一、VLAN

1、VLAN是英文Virturl Local Area Network的缩写,即虚拟局域网。 2、VLAN作用是隔离广播域 3、VLAN可以根据网络用户的位置、作用、部门或者网络用户所使用的应用程序和协议来进行分组 4、在网络设计中,一个二层VLAN严格对应一个三层的IP网络或IP子网。 5、思科交换机上一共共有5个系统保留VLAN:1,1002-1005。

二、TRUNK

1、主要配置在交换机与交换机级联的链路上,用于传输多个VLAN 2、一条trunk链路默认传输所有VLAN流量 3、实现多个交换机之间,相同VLAN的透明通信 4、Trunk不能实现不同VLAN之间的通信,不同VLAN之间的通信需要三层设备。

三、交换机端口工作模式和VLAN成员模式

3.1 交换机端口工作模式

1、Access模式:通常用于连接主机终端,access端口只能属于一个VLAN 2、Trunk模式:通常用于交换机互连,trunk端口自动属于所有VLAN,默认传输所有VLAN的流量

3.2 VLAN成员模式

1、静态vlan:基于交换机端口的VLAN,是最通用的VLAN成员模式 2、动态vlan:基于MAC地址的VLAN 3、语音vlan:思科私有技术,同一个交换机端口,可以属于两个VLAN,一个是数据VLAN,另外一个是是语音VLAN,交换机能够区分同一个端口上的数据流量和语音流量,能够为语音流量进行优先的服务质量。

四、IEEE802.1Q帧

802.1Q标准主要用来解决如何将大型网络划分为多个小网络,如此广播和组播流量就不会占据更多带宽的问题。 1、Dot1q帧所携带的VLAN标记是2个字节(16bit) 2、前3个bit,叫做优先级(priority),标准号为802.1p,用于实现以太网的服务质量。 3、第4个bit,是保留用于扩展的。 4、最后12个bit,用来表示vlan号,思科交换机vlan0和vlan4095保留给系统使用,一共能支持4094个用户自定义的VLAN。

五、本征VLAN和Trunk

1、在IEEE802.1Q TRUNK端口上,有一个特殊VLAN,叫做本征VLAN,默认是VLAN1,也可以人工修改为其他VLAN。 2、在Trunk端口上,对本征vlan的流量是没有任何VLAN标记的,直接传输原始的以太帧。 3、在Trunk端口上,其他所有的VLAN流量,都会打上dot1q的vlan标记,进行传输。 4、所有交换机的Trunk端口上,本征vlan必须相同,否则,会产生环路 5、出于安全,建议在所有交换机上将本征VLAN修改为一个其他的VLAN号,并且不要使用本征vlan. 6、所有交换机的本征VLAN默认是透明连通的,流量是没有任何标记的。

六、管理vlan

1、管理vlan是专门支持交换机远程管理的虚拟接口 2、管理vlan配置IP地址和默认网关后,就可以支持远程访问和管理了 3、默认的管理vlan是VLAN1

七、思科VLAN配置管理协议——VTP

VTP协议(vlan trunk protocol)是思科交换机私有的技术工作在二层。主要功能是在多台交换机之间自动同步VLAN号的配置信息,简化VLAN的配置操作。

7.1 VTP简介

1、VTP是思科交换机内置的一种系统管理协议,需要人工规划和配置 2、通过启用VTP协议,可以在多台交换机之间实现VLAN号的自动同步,能够简化大型局域网的VLAN配置管理。 3、交换机之间必须配置Trunk,才能支持VTP协议的工作 4、思科交换机的VLAN配置和Startup config是分别独立保存的,清空思科交换机配置需要两个独立的操作:

Switch#delete vlan.dat

Switch#erase startup-config

7.2 VTP基本规划——VTP Domain(VTP域)

1、可以将多台交换机规划、配置为一个VTP的运行域(domain) 2、每个交换机必须人工配置VTP域名,相同的域名表示运行在同一个VTP域内 3、交换机之间必须配置为Trunk 4、只有在同一个VTP域的交换机才能同步VLAN号的配置

