==========================VLAN功能==========================
虛擬區域網路(Virtual Local Area Network,VLAN)
VLAN是一個邏輯群組的網路使用者與資源,連結到交換器上依管理意義而定義出來的port分割廣
播網域,降低碰撞的機率
=========================VLAN簡化管理========================
● 設定一個port到適當的VLAN中,就可完成網路的新增,遷移與修改
● 可將需要高安全性的一組使用者放入同一個VLAN,使得該VLAN以外的使用者無法與他們通訊
● 可對使用者進行功能性的邏輯分組
● VLAN加強網路安全性
● 縮小VLAN的規模,就可增加廣播網域的數目
管制廣播
● 協定類型
● 在互連網路上執行的應用服務
● 如何使用這些服務
===========================VLAN成員=========================
● 靜態VLAN(static VLAN)
根據主機需要屬於哪個VLAN(而不管裝置實際上的實體位置),來設定每個交換port的VLAN成員關係,
並以該IP網段作為分割的依據
● 動態VLAN(dynamic VLAN)
可根據MAC,協定,甚至應用服務來產生動態的VLAN
=========================VLAN實施方法========================
(1)根據port區分的VLAN
這是最常應用的一種VLAN區分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協定的交換器
都提供這種VLAN配置方法。這區分的方法是根據乙太網交換器的交換port來區分的,它是將VLAN交換
器上的實體port和VLAN交換器內部的PVC(永久虛擬電路)port分成若干個組,每個組構成一個虛擬網
,相當於一個獨立的VLAN交換器。
對於不同部門需要互訪時,可通過路由器轉送,並配合根據MAC地址的port過濾。對某站點的訪問路
徑上最靠近該站點的交換器、路由交換器或路由器的相應port上,設定可通過的MAC地址集。這樣就可以
防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。
從這種區分方法本身我們可以看出,這種區分的方法的優點是定義VLAN成員時非常簡單,只要將所有
的port都定義為互相對應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的
port,到了一個新的交換器的某個port,必須重新定義。
(2)根據MAC地址區分VLAN
這的方法是根據每個主機的MAC地址來區分,即對每個MAC地址的主機都配置他屬於哪個group
,它的機制就是每塊網卡都對應唯一的MAC地址,VLAN交換器跟蹤屬於VLAN MAC的地址。這
方式的VLAN允許網路用戶從一個實體位置移動到另一個實體位置時,自動保留其所屬的成員身份。
由這種區分的機制可以看出,最大優點就是當用戶實體位置移動時,即從一個交換器換到其他的
交換器時,VLAN不需重新配置,因為它是根據用戶,而不是根據交換器的port。缺點是初始化時
,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的,所以通常適
用於小型區域網路。而且這方法也導致了交換器執行效率的降低,因為在每個交換器的port都可
能存在很多個VLAN組的成員,保存了許多用戶的MAC地址,查詢起來相當不容易。
(3)根據網路層協定區分VLAN
VLAN按網路層協定來區分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路。
這種按網路層協定來組成的VLAN,可使廣播域跨越多個VLAN交換器。這對於希望針對具體應用和
服務來組織用戶的網路管理員來說是非常具有吸引力的。而且,用戶可以在網路內部自由移動,但其
VLAN成員身份仍然保留不變。
這種方法的優點是用戶的實體位置改變了,不需要重新配置所屬的VLAN,而且可以根據協定類型
來區分VLAN,這對網路管理者來說很重要,還有,這種方法不需要附加的frame tag來識別VLAN,
這樣可以減少網路的流量。這方法的缺點是效率低,因為檢查每個packet的網路層地址是需要消耗處
理時間的,一般的交換器晶片都可以自動檢查網路上packet的乙太網路frame header,但要讓晶片
能檢查IP frame header,需要更高的技術,同時也更費時。當然,這與各個廠商的實施方法有關。
(4)根據IP組播區分VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN。這種區分的方法將VLAN
擴大到了WAN,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,主要適合於不在
同一地理範圍的區域網路用戶組成一個VLAN,不適合區域網路,主要是效率不高。
(5)按策略區分VLAN
根據策略組成的VLAN能實施多種分配方法,包括VLAN交換器port、MAC地址、IP地址、網路層協定
等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。
(6)按用戶定義、非用戶授權區分VLAN
根據用戶定義、非用戶授權來區分VLAN,是指為了適應特別的VLAN網路,根據具體的網路用戶的特別
要求來定義和設計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要提供用戶口令,在得到VLAN
