3 VLAN文档格式.docx
- 文档编号:19435250
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:28
- 大小:40.32KB
3 VLAN文档格式.docx
《3 VLAN文档格式.docx》由会员分享,可在线阅读,更多相关《3 VLAN文档格式.docx(28页珍藏版)》请在冰豆网上搜索。
这所社区大学需要的解决方案是使用一种称为虚拟局域网(VLAN)的网络技术。
VLAN可让网络管理员建立多组逻辑上联网的设备,即使这些设备与其它VLAN共享相同的基础架构,它们也能像在独立的网络中一样运作。
配置VLAN时,可为它指定一个描述性的名字,以说明该VLAN的用户的主要角色。
例如,学校中所有的学生计算机可以配置到称为Student的VLAN中。
通过使用VLAN,可以根据职能、部门或项目小组对交换网络进行逻辑分组。
您还可以使用VLAN组织跨地域的网络,以支持各公司日益增多的家庭办公员工。
如图所示,我们分别为学生和教师创建了一个VLAN。
这两个VLAN允许网络管理员对特定的用户组实施各种访问策略和安全策略。
例如,可以让教师访问电子教学管理服务器以编写在线课程教材,但禁止学生访问这些服务器。
单击图中的“详细信息”按钮。
VLAN详细信息
VLAN是一个逻辑上独立的IP子网。
多个IP网络和子网可以通过VLAN存在于同一个交换网络上。
图中所示为包含三台计算机的网络。
为了让同一个VLAN上的计算机能相互通信,每台计算机必须具有与该VLAN一致的IP地址和子网掩码。
其中的交换机必须配置VLAN,并且必须将位于VLAN中的每个端口分配给VLAN。
配置了单个VLAN的交换机端口称为接入端口。
注意,如果两台计算机只是在物理上连接到同一台交换机,并不表示它们能够通信。
无论是否使用VLAN,两个不同网络和子网上的设备必须通过路由器(第3层)才能通信。
要将多个网络和子网组织到一个交换网络中,不一定要使用VLAN,但是使用VLAN的确会带来很多好处。
第{{$PAGEVAR}}页3:
VLAN的优点
用户效率和网络适应性是企业发展与成功的关键要素。
采用VLAN技术能让网络以更加灵活的方式对业务目标予以支持。
使用VLAN主要有以下优点:
∙安全-含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
教师计算机位于VLAN10上,完全与学生数据传输和访客数据传输相隔离。
∙成本降低-成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
∙性能提高-将第2层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
∙广播风暴防范-将网络划分为多个VLAN可减少参与广播风暴的设备数量。
在“配置交换机”一章我们讨论过,LAN划分可以防止广播风暴波及整个网络。
如图所示,我们可以看到,虽然该网络中有六台计算机,但是只有三个广播域:
Faculty、Student和Guest。
∙提高IT员工效率-VLAN为管理网络带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
当您为特定VLAN设置新的交换机时,之前为该VLAN配置的所有策略和规程均会在指定新交换机端口后应用到端口上。
另外,通过为VLAN设置一个适当的名称,IT员工很容易就知道该VLAN的功能。
在右图中,为了便于识别,我们将VLAN20命名为Student,将VLAN10命名为Faculty,将VLAN30命名为Guest。
∙简化项目管理或应用管理—VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。
通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。
此外,也很容易确定升级网络服务的影响范围。
第{{$PAGEVAR}}页4:
VLANID范围
接入VLAN分为普通范围和扩展范围。
普通范围的VLAN
∙用于中小型商业网络和企业网络。
∙VLANID范围为1到1005。
∙从1002到1005的ID保留供令牌环VLAN和FDDIVLAN使用。
∙ID1和ID1002到1005是自动创建的,不能删除。
随着本章内容的展开,我们将更深入地了解VLAN1。
∙配置存储在名为vlan.dat的VLAN数据库文件中,vlan.dat文件则位于交换机的闪存中。
