作者:GDY1039
动态VLAN--通过管理策略服务器,可以基于连接到交换机端口上的设备MAC地址为端口分配VLAN。
VLAN与安全--
可以通把交换机的端口或用户分配到特定的VLAN组来创建防火墙
一个VLAN中的广播流量不会传输到该VLAN外
防止其它用户在没有得到VLAN管理员允许的情况下加入网络
可以把所有未使用的端口配置为一个缺省的低等服务的VLAN
基于端口的VLAN(静态)
基于MAC地址的VLAN(动态)
基于协议的VLAN(动态)
中继协议允许来自不同VLAN的帧通过单条物理信道传输。它们对帧的分发进行管理,以将其分发到对应的VLAN端口。目前存在两种中继机制:帧过滤(fram filter)和帧标记(fram tagging)。
以太网中帧标记常见实现方案如下:
交换机间链路(inter-switch link,ISL) --起源于CISCO专有的交换机间链路协议
802.1Q -- 这是一种IEEE标准方法,它在以太网帧中插入VLAN成员信息
Per Vlan Spanning Tree
每一个VLAN都使用一份独立的生成树工作,以防止在VLAN内部产生环路,这称为Per Vlan Spanning Tree
VTP PROTOL
VTP用于同步整个网络的VLAN信息。它使用组播方式周期性的通告VLAN配置变动信息
VTP的好处
整个网络的VLAN配置一致性
允许跨越混合介质中继一个VLAN的映射对VLAN的准确跟踪和监控
关于整个网络中新增VLAN的动态报告
加入新VLAN时的即插即用配置
使用VTP,每天CATALYST交换机会在它的中继线端口通告以下信息
管理域
配置版本号
已知的VLAN及其具体参数
VTP域
一个VTP域由一台或多台互连设备组成,它们共享同一个VTP域名。一台交换机只能属于一个VTP域中。
VTP模式
VTP交换机工作在以下3种模式之一
服务器--在这模式下,可以创建、修改和删除VLAN,并修改VTP域的配置参数。VTP服务器在NVRAM中保存VLAN信息。修改后的信息会被通告到同域内所有交换机。一个域可以有多台服务器,这样它们之前的VLAN相互同步。
客户端--在这模式下,不能创建、修改和删除VLAN,也不能保存VLAN信息。这模式适合缺乏足够存储器来保存大量VLAN信息表的交换机。
透明模式--在这模式下,交换机会转发VTP信息,但不会用VTP信息更新自己的VLAN,也不会通告自己的VLAN变化。
VTP实施
只要配置了VTP域名,VTP便生效了。只要VTP域名或VTP密码之一不对,VLAN的信息便不会被同步。
配置VTP版本
先根据需要配置相应的版本
switch#vlan database
switch(vlan)#vtp v2-mode
配置VTP域
switch(vlan)#vtp domain cisco
配置VTP模式
switch(vlan)# vtp (client|server|transparent)
验证VTP配置
switch#show vtp status
VTP剪裁
一个交换机的缺省行为是在网络上传播广播和未知分组。这种行为会导致不必要的数据流穿过网络
VTP剪裁通过减少不必要的通信息泛洪,如广播,组播、未知和泛洪的单播分组来提高网络带宽。
VTP不剪裁不具有剪裁资格的VLAN数据通信,VLAN 1永远没有剪裁资格
设置VLAN具有剪裁资格
switch(vlan)#vtp pruning
设置某个VLAN不具有剪裁资格
switch(config)#interface fastethernet 0/3
switch(config-if)switchport trunk pruning vlan remove vlan-id
基于SET命令的交换机,命令如下
console>(enable)set vtp pruneeligible vlan_range
console>(enable)clear vtp pruneeligible vlan_range
switch#vlan database
switch(vlan)#vlan 10
switch(vlan)#exit
#为VLAN分配一个或者多个接口,把端口3加到VLAN10中
switch(config)#interface fastethernet 0/3
switch(config-if)#switchport access vlan 10
#从VLAN10中清除端口3
siwtch(config-if)#no switchport access vlan 10
#验证VLAN的配置
switch#show vlan
#删除VLAN10
switch#clear vlan 10
switch(config-if)#switchport trunk encapsulation dot1q
#在配置中继前,可以使用以下命令查看端口支持的中继协议
concole>(enable)show port capabilities 2/1
#要在一台基于SET命令的交换机上创建或配置一条VLAN中继,输入SET TRUNK命令,将链路两端的端口配置为中继端口,并指定在这条中继链路上传输的VLAN
switch>(enable)set trunk mod_num/port_num [on|off|desirable|auto|nonegotiate] vlan_range [isl|dot1q|dot10|lane|negotiate]
VLAN介绍
VLAN用于逻辑划分物理网络VLAN的运行方式
静态VLAN--把端口静态分配给一个VLAN就创建了静态VLAN。如果改变了端口还想访问现有VLAN,则必需手动把新端口添加到VLAN动态VLAN--通过管理策略服务器,可以基于连接到交换机端口上的设备MAC地址为端口分配VLAN。
VLAN的优点
变动的管理--同一个VLAN中的用户共享相同的网络地址空间(即IP子网)VLAN与安全--
可以通把交换机的端口或用户分配到特定的VLAN组来创建防火墙
一个VLAN中的广播流量不会传输到该VLAN外
防止其它用户在没有得到VLAN管理员允许的情况下加入网络
可以把所有未使用的端口配置为一个缺省的低等服务的VLAN
VLAN的类型
