社区
交换及路由技术
帖子详情
设置VLAN后,怎样设置不同VLAN共享宽带上网?
lj1979
2007-02-12 09:15:55
设置VLAN后,怎样设置不同VLAN共享宽带上网?
...全文
529
4
打赏
收藏
设置VLAN后,怎样设置不同VLAN共享宽带上网?
设置VLAN后,怎样设置不同VLAN共享宽带上网?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
warlord
2007-02-17
打赏
举报
回复
你的网络拓扑?
liuyann
2007-02-17
打赏
举报
回复
配置路由
lichenbo
2007-02-13
打赏
举报
回复
设置默认路由
lj1979
2007-02-12
打赏
举报
回复
补充:宽带上网方式为电信ADSL拨号。
什么是
VLAN
IEEE于1999年颁布了用于标准化
VLAN
实现方案的802.1Q协议标准草案。
VLAN
技术的出现,使得管理员根据
Vlan
网卡 Intel82573 实际应用需求,把同一物理局域网内的
不同
用户逻辑地划分成
不同
的广播域,每一个
VLAN
都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个
VLAN
内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在
不同
物理LAN网段。由
VLAN
的特点可知,一个
VLAN
内部的广播和单播流量都不会转发到其他
VLAN
中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展,也加快了新的交换技术(
VLAN
)的应用速度。通过将企业网络划分为虚拟网络
VLAN
网段,可以强化网络管理和网络安全,控制不必要的数据广播。在
共享
网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破
共享
网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个
VLAN
中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个
VLAN
中的广播只有
VLAN
中的成员才能听到,而不会传输到其他的
VLAN
中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,
不同
VLAN
之间不能相互通讯,这样增加了企业网络中
不同
部门之间的安全性。网络管理员可以通过配置
VLAN
之间的路由来全面管理企业内部
不同
管理单元之间的信息互访。交换机是根据交换机的端口来划分
VLAN
的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与
VLAN
内其他用户自如通讯。
VLAN
网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN
除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中
不同
部门、
不同
站点之间的互相访问。
VLAN
是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了
VLAN
头,用
VLAN
ID把用户划分为更小的工作组,限制
不同
工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 编辑本段
VLAN
的目的
VLAN
(Virtual Local Area Network,虚拟局域网)的目的非常的多。通过认识
VLAN
的本质,将可以了解到其用处究竟在哪些地方。 第一,要知道192.168.1.2/30和192.168.2.6/30都属于
不同
的网段,都必须要通过路由器才能进行访问,凡是
不同
网段间要互相访问,都必须通过路由器。 第二,
VLAN
本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。 下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分
不同
网段了?这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。 比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网
VLAN
。 这是在路由器的层次上阐述了
VLAN
的目的。 第三,将在交换机的层次上阐述
VLAN
的目的。 在现实中,由于很多原因必须划分出
不同
网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN.然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建
VLAN
. 同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于
不同
的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分
VLAN
,使用了
VLAN
就能区分出某个交换机端口的终端是属于哪个网段的。 综上,当一个交换机上的所有端口中有至少一个端口属于
不同
网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是
VLAN
发挥作用的时候,这就是
VLAN
的目的。 编辑本段
VLAN
的优点 广播风暴防范 限制网络上的广播,将网络划分为多个
VLAN
可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。
VLAN
可以提供建立防火墙的机制,防止交换网络的过量广播。使用
VLAN
,可以将某个交换端口或用户赋于某一个特定的
VLAN
组,该
VLAN
组可以在一个交换网中或跨接多个交换机,在一个
VLAN
中的广播不会送到
VLAN
之外。同样,相邻的端口不会收到其他
VLAN
产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。 安全 增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
不同
VLAN
内的报文在传输时是相互隔离的,即一个
VLAN
内的用户不能和其它
VLAN
内的用户直接通信,如果
不同
VLAN
要进行通信,则需要通过路由器或三层交换机等三层设备。 成本降低 成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。 性能提高 将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。 提高IT员工效率
VLAN
为网络管理带来了方便,因为有相似网络需求的用户将
共享
同一个
VLAN
。 应用管理
VLAN
将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。 增加网络连接的灵活性 借助
VLAN
技术,能将
不同
地点、
不同
网络、
不同
用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
VLAN
可以降低移动或变更工作站地理位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了
VLAN
后,这部分管理费用大大降低。 编辑本段组建
VLAN
的条件
VLAN
是建立在物理网络基础上的一种逻辑子网,因此建立
VLAN
需要相应的支持
VLAN
技术的网络设备。当网络中的
不同
VLAN
间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,同时还严格限制了用户数量。 编辑本段
VLAN
的划分 根据端口来划分
VLAN
许多
VLAN
厂商都利用交换机的端口来划分
VLAN
成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许
共享
型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。 第二代端口
VLAN
技术允许跨越多个交换机的多个
不同
端口划分
VLAN
,
不同
交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分
VLAN
的方式仍然是最常用的一种方式。 根据MAC地址划分
VLAN
这种划分
VLAN
的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分
VLAN
方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,
VLAN
不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的
VLAN
,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个
VLAN
组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,
VLAN
就必须不停地配置。 根据网络层划分
VLAN
这种划分
VLAN
的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了,不需要重新配置所属的
VLAN
,而且可以根据协议类型来划分
VLAN
,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别
VLAN
,这样可以减少网络的通信量。 这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。 根据IP组播划分
VLAN
IP 组播实际上也是一种
VLAN
的定义,即认为一个组播组就是一个
VLAN
,这种划分的方法将
VLAN
扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。 基于规则的
VLAN
也称为基于策略的
VLAN
。这是最灵活的
VLAN
划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分
VLAN
的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的
