08第8章 VLAN配置.docx
- 文档编号:27536128
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:44
- 大小:125.46KB
08第8章 VLAN配置.docx
《08第8章 VLAN配置.docx》由会员分享,可在线阅读,更多相关《08第8章 VLAN配置.docx(44页珍藏版)》请在冰豆网上搜索。
08第8章VLAN配置
目录
第8章VLAN配置8-1
8.1简介8-1
8.1.1VLAN基本概念8-1
8.1.2VLAN间的通信8-5
8.1.3VLAN聚合8-7
8.2配置子接口支持VLAN间的通信8-8
8.2.1建立配置任务8-8
8.2.2配置子接口的IP地址8-9
8.2.3配置子接口封装dot1q8-9
8.2.4检查配置结果8-9
8.3配置基于端口的VLAN8-10
8.3.1建立配置任务8-10
8.3.2创建VLAN并配置其属性8-11
8.3.3配置交换式以太网接口的属性8-12
8.3.4将交换式以太网接口加入到VLAN中8-12
8.3.5配置VLAN间路由8-13
8.3.6检查配置结果8-13
8.4配置VLANTrunk8-14
8.4.1建立配置任务8-14
8.4.2配置接入VLAN8-14
8.4.3配置端口允许多个VLAN通过8-15
8.4.4检查配置结果8-15
8.5配置VLAN聚合8-16
8.5.1建立配置任务8-16
8.5.2配置sub-VLAN8-17
8.5.3创建super-VLAN8-17
8.5.4配置VLAN接口的IP地址8-18
8.5.5检查配置结果8-18
8.6配置VLAN的Stacking和Mapping功能8-18
8.6.1建立配置任务8-18
8.6.2配置VLANStacking功能8-19
8.6.3配置VLANMapping功能8-19
8.6.4检查配置结果8-20
8.7维护8-20
8.7.1清除VLAN报文统计信息8-20
8.7.2调试VLAN8-20
8.8配置举例8-21
8.8.1配置不同VLAN通过路由器通信示例8-21
8.8.2配置VLAN与非VLAN通过路由器通信示例8-23
8.8.3配置基于端口的VLAN示例8-24
8.8.4配置VLANTrunk示例8-27
8.8.5配置Trunk接口示例8-29
8.8.6配置VLAN聚合示例8-30
8.9故障处理8-31
8.9.1向VLAN中加入端口失败8-31
8.9.2删除VLAN失败8-31
8.9.3配置VLAN接口失败8-32
8.9.4把VLAN设置成super-VLAN失败8-32
8.9.5把VLAN加入到super-VLAN时失败8-33
8.9.6从Trunk端口中删除VLAN时失败8-33
第8章VLAN配置
虚拟以太网VLAN(VirtualLocalAreaNetwork)用于在一个LAN内隔离广播域和实现虚拟工作组。
下表列出了本章包含的内容。
如果您需要……
请阅读……
了解VLAN的基本概念
简介
使用路由器的三层接口实现VLAN间通信
配置任务:
配置子接口支持VLAN间的通信
配置举例1:
配置不同VLAN通过路由器通信示例
配置举例2:
配置VLAN与非VLAN通过路由器通信示例
使用VLANIF接口实现VLAN间通信
配置任务:
配置基于端口的VLAN
配置举例:
配置基于端口的VLAN示例
实现不同交换机下同一VLAN的用户互通
配置任务:
配置VLANTrunk
配置举例1:
配置VLANTrunk示例
配置举例2:
配置Trunk接口示例
解决多个VLAN占用IP地址过多
配置任务:
配置VLAN聚合
配置举例:
配置VLAN聚合示例
部署大量VLAN
配置任务:
配置VLAN的Stacking和Mapping功能
清除VLAN统计信息、调试VLAN
维护
检测和排除VLAN的运行故障
故障处理
8.1简介
8.1.1VLAN基本概念
1.为什么要划分VLAN
(1)冲突域
以太网采用基于载波侦听多路访问/冲突检测CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect)技术,网络中的所有节点共享一条总线,同一时刻只能有一台主机发,其他主机只能收。
如果多台主机同时发送报文,会在总线上发生冲突。
