专题 2 vlan 及交换机配置

Routing and Switching

路由与交换路由与交换

专题 2 VLAN及交换机配置



1 局域网业务隔离


3

路由与交换路由与交换业务隔离的必要性

不做业务隔离的网络带来的问题▪ 二层交换机不能阻隔广播域，网络规模越大，广播危害

也越严重▪ 路由器可以阻隔广播，但是会成为性能瓶颈▪ 大量的未知单播流量和无意组播流量▪ 带来安全隐患▪ 难以管理和维护


4

路由与交换路由与交换局域网业务隔离技术

▪设计网络时，最好的办法是将广播流量限制在仅需要该广播的网络区域中。出于业务考虑，有些主机需要配置为能相互访问，有些则不能这样配置。例如，财务部的服务器就只能由财务部的成员访问。在交换网络中，人们通过创建虚拟局域网 (VLAN) 来按照需要将广播限制在特定区域并将主机分组。


5

路由与交换路由与交换 VLAN

▪ VLAN 是一种逻辑广播域，可以跨越多个物理 LAN 网段▪ 广播不会在 VLAN 之间转发，而是被限制在各自的 VLAN

中▪ VLAN 主要有两项作用：

- VLAN 可以限制广播。- VLAN 可以分组设备。不同 VLAN 中的设备相互不可见。

▪ VLAN 之间需要第 3 层设备才能相互传输流量


6

路由与交换路由与交换 VLAN 分割广播域

广播域广播

VLAN 1 VLAN 2

广播域

广播域广播


7

路由与交换路由与交换 VLAN 的规划

VLAN 的划分方法▪ 基于端口划分的 VLAN▪ 基于 MAC 地址划分 VLAN▪ 基于网络层协议划分 VLAN▪ 根据 IP 组播划分 VLAN▪ 根据子网划分 VLAN▪ 根据用户认证授权划分 VLAN


8

路由与交换路由与交换基于端口划分的静态 VLAN


9

路由与交换路由与交换基于 MAC 地址划分的动态 VLAN

我正在将该端口分配到 VLAN 18


10

路由与交换路由与交换交换机 VLAN 的范围

VLAN 的范围▪ 一共 4096 个可用 VLAN▪ 0 ， 4095 – 保留 ▪ 1 – 本地 VLAN▪ 2~~1001 – 用于以太网▪ 1002 ： FDDI-Default▪ 1003 ： Token-Ring-Default▪ 1004 ： FDDInet-Defaul▪ 1005 ： TRnet-default▪ 1024~~4094 – 用于扩展的以太网


11

路由与交换路由与交换 VLAN 基本配置

创建 VLAN▪ 方法一：

- 进入 vlan database 配置模式Switch# vlan database

- 创建 vlan 并给 vlan 命名Switch(vlan)# vlan vlan-id name vlan-name

▪ 方法二：- 进入全局配置模式

Switch# configure terminal- 创建 vlan 并进入 vlan 配置模式

Switch(config)#vlan vlan-id- 为 vlan 命名

Switch(config-vlan)#name vlan-name


12

路由与交换路由与交换 VLAN 基本配置（续）

删除 VLAN▪ 方法一：

- 进入 vlan database 配置模式Switch# vlan database

- 创建 vlan 并给 vlan 命名Switch(vlan)# no vlan vlan-id name vlan-name

▪ 方法二：- 进入全局配置模式

Switch# configure terminal- 创建 vlan 并进入 vlan 配置模式

Switch(config)#no vlan vlan-id


13

路由与交换路由与交换 VLAN 基本配置 ( 续 )

