⑷帧标记 不同VLAN的主机跨越多台交换机的工作原理：接收到帧的每台 交换机必须首先识别帧标记中的VLAN ID，然后通过查看过滤表中 的信息，就知道该对帧进行哪些处理，如果接收到帧的交换机有另 一条中继链路，帧就从中继链路端口转发出去。 中继端口同时支持有标记的和非标记的流量，对于非标记的流 量要穿越的VLAN，中继端口将被分配一个默认的端口VLAN ID，这 种VLAN也称为本机VLAN，默认时，始终是VLAN 1 ⑸VLAN识别方法 ①交换机间链路(ISL)：是一种在以太网帧上显式地标记VLAN 信息的方法，通过一种外部封装方法(ISL),这种标记信息允许VLAN 在中继链路上实现多路复用，从而允许交换机在中继链路上识别出 帧的VLAN成员关系。运行ISL可将多台交换机互联起来，流量在交 换机之间的中继链路上传送时，仍然维持VLAN信息，ISL在第2层起 作用，并用新的报头和循环冗余校验(CRC)对数据帧进行封装。ISL 是Cisco交换机的专用方法。
第9章 虚拟局域网(VLAN)
学习目标： 学习目标：
• VLAN简介 1、在纯交换式网络中，通过创建虚拟局域网(VLAN)可以隔离广 播域。VLAN是两个部分的逻辑组合： ①网络用户 ②在管理上连接到交换机所定义端口资源 2、VLAN简化网络管理的方式： ①通过将某个端口配置到合适的VLAN 中，就可以实现网络的 添加、移动和改变 ②将对安全性要求高的一组用户放入VLAN 中，这样VLAN外部 的用户就无法与它们通信 ③作为功能上的逻辑用户组，VLAN独立于它们的物理位置或地 理位置 ④VLAN可以增加网络安全性 ⑤VLAN增加了广播域的数量，减小了广播域的范围
• 在接入层采用二层交换机，并且要采取一定方式 分隔广播域 • 核心交换机采用高性能的三层交换机，接入层交 换机分别通过1 换机分别通过1条上行链路连接到三层交换机，由 三层交换机实现VLAN之间的路由 三层交换机实现VLAN之间的路由 • 2台二层交换机之间分布在两个不同的办公地点。 • 接入交换机上实现对VLAN的分配，将广播域控制 接入交换机上实现对VLAN的分配，将广播域控制 在一个部门
项目背景介绍
该公司的具体环境如下：
1、公司内部具有2个办公地点 、公司内部具有2 2、公司具有的3个部门，业务部、财务部、技术部为主要的办 、公司具有的3 公场所，因此这部分的交换网络对可用性和可靠性要求较高 3、办事处只有较少办公人员，但需要公司的内网互相访问的 能力 4、公司内部使用私网地址
项目需求
⒉二层交换机、三层交换机和多层交换机 ⑴二层交换机的特点： ①基于硬件的交换。 ②线速转发的能力。 ③良好的可扩展性。 ④低反应时间。 ⑤低开销。 ⑥使用MAC地址作为转发数据帧的依据。 ⑵三层交换机的特点： ①基于硬件的数据包路由能力。 ②高性能的包交换能力。 ③优秀的可扩展性。 ④低反应时间。 ⑤更低的端口开销。 ⑥流量统计。 ⑦提供网络安全。 ⑧提供QOS。
对于VTP在交换机之间传送VLAN信息，要求是： ①两台交换机的VTP管理域名必须设置为一样 ②其中一台交换机必须配置为VTP服务器 ③不需要路由 6、VTP操作模式 ①服务器：默认模式 ②客户机：接收VTP服务器信息，发送和接收更新。 ③透明：不参与VTP域的工作，不与其他交换机共享VLAN数据 库，仍然将通过任何已经配置好的中继链路转发VTP通告。 7、VTP修剪 VTP提供一种方式来保存带宽，通过配置它来减小广播、组播 和单播的数量，VTP修剪只将广播发送到真正需要该信息的中继链 路上。
二层交换机、三层交换机和多层交换机 ⑴交换(Switch)是在一个接口上收到数据帧并且从另一个接口上将该数据 帧发送出去的过程。 ⑴路由器或者三层交换机的路由模块使用三层交换路由数据包，二层交 换机使用二层交换转发数据帧。 ⑵二层交换是基于MAC地址的，三层交换是基于网络层地址。 ⑶二层交换机通过读取封装数据帧头理的目的MAC地址，了解该数据帧 所要去的物理位置，然后通过和MAC地址表里的条目对比，找到该数据 帧所要被发送去的端口或接口，将它转发。交换机向所有端口发送相同数 据帧的操作叫“洪泛”。
8、VLAN之间的路由 单臂路由的配置 9、配置VLAN Switch(config)#vlan ? <1-1005> ISL VLAN IDs 1-1005 Switch(config)#vlan ID Switch(config-vlan)#name 名称 10、将交换机端口分配到VLAN Switch(config)#interface f 0/1 Switch(config-if)#switchport access vlan 10 10、配置中继端口 Switch(config)#interface f 0/2 Switch(config-if)#switchport mode trunk 11、在3560交换机上配置中继 Switch(config)#interface f 0/1 Switch(config-if)#switchport trunk encapsulation dot1q