当多个主机通过双绞线连接到集线器HUB(星型结构),或者通过同轴电缆串连(总线型结构)时,所有互联在共享物理介质上的主机形成一个物理上的冲突域(CollisionDomain),一般看作一个局域网的网段(LANsegmentation)。
一个冲突域中的主机数量不能太多。
否则,大量冲突将导致网络效率降低,甚至不可用。
解决上述问题的办法是使用透明网桥(TransparentBridge)或局域网交换机(LANSwitch)。
网桥(Bridge)可以连接2个冲突域,实现隔离冲突。
而从网桥技术发展出来的局域网交换机(LANswitch)能够隔离多个冲突域。
连接多个以太网的局域网交换机称为以太网交换机。
说明:
本手册中将局域网交换机简称为交换机。
交换机根据接收到的数据帧的源MAC地址建立MAC-PORT映射表。
对于收到的数据帧,如果能够在表中查到目的MAC地址,则把帧发送到向对应的端口;如果找不到,就向所有端口发送。
这样,交换机将冲突域隔离在各自的端口,不扩展到其他端口。
(2)广播域
交换机虽然可以隔离冲突,但会将收到的广播报文向所有端口转发。
在由交换机组成的网络中,一台主机发出的广播报文会被网络中的所有其他主机接收。
这样的网络称为一个广播域(BroadcastDomain),也称为LAN。
如果LAN的规模很大,网络中存在的大量广播报文同样会降低网络利用率。
对广播域的隔离是通过路由器实现的。
(3)VLAN
为了解决交换机无法限制广播的问题,出现了VLAN技术。
VLAN将一个物理的LAN在逻辑上划分成多个广播域(多个VLAN)。
VLAN内的主机间可以直接通信,而VLAN间不能直接互通,这样,广播报文被限制在一个VLAN内,
除了划分广播域,VLAN还可以满足更复杂的网络应用。
例如,一个写字楼租给不同的企业客户,如果这些企业客户都建立各自独立的LAN,企业的网络投资成本将很高;如果各用户共用写字楼已有的LAN,又会导致企业信息安全无法保证。
采用VLAN,可以实现各企业客户共享LAN设施,同时保证各自的网络信息安全。
图8-1是一个典型的VLAN应用。
3台交换机放置在不同的地点,比如写字楼的不同楼层。
每台交换机分别连接3台计算机,他们分别属于3个不同的VLAN,比如不同的企业客户。
在图中,一个虚线框内表示一个VLAN。
图8-1VLAN的典型应用示意图
2.VLAN的划分
理论上有如下几种VLAN划分方式:
●基于端口:
根据交换机的端口编号来划分VLAN。
计算机所属的VLAN由端口所属的VLAN决定。
●基于MAC地址:
根据计算机网卡的MAC地址来划分VLAN。
●基于网络层协议:
例如将运行IP的计算机划分为一个VLAN,将运行IPX的计算机划分为另一个VLAN。
●基于网络地址。
●基于应用层协议。
IEEE于1999年颁布了802.1Q协议标准草案,定义了基于端口和MAC地址划分VLAN的标准。
说明:
VRP实现基于端口的VLAN划分。
3.VLAN帧格式
IEEE802.1Q标准对Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1QTag,如图8-2所示。
图8-1基于802.1Q的VLAN帧格式
802.1QTag包含4个字段,其含义如下:
●Type:
长度为2字节,表示帧类型。
取值为0x8100时表示802.1QTag帧。
如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
●PRI:
长度为3比特,表示帧的优先级,取值范围为0~7,用于QoS。
●CFI:
CanonicalFormatIndicator,长度为1比特,表示MAC地址是否是经典格式,用于令牌环网和FDDI。
●VID:
VLANID,长度为12比特,表示该帧所属的VLAN。
在VRP中,VLANID0用于表示缺省VLAN。
4.端口类型
在802.1Q中定义VLAN帧后,有些设备的端口可以识别VLAN帧,有些设备的端口则不能识别VLAN帧。
根据对VLAN帧的识别情况,将端口分为4类:
Access端口、Trunk端口、Hybrid端口、Q-in-Q端口。
前三种端口的区别如表8-1所示。
表8-1端口差异比较
端口类型
对帧的识别情况
是否允许带Tag的帧
用途
Access端口
只识别Ethernet帧,不识别VLAN帧
-
用于交换机与计算机直接连接
Trunk端口
能识别普通VLAN帧和默认VLAN帧,允许多个VLAN的帧通过
只允许缺省VLAN的帧不带Tag,其余通过的帧必须带Tag
