|
VLAN 設置實例全程解讀 什么是三層交換和VLAN? 要回答這個問題我們還是先看看以太網的工作原理。以太網的工作原理是利用二進制位形成的一個個字節組合成一幀幀的數據(其實是一些電脈沖)在導線中進行傳播。首先,以太網網段上需要進行數據傳送的節點對導線進行監聽,這個過程稱為CSMA/CD(Carrier Sense Multiple Access with Collision Detection帶有沖突監測的載波偵聽多址訪問)的載波偵聽。 如果,這時有另外的節點正在傳送數據,監聽節點將不得不等待,直到傳送節點的傳送任務結束。如果某時恰好有兩個工作站同時準備傳送數據,以太網網段將發出“沖突”信號。這時,節點上所有的工作站都將檢測到沖突信號,因為這時導線上的電壓超出了標準電壓。 這時以太網網段上的任何節點都要等沖突結束后才能夠傳送數據。也就是說在CSMA/CD方式下,在一個時間段,只有一個節點能夠在導線上傳送數據。而轉發以太網數據幀的聯網設備是集線器,它是一層設備,傳輸效率比較低。 沖突的產生降低了以太網的帶寬,而且這種情況又是不可避免的。所以,當導線上的節點越來越多后,沖突的數量將會增加。顯而易見的解決方法是限制以太網導線上的節點,需要對網絡進行物理分段。將網絡進行物理分段的網絡設備用到了網橋與交換機。 網橋和交換機的基本作用是只發送去往其他物理網段的信息。所以,如果所有的信息都只發往本地的物理網段,那么網橋和交換機上就沒有信息通過。這樣可以有效減少網絡系某逋弧M藕徒換換腔諛勘闙AC(介質訪問控制)地址做出轉發決定的,它們是二層設備。 我們已經知道了以太網的缺點及物理網段中沖突的影響,現在,我們來看看另外一種導致網絡降低運行速度的原因:廣播。廣播存在于所有的網絡上,如果不對它們進行適當的控制,它們便會充斥于整個網絡,產生大量的網絡通信。廣播不僅消耗了帶寬,而且也降低了用戶工作站的處理效率。 由于各種各樣的原因,網絡操作系統(NOS)使用了廣播,TCP/IP使用廣播從IP地址中解析MAC地址,還使用廣播通過RIP和IGRP協議進行宣告,所以,廣播也是不可避免的。網橋和交換機將對所有的廣播信息進行轉發,而路由器不會。所以,為了對廣播進行控制,就必須使用路由器。路由器是基于第3層報頭、目標IP尋址、目標IPX尋址或目標Appletalk尋址做出轉發決定。路由器是3層設備。 在這里,我們就容易理解三層交換技術了,通俗地講,就是將路由與交換合二為一的技術。路由器在對第一個數據流進行路由后,將會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此映射表直接從二層進行交換而不是再次路由,提供線速性能,從而消除了路由器進行路由選擇而造成網絡的延遲,提高了數據包轉發的效率。采用此技術的交換機我們常稱為三層交換機。 那么,什么是VLAN呢?VLAN(Virtual Local Area Network)就是虛擬局域網的意思。VLAN可以不考慮用戶的物理位置,而根據功能、應用等因素將用戶從邏輯上劃分為一個個功能相對獨立的工作組,每個用戶主機都連接在一個支持VLAN的交換機端口上并屬于一個VLAN。 同一個VLAN中的成員都共享廣播,形成一個廣播域,而不同VLAN之間廣播信息是相互隔離的。這樣,將整個網絡分割成多個不同的廣播域(VLAN)。 一般來說,如果一個VLAN里面的工作站發送一個廣播,那么這個VLAN里面所有的工作站都接收到這個廣播,但是交換機不會將廣播發送至其他VLAN上的任何一個端口。如果要將廣播發送到其它的VLAN端口,就要用到三層交換機。 如何配置三層交換機創建VLAN 以下的介紹都是基于Cisco交換機的VLAN。Cisco的VLAN實現通常是以端口為中心的。與節點相連的端口將確定它所駐留的VLAN。將端口分配給VLAN的方式有兩種,分別是靜態的和動態的。 形成靜態VLAN的過程是將端口強制性地分配給VLAN的過程。即我們先在VTP (VLAN Trunking Protocol)Server上建立VLAN,然后將每個端口分配給相應的VLAN的過程。這是我們創建VLAN最常用的方法。 動態VLAN形成很簡單,由端口決定自己屬于哪個VLAN。即我們先建立一個VMPS(VLAN Membership Policy Server)VLAN管理策略服務器,里面包含一個文本文件,文件中存有與VLAN映射的MAC地址表。交換機根據這個映射表決定將端口分配給何種VLAN。這種方法有很大的優勢,但是創建數據庫是一項非常艱苦而且非常繁瑣的工作。 下面以實例說明如何在一個典型的快速以太局域網中實現VLAN。所謂典型的局域網就是指由一臺具備三層交換功能的核心交換機接幾臺分支交換機(不一定具備三層交換能力)。我們假設核心交換機名稱為:COM;分支交換機分別為:PAR1、PAR2、PAR3……,分別通過Port 1的光線模塊與核心交換機相連;并且假設VLAN名稱分別為COUNTER、MARKET、MANAGING……。 