∙用于管理交换机之间VLAN配置的VLAN中继协议(VTP)只能识别普通范围的VLAN,并将它们存储到VLAN数据库文件中。
扩展范围的VLAN
∙可让服务提供商扩展自己的基础架构以适应更多的客户。
某些跨国企业的规模很大,从而需要使用扩展范围的VLANID。
∙VLANID范围从1006到4094。
∙支持的VLAN功能比普通范围的VLAN更少。
∙保存在运行配置文件中。
∙VTP无法识别扩展范围的VLAN。
可配置255个VLAN
一台CiscoCatalyst2960交换机可支持最多255个普通范围与扩展范围的VLAN,但是配置的VLAN数量的多少会影响交换机硬件的性能。
由于企业网络可能需要含有大量端口的交换机,因此Cisco开发了企业级的交换机,这种交换机可以级联或堆叠在一起,建立起由九台独立交换机组成的交换单元。
每台独立的交换机可以有48个端口,因此这样的交换单元总共有432个端口。
在这种情况下,每台交换机限制为255个VLAN可能使某些企业客户受到约束。
3.1.2VLAN的类型
目前实现VLAN的方法主要有一种,这就是基于端口的VLAN。
基于端口的VLAN与称为接入VLAN的端口相关联。
不过网络中有许多与VLAN相关的术语。
有些术语定义了网络流量的类型,而其它术语定义VLAN执行的特定功能。
下面介绍了一些常见的VLAN术语:
将鼠标指针置于图中所示的“数据VLAN”按钮上。
数据VLAN
数据VLAN只传送用户产生的流量。
VLAN也可以传送语音流量或用于传送管理交换机的流量,但这种流量可以从数据VLAN隔离开。
我们一般会将语音流量和管理流量与数据流量分开。
为了强调用户数据与交换机管理控制数据和语音流量分隔开这一点,我们使用了一个特别的术语-“数据VLAN”来标识这种只传送用户数据的VLAN。
“数据VLAN”有时也称为“用户VLAN”。
将鼠标指针置于图中所示的“默认VLAN”按钮上。
默认VLAN
在交换机初始启动之后,交换机的所有端口即加入到默认VLAN中。
让所有这些交换机端口参与默认VLAN会使这些端口全部位于同一个广播域中。
这样一来,连接到交换机任何端口的任何设备都能与连接到其它端口的其它设备通信。
Cisco交换机的默认VLAN是VLAN1。
VLAN1具有VLAN的所有功能,但是不能对它进行重命名,也不能删除。
默认情况下,第2层的控制流量(例如CDP流量和生成树协议流量)与VLAN1相关。
如图所示,VLAN1的流量通过连接交换机S1、S2和S3的VLAN中继进行转发。
为了确保安全,最好是将默认VLAN从VLAN1更改为其它VLAN;
这种做法要求配置交换机上的所有端口,使这些端口与默认VLAN而不是与VLAN1关联。
VLAN中继支持来自多个VLAN的流量传输。
虽然我们在本节多处提到VLAN中继,但其具体含义将在下一节“VLAN中继”中介绍。
注:
有些网络管理员使用术语“默认VLAN”表示除VLAN1外的另一个VLAN,这个VLAN由网络管理员自己定义,所有未使用的端口都一律分配到这一VLAN。
如果是这种情况,VLAN1的唯一作用则是处理网络第2层的控制流量。
将鼠标指针置于图中所示的“本征VLAN”按钮上。
本征VLAN
本征VLAN分配给802.1Q中继端口。
802.1Q中继端口支持来自多个VLAN的流量(有标记流量),也支持来自VLAN以外的流量(无标记流量)。
802.1Q中继端口会将无标记流量发送到本征VLAN。
如图所示,本征VLAN为VLAN99。
如果交换机端口配置了本征VLAN,则连接到该端口的计算机将产生无标记流量。
本征VLAN在IEEE802.1Q规范中说明,其作用是维护无标记流量的向下兼容性,这种流量在传统LAN方案中十分常见。
对我们来说,本征VLAN的目的是充当中继链路两端的公共标识。
最佳做法是使用VLAN1以外的VLAN作为本征VLAN。
将鼠标指针置于图中所示的“管理VLAN”按钮上。
管理VLAN
管理VLAN是您配置用于访问交换机管理功能的VLAN。
如果您没有主动定义一个唯一的VLAN作为管理VLAN,则VLAN1会默认充当管理VLAN。
您需要为管理VLAN分配IP地址和子网掩码。
交换机可通过HTTP、Telnet、SSH或SNMP进行管理。
Cisco交换机的出厂配置是将VLAN1作为默认VLAN,但是您会发现VLAN1作为管理VLAN是不当选择;
因为您不会希望连接到交换机的任意用户都默认进入管理VLAN。
请回顾“交换机的基本概念和配置”一章,您是如何将管理VLAN配置为VLAN99。
下一页,我们将继续探讨另外一种VLAN:
语音VLAN。
语音VLAN
为什么需要单独的VLAN来支持IP语音(VoIP)?
