實施VLAN和VLAN間路由

實施VLAN和VLAN間路由 設(shè)計欠佳的網(wǎng)絡(luò)中存在的問題 極大的故障域較大的廣播域大量的未知MAC單播流量極大的組播流量管理上的挑戰(zhàn)可能存在安全漏洞 VLAN概述 一個VLAN 一個廣播域 邏輯網(wǎng)絡(luò) 子網(wǎng) 分段靈活提高安全性提高性能 隔離廣播域 應(yīng)用IP地址空間的指導(dǎo)原則 為每個VLAN分配一個IP子網(wǎng) 在連續(xù)的地址塊內(nèi)分配IP地址空間 End To EndVLAN 端到端VLAN 分段靈活流量不合理故障難定位 LocalVLAN 本地VLAN LocalVLAN是指將同一個機架的交換機劃分成同一個VLAN 這樣劃分就便于故障分析定位 同時可以減輕匯聚層交換機的負(fù)擔(dān) 本地VLAN的優(yōu)點 VLAN劃分方式 VLAN管理策略服務(wù)器 VMPS 上存有VLAN與MAC地址表映射關(guān)系的文本文件 VLANAccess端口 連接終端設(shè)備一個access端口劃分到一個VLAN中 它只能屬于一個VLAN一個access端口接收和發(fā)送的數(shù)據(jù)為標(biāo)準(zhǔn)EthernetII數(shù)據(jù)幀 不能攜帶802 1Q的tag 802 1Q幀 標(biāo)記 tag 位占4個字節(jié) 2個字節(jié)用來標(biāo)識以太網(wǎng)類型 3bit 標(biāo)識優(yōu)先級 PRI 1bit 令牌環(huán)封裝標(biāo)志 CFI 1 12bit VLAN ID0 4095 保留 僅限系統(tǒng)使用 用戶不能查看 1 CISCO默認(rèn)VLAN 不能刪除 2 1001 用于以太網(wǎng)的VLAN 用戶可自己創(chuàng)建的VLAN1002 1005 用于FDDI和令牌環(huán)的默認(rèn)VLAN 不能刪除 1006 1024 保留 僅限系統(tǒng)使用 用戶不能查看 1025 4094 僅用于以太網(wǎng)的VLAN 擴展的VLAN 只有3550以上的交換機才能配 且必須將VTP模式設(shè)為透明模式 VLANAccess端口 接收 1 若數(shù)據(jù)幀無tag 則根據(jù)端口所屬的VLAN 添加tag 2 若數(shù)據(jù)幀有tag 丟棄發(fā)送 從交換機內(nèi)部往外發(fā)送 1 若數(shù)據(jù)幀無tag 不可能出現(xiàn) 2 若數(shù)據(jù)幀有tag 去除tag后 再發(fā)送 VLANTrunk端口 通常用于交換機之間或交換機與路由器之間的互連一個Trunk端口并不屬于任何一個VLAN 類似一個公共通道 它允許多個VLAN通過一個Trunk端口接收和發(fā)送的數(shù)據(jù) 可以攜帶802 1Q的tag發(fā)送 1 若數(shù)據(jù)幀無tag 不可能出現(xiàn) 2 若數(shù)據(jù)幀有tag 若該數(shù)據(jù)幀所屬的VLAN等于該trunk端口的nativeVLAN 則刪除tag后發(fā)送 否則 保留Tag發(fā)送 接收 1 若數(shù)據(jù)幀無tag 則根據(jù)該Trunk端口的nativeVLAN 添加tag 2 若數(shù)據(jù)幀有tag 保留該Tag 802 1Q中繼 802 1QNativeVLAN 本征VLAN 注 1 中繼鏈路兩端802 1Q中繼的本征VLAN要相同 2 本征VLAN幀是無標(biāo)記幀 注 1 中繼鏈路兩端802 1Q中繼的本征VLAN要相同 2 本征VLAN幀是無標(biāo)記幀 添加VLAN SwitchX configureterminalSwitchX config vlan2SwitchX config vlan nameswitchlab99 全局模式 VlanDatabase模式 分配交換機端口到VLAN SwitchX configureterminalSwitchX config interfacerangefastethernet0 2 4SwitchX config if switchportaccessvlan2SwitchX showvlanVLANNameStatusPorts 1defaultactiveFa0 12switchlab99activeFa0 2 Fa0 3 Fa0 4 switchportaccessvlanvlan id SwitchX config if 常用show命令 1 showinterface 查看第一層 第二層的工作狀態(tài) 查看該接口的報文收發(fā)統(tǒng)計信息 2 showipinterface 查看第三層IP的相關(guān)信息 3 showinterface interface switchport查看交換端口屬性 4 showinterface interface trunk查看交換機上的trunk端口 VLAN操作 封裝方式 ISL Inter SwitchLink 思科私有若采用ISL封裝 所有VLAN數(shù)據(jù)經(jīng)過Trunk鏈路時 均需要進行ISL封裝 不存在NativeVlan的概念 802 1Q IEEE標(biāo)準(zhǔn) 1 在交換機內(nèi)部進行數(shù)據(jù)幀處理時 所有VLAN的數(shù)據(jù)均加Tag 2 存在NativeVLAN ISL與802 1Q的比較 ISL封裝 ISL封裝 續(xù) 802 1Q中繼 Trunk配置命令 靜態(tài)配置switchtrunkencapsulationdot1qswitchmodetrunk通過DTP DynamicTrunkingProtocol 協(xié)議進行動態(tài)協(xié)商switchmodedynamicdesirableswitchmodedynamicauto 