配置基于端口的vlan及实例
1 配置基于Access端口的VLAN
配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在接口视图/端口组视图/二层聚合接口视图或二层虚拟以太网接口视图下进行配置。
表1-4 配置基于Access端口的VLAN(在VLAN视图下)
表1-5 配置基于Access端口的VLAN(在接口视图/端口组视图下/二层聚合接口视图/二层虚拟以太网接口视图)
●在将Access端口加入到指定VLAN之前,要加入的VLAN必须已经存在。
●在VLAN视图下向VLAN中添加端口时,只能添加二层以太网端口。●
2 1.4.
3 配置基于Trunk端口的VLAN
Trunk端口可以允许多个VLAN通过,只能在接口视图/端口组视图/二层聚合接口视图或二层虚拟以太网接口视图下进行配置。
表1-6 配置基于Trunk端口的VLAN
●Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设
置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先
设为Access端口,再设置为Hybrid端口。
●配置缺省VLAN后,必须使用port trunk permit vlan命令配置允许缺省VLAN
的报文通过,出接口才能转发缺省VLAN的报文。
3 1.4.
4 配置基于Hybrid端口的VLAN
Hybrid端口可以允许多个VLAN通过,只能在接口视图/端口组视图/二层聚合接口视图或二层虚拟以太网接口视图下进行配置。
表1-7 配置基于Hybrid端口的VLAN
●Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设
置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先
设为Access端口,再设置为Hybrid端口。
●在设置允许指定的VLAN通过Hybrid端口之前,允许通过的VLAN必须已经存
在。
●配置缺省VLAN后,必须使用port hybrid vlan命令配置允许缺省VLAN的报
文通过,出接口才能转发缺省VLAN的报文。
4 1.4.
5 基于端口的VLAN典型配置举例
1. 组网需求
●Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和
Host D属于部门B,也通过不同的设备接入公司网络。
●为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来
隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。
●现要求不管是否使用相同的设备接入公司网络,同一VLAN内的主机能够互
通。即Host A和Host C能够互通,Host B和Host D能够互通。
2. 组网图
图1-6 基于端口的VLAN组网图
3. 配置步骤
(1)配置Device A
# 创建VLAN 100,并将Ethernet1/1加入VLAN 100。
[DeviceA] vlan 100
[DeviceA-vlan100] port ethernet 1/1
[DeviceA-vlan100] quit
# 创建VLAN 200,并将Ethernet1/2加入VLAN 200。
[DeviceA] vlan 200
[DeviceA-vlan200] port ethernet 1/2
[DeviceA-vlan200] quit
# 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B,将Ethernet1/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。[DeviceA] interface ethernet 1/3
[DeviceA-Ethernet1/3] port link-type trunk
[DeviceA-Ethernet1/3] port trunk permit vlan 100 200
Please wait... Done.
(2)Device B上的配置与Device A上的配置完全一样,不再赘述。
(3)将Host A和Host C配置在一个网段,比如192.168.100.0/24;将Host B和
Host D配置在一个网段,比如192.168.200.0/24。
4. 显示与验证
(1)Host A和Host C能够互相ping通,但是均不能ping通Host B。Host B和
Host D能够互相ping通,但是均不能ping通Host A。
(2)通过查看显示信息验证配置是否成功。
# 查看Device A上VLAN 100和VLAN 200的配置信息,验证以上配置是否生效。[DeviceA-Ethernet1/3] display vlan 100
VLAN ID: 100
VLAN Type: static
Route Interface: not configured
Description: VLAN 0100
Name: VLAN 0100
Broadcast MAX-ratio: 100%
Tagged Ports:
Ethernet1/3
Untagged Ports:
Ethernet1/1
[DeviceA-Ethernet1/3] display vlan 200