VLAN
中。同时,对站点的移动和改变也可自动识别和跟踪。 采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于
不同
的
VLAN
,这在交换机与
共享
式Hub共存的环境中显得尤为重要。自动配置
VLAN
时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的
VLAN
。 按用户划分
VLAN
基于用户定义、非用户授权来划分
VLAN
,是指为了适应特别的
VLAN
网络,根据具体的网络用户的特别要求来定义和设计
VLAN
,而且可以让非
VLAN
群体用户访问
VLAN
,但是需要提供用户密码,在得到
VLAN
管理的认证后才可以加入一个
VLAN
。 * 以上划分
VLAN
的方式中,基于端口的
VLAN
端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和IP广播方式建立在第三层上。 编辑本段
VLAN
的标准 对
VLAN
的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。 · 802.10
VLAN
标准 在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为
VLAN
安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的
VLAN
标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。 · 802.1Q 在1996年3月,IEEE802.1Internetworking委员会结束了对
VLAN
初期标准的修订工作。新出台的标准进一步完善了
VLAN
的体系结构,统一了Frame-Tagging方式中
不同
厂商的标签格式,并制定了
VLAN
标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为
VLAN
史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了
VLAN
的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 802.1q帧格式: · Cisco ISL 标签 ISL(Inter-Switch Link)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个
VLAN
信息及
VLAN
数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络的
VLAN
分配和配置。 编辑本段划分
VLAN
的基本策略 从技术角度讲,
VLAN
的划分可依据
不同
原则,一般有以下三种划分方法: 基于端口 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。 基于MAC地址 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 基于路由 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个
VLAN
跨越多个交换机,或一个端口位于多个
VLAN
中。 就目前来说,对于
VLAN
的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。 编辑本段
VLAN
技术简单谈 局域网的发展是
VLAN
产生的基础,所以在介绍
VLAN
之前,我们先来了解一下局域网的有关知识。 局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于
不同
局域网段的设备之间的通信则必须经过路由器才能通信。图1所示即为使用路由器构建的典型的局域网环境。 随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将
不同
的用户划分到各自的广播域中,在
不同
的局域网之间提供网络互联。 但这样做存在两个缺陷: 首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。 其次,用户是按照它们的物理连接被自然地划分到
不同
的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管
不同
的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。 编辑本段
VLAN
的定义及特点 虚拟局域网(
VLAN
)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN
是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个
VLAN
就是一个广播域,
VLAN
之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,
VLAN
技术更加灵活,它具有以下优点: ● 网络设备的移动、添加和修改的管理开销减少; ●可以控制广播活动; ●可提高网络的安全性。 编辑本段
VLAN
的分类及优缺点 定义
VLAN
成员的方法有很多,由此也就分成了几种
不同
类型的
VLAN
。 1. 基于端口的
VLAN
基于端口的
VLAN
的划分是最简单、有效的
VLAN
划分方法,它按照局域网交换机端口来定义
VLAN
成员。
VLAN
从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为
不同
的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的
VLAN
又分为在单交换机端口和多交换机端口定义
VLAN
两种情况: 多交换机端口定义
VLAN
如图3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成
VLAN
1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成
VLAN
2。 单交换机端口定义
VLAN
如图2所示,交换机的1、2、6、7、8端口组成
VLAN
1,3、4、5端口组成了
VLAN
2。这种
VLAN
只支持一个交换机。 基于端口的
VLAN
的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对
VLAN
成员进行重新配置。 2. 基于MAC地址的
VLAN
基于MAC地址的
VLAN
是用终端系统的MAC地址定义的
VLAN
。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的
VLAN
成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 3. 基于路由的
VLAN
路由协议工作在7层协议的第3层—网络层,比如基于IP和IPX的路由协议,这类设备包括路由器和路由交换机。该方式允许一个
VLAN
跨越多个交换机,或一个端口位于多个
VLAN
中。在按IP划分的
VLAN
中,很容易实现路由,即将交换功能和路由功能融合在
VLAN
交换机中。这种方式既达到了作为
VLAN
控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对
VLAN
成员之间的通信速度不是很理想。 4. 基于策略的
VLAN
基于策略的
VLAN
的划分是一种比较有效而直接的方式,主要取决于在
VLAN
的划分中所采用的策略。 编辑本段常见的应用
VLAN
Port
vlan
与Tag
vlan
port
vlan
基于端口的
VLAN
,处于同一
VLAN
端口之间才能相互通信。 tag
vlan
基于IEEE 802.1Q(
vlan
标准),用VID(
vlan
id)来划分
不同
的
VLAN
基于端口的
VLAN
优缺点 基于端口的
VLAN
,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的
VLAN
的优点为:由于一个端口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往路由器再由路由器发往其他端口;同时以端口为中心的
VLAN
中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的
VLAN
,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。 静态
VLAN
的优缺点 可以说静态
VLAN
与基于端口的
VLAN
有一丝相似之处,用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态
VLAN
虽说是可以使多个端口的
设置
成一个虚拟局域网,假如两个
不同
端口、
不同
虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的
VLAN
之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。 动态
VLAN
的优缺点 与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网的缺点跟本谈不上缺点,只是在
VLAN
建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的
不同
权限(虚拟局域网)即可。 编辑本段
VLAN
发展趋势 目前在
宽带
网络中实现的
VLAN
基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的
VLAN
技术等在
VLAN
使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善
VLAN
的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位
VLAN
交换机在网络流量等方面采取了相应的措施,大大提高了
VLAN
网络的性能。IEEE802.1P协议提出了COS(Class of Service)标准,这使网络通信优先级控制机制有了参考。 编辑本段
VLAN
的基本配置命令 1、创建
vlan
方法一:从
VLAN
配置模式建立
VLAN
