1.使用 VLAN 设计网络的优势

水星 交换机 端口镜像 水星交换机端口vlan_计算机网络

水星 交换机 端口镜像 水星交换机端口vlan_字段_02

2.VLAN 的类型

(1)默认 VLAN

思科交换机上的默认VLAN是VLAN 1。因此,所有交换机端口都会划分到 VLAN 1 中,除非管理员明确通过配置,把它们划分到了另一个 VLAN 当中。在默认情况下,所有第 2 层控制流量都会划分到 VLAN 1 中。

关于 VLAN 1 需要记住的重要事实包括:

  • 默认情况下,所有端口都会划分到 VLAN 1中。
  • 默认情况下本征 VLAN 为 VLAN 1。
  • 默认情况下管理 VLAN 是 VLAN 1。
  • VLAN 1 不能重命名或删除。
(2)数据 VLAN

数据 VLAN 是为了分隔用户流量而配置的 VLAN。它们也称为用户 VLAN,因为它们会把网络分成一组用户或设备。现代网络可以根据组织机构的要求而划分成许多数据 VLAN。请注意,数据 VLAN 不应允许语音和网络管理流量。

(3)本征 VLAN

当一个 VLAN 中的用户流量被发送到另一台交换机时,必须使用 VLAN ID 对流量进行标记。在交换机之间使用中继端口,就是为了支持有标记的流量的传输。具体而言,802.1Q 中继端口会在以太网帧报头中插入一个 4 字节的标记,来标识这个帧所属的 VLAN。

交换机可能还需要通过中继链路来发送未标记的流量。未标记的流量由交换机生成,也可能来自一些古老的设备。802.1Q 中继端口会将未标记的流量放入本征 VLAN 中。思科交换机上的本征 VLAN 是 VLAN 1(即默认 VLAN)。

最佳做法是将本征 VLAN 配置为未使用的 VLAN,让本征 VLAN 不同于 VLAN 1 和其他 VLAN。事实上,用一个固定 VLAN 作为交换域中所有中继端口的本征 VLAN ,这种做法并不罕见。

(4)管理 VLAN

管理 VLAN 是专为网络管理流量(包括 SSH、Telnet、HTTPS、HHTP 和 SNMP流量)而配置的数据 VLAN。在默认情况下,VLAN 1 会充当第 2 层交换机上的管理 VLAN。

(5)语音 VLAN

需要有一个独立的VLAN来支持VoIP。VoIP 流量有以下需求:

  • 足够的带宽来保证语音质量
  • 高于其它网络流量类型的传输优先级
  • 可以绕过网络中的拥塞区域进行路由
  • 跨网络的延迟小于 150 毫秒

为满足这些要求,整个网络都必须支持 VoIP。

3.VLAN 标记字段详细信息

如图所示,VLAN 标记控制信息字段由类型(Type)字段、优先级(Priority)字段、规范格式标识符(Canonical Format Identifier)字段和 VLAN ID 字段组成:

  • 类型 - 这个2字节的值称为标记协议ID(TPID)值。对于以太网来说,这个字段会被设置为十六进制 0x8100。
  • 用户优先级 - 这是一个3比特的值,支持级别或服务实施。
  • 规范格式标识符 (CFI) - 1比特标识符,便于在以太网链路上传输令牌环帧。
  • VLAN ID (VID) - 一个 12比特的VLAN 标识编号,可以支持最多 4096 个 VLAN ID。

在交换机插入标记控制信息字段后,它会重新计算 FCS 值并将新的 FCS 插入到这个帧中。

水星 交换机 端口镜像 水星交换机端口vlan_数据_03

4.Catalyst 交换机上的 VLAN 范围

(1)N普通范围 VLAN

以下是普通范围 VLAN 的特征:

  • 它们主要用于中小型商业网络和企业网络。
  • VLAN ID 范围为 1 到 1005。
  • ID 1002 到 1005 是为传统网络技术(如令牌环和光纤分布式数据接口 )保留的 VLAN。
  • ID 1 和 ID 1002 到 1005 是自动创建的,不能删除。
  • VLAN 配置存储在交换机闪存中一个名为 vlan.dat 的 VLAN 数据库文件中。
  • 配置 后,VLAN 中继协议 (VTP) 有助于在交换机之间同步 VLAN 数据库。
(2)扩展范围 VLAN

以下是扩展范围 VLAN 的特性:

  • 服务提供商会用这些 VLAN 来给不同的客户提供服务,一 些规模很大的跨国企业也有可能需要扩展范围的 VLAN ID。
  • 这些 VLAN 的 VLAN ID 范围是 1006 到 4094。
  • 在默认情况下,配置会保存在运行配置文件中。
  • 它们支持的 VLAN 特性比普通范围 VLAN 要少。
  • 需要配置 VTP 透明模式才能支持扩展范围 VLAN。

注意: 由于 IEEE 802.1Q 报头的 VLAN ID 字段有 12 位,因此 4096 是 Catalyst 交换机上可用 VLAN 数量的上限。

5.VLAN 配置

(1) VLAN 创建命令

水星 交换机 端口镜像 水星交换机端口vlan_数据_04

 注意: 在使用 vlan vlan-id 命令时,除了输入单个的 VLAN ID,还可以使用逗号输入多个 VLAN ID,或者使用连字符来输入一个 VLAN ID 的范围。例如,输入 vlan 100,102,105-107 全局配置命令可以创建出 VLAN 100、102、105、106 和 107.