用于交换机与交换机连接
Hyprid端口
能识别普通VLAN帧和默认VLAN帧,允许多个VLAN的帧通过
通过的帧可以带Tag,也可以不带Tag
用于交换机与包含交换机和计算机的网络连接
Q-in-Q端口是Q-in-Q协议使用的端口类型。
说明:
Q-in-Q协议的核心思想是只为每个用户分配一个公网VLAN号,当带Tag的用户报文进入服务提供商的骨干网络时,统一插入新分配的公网VLAN号,当报文到达骨干网另一侧的PE设备时,剥离新加的公网VLANtag,还原出用户报文后再传送给CE设备。
由于在骨干网中传递的报文有两层802.1qTag头(一个公网Tag,一个私网Tag),所以称之为Q-in-Q协议。
说明:
●CE(CustomerEdge):
用户网络边缘设备,有接口直接与服务提供商SP(ServiceProvider)网络相连。
●PE(ProviderEdge):
服务提供商边缘路由器,是服务提供商网络的边缘设备,与CE直接相连。
5.交换机对帧的处理
交换机对帧的处理包括三个过程。
(1)接收过程
接收的帧可以是带Tag的VLAN帧,也可以是不带Tag的普通Ethernet帧。
交换机根据接收帧的端口类型及配置决定对帧的操作:
增加Tag、直接丢弃或继续处理。
(2)查找和路由过程
二层交换机根据帧的目的MAC地址、VLANID,查找VLAN配置信息,决定把帧发送到哪个端口。
(3)发送过程
将帧从出端口发送到以太网段。
出端口可以配置对Tag的处理。
例如,如果出端口所在网段上的主机不能识别802.1QTag,则先将该Tag去掉后再发送;如果出端口与其他交换机相连,则直接发送,保持Tag不变。
8.1.2VLAN间的通信
划分VLAN后,不同VLAN的计算机之间不能实现二层通信。
如果在VLAN间通信,需要建立IP路由。
有两种实施方案。
说明:
大多数设备只支持下述两种方式中的一种,请根据设备的实际情况选择实施方案。
1.部署路由器
多数情况下,LAN通过交换机的以太网接口(交换式以太网接口)与路由器的以太网接口(路由式以太接口)相连,如图8-3所示。
图8-1通过路由器实现VLAN间的通信
假定在交换机上已划分了VLAN2和VLAN3。
为实现VLAN2和VLAN3间的通信,需要在路由器与交换机相连的以太网接口上创建2个子接口,在子接口上配置802.1Q封装和IP地址。
并将交换机与路由器相连的以太网端口类型改为Hybrid,允许VLAN2和VLAN3的帧通过。
详细的配置过程,请参见“配置子接口支持VLAN间的通信”。
2.在交换机上配置VLANIF接口
如果交换机支持IP路由特性,就可以不通过路由器实现VLAN间通信。
在图8-4所示的网络中,交换机上划分了2个VLAN:
VLAN2和VLAN3。
此时可在交换机上创建2个VLAN接口,并为它们配置IP地址和路由,实现VLAN2与VLAN3的通信。
图8-1通过VLANIF实现VLAN间的通信
说明:
配置VLAN后,就可以通过interfacevlanif命令创建VLAN接口。
VLAN接口是一种虚拟接口,具有三层属性。
8.1.3VLAN聚合
为了在交换机上实现VLAN间通信,需要为每个VLAN接口配置一个IP地址,以实现VLAN间路由。
如果VLAN很多,将占用许多IP地址资源。
VLAN聚合(VLANaggragation)可以解决多个VLAN占用多个IP地址的问题。
VLAN聚合是将多个VLAN集中在一起,形成一个super-VLAN。
组成super-VLAN的VLAN被称作sub-VLAN。
可以创建一个VLAN接口,使其对应一个super-VLAN,只在该接口上配置IP地址,不必为每个sub-VLAN分配IP地址,所有sub-VLAN共用IP网段,从而解决IP地址使用效率的问题。
VLAN聚合的详细介绍可参考RFC3069(VLANAggregationforEfficientIPAddressAllocation)。
8.2配置子接口支持VLAN间的通信
8.2.1建立配置任务
1.应用环境
如果要实现VLAN之间的三层互通,必须使用路由器或三层交换机连接各个VLAN。
本节介绍通过部署路由器实现VLAN间互通的解决方案。
为了实现不同VLAN之间的通信,需要在路由器的与交换机相连的以太网接口上创建子接口,再在子接口上分别配置封装802.1Q。
2.前置任务
在配置接口封装VLAN协议之前,需创建以太网子接口并配置其物理属性。
3.数据准备