switch#
vlan
database (进入
VLAN
配置模式) switch(
vlan
)#
vlan
10 name wz (声明
VLAN
10,并命名WX) switch(
vlan
)#exit (退出VALN配置模式) 2、创建
vlan
方法二:从全局配置模式建立
VLAN
switch# configure terminal (进入全局配置模式) switch(config)#
vlan
10 (声明
VLAN
10) switch(config-
vlan
)# name wz (命名WX) 3、删除
vlan
方法一:从VALN配置模式删除
VLAN
switch(
vlan
)# no
vlan
10 (删除
VLAN
10) switch(
vlan
)# exit (退出
VLAN
配置模式) 4、删除
vlan
方法二:从全局配置模式删除
VLAN
switch(config)# no interface
vlan
10 (将所有属于
VLAN
10的接口删除) switch(config)# no
vlan
10 (删除
VLAN
10) 5、删除
vlan
方法三:从配置文件中删除
VLAN
.DAT文件 switch# delete
vlan
.dat (从配置文件中删除DAT文件,可以彻底删除
VLAN
信息) 6、将端口加入到
vlan
中 switch(config-if)# switchport access
vlan
10 7、将一组连续的端口加入到
vlan
中 switch(config)# interface range f0/1 –5 switch(config)# interface range f0/6-8,0/9-11,0/22 (将不连续多个端口加入到
Vlan
中) switch(config-if-range)# switchport access
vlan
10 8、将端口从
vlan
中删除 switch(config-if)# no switchport access
vlan
10 switch(config-if)# switchport access
vlan
1 switch(config-if-range)# no switchport access
vlan
10 switch(config-if-range)# switchport access
vlan
1 9、查看所有
vlan
的摘要信息 switch# show
vlan
brief 10、查看指定
vlan
的信息 switch# show
vlan
id 10 (查看指定
VLAN
号为10的信息) 11、指定端口成为trunk switch(config-if)# switchport mode trunk (配置接口为TRUNK模式) 12、Trunk的自动协商 switch(config-if)#switchport mode dynamic desirable switch(config-if)#switchport mode dynamic auto 注意:如果中继链路两端都
设置
成auto将不能成为trunk 13、查看端口状态 switch# show interface f0/2 switchport 14、在trunk上移出
vlan
switch(config-if)# switchport trunk allowed
vlan
remove 20 15、在trunk上添加
vlan
switch(config-if)# switchport trunk allowed
vlan
add 20 编辑本段
VLAN
的划分实例 对于每个公司而言都有自己
不同
的需求,下面我们给出一个典型的公司的
VLAN
的实例,这样也可以成为我们以后为公司划分
VLAN
的依据。 某公司现在有工程部、销售部、财务部。
VLAN
的划分:工程部
VLAN
10,销售部
VLAN
20,财务部
VLAN
30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器,Cisco Catalyst 2924交换机一台,二级交换机若干台。 交换机配置文件中的部分代码如下: …… ! interface
vlan
10 ip address 192.168.0.1 ! interface
vlan
20 ip address 192.168.1.1 ! interface
vlan
30 ip address 192.168.2.1 ! …… 路由器配置文件中的部分代码如下: …… interface FastEthernet 1/0.1 encapsulation isl 10 ip address 192.168.0.2 ! interface FastEthernet 1/0.2 encapsulation isl 20 ip address 192.168.1.2 ! interface FastEthernet 1/0.3 encapsulation isl 30 ip address 192.168.2.2 ! …… ! router rip network 192.168.0.0 ! 【交换机的端口工作模式的利用】 交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个
vlan
的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个
VLAN
,通常用于连接普通计算机的端口;Trunk模式的交换端口可以属于多个
VLAN
,能够发送和接收多个
VLAN
的数据报文,通常使用在交换机之间的级联端口上;multi模式的交换端口可以属于多个
VLAN
,能够发送和接受多个
VLAN
的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口,所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台交换机中,不过Trunk模式的交换端口和multi模式的交换端口相互之间不能直接切换,往往只能先将交换端口
设置
为Access模式,之后再
设置
为其他模式。 编辑本段
vlan
拓扑试验 实验: 划分
VLAN
1. 实验目的 通过本实验,读者可以掌握如下技能: (1)熟悉
VLAN
的创建 (2)把交换机接口划分到特定
VLAN
2. 实验拓扑
vlan
试验拓扑图(1张) 实验拓扑图 3. 实验步骤 要配置
VLAN
,首先要先创建
VLAN
,然后才把交换机的端口划分到特定的端口上: (1) 步骤1:在划分
VLAN
前,配置R1 和R2 路由器的g0/0 接口,从R1ping192.168.12.2。 默认时,交换机的全部接口都在
VLAN
1 上,R1 和R2 应该能够通信 (2) 步骤2:在S1 上创建
VLAN
S1#
vlan
database //进入到
VLAN
配置模式 S1(
vlan
)#
vlan
2 name
VLAN
2
VLAN
2 added: Name:
VLAN
2 //以上创建
vlan
,2 就是
vlan
的编号,
VLAN
号的范围为1~1001,
VLAN
2 是该
VLAN
的名字: S1(
vlan
)#
vlan
3 name
VLAN
3
VLAN
3 added: Name:
VLAN
3 S1(
vlan
)#exit APPLY completed. Exiting…. //退出
VLAN
模式,创建的
VLAN
立即生效: 【提示】交换机中的
VLAN
信息存放在单独的文件中flash:
vlan
.dat,因此如果要完全清除 交换机的配置,除了使用“erase starting-config”命令外,还要使用“delete flash:
vlan
.dat”命令把
VLAN
数据删除。 【提示】新的IOS 版本中,可以在全局配置模式中创建
VLAN
,如下: S1(config)#
vlan
2 S1(config-
vlan
)#name
VLAN
2 S1(config-
vlan
)#exit S1(config)#
vlan
3 S1(config-
vlan
)#name
VLAN
3 (3)步骤3:把端口划分在
VLAN
中 S1(config)#interface f0/1 S1(config-if)#switch mode access //以上把交换机端口的模式改为access 模式,说明该端口是用于连接计算机的,而不是用 于trunk S1(config-if)#switch access
vlan
2 //然后把该端口f0/1 划分到
VLAN
2 中 S1(config)#interface f0/2 S1(config-if)#switch mode access S1(config-if)#switch access
vlan
3 【提示】默认时,所有交换机接口都在
VLAN
1 上,
VLAN
1 是不能删除的。如果有多个接口 需要划分到同一
VLAN
下,也可以采用如下方式以节约时间,注意破折号前后的空格: S1(config)#interface range f0/2 -3 S1(config-rang-if)#switch mode access S1(config-rang-if)#switch access
vlan
2 【提示】如果要删除
VLAN
,使用“no
vlan
2”命令即可。删除某一
VLAN
后,要记得把该
VLAN
上的端口重新划分到别的
VLAN
上,否则将导致端口的“消失”。 4. 实验调试 (1)查看
VLAN
使用“show
vlan
”或者“show
vlan
brief”命令可以查看
VLAN
的信息,以及每个
VLAN
上有什么端口。要注意这里只能看到的是本交换机上哪个端口在
VLAN
上,而不能看到 其他交换机的端口在什么
VLAN
上。如下: SW1#show
vlan
VLAN
Name Status Ports ---- -------------------------------- --------- ------------------------------- 1.default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/5,Fa0/6,Fa0/7,Fa0/8 Fa0/9,Fa0/10,Fa0/11,Fa0/12 Fa0/13,Fa0/14,Fa0/16,Fa0/17 Fa0/18,Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24,Gi0/1 Gi0/2 2.