(2)VLAN 端口分配命令

这张表显示了把一个端口定义为接入端口并将其分配给 VLAN 的语法。switchport mode access 命令是可选的,但是强烈建议使用,这是安全最佳实践。使用此命令后,接口变为永久访问模式。

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_05

注意: 使用 interface range 命令来同时配置多个接口。 

(3)数据和语音 VLAN

使用 switchport voice vlan vlan-id 接口配置命令把一个语音 VLAN 分配给端口。

支持语音流量的LAN一般都会启用服务质量(QoS)。语音流量在进入网络时就必须标记为可信任。使用 mls qos trust [cos | device cisco-phone | dscp | ip-precedence] 接口配置命令设置接口的可信状态,并指示数据包中的哪些字段会用来对流量进行分类。

示例:

接入端口只能同时划分给一个 VLAN。但是,端口却可以再与语音 VLAN 关联。例如,一个连接到 IP 电话和终端设备的端口可以和两个 VLAN 关联:一个语音VLAN,一个数据VLAN。

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_06

思考图中显示的拓扑。PC5 连接到思科 IP 电话,而思科 IP 电话又连接到 S3 上的 FastEthernet 0/18 接口。要实现这个配置,需要创建一个数据VLAN 和一个语音VLAN。

学生VLAN 20上的主机PC5地址为172.17.20.25。PC5连接到了一台IP电话,这台电话则连接到了交换机S3的F0/18端口。一个文本框指向这个端口,里面的内容显示:交换机端口必须支持以下VLAN流量:去往IP电话的语音流量,去往PC5的数据流量。S3通过端口F0/3连接到交换机S1的F0/3端口。

S3(config)# vlan 20
S3(config-vlan)# name student
S3(config-vlan)# vlan 150
S3(config-vlan)# name VOICE
S3(config-vlan)# exit
S3(config)# interface fa0/18
S3(config-if)# switchport mode access
S3(config-if)# switchport access vlan 20
S3(config-if)# mls qos trust cos
S3(config-if)# switchport voice vlan 150
S3(config-if)# end
S3#

示例中的配置会创建出两个 VLAN(即 VLAN 20 和 VLAN 150),然后将 S3 的 F0/18 接口作为交换机端口划分到 VLAN 20 中。还将语音流量分配给 VLAN 150,并根据 IP 电话分配的服务类别 (CoS) 启用 QoS 分类。

(4)验证 VLAN 信息

水星 交换机 端口镜像 水星交换机端口vlan_数据_07

(5) 更改 VLAN 端口成员

如果交换机接入端口被错误地划分给了某个 VLAN,那么只需要重新输入包含正确 VLAN ID 的 switchport access vlan vlan-id 接口配置命令即可。例如,假设 Fa0/18 被错误地划分给了默认的 VLAN 1,而不是 VLAN 20 中。那么要把端口更改为 VLAN 20,只需输入 switchport access vlan 20

要把端口的成员身份更改回默认的 VLAN 1,需要使用 no switchport access vlan 接口配置模式命令。

show interfaces f0/18 switchport 输出信息也可以用来验证接口 F0/18 的访问 VLAN 是否已经重置为了 VLAN 1,如输出信息中所示。

(6)删除 VLAN

全局配置模式命令 no vlan vlan-id 的作用是从交换机的 vlan.dat 文件中删除一个 VLAN。

小心: 在删除一个 VLAN 之前,请先将所有成员端口重新分配到另一个 VLAN 中。在删除 VLAN 后,所有没有划分到活动 VLAN 的端口,在划分到活动 VLAN 之前都将无法与其他站点通信。

6.VLAN 中继

中继链路可以在一条链路上承载多个VLAN的数据。

(1)干道的配置命令

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_08

(2)将干道重置为默认状态 

使用 no switchport trunk allowed vlan 和 no switchport trunk native vlan 命令删除允许的 VLAN 并重置干道的本征 VLAN。当它重置为默认状态时,这条干道会允许所有 VLAN ,并使用 VLAN 1 作为本征 VLAN。这个示例显示了用来把中继接口的所有中继特性重置为默认设置的命令。

S1(config)# interface fa0/1
S1(config-if)# no switchport trunk allowed vlan
S1(config-if)# no switchport trunk native vlan
S1(config-if)# end
(3) 配置管理VLAN

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_09

7.动态中继协议

一些思科交换机具有专有协议,可以让他们自动与相邻设备协商中继。这个协议称为动态中继协议 (DTP)。思科 Catalyst 2960 和 3650 交换机的默认 DTP 配置是 Dynamic auto(动态自动)。

要让思科交换机与不支持 DTP 的设备之间建立干道,需要使用接口配置模式命令 switchport mode trunk 和 switchport nonegotiate。这可以让接口成为中继接口,但是不会生成 DTP 帧。要重新启用动态中继协议,需要使用 switchport mode dynamic auto 命令。

(1)协商接口模式

switchport mode 命令还有一些其他协商接口模式的可选项。命令的完整语法为:

Switch(config)# switchport mode { access | dynamic { auto | desirable } | trunk }

水星 交换机 端口镜像 水星交换机端口vlan_计算机网络_10

注意:使用接口配置命令 switchport nonegotiate 停止 DTP 协商。交换机不参与此接口上的 DTP 协商。只有在交换机端口模式为 access 或 trunk时,才能使用此命令。您必须手动将相邻接口配置为中继接口,才能建立中继链路。 

(2)DTP配置的结果

水星 交换机 端口镜像 水星交换机端口vlan_计算机网络_11

8. 模块测验

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_12

水星 交换机 端口镜像 水星交换机端口vlan_计算机网络_13

水星 交换机 端口镜像 水星交换机端口vlan_IP_14

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_15

 

水星 交换机 端口镜像 水星交换机端口vlan_IP_16

水星 交换机 端口镜像 水星交换机端口vlan_字段_17

水星 交换机 端口镜像 水星交换机端口vlan_字段_18

水星 交换机 端口镜像 水星交换机端口vlan_水星 交换机 端口镜像_19