配置交換機端口模式 關(guān)閉DTP協(xié)商 switchportnonegotiate 接口模式 配置工作方式 switchportmode access trunk dynamicauto dynamicdesirable SwitchX config if 配置端口的中繼特征 配置trunk工作方式 將端口配置為VLAN中繼 SwitchX config if switchportmodetrunk 設(shè)置trunk端口的封裝方式 SwitchX config if Switchporttrunkencapsulation dot1q isl negotiate 設(shè)置trunk端口的nativevlan 缺省時為1 SwitchX config if Switchporttrunknativevlanvlan id 設(shè)置trunk端口允許哪些VLAN通過 SwitchX config if Switchporttrunkallowedvlan word add all excep none remove SwitchX showvlanid2VLANNameStatusPorts 2switchlab99activeFa0 2 Fa0 12VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2 2enet1000021500 00 SwitchX 檢驗VLAN SwitchX showvlan brief idvlan id namevlan name SwitchX showvlanbriefVLANNameStatusPorts 1defaultactiveFa0 12switchlab99activeFa0 2 Fa0 3 Fa0 43vlan3active4vlan4active1002fddi defaultact unsup1003token ring defaultact unsupVLANNameStatusPorts 1004fddinet defaultact unsup1005trnet defaultact unsup SwitchX showvlanbrief 檢驗VLAN SwitchX showinterfacesfa0 11switchportName Fa0 11Switchport EnabledAdministrativeMode trunkOperationalMode downAdministrativeTrunkingEncapsulation dot1qNegotiationofTrunking OnAccessModeVLAN 1 default TrunkingNativeModeVLAN 1 default SwitchX showinterfacesfa0 11trunkPortModeEncapsulationStatusNativevlanFa0 11desirable802 1qtrunking1PortVlansallowedontrunkFa0 111 4094PortVlansallowedandactiveinmanagementdomainFa0 111 13 檢驗中繼 SwitchX showinterfacesinterface switchport trunk 如何配置中繼鏈路 Trunking 802 1Q中繼配置 VLAN間的路由連接方法 1 將路由器與交換機上的每個VLAN分別連接將交換機上用于和路由器互聯(lián)的每個端口設(shè)為access端口 然后分別用網(wǎng)線與路由器上的獨立端口互聯(lián) 如下圖所示 交換機上有2個VLAN 那么就需要在交換機上預(yù)留2個端口用于與路由器互聯(lián) 路由器上同樣需要有2個端口 兩者之間用2條網(wǎng)線分別連接 該種連接方法的缺點 如果采用這個辦法 大家應(yīng)該不難想象它的擴展性很成問題 每增加一個新的VLAN 都需要消耗路由器的端口和交換機上的訪問鏈接端口 而且還需要重新布設(shè)一條網(wǎng)線 而路由器 通常不會帶有太多LAN接口的 新建VLAN時 為了對應(yīng)增加的VLAN所需的端口 就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品 這部分成本 還有重新布線所帶來的開銷 都使得這種接線法成為一種不受歡迎的辦法 VLAN間的路由連接方法 2 不論VLAN有多少個 路由器與交換機都只用一條網(wǎng)線連接首先將用于連接路由器的交換機端口設(shè)為trunk端口 而路由器上的端口也必須支持trunk鏈路 接著在路由器上定義對應(yīng)各個VLAN的 子接口 SubInterface 盡管實際與交換機連接的物理端口只有一個 但在理論上我們可以把它分割為多個虛擬端口 VLAN將交換機從邏輯上分割成了多臺 因而用于VLAN間路由的路由器 也必須擁有分別對應(yīng)各個VLAN的虛擬接口 VLAN間的路由連接方法 該連接方法的缺點 進行VLAN間通信時 即使通信雙方都連接在同一臺交換機上 也必須經(jīng)過 發(fā)送方 交換機 路由器 交換機 接收方這樣一個流程 如果使用路由器進行VLAN間路由的話 隨著VLAN之間流量的不斷增加 流量會集中到路由器和交換機互聯(lián)的trunk鏈路部分 這一部分尤其特別容易成為整個網(wǎng)絡(luò)的速度瓶頸 VLAN間的路由連接方法 三層交換機 Layer3Switch 為了解決上述問題 三層交換機應(yīng)運而生 三層交換機 本質(zhì)上就是 帶有路由功能的 二層 交換機 路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能 因此帶有第三層路由功能的交換機才被稱為 三層交換機 關(guān)于三層交換機的內(nèi)部結(jié)構(gòu) 可以參照下面的簡圖 三層交換機內(nèi)部數(shù)據(jù)究竟是怎樣傳播