VLAN
2 active 3.
VLAN
3 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup (此处省略) //在交换上,
VLAN
1是默认
VLAN
,不能删除,也不能改名。此外还有1002、1003等
VLAN
的存 在。 (2)
VLAN
间的通信 由于f0/1 和f0/2 属于
不同
的
VLAN
,从R1 ping 192.168.12.2 应该不能成功了。 编辑本段互联方式 (1)边界路由。 (2)“独臂”路由。 (3)MPOA路由。
vlan
学习笔记
VLAN
学习笔记大全
VLAN
学习笔记大全(1):为什么需要
VLAN
什么是
VLAN
?
VLAN
(Virtual LAN),翻译成中文是"虚拟局域网"。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。
VLAN
所指的LAN特指使用路由器分割的网络--也就是广播域。
在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用
VLAN
功能后,它能够将网络分割成多个广播域。
未分割广播域时……
那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播"ARP请求(ARP Request)信息",来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。
请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。
广播信息是那么经常发出的吗?
读到这里,也许会问:广播信息真是那么频繁出现的吗?
答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。
ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开"网络计算机"时就会发出广播(多播)信息。(Windows XP除外……)
总之,广播就在我们身边。下面是一些常见的广播通信:
l ARP请求:建立IP地址和MAC地址的映射关系。
l RIP:一种路由协议。
l DHCP:用于自动设定IP地址的协议。
l NetBEUI:Windows下使用的网络协议。
l IPX:Novell Netware使用的网络协议。
l Apple Talk:苹果公司的Macintosh计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。
广播域的分割与
VLAN
的必要性
分割广播域时,一般都必须使用到路由器。使用路由器后,可以以路由器上的网络接口(LAN Interface)为单位分割广播域。
但是,通常情况下路由器上不会有太多的网络接口,其数目多在1~4个左右。随着
宽带
连接的普及,
宽带
路由器(或者叫IP
共享
器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为4个左右)连接LAN一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。
况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。
与路由器相比,二层交换机一般带有多个网络接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。
用于在二层交换机上分割广播域的技术,就是
VLAN
。通过利用
VLAN
,我们可以自由设计广播域的构成,提高网络设计的自由度。
VLAN
学习笔记大全(1):为什么需要
VLAN
什么是
VLAN
?
VLAN
(Virtual LAN),翻译成中文是"虚拟局域网"。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。
VLAN
所指的LAN特指使用路由器分割的网络--也就是广播域。
在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用
VLAN
功能后,它能够将网络分割成多个广播域。
未分割广播域时……
那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播"ARP请求(ARP Request)信息",来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。
请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。
广播信息是那么经常发出的吗?
读到这里,也许会问:广播信息真是那么频繁出现的吗?
答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。
ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开"网络计算机"时就会发出广播(多播)信息。(Windows XP除外……)
总之,广播就在我们身边。下面是一些常见的广播通信:
l ARP请求:建立IP地址和MAC地址的映射关系。
l RIP:一种路由协议。
l DHCP:用于自动设定IP地址的协议。
l NetBEUI:Windows下使用的网络协议。
l IPX:Novell Netware使用的网络协议。
l Apple Talk:苹果公司的Macintosh计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。
广播域的分割与
VLAN
的必要性
分割广播域时,一般都必须使用到路由器。使用路由器后,可以以路由器上的网络接口(LAN Interface)为单位分割广播域。
但是,通常情况下路由器上不会有太多的网络接口,其数目多在1~4个左右。随着
宽带
连接的普及,
宽带
路由器(或者叫IP
共享
器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为4个左右)连接LAN一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。
况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。
与路由器相比,二层交换机一般带有多个网络接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。
用于在二层交换机上分割广播域的技术,就是
VLAN
。通过利用
VLAN
,我们可以自由设计广播域的构成,提高网络设计的自由度。
VLAN
学习笔记大全(2):
VLAN
的访问链接
交换机的端口
交换机的端口,可以分为以下两种:
l 访问链接(Access Link)
l 汇聚链接(Trunk Link)
接下来就让我们来依次学习这两种
不同
端口的特征。这一讲,首先学习"访问链接"。
访问链接
访问链接,指的是"只属于一个
VLAN
,且仅向该
VLAN
转发数据帧"的端口。在大多数情况下,访问链接所连的是客户机。
通常
设置
VLAN
的顺序是:
l 生成
VLAN
l 设定访问链接(决定各端口属于哪一个
VLAN
)
设定访问链接的手法,可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为"静态
VLAN
"、后者自然就是"动态
VLAN
"了。
静态
VLAN
静态
VLAN