7.3 VTP工作模式

根据VLAN管理的需要,可以人工设置每一台交换机的VTP工作模式,一共有3种模式:服务器、客户端、透明。具备不同的VLAN管理权限和同步行为。

1、服务器 (1)具备建立、修改、删除VLAN的权限 (2)周期性发送VLAN配置信息 (3)与服务器、客户端的VLAN配置进行同步 2、客户端 (1)不具备建立、修改、删除VLAN的权限 (2)只能学习和转发来自服务器的VLAN配置 (3)与服务器、客户端的VLAN配置进行同步 3、透明 (1)具备本地的建立、修改、删除VLAN的权限 (2)转发来自服务器的VLAN配置信息 (3)不会学习服务器的VLAN配置信息 (4)自己管理自己的VLAN配置,没有任何同步功能

7.4 VTP如何同步

1、同一个VTP域的服务器和服务器、服务器和客户端、客户端和客户端之间,可以相互同步VLAN配置信息。 2、每一台交换机都有一个独立的VLAN配置数据库,每个数据库都有一个"配置修订号"参数 3、配置修订号是根据交换机的VLAN配置,自动更新的,数值越高,表明VLAN配置数据库的状态越新 4、如果一台交换机接收到来自其他交换机的VLAN配置消息,就对比本机的修订号和其他交换机的修订号,自动与修订号更高的VLAN配置消息,进行同步。最简单的情况就是客户端会学习服务器的所有VLAN配置信息,客户端不用建立任何VLAN,就可以使用这些VLAN。 5、VTP通告消息(即VLAN配置消息)是由服务器产生的,默认每5分钟发送一次;如果服务器上有VLAN配置的变化,配置修订号自动加1,立刻发送新的VTP通告消息,进行整个域的VLAN配置的再次同步。 6、如果服务器建立、修改、删除VLAN,客户端将会自动与服务器的VLAN配置同步,客户端也会进行与服务器相同的建立、修改、删除VLAN,最终的结果就是整个域的服务器和客户端,VLAN的配置是完全相同的。

7.5 VTP修剪

VTP修剪只能工作在client-server模式,透明模式必须关闭VTP修剪。目的是减少广播流量。

八、配置VLAN和TRUNK

8.1 配置步骤

1、配置和检验VTP 2、配置和检验802.1Q中继 3、在VTP服务器交换机上创建或修改VLAN 4、将交换机端口分配到VLAN并进行检验 5、执行添加、移动和更改 6、保存VLAN配置

8.2 VTP默认参数

1、Cisco Catalyst交换机的默认VTP配置如下: (1)VTP域名:无 (2)VTP模式:服务器模式 (3)VTP修剪:启用或禁用(特定于型号) (4)VTP口令:空 (5)VTP版本:第1版 2、新交换机收到来自服务器的通告之后,可自动成为域的一部分。 3、如果客户端具有更高的修订版号,VTP客户端将覆盖VTP服务器数据库。 4、域名分配了之后无法删除,只能再重新分配。

8.3 配置VTP

1、模式及域名配置 (1)Server模式配置(默认就是Server,不用配)

Switch(config)#vtp domain name xxx

(2)Client模式配置

Switch(config)#vtp domain name xxx
Switch(config)#vtp mode client

(3)Transparent模式配置

Switch(config)#vtp domain name xxx
Switch(config)#vtp mode transparent

2、使用show vtp status查看VTP状态

Switch#show vtp status

8.4 配置TRUNK

1、交换机和交换机之间接口配置中继特征

Switch(config-if)#switchport mode access | dynamic {auto  |  desirable} |  trunk

2、将端口配置为VLAN中继

Switch(config-if)#switchport mode trunk

3、查看端口详细信息

Switch#show interfaces fa0/1 {switchport |  trunk}

4、拓展——设备两端中继特征协商结果对应表

本端设备 对端设备 协商结果
Auto Auto Access
Auto desirable trunk
Auto trunk trunk
desirable desirable trunk
Access Access Access
trunk trunk trunk

