第6章虛擬局域網(wǎng)技術(shù)課程議題通過本章內(nèi)容的學(xué)習(xí)，希望您能夠：了解VLAN的產(chǎn)生及其劃分方式掌握VLAN的工作原理學(xué)會VLAN的配置掌握GVRP協(xié)議原理學(xué)會GVRP的基本配置學(xué)習(xí)目標(biāo)6.1

VLAN協(xié)議原理二層交換機可以隔離沖突域，但不能限制廣播域。

廣播的問題……廣播組播、廣播和未知目的的幀都可能導(dǎo)致全局的泛洪用物理方法隔離廣播域如何分割廣播域方法一：路由器……廣播路由器廣播域1VLAN10廣播域2VLAN20廣播域3VLAN30市場部工程部財務(wù)部方法二：使用VLAN技術(shù)VLAN概念VLAN：VirtualLocalAreaNetwork(虛擬局域網(wǎng))是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯的劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)

劃分Vlan的主要作用：隔離廣播域使用VLAN來分割廣播域區(qū)段化靈活性

安全性3rdfloor2ndfloor1stfloor銷售人事工程一個VLAN=一個廣播域=一個邏輯子網(wǎng)VLAN10VLAN20VLAN30VLAN劃分方式基于端口根據(jù)以太網(wǎng)交換機的端口來劃分，明確指定各端口屬于哪個VLAN?；贛AC地址即使計算機改變了所連接的端口，交換機仍會查出它的MAC地址，并正確指定端口所屬的VLAN?；诰W(wǎng)絡(luò)層協(xié)議將物理網(wǎng)絡(luò)劃分成基于協(xié)議的邏輯VLAN。在端口接收幀時，它的VLAN由該信息包中的協(xié)議類型決定。基于IP子網(wǎng)即使計算機改變了所連接的端口，交換機仍會通過IP地址正確指定端口所屬的VLAN?；诙丝趧澐諺LAN1VLAN2VLAN3端口1

端口2端口3端口4VLAN1VLAN2VLAN3端口1

端口2端口4端口3VLAN信息表基于MAC劃分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3主機AMAC主機BMAC主機CMAC主機DMACVLAN信息表基于協(xié)議劃分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3EthernetⅡSNAPLLCVLAN信息表基于IP子網(wǎng)劃分VLAN1VLAN2VLAN3VLAN1VLAN2VLAN310.1.1.*10.2.1.*10.3.1.*VLAN信息表IEEE802.1Q(1)TAGNewCRC目的MAC源MACTPIDPriorityCFIVLANIDTCI2byte帶有802.1Q標(biāo)記的幀2byte數(shù)據(jù)類型數(shù)據(jù)CRC類型標(biāo)準(zhǔn)以太網(wǎng)幀目的MAC源MACIEEE802.1Q802.1Q標(biāo)簽頭包含了2個字節(jié)的TPID和2個字節(jié)的TCI：1、TPID：TagProtocolIdentifier協(xié)議標(biāo)志固定值為0x8100，該值表明該幀承載的是802.1Q/802.1p標(biāo)簽信息2、TCI：TagControlInformation控制信息Priority：3bit,幀的優(yōu)先級,共有8種優(yōu)先級，0－7CanonicalFormatIndicator(CFI)：CFI值為0說明是規(guī)范格式，1為非規(guī)范格式VLANIdentified(VLANID):12bit,指明VLAN的ID，共4096個報文類型在一個交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：不帶標(biāo)簽的報文untaggedframe帶標(biāo)簽的報文taggedframeMAC數(shù)據(jù)MAC數(shù)據(jù)Vlan標(biāo)識6．2VLAN鏈路類型VLAN的鏈路類型

VLAN有三種鏈路類型：

AccessTrunkHybridTrunkVLAN1VLAN2VLAN3AccessVLAN1VLAN2VLAN3VLAN1VLAN2VLAN3AccessAccessAccess鏈路一般是指網(wǎng)絡(luò)設(shè)備與主機之間的鏈路一個Access端口只屬于一個VLANAccess端口發(fā)送不帶標(biāo)簽的報文缺省所有端口都包含在vlan1中，且都是AccessportVLAN1VLAN3VLAN2AccessTrunkTrunk鏈路一般是指網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)設(shè)備之間的鏈路一個Trunk端口可以屬于多個VLANTrunkport通過發(fā)送帶標(biāo)簽的報文來區(qū)別某一數(shù)據(jù)包屬于哪一VLAN標(biāo)簽遵守IEEE802.1q協(xié)議標(biāo)準(zhǔn)VLAN1VLAN2VLAN3TrunkHybrid1、Hybrid端口可以用于交換機之間連接，也可以用于接用戶的計算機2、Hybrid端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文3、Hybrid端口與Trunk端口的不同之處Hybrid端口可以允許多個VLAN的報文不打標(biāo)簽Trunk端口只允許缺省VLAN的報文不打標(biāo)簽在同一個交換機上Hybrid端口和Trunk端口不能并存802.1Q的轉(zhuǎn)發(fā)原則802.1Q的轉(zhuǎn)發(fā)原則