又被称为基于端口的
VLAN
(Port Based
VLAN
)。顾名思义,就是明确指定各端口属于哪个
VLAN
的设定方法。
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属
VLAN
的设定--这显然不适合那些需要频繁改变拓补结构的网络。
动态
VLAN
另一方面,动态
VLAN
则是根据每个端口所连的计算机,随时改变端口所属的
VLAN
。这就可以避免上述的更改设定之类的操作。动态
VLAN
可以大致分为3类:
l 基于MAC地址的
VLAN
(MAC Based
VLAN
)
l 基于子网的
VLAN
(Subnet Based
VLAN
)
l 基于用户的
VLAN
(User Based
VLAN
)
其间的差异,主要在于根据OSI参照模型哪一层的信息决定端口所属的
VLAN
。
基于MAC地址的
VLAN
,就是通过查询并记录端口所连计算机
上网
卡的MAC地址来决定端口的所属。假定有一个MAC地址"A"被交换机设定为属于
VLAN
"10",那么不论MAC地址为"A"的这台计算机连在交换机哪个端口,该端口都会被划分到
VLAN
10中去。计算机连在端口1时,端口1属于
VLAN
10;而计算机连在端口2时,则是端口2属于
VLAN
10。
由于是基于MAC地址决定所属
VLAN
的,因此可以理解为这是一种在OSI的第二层设定访问链接的办法。
但是,基于MAC地址的
VLAN
,在设定时必须调查所连接的所有计算机的MAC地址并加以登录。而且如果计算机交换了网卡,还是需要更改设定。
基于子网的
VLAN
,则是通过所连计算机的IP地址,来决定端口所属
VLAN
的。不像基于MAC地址的
VLAN
,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的
VLAN
。
因此,与基于MAC地址的
VLAN
相比,能够更为简便地改变网络结构。IP地址是OSI参照模型中第三层的信息,所以我们可以理解为基于子网的
VLAN
是一种在OSI的第三层设定访问链接的方法。
基于用户的
VLAN
,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个
VLAN
。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。
总的来说,决定端口所属
VLAN
时利用的信息在OSI中的层面越高,就越适于构建灵活多变的网络。
访问链接的总结
综上所述,设定访问链接的手法有静态
VLAN
和动态
VLAN
两种,其中动态
VLAN
又可以继续细分成几个小类。
其中基于子网的
VLAN
和基于用户的
VLAN
有可能是网络设备厂商使用独有的协议实现的,
不同
厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。
VLAN
学习笔记大全(3):实现
VLAN
的机制
在理解了"为什么需要
VLAN
"之后,接下来让我们来了解一下交换机是如何使用
VLAN
分割广播域的。
首先,在一台未
设置
任何
VLAN
的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
交换机
广播帧
交换机收到广播帧后,转发到除接收端口外的其他所有端口。
这时,如果在交换机上生成红、蓝两个
VLAN
;同时
设置
端口1、2属于红色
VLAN
、端口3、4属于蓝色
VLAN
。再从A发出广播帧的话,交换机就只会把它转发给同属于一个
VLAN
的其他端口--也就是同属于红色
VLAN
的端口2,不会再转发给属于蓝色
VLAN
的端口。
同样,C发送广播信息时,只会被转发给其他属于蓝色
VLAN
的端口,不会被转发给属于红色
VLAN
的端口。
就这样,
VLAN
通过限制广播帧转发的范围分割了广播域。上图中为了便于说明,以红、蓝两色识别
不同
的
VLAN
,在实际使用中则是用"
VLAN
ID"来区分的。
直观地描述
VLAN
如果要更为直观地描述
VLAN
的话,我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个
VLAN
,也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。
在红、蓝两个
VLAN
之外生成新的
VLAN
时,可以想象成又添加了新的交换机。
但是,
VLAN
生成的逻辑上的交换机是互不相通的。因此,在交换机上
设置
VLAN
后,如果未做其他处理,
VLAN
间是无法通信的。
明明接在同一台交换机上,但却偏偏无法通信--这个事实也许让人难以接受。但它既是
VLAN
方便易用的特征,又是使
VLAN
令人难以理解的原因。
需要
VLAN
间通信时怎么办
那么,当我们需要在
不同
的
VLAN
间通信时又该如何是好呢?
请大家再次回忆一下:
VLAN
是广播域。而通常两个广播域之间由路由器连接,广播域之间来往的数据包都是由路由器中继的。因此,
VLAN
间的通信也需要路由器提供中继服务,这被称作"
VLAN
间路由"。
VLAN
间路由,可以使用普通的路由器,也可以使用三层交换机。其中的具体内容,等有机会再细说吧。在这里希望大家先记住
不同
VLAN
间互相通信时需要用到路由功能。
CCNA_CCNP 思科网络认证 三层交换机(VTP 简化
VLAN
Re:CCNA_CCNP 思科网络认证 三层交换机(VTP 简化
VLAN
管理、实现
VLAN
间路由、HSRP 实现网关冗余)======================# 配置 VTP 域简化
VLAN
管理 VTP:
VLAN
间干道协议 统一管理交换机中的
VLAN
(例如增加
VLAN
或减少
VLAN
的相同动作) 首先创建VTP的域, 各交换机先加入域成为 server 或 Client 提示1.: 如果将Client身份修改成server身份,就可以添加或删除
VLAN
另外,VTP协议支持多个或全部都是server的身份,任一操作,其它同步的协调 提示2.: VTP协议只改变即增加或减少
VLAN
的数量, 对具体的接口归类到哪个
VLAN
或access还是trunk必须逐个交换机配置 # 配置
VLAN
间路由
VLAN
是建立在物理网络基础上的一种逻辑子网,因此建立
VLAN
需要相应的支持
VLAN
技术的网络设备。 当网络中的
不同
VLAN
间进行相互通信时,需要路由的支持,这时就需要增加路由设备 要实现路由功能,既可采用路由器,也可采用三层交换机(或网络层交换机/或路由器)来完成。 # 三层交换机使用 HSRP实现网关冗余 热备路由协议(Hot Standby Router Protocol) ---------------------------------------------------------------
交换机配置
实验三 交换机
VLAN
实验 1. 规划ip地址 PCA的ip 地址: 10.65.1.1 PCB的ip 地址: 10.66.1.1 PCC的ip 地址: 10.65.1.3 PCD的ip 地址: 10.66.1.3 SWA的ip 地址: 10.65.1.7 SWB的ip 地址: 10.65.1.8 SWA的f0/5~f0/7
vlan
2 ,f0/8为trunk SWB的f0/5~f0/7 valn 2 ,f0/1为trunk 用ping命令测试,从PCA和PCB到各点的连通情况。由于交换机初始化为
vlan
1, 所以同网段的可以通。即PCA到PCC、SWA、SWB是通的,而PCB只与PCD通。 2.