8.5 配置VLAN

1、配置VLAN相关说明 (1)VLAN的最大数目取决于交换机 (2)大部分Cisco Catalyst桌面交换机都支持128个单独的生成树实例,每个VLAN一个生成树实例。 (3)VLAN1是出厂默认的以太网VLAN (4)Cisco发现协议和VTP通告将在VLAN1上发送 (5)Cisco Catalyst交换机的IP地址位于管理VLAN中(默认为VLAN1) (6)如果使用VTP,交换机必须处于VTP服务器模式或透明模式才能添加或删除VLAN。 2、配置VLAN相关命令 (1)创建VLAN并添加相关描述

Switch(config)#vlan 10 
Switch(config-vlan)#name CeShi

(2)分配交换机端口到VLAN

Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

(3)使用show vlan命令查看VLAN归属情况

Switch#show vlan 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                                Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24, Gig0/1
                                                Gig0/2
10   CeShi                            active    Fa0/1
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
10   enet  100010     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

Remote SPAN VLANs
------------------------------------------------------------------------------

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

3、添加、移动、删除VLAN的注意事项 (1)如果使用VTP,交换机必须处于VTP服务器模式或透明模式才能添加或删除VLAN。 (2)当你通过处于VTP服务器模式的交换机来更改VLAN时,所做更改会传播至VTP域中的其他交换机。 (3)更改VLAN通常意味着更改了IP网络。 (4)将端口重新分配给新的VLAN之后,该端口将自动从先前的VLAN中删除。 (5)删除VLAN之后,该VLAN中所有未移动到活动VLAN的端口都将无法与其他工作站通信。 (6)如果交换机之间是Trunk互连,在所有的交换机上,需要建立全网所有的VLAN。假定有交换机缺失一个VLAN100,那么这台交换机的Trunk端口就不会发送VLAN100的流量。

8.6 VLAN间路由

1、二层交换机只能隔离广播域(VLAN),不能实现VLAN之间的通信。 2、VLAN之间的通信需要使用IP路由IP路由功能才能实现,简称VLAN间路由。 3、只能使用3层设备(路由器或者交换机),才能实现VLAN之间的通信。 4、使用路由器实现VLAN间路由的技术简称"单臂路由"

8.6.1 单臂路由

1、单臂路由原理 (1)使用路由器为交换机的VLAN实现VLAN间路由 (2)只需要使用一个路由器接口,就可以实现多个VLAN之间的路由 (3)在交换机端端口,配置Trunk (4)将一个路由器接口,人工定义为多个子接口,每个子接口对应一个VLAN (5)在每一个子接口,配置Trunk、VLAN号和IP地址 (6)在每一个VLAN内部的主机,将路由器子接口的IP地址配置为网关 2、配置单臂路由 (1)在路由器物理接口上创建子接口,并设置封装协议为dot1q。这里需要注意只有VLAN1才需要在其后面加active

Router(config)#int g0/0/1.1
Router(config-subif)#encapsulation dot1Q 10(VLAN号)

Router(config)#int g0/0/1.2
Router(config-subif)#encapsulation dot1Q 20(VLAN号)

(2)在路由器设置子接口IP地址

Router(config)#int g0/0/1.1
Router(config-subif)#ip address 1.1.1.254 255.255.255.0

Router(config)#int g0/0/1.2
Router(config-subif)#ip address 2.2.2.254 255.255.255.0

(3)在交换机上将连接路由器的接口设置为Trunk类型。

Switch(config-if)#int g0/1
Switch(config-if)#switchport mode trunk

(4)在交换机上创建VLAN,并设置三层接口IP

Switch(config)#vlan 10 
Switch(config-vlan)#vlan 20 
Switch(config-vlan)#exit
Switch(config)#int vlan 10
Switch(config-if)#ip add 1.1.1.1 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 2.2.2.2 255.255.255.0

