Virtual Local Area Network
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术,VLAN是拥有一组共同要求且与物理位置无关的终端设备的逻辑组。
VLANs as Logically Defined Networks:
- 1. 多层交换网络设计中vlan的优点:
- 1. 有效的带宽利用:通过将网络划分为小型广播域或子网;
- 2. 安全性:将关键信息进行隔离,防止个别网段中的非授权用户访问这些信息;
- 3. 多路径负载均衡:通过与路由器选择相结合,vlan能够智能的决定到达目标网络的最佳路径;
- 4. 隔离故障域:有效的防止网络故障从一个vlan扩散到其他分段或vlan。
本地(local)VLAN:(大部分VLAN流量在本地): - 1. 基于楼宇的位置构建;
- 2. 一个VLAN不会扩展到另外的楼宇,即不会跨过楼内分布层设备;
- 3. 广播被控制在一个楼宇内部,不会影响骨干性能。
端到端的(end-to-end)VLANvlan流量会跨域不通的交换机): - 1. 基于部门或团队构建,当用户及其工作站在园区内移动的时候,其vlan成员身份通常保持不变;
- 2. 可以跨过多栋楼宇组成一个VLAN,终端设备被分组到vlan中,而与其物理位置无关;
- 3. 每个vlan内的全体成员拥有一组共同的安全和资源要求;
- 4. 可能的问题:广播会穿过园区网骨干,影响核心交换性能。
园区网络端到端的vlan是可以扩展到整个网络的vlan;本地vlan只能局限于建筑物接入子模块或建筑物分布子模块交换机的单台交换机或交换机组;大型生成树拓扑,简化网络管理和排错的设计中更多采用本地vlan。
本地VLAN设计拓扑:
本地vlan易于管理和构思,典型的vlan构成是在单个配线架之内的单台接入交换机上配置最少数目的vlan;如图:每台建筑接入层交换机属于2个vlan:一个用于语音vlan,一个用于数据vlan,它们终止于建筑分布层模块交换机中,本地vlan的目标不是在建筑分布子模块之上扩展VLAN。
4. 静态和动态VLAN
静态vlan是利用手工分配给特定vlan的交换机端口而建立的。 动态vlan是根据已经输入到vmps(vlan management policy server)中的源mac地址来分配vlan; vmps需要自己的管理开销,除非所增加,移动或更改的行为产生非常高的管理开销,否则不要使用vmps来维护终端站mac地址和定制过滤表。企业中也很少部署vmps而是选择ieee 802.1x作为安全访问特性。
运行Cisco CatOS软件的Catalyst4000、Catalyst5000和Catalyst6500系列交换机支持VMPS功能,外部服务器也能担当VMPS。
5. VLAN范围
Cisco catalyst交换机最多能够支持4096个vlan
Cisco catalyst交换机都支持不同数目的vlan
6. 配置VLAN
1. 全局配置模式
Eg:switch#configure terminal
switch(config)#vlan vlan-id
switch(config-vlan)#name vlan-name
switch(config-vlan)#exit
2. vlan数据库模式
Eg:switch#configure terminal
switch(config)#vlan vlan-id
switch(config-vlan)#name vlan-name
switch(config-vlan)#exit/apply----------需通过输入exit/apply命令退出回话,否则交换机将不会应用这些更改;
将交换机端口分配到创建的vlan中:
Eg:switch(config)#interface slot/port
switch(config-if)#switchport mode access
switch(config-if)#switchport host
在清空一台交换机配置的时候, 也需要注意vlan.dat , 这个文件会保存vlan信息, 如果需要将一台交换机恢复到默认状态, 除了在重起前清除start-config以外, 还要删除vlan.dat文件。
7. 验证VLAN配置
show interfaces [vlan vlan-id]
show vlan [id vlan-id]
8. VLAN排错
在排除vlan相关的故障时,用户始终应当检查如下项目:
吞吐量低的排错:
- 1. 对于包括2个端口的点到点交换机链路,故障可能存在于链路的任一侧,需要确认2个链路伙伴的速度和双工设置的一致性。
- 2. 通过show命令,将可以查看被怀疑接口存在哪些类型的错误。
- 3. 如果存在使用生成树的多条冗余路径,那么确定数据包采用哪条2层链路。
通信问题的排错:
当某台设备不能与VLAN内部的其他设备进行通信的时候,采用如下方式排错:
- 1. 通过使用show interface命令,将可以确认交换机端口配置了正确的VLAN成员身份;
- 2. 确认交换机端口处于正常工作UP状态并且已经建立了连接,通过对端口执行shut和no shut命令,将能够对端口进行复位处理。
VLAN总结:
- 1. vlan是一种逻辑广播域,他将具有相同要求的终端设备划分到一起,而不管其具体物理位置。一个vlan通常包括一个单个的ip子网。
- 2. 如果在cisco ios中配置vlan,在将端口分配到新建vlan之前,需要事先确认已经定义vlan。
- 3. 在使用cisco ios软件的设备中,应当总在全局配置模式下配置vlan。
- 4. 对于连接主机的端口建议使用命令switchport modeaccess将其配置为静态接入端口。
- 5. 通过使用命令switchport access vlan vlan,将能够把接口分配到某个vlan中。
- 6. 对于连接单台主机的端口,为了实现禁用etherchannel和启用生成树portfast特性的目的,应当使用命令switchport host
- 7. 802.1Q是业界标准的链路聚集协议,它不仅支持扩展vlan,而且通过802.1p字段来进行QoS,所以推荐多层交换网络使用802.1Q作为链路聚集协议,而不选择ISL链路聚集协议。
- 8. 默认情况下,接口的native vlan是vlan1。
- 9. 干道端口的native vlan就是所配置的vlan ID,就如同端口不是cisco catos中链路聚集端口。
- 10. native vlan不被标记处理,所以native vlan就不包含可用于Qos的801.p字段,在ios 12.1.13及更新版本的iso软件中增加了用于标记干道端口的标记。
- 11. DTP是直连的交换机端口为形成干道端口而协商工作模式的协议,交换机通过DTP选择适当的链路聚集协议。
- 12. 如果链路伙伴不支持DTP或企望模式的链路聚集配置,那么命令switchport mode trunk能够将干道端口配置为开启模式。
- 13. vtp是一种重要的第2层报文协议,它能够在vtp域内的网络中传播和同步 vlan数据库。
- 14. vtp包括3种模式:服务器,客户端和透明模式,交换机默认是服务器模式。
- 15. 通过使用vtp修剪,将能够避免在干道端口上扩散不必要的流量。
- 16. 对于工作在vtp服务器或客户端模式的交换机,应当将其配置为通过干道链路接收或同步vlan数据库。
- 17. 在增加新交换机的时候,如果计划使其工作在vtp透明模式,那么可以选择相同的vtp域名;如果计划使其工作在服务器模式,那么就需要为其配置不同的vtp域名。为了能够正确的同步vlan数据库,在所有干道链路都处于正常工作之后,再将交换机修改到正确的域中,或者将其从vtp透明模式装换到vtp服务器或客户端模式。
- 18. pvlan是能够为相同vlan内不同终端设备之间提供隔离的vlan,不仅提高网络安全,还减少ip子网的数量。
- 19. 私用vlan包括1一个主vlan和多个辅助vlan,各辅助vlan均与1一个主vlan相关联。
- 20. 隔离pvlan和团体pvlan都是辅助pvlan。对于隔离pvlan内的主机,他们只能与混杂端口进行通信,而不能与相同隔离pvlan内的其他主机进行通信。
--------------------------------------------------------------------------------------------------------------
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2015-8-24 10:48:49
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