VLAN ID: 200
VLAN Type: static
Route Interface: not configured
Description: VLAN 0200
Name: VLAN 0200
Broadcast MAX-ratio: 100%
Tagged Ports:
Ethernet1/3
Untagged Ports:
Ethernet1/2
实验三通过配置路由器或三层交换机实现VLAN间的通信
实验三实现VLAN间的通信 一、通过路由器实现vlan间通信(单臂路由) 实验拓扑图 【准备知识】 在路由器与交换机的端口上配置子接口,每个子接口的IP地址是每个VLAN的网关地址(也可以理解为下一跳地址),并在子接口上封装802.1Q协议。也可以封装ISL协议(cisco专用协议,不兼容802.1Q)。 【实验步骤】 1、交换机配置如下: Switch>en Switch#conf t Switch(config)#vlan 2 Switch(config-vlan)#vlan 3 Switch(config-vlan)#exit Switch(config)#int fa0/2 Switch(config-if)#sw ac vlan 2 //switchport access vlan 2的简写,端口fa0/2划到vlan 2中Switch(config-if)#int fa0/3 Switch(config-if)#sw ac vlan 3 Switch(config-if)#exit Switch(config)#int fa0/1 Switch(config-if)#switchport mode trunk //设置f0/1端口为trunk模式 2、路由器配置如下:
Router>en Router#conf t Router(config)#int fa0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int f0/0.1 Router(config-subif)#encapsulation dot1q 2 //封装协议802.1Q,2为vlan 2 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#int f0/0.2 Router(config-subif)#encapsulation dot1q 3 //封装协议802.1Q,3为vlan 3 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#exit Router(config)# 【检测实验结果】 VLAN 2中的pc1能ping 通VLAN 3中的pc2。 二、通过路由器实现跨交换机vlan间通信 实验拓扑图 【实验步骤】 1、交换机BJ上的配置如下: BJ>en BJ#conf t
三层交换机路由配置实例
三层交换机路由配置 一、三层交换机VLAN间路由建立 某公司有两个主要部门:技术部和销售部,分处于不同的办公室,为了安全和便于管理对两个部门的主机进行了VLAN划分,技术部和销售部分处于不同VLAN。现由于业务需要销售部和技术部的主机能够相互访问,获得相应资源,两个部门的交换机通过一台三层交换机进行连接。 在交换机上建立2个Vlan:Vlan10分配给技术部及Vlan20分配给销售部。为了实现两部门的主机能够相互访问,在三层交换机上开启路由功能,并在Vlan10中设置IP地址为192.168.10.1;在Vlan20中设置IP地址为192.168.20.1,查看三层交换机路由表,会发现在三层交换机路由表内有2条直连路由信息,实现在不同网络之间路由数据包,从而达到2个部门的主机可以相互访问,拓朴图如图所示。 第1步:开启三层交换机路由功能 Switch#configure terminal Switch(config)#hostname s3550
S3550(conifg)#ip routing 第2步:建立Vlan,并分配端口 S3550(conifg)#vlan 10 S3550(config-vlan)#name sales S3550(config-vlan)#exit S3550(conifg)#vlan 20 S3550(config-vlan)#name technical S3550(config-vlan)#exit S3550(conifg)# S3550(conifg)#interface fastethernet 0/10 S3550(conifg-if)#switchport mode access S3550(conifg-if)#switchport access vlan 10 S3550(conifg-if)#exit S3550(conifg)# interface fastethernet 0/20 S3550(conifg-if)#switchport mode access S3550(conifg-if)#switchport access vlan 20 S3550(config-vlan)#exit S3550(config)# 第3步:配置三层交换机端口的路由功能 S3550(config)#interface vlan 10 S3550(conifg-if)#ip address 192.168.10.1 255.255.255.0 S3550(conifg-if)#no shutdown
VLAN详解教程
