传输通信。每个交换机必须确定它所收到的帧属于哪个VLAN。 一个交换机的任何端口都必须属于且只能属于一个VLAN,但当端口配置成trunk干线后,该端口就失去了它自身的VLAN标识,可以为该交换机内的所有VLAN传输数据。
ISL的主干功能使得VLAN信息可以穿越主干线 ISL标识(Cisco私有) ISL的主干功能使得VLAN信息可以穿越主干线 通过硬件(ASIC)实现 ISL标识不会出现在工作站,客户端并不知道ISL的封装信息 在交换机或路由器与交换机之间,在交换机与具有ISL网卡的服务器之间可以实现 进入主干线前加上VLAN标识 ISL支持VLAN的标识 Slide 1 of 1 Purpose: Emphasize: Note: The 1900 only supports ISL trunking. ISL is Cisco Proprietary. 802.1Q is an IEEE standard. Other trunk types: LANE (VLANSs over ATM) 802.10 (FDDI trunk) 离开主干线后去掉VLAN标识
ISL封装 用ISL头与CRC进行帧封装 可以支持多个VLAN (1024) VLAN号 BPDU控制位 BPDU ISL 头 26 bytes 以太帧数据 CRC 4 bytes DA Type User SA LEN AAAA03 HSA VLAN BPDU BPDU INDEX RES VLAN BPDU Slide 1 of 1 Purpose: Emphasize: Note: Since ISL technology is implemented in ASICs, frames are tagged at wire speed. The number of VLANs supported by a switch depends on the switch hardware. The Catalyst 1900en supports 64 active VLANs with an instance of STP per VLAN. PVST = Per VLAN Spanning Tree. PVST is a Cisco proprietary implementation. It requires Cisco ISL encapsulation in order to work. 用ISL头与CRC进行帧封装 可以支持多个VLAN (1024) VLAN号 BPDU控制位
ISL封装(cont.) BPDU DA:目的地址,是一个组播地址,总是相同的40位01000C0000,告诉接收方该帧是ISL格式封装的。 Type User SA LEN AAAA03 HSA VLAN BPDU BPDU INDEX RES DA:目的地址,是一个组播地址,总是相同的40位01000C0000,告诉接收方该帧是ISL格式封装的。 TYPE:指明所封装祯的类型,以太网0000、令牌环网0001、FDDI网0010、ATM 0011 USER:用户自定义 SA:发送该ISL帧的交换机接口的48位MAC地址 LEN:ISL帧的长度 HSA:源地址高位,含生产商的ID和MAC源地址。以00000C开头。 VLAN:VLAN的ID号 BPDU:如果是STP帧就置该位的值。
VLAN Tag added by incoming port VLAN Tag stripped by forwarding port IEEE公共帧标记协议802.1Q 如果要跨越cisco交换机和其他厂商的交换机来建立多个VLAN,必须使用802.1Q协议 VLAN Tag added by incoming port 802.1Q VLAN identifier VLAN Tag stripped by forwarding port
VLAN 间路由概述 网络层的设备使各个广播域之间可以互相通信 既可用单个路由器端口与交换机的trunk端口相连建立干道 Router on a stick ISL VLAN 1 VLAN 2 Application TCP IP 10.1.1.2 10.2.2.2 Purpose: This figure shows a router on a stick being used to interconnect VLANs. Emphasize: The VLANs are on different networks. Without a network layer device the could not communicate. Review the protocols operating at each of the OSI layers. ISL Ethernet 网络层的设备使各个广播域之间可以互相通信 既可用单个路由器端口与交换机的trunk端口相连建立干道 也可以用多个路由器端口分别与每个VLAN相连,但浪费端口
VLAN配置的步骤 1.全局配置模式下,输入VLAN ID,进入VLAN配置模式: Switch(config)#vlan {vlan-id} 2.为VLAN设置名字.可选: Switch(config-vlan)#name {vlan-name} 3.创建了以太网VLAN之后,接下来把交换机端口分配到特定的VLAN里.假如你把端口分配进了不存在的VLAN里,那么新的VLAN将自动被创建.进入接口配置模式: Switch(config)#interface {interface} 4.定义VLAN端口的成员关系,把它定义为层2接入端口: Switch(config-if)#switchport mode access 5.把端口分配进特定的VLAN里: Switch(config-if)#switchport access vlan {vlan-id} 6.配置中继端口,定义中继模式: Switch(config-if)#switchport trunk encapsulation {isl|dot1q|negotiate} 7.定义端口为层2的中继端口: Switch(config-if)#switchport mode {dynamic auto|dynamic desirable|trunk} Slide 1 of 1 Purpose: Emphasize: Note: In the ICND lab, All the switches and routers are in VLAN1. The core server and the core router are in multiple VLANs. Each workgroup PC is on an unique VLAN.