管理的認證後才可以加入一個VLAN。
============================辨識VLAN==========================
交換式環境中有兩種不同的鏈路:
● 存取鏈路(access link)-這只是一個VLAN的一部份,稱為port的原生(native)VLAN,任何連結至存取
鏈路的裝置都不會察覺到他是某個VLAN成員-該裝置只是假定他是廣播網域的一部份,並不了解實體網路
交換器在傳送訊框至存取鏈路的裝置之前,會先移除訊框中的VLAN資訊,存取鏈路的裝置無法與他們的
VLAN以外的裝置通訊,除非經過繞送的方式
● 主幹鏈路(trunk link)-主幹可運載多個VLAN,這個名稱是來自電話系統中,運載多個電話會談的主幹
主幹鏈路是2部交換器之間,交換器與路由器之間,或交換器與伺服器之間的100或1000Mbps點對點
鏈路,這些鏈路會運載多個VLAN的交通,一次從1到1005個,主幹通訊讓我們能使一個port同時成為多
個VLAN的一部份,因此使用者不需經過layer3裝置(router)就可登入並存取它,另一個好處就是在連接
Switch時,可承載一些或所有VLAN資訊,但如果Switch之間的鏈路不是主幹,只能交換VLAN1資訊
=========================VLAN的識別方式=========================
● 跨交換器鏈路(Inter-Switch Link,ISL)- 這是屬於Cisco Switch的方法,只用於快速乙太網路與Gigabit
乙太網路的鏈路,ISL遶送可用於交換port,路由器介面,以及伺服器介面卡上,以主幹鏈路連結至伺服器
,如果想要產生功能性VLAN,且不打破80/20法則(80%在區網,20%跨越網段),以主幹連結的伺服器同
時是所有VLAN的一部份,所以使用者不必穿越layer3裝置就可存取它
●IEEE 802.1Q - IEEE所產生用來在訊框上貼標籤的標準方法,這個方法實際上會插入一個欄位置訊框中
,以識別VLAN,如果要在Cisco Switch與其它廠牌交換器之間建立主幹鏈路,則必須使用802.1Q,才能運作
=========================VLAN主幹通訊協定========================
VLAN主幹通訊協定(VLAN Trunking Protocol,VTP),也是Cisco建立的,不過這不是Cisco專屬的,他的基
本目的是要管理交換式互聯網路上所有設定的VLAN,以及維護整個網路的一致性,VTP讓管理員可新增,刪除
,以及重新命名VLAN - 然後散播到VTP網域中的所有其他交換器
VTP優點:
‧網路中的所有交換器之間有一致的VLAN設定
‧允許VLAN以主幹連結魚混合網路上,例如乙太網路到ATM LANE甚至是FDDI
‧正確的紀錄與監視VLAN
‧動態地廣告新增的VLAN給VTP網域中所有交換器
‧隨插即用地新增VLAN
===========================VTP運作模式=========================
● 伺服器(Server)-所有Catalyst交換器的預設模式,VTP網域中一定要有一部伺服器,以傳播VLAN資訊
到整個網路上,且必須要在server模式才能產生,新增,更改,刪除VTP網域中的VLAN
● 客戶端(Client)-在client模式,交換器會接收來自VTP伺服器的資訊,也收受更新封包,但不能改變,沒有
儲存在NVRAM中
● 透通(transparent)-通透模式的交換器不參與VTP網域,但仍會透過設定的主幹鏈路來轉送VTP宣傳
,她們不能新增或刪除,只保留自己的資料庫,雖然保留在NVARM中,但實質上只有本機的意義
============================VLAN語法==========================
靜態VLAN
1.設定VLAN名稱
Switch(config)#vlan 2 name sales
Switch(config)#vlan 3 name marketing
Switch(config)#exit
或
Switch(config)#vlan 2
Switch(config-vlan)#name sales
Switch(config-vlan)#vlan 3
Switch(config-valn)#namae marketing
Switch(config-vlan)#^z
P.S. VLAN 1為預設的,不能修改,刪除,或是重新命名
2.指定交換port給VLAN
Switch(config)#int E0/2
Switch(config)#vlan-membership static 2 //指定介面2給vlan2
Switch(config)#int E0/4
Switch(config)#vlan-membership static 3 //指定介面4給vlan3
或
Switch(config-if)#int f0/2
Switch(config-if)#switchport access vlan 2
Switch(config-if)#int f0/3
Switch(config-if)#switchport access vlan 3
3.設定主幹port
Switch(config)#int f0/26
Switch(config-if)#trunk {auto|desirable|nonegoniate|off|on}
//自動|想要的 |不協商 |關閉|開啟
或
Switch(config)#int f0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#^z
