0


三层交换机实现VLAN间通信

一、基础知识

1、VLAN基础知识

第二层交换式网络存在很多缺陷。例如,全网属于一个广播域,极易引起广播碰撞和广播风暴等问题,必然会造成网络带宽资源的极大浪费;网络安全性不高,所有用户都可以监听到服务器以及其他设备端口发出的数据包;蠕虫病毒泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络阻塞和瘫痪。

虚拟局域网(VLAN) ,允许一组不限物理位置的用户群共享一个独立的广播域,可在一个物理网络中划分多个 VLAN,即可使不后的用户群属于不同的广播域。这样,通过划分用户群,控制广播范围等方式VLAN 技术能够从根本上解决网络效率与安全性等问题。

实际局域网划分VLAN 后,每个 VLAN 是一个单独的广播域,所以在默认情况下,不同 VLAN 中的计算机之间无法通信。允许此类计算机之间通信的种方法是 VLAN 间路由,它是使用三层设备 (如三层交换机或路由器)从一个VLAN向另一个 VLAN转发网络流量的过程。

在企业网和校园网中,三层交换机解决了局域网 VLAN必须依赖路由器进行管理的局面。利用三层交换机在局域网中划分 VLAN,可以满足用户端多种灵活的逻辑组合,对不同 VLAN之间可以根据需要设定不同的访问权限,以此增加网络的整体安全性,极大地提高网络管理员的工作效率,而且三层交换机可以合理配置信息资源,降低网络配置成本,使得交换机之间的连接变得灵活。

每个VLAN与网络中唯一的IP 子网相关联,VLAN 中的每个设备配置一个相同网段的IP 地址,不同的 VLAN 使用不同网段的IP 地址。这种子网VLAN 关联简化了多 VLAN 环境中的路由处理。三层交换机属于三层设备,因此,它是实现 VLAN 间设备通信的良好选择。

为了使第三层交换机执行路由功能,交换机上的 VLAN 接口须配置合适的IP 地址,该IP 地址就是该 VLAN 中主机的网关地址。

管理员可以手动指定交换机之间的链路是否形成中继,交换机也可以采用DTP(Dynamic Trunk Protocl) 自动协商形成中继链路。DTP有4种协商形成中继链路的模式。negotiate 模式强制把交换机接口置于中继模式,并会主动发送协商包或者响应对方的协商包;desirable 模式期望把交换机接口置于中继模式,并会主动发送协商包或者响应对方的协商包,只要对方能响应协商包,则交换机之间的接口会成功协商成中继模式;auto 模式不会主动发送协商包,但会响应对方的协商包,如果对方主动发送了协商包,则会成功协商成中继模式!nonegotiate 模式把接口强制置于中继模式,但不会主动发送协商包,也不响应对方的协商包,除非对方也已经把接口强制置于中继模式,否则交换机之间的接口无法形成中继链路。

2、VLAN中继

由于VLAN的设置通常按逻辑功能而非按物理位置进行,同一 VLAN跨越任意物理位置的多个交换机的情况更为常见。那么,怎样才能使主机间完成正确的识别并进行 VLAN 的内部通信呢?这里包含两层意思:一是属于同一VLAN的成员之间如何实现通信,二是属于不同 VLAN 的数据在交换时如何区分(或者说如何标识)。VLAN 中继 (Trunk Link) 技术就是解决这个问题的有效方法。VLAN 中继是以太网交换机端口和另一个连网设备 (如路由器或交换机)的以太网端口之间的点对点链路,负责在单个链路上传输多个 VLAN的流量。VLAN 中继不属于某个具体的 VLAN,而是作为交换机之间或交换机与路由器之间传输VLAN信息的通道。

3、VTP基础知识

随着中小型企业网络中的交换机数量的增加,全局统筹管理网络中的多个VLAN和中继成为了一个难题。Cisco开发了一种能帮助网络管理员自动完成 VLAN的创建、删除和同步等工作的技术,即虚拟局域网中继协议 (VLANTrunk Protocol,VTP)。

VTP 的主要优点:

  • 使用VTP可以减少配置的工作量,减少配置错误的概率,减少配置的不一致性;

  • VTP是用来通告VLAN信息的;

  • VTP 的作用仅仅在一个管理域内 (可以自己设置哪些交换机属于管理域).

