在园区网中实施VLAN

在园区网中实施VLAN

本篇是基于《CCNP SWITCH(642-813)学习指南》做的学习笔记。

部分内容引自Cisco官方文档。

本章涵盖了以下主题：

·如果有一个大型企业网，设计者应该如何根据企业业务和技术的需求与限制，来规划、设计和实施VLAN

·如果有一个大型企业网，设计者应如何根据企业业务和技术的需求与限制，来规划、设计、实施、并验证链路聚集协议

·如何根据企业业务和技术的需求与限制，来规划、设计、实施并验证VTP

·如何设计、实施并验证私有VLAN

·如何在二层拓扑中根据企业业务和技术的需求与限制，来规划、设计、实施并验证EtherChannel

2.1 在园区网中实施VLAN技术

VLAN是一组有拥有共同需求并且与物理位置无关的终端设备所组成的逻辑分组。终端设备包括终端用户工作站、服务器、路由器等诸如此类的设备。

尽管交换机不能在VLAN之间转发二层广播，但VLAN可以位于交换机网络中的任何位置。因为VLAN是一个单独的广播域，而最佳的园区网设计方案就是讲一个VLAN映射到一个IP子网。如果需要在VLAN间通信，那么数据包就需要穿越路由器或者三层设备。

一般地，交换机的一个端口只能承载单个VLAN的流量。如果希望一个端口承载多个VLAN的流量，那么管理员就需要在Catalyst交换机上使用干道(trunk)技术。通过使用ISL(Inter-Switch Link Protocol,交换机间链路)封装或者IEEE802.1Q，干道就能够承载多个VLAN的流量。

2.1.1 VLAN分割模型

在大型非分层网络中，网络通常是由很多终端设备组成的。广播和未知的淡泊数据包会洪泛到网络的所有端口中。在这种情况下，使用VLAN的一大优势就是可以分割广播域。交换机会过滤掉从不同VLAN各个端口或设备发来的广播消息。

在园区网设计方案中，网络管理员可以使用一下两种模型来设计园区网：

·端到端的VLAN

·本地VLAN

具体选择哪种模型取决于业务需求、技术需求、过去的经验、可能存在的动机等。

1. 端到端的VLAN

端到端的VLAN这个术语是指与遍布在业网络中多来交换机的端口相关联的VLAN。在二层交换园区网中，一个VLAN所承载的流量会在整个网络中传输。

如果在网络中，端到端模型中的VLAN不止一个，那么管理员就需要在交换机之间使用一种特殊的链路(二层干道技术)来承载所有这些不同VLAN间的流量。

端到端的VLAN模型拥有以下特点：

·各VLAN遍布整个网络的所有位置

·五路用户的物理位置何在，其都可以被划分进各个VLAN中

·当用户在园区中移动式，该用户的VLAN成员关系不会发生变化，无论用户连接的是哪台物理交换机。

·处于管理的需要，用户一般会与某个给定的VLAN进行关联。这样可以使用户在网络中移动时，他们所在的组不会发生变化

·在同一个VLAN中，所有设备的地址一般也位于同一个IP子网中

·交换机的VIP模式一般是服务器、客户端模式

2. 本地VLAN

在本地VLAN模型中，不管用户的只能是什么，只要这些用户与一组位于相同地理位置的交换机相连，那么他们都会被划分进一个单独的VLAN中。如果用户从园区网的某一个位置移动到了另一个位置，那么ta就会与新物理位置的VLAN建立连接，从而改变连接关系。

本地VLAN有如下特点：

·网络管理员在创建本地VLAN时，应该牢记的是网络的物理边界，而不是终端用户的工作领域

·一般来说，本地VLAN存在于接入层和分布层之间

·从本地VLAN发送出去的流量会被路由到分布层和核心层，以达到其他网络目的地

·要将VTP配置为透明模式，因为一台接入层交换机上的VLAN通告给网路中的其他交换机，管理员也不需要在其他交换机的VLAN数据库中手动添加这些VLAN

·完全由本地VLAN构成的网络使用路由协议取代了二层网络的生成树技术，因此拥有收敛时间方面的优势。通常建议每台接入层交换机配置1至3个VLAN

3. 端到端VLAN相对于VLAN的对比

端到端VLAN的优势有如下几点：

·可以将用户分组  即使用户在物理上是分离的，他们也可以被划分到一个共同的IP网段中

·安全  可以让某个VLAN所包含的资源只能被网络中的一部分用户访问，或者使某种类型的流量仅能访问某个VLAN

·QoS(应用服务质量)  可以给某个VLAN访问网络资源的流量分配较高或较低的访问优先级

·避免路由选择  如果VLAN用户的流量去往相同VLAN内的设备，流量就可以只穿越交换机而不用经过三层设备路由

·特殊用途VLAN  有时，一个VLAN的作用就是承载某一种类型的流量，而这种流量必须分不到整个园区中(比如 组播、语音或未访问者创建的VLAN)

·设计粗劣(劣势)  对于没有明确目的，而把用户放入跨越园区网甚至跨越WAN的VLAN中干道情况，当网络已经配置完成且开始运营后，企业会由于网络的实效时间或其他策略性因素，犹豫是否要对设计进行改进