3种基本的决定和控制了一个分组如何指派到一个VLAN。这3种模型为基于端口的VLAN(静态)
基于MAC地址的VLAN(动态)
基于协议的VLAN(动态)
VLAN帧标识
在多台交换机构成的VLAN中,数据帧在发送到交换机间的链路之前,帧头会被封装或者改变,以反映某个VLAN ID,在转发到终端设备前,该帧头还要变 换回原来的格式。VLAN的标识逻辑上标记了那个分组属于那个VLAN组。目前存在着多种中继的方法:包括IEEE802.1Q,交换机间链路 (ISL),802.10和局域网仿真。配置静态VLAN
配置静态VLAN必须记住以下的准则- VLAN的最大数目取决于交换机及交换机端口的数目
- VLAN1是出厂时定义的缺省VLAN之一
- VLAN1是缺省的以太网VLAN
- CDP(CISCO DISCOVERY PROTOCOL)和VTP(VLAN TRUNKING PROTOCOL)通告是在VLAN1上发送的。
- 必须在所有参与到VLAN的交换机中继上配置相同的封装协议
- 配置VLAN的命令会随着型号的不同而不同
中继协议允许来自不同VLAN的帧通过单条物理信道传输。它们对帧的分发进行管理,以将其分发到对应的VLAN端口。目前存在两种中继机制:帧过滤(fram filter)和帧标记(fram tagging)。
以太网中帧标记常见实现方案如下:
交换机间链路(inter-switch link,ISL) --起源于CISCO专有的交换机间链路协议
802.1Q -- 这是一种IEEE标准方法,它在以太网帧中插入VLAN成员信息
Per Vlan Spanning Tree
每一个VLAN都使用一份独立的生成树工作,以防止在VLAN内部产生环路,这称为Per Vlan Spanning Tree
VTP PROTOL
VTP用于同步整个网络的VLAN信息。它使用组播方式周期性的通告VLAN配置变动信息
VTP的好处
整个网络的VLAN配置一致性
允许跨越混合介质中继一个VLAN的映射对VLAN的准确跟踪和监控
关于整个网络中新增VLAN的动态报告
加入新VLAN时的即插即用配置
使用VTP,每天CATALYST交换机会在它的中继线端口通告以下信息
管理域
配置版本号
已知的VLAN及其具体参数
VTP域
一个VTP域由一台或多台互连设备组成,它们共享同一个VTP域名。一台交换机只能属于一个VTP域中。
VTP模式
VTP交换机工作在以下3种模式之一
服务器--在这模式下,可以创建、修改和删除VLAN,并修改VTP域的配置参数。VTP服务器在NVRAM中保存VLAN信息。修改后的信息会被通告到同域内所有交换机。一个域可以有多台服务器,这样它们之前的VLAN相互同步。
客户端--在这模式下,不能创建、修改和删除VLAN,也不能保存VLAN信息。这模式适合缺乏足够存储器来保存大量VLAN信息表的交换机。
透明模式--在这模式下,交换机会转发VTP信息,但不会用VTP信息更新自己的VLAN,也不会通告自己的VLAN变化。
VTP实施
只要配置了VTP域名,VTP便生效了。只要VTP域名或VTP密码之一不对,VLAN的信息便不会被同步。
配置VTP版本
先根据需要配置相应的版本
switch#vlan database
switch(vlan)#vtp v2-mode
配置VTP域
switch(vlan)#vtp domain cisco
配置VTP模式
switch(vlan)# vtp (client|server|transparent)
验证VTP配置
switch#show vtp status
VTP剪裁
一个交换机的缺省行为是在网络上传播广播和未知分组。这种行为会导致不必要的数据流穿过网络
VTP剪裁通过减少不必要的通信息泛洪,如广播,组播、未知和泛洪的单播分组来提高网络带宽。
VTP不剪裁不具有剪裁资格的VLAN数据通信,VLAN 1永远没有剪裁资格
设置VLAN具有剪裁资格
switch(vlan)#vtp pruning
设置某个VLAN不具有剪裁资格
switch(config)#interface fastethernet 0/3
switch(config-if)switchport trunk pruning vlan remove vlan-id
基于SET命令的交换机,命令如下
console>(enable)set vtp pruneeligible vlan_range
console>(enable)clear vtp pruneeligible vlan_range
配置VLAN
#建立VLAN10switch#vlan database
switch(vlan)#vlan 10
switch(vlan)#exit
#为VLAN分配一个或者多个接口,把端口3加到VLAN10中
switch(config)#interface fastethernet 0/3
switch(config-if)#switchport access vlan 10
#从VLAN10中清除端口3
siwtch(config-if)#no switchport access vlan 10
#验证VLAN的配置
switch#show vlan
#删除VLAN10
switch#clear vlan 10
配置中继协议
#在某端口配置帧标记协议switch(config-if)#switchport trunk encapsulation dot1q
#在配置中继前,可以使用以下命令查看端口支持的中继协议
concole>(enable)show port capabilities 2/1
#要在一台基于SET命令的交换机上创建或配置一条VLAN中继,输入SET TRUNK命令,将链路两端的端口配置为中继端口,并指定在这条中继链路上传输的VLAN
switch>(enable)set trunk mod_num/port_num [on|off|desirable|auto|nonegotiate] vlan_range [isl|dot1q|dot10|lane|negotiate]
1234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