设置
VLAN
双击SwitchA,改名SwitchA为SWA,建立2 个
vlan
,分别为2、3 switch>en switch#sh
vlan
switch#conf t switch(config)#hosthame SWA switch(config)#exit SWA#
vlan
database SWA(
vlan
)#
vlan
2 SWA(
vlan
)#
vlan
3 SWA(
vlan
)#exit 将SWA交换机的f0/5,f0/6,f0/7 加入到
vlan
2 SWA(config)#int f0/5 SWA(config-if)#switchport access
vlan
2 SWA(config-if)#int f0/6 SWA(config-if)#switchport access
vlan
2 SWA(config-if)#int f0/7 SWA(config-if)#switchport access
vlan
2 SWA(config-if)# end SWA#sh
vlan
在SWB上与SWA上类似,将SWB交换机f0/5,f0/6,f0/7 加入到
vlan
2。 3.测试可通性 从PCA到PCC测试: [root@PCA root]# ping 10.65.1.3 (通) 从PCA到PCB测试: [root@PCA root]# ping 10.66.1.1 (不通,因为
不同
网段,
不同
VLAN
) 从PCB到PCD测试: [root@PCB root]# ping 10.66.1.3 (不通,要求trunk) 从PCA到SWA测试: [root@PCA root]# ping 10.65.1.7(通,同一网段,同在
vlan
1) 从PCA到SWB测试: [root@PCA root]# ping 10.65.1.8(通,同一网段,同在
vlan
1) 从SWA到PCA测试: SWA#ping 10.65.1.1 (通) 从SWA到PCB测试: SWA#ping 10.66.1.1 (不通,因为
不同
网段,
不同
VLAN
) 从SWA到SWB测试: SWA#ping 10.65.1.8 (通) 4.
设置
干线trunk 将连接两个交换机的端口
设置
成trunk。 SWA(config)#int f0/8 SWA(config-if)#switchport mode trunk SWA(config-if)#switchport trunk allowed
vlan
1,2,3 SWA(config-if)#switchport trunk encap dot1q SWA(config-if)#end SWA#sh run SWB(config)#int f0/1 SWB(config-if)#switchport mode trunk SWB(config-if)#switchport trunk allowed
vlan
1,2,3 SWB(config-if)#switchport trunk encap dot1q SWB(config-if)#end SWB#sh run 交换机创建trunk时默认allowed all,所以上面的trunk allowed 命令可以不 用。 dot1q是
vlan
中继协议(802.1q),由于正确
设置
了trunk,两个交换机间可以多 个
vlan
通过,所以PCA->PCC, PCB->PCD 可以通了。 [root@PCA root]# ping 10.65.1.3 (通,同在
vlan
1) [root@PCB root]# ping 10.66.1.3(通,同在
vlan
2) [root@PCA root]# ping 10.66.1.3 (不通,
不同
vlan
需要路由) 5. 三个交换机的情况 再加入一个交换机switchC,将它串入switchA和switchB之间,连接方式: switchA:F0/8-->switchC:F0/3; switchC:F0/6-->switchB:F0/1 (1) 新加入的SwitchC 默认状态时,测试连通性。 从PCA->PCC,从PCB->PCD 测试: [root@PCA root]# ping 10.65.1.3 (不通) [root@PCB root]# ping 10.66.1.3 (不通) 由于新加入的交换机没有
设置
trunk,所有接口默认
vlan
1,对于交换机而言, trunk 要成对出现,如果dot1q不能和另一端交换信息会自动down掉。 (2) 将交换机之间的连线都
设置
成trunk时,再测试连通性。 SWC(config)#int f0/3 SWC(config-if)#switchport mode trunk SWC(config-if)#switchport trunk encap dot1q SWC(config-if)#int f0/6 SWC(config-if)#switchport mode trunk SWC(config-if)#switchport trunk encap dot1q SWC(config-if)#end SWC#sh run 由于建立trunk时默认为trunk allowed
vlan
all,所以这里没
设置
。 现在有两条正确的trunk,再看一下联通情况: [root@PCA root]# ping 10.65.1.3 (通) [root@PCB root]# ping 10.66.1.3 (通) (3)
设置
vtp VTP是
vlan
传输协议,在VTP Server上配置的
vlan
在条件允许条件下,可以 从VTP Client 端看到VTP Server上的
vlan
,并将自己端口加入到
vlan
中。 SWC(config)#vtp domain abc SWC(config)#vtp mode server SWC(config)#vtp password ok SWB(config)#vtp domain abc SWB(config)#vtp mode client SWB(config)#vtp password ok SWB#sh
vlan
SWA#sh
vlan
SWC#sh
vlan
当口令和域名一致时,client端可以学习到server端的
vlan
,在VTP Server端还 可以有很多策略,这里只是说明最基本的问题。 VTP在企业、机关、学校的应用是很多的,在主交换机上
设置
好
vlan
以后,下级的 交换机不用再
设置
vlan
,可以将client的某些端口添加到VTP Server中定义的
vlan
中 去,加强了管理。 名词解释: 什么是交换机的trunk功能 TRUNK是端口汇聚的意思,就是通过配置软件的
设置
,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。 “TRUNK”的三个意思 不要混淆在技术领域中把TRUNK翻译为中文是“主干、干线、中继线、长途线” ,不过一般不翻译,直接用原文。而且这个词在
不同
场合也有
不同
的解释: 1、 在网络的分层结构和
宽带
的合理分配方面,TRUNK被解释为“端口汇聚”,是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用,可以把多组端口的
宽带
叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能,即当一条链路出现故障时,不影响其他链路的工作,同时多链路之间还能实现流量均衡,就像我们熟悉的打印机池和MODEM池一样 2、在电信网络的语音级的线路中,Trunk指“主干网络、电话干线”,即两个交换局或交换机之间的连接电路或信道,它能够在两端之间进行转接,并提供必要的信令和终端设备。 3、 但是在最普遍的路由与交换领域,
VLAN
的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在
