CCNA必看知识点 交换机 VLAN配置基础 及 VLAN最强实例说明图Word格式文档下载.docx

CCNA必看知识点 交换机 VLAN配置基础 及 VLAN最强实例说明图Word格式文档下载.docx

《CCNA必看知识点 交换机 VLAN配置基础 及 VLAN最强实例说明图Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《CCNA必看知识点 交换机 VLAN配置基础 及 VLAN最强实例说明图Word格式文档下载.docx（12页珍藏版）》请在冰豆网上搜索。

网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。

交换机是根据用户工作站的MAC地址来划分VLAN的。

所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

VLAN网络可以是有混合的网络类型设备组成，比如：

10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。

VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

二、VLAN的划分方法

VLAN在交换机上的实现方法，可以大致划分为六类:

1.基于端口划分的VLAN

这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。

这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。

对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。

这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。

适合于任何大小的网络。

它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

2.基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。

这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。

这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

3.基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。

这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。

这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。

而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。

当然，这与各个厂商的实现方法有关。

4.根据IP组播划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。

这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

5.按策略划分VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。

网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。

6.按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

三、VLAN的优越性

任何新技术要得到广泛支持和应用，肯定存在一些关键优势，VLAN技术也一样，它的优势主要体现在以下几个方面：

1.增加了网络连接的灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。

VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2.控制网络上的广播

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。

使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送絍LAN之外。

同样，相邻的端口不会收到其他VLAN产生的广播。

这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

3.增加网络的安全性

因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。

人们在LAN上经常传送一些保密的、关键性的数据。

保密的数据应提供访问控制等安全手段。

一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。

交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

四、VLAN网络的配置实例

为了给大家一个真实的配置实例学习机会，下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。

某公司有100台计算机左右，主要使用网络的部门有：

生产部（20）、财务部（15）、人事部（8）和信息中心（12）四大部分，如图1所示。

网络基本结构为：

整个网络中干部分采用3台Catalyst1900网管型交换机（分别命名为：

Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书、临时用户等）、一台Cisco2514路由器，整个网络都通过路由器Cisco2514与外部互联网进行连接。

所连的用户主要分布于四个部分，即：

生产部、财务部、信息中心和人事部。

主要对这四个部分用户单独划分VLAN，以确保相应部门网络资源不被盗用或破坏。

现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事部这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是公司采用了VLAN的方法来解决以上问题。

通过VLAN的划分，可以把公司主要网络划分为：

生产部、财务部、人事部和信息中心四个主要部分，对应的VLAN组名为：

Prod、Fina、Huma、Info，各VLAN组所对应的网段如下表所示。

VLAN号

VLAN名

端口号

2

Prod

Switch12-21

3

Fina

Switch22-16

4

Huma

Switch32-9

5

Info

Switch310-21【注】之所以把交换机的VLAN号从"

2"

号开始，那是因为交换机有一个默认的VLAN，那就是"

1"

号VLAN，它包括所有连在该交换机上的用户。

VLAN的配置过程其实非常简单，只需两步：

（1）为各VLAN组命名；

（2）把相应的VLAN对应到相应的交换机端口。

以下是配置过程：

第1步：

设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面（交换机在此之前已完成了基本信息的配置）：

1user（s）nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

[I]IPConfiguration

EnterSelection:

【注】超级终端是利用Windows系统自带的"

超级终端"

（Hypertrm）程序进行的，具体参见有关资料。

第2步：

单击"

K"

按键，选择主界面菜单中"

[K]CommandLine"

选项，进入如下命令行配置界面：

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

>

此时我们进入了交换机的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。

所以我们必须进入"

特权模式"

。

第3步：

在上一步"

"

提示符下输入进入特权模式命令"

enable"

，进入特权模式，命令格式为"

，此时就进入了交换机配置的特权模式提示符：

#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z

（config）#

第4步：

为了安全和方便起见，我们分别给这3个Catalyst1900交换机起个名字，并且设置特权模式的登陆密码。

下面仅以Switch1为例进行介绍。

配置代码如下：

（config）#hostnameSwitch1

Switch1（config）#enablepasswordlevel15XXXXXX

Switch1（config）#

【注】特权模式密码必须是4~8位字符这，要注意，这里所输入的密码是以明文形式直接显示的，要注意保密。

交换机用level级别的大小来决定密码的权限。

Level1是进入命令行界面的密码，也就是说，设置了level1的密码后，你下次连上交换机，并输入K后，就会让你输入密码，这个密码就是level1设置的密码。

而level15是你输入了"