局域网VLAN技术详解教程 1.VLAN的概念 1.1什么是VLAN VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。 本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。 那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。 A B 图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC
地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播信息是那么经常发出的吗? 读到这里,您也许会问:广播信息真是那么频繁出现的吗? 答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……) 总之,广播就在我们身边。下面是一些常见的广播通信: ● ARP请求:建立IP地址和MAC地址的映射关系。 ● RIP:选路信息协议(Routing Infromation Protocol)。 ● DHCP:用于自动设定IP地址的协议。 ● NetBEUI:Windows下使用的网络协议。 ● IPX:Novell Netware使用的网络协议。 ● Apple Talk:苹果公司的Macintosh计算机使用的网络协议。 1.2 VLAN的实现机制 在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
【实训3.4】用三层交换机实现VLAN间路由
【实训3.4】用三层交换机实现VLAN间路由 一、实训目的 1.了解VLAN间路由的意义 2.掌握使用三层交换机实现vlan间路由的解决方法 3.模拟并解决小型企业或分公司的VLAN间路由问题 二、实训逻辑图 图3.4-1 实训逻辑图 三、实训内容及步骤 1.进入交换机(先不要按逻辑图连接交换机),查看是否已有Vlan配置 (1)查看Vlan配置(show vlan brief) (2)查看Vtp状态(show vtp status) (3)若Vtp模式不是Server,请将其改为Server(vtp mode server) (4)删除默认Vlan以外的所有Vlan信息(no vlan vlan_id) (5)查看所有端口是否都在Vlan 1下(show vlan brief) (6)若有端口不是Vlan 1下,请将其加入到Vlan 1下 做完以上步骤后,再查看一次Vlan信息,检查是否所有端口已绑定在Vlan 1下,并且没有其他Vlan设置;若仍有端口没有处于Vlan 1下,或有其他Vlan信息,请重复以上项目,否则可能影响下面的实训数据。 2.创建Vlan并将端口绑定到Vlan
SW2950# vlan data SW2950 (vlan)# vlan 2 name v2 SW2950 (vlan)# vlan 3 name v3 SW2950 (config) # int f0/3 SW2950 (config-if) # switchport mode access SW2950 (config-if) # switchport access vlan 2 SW2950 (config) # int f0/4 SW2950 (config-if) # switchport mode access SW2950 (config-if) # switchport access vlan 3 SW2950 (config-if) #end SW2950#show vlan brief VLAN Name Status Ports 1 default active Fa0/1, Fa0/2, Fa0/5, Fa0/6, Fa0/7,Fa0/8, Fa0/9, Fa0/10, Fa0/11,Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24, Gig1/1, Gig1/2 2 v2 active Fa0/3 3 v3 active Fa0/4 3.将F0/24端口设定为中继端口 SW2950 (config) # int f0/24 SW2950 (config-if) # switchport mode trunk SW3550 (config) # int f0/24 SW3550 (config-if) # switchport trunk encapsulation dot1q SW3550 (config-if) # switchport mode trunk SW3550#show int trunk Port Mode Encapsulation Status Native vlan Fa0/24 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/24 1-1005 Port Vlans allowed and active in management domain Fa0/24 1,2,3 Port Vlans in spanning tree forwarding state and not pruned Fa0/24 1,2,3 若两台交换机上的F0/24端口模式“mode”都为“on”,表明Trunk状态已正常工作。4.在三层交换机上配置每个VLAN的管理地址 SW3550# conf t SW3550(config)# int vlan 2 //配置VLAN 2管理地址 SW3550(config-if)# ip add 192.168.2.1 255.255.255.0 SW3550(config-if)# no shut SW3550(config-if)# exit
