113958606.pngVLAN

1 1.园区网VLAN技术

1.1 VLAN分割模型

1.1.1 端到端VLAN

1.1.2 nativevlan(默认是1,经过trunk时不需被标记)

1.1.3 实施端到端的理由

可以将用户进行分组

安全

QoS

避免路由选择

特殊用途vlan

设计粗劣

1.2 配置vlan

1.2.1 vlan的范围(0-4095

根据平台和软件版本不同,Cisco交换机最多支持4094个VLAN。

0,4095:保留,仅限系统使用。用户不能查看。

1:CISCO默认VLAN,不能删除。

2-1001:用于以太网的VLAN,用户可自己创建的VLAN

1002-1005:用于FDDI和令牌环的默认VLAN,不能删除。

1006-1024:保留,仅限系统使用。用户不能查看。

1025-4094:以太网扩展的VLAN,3550以上才能用,VTP为透明模式。

1.2.2 全局配置模式

vlan 10

name huo

access端口

switchport mode access

switchport host

switchport access vlan 10

show vlan

1.2.3 vlan 数据库模式

vlan database

2 2.Trunk

2.1 链路聚集协议

2.1.1 ISLcisco私有):在帧的两端加入ISL帧头和ISL FCS

2.1.2 802.1Q:在帧中插入Tag,改变FCS

为转发未被标记的帧而定义native vlan

两端的native vlan必须相同

2.2 DTP(消耗资源,不采用)


Dynamic

Auto

Dynamic

Desirable

Trunk

Access

Dynamic

Auto

Access

Trunk

Trunk

Access

Dynamic

Desirable

Trunk

Trunk

Trunk

Access

Trunk


Trunk

Trunk

Trunk

连接受限

Access


Access

Access

连接受限

Access


2.3 配置

2.3.1 switchportmode trunk

2.3.2 switchporttrunk encapsulation dot1q

2.3.3 switchporttrunk native vlan 10

2.3.4 switchporttrunk allowed vlan 1-100

3 3.VTPcisco私有二层协议)

3.1 模式

3.1.1 server(默认)

可以创建、修改和删除vlan

向其他交换机发送或转发通告

会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步

会将vlan配置保存到NVRAM

3.1.2 client

不能创建、修改和删除vlan

向其他交换机转发通告

会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步

不会将vlan配置保存到NVRAM

3.1.3 transparent

只能在本地创建、修改和删除vlan

向其他交换机发送或转发通告

不会将vlan配置与从管理域中其他交换机所接收的最新信息进行同步

会将vlan配置保存到NVRAM

3.2 vtp修剪

3.2.1 通告修剪,减少vtp泛洪

3.2.2 通常只需在server端开启

3.3 版本

3.3.1 1

3.3.2 2(一般使用)

支持不能识别的TLV

支持令牌环

与版本无关的透明模式

一致性检查

3.3.3 3(不能直接处理vlan,没有被广泛使用)

