Chapter3 VLANs
通过创建VLAN,你可以在交换机中指定针对不同子网的交换机端口来创造较小的广播域。在本章中,你将学习以下内容:
l 什么是VLAN
l 怎样在CLI和IOS的交换机上设置VLAN
l VLAN trunk和VTP设置
Trunk允许你在一条链路上传递多条VLAN
VTP在交换机间发送VLAN设置信息
l 帧标记(frame tagging)和识别方法
识别机制既封装帧又在帧中插入一个新字段在穿越交换互联结构中来标志自己
使用VLAN的意义:
VLAN可以在第二层隔离广播域。可以使用路由器、第三层交换机和RSM使不同的VLAN相互通讯。第二层网络是扁平网络。因为只有一个广播域,所以叫扁平网络。在扁平网络里,唯一的安全策略是密码。所有的用户可以看到所有的机器。作为一个管理者,你必须确保网络正确分段,保证问题不在一个段上扩散到其他部分。最有效的办法就是路由和交换。
传统的网络-将物理上的LAN连到路由器上
附加在一个特定物理网络上的每个节点都必须和网络号匹配,才能够在互联网络中通讯。
看一下交换机是如何把物理边界移去的.
交换机定义了网络VLAN和VLAN端口分配。
定义VLAN边界:
当构建交换块时,有两种定义VLAN边界的方法。
l 端-端VLAN
端-端VLAN从一端到另一端扩展交换机结构,端-端的交换机理解所有设置的VLAN。端-端的VLAN设置成允许基于功能、工程、部门等成员。端-端VLAN最大的优点是不管用户的物理位置,允许把用户放在VLAN里。当用户移动时,管理员把他们新的端口定义为已存在的VLAN成员。遵循80/20法则。80%流量在本地VLAN,20%流量扩展到VLAN外。
l 本地VLAN
按物理位置,而不是像端-端的VLAN按基于功能、工程、部门等定义。本地VLAN在集中主机块的企业运用。体现20/80法则。要运用第三层设备。
VLAN成员
当VLAN创建后,需要指定交换机端口。有两种VLAN端口设置方法,静态VLAN和动态VLAN。静态VLAN初期工作较少,但管理员维护较困难。动态VLAN初期工作更多,但容易维护。
l 静态VLAN
指定交换机端口给VLAN。这是创建VLAN的典型方式。可以使用网管软件设置端口但不强制。
l 动态VLAN
如果管理员在设置前做一些准备工作,在数据库中指定所有设备的硬件地址,网络中的主机可以动态的分配VLAN。使用智能管理软件,你可以设置基于MAC地址,协议,甚至应用程序的动态VLAN。如果一个节点被附加在一个没有指定的交换机端口上,VLAN的管理数据库能查找硬件地址,把交换机端口指派和设置到正确的VLAN上。
设置静态VLAN
l 5000系列
设置VLAN
Todd5000> (enable) set vlan 2 name Sales
为每个VLAN指定端口
Todd5000> (enable) set vlan 2 2/1-2
VLAN如果没有映射到端口就没有被使用。
l 1900系列
1900EN(config)#vlan 2 name sales
可以使用show VLAN 查看VLAN信息。使用vlan-membership将每个端口设置到VLAN里。在1900系列里,只能一个端口一个端口的设置。
1900EN#config t
Enter configuration commands, one per line. End with CNTL/Z
1900EN(config)#int e0/2
1900EN(config-if)#vlan-membership ?
dynamic Set VLAN membership type as dynamic
static Set VLAN membership type as static
1900EN(config-if)#vlan-membership static ?
<1-1005> ISL VLAN index
1900EN(config-if)#vlan-membership static 2
1900EN(config-if)#int e0/4
1900EN(config-if)#vlan-membership static 3
1900EN(config-if)#int e0/5
1900EN(config-if)#vlan-membership static 4
1900EN(config-if)#exit
1900EN(config)#exit
标志VLAN
VLAN可以扩展到多个连接的交换机,CISCO称为交换机结构。交换机利用帧标记,将帧发送到合适的端口。在交换环境中有两种不同的连接。
l 访问链路
连接一条VLAN。任何连接在访问链路上的设备不知道其他VLAN成员。交换机在发送数据到一个访问链路设备前,从帧中移去任何VLAN信息。访问链路设备不能够和他们VLAN之外的设备通讯,除非使用路由器。
l 中继链路
中继可以携带多条VLAN。中继链路被用来连接交换机到交换机、到路由器甚至主机。为了识别帧属于哪个VLAN,CISCO支持两种不同的识别技术,ISL和802.1q。中继链路仍有一条本地VLAN,在中继链路坏了后使用。
帧标记
帧标记给在中继链路上传输的每个帧分配一个用户定义的唯一ID,这个ID可能是VLAN号或颜色。当中继链路上的每台交换机都受到帧时,就检查他的帧标示号,决定这个帧属于哪个VLAN。如果帧必须被发送到另外的中继链路,VLAN标识仍保留在帧头。如果被发送到一条访问链路,交换机在帧发送到设备之前将VLAN标识删除。
VLAN识别方法
多种中继方法:
l ISL
被用来在交换机端口,路由器接口和服务器网卡用来中继服务器。如果你想创建多个VLAN不想破坏80/20法则