VLAN间路由配置心得体会
VLAN间路由配置心得体会 众所周知,第二层平面网络的扩展性不佳,各站点发送数据包前要广播查询目的地的MAC地址。由于大量应用层软件需要广播传送某些数据包,而这些数据广播包只需发向某一组用户,如果此时没有VLAN(Virtual Local Area Network),这些数据包会占用大量网络资源,使正常数据包无法获得带宽,从而严重影响网络效率及性能。VLAN依靠用户的逻辑设定将原来物理上互联的一个局域网络划分为多个虚拟网段,即在两层交换机的逻辑上划分若干LAN(广播域),将广播信息、组播信息等限制在特定的一组端口上,从而为限制全网范围的广播和多点广播提供有效手段。在网络设计中,应选择切实可行的技术进行VLAN的灵活划分。划分可依据设备所连的端口、用户节点的MAC地址等,划分的结果是使同一个VLAN 内的数据可自由通信。不同VLAN间的数据交流需要通过第三层交换完成。即通过跨越交换机划分VLAN,从而高性能地实现VLAN之间的路由,提高带宽利用率和网络性能,增强网络应用的灵活性和安全性。二、VLAN在网络中的典型划分VLAN在网络中的典型划分如图1所示。VLAN通常与IP网络是相关联的,例如特定IP子网中的所有工作端属于同一个VLAN,不同VLAN之间必须通过路由器或具有路由器功能的模块才能通信。VLAN可以是动态的,也可以是静态的。所谓动态VLAN就是基于工作站的MAC地址,即根据工作站上网卡的48位硬件地址划分的VLAN。动态VLAN主要是通过每台交换机所连接工作站的MAC地址,它将一组MAC地址划分在同一逻辑组中,其中的成员不会因地理位置的改变而改变(这种方法仅用于局域网)。静态VLAN是一种具有固定地理位置的划分方法,它基于交换机端口的划分,可以通过对交换机的适当设置,将同一个交换机或不同交换机上的一组端口划分在同一个VLAN中。VTP(VLAN Trunk Protocol)协议主要用于多台局域网交换机互联情况下有效管理VLAN的配置。VTP Domain 也叫VLAN的管理域,它由具有相同管理域名称的交换机组成,每个交换机只能位于一个VTP域中,这样便可以通过命令行(CLI)方式或简单的网络管理协议(SNMP)来完成整个Domain中VLAN的设置(在缺省状态下,交换机处于非管理域中)。由于一个端口只能同时属于一个VLAN,那么当两台交换机联机后,属于不同VLAN的数据包如何通过级联端口到达另一台交换机,数据包到达另一台交换机后又如何交换呢?我们可以使用交换机中的Trunk功能。两台交换机之间的Trunk关系以及Trunk中所使用的ISL和802.1Q 协议是可以通过双方协商建立的,总共有5种工作方式:On、Off、Desirable、Auto(Trunk 端口缺省模式)和Nonegotiate(交换机与路由器之间的Trunk)。VLAN的配置实现交换机可以分为基于Set命令的和基于IOS的两类。交换机的平台不同,具体设置命令也有所不同,但各种配置的基本原理及设置思路都是一样的。就VLAN的设置来讲,其基本步骤包括:配置VTP 域、建立新的VLAN、将端口分配到目标的VLAN之中。
华为路由器交换VLAN配置实例
华为路由器交换VLAN配置实例 华为路由器交换VLAN配置实例 配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。 网络结构如图:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0网关IP为192.168.1.5P2 192.168.1.2 255.255.255.0网关IP为192.168.1.5P3 192.168.1.3 255.255.255.0网关IP为192.168.1.6P4 192.168.1.4 255.255.255.0网关IP为192.168.1.6路由器上Ethernet0的IP为192.168.1.5 Ethernet1的IP为192.168.1.6 firewall设置默认为deny 实施命令列表: 交换机上设置,划分VLAN: sys //切换到系统视图 [Quidway]vlan enable [Quidway]vlan 2 [Quidway-vlan2]quit //默认所有端口都属于VLAN1,指定交换机的到八个端口属于VLAN2 [Quidway]vlan 3 [Quidway-vlan3]quit //指定交换机的到八个端口属于VLAN3[Quidway]dis vlan all [Quidway]dis cu
路由器上设置,实现访问控制: [Router]interface ethernet 0 [Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit //指定ethernet 0的ip [Router]interface ethernet 1 [Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit //开启firewall,并将默认设置为deny [Router]fire enable [Router]fire default deny //允许192.168.1.1访问192.168.1.3 //firewall策略可根据需要再进行添加 [Router]acl 101 [Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0 [Router-acl-101]quit //启用101规则 [Router-Ethernet0]fire pa 101 [Router-Ethernet0]quit [Router-Ethernet1]fire pa 101 [Router-Ethernet1]quit