将交换机端口静态绑定到 VLAN▪ 从全局配置模式进入端口配置模式

- Switch(config)#interface interface-id

▪ 为端口定义 vlan 成员模式- Switch(config-if)# switchport mode access

▪ 将端口加入到指定 vlan 中- Switch(config-if) #switchport access vlan vlan-id

▪ 将一个端口从某个 vlan 中移出- Switch(config-if) #no switchport access vlan vlan-id


14

路由与交换路由与交换配置实例

Switch# configure terminalSwtich(conifig)# vlan 10 Swtich(config-vlan)# name JiaofeiSwtich(config-vlan)# exitSwtich(config)# vlan 20Swtich(config-vlan)# name OASwtich(config-vlan)#exitSwtich(config)# vlan 30Swtich(config-vlan)# name NMSwtich(config-vlan)# exitSwtich(conifig)# interface range fastEthernet 0/1 - 2Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 10Swtich(conifig-if)# exitSwtich(conifig)# interface fastEthernet 0/3Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 20Swtich(conifig-if)# exitSwtich(conifig)# interface fastEthernet 0/4Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 30

Switch# configure terminalSwtich(conifig)# vlan 10 Swtich(config-vlan)# name JiaofeiSwtich(config-vlan)# exitSwtich(config)# vlan 20Swtich(config-vlan)# name OASwtich(config-vlan)#exitSwtich(config)# vlan 30Swtich(config-vlan)# name NMSwtich(config-vlan)# exitSwtich(conifig)# interface range fastEthernet 0/1 - 2Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 10Swtich(conifig-if)# exitSwtich(conifig)# interface fastEthernet 0/3Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 20Swtich(conifig-if)# exitSwtich(conifig)# interface fastEthernet 0/4Swtich(conifig-if)# switchport mode accessSwtich(conifig-if)# swtichport access vlan 30


15

路由与交换路由与交换查看 VLAN 信息

Switch#show vlan brief

VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/0, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/1510 Jiaofei active Fa0/1, Fa0/220 OA active Fa0/330 NM active Fa0/41002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

Switch#show vlan brief

VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/0, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/1510 Jiaofei active Fa0/1, Fa0/220 OA active Fa0/330 NM active Fa0/41002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active



2 跨越交换机部署 VLAN


17

路由与交换路由与交换跨越多个交换机的 VLAN

1122

33

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3VLAN sVLAN s

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3

中继链路中继链路

VLAN 1VLAN 1 、、 22 、、 33


18


▪ 交换机给每个去往其他交换机的数据帧打上 VLAN 标识

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3

VLAN 1VLAN 1

VLAN 2VLAN 2

VLAN 3VLAN 3

中继链路（ Trunk ）

接入链路（ Access ）

VLAN 1 标记

VLAN 3 标记

VLAN 标识


19

路由与交换路由与交换 Trunk 与 Access 端口

Trunk 端口▪ 一条物理链路同时承载多个 VLAN 的数据▪ Cisco 默认属于所有 VLAN ， H3C 默认只属于本地

VLAN▪ 必须 100M 以上端口▪ 连接交换机 - 交换机，交换机 - 路由器

Access 端口▪ 仅属于某个特定 VLAN▪ 连接交换机 - 终端


20

路由与交换路由与交换 Trunk 与 Access 端口（续）


21

路由与交换路由与交换 VLAN 中继 -Trunk

Trunk 的封装格式： ISL 、 dot1Q▪ ISL 是 Cisco 专用的标准。

- 在以太网报文中增加了 26byte 作为 VLAN tag.

▪ Dot1Q 是 IEEE 制订的标准 802.1Q ，几乎所有的厂商设备都支持。- 在以太网报文中增加了 4byte 作为 VLAN tag.

▪ 802.1Q 标签帧比 ISL 标签帧包含更少的域，因为它是在标准以太网帧中插入 4 个字节的 tag 帧而不是放入标签头部信息。


22

路由与交换路由与交换 Cisco ISL工作原理和帧格式

中继链路中继链路VLAN 2VLAN 2

接入链路接入链路

ISLISL 头头2626 字节字节

CRCCRC44 字节字节


23

路由与交换路由与交换 ISL 帧格式

▪ DA ：一个多播地址（ 01.00.0c.00.00 ）它向接受方发出信号：这是一个 isl 帧▪ Type ： 4位封装帧类型描述符—— Ethernet(0000)、令牌环 (0001) 、 FDDI(0010) 、 ATM(0011) 。▪ User ：类型域扩展或定义 Ethernet优先级的 4位描述符，这是从最低优先级 0开始到最高优先级 3