3.4 通告

3.4.1 汇总通告消息:每5分钟发送一条

3.4.2 子集通告消息:vlan信息列表

3.4.3 通告请求消息

交换机重启

vtp域名被修改

Subtopic

3.5 配置

3.5.1 vtp modeserver

3.5.2 vtpdomin huo

3.5.3 vtpversion 2

3.5.4 vtppassword 123

3.5.5 vtppruning

3.5.6 show vtpstatus

3.5.7 Subtopic

4 6.vlan间路由

4.1 单臂路由

4.1.1 优势

可以与支持vlan802.1q的交换机一起工作

实施方法简单

路由器负责vlan间的通信

4.1.2 缺点

存在单点故障问题

流量路径单一可能会造成拥塞

路由决策,延时增加

4.1.3 配置

interface f0/0

no shutdown

interface f0/0.1

description VLAN 1

encapsulation dot1Q 1 native

ip add 10.1.1.1 255.255.255.0

exit

interface f0/0.2

description VLAN 2

encapsulation dot1Q 2

ip add 10.2.2.1 255.255.255.0

exit

interface f4/2

switchport trunk encapsulation dot1q

switchport mode trunk

end

4.2 SVIint vlan 10

4.2.1 优势

速度远远快于单臂路由

不必使用交换机与路由器相连的外部链路进行路由

链路不仅限一条

延迟很低

4.2.2 劣势:要使用三层交换机来执行vlan间路由

4.2.3 配置

interface vlan 10

ip address 10.1.1.1 255.255.255.0

no shutdown

ip routing

4.3 路由端口

4.3.1 同一台多层交换机上可以同时拥有SVI接口和路由端口

4.3.2 多层交换机可以使用硬件来转发二层或三层的流量

4.3.3 配置

interface f0/1

no switchport

ip address 10.1.1.1 255.255.255.0

5 4.PrivateVlan

5.1 解决问题

5.1.1 为每个客户都分配一个不同的vlan就需要在ISP的网络设备上使用大量的三层接口

5.1.2 当很多vlan互相通信时,生成树就会变得复杂

5.1.3 浪费地址空间

5.1.4 使用很多ACL确保安全性,增加管理复杂程度

5.2 端口类型

5.2.1 孤立端口:即使在同一Pvlan中,只能与杂合端口进行通信

5.2.2 杂合端口:可以与所有vlan中的端口通信,一般是路由器或服务器

5.2.3 团体端口:同一团体的端口之间可以通信,也可以与杂合端口通信,但与不同团体,孤立端口之间是隔离的

5.3 类型

5.3.1 pVLAN

5.3.2 辅助pVLAN

5.3.3 团体VLAN

5.3.4 孤立VLAN

5.4 基本配置

3PVLAN——用于高端会所、五星级酒企业高管、行政官员)(VTP模式为Transparent模式

3PVLAN配置

1. 设置主VLAN

SW1(config)# vlan 200

private-vlan primary

2. 设置二级子VLAN

SW1(config)# vlan 201

private-vlan isolated 设置为孤立VLAN

SW1(config)# vlan 202

private-vlan community 设置为团体VLAN

3. 将子VLAN划入主VLAN,建立一个联系或者关联

SW1(config)# vlan 200

private-vlan association 201-202

SW1(config)# vlan 200

private-vlan association add 203 加入一个子VLAN

private-vlan association remove 203 移除一个子VLAN

4. 将端口设定一个模式并划入相应的VLAN

int e0

switchport mode private-vlan host 设置端口的模式根据子VLAN的类型成为相应的端口

switchport private-vlan host-association200 201-----将端口划入VLAN200中的子VLAN201

show vlan private-vlan

int e0

switchport mode private-vlan promiscuous设置混杂端口

switchport private-vlan mapping 200201-202 设定混杂端口所能管理的子VLAN

switchport private-vlan mapping 200201-202 设定混杂端口所能管理的子VLAN

switchportprivate-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLAN

5.5 端口保护

5.5.1 某些低端交换机(2960)不支持PVlan

5.5.2 受保护端口不会向同一交换机的受保护端口发送数据包

6 5.EtherChannel

6.1 概述:将多条物理链路绑定为一条逻辑链路来解决链路拥挤问题(最多8条)

6.2 PAgPcisco私有)

6.2.1 30s发送一次

6.2.2 模式

auto:被动协商

desirable:主动协商

on:手工强制指定

non-silent

6.3 LACP

6.3.1 模式

passive:被动协商

active:主动协商

on:手工强制指定

6.3.2 系统优先级

6.3.3 端口优先级

6.3.4 管理密钥

6.4 配置

二层EtherChannelî

interfaceFastEthernet0/1

shutdown

Switchport

switchport trunkencapsulation dot1q

switchport modetrunk

switchportnonegotiate禁用DTP协商

Speed 1000

Duplex full

channel-group 1 modeon手动强制指定为EtherChannel

No shutdown

interfaceFastEthernet0/2

shutdown

Switchport

switchport trunkencapsulation dot1q

switchport modetrunk

switchportnonegotiate禁用DTP协商

Speed 1000

Duplex full

channel-group 1 modeon手动强制指定为EtherChannel

No shutdown

三层EtherChannel配置

interfaceFastEthernet0/1

shutdown

No Switchport

Speed 1000

Duplex full

channel-group 1modeon手动强制指定为EtherChannel

No shutdown

Interfaceport-channel 1

Ip address x.x.x.xy.y.y.y

interfaceFastEthernet0/2

shutdown

No Switchport

Speed 1000

Duplex full

channel-group 1mode on(手动强制指定为EtherChannel

No shutdown

Interfaceport-channel 1

Ip address x.x.x.xy.y.y.y

6.4.1 showinterface f0/1 etherchannel

6.4.2 showetherchannel 1 port-channel

6.4.3 showether-channel summary

6.5 负载均衡

6.5.1 port-channelload-balance

src-mac---MAC地址

dst-mac---目标MAC地址

src-dst-mac---源和目标MAC地址

src-ip---IP地址

dst-ip---目标IP地址

src-dst-ip---源和目标IP地址

src-port---源端口

dst-port---目标端口

src-dst-port---源和目标端口