Vlan(虚拟局域网)

Virtual Local Area Network

Vlan Deployment（vlan部署）

    端到端vlan（End-to-End Vlans）

本地有若干交换机，楼宇间用一个2层交换机相连，同时连接到本地，连接的交换机都用trunk封装。

用户在vlan中物理位置，可以不在同一物理位置（如，不再一栋楼里），可以在局域网中移动用户物理位置，仍可使用。不同物理位置，交换机可以拥有其他位置的vlan。可以通过vtp获取。

优点：地理位置比较分散可以再不同的楼层上，可以执行相同的策略，安全或者qos，被应用到同一个组的用户里和物理位置无关。

缺点：所有的交换机需要知道所有的vlan，但可以通过vtp学习。广播信息会泛洪到所有vlan。端到端的vlan排错会相对麻烦，某个干线出现问题不易发现其位置。

端到端vlan构建时考虑的问题：

需要多少信息点，用多少vlan，每个vlan对应的ip，vlan起什么名字，方便之后排错。用户大致多少，用哪个网段，子网掩码是多少。用什么干线，vtp的情况。

本地vlan（Local  Vlans）

本地若干交换机用trunk连接到3层汇聚交换机，交换机用路由指向其他位置的3层的汇聚或者核心交换机。本地和其他位置的vlan信息不同步。用户不可随意更换物理位置。

        优点：容易排错，应为本地的vlan信息相对，不易混淆。

        缺点：需要更多的三层设备。

两种vlan类型的区别

    本地vlan，由于是3层设备指向路由器和连接其他的3层交换机是路由，所有它们之间会跑路由协议，如ospf。

    端到端vlan%80的流量在外部，%20的流量在内部。

    本地vlan%20的流量在外部，%80的流量在内部。

Vlan配置命令

    Switch（config）#vlan3                                        创建vlan

    Switch（config-vlan）#name accounting                        vlan命名为 accounting

    Switch（config-vlan）#exit                                    退出

    Switch（config）#interface fa0/1                                进入f0/1    端口

Switch（config-if）#switchport mode access                    端口为ACCESS模式

Switch（config-if）#switchport access vlan 3                    端口关联vlan3

Switch（config-if）# switchport trunk encapsulation dot1q            将接口封装为dot1q

Switch（config-if）# switchport mode trunk                     端口为静态trunk模式（必须封装后敲打命令）

Switch（config-if）# switchport trunk native vlan 999                修改本征vlan为999

Switch（config-if）# switchport nonegotiate                    关闭trunk动态协商

Switch（config-if）# switchport trunk allowed vlan remove 50-60    移除50至60vlan，50-60不允许通过

Switch（config-if）# switchport trunk allowed vlan add 50            允许vlan50 通过

Switch（config-if）# switchport mode dynamic desirable            启动trunk动态企望模式

Switch（config-if）# switchport mode dynamic auto                启动trunk动态自动模式

Switch（config-if）#end                                    大退

Switch（config）#vlan 5,7-9                                    创建多个vlan

Switch#show vlan                                            查看VLAN信息

Switch#delete vlan.dat                                        删除vlan信息

创建vlan后需要退出，或者再创建一个vlan后，vlan才会生效

建议配置trunk时，先shutdown端口

本征vlan（vative vlan）：不打标，不封装。默认为vlan1，一般情况下本征vlan为vlan1，不走流量，安全起见一般修改本征vlan。交换机间trunk本征vlan要一致。

DTP （Dynamic Trunk Protocol）协议封装类型：

dot.1q,ISL

    Dot.1q(802.1q)：

适用于所有厂家。在以太帧中插入tag位封装，tag位4字节，其中有vlan的标记。拆入tag后需要重新校验。因为字节数小，所有效率更高。

    ISL：（inter-swith link）交换机间链路协议

cisco私有。对以太帧进行头尾封装，头26字节，尾4字节，其中有vlan的标记。

DTP配置命令

    Switch（config-if）# switchport mode trunk                 端口为静态trunk模式（必须封装后敲打命令）

    Switch（config-if）# switchport trunk encapsulation isl/dot1.q    端口封装为isl或者dot1.q模式