當(dāng)Access端口收到幀時

該幀不包含802.1Qtagheader，將被打上端口的PVID

當(dāng)Access端口發(fā)送幀時剝離802.1Qtagheader，發(fā)出的幀為普通以太網(wǎng)幀802.1Q的轉(zhuǎn)發(fā)原則1、當(dāng)Trunk端口收到幀時如果該幀不包含802.1Qtagheader，將打上端口的PVID

如果該幀包含802.1Qtagheader，則不改變2、當(dāng)Trunk端口發(fā)送幀時當(dāng)該幀的VLANID與端口的PVID不同時，直接透傳當(dāng)該幀的VLANID與端口的PVID相同時，則剝離802.1Qtagheader802.1Q的轉(zhuǎn)發(fā)原則1、當(dāng)Hybrid端口收到幀時如果該幀不包含802.1Qtagheader，將打上端口的PVID

如果該幀包含802.1Qtagheader，則不改變2、當(dāng)Hybrid端口發(fā)送幀時該幀包含802.1Qtagheader,是否保留tagheader需根據(jù)Hybrid端口的設(shè)置來決定若端口設(shè)置為允許該VLAN的幀tagged，則保留tagheader

若端口設(shè)置為允許該VLAN的幀untagged，則剝離802.1Qtagheader6．3

VLAN典型配置VLAN的配置命令1、創(chuàng)建指定VLAN，并進入VLAN模式ZXR10(config)#vlan<vlan-id>3、設(shè)置端口的VLAN鏈路類型ZXR10(config)#interface<interface-name>ZXR10（config-if）#switchportmode{access|trunk|hybrid}2、為創(chuàng)建的VLAN命名Switch(config-vlan)#name<vlan-name>VLAN的配置命令4．把以太網(wǎng)端口加入到指定VLANAccess端口只能加入到1個VLAN，Trunk端口和Hybrid端口可以加入到多個VLAN中。（1）把Access端口加入到指定VLANSwitch(config)#interface

<interface-name>Switch(config-if)#switchportaccessvlan{<vlan-id>|<vlan-name>}（2）讓Trunk端口透傳指定VLANSwitch(config)#interface<interface-name>Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowedvlan

<vlan-id>VLAN的配置命令5．設(shè)置以太網(wǎng)端口的nativeVLAN（PVID）（1）設(shè)置Trunk端口的NativeVLANSwitch(config)#interface<interface-name>Switch(config-if)#switchporttrunknativevlan{<vlan-id>|<vlan-name>}（2）設(shè)置Hybrid端口的NativeVLANSwitch(config)#interface

<interface-name>VLAN的配置命令6．創(chuàng)建VLAN三層接口Switch(config)#interfacevlan<vlan-id>7．打開/關(guān)閉VLAN三層接口Switch(config)#interfacevlan

<vlan-id>Switch(config-if)#noshutdown8．顯示VLAN配置Switch#showvlan

{<brief>|<vlan-id>|<vlan-name>}9．把某一端口從VLAN中刪除Switch(config)#interface

<interface-name>Switch(config-if)#noswitchportaccessvlanTrunk端口許可VLAN列表10、

VLAN許可、刪除等命令格式：Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

其中：vlan-list可以是一個VLAN或以vlann-vlan

m表示一組VLAN，如10～20；all是許可VLAN列表包含所有VLAN；add表示將指定VLAN列表加入許可VLAN列表；remove表示將指定VLAN列表從許可VLAN列表中刪除；except表示將除列出的VLAN列表外的所有VLAN加入許可VLAN列表。VLAN的配置命令實訓(xùn)案例任務(wù)1描述：某企業(yè)內(nèi)有銷售部和市場部，兩部門各有計算機2臺，使用一臺交換機劃分兩個VLAN10和VLAN20，分別供兩個部門使用。F0/1銷售部:vlan10市場部:vlan20F0/2F0/11F0/12配置實例1--跟著我做實訓(xùn)案例任務(wù)1實施：網(wǎng)絡(luò)拓?fù)湓O(shè)計；設(shè)備連接；創(chuàng)建兩個VLAN；將相應(yīng)的端口劃分到VLAN；驗證測試；F0/1銷售部:vlan10市場部:vlan20F0/2F0/11F0/12192.168.10.0/24192.168.20.0/24配置實例1--跟著我做問題提出在組建辦公區(qū)域網(wǎng)絡(luò)時發(fā)現(xiàn)有些部門的辦公地點不在一起，一個部門的辦公人員可能分布在不同辦公樓內(nèi)。要求將公司分別在不同地點的多個辦公室（二三個辦公室）的計算機連接起來，形成一個公司辦公區(qū)域局域網(wǎng)絡(luò)，實現(xiàn)公司辦公室內(nèi)部可以相互訪問。配置實例2--跟著我做BADC銷售部銷售部財務(wù)部財務(wù)部實訓(xùn)案例任務(wù)驗證：ApingC:連通BpingD:連通ApingB:不通配置實例2--跟著我做三樓的摟層交換機SW3四樓的摟層交換機SW4Fa0/24Fa0/24Fa0/10Fa0/20Fa0/10Fa0/201．交換機SW3上的配置如下：Switch(config)#hostname

