VLAN技术（下）

mzsm 2015-06-24

展开全文

使用本地VLAN来实施企业园区网架构具有以下优势：

· 轻松判断数据流：这种简单的设计方案可以让判断二层和三层的数据流变得更加轻松。如果出现了某种故障，且网络中的冗余技术并没有解决这个问题时，那么一个简单的模型可以让管理员更加轻松的找到问题的所在，并在相应的交换机上解决问题。

· 灵活的冗余路径：在实施PVST（每VLAN生成树）或MSTP（多生成树）时，由于网络无环，因此所有链路都可以使用冗余的路径。

· 高可用性：所有的网络基础设施都可以配置冗余路径。因此，如果首选的二层路径出现故障，那么接入层交换机上的本地VLAN流量还可以沿着另一条二层路径穿过建筑分布层交换机。如果接入层VLAN的默认网关出现了故障，那么路由器冗余协议可以实现故障倒换（Failover）。当生成树（STP）实例和VLAN都配置在了一台特定的接入层或分布层交换机上时，那么管理员也可以使用相应的方法来配置二层和三层冗余及协议。

· 有限故障域：如果VLAN仅限于本地交换机，那么每个VLAN中的设备数量就不会太多，于是二层故障就会被限制在不大的用户范畴内。

· 设计方案扩展性强：如上图是一个企业园区架构的设计方案，管理员可以十分轻松地在网络中添加新的交换机，在必要的时候，也可以在网络中添加新的子模块。

规划端到端VLAN需要的步骤：

1. 把握现有网络的流量。收集一些信息，这些信息包括：子网及与其相关联的VLAN，VLAN号，名称，作用，以及VLAN和IP地址之间的映射。

2. 在收集这些信息之后，应该记录下来哪一部分需要使用哪个VLAN。这样就确定了交换机之间的数据流向，以及哪些VLAN应该配置在哪些交换机上。

3. VLAN一般是基于端口来划分的。

4. 在获得了所有与VLAN相关的信息之后，下一个重要的步骤就是配置Trunk（干道）。如果交换机之间需要通信，就需要使用Trunk。在配置Trunk时，应该考虑在Trunk上时否允许所有的VLAN，以及NativeVLAN应该如何设计等。

5. VTP可以简化VLAN的配置和修剪。应该考虑哪台交换机充当服务器，哪台充当客户端，哪台配置为透明模式。

设计VLAN的最佳做法：

· 对于本地VLAN模型来说，一般推荐设计者在每个模块上使用1~3个VLAN，将这些VLAN限制在几台接入层交换机和分布层交换机的范围内。

· 不要将VLAN1作为未使用端口的“黑洞”。要将这些不使用的端口划分到其他VLAN中，只要不是VLAN1就好。

· 尽量将语音VLAN，数据VLAN，管理VLAN，Native VLAN，黑洞VLAN和默认VLAN1分开。

· 在本地VLAN模型中，不要使用VTP。可以用手动的方式配置Trunk上允许哪些VLAN。

· 对于Trunk端口来说，应该关闭DTP并且手动对其进行配置。这里应该使用802.1Q而不应该使用ISL，因为IEEE802.1Q能够更好的支持QOS,而且，IEEE802.1Q也是标准（即共有）协议。

· 手动配置那些不打算用于Trunk链路的Access端口。

· 阻止所有来自VLAN1的数据流量；VLAN1上只允许运行控制协议（如DTP,VTP,STPBPDU,PAgP,LACP,CDP等）。

· 出于安全性的考虑，不要使用telnet，但可以使管理VLAN支持SSH协议。

动态中继协议DTP，是 VLAN 组中思科的私有协议，主要用于协商两台设备间链路上的中继过程及中继封装 802.1Q类型。DTP的用途是取代动态ISL（Dynamic ISL，DISL）。

配置VLAN：

所有的CiscoCatalyst交换机都能够支持VLAN。但是CiscoCatalyst交换机所支持的VLAN数量却有所区别。高端的CiscoCatalyst交换机可以支持多达4096个VLAN。如图：

Cisco Catalyst交换机支持最多4096个VLAN，具体支持的VLAN数量取决于设备的型号及软件系统的版本。

注意：对于安装了标准操作系统软件（Standard Softwareimage）的Catalyst2950和2955交换机来说，它们最多能够支持64个VLAN；对于安装了增强型系统软件（EnhancedSoftware image）的Catalyst

2950和2955交换机来说，它们最多能够支持250个VLAN。CiscoCatalyst交换机不支持1002~1005，因为这些VLAN是为令牌环和FDDI VLAN所预留的。除此之外，Catalyst4500和6500系列交换机也不支持VLAN 1006~1024，此外，好几系列的交换机支持的VLAN比生成树实例还要多。例如：CiscoCatalyst2970支持1005个VLAN，但它只支持128个生成树实例。

VLAN配置步骤：

1.进入全局配置模式

Switch#configure terminal

2.使用特定ID编号创建新的VLAN。

Switch（config）#vlan vlan-id

3.命名VLAN（可选）

Switch（config）#name vlan-name

删除VLAN：

1.进入全局配置模式删除特定ID编号的VLAN

Switch（config）#no vlan vlan-id

分配交换机端口到所创建的VLAN：

1.在全局配置命令进入接口模式

Switch（config）#interface interface_id

2.将端口指定为access端口

Switch（config-if）#switchport modeaccess

Switch（config-if）#switchport host

命令switchporthost的作用是将某端口配置为主机模式（例如工作站或服务器）所连端口。在启用该特性的时候，就表示同时对该端口启用生成树portfast并禁用EtherChannel特性。

3.将端口放入某个VLAN中，或从该VLAN中移除

Switch（config-if）#【no】 switchport access vlan vlan-id

验证VLAN的配置：

如需验证Catalyst交换机上的VLAN配置，那么就需要使用show 命令来实现。在特权模式中，使用showvlan命令能够显示特定VLAN的相关信息。

show vlan 字段描述：

show vlan显示出来的字段

VLAN 该VLAN编号

Name 如果配置，那么表示该VLAN的名称

Status 该VLAN的状态（active(活动)还是Suspended(挂起)）

Ports 属于该VLAN的端口

Type 该VLAN的介质名称

SAID 该VLAN的安全关联ID值

MTU 该VLAN最大传输单元的大小

Parent 如果存在，那么表示父辈VLAN

RingNo 如果可用，那么表示环编号

BridgNo 如果可用，那么表示该VLAN的桥接编号

Stp 该VLAN所使用的生成树协议类型

BrdgMode 该VLAN的桥接模式

Trans1 透明网桥1

Trans2 透明网桥2

AREHops ALL-Route探测帧的最大跳计数

STEHops 生成树探测帧的最大跳计数

如图查看VLAN的相关信息：

如果想查看某个特定接口当前的配置信息，可以使用命令showrunning-config interfaceinterface_typeslot/port来实现。如果希望显示特定交换机端口的详细信息，那么就应该使用命令showinterfaces来实现。如果使用带有关键字switchport的命令showinterfaceinterface_typeslot/port，设备就不仅会显示出交换机的端口特征，而且还能显示NativeVLAN和链路聚集（Trunking）等信息。通过使用命令showmac-address-tableinterfaceinterface_typeslot/port，设备能够显示指定VLAN中特定接口的MAC地址表的信息。在排错时，这些命令可以帮助管理员判断直连设备是否正在向正确的VLAN发送数据包。