在配置接口封装VLAN协议之前,需准备以下数据:
序号
数据
1
路由器以太网接口编号和子接口号
2
子接口的IP地址及掩码
3
接口所属VLANID的范围
4.配置过程
序号
过程
1
配置子接口的IP地址
2
配置子接口封装dot1q
3
检查配置结果
8.2.2配置子接口的IP地址
步骤
操作
命令
1
进入系统视图
system-view
2
创建子接口并进入子接口视图
interface{ethernet|gigabitethernet}interface-number.subinterface-number
3
配置子接口的IP地址
ipaddressip-address{mask|mask-length}[sub]
8.2.3配置子接口封装dot1q
步骤
操作
命令
1
进入系统视图
system-view
2
进入子接口视图
interface{ethernet|gigabitethernet}interface-number.subinterface-number
3
设置子接口的封装类型及关联的VLANID
vlan-typedot1qlow-vid[high-vid]
缺省情况下,子接口上无封装,也没有与子接口关联的VLANID。
为了保证VLAN的连通性,两端的子接口关联的VLANID必须相同。
说明:
VRP支持在一个子接口下最多关联64个VLAN,但在实际路由器上只能配置一个VLAN,即,实际可用的命令形式为vlan-typedot1qlow-vid。
8.2.4检查配置结果
步骤
操作
命令
1
查看VLAN信息
displayvlan[vlan-id]
2
查看指定VLAN的报文收发统计信息
displayvlanvlan-idstatistics
3
查看指定子接口的VLAN报文收发统计信息
displayvlanstatistics{vidvlan-id|interface{ethernet|gigabitethernet}interface-number.subinterface-number}*
8.3配置基于端口的VLAN
8.3.1建立配置任务
1.应用环境
华为公司的通用交换路由器NE40和NE40E提供两类以太网接口板:
●交换式以太网接口板:
提供交换式以太网接口,只具备二层特性,不能切换成三层模式(路由式)。
●路由式以太网接口板:
提供路由式以太网接口,可以配置三层特性,并可以通过命令切换到二层模式(交换式)。
只有交换式以太网接口才能加入到VLAN。
VRP实现基于端口的VLAN划分,并提供以下VLAN属性的配置。
●VLAN广播属性:
当VLAN的一个端口收到一个广播报文或收到单播报文,但在MAC地址表中没有对应目的MAC地址时,该端口将向VLAN内的其他端口广播该报文。
如果配置了静态MAC地址表项,或者为了安全需要限制恶意广播报文,可以禁止在VLAN上转发广播报文。
●禁止VLAN的MAC地址学习:
在配置了静态MAC地址表的情况下,可以禁止VLAN上的MAC地址学习功能,以提高安全性。
启动VLAN上的MAC地址学习功能时,为了保持转发效率,可对MAC地址表中MAC地址的数量进行限制。
并设置当MAC地址的数量超过限制值时采取的动作,如discard(丢弃)或forward(转发),或alarm(向网管发送告警)。
2.前置任务
在配置基于端口的VLAN之前,需完成对端口的特性的配置。
3.数据准备
在配置基于端口的VLAN之前,需准备以下数据:
序号
数据
1
VLAN的编号
2
VLAN上MAC地址表的表项限制值
3
加入到VLAN中的以太网接口的编号
4
以太网接口的类型以及优先级值
5
VLAN接口的IP地址和子网掩码
4.配置过程
序号
过程
1
创建VLAN并配置其属性
2
配置交换式以太网接口的属性
3
将交换式以太网接口加入到VLAN中
4
配置VLAN间路由
5
检查配置结果
说明:
如果需要配置多个VLAN,则需要重复上面的配置过程1~3。
如果交换机支持三层特性,并且各VLAN之间需要互相通信,则需要配置VLAN间的路由。
8.3.2创建VLAN并配置其属性
步骤
操作
命令
1
进入系统视图
system-view
2
创建VLAN并进入VLAN视图
vlanvlan-id
3
配置VLAN的广播属性
broadcastdisable
4
配置VLAN上的MAC地址学习功能
mac-addresslearningdisable
5