这不难理解。
您只需想象一下,您正在接听紧急电话,但传输质量突然大大下降,以致于您无法听清另一方的讲话,这会是什么感觉?
因此VoIP流量要求:
∙足够的带宽来保证语音质量
∙高于其它网络流量类型的传输优先级
∙能够在融合网络中得到路由
∙在网络上的延时小于150毫秒(ms)
为满足这些要求,整个网络的设计都必须适合支持VoIP。
具体如何配置网络使其支持VoIP的内容已经超出本课程的范围。
但是,大体了解一下语音VLAN在路由器、CiscoIP电话以及计算机之间的工作方式很有意义。
如图所示,VLAN150用于传送语音流量。
学生计算机PC5连接到CiscoIP电话,而电话又连接到交换机S3。
PC5位于VLAN20这个主要用于传输学生数据的VLAN中。
S3上的F0/18端口配置为语音模式,这样它可以指示电话为语音帧添加VLAN150标记,而来自PC5的数据帧经过CiscoIP电话时则不添加此标记。
从端口F0/18发往PC5的数据在到达电话的途中会添加VLAN20标记,但在从电话转发给PC5之前会将VLAN标记删除。
作标记是指在数据帧的字段中添加额外的字节,其作用是让交换机识别该数据帧应该发往哪个VLAN。
稍后我们将学习如何标记数据帧。
Cisco电话是一种交换机
CiscoIP电话集成了一台三端口的10/100交换机,如图所示。
从这些端口可连接到如下设备:
∙端口1连接到交换机或其它IP语音(VoIP)设备。
∙端口2是内部10/100接口,用于传送IP电话流量。
∙端口3(接入端口)连接到PC或其它设备。
右图显示了IP电话的一种连接方式。
交换机端口可通过语音VLAN功能传送来自IP电话的IP语音流量。
当交换机连接到IP电话时,该交换机将发送消息,指示连接到交换机的IP电话在发送语音流量时为流量添加VLAN150标记。
连接到IP电话的PC所发出的流量在经过IP电话时不作标记。
当交换机端口配置语音VLAN后,交换机与IP电话之间的链路将充当中继,用以传送有标记的语音流量和无标记的数据流量。
交换机和IP电话之间的通信通过CDP协议实现。
此协议在“CCNAExploration:
路由协议和概念”课程中有详细论述。
单击图中的“示例配置”按钮。
示例配置
右图显示了输出示例。
关于CiscoIOS命令的讨论已超出本课程的范围,但您可以观察到,输出示例中的突出显示区域表示F0/18接口已配置一个数据VLAN(VLAN20)和一个语音VLAN(VLAN150)。
网络流量类型
在“CCNAExploration:
网络基础知识”中,您已经学习过LAN所处理的不同流量类型。
由于VLAN具有LAN的所有特征,因此VLAN必须像LAN一样处理网络流量。
网络管理流量和控制流量
网络上可以存在许多不同类型的网络管理流量和控制流量,例如Cisco发现协议(CDP)更新、简单网络管理协议(SNMP)流量和远程监控(RMON)流量。
将鼠标指针悬停在右图中的“网络管理”按钮上。
IP电话
IP电话的流量类型包括信令流量和语音流量。
信令流量从网络一端发送到另一端路径,负责呼叫的建立、执行和终止。
另一种电话流量包含实际语音通话的数据包。
我们前面学习过,在配置了VLAN的网络中,强烈建议分配除VLAN1外的其它VLAN作为管理VLAN。
数据流量应该与数据VLAN(而非VLAN1)关联,而语音流量与语音VLAN关联。
将鼠标指针悬停在右图中的“IP电话”按钮上。
IP组播
IP组播流量从特定的源地址发送到某个组播组中,该组播组由一个IP与MAC目的组地址对所标识。