配置实例
配置实例Cont. 交换机Asuqa配置如下: Asuqa#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Asuqa(config)#vlan 2 Asuqa(config-vlan)#name Sales Asuqa(config-vlan)#vlan 3 Asuqa(config-vlan)#name Tech Asuqa(config-vlan)#interface f0/2 Asuqa(config-if)#switchport mode access Asuqa(config-if)#switchport access vlan 2 Asuqa(config-if)#no shutdown Asuqa(config-if)#interface f0/3 Asuqa(config-if)#switchport access vlan 3 Asuqa(config-if)#interface f0/1 Asuqa(config-if)#switchport trunk encapsulation dot1q Asuqa(config-if)#switchport mode trunk Asuqa(config-if)#end Asuqa#
配置实例Cont. 交换机Aiko配置如下: Aiko#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Aiko(config)#vlan 2 Aiko(config-vlan)#name Sales Aiko(config-vlan)#vlan 3 Aiko(config-vlan)#name Tech Aiko(config-vlan)#interface f0/3 Aiko(config-if)#switchport mode access Aiko(config-if)#switchport access vlan 2 Aiko(config-if)#no shutdown Aiko(config-if)#interface f0/5 Aiko(config-if)#switchport access vlan 3 Aiko(config-if)#interface f0/24 Aiko(config-if)#switchport trunk encapsulation dot1q Aiko(config-if)#switchport mode trunk Aiko(config-if)#end Aiko#
配置实例Cont. Asuqa#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Gi0/1, Gi0/2 2 Sales active Fa0/2 3 Tech active Fa0/3 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup Asuqa#
配置实例Cont. Aiko#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/4, Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Gi0/1, Gi0/2 2 Sales active Fa0/3 3 Tech active Fa0/5 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
VTP协议 (VLAN Trunking Protocol ) 支持混合的介质主干连接(快速以太网, FDDI, ATM) VTP 域 “91Lab.com” 3.同步最新的vlan信息 Slide 1 of 1 Purpose: Emphasize: Notes: VTP is a Cisco proprietray feature. VTP is a Layer 2 messaging protocol that maintains VLAN configuration consistency by managing the addition, deletion, and renaming of VLANs on a network-wide basis. VTP minimizes misconfigurations and configuration inconsistencies that can cause several problems, such as duplicate VLAN names, incorrect VLAN-type specifications, and security violations. A VTP domain (also called a VLAN management domain) is one switch or several interconnected switches sharing the same VTP domain. A switch is configured to be in only one VTP domain. You make global VLAN configuration changes for the domain by using the Cisco IOS command-line interface (CLI), Cisco Visual Switch Manager Software, or Simple Network Management Protocol (SNMP). By default, a 1900 switch is in the no-management-domain state until it receives an advertisement for a domain over a trunk link or you configure a management domain. The default VTP mode is server mode, but VLANs are not propagated over the network until a management domain name is specified or learned. If the switch receives a VTP advertisement over a trunk link, it inherits the management domain name and configuration revision number. The switch then ignores advertisements with a different management domain name or an earlier configuration revision number. When you make a change to the VLAN configuration on a VTP server, the change is propagated to all switches in the VTP domain. VTP advertisements are transmitted out all trunk connections, including Inter-Switch Link (ISL), IEEE 802.1Q, IEEE 802.10, and ATM LAN Emulation (LANE). If you configure a switch from VTP transparent mode, you can create and modify VLANs, but the changes are not transmitted to other switches in the domain, and they affect only the individual switch. 如果有很多VLAN并覆盖多个交换机,手工在每台交换机上配置VLAN是件很麻烦的事。VTP是Cisco的私有协议,工作在第2层,通过管理整个网络上的VLAN增加、删除和改名来维护VLAN配置的一致性。在主干接口上,VTP交换机每300秒向默认的管理域VLAN1发一次总结性公告。公告包括一个配置修改号(从0开始每次加1)、交换机已知的VLAN清单和每个VLAN的配置信息。 VTP协议最大的好处是:同一管理域的所有交换机都会知道发布VTP公告的交换机创建了一个新的VLAN。VLAN配置只需输入一次可减少工作量和错误。VTP一旦起作用,就可在线加入新交换机,对VLAN进行在线配置和修改。 每个交换机配置VTP后,仍需要为每个端口配置VLAN成员关系。 管理域:是所有配成相同域名的VLAN的集合。每个VLAN都有不同的编号,可以有相同的域名。一个网络可以有多个VLAN域,一个交换机一次只能处于一个管理域中。 2 1.“新增一个vlan”
