VLAN:virtual local area network,虛擬局域網
-背景
可以在2層網絡分割不同的廣播域,從而可以實現故障的隔離與快速定位;
-定義
一個VLAN就是一個網段,並且其中的成員主機可以位於不同的物理位置;
-管理
創建
sw(config)#vlan 10
刪除
修改
VLAN配置
1、創建VLAN
SW(config)# vlan 12
2、配置端口模式
SW(config)#interface fas0/1
SW(config)#switchport mode access
3、將端口放入VLAN
SW(config)#intertace fas0/1
SW(config)#switchport access vlan 12
4、驗證與測試
SW# show vlan brief
PC:
ping 192.168.12.X
注意:
有了VLAN概念以後,必須得對交換機的工作原理進行修正。在成表和查表的過程
中,得考慮到VLAN概念。
Trunk:
interface fas0/24
switchport mode trunk
show interface trunk
Trunk鏈路:
同一個鏈路上,可以同時傳輸多個VLAN的數據;
默認情況下,是允許所有VLAN數據通過的。
每個VLAN的數據,都是通過vlan的標籤進行區分;
(Access模式的鏈路上的數據,是沒有標籤的)
-配置:
interface fas0/24
switchport mode trunk
-驗證:
show interface trunk
ISL(inter switch link) 思科專用封裝vlan協議
Trunk鏈路上的流量安全控制:
SW(config)#interface fas0/24
SW(config)#switchport trunk allowed vlan ?
word //表示該鏈路上僅僅允許的VLAN。此時的word表示的是vlan號;
add //表示將後面跟的vlan號添加到現有的trunk允許的vlan列表中。
all //這是默認動作,即trunk鏈路上允許所有的vlan通過;
excapt//表示該鏈路允許該參數後面的vlan以外的其他所有vlan;
none //表示該鏈路不允許任何vlan通過;
remove//表示將該參數後面的vlan,在現有的vlan列表中移除。
Vlans allowed on trunk
1-1005//理論上該trunk鏈路所允許的vlan;
Vlans allowed and active in management domain
1,12,34,100,200//當前網絡中真正存在,並且允許的VLAN
Vlans in spanning tree forwarding state and not pruned
//當前鏈路上真正可以通信的VLAN;
encapsulation,即trunk的封裝協議。
-ISL
Inter switch link,交換機之間的鏈路
思科私有協議,
會對原有數據增加30個字節;26個字節的ISLtoubu+4字節的ISL尾部
-802.1Q
也稱之爲dot1q
共有標準
僅對原有數據增加4個字節,其中表示vlan號的僅僅爲12bit。
所以,vlan號的範圍是:0-4096個;
Nativevlan,即本地vlan 或者 本徵vlan
-本地vlan,是一種特殊的vlan
#平時的vlan,的數據,經過trunk的時候,需要打標籤;
但是,native vlan 的數據,經過trunk,不需要打標籤。
#trunk鏈路下,native vlan 是1;
-更改Trunk鏈路上的native vlan;
interfacefas0/24
switchport Trunk native vlan{xx}注意:
必須要保證整個網絡中的所有的交換機上的vlan數據庫,是完全一致的 。
Trunk配置模式:
1、靜態配置
switchport mode trunk
2、自動配置
兩邊的鏈路,通過發送DTP報文,進行trunk鏈路的協商;
DTP-dynamic trunk protocol,動態幹道協議;
默認情況下,端口上的DTP功能是默認開啓的;
interface fas0/24
switchport mode dynamic
nigotiate協商
auto:表示自動,只能被動的接受請求;
desirable:表示動態期望,可以主動的發送請求
即:
動態形成trunk鏈路時,只要雙方不都是auto,就可以成功形成Trunk鏈路。驗證命令:
show interface 0/12 switchport
//查看一個端口詳細的2層交換配置信息;
一個交換機端口的最終工作模式,就只有兩種:
1、access 一個vlan信息通過
2、trunk 同時多個vlan信息通過
爲了安全方面的考慮,我們一般會將非dynamic模式的端口或者平時不用
的端口和trunk端口,都關閉DTP功能
interface fas0/4
switchport nonegotiate //關閉該端口的DTP功能;
-驗證
show interface fas0/4 switchport===========================================================================
VLAN的刪除
刪除一個VLAN
1、移除端口
interface fas0/1
no switchport access vlan 100
2、刪除VLAN
sw(config)#no vlan 100
刪除所有VLAN
1、移除端口
2、刪除VLAN
#一個一個刪除
#刪除VLAN數據庫文件
sw# dir //列出當前設備的存儲路徑和文件
sw# delete vlan.dat //刪除vlan數據庫文件
文件類型
IOS-flash
running-config ---RAM
startup-config ---NVRAM
vlan.dat ---flash
注意:
平時在將一個交換機設備回覆出廠化配置/初始化配置時,
要將“startup-config”和“vlan.dat”同時刪除掉;
刪除啓動配置文件-
sw# erase startup-config
erase nvram
delete nvram:startup-config==================================================================
VLAN數據庫保持一致:
1、手動配置
2、自動配置
-VTP(virtual trunk protocol)
在相同域的,不同交換機之間,自動的同步VLAN信息;
-交換機角色
VTP Server-服務器模式;
1、交換機默認的VTP模式;
2、該模式下可以對VLAN進行所有的操作;
3、該模式的交換機會將自己本身的VLAN的所
有信息,通過VTP報文,沿着trunk鏈路傳輸出去;
VTP Client-客戶端模式;
1、該模式下交換機不能進行任何的VLAN操作;
2、只能接受服務器端發送過來的VLAN信息,
以及傳輸給後面的其他客戶端模式的交換機;
VTP Transparent-透明模式;
1、與服務器模式的交換機功能相同,
但是,不會講自己本身的VLAN信息的變化
傳遞給其他的交換機;
2、在收到其他交換機發送過來的VTP報文時,
會將這些報文完整的透傳給後面的設備。
注意:
以上所有操作成功的前提是:
所有的設備,必須位於同一個VTP域;
默認情況下,VTP域名爲null,即空。沒有域名。
在沒有域名的情況,及時VTP server也不會向外
傳輸任何信息。
並且交換機之間的trunk鏈路必須是完好的。
VTP server上,VLAN信息每變化一次,VTP的配
置版本號,都會增加1;
VTP配置版本號越高,表示VLAN信息越新。交換
機會優先使用最新的VLAN信息。
將VTP模式配置爲“透明模式”或者更改VTP域名都
會導致VTP配置版本號迅速“歸零”。
VTP是思科獨有的
配置命令:
vtp domain(name)
vtp mode server/client/transparent
vtp password
驗證命令:
show vtp status:查看VTP相關信息,比如模式和配置版本號、域名;
gvrp配置思路
首先,將交換機所連的端口配置爲trunk,並允許所有vlan通過;
--port link type trunk
--port trunk allow-pass vlan all
在交換機全局模式下開啓gvrp功能:
--gvrp
在每個端口都開啓gvrp功能;
--gvrp-----注:只能先在全局模式下開啓gvrp功能後才能在端口
上開啓此功能
另:通過gvrp學習到的vlan不能直接使用,如若使用只能夠手動添加