SW3SW3(config)#vlan10SW3(config-vlan)#namexiaoshoubuSW3(config-vlan)#exitSW3(config)#vlan

20SW3(config-vlan)#namecaiwubuSW3(config-vlan)#exitSW3(config)#interfacefastEthernet0/10SW3(config-if)#switchportmodeaccessSW3(config-if)#switchportaccessvlan

10SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/20SW3(config-if)#switchportmodeaccess

SW3(config-if)#switchportaccessvlan

20SW3(config-if)#exitSW3(config)#interfacefastEthernet

0/24SW3(config-if)#switchportmodetrunk

配置Trunk端口

配置實例2--跟著我做配置Trunk端口SW3#showinterfacestrunk

PortModeEncapsulationStatusNativevlanFa0/24on802.1qtrunking1

PortVlansallowedontrunkFa0/241-1005

PortVlansallowedandactiveinmanagementdomainFa0/241,10,20

PortVlansinspanningtreeforwardingstateandnotprunedFa0/241,10,20配置實例2--跟著我做2、Fa0/24口的VＬＡＮ配置驗證配置Trunk端口配置實例2--跟著我做3、SW3的VＬＡＮ配置驗證6.4

GVRP協(xié)議原理快速生成樹協(xié)議GVRP概述VLAN2的廣播報文沒有必要被傳播到最右邊的交換機上GARP（GenericAttributeRegistrationProtocol）是一種通用的屬性注冊協(xié)議，它為處于同一個交換網(wǎng)內(nèi)的交換成員之間提供了分發(fā)、傳播、注冊某種信息的一種手段，如VLAN、多播組地址等。GVRP工作原理GVRP成員收發(fā)聲明或回收GVRP實體GVRP注冊過程GVRP端口注冊模式（1）Normal模式允許該端口動態(tài)注冊、注銷VLAN，傳播動態(tài)VLAN以及手動配置的VLAN信息，這是端口默認(rèn)模式。（2）Fixed模式禁止該端口動態(tài)注冊、注銷VLAN，只傳播手動配置的靜態(tài)VLAN信息，不傳播動態(tài)VLAN信息。也就是說被設(shè)置為fixed模式的Trunk口，即使允許所有VLAN通過，實際通過的VLAN也只能是手動配置的那些VLAN。（3）Forbidden模式禁止該端口動態(tài)注冊、注銷VLAN，不傳播除VLAN1以外的任何的VLAN信息。也就是說被配置為forbidden模式的Trunk口，即使允許所有VLAN通過，實際通過的VLAN也只能是缺省VLAN，即VLAN1。GARP消息類型1．JoinIn：聲明一個屬性，聲明者已注冊該屬性；2．Leave：注銷一個屬性；3．Empty：希望獲得一個屬性的聲明；4．JoinEmpty：聲明一個屬性，聲明者未注冊該屬性；5．LeaveAll：聲明將注銷所有的屬性。GVRP配置1．使能/關(guān)閉系統(tǒng)GVRP功能zte(config)##setgvrp系統(tǒng)GVRP功能缺省處于關(guān)閉狀態(tài)，該命令用于全局開啟/關(guān)閉GVRP。GVRP使能要在GARP使能的情況下才能進行。2．使能/關(guān)閉端口GVRP功能zte(config)#setgvrpport

<portlist>{enable|disable}系統(tǒng)端口GVRP功能缺省處于關(guān)閉狀態(tài)，該命令用于開啟/關(guān)閉端口GVRP功能，端口GVRP功能開啟后可以接受GVRP協(xié)議報文。3．配置端口的GVRP注冊類型功能zte(config)#setgvrpport<portlist>registration

