#虚拟局域网vlan基本知识

Vlan：
Vlan是一种通过将局域网内的设备逻辑的划分成多个互不相干的子网络
可以防止网络风暴的发生对整个网络造成危害，就是分隔广播域，分隔广播域有两种方法。

1）物理分隔，使用能隔离广播的路由设备将不同的网络连接起来实现通信
2）逻辑分隔，使用Vlan技术把网络从逻辑上分成若干个广播域
但是使用物理分隔有很多缺点，缺乏灵活性，不能将连接在不同交换机上的用户划分到一个网络中。

而通过Vlan可以弥补这一缺陷，因为在每个Vlan中的所有用户同属一个广播域，而且还可以跨交换机实现。

Vlan具有灵活性和可扩展性等特点，Vlan的优势有以下几点：
1）控制广播：
每个Vlan都是一个独立的广播域，可以减少广播对网络带宽的占用，提高传输速率，防止网络风暴对整个网络造成危害。

2）增强网络安全性：
不同的Vlan之间不可能直接访问，因此可以限制个别主机访问服务器等资源，从而提高网络安全。

3）简化网络管理：
如果对某些用户重新进行网段分配时，不需要在物理结构上重新进行调整，通过Vlan可以把不同地理位置上的用户划分到一个逻辑网络中，不用改动物理网络，从而减轻网络管理和维护工作的负担。

Vlan的种类：
根据Vlan的使用和管理的不同，可以把Vlan分为两种，静态Vlan和动态Vlan。

1）静态Vlan：
目前最常见的Vlan实现方式，针对端口的，需要手工把端口加入到Vlan中，当主机连接到该端口时，就被分配到了相应的Vlan中，静态Vlan只对本地生效，交换机不共享这一信息。

2）动态Vlan：
实现动态Vlan有多种方法，普遍的是基于MAC地址的动态Vlan，优点是当用户从一台交换机移动到另一交换机时，Vlan不用重新进行配置，缺点就是初始化时所有的用户都必须重新进行配置，不适用于大型网络。

静态Vlan的配置：
1)Vlan范围：
0、4095为保留，仅限系统使用，不能查看和使用
1 为正常，默认的VLAN，能使用，但不能删除
2 ~ 1001为正常，用于以太网的VLAN，可以创建、使用和删除
1002~1005正常，用于FDDI和令牌环的Cisco默认VLAN，不能删除2）Vlan的基本配置步骤：
创建Vlan。

将交换机的商品加入到相应的Vlan中。

验证Vlan。

(1)创建Vlan
Vlan的创建方法分为两种，分别是Vlan数据库模式、全局配置模式。

Vlan数据库配置模式：
Switch> en
Switch# vlan database //进入vlan配置状态
Switch(vlan)# vlan 20 name caiwu //创建vlan 20并命名为caiwu
Switch(vlan)# exit //更新vlan数据库并退出
全局配置模式：
Switch>en
Switch# configure terminal //进入配置状态
Switch(config)# vlan 20 //创建vlan 20
Switch(config-vlan)# name caiwu //将vlan20命名为caiwu
Switch(config-vlan)# exit //退出
删除Vlan，需要使用no vlan vlan-id命令：
Switch# configure terminal
Switch(config)# no vlan 20 //删除vlan 20
(2)将交换机端口加入到相应的Vlan中：
Switch> en
Switch# configure terminal //进入配置状态
Switch(config)# interface f0/1 //进入要分配的端口f0/1
Switch(config-if)# switchport mode access //定义f0/1端口为接入模式
Switch(config-if)# switchport access vlan 20 //把f0/1端口分配给vlan 20
Switch(config-if)# exit //退出
还可以通过range参数，对连续的多个交换机端口进行分配，例如要把f0/4、f0/5、f0/6三个端口一次全部加入到vlan 20中，可以这样做：
Switch(config)# interface range f0/4 -6 //进入要分配的端口f0/4,f0/5,f0/6
Switch(config-if)# switchport mode access //定义f0/4、f0/5、f0/6端口为接入模式
Switch(config-if)# switchport access vlan 20 //把f0/4~6端口分配给vlan 20
Switch(config-if)# exit //退出
(3)验证Vlan配置：
可以通过show vlan brief 查看vlan信息
Switch# show vlan brief //查看vlan信息
也可以通过show vlan vlan-id命令来查看某个vlan的信息
Switch# show vlan 20 //查看vlan 20信息
VLAN Trunk:
Trunk的作用：
Trunk 又被称为干道链路或中继链路，其作用是使同一个vlan能够跨交换机通信在交换机网络中，链路有两种类型：接入链路和中继链路
接入链路：接入链路连接的一般是属于某个VLAN的终端或主机
中继链路：可以承载多个vlan，常用来将一台交换机连接到其他交换机或
路由器上
Vlan的标识：
在以太网上实现中继，可使用如下两种封装类型。