交换机VLAN划分实验
二、交换机VLAN划分实验 一、实验目的 1、了解VLAN原理; 2、熟练掌握二层交换机VLAN的划分方法; 3、了解如何验证VLAN的划分。 二、应用环境 学校实验楼中有两个实验室位于同一楼层,一个是计算机软件实验室,一个是多媒体实验室,两个实验室的信息端口都连接在一台交换机上。学校已经为实验楼分配了固定的IP地址段,为了保证两个实验室的相对独立,就需要划分对应的VLAN,使交换机某些端口属于软件实验室,某些端口属于多媒体实验室,这样就能保证它们之间的数据互不干扰,也不影响各自的通信效率。 三、实验设备 1、DCS-3926S交换机1台 2、PC机2台 3、Console线1根 4、直通网线2根 四、实验拓扑 使用一台交换机和两台PC机,还将其中PC1作为控制台终端,使用Console口配置方式;
使用两根网线分别将PC1和PC2连接到交换机的RJ-45接口上。 五、实验要求 在交换机上划分两个基于端口的VLAN:VLAN100,VLAN200。 VLAN 端口成员 1001~8 2009~16 使得VLAN100的成员能够互相访问,VLAN200的成员能够互相访问;VLAN100和VLAN200成员之间不能互相访问。 PC1和PC2的网络设置为: 设备IP地址Mask 交换机A 192.168.1.11 255.255.255.0 PC1 192.168.1.101 255.255.255.0 PC2 192.168.1.102 255.255.255.0 PC1、PC2接在VLAN100的成员端口1~8上,两台PC互相可以ping通;PC1、PC2接在VLAN的成员端口9~16上,两台PC互相可以ping通;PC1接在VLAN100的成员端口1~8上,PC2接在VLAN200的成员端口9~16上,则互相ping不通。 若实验结果和理论相符,则本实验完成 六、实验步骤 第一步:交换机恢复出厂设置 Switch#set default Switch#write Switch#reload 第一步:给交换机设置ip地址即管理ip Config t Interface vlan 1 Ip address 192.168.1.11 255.255.255.0
cisco三层交换机vlan间路由配置实例
cisco三层交换机vlan间路由配置实例 下面以cisco3560实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3,分别通过Port 1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING…… 需要做的工作: 1、设置VTP DOMAIN(核心、分支交换机上都设置) 2、配置中继(核心、分支交换机上都设置) 3、创建VLAN(在server上设置) 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN 及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN 信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本 VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL (Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置 ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下: COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下: PAR1(config)#interface gigabitEthernet 0/1
VLAN虚拟局域网和子网划分的区别(精解)
VLAN"虚拟局域网"和子网划分的区别 这个理解,比如同一个交换机下的两种不同状态: 1、划分VLAN ,同一个交换机下分成两个VLAN,那么这两段之间通信必须要通过三层或路由,这两段之间的广播风暴是不通的。可视为两个单独的交换机。 2、划分子网,同一个交换机下划分了两个子网,所以两子网之间通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时,所以的端口都要接收。因为广播风暴是工作在第二层。广播是以MAC地址为依据的,所以同一个交换机上所有的端口都要接收广播。。 3、子网划分是通过路由器才能形成的,没有路由器来分隔子网是没法进行子网划分的,VLAN是在交换机上划分多个VLAN,从而划分多个广播域,这有利于阻隔广播风暴的发生!!而且不同vlan间必须通过三层设备才能相互通信!!而使用划分子网,必须增加路由器,这样就增加了组网的成本!!使用vlan来可以节约成本!! 4、从某种意义上来说,划分VLAN是一个更好的方法。 如果你只靠子网来划分,你就会发现你的交换机端口上各个子网的数据在到处跑。。。。交换机上灯闪个不停。。 而划了VLAN,如果不属于这个VLAN的数据是不是乱发的,广播包是过来的, 这是硬件上做了处理。。 只靠子网来划分,你的电脑网卡还是会收到其他子网的数据,只是会在你的电脑上被拒绝,虽然被拒绝可是对你的电脑性能是有影响的。。 VLAN和IP子网是局域网里的两个法宝一定要掌握。。。这样你才能得心应用的管理你的管理。规划。。 一、VLAN VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,