管理员在实施端到端VLAN时应考虑以下因素：

·交换机端口是为每个用户提供的，并且会与一个特定的VLAN相关联。由于端到端VLAN中的用户可以位于网络中的仍和位置，因此所有交换机都必须知道这个VLAN。也就是说，承载端到端VLAN流量的所有交换机都必须知道那些得以在各个交换机VLAN数据库中的VLAN

·默认情况下，VLAN的洪泛流量会穿越每一台交换机，即使那台交换机上没有任何属于这个端到端VLAN的活动端口

·为带有端到端VLAN的园区网进行排错的难度颇大，因为在大型园区网中，去往某一个VLAN的流量可以穿越多台交换机，这就有可能在不知不觉中产生一些生成树的问题

使用本地VLAN来实施企业园区架构具有以下优势：

·轻松判断数据流  这种简单的设计方案可以让判断二层和三层的数据流路径变得更加轻松。如果出现某种故障，且网络中的冗余技术并没有解决这个问题的时候，一个简单的模型就可以让管理员轻松找到问题的症结，并解决它

·灵活的冗余路径  在实施PVST(每VLAN生成树)或MSTP(多生成树)时，由于网络无环，因此所有链路都可以使用冗余的路径

·高可用性  所有的网络基础设施都可以配备冗余路径。如果首选的二层路径出现故障，接入层交换机上的本地VLAN流量还可以沿着另一条二层路径穿过分布层交换机。如果接入层VLAN的默认网关出现故障，路由器冗余协议可以实现故障倒换(Failover)。当生成树实例和VLAN都卑职在了一台特定的接入层或分布层交换机上时，那么管理员也可以使用相应的方法来配置二层和三层冗余及协议

·有限故障域  如果VLAN仅限于本地交换机，那么每个VLAN中的设备数量就不会太多，于是二层故障就会被限制在不大的用户范畴内

·设计方案扩展性强  管理员可以十分轻松地在网络中添加新的交换机，在必要的时候，也可以在网络中添加子模块

2.1.2 如何为VLAN制定计划

网络中VLAN模型的类型会影响实施VLAN的计划，以及验证VLAN的计划。为实施VLAN而创建计划所需的步骤。一般来说，规划端到端VLAN的实施包括以下任务：

·把握现有网络的流量  收集现有 VLAN号、名称、作用以及VLAN和IP地址之间的映射关系

·记录园区哪一部分需要哪个VLAN  确定交换机间的数据流向，以及哪个VLAN应该配置在哪台交换机上

·VLAN一般基于端口来进行划分  在有的网络实施环节中，管理员可能会使用一种不同的方法，比如根据dot1x认证来划分。具体的配置方法取决于划分VLAN的方式。管理员还需要清楚那些交换机上没有使用的端口应该如何划分VLAN。是应该保留他们的默认配置，还是处于安全的目的把他们划分进一个不使用的VLAN，抑或将他们分配进默认VLAN中

·配置Trunk  在配置Trunk时，管理员必须了解应该在哪里部署Trunk，是否应该在Trunk上允许所有的VLAN，以及Native VLAN应该如何设计

·VTP可以简化VLAN的配置与修剪  管理员应该了解需要在哪里实施VTP，应该用哪台交换机来充当服务器，哪台充当客户端，哪台应该配置为透明模式(如果需要的话)

·创建测试计划实施VLAN  验证其是否满足流量的需求以及未来扩展的需求

2.1.3 设计VLAN的最佳做法

这里会列举一些在园区网实施VLAN时具有普适价值的做法：

·在每个交换机上创建1到3个VLAN，将这些VLAN限制在几台接入层交换机和分布层交换机的范围内

·不要讲VLAN1作为未使用端口的"黑洞"，要将这些不适用的端口划分到其他VLAN中，只要不是VLAN1就好

·尽量将语音VLAN、数据VLAN、管理VLAN、NativeVLAN、黑洞VLAN和默认VLAN分开

·在本地VLAN模型中，不要使用VTP。管理员可以手动配置Trunk上允许哪些VLAN

· 对于Trunk端口，应关闭DTP并且手动对其进行配置。这里应该使用IEEE 802.1Q而不应该使用ISL。IEEE 802.1Q能更好地支持QoS，而且它也是标准(公有)协议

·手动配置那些不打算用于Trunk链路的Access端口

·阻止所有来自VLAN1的数据流量；VLAN1上只允许运行控制协议(如 DTP、VTP、STP BPDU、PAgP、LACP、CDP等)

·出于安全考虑，不要使用Telnet，但可以使管理VLAN支持SSH协议

2.1.4 配置VLAN

所有Cisco Catalyst交换机都能够支持VLAN，不过各交换机所支持VLAN数量却有所区别。

Cisco Catalyst交换机的VLAN支持矩阵

交换机类型	VLAN的最大数量	VLAN ID范围
Catalyst 2940	4	1～1005
Catalyst 2950/2955	250	1～4094
Catalyst 2960	255	1～4094
Catalyst 2970/3550/3560/3570	1005	1～4094
Catalyst 2848G/2980G/4000/4500	4094	1～4094
Catalyst 6500	4094	1～4094

VLAN范围

VLAN范围	范围	用途	通过VTP进行传播
0,4095	保留	仅限系统使用，用户不能查看和使用这些VLAN	-
1	正常	Cisco默认VLAN，用户默认能够使用该VLAN，但不能删除它