陽(yáng)光雨露網(wǎng)絡(luò)基礎(chǔ)系列培訓(xùn)VlanTrunkandVTP等---劉立燦2010.5.27一、什么是vlan?Vlan=VirtualLocalAreaNetwork虛擬局域網(wǎng)VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。Vlan示意圖二、vlan有什么用？由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)。把一個(gè)LAN劃分成多個(gè)邏輯的LAN——VLAN，每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)。三、Vlan的優(yōu)點(diǎn)

1.廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。

2.安全：增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。

3.成本降低：成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。

4.性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。

5.提高IT員工效率：VLAN為網(wǎng)絡(luò)管理帶來(lái)了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。

6.簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理：VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過(guò)職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開(kāi)發(fā)平臺(tái)。此外，也很容易確定升級(jí)網(wǎng)絡(luò)服務(wù)的影響范圍。[2]

7.增加了網(wǎng)絡(luò)連接的靈活性。借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低。四、如何劃分Vlan?1、基于端口的VLAN劃分

這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。2、基于MAC地址的VLAN劃分

MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI），后6位為網(wǎng)卡標(biāo)識(shí)（NIC）。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。3、基于路由的VLAN劃分

路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。就目前來(lái)說(shuō)，對(duì)于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。VLAN的基本配置命令

1、創(chuàng)建vlan方法一

switch#vlandatabase

switch(vlan)#vlan10namemahaobin

switch(vlan)#exit

2、創(chuàng)建vlan方法二

switch(config)#vlan10

switch(config-vlan)#namemahaobin

3、刪除vlan方法一

switch(vlan)#novlan10

switch(vlan)#exit

4、刪除vlan方法二

switch(config)#novlan10

5、刪除vlan方法三

switch#deletevlan.datVLAN的基本配置命令

6、將端口加入到vlan中

switch(config-if)#switchportaccessvlan10

7、將一組連續(xù)的端口加入到vlan中

switch(config)#interfacerangef0/1–5

switch(config-if-range)#switchportaccessvlan10

8、將端口從vlan中刪除

switch(config-if)#noswitchportaccessvlan10

switch(config-if)#switchportaccessvlan1

switch(config-if-range)#noswitchportaccessvlan10

switch(config-if-range)#switchportaccessvlan1

9、查看所有vlan的摘要信息

switch#showvlanbrief

10、查看指定vlan的信息

switch#showvlanid10五、Vlan配置實(shí)驗(yàn)六、什么是Trunk?trunk英音：[tr??k]美音：[tr??k]，樹干、軀干在技術(shù)領(lǐng)域有三方面意思：1、在網(wǎng)絡(luò)的分層結(jié)構(gòu)和寬帶的合理分配方面，TRUNK被解釋為“端口匯聚”；2、在電信網(wǎng)絡(luò)的語(yǔ)音級(jí)的線路中，Trunk指“主干網(wǎng)絡(luò)、電話干線”；3、在最普遍的路由與交換領(lǐng)域，VLAN的端口聚合也有的叫TRUNK，不過(guò)大多數(shù)都叫TRUNKING。Trunk示意圖所謂的TRUNKING是用來(lái)在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊。其中交換機(jī)之間互聯(lián)用的端口就稱為TRUNK端口。Trunk的基本配置命令

11、指定端口成為trunk

switch(config-if)#switchportmodetrunk

12、Trunk的自動(dòng)協(xié)商

switch(config-if)#switchportmodedynamicdesirable

switch(config-if)#switchportmodedynamicauto注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk

13、查看端口狀態(tài)

switch#showinterfacef0/2switchport

14、在trunk上移出vlan

switch(config-if)#switchporttrunkallowedvlanremove20

15、在trunk上添加vlan

switch(config-if)#switchporttrunkallowedvlanadd20七、Trunk配置實(shí)驗(yàn)八、什么是VTP？VTP＝VLANTrunkingProtocol虛擬局域網(wǎng)干道協(xié)議它是思科私有協(xié)議。

VTP模式有3種服務(wù)器模式（Server）客戶機(jī)模式（Client）透明模式（Transparent）九、VTP三種模式簡(jiǎn)介服務(wù)器模式（Server）提供VTP消息：包括VLANID和名字信息學(xué)習(xí)相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息可以添加、刪除和更改VLANVLAN信息寫入NVRAM客戶機(jī)模式（Client）請(qǐng)求VTP消息學(xué)習(xí)相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息不可以添加、刪除和更改VLANVLAN信息不會(huì)寫入NVRAM

透明模式（Transparent）不提供VTP消息不學(xué)習(xí)VTP消息轉(zhuǎn)發(fā)VTP消息可以添加、刪除和更改VLAN，只在本地有效VLAN信息寫入NVRAM新交換機(jī)出廠時(shí)的默認(rèn)配置是預(yù)配置為VLAN1，VTP模式為服務(wù)器。VTP示意圖VTP配置實(shí)驗(yàn)十、Vlan間路由(Inter-VLANRouting)沒(méi)有路由的輔助VLAN1和VLAN200不能通信。為了路由在一個(gè)非