基于端口模式的VLAN实现
10.基于端口模式的VLAN实现 一.实训目的 1.理解VLAN的基本概念。 2.掌握VLAN的分类方法和实现原理。 3.掌握交换机上实现静态VLAN的基本命令。 二.实训器材及环境 1.安装Windows 2000 Server操作系统的计算机。 2.安装Boson Netsim 5.31模拟软件。 3.实验环境见实训步骤中的描述。 三.实训理论基础 1.虚拟局域网简介 Virtual Local Area Network(VLAN),翻译成中文是“虚拟局域网”。VLAN所指的LAN 特指使用路由器分割的网络,也就是广播域。是指在逻辑上将物理的LAN分成不同的小的逻辑子网,每一个逻辑子网就是一个单独的广播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。 2.VLAN的作用 使用集线器或交换机所构成的一个物理局域网,整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧,因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。在网络通讯中,广播信息是普遍存在的,这些广播帧将占用大量的网络带宽,导致网络速度和通讯效率的下降,并额外增加了网络主机为处理广播信息所产生的负荷。 目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络的阻塞和瘫痪。 一个VLAN就是一个网段,通过在交换机上划分VLAN,可将一个大的局域网划分成若干个网段,每个网段内所有主机间的通讯和广播仅限于该VLAN内,广播帧不会被转发到其他网段,即一个VLAN就是一个广播域,VLAN间是不能进行直接通信的,从而就实现了对广播域的分割和隔离。 从中可见,通过在局域网中划分VLAN,可起到以下方面的作用:控制网络的广播,增加广播域的数量,减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组,不受任何物理连接的限制,同一VLAN中的用户,可以连接在不同的交换机,并且可以位于不同的物理位置,增加了网络连接、组网和管理的灵活性。 增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。 3.VLAN的分类 (1)静态VLAN 静态VLAN就是明确指定各端口所属VLAN的设定方法,通常也称为基于端口的VLAN,其特点是将交换机按端口进行分组,每一组定义为一个VLAN,属于同一个VLAN的端口,可来自一台交换机,也可来自多台交换机,即可以跨越多台交换机设置VLAN。 静态指定各端口所属的VLAN,需要对每一个端口地进行设置,当要设定的端口数目较多时,工作量会比较大,通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。
VLAN间路由配置
第15章 VLAN间路由 在交换机上划分VLAN后,VLAN间的计算机就无法通信了。VLAN间的通信需要借助第三层设备,我们可以使用路由器来实现这个功能,如果使用路由器通常会采用单臂路由模式。实践上,VLAN间的路由大多是通过三层交换机实现的,三层交换机可以看成是路由器加交换机,然而因为采用了特殊的技术,其数据处理能力比路由器要大得多。本章将分别介绍两种方法的具体配置。 15.1 VLAN间路由简介 15.1单臂路由 处于不同VLAN的计算机即使它们是在同一交换机上,它们之间的通信也必须使用路由器。可以在每个VLAN上都有一个以太网口和路由器连接。采用这种方法,如果要实现N个VLAN间的通信,则路由器需要N个以太网接口,同时也会占用了N个交换上的以太网接口。单臂路由提供另外一种解决方案。路由器只需要一个以太网接口和交换机连接,交换机的这个接口设置为Trunk接口。在路由器上创建多个子接口和不同的VLAN连接,子接口是路由器物理接口上的逻辑接口。工作原理如图15-1,当交换机收到VLAN1的计算机发送的数据帧后,从它的Trunk接口发送数据给路由器,由于该链路是Trunk链路,帧中带有VLAN1的标签,帧到了路由器后,如果数据要转发到VLAN2上,路由器将把数据帧的VLAN1标签去掉,重新用VLAN2的标签进行封装,通过Trunk链路发送到交换机上的Trunk接口;交换机收到该帧,去掉VLAN2标签,发送给VLAN2上的计算机,从而实现了VLAN间的通信。 图 15-1 路由器的子接口工作原理 15.2 三层交换 单臂路由实现VLAN间的路由时转发速率较慢,实际上在局域网内部多采用三层交换。三层交换机通常采用硬件来实现,其路由数据包的速率是普通路由器的几十倍。 从使用者的角度可以把三层交换机看成是二层交换机和路由器的组合,如图15-2,这个虚拟的路由器和每个VLAN都有一个接口进行连接,不过这个接口是VLAN1或VLAN2接口。Cisco早些年采用的基于NetFlow的三层交换技术;现在Cisco主要采用CEF技术。CEF技术中,交换机利用路由表形成转发信息库(FIB),FIB和路由表是同步的,关键的是它的查询是硬件化,查询速度快得多。除了FIB,还有邻接表(Adjacency Table),该表和ARP表有些类似,主要放置了第二层的封装信息。FIB和邻接表都是在数据转发之前就已经建立准备好了,这样一有数据要转发,交换机就能直接利用它们进行数据转发和封装,不需要查询路由表和发送ARP请求,所以VLAN间的路由速率大大提高。
