1、第一章 VLAN技術,教學目標,通過本章學習使學員能夠： 1、掌握二層交換機中的VLAN基本配置； 2、掌握VLAN間路由的基本配置； 3、掌握Private VLAN的應用場合及配置； 4、掌握Super VLAN的應用場合及配置。,本章內(nèi)容,VLAN基本配置 使用SVI實現(xiàn)VLAN間通信 使用單臂路由實現(xiàn)VLAN間通信 Private VLAN原理與配置 Super VLAN原理與配置,課程議題,VLAN配置,交換網(wǎng)絡中的問題,在交換機組成的校園網(wǎng)絡里所有主機都在同一個廣播域內(nèi),廣播域,安全,廣播,交換網(wǎng)絡中的問題,通過VLAN技術可以對網(wǎng)絡進行一個安全的隔離、分割廣播域,VLAN 10,

2、VLAN 40,VLAN 30,VLAN 20,VLAN技術,1,2,3,4,交換機,廣播幀,廣播域,廣播幀,廣播域,VLAN 概述（Virtual Local Area Network） VLAN是劃分出來的邏輯網(wǎng)絡，是第二層網(wǎng)絡。 VLAN端口不受物理位置的限制。 VLAN 隔離廣播域。,VLAN技術的好處,通過在交換網(wǎng)絡中的VLAN技術的實施，可以為網(wǎng)絡帶來很多諸如隔離廣播、安全、負載分擔等好處。 隔離廣播：在交換網(wǎng)絡中，通過廣播域的隔離，可以大大減少網(wǎng)絡中泛洪的廣播包，從而提高網(wǎng)絡中的帶寬利用率。 安全性：通過在二層網(wǎng)絡劃分VLAN，可以實現(xiàn)在二層網(wǎng)絡中不同VLAN間的數(shù)據(jù)隔離，。 故

3、障隔離：通過VLAN的劃分，由于將設備劃分到不同的廣播域當中，可以減小網(wǎng)絡故障的影響。,IEEE802.1Q數(shù)據(jù)幀,標記協(xié)議標識（TPID）: 固定值0 x8100,表示該幀載有802.1Q標記信息 標記控制信息（TCI）: Priority：3比特，表示優(yōu)先級 Canonical format indicator：1比特，表示總線型以太網(wǎng)、FDDI、令牌環(huán)網(wǎng) VlanID：12比特，表示VID，范圍14094,Trunk端口工作原理,802.1Q工作特點： Trunk上默認會轉(zhuǎn)發(fā)交換機上存在的所有VLAN的數(shù)據(jù)。 交換機在從Trunk口轉(zhuǎn)發(fā)數(shù)據(jù)前會在數(shù)據(jù)打上個Tag標簽，在到達另一交換機后，

4、再剝?nèi)ゴ藰撕灐?Native VLAN：這類VLAN可以省略掉打標簽的過程，但是網(wǎng)絡中只能有一個Native VLAN，默認情況下，銳捷交換機上的Native VLAN是VLAN 1。,數(shù)據(jù)幀,Tag標簽,Trunk,Trunk,數(shù)據(jù)幀,A,B,配置VLAN創(chuàng)建VLAN,步驟1：進入全局配置模式 Switch#configure terminal 步驟2：創(chuàng)建VLAN Switch(config)#vlan vlan-id 步驟3：（可選）命名VLAN Switch(config-vlan)#name vlan-name,配置VLAN將端口加入VLAN,步驟1：進入端口配置模式 Swtich(

5、config)#interface interface 步驟2：將端口模式設置為接入端口 Switch(config-if)#switchport mode access 步驟3：將端口添加到特定VLAN Switch(config-if)#switchport access vlan vlan-id,配置VLAN將端口加入VLAN,示例：將端口FastEthernet 0/1加入VLAN Switch#configure terminal Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode a

6、ccess Switch(config-if)#switchport access vlan 10 Switch(config-if)#end,配置VLAN將一組端口加入VLAN,步驟1：進入到一組需要添加到VLAN的端口中 Swtich(config)#interface range interface-range 步驟2：將端口模式設置為接入端口 Switch(config-range-if)#switchport mode access 步驟3：將一組端口劃分到指定VLAN Switch(config-range-if)#swtichport access vlan vlan-id,配置