的二进制值。▪ SA ：正在传输的 Catalyst 交换机的 48位源MAC 地址。▪ LEN ：减去 DA、类型、 user 、 SA 、 LEN 和 CRC 的 16位帧长度描述符。▪ AAAA03 ：标准 SNAP 802.2LLC头。▪ HSA ： SA 的头 3 个字节 ( 制造商 ID或组织机构惟一 ID) 。▪ VLAN ： 15 位 VLAN ID 。低 10位用于 1024 个 VLAN 。▪ BPDU ：说明帧是否是生成树 BPDU 的 1位描述符。如果封装的是 CDP 帧，此位也设置。▪ INDEX ：说明传输端口 ID 的 16位描述符，用于诊断。▪ RES ：用于其他附加信息的 16位保留域，如 FDDI 帧的 FCS 域。


24

路由与交换路由与交换 IEEE802.1Q 的工作原理和帧格式

中继链路中继链路接入链路接入链路

802.1Q 802.1Q 标记标记 44 字节字节


25

路由与交换路由与交换 802.1Q 帧格式


26

路由与交换路由与交换 802.1Q 帧格式（续）

▪ 标记协议标识符（ TPID ）- 是被全局分配的。定义值为 0x8100 ，表明一个帧是 802.1Q VLAN 数据帧。

▪ 标记控制信息（ TCI ）- 用户优先级（ priority ）：该域用来标记帧穿过交换机时携带用户优先级

信息，主要是 802.1p 使用（ qos里面有介绍）。其长度为 3 ，取值从 0---7 。

- 规范格式指示器（ CFID ）： cfid值为 0说明是规范格式，如运行 802.3数据帧，为 1说明是非规范格式（用在令牌环 /FDDI介质访问方法中）。其长度为 1 。

- VLAN ID ：标识帧所属的 VLAN ，其长度为 12 ，可以标识 4096 个VLAN 从 0—4095 。


27

路由与交换路由与交换 802.1Q Trunk 特性

tag 和 untag▪ 在 trunk 中，有两情形的数据，打上 VLAN tag 和没有

VLAN tag （ untag ）的数据。▪ Tag 数据 : 需要在 trunk 中透传的数据带有 VLAN tag ，在

不同交换机中相同 vlan tag 的数据即是同一个 VLAN 。▪ Untag 数据：在 trunk 中， untag 数据不带 VLAN tag ，交

换机从 trunk 上发送 native vlan 的数据时，将数据以untag 方式发送到 trunk 。

native VLAN▪ Native vlan 就是本地 VLAN ，交换机上每个端口都有一个

Native vlan 。在 Cisco 交换机和华为交换机上默认 native VLAN 为 VLAN 1 。


28

路由与交换路由与交换 802.1Q Native VLAN


29

路由与交换路由与交换 Native VLAN 的作用

▪ Vlan 1 成为一个特殊的 vlan是因为第 2 层设备需要一个默认 vlan 作为它们端口的归属，包括他们的管理端口，此外很多第 2 层协议，例如 BPDU , CDP, VTP, PAgP 和 DTP 需要在一个特定的 vlan 中发送消息，由于这些原因，选择了 vlan 1

▪ 默认 Vlan

▪ 本地 Vlan


30

路由与交换路由与交换 Trunk 的配置方法

通过 DTP 协议配置▪ DTP (Dynamic Trunking Protocol), 用来动态协商端口类型为

Access或者 Trunk 。要完成自动协商， 2 端口必须在同一个VTP domain 中。每 30s 发送一次 DTP 的 frame. 该协议仅在交换机间协商。

手动指定接口为 Trunk


31

路由与交换路由与交换 DTP 的工作模式


32

路由与交换路由与交换 DTP 的工作模式（续）


33

路由与交换路由与交换 DTP 配置方法

DTP 自动协商- switchport mode dynamic auto- switchport mode dynamic desirable- switchport mode trunk

Access 端口▪ 禁止 DTP 协商，禁止 Trunk ，将端口设置为终端接入模

式- switchport mode access

▪ 禁止 DTP ，强制设置 Trunk- switchport nonegotiate

Trunk 封装类型- switchport trunk encapsulation isl - switchport trunk encapsulation dot1q