設置VTP DOMAIN VTP DOMAIN 稱為管理域。交換VTP更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連,那么只要在核心交換機上設置一個管理域,網絡上所有的交換機都加入該域,這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。 COM#vlan database 進入VLAN配置模式 COM(vlan)#vtp domain COM 設置VTP管理域名稱COM COM(vlan)#vtp server 設置交換機為服務器模式 PAR1#vlan database 進入VLAN配置模式 PAR1(vlan)#vtp domain COM 設置VTP管理域名稱COM PAR1(vlan)#vtp Client 設置交換機為客戶端模式 PAR2#vlan database 進入VLAN配置模式 PAR2(vlan)#vtp domain COM 設置VTP管理域名稱COM PAR2(vlan)#vtp Client 設置交換機為客戶端模式 PAR3#vlan database 進入VLAN配置模式 PAR3(vlan)#vtp domain COM 設置VTP管理域名稱COM PAR3(vlan)#vtp Client 設置交換機為客戶端模式 注意:這里設置交換機為Server模式是指允許在本交換機上創建、修改、刪除VLAN及其他一些對整個VTP域的配置參數,同步本VTP域中其他交換機傳遞來的最新的VLAN信息;Client模式是指本交換機不能創建、刪除、修改VLAN配置,也不能在NVRAM中存儲VLAN配置,但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。 配置中繼 為了保證管理域能夠覆蓋所有的分支交換機,必須配置中繼。Cisco交換機能夠支持任何介質作為中繼線,為了實現中繼可使用其特有的ISL標簽。ISL(Inter-Switch Link)是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接相連的端口配置ISL封裝,即可跨越交換機進行整個網絡的VLAN分配和進行配置。 在核心交換機端配置如下: COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk 在分支交換機端配置如下: PAR1(config)#interface gigabitEthernet 0/1 PAR1(config-if)#switchport mode trunk PAR2(config)#interface gigabitEthernet 0/1 PAR2(config-if)#switchport mode trunk PAR3(config)#interface gigabitEthernet 0/1 PAR3(config-if)#switchport mode trunk 此時,管理域算是設置完畢了。 創建VLAN 一旦建立了管理域,就可以創建VLAN了。 COM(vlan)#Vlan 10 name COUNTER 創建了一個編號為10名字為COUNTER的 VLAN COM(vlan)#Vlan 11 name MARKET 創建了一個編號為11名字為MARKET的 VLAN COM(vlan)#Vlan 12 name MANAGING 創建了一個編號為12名字為MANAGING的 VLAN 注意,這里的VLAN是在核心交換機上建立的,其實,只要是在管理域中的任何一臺VTP 屬性為Server的交換機上建立VLAN,它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN,就必須在該端口所屬的交換機上進行設置。 將交換機端口劃入VLAN 例如,要將PAR1、PAR2、PAR3……分支交換機的端口1劃入COUNTER VLAN,端口2劃入MARKET VLAN,端口3劃入MANAGING VLAN…… PAR1(config)#interface fastEthernet 0/1 配置端口1 PAR1(config-if)#switchport access vlan 10 歸屬COUNTER VLAN PAR1(config)#interface fastEthernet 0/2 配置端口2 PAR1(config-if)#switchport access vlan 11 歸屬MARKET VLAN PAR1(config)#interface fastEthernet 0/3 配置端口3 