7、VLAN將一組端口加入VLAN,示例：將端口fastEthernet 0/15,0/7同時劃分到VLAN10 Switch#configure terminal Switch(config)#interface range fastEthernet 0/1-5,0/7 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#exit,VLAN配置配置Trunk和Native VLAN,將級聯(lián)端口設置為Trunk

8、 步驟1：進入需要配置的端口 swtich(config)#interface interface 步驟2：將端口的模式設置為Trunk Switch(config-if)#switchport mode trunk 配置Native VLAN 步驟1：進入到需要配置的Trunk端口中 swtich(config)#interface interface 步驟2：配置Trunk的Native VLAN Switch(config-if)#switchport trunk native vlan vlan-id,配置VLAN配置VLAN許可列表,步驟1：進入全局配置模式 Switch#confi

9、gure terminal 步驟2：進入需要配置為Trunk的端口 Switch(config)#interface interface 步驟3：定義該端口模式為Trunk Switch(config-range-if)#switchport mode trunk 步驟4：定義Trunk的VLAN列表 Switch(config-if)#switchport trunk allowed vlan all | add | remove | except vlan-list,配置VLAN查看、刪除VLAN,刪除VLAN Switch(config)#no vlan VLAN-id 驗證配置信息 S

10、witch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - - - Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094 Switch# show vlan VLAN Name Status Ports - - - - 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,課程議題,SVI實現(xiàn)VLAN間通信,劃分VLAN的問題,劃分VLAN的問題 在

11、交換機上劃分VLAN后，帶來了隔離廣播、提高安全性、隔離故障的好處，但是，問題是不同VLAN之間無法通過二層設備互相通信。 解決辦法 通過三層設備實現(xiàn)VLAN間路由。,F0/3,F0/1,F0/2,SVI實現(xiàn)不同VLAN間相互通信,三層交換機上配置SVI接口地址 各VLAN中主機將三層交換機上相應VLAN的SVI接口地址作為本VLAN網(wǎng)關 數(shù)據(jù)到達三層交換機后利用路由功能轉(zhuǎn)發(fā)到其他VLAN,配置SVI,步驟1 開啟路由功能（默認） Switch(config)#ip routing 步驟2 創(chuàng)建VLAN Switch(config)#vlan vlan-id 步驟3 進入VLAN的SVI接口配

12、置模式 Switch(config)#interface vlan vlan-id 步驟4 給SVI接口配置IP地址 Switch(config-if)#ip address ip-address mask,配置SVI示例,Switch#configure terminal Switch(config)#vlan 10 Switch(config-vlan)exit Switch(config)#vlan 20 Switch(config-vlan)#exit Switch(config)#interface vlan 10 Switch(config-if)#ip address 192.1

13、68.1.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config)#interface vlan 20 Switch(config-if)#ip address 192.168.2.1 255.255.255.0 Switch(config-if)#no shutdown,課程議題,使用單臂路由 實現(xiàn)VLAN間通信,路由器實現(xiàn)VLAN間路由,在路由器上為每個VLAN劃分一個子接口 每個子接口配置IP地址，作為相應VLAN的網(wǎng)關 利用路由器的路由功能，實現(xiàn)不同子接口數(shù)據(jù)的轉(zhuǎn)發(fā) 缺點是：部署不靈活，形成網(wǎng)絡瓶頸。,單臂路由配置,步驟1

14、：創(chuàng)建以太網(wǎng)子接口 Router(config)#interface interface.sub-port 步驟2：為子接口封裝802.1q協(xié)議，并指定接口所屬的VLAN Router(config-subif)#encapsulation dot1q vlan-id 步驟3：為子接口配置IP地址 Router(config-subif)#ip address ip-address mask-address 步驟4：啟用子接口 Router(config-subif)#no shutdown,單臂路由配置示例,Router(config)#interface fastEthernet 0/0.