九、交换机避免环路的技术——生成树协议

生成树协议(STP:Spanning Tree Protocol -IEEE 802.1D)是一种链路管理协议,它为网络提供路径冗余同时防止产生环路。

9.1 二层环路

1、交换机之间的环路,主观上来自链路冗余设计 2、客观上,在大型局域网,由于拓扑复杂,也可能产生管理员不知道的环路。

9.2 广播风暴

如果出现二层环路,将导致交换机的通信发生崩溃,主要现象如下: 1、广播风暴:在环路上无穷循环的流量转发,迅速耗尽网络带宽 2、导致交换机收到同一个帧的多个副本 3、导致交换机的MAC地址表错误

9.3 生成树协议——检测和阻断二层环路

1、生成树协议是交换机必备的系统管理协议 2、能够自动检测和阻断二层环路 3、保证交换机在二层环路的环境正常工作

十、生成树协议算法

10.1 生成树基本算法

1、每个广播域选举一个唯一的根桥(ROOT BRIDGE) 2、根桥的所有端口都是指定端口(DP) 3、每个非根桥都选举一个唯一的根端口(RP) 4、每个物理网段都选举一个唯一的指定端口(DP) 5、其他端口都是冗余端口,被设置为阻断状态(BLOCKING) 6、补充说明: (1)同一个广播域内的所有交换机,周期性的交换BPDU消息,默认每2秒一次。 (2)通过交换BPDU消息,所有交换机能够实时监测网络拓扑的变化。 (3)RP是转发端口,是非根网桥去往根桥的最短路径 (4)DP是转发端口,是该物理网段去往根桥的最短路径 (5)其他的端口称为NDP,NDP端口是阻断端口

10.2 STP根桥选择

1、选择网桥ID(网桥优先级+MAC地址)中最小的交换机作为根桥

10.3 RP/DP选举原则

1、优选具有最短的到根桥的路径(Cost) 2、优选具有最低的发送者网桥ID值 3、优选具有最低的发送者端口ID值(端口优先级+端口索引)的端口

10.4 生成树路径开销

链路速度 开销(修订的IEEE规范)
10Gb/s 2
1Gb/s 4
100Mb/s 19
10Mb/s 100

10.5 生成树端口状态

生成树计算时间为50s.

1、阻塞:检测到BPDU丢失,最大老化时间为20s 2、侦听(临时状态):转发延迟为15s 3、学习(临时状态):转发延迟为15s 4、转发

十一、思科交换机的生成树技术(PVST+),CST(所有VLAN共用一棵树,没有负载分担)

11.1 PVST+扩展网桥ID

1、不带扩展系统ID的网桥ID 2、带系统ID的扩展网桥ID 3、系统ID=VLAN

11.2 默认生成树配置

1、Cisco Catalyst交换机支持三种类型的STP (1)PVST+ (2)PVRST+ (3)MSTP 2、Cisco Catalyst交换机的默认STP是PVST+ (1)每个VLAN都有单独的STP实例 (2)所有VLAN都有单独的STP实例 (3)无负载共享

11.3 生成树协议标准

协议 标准 所需资源 收敛速度 生成树数量
STP 802.1D 一棵树
PVST+ Cisco 一个VLAN一棵树
RSTP 802.1w 一棵树
Rapid PVST+ cisco 非常高 一个VLAN一棵树
MSTP 802.1s/cisco 一棵树用于多个 vlan

十二、CST与PVST+

种类 优点 缺点
CST公共树 理解简单、占用系统资源少 每一个VLAN不是最佳路径;不能负载均衡
PVST+(每个VLAN独立计算一颗树) 可以确保每一个VLAN都是最佳路径;可以实现负载均衡 理解复杂;占用资源多