VTP模式 Catalyst switches 上默认的VTP模式是服务器模式,这样在向VLAN中增加一台交换机时必须注意这一点。 创建vlan 修改vlan 删除vlan 发送/转发 信息宣告 同步 存贮于NVRAM 服务器模式 Slide 1 of 1 Purpose: Emphasize: Default VTP mode on the Catalyst switches is Server. Be careful when adding new switches into an existing network. This is covered in more detail later. 默认的VTP模式是server模式, 但是,直到学习到或者规定了管理域名才在网上传播VLANs信息。如果交换机在trunk连接上收到VTP advertisement,他就会继承该管理域名和配置版本号,以后就会忽略具有不同管理域名或者更低版本号的advertisements。 如果你在VTP server上改变了VLAN configuration,这些变化会传遍该VTP domain中的所有交换机 。 VTP advertisements 只在所有的trunk connections上转发, 包括Inter-Switch Link (ISL), IEEE 802.1Q等。 如果配置一个交换机为VTP transparent模式, 可在该交换机上创建和修改VLANs,但是,改变不会传播到管理域中其他的交换机,而只影响该交换机自己。 发送/转发 信息宣告 同步 不会存贮于NVRAM 创建vlan 修改vlan 删除vlan 转发 信息宣告 不同步 存贮于NVRAM 客户模式 透明模式
VTP是如何工作的 VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 Slide 1 of 2 Purpose: Emphasize: Notes: VTP advertisements are sent on factory-default VLAN based on the media type. Each advertisement starts as configuration revision number 0. When changes are made, the configuration revision number increments (n+1). Routers ignore VTP packets. There are two types of advertisements; requests from clients that want to learn at boot up and response from servers. There are three types of messages; summary advertisements sent every 300 seconds on VLAN 1, subset advertisements with information about VLANs, and advertisement requests from clients where the server responds with summary and subset advertisements
VTP是如何工作的 VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 1.新增VLAN 2.版本3 -->版本4 Slide 2 of 2 Purpose: Emphasize: The latest revision number is what the switches will synchronize to. 3 服务器 3 4.版本3 -->版本4 5.同步新的VLAN信息 4.版本3 -->版本4 5.同步新的VLAN信息 客户 客户
VTP裁减 通过阻止不必要数据的泛洪传送来增加可用的带宽 例如: 主机A发出广播,广播仅仅泛洪到已有端口被分配到红色VLAN的所有交换机 端口 2 B 交换机4 被泛洪的数据在 这些地方被阻止 交换机2 Slide 1 of 1 Purpose: Emphasize: VTP prunning provides optimized flooding. Without VTP prunning, station A’s broadcast will be flooded to all switches whether they have any port in the red vlan or not. Note: VLAN 1 can’t be prunned. STP, CDP, VTP updates are sent on VLAN1. All switches in the switched network must support prunning or prunning will be disabled. Each trunk port maintains a state variable per vlan indicating if the switch has any port assigned to a particular vlan or not. Cisco交换机的接口为单色接口,即每个端口必须且只能属于一个VLAN,因此,对单个交换机内多个VLAN的广播管理非常有效。但是,有跨交换机的多个VLAN时,用作VLAN主干的trunk端口是多色端口,他可以传输多个VLAN的流量。 如果没有VTP修剪,广播信息就会在同一个网络内所有的交换机主干上传播,不管途经的交换机上是否有与发送广播端口在同一个VLAN的端口,因而浪费了这些交换机间主干上的带宽。VTP修剪的目的就是要逻辑上阻断不必要的广播信息在主干trunk上的传播,以消除带宽浪费。 每个主干接口为每个VLAN保存一个状态变量。该变量的值为连接状态,表示trunk端口可以向该VLAN发送广播和大量的其他帧;该变量的值为修剪状态,表示trunk端口不会从该VLAN过来的广播帧(但是,STP,CDP,VTP帧不受此规定限制)。 VLAN 1 不能被裁减。 STP, CDP, VTP 是通过 VLAN1 发送的。 网络中的所有交换机必须支持裁减,否则裁减就会被禁止 红色 VLAN 交换机5 端口 1 A 交换机6 交换机3 交换机 1
VTP配置步骤 1.全局配置模式下,定义VTP模式: Switch(config)#vtp mode {server|client|transparent} 2.定义VTP域名,在同一VLAN管理域的交换机的VTP域名必须相同.该域名长度为1到32字符: Switch(config)#vtp domain {domain-name} 3.设置VTP域的密码,同一VTP域里的交换机的VTP域的密码必须一致,密码长度为8到64字符.可选: Switch(config)#vtp password {password}
配置实例
配置实例Cont. 交换机Asuqa配置如下: Asuqa#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Asuqa(config)#vtp domain Aiko Changing VTP domain name from NULL to Aiko Asuqa(config)#vtp mode server Device mode already VTP SERVER. Asuqa(config)#vtp password Asuqa Setting device VLAN database password to Asuqa Asuqa(config)#end Asuqa# 交换机Aiko配置如下: Aiko#configure terminal Aiko(config)#vtp domain Aiko Aiko(config)#vtp mode client Setting device to VTP CLIENT mode. Aiko(config)#no vlan 2 VTP VLAN configuration not allowed when device is in CLIENT mode. Aiko(config)#vtp password Asuqa Aiko(config)#end Aiko#