15、1 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#no shutdown Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip address 192.168.2.1 255.2

16、55.255.0 Router(config-subif)#no shutdown Router(config-subif)#end,課程議題,Private VLAN,傳統(tǒng)VLAN的限制,問題引入： ISP的客戶需要多臺服務器接入Internet，但是不同的客戶要相互隔離，客戶自己的服務器之間可以相互訪問。 傳統(tǒng)的解決方法： 給每一個客戶劃分一個VLAN，分配一個不同的子網(wǎng)，使用三層設備來連接這些子網(wǎng)。 存在的問題： （1）VLAN的限制：交換機固有的VLAN數(shù)目的限制； （2）復雜的STP：對于每個VLAN，每個相關的Spanning Tree的拓撲都需要管理； （3）IP地址的緊缺：IP

17、子網(wǎng)的劃分勢必造成一些IP地址的浪費； （4）安全控制比較復雜。,劃分VLAN的問題,可分配的VLAN編號是1-4094，需要劃分更多的VLAN怎么辦 每一個VLAN都劃分一個子網(wǎng)，當劃分多個VLAN時，導致地址的浪費,F0/1,F0/2,F0/3,Private VLAN,Private VLAN（私有VLAN，PVLAN）是能夠為相同VLAN內(nèi)不同端口提供隔離的VLAN。,F0/1,F0/2,F0/3,Pravite VLAN的組成,PVLAN可以將一個VLAN的二層廣播域劃分成多個子域，每個子域都由一對VLAN組成：Primary VLAN（主VLAN）和Secondary VLAN（輔

18、助VLAN組成）。,Secondary VLAN,F0/2,F0/1,Secondary VLAN,Primary VLAN,Pravite VLAN的組成,主VLAN： 主VLAN是PVLAN的高級VLAN，每個PVLAN中只有一個主VLAN。 輔助VLAN： 輔助VLAN是PVLAN中的子VLAN，并且映射到一個主VLAN。每臺接入設備都連接到輔助VLAN。 隔離VLAN（Isolated VLAN）：同一個隔離VLAN中的端口互相不能進行二層通信，一個私有VLAN域中只有一個隔離VLAN。 團體VLAN（Community VLAN）：同一個團體VLAN中的端口可以進行二層通信，但是不能

19、與其他團體VLAN中的端口進行二層通信，一個私有VLAN中可以有多個團體VLAN。,Pravite VLAN的端口類型,混雜端口（Promiscuous Port）：混雜端口為主VLAN中的端口，可以與任意端口通信，包括同一個PVLAN中的隔離端口和團體端口。 隔離端口（Isolated Port）：隔離端口為隔離VLAN中的端口，隔離端口只能與混雜端口進行通信。 團體端口（Community Port）：團體端口為團體VLAN中的端口，同一個團體VLAN中的團體端口之間可以互相通信，并且團體端口可以與混雜端口通信，但是不能與其他團體VLAN的端口進行通信。,Private VLAN的實現(xiàn),主

20、VLAN中的混雜端口用于連接到網(wǎng)關設備，可以和本VLAN中所有端口通信 隔離VLAN中的各端口均為隔離端口，互相不可通信，也不可與其他隔離VLAN或團體VLAN通信 團體VLAN中的端口均為團體端口，可與本團體端口通信，不可與其他團體端口或隔離端口通信,配置Private VLAN,配置Private VLAN主要包括以下幾個步驟： 配置主VLAN與輔助VLAN 關聯(lián)輔助VLAN到主VLAN 將輔助VLAN映射到主VLAN的3層接口 配置主機端口 配置混雜端口,配置Private VLAN,配置主VLAN與輔助VLAN 步驟1：進入配置模式 Switch#configure terminal

21、步驟2：進入VLAN配置模式 Switch(config)#vlan vid 步驟3：配置私有VLAN類型 Switch(config-vlan)#private-vlan community | isolated | primary 在802.1q VLAN中，有成員端口的VLAN不能配置為私有VLAN。VLAN 1不能配置為私有VLAN。,配置Private VLAN,關聯(lián)輔助VLAN到主VLAN 步驟1：進入主VLAN的VLAN配置模式 Switch(config)#vlan p_vid 步驟2：關聯(lián)輔助VLAN到主VLAN Switch(config-vlan)#private-vla

22、n association add | remove svlist 將輔助VLAN映射到主VLAN的三層接口 步驟1：進入主VLAN的VLAN接口模式 Switch(config)#interface vlan p_vid 步驟2：映射輔助VLAN到主VLAN的三層接口 Switch(config-if)#private-vlan mapping add | remove svlist,配置Private VLAN,配置主機端口 步驟1：進入主機端口 Switch(config)#interface port-type port 步驟2：配置端口為主機端口 Switch(config-if)#