34

路由与交换路由与交换 Trunk 端口配置示例

SW1(config)#interface fa 0/24SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunk




SW2SW1


35

路由与交换路由与交换查看端口状态

SW1#show interface f0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneAdministrative private-vlan host-association: noneAdministrative private-vlan mapping: noneOperational private-vlan: noneTrunking VLANs Enabled: ALLPruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALL

SW1#show interface f0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneAdministrative private-vlan host-association: noneAdministrative private-vlan mapping: noneOperational private-vlan: noneTrunking VLANs Enabled: ALLPruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALL

接口模式配置为 Trunk

接口工作模式为 Trunk

Trunk 协议类型为 802.1q

Trunk 可以承载所有的 VLAN


36

路由与交换路由与交换查看 Trunk 链路的状态

SW1#show interfaces trunk Port Mode Encapsulation Status Native vlanFa0/24 on 802.1q trunking 1

Port Vlans allowed on trunkFa0/24 1-4094

Port Vlans allowed and active in management domainFa0/24 1,20

Port Vlans in spanning tree forwarding state and not prunedFa0/24 1,20

SW1#show interfaces trunk Port Mode Encapsulation Status Native vlanFa0/24 on 802.1q trunking 1

Port Vlans allowed on trunkFa0/24 1-4094

Port Vlans allowed and active in management domainFa0/24 1,20

Port Vlans in spanning tree forwarding state and not prunedFa0/24 1,20


37

路由与交换路由与交换从 Trunk 中添加、删除 Vlan

去除 VLAN▪ Switch (config-if )# switchport trunk allowed vlan

remove vlan-list

添加 VLAN ▪ Switch (config-if)# switchport trunk allowed vlan

add vlan-list

检查中继端口允许 VLAN 的列表▪ Switch # show interface interface-id switchport


38

路由与交换路由与交换从 Trunk 中删除 Vlan 配置实例

SW1(config)#interface fastEthernet 0/24SW1(config-if)#switchport trunk allowed vlan remove 2SW1(config-if)#endSW1#show interface f0/24 switchport

Name: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneOperational private-vlan: noneTrunking VLANs Enabled: 1,3-1005Pruning VLANs Enabled: 2-1001Capture Mode Disabled

SW1(config)#interface fastEthernet 0/24SW1(config-if)#switchport trunk allowed vlan remove 2SW1(config-if)#endSW1#show interface f0/24 switchport

Name: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneOperational private-vlan: noneTrunking VLANs Enabled: 1,3-1005Pruning VLANs Enabled: 2-1001Capture Mode Disabled

VALN 2已经被移除，此时，连接在 SW1 上的 VLAN 2 的主机与连接在 SW2 上的VLAN 2 的主机之间不能互通



3 VLAN间单臂路由


40

路由与交换路由与交换 VLAN 间路由

不同 VLAN三层互访需求▪ 二层隔离：不同 VLAN 二层隔离，在企业网中，一般将

部门 / 业务划分多个 VLAN ，服务器组有独立的 VLAN 。▪ 三层互访需求：处在各个部门（各个 VLAN ）的企业员工存在互访需求，各个部门需要访问服务器。这些VLAN 之间的互访需要经过三层设备进行互通。

