第 5 章 配置虚拟局域网

5.1 虚拟局域网简介

　虚拟局域网（ Virtual Local Area Network,VLAN ）是将局域网从逻辑上划分为多个子网，实现虚拟工作组的一种交换技术。　每一个 VLAN就是一个子网，也称为一个网段。同一个 VLAN中的主机可相互通信，不同 VLAN间的主机不能直接相互通信。在配置了 VLAN 接口地址后， VLAN间可实现相互通信。　利用 VLAN，可隔离 VLAN间的广播通信，缩小广播域。

5.2 VLAN 的分类

　 1.　静态 VLAN

　静态 VLAN就是明确指定各端口所属 VLAN的一种划分方法。也称为基于端口的 VLAN 。

　一个 VLAN的端口可以是同一台交换机的任意端口，也可分别来自不同的交换机端口。　 2.　动态 VLAN

　动态 VLAN是根据每个端口所连的计算机，动态设置端口所属 VLAN的划分方法。动态 VLAN使用较少。

5.3 Trunk 链路与封装协议

　 1.　Trunk链路　当一个 VLAN的所属端口来自两个不同的交换机时，这两台交换机的互联链路，必须采用 Trunk链路。　 Trunk链路允许不同 VLAN的流量共同通过。因此链路的流量压力较大，必须至少是 100M的端口，才能做为 Trunk链路的端口。　 Trunk链路如下图所示：

5.3 Trunk 链路与封装协议

　 Trunk链路：

5.3 Trunk 链路与封装协议

　 2.　Trunk链路的封装协议　由于 Trunk链路是各 VLAN流量的共同通道，必须有一种方法来标识这些数据帧各属于哪一个 VLAN 。

　 VLAN封装协议用于对流经 Trunk链路的数据帧进行打标封装，附加上 VLAN信息，以便交换机在接收到该数据帧后，可通过 VLAN标识，将数据帧转发到对应的 VLAN中去。　 VLAN 封装协议有国际标准的 IEEE　802.1Q 和

Cisco厂商标准的 ISL 。

5.3 Trunk 链路与封装协议

　（ 1 ） IEEE　802.1Q封装协议　所附加的 VLAN识别信息，位于数据帧源 MAC地址与类型域之间，共 4 个字节。 IEEE　802.1Q对数据帧的封装过程如下图所示：

5.3 Trunk 链路与封装协议

　（ 2 ） ISL封装协议　仅 Cisco的交换机和路由器支持。 ISL采取在数据帧的头部附加 26字节的 ISL包头，并在数据帧的尾部带上包括 ISL包头在内的整个数据帧进行计算后得到的 4 字节的 CRC校验值，因此，封装后共增加了30个字节的信息。

5.4 VTP 管理域

　 1.　何时需要创建 VTP管理域　只有当所创建的 VLAN 和 VLAN所属的端口中，分布在两台或多台交换机时，才有可能需要创建 VTP管理域。　利用 VTP管理域，可实现对 VLAN配置信息的自动管理。　 2.　VTP简介　 VTP （ VLAN　Trunking　Protocol ）是一个在建立了 Trunk链路的交换机之间，同步和传递 VLAN配置信息的协议，以在同一个 VTP管理域中维持 VLAN

配置的一致性。

5.4 VTP 管理域

　 2.　VTP简介　 VTP 有 Server 、 Clinet 和 Transparent三种工作模式，这些工作模式决定了是否允许指定的交换机管理 VLAN 、 VTP如何传送和同步 VLAN配置信息。（ 1 ） Server模式　 Server模式是交换机默认的工作模式，允许创建、修改和删除本地 VLAN数据库中的 VLAN，并允许设置一些对整个 VTP域的配置参数。

5.4 VTP 管理域

（ 1 ） Server模式　在对 VLAN 进行创建、修改和删除操作之后， VLAN配置信息的变化，会自动传递到 VTP域中处于 Server 或 Client模式的其它交换机，以实现对VLAN配置信息的同步。　另外，处于 Server模式的交换机，也可以接收同一个 VTP域中，其它交换机发送来的同步信息。