23、switchport mode private-vlan host 步驟3：關聯(lián)主機端口到PVLAN Switch(config-if)#switchport private-vlan host-association p_vid s_vid 配置混雜端口 步驟1：進入主機端口 Switch(config)#interface interface 步驟2：配置端口為混雜端口 Switch(config-if)#switchport mode private-vlan promiscuous 步驟3：配置混雜端口所在的主VLAN以及關聯(lián)的輔助VLAN Switch(config-if)#swit

24、chport private-vlan mapping p_vid add | remove svlist,配置Private VLAN,配置Private VLAN注意事項 一個Private VLAN處于Active狀態(tài)必須滿足下列條件： 具有主VLAN 具有輔助VLAN 輔助VLAN和主VLAN進行關聯(lián) 主VLAN內(nèi)有混雜端口,PVLAN當中使用的一些規(guī)則,（1）一個“Primary VLAN”當中至少有1個“Secondary VLAN”，沒有上限。 （2）一個“Primary VLAN”當中只能有1個“Isolated VLAN”，可以有多個“Community VLAN”。 （3）

25、不同“Primary VLAN”之間的任何端口都不能互相通信（這里“互相通信”是指二層連通性）。 （4）Isolated端口”只能與“混雜端口”通信，除此之外不能與任何其他端口通信。 （5）Community端口”可以和“混雜端口”通信，也可以和同一“Community VLAN”當中的其它物理端口進行通信，除此之外不能和其他端口通信。,配置Private VLAN示例,配置Private VLAN示例,Swich#configure terminal Switch(config)#vlan 10 Switch(config-vlan)#private-vlan primary Switch(

26、config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#private-vlan community Switch(config-vlan)#exit Switch(config)#vlan 30 Switch(config-vlan)#private-vlan isolated Switch(config-vlan)#exit Switch(config)#vlan 10 Switch(config-vlan)#private-vlan association add 20,30 Switch(config-vlan)#exi

27、t,創(chuàng)建VLAN，并指明類型,主VLAN與輔助VLAN關聯(lián),配置Private VLAN示例,Switch(config)#interface range fastEthernet 0/1-2 Switch(config-if-range)#switchport mode private-vlan host Switch(config-if-range)#switchport private-vlan host-association 10 30 Switch(config-if-range)#exit Switch(config-if)#interface range fastEtherne

28、t 0/3-4 Switch(config-if-range)#switchport mode private-vlan host Switch(config-if-range)#switchport private-vlan host-association 10 20 Switch(config-if-range)#exit Switch(config)#interface fastEthernet 0/5 Switch(config-if)#switchport mode private-vlan promiscuous Switch(config-if)#switchport priv

29、ate-vlan mapping 10 add 20,30 Switch(config-if)#end,配置主機端口,配置混雜端口,課程議題,Super VLAN,Super VLAN,Super VLAN又稱為VLAN聚合，是一種專門優(yōu)化IP地址管理的技術 可以將一個網(wǎng)段的IP分給不同的子VLAN（Sub VLAN），這些Sub VLAN同屬于一個Super VLAN。,Sub VLAN,F0/2,F0/1,Sub VLAN,Super VLAN,IP子網(wǎng),Super VLAN,Super VLAN特點 每一個Sub VLAN都是獨立的廣播域 屬于同一Super VLAN的Sub VLAN在

30、同一子網(wǎng)中 Sub VLAN間的用戶需要進行通信時，將使用Super VLAN 的VLAN接口的IP 地址作為網(wǎng)關地址 不同Sub VLAN 間的互通及Sub VLAN 與其他網(wǎng)絡的互通，需要利用ARP代理（Proxy ARP）功能,Sub VLAN通信過程,同一Sub VLAN中主機的通信可以直接進行 不同Super VLAN中的主機通信時，需要經(jīng)過交換機進行ARP代理,Super VLAN注意事項,部署Sub VLAN的注意事項： Super VLAN不能包含任何成員端口，只能包含Sub VLAN。Sub VLAN包含物理端口。 Super VLAN不能作為其他Super VLAN的Sub VLAN。 PVLAN主要用于解決VLAN數(shù)量受限制的問題，Super VLAN主要用于節(jié)省IP地址。 Super VLAN不能當正常的802.1q VLAN來使用。 VLAN 1不能作為Super