不同
的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个
VLAN
的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联
不同
,TRUNKING是基于OSI第二层摹<偕杳挥蠺RUNKING技术,如果你在2个交换机上分别划分了多个
VLAN
(
VLAN
也是基于Layer2的),那么分别在两个交换机上的
VLAN
10和
VLAN
20的各自的成员如果要互通,就需要在A交换机上设为
VLAN
10的端口中取一个和交换机B上设为
VLAN
10的某个端口作级联连接。
VLAN
20也是这样。那么如果交换机上划了10个
VLAN
就需要分别连10条线作级联,端口效率就太低了。 当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口
设置
为Trunk,这条线路就可以承载交换机上所有
VLAN
的信息。这样的话,就算交换机上设了上百个个
VLAN
也只用1个端口就解决了。 如果是
不同
台的交换机上相同id的
vlan
要相互通信,那么可以通过
共享
的trunk端口就可以实现,如果是同一台上
不同
id的
vlan
/
不同
台
不同
id的
vlan
它们之间要相互通信,需要通过第三方的路由来实现;
vlan
的划分有两个需要注意的地方: 一是划分了几个
不同
的
vlan
组,都有
不同
的
vlan
id号;分配到
vlan
组里面的交换机端口也有port id.比如端口1,2,3,4划分到
vlan
10,5,6,7,8划分到
vlan
20,我可以把1,3,4的端口的port id
设置
为10,而把2端口的 port id
设置
为20;把5,6,7端口的port id
设置
为20,而把8端口的port id
设置
为10.这样的话,
vlan
10中的1,3,4端口能够和
vlan
20中8端口相互通信;而
vlan
10中的2端口能够和
vlan
20中的5,6,7端口相互通信;虽然
vlan
id
不同
,但是port id相同,就能通信,同样
vlan
id相同,port id
不同
的端口之间却不能相互访问,比如
vlan
10中的2端口就不能和1,3,4端口通信。 VTP(
VLAN
Trunking Protocol):是
VLAN
中继协议,也被称为虚拟局域网干道协议。 它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内
VLAN
s的建立、删除和重命名。在一台VTP Server 上配置一个新的
VLAN
时,该
VLAN
的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息,使其
VLAN
的配置与VTP Server保持一致,从而减少在多台设备上配置同一个
VLAN
信息的工作量,而且保持了
VLAN
配置的统一性。 肇庆工商职业技术学院实训报告 项目名称:交换机
VLAN
分组情况:1人/组 任课老师:孔宇强 实训指导老师:孔宇强 实训时间 2009年 实训目的及理论依据 掌握交换机
VLAN
设置
及其原理 实训要求及操作规程 正确使用交换机
VLAN
的
设置
命令 所用仪器设备/软件 运行windows xp的PC一台 思科路由器配置模拟软件 实训步骤 1.规划ip地址 2.
设置
VLAN
3测试可通性 4.
设置
干线trunk 5. 三个交换机的情况 实训结果分析及体会
网路岗7.03.35官方原版破解
本软件来源于网络,本人搜集,如影响您的权益,请通知删除。 网络岗 旁路监控 如果用户以硬件路由器(或FireWall)为出口上Internet,为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段: 1.在网关处添加
共享
式HUB(集线器),Internet出口网络线和监控机网络线均接入HUB。 2.在主交换机网口上
设置
镜像端口(一个镜像端口,一个被镜像端口);监控机网络线接入镜像端口。 上面实现的监控就是所谓的“旁路监控”。 打个更形象的比喻:交警为监视公路上汽车行驶状况,为不影响交通,仅在路边配置一台监控设备,同步监视路上的每辆车,并不需要在路中间设卡检查车辆,这种方式相当与“旁路监控”。如果设卡监控,那就应该属于“非旁路监控” 优点: 对网速影响甚小,如果不考虑封堵,可实现电信级的网络监视;所以网络流量庞大且封包需求很少时,必须采用该监控方式。 缺点: 1、封堵TCP连接时采用发送带RST标记的IP包,以破坏TCP连接;系统控制不好的话,则可能导致发送的封包太多,影响网络。 2、不能封堵UDP通讯包。 3、如果监控机处理速度慢,而流量太大,则可能导致分析包丢失。 非旁路监控(拦截式) 1.网路岗NAT 2.网路岗虚拟网桥(单网卡) 3.网路岗网桥(双网卡) 防火墙产品是单纯采用“拦截式”技术的典型网络产品,所有进出FireWall数据包,都必须经过筛选,符合过滤过滤条件的数据包,将被抛弃。 因此,防火墙的处理器性能和筛选规则的复杂程度,将直接影响到防火墙对数据包的处理速度,进而影响到网络速度。 基于网卡、基于帐户、基于IP 所有的网络监控产品,都必须面对这个问题:在对具体电脑进行监控时,以什么信息来判断所捕获的数据包是由哪台机器发出的? “网路岗”提供了多种选项给客户选择,当用户网络是单网段,也就是说没有划分
不同
的IP段,我们建议客户选用“基于网卡”的方式,也就是说以“网卡地址MAC”来作为判断数据包的依据。 相对IP地址来讲,网卡地址一般是不会改变的,而且是全球唯一的。针对单一网段内机器而言,网卡地址是网络寻址的重要依据,一旦网卡地址重复或不确定,必然造成网络通讯的紊乱或不稳定。 针对多网段(划分
VLAN
)的情况,情况比较复杂,当数据包从某个
VLAN
转到其他
VLAN
时候,数据包中的网卡地址会发生改变,所以,我们捕获的网卡地址是发生变化了的,这时,如果系统对该MAC不加处理而简单使用,必然导致监控错乱。 但是,这种情况,“网路岗”已经充分考虑了其应对策略,我们的客户依然可以选择“基于网卡”的方式,正如单一网段环境一样。 当然,如果客户网络庞大,IP地址相对固定,从操作的简单性方面考虑,选择“基于IP”地址来监控也是可以的,用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣,那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。 最后,我们要谈谈“基于帐户”。当客户机通过浏览器
上网
时候,会出现一个输入用户名和密码的画面,此时,只有当客户拥有了自己的用户名和密码,才拥有了
上网
的权限,这就是“基于帐户”模式的具体表现。 “基于帐户”的方式从理论上讲,是完美的,因为该方式下,与被监控电脑的网卡地址和IP地址均无关系,而只需要根据用户帐号来判断监控对象。但其缺点也非常明显,因为客户机每次
上网
时候,都必须输入帐号及其对应的密码,给客户机
上网
带来麻烦,而且因为密码容易被忘记,网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看,“基于帐户”在“宾馆客房”
上网
方面似乎是非常好的方案。 网桥 先解释一下通常意义下的“网桥”概念。 网桥工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联接两个LAN,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于联接数量不多的、同一类型的网段。 网桥通常有透明网桥和源路由选择网桥两大类。 1、透明网桥 简单的讲,使用这种网桥,不需要改动硬件和软件,无需
设置
地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。 2、源路由选择网桥 源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上。当发送一帧到另外的网段时,源机器将目的地址的高位