CiscoIP/TV广播就是产生这种流量的实例。
组播流量可以在网络上产生大量数据流传输。
如果要求网络必须支持组播流量,则应当配置VLAN,以确保组播流量只会到达符合一定条件的用户设备,即有权获得特定服务的用户设备(如远程视频或音频应用程序)。
此外还必须配置路由器,以确保组播流量只会转发到发出了组播流量请求的网络区域。
将鼠标指针悬停在右图中的“IP组播”按钮上。
普通数据
涉及普通数据流量的有:
文件创建和存储、打印服务、电子邮件数据库访问以及其它常用于商业用途的共享网络应用程序。
VLAN是这种流量的理想解决方案,因为您可以按用户执行的功能或所处的地理位置对用户分组,从而更加方便地管理用户的特定需求。
将鼠标指针置于图中所示的“普通数据”按钮上。
Scavenger类型
Scavenger类型的作用是为某些应用程序提供等级比“尽最大努力”服务更低的服务。
被授予此类服务的应用程序对企业的组织目标而言很少有或根本没有作用,而是通常用于娱乐目的。
这些应用程序包括点对点媒体共享应用程序(KaZaa、Morpheus、Groekster、Napster和iMesh等)、游戏应用程序(Doom、Quake和UnrealTournament等)以及其它娱乐视频应用程序。
3.1.3交换机端口成员资格模式
交换机端口
交换机端口是指工作在第2层的接口,并与具体的物理端口关联。
交换机端口用于管理物理接口和关联的第2层协议,不会用于处理路由或桥接。
交换机端口属于一个或多个VLAN。
VLAN交换机端口模式
配置VLAN时,必须为它分配一个数字ID,也可根据需要为其指定一个名称。
VLAN实施过程中需要以灵活的方式将端口与特定的VLAN相关联。
要将帧转发到特定的VLAN,您必须配置相应的端口。
我们在前面提到过,您可以将VLAN配置为语音模式,使其支持来自CiscoIP电话的语音流量和数据流量。
您可以将某个端口分配给某个VLAN,具体的方法是指定成员资格模式,这种成员资格模式会指定该端口传送的流量种类以及该端口所属的VLAN。
可以将端口配置为以下VLAN类型:
∙静态VLAN-交换机上的端口以手动方式分配给VLAN。
静态VLAN通过CiscoCLI配置,也可通过GUI管理应用程序(例如CiscoNetworkAssistant)完成配置。
但是CLI有一个方便的功能,即如果将接口分配给一个不存在的VLAN,它会为您新建一个VLAN。
要查看静态VLAN配置示例,单击图中的“静态模式示例”按钮。
然后,单击图中的“端口模式”按钮。
现在我们暂时不详细分析这一配置。
本章后面部分我们还会看到此配置。
∙动态VLAN-此模式在生产网络中的运用并不广泛,本课程不探讨它。
但是,了解动态VLAN的含义还是很有帮助。
动态端口VLAN成员资格模式的配置需通过一种称为VLAN成员资格策略服务器(VMPS)的特殊服务器完成。
使用VMPS可以根据连接到交换机端口的设备的源MAC地址,动态地将端口分配给VLAN。
当您将主机从网络中一台交换机的端口移到另一台交换机的端口时,第二台交换机会将该主机的端口动态地分配给适当的VLAN,这时动态VLAN的优点也就凸现出来了。
∙语音VLAN-将端口配置到语音模式可以使端口支持连接到该端口的IP电话。
在端口上配置语音VLAN之前,需要先配置语音VLAN和数据VLAN。
图中,VLAN150为语音VLAN,VLAN20为数据VLAN。
假定网络已经过配置,可以确保语音流量在整个网络中的传输优先级最高。