配置VLAN上的MAC地址的限制
mac-limit{action{discard|forward}|alarm{disable|enable}|maximummaxrateinterval}*
VLAN的编号范围为1~4094。
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN视图。
缺省情况下,使能VLAN的广播属性,使能VLAN的MAC地址学习。
8.3.3配置交换式以太网接口的属性
步骤
操作
命令
1
进入系统视图
system-view
2
进入以太网接口视图
interface{ethernet|gigabitethernet}interface-number
3
设置端口为交换式端口
portswitch
4
设置端口的类型
portlink-type{access|dot1q-tunnel|hybrid|trunk}
5
设置端口的优先级
portprioritypriority-value
6
设置端口所属的缺省VLAN
portdefaultvlanvlan-id
如果交换式以太网接口直接与计算机连接,则该接口需要配置成Access端口或Hybrid端口。
如果交换式以太网接口与另一个交换机的以太网接口连接,则该接口需要配置成Trunk端口或Hybrid端口。
当同一VLAN下有多个端口时,可以指定端口的优先级,优先级取值范围为0~7,值越大优先级越高。
优先级高的端口收到的报文将被优先转发。
8.3.4将交换式以太网接口加入到VLAN中
有两种方法可以将交换式以太网接口加入到VLAN中,如下。
1.在以太网接口视图下配置端口的缺省VLAN
步骤
操作
命令
1
进入系统视图
system-view
2
进入以太网接口视图
interface{ethernet|gigabitethernet}interface-number
3
设置端口所属的缺省VLAN
portdefaultvlanvlan-id
2.在VLAN视图下指定VLAN包含的端口
步骤
操作
命令
1
进入系统视图
system-view
2
创建VLAN并进入VLAN视图
vlanvlan-id
3
配置VLAN包含的端口
portinterface-type{interface-number1[tointerface-number2]}&<1-10>
加入VLAN的端口必须是交换式接口。
输入端口范围时,应保证输入的端口格式正确,关键字to之后的端口号要大于to之前的端口号,并要保证采用to形式输入的端口类型相同,且两者之间包含的端口都存在。
一条port命令中,最多可以使用10次to形式输入10个端口范围。
8.3.5配置VLAN间路由
步骤
操作
命令
1
进入系统视图
system-view
2
创建VLAN接口
interfacevlanifvlan-id
3
配置VLAN接口的IP地址
ipaddressip-address{mask|mask-length}[sub]
创建VLAN接口时,相关联的VLAN必须已经存在。
创建VLAN接口后,可以在VLAN接口上配置IP特性,操作方法跟其他以太网接口的配置类似。
不同VLAN接口的IP地址应该在不同的网段,这样不同VLAN的用户之间才具有可达的路由。
8.3.6检查配置结果
步骤
操作
命令
1
查看VLAN信息
displayvlan[vlan-id]
2
显示VLAN接口信息
displayinterfacevlanif[vlan-id][|{begin|exclude|include}regular-expression]
3
显示Trunk端口上可通过的VLAN信息
displayportallow-vlan[interface-typeinterface-number]
4
查看指定VLAN的报文收发统计信息
displayvlanvlan-idstatistics
5
查看指定子接口的VLAN报文收发统计信息
displayvlanstatistics{vidvlan-id|interface{ethernet|gigabitethernet}interface-number.subinterface-number}*
8.4配置VLANTrunk
8.4.1建立配置任务
1.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 08第8章 VLAN配置 08 VLAN 配置