交換機VLAN技術及配置本節主要內容使用VLAN的原因及VLAN的概念

在交換機上劃分VLAN和相互通信原理交換機VLAN的劃分方法配置管理靜態VLANVLAN的產生原因－廣播風暴廣播

廣播域通過路由器將網絡分段廣播域廣播域廣播通過VLAN劃分廣播域廣播Port1:VLAN-1Port2:VLAN-2VLAN的概念VLAN（VirtualLocalAreaNetwork）就是虛擬局域網的意思。交換機上提供了VLAN的廣播分類方法。在交換機上，一個VLAN被定義成一個廣播域，處于同一個VLAN的站點之間可以接受彼此的廣播消息。但是廣播消息會被不屬于同一VLAN的端口或設備過濾掉。

交換機上劃分VLAN隔離廣播風暴A在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。使用VLAN的目的VLAN的優點：

相對與傳統的LAN技術，VLAN具有如下優勢：隔離廣播域，抑制廣播風暴。限制廣播包，提高帶寬的利用率：提高網絡的整體安全性方便網絡的管理VLAN標準IEEE802.1Q是新的虛擬局域網標準，符合IEEE802.1Q標準的以太網交換機可支持虛擬局域網技術。目的MAC地址6Bytes源MAC地址6Bytes類型2Bytes數據部分46-1500BytesCRC目的MAC地址6Bytes源MAC地址6BytesTag4Bytes類型2Bytes數據部分46-1500BytesCRC協議標識符TPID2BytesPriority(報文優先級)3bitsCFI(規范格式指示符)1bitVLANID12bits2Bytes的標記控制信息(TCI)在交換機上配置VLAN時，需要考慮以下三項配置：端口類型：標志端口所連接的設備是否支持帶有802.1QTagheader的幀。端口的默認VLAN。當交換機不能從一個幀的tagheader中識別該幀屬于哪一個VLAN時，就指定其屬于接收端口的默認VLAN(VLAN1)VLAN廣播域，所有屬于同一個VLAN的端口屬于同一個廣播域，從而確定了該VLAN的幀的轉發范圍。VLAN的實現方式VLAN的實現方式有兩種：靜態VLAN動態VLAN靜態VLAN

靜態VLAN又被稱為基于端口的VLAN（PortBasedVLAN）。就是明確指定各端口屬于哪個VLAN的設定方法。優點：實現容易而且比較安全。缺點：如果某個用戶離開了原來的交換機端口，到了一個新的交換機的某個端口，則必須重新定義。基于端口的VLAN分類基于端口的VLAN有兩類，分別是PortVLAN和TagVLAN。PortVLAN：這種劃分模式將VLAN限制在一臺交換機上。TagVLAN：允許跨越多個交換機的多個不同端口劃分VLAN，這種跨交換機的基于端口的VLAN，稱為TagVLAN。動態VLAN

動態VLAN則是根據每個端口所連的計算機，隨時改變端口所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分為三類：基于MAC地址的VLAN（MACBasedVLAN）基于子網(IP)的VLAN(SubnetBasedVLAN）基于用戶的VLAN（UserBasedVLAN）基于MAC地址的動態VLAN基于MAC地址的VLAN，在設定時必須調查所連接的所有計算機的MAC地址并加以記錄。而且如果計算機交換了網卡，還是需要更改設定。基于子網的動態VLAN基于子網的VLAN，則是通過所連計算機的IP地址，來決定端口所屬VLAN的。即使計算機因為交換了網卡只要它的IP地址不變，就仍可以加入原先設定的VLAN。基于用戶的VLAN基于用戶的VLAN，則是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機操作系統登錄的用戶。基于端口VLAN的配置-

PortVLANPortVLAN配置PortVLAN配置是一種基于交換機端口VLAN，而且是在同一臺交換機內進行劃分的VLAN。PortVLAN的特征一個端口只屬于一個VLANPortVLAN設置在交換機連接主機的端口PortVLAN的模式為Access模式。PortVLAN配置過程

