思科交换机vlan

VLAN

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。

VLAN是一组由拥有共同需求且与物理位置无关的终端设备所组成的逻辑分组。

Cisco 交换机不仅仅具有2 层交换功能，它还具有VLAN 等功能。VLAN 技术可以使我们很容易地控制广播域的大小。

有了VLAN，交换机之间的级联链路就需要Trunk 技术来保证该链路可以同时传输多个VLAN 的数据。同时为了方便管理各交换机上的VLAN 信息，VTP 也被引入了。交换机之间的级联链路带宽如果不够，我们可以把多条链路捆绑起来形成逻辑链路。

VLAN可以隔离2层的广播域。

不分层的网络问题

大的故障域

大的广播域

大的未知MAC流量传输

无界限的组播流量

管理网络面临挑战

可以引起安全攻击

分配连续的IP地址空间.

每个 VLAN划分一个子网

·A VLAN ＝（一个） 广播域　＝（一个）逻辑子网

路由器是隔离广播域的

单个端口只能承载单个VLAN的流量。

·使用VLAN好处：

　1.有效的带宽利用

　2.提高了安全性

　3.隔离故障域

＝＝＝＝

VLAN 分割模型

End-to-End VLAN  端到端 VLAN

Local VLAN             本地VLAN

在网络设计时，管理员可以用两种模型来设计网络，具体选择哪种模型取决于业务需求，技术需求，过去的经验，可以存在的动机等。

End-to-End VLAN

端到端VLAN （基于功能划分）:是通过基于一种共同性来将设备分成小组。

它具有以下的特点：

需要跨越多个交换机包括核心（Backbone）进行传输。

将用户分组到VLAN可以和地理位置无关、在VLAN中的所有的用户在用户在园区网内移动时，其VLAN成员身份不变，可以是基于MAC地址的方式来实现、每个VLAN对所有成员有相同的安全策略。

＝＝＝＝

Local VLAN

本地VLAN  （基于物理位置划分）

本地VLAN的定义就是在实际的物理位置上进行VLAN的划分，也就是它的很多的服务都是集中的放在一个地方。这种方式的好处就是便于管理

本地VLAN:

就是说一个VLAN只存在于本地，而不会跨越很多交换机和核心（Backbone）进行传输。 

　在单个配线架之内的单台接入交换机上配置最少数目的VLAN，

　而不是在单台交换机上配置多个部门的VLAN。

＝＝＝＝

VLAN 的使用方式

　1)Local VLAN :   

一个VLAN 集中在一个机架中，便于故障分析定位，便于管理流量

        a)数据流可预测

　　  b)冗余路径　------双上行　双归属

        c)高可用性

        d)有限的故障域

　　  e)可扩展性

   2)End-to-End VLAN:分段灵活，流量不合理，故障难定位

＝＝＝＝

怎么实现 VLAN

创建或配置一个 VLAN.

检查 VLAN 配置.

添加交换机端口到相应VLAN.

检查交换机端口配置.

测试 VLAN 连通性.

实现VLAN 和交换机安全

注意：已建立的VLAN只有被映射到一个或多个交换机端口后，才会起作用，并且除非另做设置，否者所有的端口总是属于VLAN 1

＝＝＝＝

静态VLAN（基于端口的VLAN）：

　手工配置交换机端口，将其设为特定的VLAN。

　只要接到这个端口的设备就属于此VLAN。

Sw1#show cdp neighbors detail

VLAN 创建

（1） 熟悉VLAN 的创建

（2） 把交换机接口划分到特定VLAN

要配置VLAN，首先要先创建VLAN，然后才把交换机的端口划分到特定的端口上：

在划分VLAN 前，配置R1 和R2 路由器的f0/0 接口，从R1 ping 192.168.12.2。

默认时，交换机的全部接口都在VLAN1 上，R1 和R2 应该能够通信.

R1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/5/9 ms

＝＝＝＝

在SW1 上创建VLAN

Switch#vlan database              //进入到VLAN 配置模式

Switch(vlan)#vlan 2 name VLAN2

VLAN 2 added:

    Name: VLAN2     //以上创建vlan,2 就是vlan 的编号，VLAN 号的范围为1～1005

Switch(vlan)#vlan 3 name VLAN3

VLAN 3 added:

    Name: VLAN3

Switch(vlan)#exit

APPLY completed.

Exiting....            //退出VLAN模式，创建的VLAN立即生效：

另一种方法

Switch(config)#vlan 2

Switch(config-vlan)#name

Switch(config-vlan)#name CCNP

交换机中的VLAN 信息存放在单独的文件中flash:vlan.dat，因此如果要完全清除

交换机的配置，除了使用“erase starting-config”命令外，还要使用“delete

flash:vlan.dat”命令把VLAN 数据删除。

Switch#delete flash: 

Delete filename []?vlan.dat

Delete flash:/vlan.dat? [confirm]

＝＝＝＝

把端口划分在VLAN 中

Switch(config)#int f0/1

Switch(config-if)#switchport mode access 

    access   Set trunking mode to ACCESS unconditionally

  dynamic  Set trunking mode to dynamically negotiate access or trunk mode

  trunk    Set trunking mode to TRUNK unconditionally

把交换机端口的模式改为access 模式，说明该端口是用于连接计算机的，而不是用于trunk

Switch(config-if)#switchport access vlan 2    把该端口f0/1 划分到VLAN 2 中

Switch(config)#int f0/2

Switch(config-if)#switchport mode access 

Switch(config-if)#switchport access vlan 3

默认时,所有交换机接口都在VLAN 1 上，VLAN 1 是不能删除的。如果有多个接口

需要划分到同一VLAN 下，也可以采用如下方式以节约时间,注意破折号前后的空格：

interface range f0/5 - 10    连续的端口号

switch mode access

switch access vlan 2

interface range f0/5 , f0/9   不连续的端口号

interface range f0/5 - 10 , f0/12  两者的结合

如果要删除VLAN，使用 “no vlan 2”命令即可。删除某一VLAN后，要记得把该VLAN

上的端口重新划分到别的VLAN上，否则将导致端口的“消失”

＝＝＝＝

查看VLAN

使用“show vlan”或者“show vlan brief”命令可以查看VLAN 的信息，以及每个

VLAN 上有什么端口。要注意这里只能看到的是本交换机上哪个端口在VLAN 上，而不能看到其他交换机的端口在什么VLAN 上。

Switch#show vlan brief 

在交换上，VLAN1是默认VLAN，不能删除，也不能改名。此外还有1002、1003等VLAN的存在。

可调整的为 2－1001

创建扩展VLAN（1006~4095）

Switch(config)#vlan 1006

Switch(config-vlan)#exit

       % Failed to create VLANs 1006

     Extended VLAN(s) not allowed in current VTP mode.

在VLAN Database中不能创建扩展VLAN，只能在配置模式下，并且是VTP透明模式下才能创建

Switch(config)#vtp mode transparent

Switch(config)#vlan 1006

由于f0/1 和f0/2 属于不同的VLAN，从R1 ping 192.168.12.2 应该不能成功了。