VLAN+路由器典型配置实例
详解:VLAN+路由器典型配置实例 近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网,其实这是个比较简单,也比较典型的配置。网上也很容易找到,但都不系统很零散。这里针对几种常见的情况,分别做了配置: 1、拓扑结构图: 1)本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能,SW2为华为 2403H-EI二层交换机。 2)图模拟了常见的拓扑结构。也没有用到任何厂商特性,因此也适用于其他厂商的设备,只是命令行有所不同。 2、基础配置: ISP: interface Serial0/0 #配置和RA相连的接口 clock DTECLK1 link-protocol ppp ip address 10.0.1.1 255.255.255.252 interface LoopBack0 #配置该接口模拟 internet 的一个 IP。 ip address 1.1.1.1 255.255.255.255 ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA,也即分配地址池给 RA。 RA:
nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池,也即ISP分配的地址段。(如果外网接口类型为广播,则最好把这些地址配置给LOOPBACK接口,否则可能不同,但此例是点对点接口,无此问题) acl number 2000 #配置NA T 用的ACL列表 rule 0 permit source 172.16.0.0 0.0.0.255 rule 1 permit source 172.16.1.0 0.0.0.255 rule 2 permit source 10.0.0.0 0.0.0.3 interface Ethernet0/0 #配置内网口 ip address 10.0.0.1 255.255.255.252 interface Serial0/0 #配置外网口 link-protocol ppp ip address 10.0.1.2 255.255.255.252 nat outbound 2000 address-group 0 #做NA T,采用先前配置的地址池。 ip route-static 0.0.0.0 0.0.0.0 10.0.1.1 preference 60 配置默认路由 SW1: gvrp #启用GVRP 注册协议,用于动态创建SW2的VLAN,实现VLAN 的集中管理。 vlan 2 #创建各VLAN vlan 3 vlan 24#因为S3526 不支持被路由接口,因此将E0/24 划到VLAN24,给VLAN24 配置虚接口IP用于路由。(cisco 则可以在e0/24接口用no switchport 配置为被路由接口,直接配置IP即可) interface Vlan-interface2 #配置VLAN 虚接口IP ip address 172.16.0.254 255.255.255.0 interface Vlan-interface3 配置VLAN 虚接口IP ip address 172.16.1.254 255.255.255.0 interface Vlan-interface24 配置VLAN 虚接口IP ip address 10.0.0.2 255.255.255.252 interface Ethernet0/1 #划分接口到VLAN port access vlan 2 interface Ethernet0/10 #配置和SW2 互联的E0/10接口为Trunk 接口,并启用GVRP协议。port link-type trunk port trunk permit vlan 2 to 3 gvrp registration fixed
vlan的意义、划分
交换机VLAN的定义、意义以及划分方式 什么是VLAN 虚拟网技术(VLAN,Virtual Local Area Network)的诞生主要源于广播。广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都 要用到广播,如。然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,当广播包的数量占到通讯总量的30%时,网络的传输效率将会明显下降。所以,当局域网内的 计算机达到一定数量后(通常限制在150~200台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害。 如何分隔大的广播域呢?最简单的方案就是物理分隔,即将一个完整的网络物理地分隔 成两个或多个子网络,然后,再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外,就是在交换机上采用逻辑分隔的方式,将一个大的局域网划分为若干个小的虚拟子网(如图2所示),即VLAN,从而使每一个子网都成为一个单独的广播域,子网之间进行通信必须通过三层设备。