命令后让你输入的特权模式密码。

第5步：

设置VLAN名称。

因四个VLAN分属于不同的交换机，VLAN命名的命令为"

vlanvlan号namevlan名称，在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号VLAN的代码为：

Switch1（config）#vlan2nameProd

Switch2（config）#vlan3nameFina

Switch3（config）#vlan4nameHuma

Switch3（config）#vlan5nameInfo

【注】以上配置是按表1规则进行的。

第6步：

上一步我们对各交换机配置了VLAN组，现在要把这些VLAN对应于表1所规定的交换机端口号。

对应端口号的命令是"

vlan-membershipstatic/dynamicVLAN号"

在这个命令中"

static"

（静态）和"

dynamic"

（动态）分配方式两者必须选择一个，不过通常都是选择"

（静态）方式。

VLAN端口号应用配置如下：

（1）.名为"

Switch1"

的交换机的VLAN端口号配置如下：

Switch1（config）#inte0/2

Switch1（config-if）#vlan-membershipstatic2

Switch1（config-if）#inte0/3

Switch1（config-if）#inte0/4

……

Switch1（config-if）#inte0/20

Switch（config-if）#vlan-membershipstatic2

Switch1（config-if）#inte0/21

Switch1（config-if）#vlan-membershipstatic2

Switch1（config-if）#

【注】"

int"

是"

nterface"

命令缩写，是接口的意思。

e0/3"

ethernet0/2"

的缩写，代表交换机的0号模块2号端口。

（2）.名为"

Switch2"

Switch2（config）#inte0/2

Switch2（config-if）#vlan-membershipstatic3

Switch2（config-if）#inte0/3

Switch2（config-if）#inte0/4

Switch2（config-if）#inte0/15

Switch2（config-if）#inte0/16

Switch2（config-if）#

（3）.名为"

Switch3"

的交换机的VLAN端口号配置如下（它包括两个VLAN组的配置），先看VLAN4（Huma）的配置代码：

Switch3（config）#inte0/2

Switch3（config-if）#vlan-membershipstatic4

Switch3（config-if）#inte0/3

Switch3（config-if）#inte0/4

Switch3（config-if）#inte0/8

Switch3（config-if）#inte0/9

Switch3（config-if）#

下面是VLAN5（Info）的配置代码：

Switch3（config）#inte0/10

Switch3（config-if）#vlan-membershipstatic5

Switch3（config-if）#inte0/11

Switch3（config-if）#inte0/12

Switch3（config-if）#inte0/20

Switch3（config-if）#inte0/21

Switch3（config-if）#

好了，我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。

为了验证我们的配置，可以在特权模式使用"

showvlan"

命令显示出刚才所做的配置，检查一下是否正确。

以上是就CiscoCatalyst1900交换机的VLAN配置进行介绍了，其它交换机的VLAN配置方法基本类似

大型企业网设VLAN

在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因，使得企业网仅仅限于交换模式的状态。

交换技术主要有两种方式：

基于以太网的帧交换和基于ATM的信元交换，LAN交换机的每一个端口均为自己独立的碰撞域，但同时对于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流很大的时候，就容易形成广播风暴，甚者造成网络的瘫痪。

在采用交换技术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。

这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且要人工重新布线。

由此，需要进行虚拟网络（VLAN）设置。

在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，我们进行了VLAN的划分。

第一步子网分析

该网络系统由三部分组成：

公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。

三网主干均采用的是千兆以太网技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。

公司中心交换机采用的是Cisco的Catalyst6506，带有三层路由的引擎使得企业网具有将来升级的能力；

同时各二级单位的中心交换机采用的亦是Cisco的Catalyst4006；

各二级、三级交换机则采用的是Cisco的Catalyst3500系列，主要因为Catalyst3500系列交换机的高性能和可堆叠能力。

现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。

但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为企业网络的安全性、稳定性、高效率运行带来了新的隐患。

由此引发了VLAN的划分。

对于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分配为：

经理办子网：

192.168.1.0——192.168.2.0/22网关：

192.168.1.1；

财务子网：

192.168.3.0——192.168.5.0/22网关：

192.168.3.1；

供销子网：

192.168.6.0——192.168.8.0/22网关：

192.168.6.1；

信息中心子网：

192.168.7.0/24网关：

192.168.7.1；

服务器子网：

192.168.100.0/24网关：

192.168.100.1

其余子网：

192.168.8.0——192.168.9.0/22网关：

192.168.8.1；

第二步系统分析

对于Cisco的产品划分，VLAN主要是基于两种标准协议：

ISL和802.1Q。

在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。

对于不同产品的VLAN互连，我们在后面会提到。

网络拓扑图

由于本案例中关