基本步驟創建VLAN為各VLAN組命名設置將要添加到PortVLAN中的端口的工作模式。把交換機的相應端口劃分到相應的VLAN中。配置過程：Switch(config)#vlan<2-2094>//創建一個VLANSwitch(config-vlan)#name

test//命名為“test”Switch(config)#interface

fastethernet0/1Switch(config-if)#switchportmode

accessSwitch(config-if)#switchportaccess

vlan2上機練習PortVLAN配置將兩臺PC連到沒有劃分VLAN的交換機的相應端口上，并確保兩臺PC互相ping是可以連通的。創建VLAN2和VLAN3，分別命名為test2和test3.驗證測試showvlan.設置連接到PC機的交換機端口模式，并分配到指定的VLAN中。驗證測試showvlan.測試兩臺計算機互相ping，是否能連通。上周作業交換機的組成部分有哪些？交換機的配置管理方式有幾種？交換機的操作模式有幾種？寫出配置交換機名和IP地址的基本步驟寫出配置遠程登錄密碼和特權密碼的基本步驟基于端口VLAN的配置-TagVLANTagVLAN介紹

TagVLAN又稱為跨交換機VLAN。不同的交換機的端口屬于同一VLAN，滿足IEEE802.1Q協議標準，而且是基于交換機端口的劃分方法。劃分方法滿足條件交換機和交換機相連的端口必須實現多個VLAN信息的傳輸。實現同一VLAN跨越不同的交換機。TagVLAN實現的技術原理鏈路類型一臺交換機上可以存在多個VLAN,并且這些VLAN可以跨越交換機來實現，因此交換機之間的鏈路必須傳輸來自不同VLAN的數據流。交換機是如何區分不同VLAN的數據幀呢？利用干道鏈路。接入鏈路干道鏈路干道鏈路VLAN20接入鏈路幀幀VLAN20接入鏈路VLAN20接入鏈路幀干道鏈路VID幀VID幀匯聚鏈接（TrunkLink）匯聚鏈接（TrunkLink）指的是能夠轉發多個不同VLAN的通信的端口。匯聚鏈路上流通的數據幀，都被附加了用于識別分屬于哪個VLAN的特殊信息。IEEE802.1Q與ISL在交換機的匯聚鏈接上，可以通過對數據幀附加VLAN信息，構建跨越多臺交換機的VLAN。附加VLAN信息的方法，最具有代表性的有:IEEE802.1QISLIEEE802.1QIEEE802.1Q所附加的VLAN識別信息，位于數據幀中“發送源MAC地址”與“類別域（TypeField）”之間。具體內容為2字節的TPID和2字節的TCI（標記控制信息），共計4字節。ISL（InnerSwitchLink）ISL，是Cisco產品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協議。使用ISL后，每個數據幀頭部都會被附加26字節的“ISL包頭（ISLHeader）”，并且在幀尾帶上通過對包括ISL包頭在內的整個數據幀進行計算后得到的4字節CRC值。換而言之，就是總共增加了30字節的信息。ISL有如用ISL包頭和新CRC將原數據幀整個包裹起來，因此也被稱為“封裝型VLAN（EncapsulatedVLAN）”。TagVLAN配置過程TagVLAN的特征將交換機之間的級聯端口設置為Trunk模式Trunk口屬于所有的VLAN，可以傳輸所有VLAN信息。TagVLAN配置步驟Switch(config)#interface

fastethernet0/24進入級聯端口Switch(config-if)#switchportmodetrunk將級聯端口設置為trunk注意：兩個交換機的級聯端口都要設置成trunk模式。Switch#show

vlan

顯示全部的vlanSwitch#show

vlanid顯示單獨的vlanSwitch#writememory將vlan信息保存到flash中。上機練習TagVLAN配置在交換機上創建兩個vlan，分別為vlan10和vlan20，將5端口劃分到VLAN10中，10端口劃分到vlan20中，把端口0/24作為級聯端口，并將該端口設置為trunk。顯示vlan配置信息。定義trunk口的許可vlan列表Trunk口默認狀況下可以傳輸本交換機支持的所有的vlan的流量，但也可以通過設置trunk口的許可vlan列表來限制某些vlan的流量不能通過這個trunk口。Trunk口的許可vlan列表的配置。Switch(config)#interface

interfaceIDSwitch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowed{all\[add\remove\execpt]}vlan-list例如把vlan2從trunk端口f0/20移出Switch(config)#interface