当VLAN在交换机上划分后,不同VLAN间的设备就 如同是被物理地分割。也就是说,连接到同一交换机、然而处于不同VLAN的设备,就如 同被物理地连接到两个位于不同网段的交换机上一样,彼此之间的通信一定要经过路由设备,否则,他们之间将无法得知对方的存在,将无法进行任何通信? 虽然划分VLAN的方式有许多种,但是,使用最多的仍然是基于端口的VLAN。不同厂商的交换机大多支持以下几种VLAN的划分方式: 1. 基于端口的VLAN 基于端口的VLAN是最常使用的划分VLAN的方式,几乎被所有的交换机所支持。所谓 基于端口的VLAN,是指由网络管理员使用网管软件或直接设置交换机,将某些端口直接地、强制性地分配给某个VLAN。除非网管人员重新设置,否则,这些端口将一直保持对该VLAN 的从属性,即属于该VLAN,因此,这种划分方式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻烦,但相对安全,并且容易配置和维护。同时,由
实验一 基于端口划分VLAN
实验一基于端口划分VLAN 一、实验目的: 1、理解VLAN的基本原理; 2、掌握按端口划分VLAN的方法; 3、理解VLAN间通信的基本原理。 二、实验内容: 根据以下网络拓扑结构图,按端口划分VLAN,使两个VLAN之间能够相互通信。 VLAN2:PC0,PC1,PC3 主机IP:192.168.2.1—192.168.2.3,VLAN2接口IP:192.168.2.4, 子网掩码:255.255.255.0; VLAN3:PC2,PC4,PC5 主机IP:192.168.3.1—192.168.3.3,VLAN3接口IP:192.168.3.4 子网掩码:255.255.255.0。 三、实验环境: Cisco Packet Tracer 5.2。 四、实验过程: 扼要地写出实验的过程。 五、实验结果及分析: 总结实验的结果,并作简要的分析; 简单附上本次实验的体会与收获。 说明:把本次实验写成实验报告,下周三交。 后附:Cisco3560、Cisco2960的配置 附:Cisco交换机的配置过程
(1)设置VTP管理域 Switch> enable //进入特权配置模式 Switch# config terminal //进入全局配置模式 Switch(config)# hostname VtpServer //交换机命名 VtpServer(config)# exit //退出全局配置模式 VtpServer# vlan database //进入VLAN配置模式 VtpServer(vlan)# vtp domain MathsGroup //创建VTP管理域,域名命名为MathsGroup VtpServer(vlan)#vtp server //将三层交换机配置成VTP管理域的服务器Switch> enable Switch# config terminal Switch(config)# hostname VtpInformation VtpInformation(config)# exit VtpInformation# vlan database VtpInformation(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域VtpInformation(vlan)# vtp client //将交换机配置成VTP管理域的客户机 Switch> enable Switch# config terminal Switch(config)# hostname VtpMaths VtpMaths(config)# exit VtpMaths# vlan database VtpMaths(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域 VtpMaths(vlan)# vtp client //将交换机配置成VTP管理域的客户机 (2)为交换机配置连接VLAN主干(trunk)链路的端口 VtpServer(vlan)# exit //退出VLAN配置模式 VtpServer# config terminal //进入全局配置模式 VtpServer(config)# interface f0/1 //进入接口配置模式,对端口f0/1进行配置VtpServer(config-if)# switchport mode trunk //将端口f0/1配置成trunk模式VtpServer(config-if)# exit VtpServer(config)# interface f0/2 VtpServer(config-if)# switchport mode trunk VtpInformation(vlan)# exit VtpInformation# config terminal VtpInformation(config)# interface f0/1 VtpInformation(config-if)# switchport mode trunk VtpMaths(vlan)# exit VtpMaths# config terminal VtpMaths(config)# interface f0/1 VtpMaths(config-if)# switchport mode trunk