1)ISL
ISL是Cisco的私有标准，只适用于Cisco设备，ISL只是对帧进行封装，不修改帧中的任何内容，ISL会在帧的头部加上26字节尾部加上4字节
2)IEEE802.1q
IEEE802.1q是国际标准，所有厂商都支持，IEEE802.1q使用内部标识机制，将4字节插入到数据帧内，并重新计算FCS,
IEEE802.1q的帧格式：
目的地址源地址类型数据FCS
目的地址源地址TAG类型数据FCS
TPID Priority CFI VLAN ID
TCI
这4个字节的标记头包含以下内容：
2字节标记协议标识符（TPID）包含一个0x8100的固定值，这个特定的TPID 值指明了该帧带有802.1q的标记信息
2字节标记控制信息（TCI）包含了下面的元素
●3位的用户优先级（Priority）:802.1q不使用该字段
●1位的规范格式标示符（CFI）：CFI常用于以太网和令牌环网，在以太网
中，CFI的值通常设置为0
●12位VLAN标识符（VLAN ID）：标示了帧所属的VLAN
Trunk 的模式：
Trunk分为五种模式，分别是：
1)接入(Access)
a)将接口设定为永久的非中继模式，
2)干道(Trunk)
a)将接口设定为永久的中继模式
3)动态企望(Dynamic desirable)
a)使得接口主动尝试将链路转换为中继链路
4)动态自动(Dynamic auto)
a)允许接口将链路路转换为中继链路
5)非协商(Nonegotiate)
a)禁止接口产生DTP帧
Trunk的配置
配置步骤和命令：
1）进入接口配置模式，命令如下
Switch(config)# interface {FastEthernet | GigabitEthernet} slot/port
2)选择封闭类型，命令如下：
Switch(config-if)# switchport trunk encapsulation {isl | dot1q | negotiate}
如果选择negotiate,就是指明端口和邻接端口进行协商，根据邻接端口的
配置，本地端口可以协商成为ISL或802.1q干道
3)将接口配置为Trunk,命令如下
Switch(config-if)#switchport mode {dynamic {desirable |auto} | trunk}
4)（可选）指定Native VLAN，命令如下：
Switch(config-if)# switchport trunk native vlan vlan-id
如果不需要Trunk传送某个VLAN的数据，可以从Trunk中删除这个
VLAN，命令如下
Switch(config-if)# switchport trunk allowed vlan remove vlan-id
也可以在Trunk上添加某个VLAN，命令如下：
Switch(config-if)# switchport trunk allowed vlan add vlan-id
使用show命令验证接口模式，命令如下：
Switch# show interface interface-id switchport
例如将f0/24接口配置为Trunk模式，使用802.1q封闭协议，但不允许vlan 3的数据通过，另外还要添加vlan 6，可以这样配置
Switch>en
Switch#configure terminal
Switch(config)# interface f0/24 //进入接口进行配置
Switch(config-if)# switchport trunk encapsulation dot1q //选择IEEE802.1q封装
Switch(config-if)# switchport mode trunk //将接口设置为trunk模式
Switch(config-if)# switchport trunk allowed vlan remove 3 //删除vlan 3
Switch(config-if)# switchport trunk allowed vlan add 6 //添加vlan 6
Switch(config-if)#end
Switch# show interface f0/24 switchport //查看接口配置模式Trunk的排错：
VLAN之间不能跨越Trunk链路而通信，一般要验证以下配置，是否正确：1）接口模式
使用show interface interface-id trunk命令查看接口的Trunk模式，确保至
少一端为Trunk或desirable
2)封闭类型
确保链路两端的Trunk封装类型兼容
3）Native VLAN
如果使用IEEE802.1q封装，要确保Trunk链路两端的Native VLAN配置
相同
交换机端口协商对应表
SW1端口模式SW2端口模式SW1协商结果SW2协商结果trunk dynamic auto trunk trunk
trunk dynamic desirable trunk trunk dynamic auto dynamic auto access access dynamic auto dynamic desirable trunk trunk dynamic desirable dynamic desirable trunk trunk trunk、nonegotiate trunk trunk trunk trunk、nonegotiate dynamic auto trunk access trunk、nonegotiate dynamic desirable trunk access
以太网通道：
以太网通道的作用：
以太网通道（EthernetChannel）通过捆绑多条以太链路来提高链路带宽，并运行一种机制，将多个以太网端口捆绑成一条逻辑链路，以太网通道最多可以捆绑八条物理链路，其中物理链路可以是双绞线的，也可以是光纤连接的
以太网通道必须遵循的规则：
1）参和捆绑的端口必须属于同一个VLAN，
2）如果端口配置的是中继模式，那么，应该在链路两端将通道中的所有端口配置成相同的中继模式。