  • VTP 只在trunk端口上传播,普通的access端口上是不会传播VTP信息的

VTP 用来管理和配置整个 VLAN交换网络。它允许网络管理员添加、册除或重新配置交换网络,并同时提供对多种网络介质的支持,能够准确、及时地跟踪和监测 VLAN信息,动态地向所有的网络交换机报告当前的网络状况例如 VLAN的添加或删除等。这些新增的 VLAN还具有即插即用的特性,允许管理员在同一个域内管理多个 VLAN。域中所有交换机通过 VTP 通告共享VLAN配置的详细信息,VTP 域包括一台交换机或者共享相同 VTP 域名的多台互连交换机,一台交换机每次只能成为一个 VTP 域的成员。配置 VTP 域的好处是,如果发生配置更改错误,它可以限制该错误在网络中的传播范围。

要成功配置 VTP 服务器,需要遵循以下原则:

  • VTP域名是交换机上设置的关键参数。错误配置的VTP域名将影响交换机之间的VLAN同步。

  • 在第一台交换机上配置VTP域后,VTP将开始通告VLAN信息。其他通过中继链路相连的交换机会自动接收VTP通告中的VTP域信息。

  • 确保VTP域名称精确匹配。特别注意,VTP域名区分大小写。

  • 如果要配置VTP口令,要确保对域内需要交换VTP信息的所有交换机上设置相同的口令,没有口令或口令错误的交换机将拒绝VTP通告例如,在全局配置模式下输入“vtp password cisco”后,则要求在这个VTP域内的其他所有交换机都执行这条命令。

  • 在VTP服务器上启用VTP之后,再创建VLAN。在启用之前所创建的VLAN会被自动删除。

二、常用命令

1、创建vlan

vlan <vlan ID> [name <vlan名>]

例如:Switch(config)#vlan 10 name xiaoqiang,即创建名为xiaoqiang、ID名为10的VLAN。[ ]里的为可选参数。

2、设置vlan名

name vlan-name

例如:Switch(config-vlan)#name soft_sziit。

3、设置vtp域名

vtp domain <域名>

例如:命令Switch3560(vlan)#vtp domain xiaoqiang 就是设置VTP的域名为xiaoqiang。

随着中小型企业网络中的交换机数量的增加,全局统筹管理网络中的多个VLAN和中继成为了一个难题。Cisco开发了一种能帮助网络管理员自动完成 VLAN的创建、删除和同步等工作的技术,即虚拟局域网中继协议 (VLANTrunk Protocol,VTP)。

4、进入VLAN数据库

vlan database

5、设置端口为存取模式

switchport mode access

6、将端口添加到指定VLAN ID的VLAN中

switchport access vlan <vlan ID>

例如:命令Switch1(config-if)#switchport access vlan 20,即把当前端口划分到VLAN 20中。

7、将当前端口置为永久中继模式

switchport mode trunk

8、把交换机的接口主动变为中继模式

Switchport mode dynamic desirable

例如,思科3560交换机的接口默认是auto模式,如果另一端的交换机接口不是nonegotiate中继协商模式,那么进入端口模式,采用上述命令就可以把当前端口主动协商成中继模式。

9、设置交换机VTP工作模式

vtp mode server|client|transparent

例如:命令Switch1(config)#vtp mode client就是设置交换机工作在VTP客户模式,server为服务器模式,transparent为透明模式。