VLAN 间路由方法：单臂路由、三层交换▪ 单臂路由：在交换机上直接挂接路由器，也称之为旁挂

路由器。▪ 三层交换：交换机集成路由引擎，具备三层路由功能。


41

路由与交换路由与交换不适当的 VLAN 间路由方式

▪ 路由器与每个 VLAN 建立一条物理连接，浪费大量的端口

交换机

VLAN1 VLAN2 VLAN3

10.1.1.1/24E0/0

E1/0

E0/110.1.3.1/24

10.1.2.1/24

IP=10.1.1.2/24GW=10.1.1.1

IP=10.1.3.2/24GW=10.1.3.1

IP=10.1.2.2/24GW=10.1.2.1

Router


42

路由与交换路由与交换用 802.1Q 和子接口实现 VLAN 间路由

交换机

VLAN1 VLAN2 VLAN3

F0/0.110.1.1.1/24

F0/0

IP=10.1.1.2/24GW=10.1.1.1

IP=10.1.3.2/24GW=10.1.3.1

IP=10.1.2.2/24GW=10.1.2.1

F0/0.210.1.2.1/24

F0/0.310.1.3.1/24

802.1Q Trunk链路

HostA HostB HostC

Router


43

路由与交换路由与交换单臂路由转发原理

tag VLAN 间转发▪ 交换机将数据打上各自的 VLAN tag （将除 native

VLAN 之外）发送到路由器，路由器接口收到数据后剥离 vlan tag 进行路由选择，然后从接口上打上另一个VLAN tag 发送给交换机。

交换机接口 native VLAN 与路由器主接口互通▪ Native vlan 在 trunk 上不带 tag


44

路由与交换路由与交换单臂路由配置案例（ 1 ）

Router(config)#interface fastethernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#exitRouter(config)#interface fastethernet 0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastethernet 0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0

Router(config)#interface fastethernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#exitRouter(config)#interface fastethernet 0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastethernet 0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0

Switch(config)#interfce fastethernet 0/24Switch(config-if)#switchport trunk encapsulation dot1QSwitch(config-if)#switchport mode trunk


主接口对应 Native VLAN 的流量


45

路由与交换路由与交换单臂路由配置案例（ 2 ）

Router(config)#interface fastethernet 0/0.1Router(config-subif)#encapsulation dot1Q 1 nativeRouter(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#exitRouter(config)#interface fastethernet 0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastethernet 0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0

Router(config)#interface fastethernet 0/0.1Router(config-subif)#encapsulation dot1Q 1 nativeRouter(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#exitRouter(config)#interface fastethernet 0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastethernet 0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0



子接口对应 Native VLAN 的流量



4 案例相关网络产品介绍


47

路由与交换路由与交换 Cisco 交换机产品线


48

路由与交换路由与交换Cisco Catalyst 2960 系列交换机定位


49

路由与交换路由与交换 Catalyst 2960系列产品概述


50

路由与交换路由与交换 Catalyst 2960系列产品型号


51

路由与交换路由与交换企业远程接入网络配置举例



案例总结


53

路由与交换路由与交换专题总结

▪ 营业网点 /小型企业网络结构▪ dot1Q 封装格式▪ dot1Q Trunk 特性▪ 营业网点局域网二层环境数据流分析▪ Access 链路和 Trunk 链路的转发行为总结▪ 单臂路由转发原理▪ 营业网点局域网 VLAN 间路由数据流分析



案例相关实验


55

路由与交换路由与交换小型企业局域网项目实验


56

路由与交换路由与交换实验目标

实验目标：▪ 实现小型企业局域网二层广播域 VLAN 隔离和三层全

网全连通。▪ 掌握 VLAN 、 Trunk、单臂路由的配置方法▪ 分析小型企业局域网广播域大小及二层网络通信范围。▪ 分析 PC1 ping PC4 的三层通信过程和二层通信过程。▪ 分析 PC4 ping SW4 网管地址的三层通信过程和二层

通信过程。

实验演示实验演示



课后作业


58

路由与交换路由与交换课后作业

1. 请画出带有 dot1Q 封装的EthernetII 帧，并说明各部分的内容。

2. 请描述 VLAN 的作用。3. 在 Access 链路和 Trunk 链路的

转发行为是怎样的？ PC1 ： vlan 2192.168.2.2/24

PC2 ： vlan 3192.168.3.2/24

F0/0.1:192.168.2.1/24F0/0.2:192.168.3.1/24

sw1 sw2

PC3 ： vlan 2192.168.2.3/24

RA

4. 在图中，描述在 PC1 上 Ping PC2 和 PC3 的过程及中间设备的转发过程，写出过程中数据封装和解封装的过程、 ARP 的过程、数据帧在各个端口的长度。说明：假定 PC 和交换机的 ARP表和MAC表都还是空的。

5. 在营业网点组网中，随着业务增长，数据流量达到近乎 100M 时会有什么问题？如何解决这个问题？

专题 2 vlan 及交换机配置

Documents