12、在中继端口上定义允许的VLAN Switch(config)#interface f 0/10 Switch(config-if)#switchport trunk ? allowed Set allowed VLAN characteristics when interface is in trunking mode native Set trunking native characteristics when interface is in trunking mode Switch(config-if)#switchport trunk allowed ? vlan Set allowed VLANs when interface is in trunking mode Switch(config-if)#switchport trunk allowed vlan ? WORD VLAN IDs of the allowed VLANs when this port is in trunking mode add add VLANs to the current list all all VLANs except all VLANs except the following none no VLANs remove remove VLANs from the current list Switch(config-if)#switchport trunk allowed vlan all
13、变更或修改中继端口本机VLAN Switch(config)#interface f 0/10 Switch(config-if)#switchport trunk native vlan ID 14、配置VLAN之间的路由 15、配置VTP ⑴VTP服务器端 Switch(config)#vtp mode server Device mode already VTP SERVER. Switch(config)#vtp domain 123 Changing VTP domain name from NULL to 123 Switch(config)#vtp password todd Setting device VLAN database password to todd
3、VLAN的特性 ⑴广播域的控制 每种协议都会产生广播域，产生广播域的频度取决于： ①协议类型 ②运行在互联网上的应用程序 ③怎样使用这些服务 ⑵安全性 ⑶灵活性和可扩展性 4、VLAN成员关系 ⑴静态VLAN：将交换机端口分配到每个VLAN中，是常用的方法。 静态VLAN是最安全的，容易设置和监控，根据VLAN成员关系手工配 置每个交换机端口。 ⑵动态VLAN：基于MAC地址、协议甚至应用程序创建VLAN。
⑶VLAN的识别 交换机端口是第2层接口，与物理端口相联系。如果交换机端 口是访问端口，那么它只能属于某一个VLAN；如果交换机端口是中 继端口，那么它将属于所有VLAN。 ①访问端口：只能属于某一个VLAN，只能承载某一个VLAN流量， 流量只以本机格式接收和发送，不会带有VLAN标记。 ②语音访问端口：交换机允许向交换机上的访问端口添加第二 个VLAN，以传送语音流量，称为语音VLAN，又称为辅助VLAN，它将 被覆盖在数据VLAN之上，使得两种类型的流量能够通过同一个端口 进行传送。 ③中继端口：中继链路是两台交换机之间的点对点链路，也可 以是交换机与路由器之间的或者是交换机与服务器之间的链路，能 够承载多个VLAN的通信量。中继可以使单个端口同时成为多个不同 VLAN的一部分。
实验拓扑
SW-A F0/23 F0/24 SW-A：VLAN10：192.168.10.1/24 ： ： VLAN20：192.168.20.1/24 ： VLAN30：192.168.30.1/24 ：
VTP修剪的命令： Switch#show interface trunk Port Mode Encapsulation Fa0/1 on 802.1q Fa0/2 on 802.1q Port Fa0/1 Fa0/2 Port Fa0/1 Fa0/2 Vlans allowed on trunk 1-1005 1-1005
②IEEE 802.1Q：由IEEE创建，作为帧标记的标准方法，在帧中插入一 个字段，以表示VLAN。原理是：首先指定准备采用802.1q封装来实现中 继的每个端口，必须为端口分配特定的VLAN ID，使它们称为本机VLAN， 以便它们通信。属于同一个中继链路的端口所创建的工作组成为本机 VLAN，每个端口用反映本机VLAN的标识号作为标记，默认为VLAN 1， 本机VLAN允许中继链路传送所接收到的没有任何VLAN标记或帧标记信 息。 ⑹VLAN中继协议(VTP) VTP的基本目标是跨越交换式互联网络管理所有已经配置好的VLAN，并 在那个网络上维护其一致性，VTP允许管理员对VLAN进行添加、删除和 更名，并将这些信息传播到VTP域中的所有其他交换机上。VTP的好处： ①在网络中所有的交换机上实现VLAN配置一致性 ②允许VLAN在混合式网络中实现中继链路 ③VLAN精确跟踪和监控 ④将所添加的VLAN动态报告给VTP域中的所有交换机 ⑤添加VLAN时的即插即用