4.設定跨VLAN遶送
必須要有router或是layer 3的交換器
(1)ISL遶送
Switch(config)#int f0/0.1
Switch(config-if)#encapsulation isl vlan# //vlan#表示他在哪個區塊
(2)802.1Q遶送
Switch(config)#int f0/0.1
Switch(config-if)#encapsulation dot1q vlan#
P.S.當產生主幹鏈路時,預設上所有VLAN都可以讓資料通過
5.設定VTP
Switch(config)#vtp ?
Switch(config)#vtp client //設成客戶端模式,無法新增,修改,刪除
Switch(config)#vtp server //設成伺服器模式(預設為伺服器模式)
Switch(config)#vtp domain 伺服器名稱 //相同的domain才會分享VTP資訊
Switch(config)#vtp password 密碼 //VTP密碼
====================================================================
Switch config部分
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#int f0/2
Switch(config-if)#switchport access vlan 1
Switch(config-if)#int f0/3
Switch(config-if)#switchport access vlan 1
Switch(config-if)#int f0/4
Switch(config-if)#switchport access vlan 3
Switch(config-if)#int f0/5
Switch(config-if)#switchport access vlan 3
Switch(config-if)#int f0/6
Switch(config-if)#switchport access vlan 2
VLAN1:192.168.10.16/28
VLAN2:192.168.10.32/28
VLAN3:192.168.10.48/28
Router(config)#int f0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#int f0/0.1
Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 192.168.10.17 255.255.255.240 //使用範圍中的任一個IP做VLAN都可以
Router(config-subif)#int f0/0.2
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 192.168.10.33 255.255.255.240
Router(config-subif)#int f0/0.3
Router(config-subif)#encapsulation dot1q 3
Router(config-subif)#ip address 192.168.10.49 255.255.255.240
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/46, Fa0/48
2 VLAN0002 active
4 VLAN0004 active Fa0/38, Fa0/39
5 VLAN0005 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0
4 enet 100004 1500 - - - - - 0 0
5 enet 100005 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 3276 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 15 ibm - 0 0
Switch#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/46, Fa0/48
2 VLAN0002 active
4 VLAN0004 active Fa0/38, Fa0/39
5 VLAN0005 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Switch#sh vtp status
VTP Version : 2
Configuration Revision : 343
Maximum VLANs supported locally : 254
Number of existing VLANs : 199
VTP Operating Mode : Client
VTP Domain Name : SwitchTPA
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0x02 0xD1 0x35 0x8E 0x0A 0xF3 0x9E 0x40
Configuration last modified by 123.123.123.2 at 6-23-10 08:48:52
什麼是SPI防火牆呢?
D-Link DIR--655 以貴族氣息的白, 打敗市面上所有的無線機種, 
)
)
。)
歡迎大家到GOMINI的粉絲團來幫我們按讚
QR code在此請掃