PAR1(config-if)#switchport access vlan 12 歸屬MANAGING VLAN PAR2(config)#interface fastEthernet 0/1 配置端口1 PAR2(config-if)#switchport access vlan 10 歸屬COUNTER VLAN PAR2(config)#interface fastEthernet 0/2 配置端口2 PAR2(config-if)#switchport access vlan 11 歸屬MARKET VLAN PAR2(config)#interface fastEthernet 0/3 配置端口3 PAR2(config-if)#switchport access vlan 12 歸屬MANAGING VLAN PAR3(config)#interface fastEthernet 0/1 配置端口1 PAR3(config-if)#switchport access vlan 10 歸屬COUNTER VLAN PAR3(config)#interface fastEthernet 0/2 配置端口2 PAR3(config-if)#switchport access vlan 11 歸屬MARKET VLAN PAR3(config)#interface fastEthernet 0/3 配置端口3 PAR3(config-if)#switchport access vlan 12 歸屬MANAGING VLAN 配置三層交換 到這里,VLAN已經基本劃分完畢。但是,VLAN間如何實現三層(網絡層)交換呢?這時就要給各VLAN分配網絡(IP)地址了。給VLAN分配IP地址分兩種情況,其一,給VLAN所有的節點分配靜態IP地址;其二,給VLAN所有的節點分配動態IP地址。下面就這兩種情況分別介紹。 我們假設給VLAN COUNTER分配的接口Ip地址為172.16.58.1/24,網絡地址為:172.16.58.0,VLAN MARKET分配的接口Ip地址為172.16.59.1/24,網絡地址為172.16.59.0,VLAN MANAGING分配的接口Ip地址為172.16.60.1/24,網絡地址為172.16.60.0……。如果動態分配IP地址,則設網絡上的DHCP服務器IP地址為172.16.1.11。 (1)給VLAN所有的節點分配靜態IP地址 首先在核心交換機上分別設置各VLAN的接口IP地址,如下所示: COM(config)#interface vlan 10 COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP COM(config)#interface vlan 11 COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP COM(config)#interface vlan 12 COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP 再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址,并且把默認網關設置為該VLAN的接口地址。這樣,所有的VLAN也可以互訪了。 (2)給VLAN所有的節點分配動態IP地址 首先在核心交換機上分別設置各VLAN的接口IP地址和DHCP服務器的IP地址,如下所示: COM(config)#interface vlan 10 COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP COM(config)#interface vlan 11 COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP COM(config)#interface vlan 12 COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP 再在DHCP服務器上設置網絡地址分別為172.16.58.0,172.16.59.0,172.16.60.0的作用域,并將這些作用域的“路由器”選項設置為對應VLAN的接口IP地址。這樣,可以保證所有的VLAN也可以互訪了。 最后在各接入VLAN的計算機進行網絡設置,將IP地址選項設置為自動獲得IP地址即可。 總結:本文是筆者在實際工作中的一些總結。筆者力圖用通俗易懂的文字來闡述創建VLAN的全過程。并且給出了詳細的設置步驟,只要你對Cisco交換機的IOS有所了解,看懂本文并不難。按照本文所示的步驟一步一步地做,你完全可以給一個典型的快速以太網絡建立多個VLAN。 |
|
|