当首次将电话接入处于语音模式的交换机端口时,交换机端口会向电话发送消息,进而为电话提供相应的语音VLANID和配置。
然后该IP电话将为语音帧添加语音VLANID,并通过语音VLAN转发所有语音流量。
要查看语音模式配置示例,单击图中的“语音模式示例”按钮。
∙使用配置命令mlsqostrustcos可确保将语音流量识别为需要优先传送的流量。
请注意,必须将整个网络设置为优先传送语音流量,不能只是使用此命令配置端口。
∙switchportvoicevlan150命令将VLAN150标识为语音VLAN。
屏幕底部的截图证实了这一点:
VoiceVLAN:
150(VLAN0150)。
∙switchportaccessvlan20命令将VLAN20配置为接入模式(数据)VLAN。
AccessModeVLAN:
20(VLAN0020)。
有关配置语音VLAN的详细信息,请访问此C网站:
3.1.4通过VLAN控制广播域
没有VLAN的网络
以常规方式运作时,如果交换机在某个端口上收到广播帧,它会将该帧从交换机的所有端口上转发出去。
如图所示,整个网络配置在相同的子网172.17.40.0/24中。
结果,当教师计算机PC1发出广播帧时,交换机S2将该广播帧从所有端口上发送出去。
最终整个网络都会收到该帧,因此整个网络是一个广播域。
单击图中的“划分了VLAN的网络广播”按钮。
有VLAN的网络
如图所示,网络已划分为两个VLAN:
FacultyVLAN10和StudentVLAN20。
当广播帧从教师计算机PC1发送到交换机S2时,S2只会将此广播帧转发到那些配置为支持VLAN10的交换机端口。
图中,交换机S2和S1相连的端口(端口F0/1)以及S1和S3相连的端口(端口F0/3)都已配置为支持网络中的所有VLAN。
这种连接称为中继。
随着本章内容的展开,我们将更深入了解中继。
当S1在端口F0/1上收到广播帧时,S1只会将该帧从配置为支持VLAN10的端口(端口F0/3)上转发出去。
当S3在端口F0/3上收到该广播帧时,它也只会将该帧从配置为支持VLAN10的端口(端口F0/11)转发出去。
然后该广播帧只到达网络VLAN10中的计算机,即教师计算机PC4。
为交换机配置VLAN后,特定VLAN中的主机所发出的单播流量、组播流量和广播流量,其传输均仅限于该VLAN中的设备。
通过交换机和路由器控制广播域
将大型的广播域细分成几个较小的广播域可以减少广播流量,并提升网络性能。
将域细分成VLAN还可以让组织更好地保持信息的机密性。
细分广播域可以通过VLAN(在交换机上)也可以通过路由器完成。
无论是否使用VLAN,位于不同第3层网络的设备都必须通过路由器才能通信。
单击“VLAN内通信”按钮,并单击“播放”按钮开始动画演示。
VLAN内通信
如图所示,PC1要与另一台设备PC4通信。
PC1和PC4二者均位于VLAN10。
在同一个VLAN中与某台设备通信称为VLAN内通信。
下面说明如何完成这一过程:
步骤1.VLAN10中的PC1将自己的ARP请求帧发送给交换机S2(广播)。
交换机S2和S1将该ARP请求帧从VLAN10上的所有端口发送出去。
然后交换机S3将该ARP请求从端口F0/11发送给VLAN10中的PC4。
步骤2.网络中的交换机将ARP应答帧转发(单播)给PC1。
PC1会收到应答帧,该帧包含
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VLAN