{normal|fixed|forbidden}4．Trunk端口使能/關(guān)閉GVRP功能zte(config)#setgvrptrunk

<trunklist>{enable|disable}5．配置Trunk端口的GVRP注冊類型zte(config)#setgvrptrunk

<trunklist>

registration

{normal|fixed|forbidden}系統(tǒng)Trunk端口的GVRP注冊類型缺省處于normal狀態(tài)，該命令用于設(shè)置Trunk端口GVRP注冊類型，Trunk端口注冊類型有三種，每種注冊類型的功能和端口的功能相同。6．顯示GVRP配置信息zte#showgvrp該命令用于顯示GVRP配置信息，包括GVRP使能與否，各端口和Trunk端口GVRP的配置情況。GVRP配置GVRP配置實例1．交換機B上關(guān)于GVRP的主要配置命令如下：zte(config)##setgarpenablezte(config)#setgvrpenablezte(config)#setgvrpport2enablezte(config)#setgvrpport2registrationfixedGVRP配置實例2.在交換機B上查看GVRP狀態(tài)zte(cfg)#showgvrpGVRPisenabled!

PortIdStatusRegistrationLastPduOrigin-------------------------------------------2EnabledFixed00.00.00.00.00.00

實訓(xùn)項目：組建安全隔離的小型局域網(wǎng)快速生成樹協(xié)議項目背景某公司人力資源部、財務(wù)處、市場部、技術(shù)部分別建立了自己的局域網(wǎng)。并在這四個部門之間實現(xiàn)了資源共享。但是，網(wǎng)路規(guī)模的擴大，客戶端的計算機配置越來超高，各個客戶現(xiàn)之間通過網(wǎng)絡(luò)傳輸文件的速度越來越慢，經(jīng)過技術(shù)人員分析，公司交換以太網(wǎng)只隔離了沖突域，但AＲＰ等病毒是在一個廣播域內(nèi)的，為此需要將公司人力資源部、財務(wù)處、市場部、技術(shù)部各自的局城網(wǎng)劃分為更小的迎輯網(wǎng)格，每個迎輯網(wǎng)格（VLAN），可以起到隔離廣播和單播流量。而且隨著公司業(yè)務(wù)的發(fā)展，公司為市場部新建了營銷大樓，同時在市場部中設(shè)立了財務(wù)科，為了信息的安全，要求公司人力資源部、財務(wù)處、市場部、技術(shù)部各局域網(wǎng)之間隔離，但是各部門自己內(nèi)部是連通的。方案設(shè)計C1BC2D技術(shù)部市場部財務(wù)處財務(wù)科公司總部SW1營銷大摟SW2Fa0/24Fa0/24Fa0/6-17Fa0/18-23Fa0/1-15Fa0/16-20A人力資源部Fa0/1-5方案實施（一）繪制網(wǎng)絡(luò)拓?fù)鋱D方案實施（二）方案規(guī)劃設(shè)計部門VLANVLAN名稱計算機連接交換機/端口IP地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)人力資源部10RLZYBPC1-1SW1/Fa0/1192．168．10．1255．255．255．0192．168．10．254PC1-5SW1/Fa0/5192．168．10．5技術(shù)部20JSBPC1-6SW1/Fa0/6192．168．20．6192．168．20．254PC1-17SW1/Fa0/17192．168．20．17財務(wù)處30CWCPC1-18SW1/Fa0/18192．168．30．18192．168．30．254PC1-23SW1/Fa0/23192．168．30．23市場部40SCBPC2-1SW2/Fa0/1192．168．40．1192．168．40．254PC2-15SW2/Fa0/15192．168．40．15財務(wù)科30CWCPC2-16SW2/Fa0/16192．168．30．16192．168．30．254PC2-20SW2/Fa0/20192．168．30．20方案實施（三）交換機SW1的配置（１）為交換機命名為SW1并創(chuàng)建VLAN10，創(chuàng)建VLAN10命名為RLZYBSwitch(config)#hostnameSW1SW1(config)#vlan10SW1(config-vlan)#nameRLZYBSW1(config-vlan)#exit（2）創(chuàng)建VLAN20，創(chuàng)建VLAN20命名為JSBSW1(config)#vlan20SW1(config-vlan)#nameJSBSW1(config-vlan)#exit（3）創(chuàng)建VLAN30，創(chuàng)建VLAN10命名為CWCSW1(config)#vlan30SW1(config-vlan)#nameCWC方案實施（三）交換機SW1的配置4）將Fa0/1-5加入到VLAN10中SW1(config)#interfacerangefastEthernet0/1-5SW1(config-if-range)#switchportmodeaccess

SW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#exit（5）將Fa0/6-17加入到VLAN20中SW1(config)#interfacerangefastEthernet0/6-17SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan20SW1(config-if-range)#exit（6）將Fa0/8-23加入到VLAN30中SW1(config)#interfacerangefastEthernet0/18-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan30方案實施（三）交換機SW1的配置（7）將Fa0/24口設(shè)置成trunkSW1(config)#interfacefastEthernet