3）所有参和捆绑的链路，速率必须相同。

PAgP和LACP:
Cisco交换机提供了两种进行协商以太网通道的协议，分别是商品聚合协议（port Aggregation protocol,PAgP）和链路聚合控制协议（Link Aggregation Control protocol,LACP）PAgP是Cisco专用的以太网通道协议；LACP是IEEE802.3ad标准协议
1）PAgP的四种模式
i.开启（on）
端口不进行协商直接形成以太网通道；对方也必须是on
ii.关闭（off）
阻止端口形成以太网通道
iii.自动（auto）
被动监听，不主动发起协商
iv.企望（desirable）
主动发起请求和对端交换机进行以太网通道的协商
2）LACP的四种模式
i.开启（on）
端口不进行协商直接形成以太网通道；对方也必须是on
ii.关闭（off）
阻止端口形成以太网通道
iii.被动（passive）
被动监听，不主动发起协商
iv.主动（active）
主动发起请求和对端交换机进行以太网通道的协商
以太网通道的配置：
1)配置PAgP以太网通道
Switch(config)# interface type mod/mum
Switch(config-if)# channel-protocol pagp
Switch(config-if)# channel-group number mode {on | auto | desirable}
2.配置LACP以太网通道
Switch(config)# interface type mod/mum
Switch(config-if)# channel-protocol lacp
Switch(config-if)# channel-group number mode {on | passive | active}
3.查看以太网通道
Switch# show etherchannel summary
Switch# show etherchannel port
以太网通道故障排除：
1）配置以太网通道时需要注意的问题
a)在每个以太网通道中，Cisco交换机最多允许捆绑（包含）八个端口
b)在一个以太网通道中，两端的端口必须使用相同协议（PAgP或LACP）
i.以太网通道中的on模式不发送（或接收）PAgP或LACP数据包，所以，
两端都应配置为on模式才能建立通道
ii.以太网通道中的desirable(PAgP)或active(LACP)模式请求远端建立通
道，所以，另一端必须设置为desirable或auto模式
iii.以太网通道中的auto（PAgP）或passive（LACP）模式参和通道协议，运行这种模式时，只有远端请求才建立以太网通道。

所以，如果两台
处于auto（PAgP）或passive（LACP）模式的交换机不能建立以太网
通道
c)所有参和捆绑的商品的物理参数设置必须相同，应该有同样的速度和全/半
双工模式设置；而LACP要求端口只能工作在全双工模式
b)一个端口只能在一个以太网通道中
e)一个以太网通道中的端口如果是中继模式，则端口的中继模式、中继封装以
及准许VLAN的范围必须相同；如果通道中不同中继端口的VLAN范围
不相同时，不通话某个VLAN的中继端口丢弃那个VLAN的数据包，而
允许该VLAN的端口为其传送数据
f)参和捆绑的端口必须属于同一个VLAN
g)在配置以太网通道时，尽量让以太网通道中的端口配置为Trunk模式，方便
扩展
2）以太网通道配置错误时的提示信息
a)双工不相同时交换机提示如下：
(duplex of fa0/9 is half,fa0/10 is full)
b)速率不相同时交换机提示如下：
（speed of Fa0/9 is 10M, Fa0/10 is 100M）
3）以太网通道协商协议模式配置错误提示
P代表是通道中的活动端口D代表端口没有连接或处于关闭
I代表端口处于连接状态，但未协商成功
s代表暂停。