10、显示VLAN信息

show vlan

11、显示VTP状态

show vtp status

12、显示交换机的端口信息

show interface 端口名 switchport

例如,命令show interface f0/24 switchport可以查看交换机的f0/24口是否处于中继状态、DTP协商中继模式等信息

三、学习情景

学院的信息中心拟按照学院行政部门把学校校园网划分成三个VLAN,校园网的计算机按部门分为三组,分别属于不同的VLAN。计算机的分组情况是:第一组计算机PC11、PC12和PC13属于学院计算机应用系,划分到第一个VLAN;第二组计算机PC21、PC22 和PC23 属于学院软件系,划分到第二个 VLAN,第三组计算机PC31、PC32和 PC33 属于学院通信系,划分到第三个 VLAN,校园网由一台 3560交换机和三台 2960 交换机组成。

四、网络拓扑图

五、相关参数

计算机名

IP地址

VLAN ID

网关

PC0

192.168.10.10

10

192.168.10.254

PC1

192.168.20.10

20

192.168.20.254

PC2

192.168.30.10

30

192.168.30.254

PC3

192.168.40.10

40

192.168.40.254

六、配置计算机IP地址

以PC0为例,其他的和PC0设置方法基本相同

七、VTP域配置

1、在3560三层交换机上配置VTP域名

Switch3560#vlan database
Switch3560(vlan)#vtp domain xiaoqiang
Domain name already set to xiaoqiang
Switch3560(vlan)#ex

2、用命令show vtp status查看当前3560交换机的VTP信息

Switch3560#show vtp status

查看结果:

3、配置Switch0和Switch1的VTP相关参数

下面以Switch0为例设置VTP的域名和工作模式。可以按照同样的命令设置Switch1。

Switch0>en
Switch0#conf t
Switch0(config)#vtp mode client
Setting device to VTP CLIENT mode.
Switch0(config)#vtp domain xiaoqiang
Changing VTP domain name from NULL to xiaoqiang

4、创建VLAN

由于在当前的网络中,只有Switch 3560工作在VTP服务器模式,所以,在Switch3560上创建校园网的VLAN。

Switch3560#vlan database
Switch3560(vlan)#vlan 10
VLAN 10 added:
    Name: VLAN0010
Switch3560(vlan)#vlan 20
VLAN 20 added:
    Name: VLAN0020
Switch3560(vlan)#vlan 30
VLAN 30 added:
    Name: VLAN0030
Switch3560(vlan)#vlan 40
VLAN 40 added:
    Name: VLAN0040
Switch3560(vlan)#ex
APPLY completed.
Exiting....

5、建立交换机的中继链路

  • 建立Switch3560与Switch0之间的中继链路
Switch3560#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch3560(config)#int f0/1
Switch3560(config-if)#switchport mode dynamic desirable
  • 建立Switch3560与Switch1之间的中继链路
Switch(config-if)#int f0/2
Switch(config-if)#switchport mode dynamic desirable

6、查看VLAN信息

分别查看两个交换机上的VLAN信息

八、配置各个VLAN网关

在Switch3560上配置各个VLAN网关,这样三层交换机就会产生VLAN间通信所需要的路由表项。

Switch3560#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch3560(config)#int vlan 10
Switch3560(config-if)#ip add 192.168.10.254 255.255.255.0
Switch3560(config-if)#int vlan 20
Switch3560(config-if)#ip add 192.168.20.254 255.255.255.0
Switch3560(config-if)#int vlan 30
Switch3560(config-if)#ip add 192.168.30.254 255.255.255.0
Switch3560(config-if)#int vlan 40
Switch3560(config-if)#ip add 192.168.40.254 255.255.255.0
Switch3560(config-if)#exit
Switch3560(config)#ip routing

ip routing开启三层交换机路由功能(必不可少)

九、验证

PC0分别ping PC1,PC2,PC3

标签: 网络 运维

本文转载自: https://blog.csdn.net/qq_55869380/article/details/128586688
版权归原作者 7天-小青椒 所有, 如有侵权,请联系我们删除。

“三层交换机实现VLAN间通信”的评论:

还没有评论