    Switch（config-if）#switchport nonegotiate                    关闭trunk动态协商信息

Pvlan（private vlan）私有vlan

Switchport protected接口模式下打此命令，该接口可以和同一vlan接口通讯，该vlan的其他接口不可以和此接口通讯，但可以和外部通讯。增加安全性，起到端口保护功能。

    如果设置私有vlan，在vtp中必须设置成透明模式。

Pvlan分为两种主vlan和辅助vlan

    辅助vlan

混杂端口，一般情况下，所有设备都能连接的vlan端口是混杂端口。

    隔离vlan（Isolated）

隔离vlan的端口叫隔离端口，端口在隔离vlan中，他们之间是不能互相访问，不可以访问团体端口，但可以访问混杂端口。

    团体vlan（community）

团体vlan的端口叫团体端口，团体vlan团体内可以相互互访，不同团体不可以互访。可以和混杂端口互访。

配置PVLANs

Switch(config-vlan)#private-vlan [primary | isolated | community]

定义该vlan为私有vlan为主vlan或团体vlan或隔离vlan

Switch(config-vlan)#private-vlan association {secondary_vlan_list | add svl | remove svl}

    定义该vlan为主vlan后，关联私有子vlan 号 添加 或者 删除

Switch#show vlan private-vlan type 查看私有vlan类型

配置PVLAN端口

Switch(config-if)#switchport mode private-vlan {host | promiscuous}  将接口定义为私有vlan的主机接口（包括团体，隔离端口）或混杂端口。

Switch(config-if)#switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID}

Switch(config-if)#private-vlan mapping primary_vlan_ID {secondary_vlan_list | add svl | remove svl}

Switch#show interfaces private-vlan mapping

动态vlan

VMPS（vlan management policy sever）管理策略服务器(

Vmps可以再ftp服务器中设置好mac地址和vlan的绑定关系，在vmps交换机中输入ftp的ip地址，保证ftp和vmps可以通信，当一个在ftp中存好的vlan和mac绑定的信息的pc进入网络中，pc会发包给客户端交换机，客户端交换机，转发给vmps交换机，vmps交换机到ftp服务器上下载vlan和mac地址信息，转发给客户端交换机，告知客户端交换机，这个端口适用哪个vlan。

较少设备支持vmps，现在很少使用。

动态vlan配置命令

Vmps配置命令

客户端配置命令

Switch（config-if）#switchport access vlan dynamic             启动该端口为动态vlan端口

客户端交换机 配置此命令后会自动到vmps服务器上寻找mac地址和vlan的对应关系，从而在本地端口对应服务器上mac地址和vlan的映射。

以太通道（Etherchannel）

    以太通道可以捆绑链路，增大带宽，提供冗余，最多提供通道。

    PAGP（port aggregation protocol）端口聚合协议

        PAGP是思科私有协议，同dtp相同可以两端协商联通。

    LACP (Link Aggregation Control Protocol)链路汇聚控制协议

        LACP是IEEE 802.3ad的标准公有协议，

CHANNEL配置命令：

interface range f0/1,f0/2                                  进入F0/1，F0/2接口

(config-if-range)#channel-group 1 mode on           channl编号为1 模式on

模式下还有desirable主动协商，auto被动协商（PAGP），actvie主动协商，passive被动协商(LACP)

(config)#show ip channel brif                                查看channl情况

Interface             IP-Address    OK? Method   Status     Protocol

Port-channel 1        unassigned    YES manual     up          up

查看后会出现多了一个端口如上。

(config)#int port-channel 1                                    进入channl一端口

之后可以进行trunk封装类型如：

switchport mode dynamic desirable

show run后会显示出来

(config)#port-channel load-balance src-dst-mac

Channel接口 负载均衡 基于 源和目的MAC

Spanning tree protocal生成树协议

802.1D stp（50s）

    1,选择根桥（网桥ID[BID]）=网桥优先级+mac地址[基mac地址]）

    思科设备默认为pvst每vlan生成树

Rstp不兼容pvst，兼容pvst+

            下载本文