设置
成1作为标记。另外,它还在帧头加进此帧应走的实际路径。 下面图示的是在WinXP和Win2003系统下创建“网桥”:(Win2k下无此功能) 同时选中两块网卡,点Mouse右键,会弹出上图中的菜单。 网桥一旦建立完成,其网卡原配的IP地址将消失,网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了? 不是,用户仍然可以在上面显示的“网络桥”上配置另外的IP。 透明网桥示意图: 左右两边的机器可以相互访问,不用做任何额外的配置,就象两台交换机之间接入新的交换机设备一样。 启用《网路岗》“网络桥” 网路岗也提供了“网络桥”功能,可以在WinXP/2K/2003上使用,应用更加广泛,如用户需要较严格的
上网
过滤,请启用网路岗网桥功能,记住:启用网路岗网桥之前,请确认系统自带的“网络桥”已经删除. 虚拟网桥 “虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全
不同
,仅仅因为其通讯过程类似“网桥”罢了。 通常意义上的“网桥”一般需要两块网卡来实现, 而这里所谓的“虚拟网桥”只需要一块网卡。 下面的网络结构是非常常见的: 机器:192.168.0.2发出的Internet数据包,直接发向网关192.168.0.1 以下是“网路岗”启用“虚拟网桥”功能后,数据包走向图: 当“网路岗”主机启用“虚拟网桥”功能后,从客户机192.168.0.2发向Internet的数据包,先送到“网路岗”主机,然后由“网路岗”主机转发到网关192.168.0.1,反之亦然。 不难看出,要达到一台机器监控整个网络的目的,只需要启用“虚拟网桥”功能就可以了,这种监控技术可以在纯交换机环境下实现,不需要添加HUB,也不需要
设置
镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。 而实际使用中,该技术的缺点非常明显,虽然“网路岗”已经加入该技术,但有必要向客户交代其中问题所在。 缺点1:客户机盲目安装. 既然装在任何一台电脑就可以实现对整个网络的监控,员工或学生是否会随意下载、随意安装、随意监控?这是完全可能的,因为毕竟实现监控的门槛太低。不过,当同时多台机器启用这类监控方式后,网络会出现紊乱状况,很可能导致无法
上网
。 缺点2:很容易逃避监控 所有采用类似监控技术的产品,均需要发送ARP欺骗包,以使正常
上网
路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包,使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。 因此,在单网段环境下,我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段,那么请注意:“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品),并记录在历史记录中。 如何启用“虚拟网桥”? 1、选中“非旁路监控”选项 2、
设置
“虚拟网桥”相关选项 3、选中并启用“虚拟网桥”
共享
上网
NAT “网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用专用地址范围,例如 10.0.x.x、192.168.x.x、172.x.x.x)
共享
单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接
共享
”及许多 Internet 网关设备都使用 NAT,尤其是在通过 DSL 或电缆调制解调器连接
宽带
网的情况下。 NAT 对于解决 IPv4 地址耗费问题(在 IPv6 部署中却没必要)尽管成效及时,但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重,且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。 除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个
共享
的 IP 地址来监控通讯,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器
不同
,但它确实有利于安全。 跨
VLAN
/单网段/多网段
VLAN
,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网",
VLAN
是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN
这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN
在交换机上的实现方法,可以大致划分为六类: 1. 基于端口的
VLAN
(最常应用的一种
VLAN
划分方法) 2. 基于MAC地址的
VLAN
3. 基于网络层协议的
VLAN
4. 根据IP组播的
VLAN
5. 按策略划分的
VLAN
6. 按用户定义、非用户授权划分的
VLAN
在监控产品中,所谓“跨
VLAN
”监控就是所监控的客户机位于多个
VLAN
中。 单网段:整个局域网只有一个IP段,如:192.168.0.x (255.255.255.0) 多网段:整个局域网有多个
不同
IP段,如:192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像端口/监控端口/被监控端口 在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图: 端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口。 市面上,绝大多数交换机(如cisco产品)的某个口被
设置
为镜像端口后,接到该端口的主机将无法发送数据包到网内其他机器,变成了“单向接受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。 不过仍然有部分交换机除外,比如:TPLink-SF2008 或TPLink-SF2008(web),因为其价格便宜,功能实用,因此我们一般建议客户购买此款交换机进行监控。 汇聚MAC 在多
VLan
环境下,假如
Vlan
-1最靠近因特网,通常情况下,其他
Vlan
的机器发出的数据包都需经过
Vlan
-1 借道连入因特网,那么,其他
Vlan
下的机器发出的IP包经过这样的“路由”进入
Vlan
-1 时,其数据包中原来的网卡地址通常会改变,改变后的地址就是我们这里提到的“汇聚MAC”。 建议用“工具”菜单下的“ip包分析工具”抓包,如发现某个MAC对应多个
不同
的内网IP,那么这个MAC就是我们要找的MAC值。 MAC采集点 见安装包中程序MacSetup.exe,网卡地址“采集”程序,在跨
VLAN
环境、且选择“基于网卡MAC”的方式监控时才用,一般可在每个
VLAN
中安装一个,不安装也可以,安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况,且可有效进行IP-MAC绑定。 尽管客户不安装该程序,系统仍然可以跨
VLAN
获取机器MAC信息,所以本程序并非必须安装。 安装方法极其简单,只需要在选定的机器上运行此程序即可,不用任何配置.
交换及路由技术
3,810
社区成员
12,781
社区内容
发帖
与我相关
我的任务
交换及路由技术
硬件使用 交换及路由技术相关问题讨论专区
复制链接
扫一扫
分享
社区描述
硬件使用 交换及路由技术相关问题讨论专区
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章