5.4 VTP 管理域

（ 2 ） Client模式　处于该工作模式的交换机不能创建、修改和删除VLAN。它主要通过 VTP域内其它的交换机的 VLAN

配置信息来同步和更新自己的 VLAN配置。（ 3 ） Transparent模式　可以创建、修改和删除 VLAN，但对 VLAN配置的变化，不会传播给其它交换机，即仅对处于透明模式的交换机自身有效。

5.4 VTP 管理域

3. 创建 VTP 管理域

　（ 1）创建 VTP管理域　命令： vtp　domain　domain_name

　示例：　 S3550#vlan　database

　 S3550(vlan)#vtp　domain　cqddvtp

　　VTP　domain　cqddvtp　modified.

　 S3550(vlan)#

5.4 VTP 管理域

3. 创建 VTP 管理域

　（ 2）设置 VTP模式　命令： vtp　server|client|transparent

　（ 3）查看 VTP信息　命令： show　vtp　status

5.5 VLAN 的创建与配置

5.5.1 配置案例

　参见教材第 169 页的例 5.1。5.5.2 创建 VLAN

　 1.　VLAN的创建命令　命令： vlan　vlan-id　name　vlan-name

　若要创建编号为 10 的 VLAN，则创建命令为 vlan　

10

　另外，在创建 VLAN时，还可给 VLAN取一个标识名称。　 例 如 ， c3550(vlan)#vlan　 10　 name　

teachergroup

　 2.　配置实例 参见教材第 171 页。

5.5 VLAN 的创建与配置

5.5.3 划分 VLAN 端口

　 1.　VLAN端口的划分　 VLAN端口的划分就是将指定的端口，划分指派到各自所属的 VLAN 。

　划分方法分为二步，第一步是选择要划分指派的端口，第二步，使用 switchport　access　vlan　vlan-id

命令进行划分指派。

5.5 VLAN 的创建与配置

5.5.3 划分 VLAN 端口

　 2.　配置实例　 S3560#config　t

　 S3560(config)#int　range　fa0/2　–　14

　 S3560(config-if)#switchport　access　vlan　10

　 S3560(config-if)#int　range　fa0/15　–　20

　 S3560(config-if)#switchport　access　vlan　20

　 S3560(config-if)#int　range　fa0/21　–　24

　 S3560(config-if)#switchport　access　vlan　30

5.5 VLAN 的创建与配置

5.5.4 配置 VLAN 子接口

　 1.　VLAN子接口简介　每一个 VLAN 均有一个虚拟的 VLAN子接口，通过给该子接口配置接口 IP地址，可实现 VLAN间的相互通信。配置接口地址后，由于各 VLAN在同一台交换机上，它们属于直连，可直接相互通信，不需要用户配置路由。

5.5 VLAN 的创建与配置

5.5.4 配置 VLAN 子接口

　 2.　VLAN子接口的配置项　对 VLAN子接口的配置，可配置两个方面，即接口IP地址和配置指定 DHCP 服务器的地址。　为 VLAN子接口配置指定 DHCP 服务器的地址后，该 VLAN网段就可实现动态 IP地址的分配。

5.5 VLAN 的创建与配置

5.5.4 配置 VLAN 子接口

　 3.　VLAN子接口的配置命令　 interface　vlan　vlan-id

　 ip　address　address netmask

　 ip　helper-address　dhcp-server-address

　 no　shutdown

5.5 VLAN 的创建与配置

5.5.4 配置 VLAN 子接口

　 4.　配置实例S3560(config)#int　vlan　10

S3560(config-if)#ip　 address　 192.168.1.1　

255.255.255.0

S3560(config-if)#int　vlan　20

S3560(config-if)#ip　 address　 192.168.2.1　

255.255.255.0

S3560(config-if)#int　vlan　30

S3560(config-if)#ip　 address　 192.168.3.1　

255.255.255.0

5.6 配置 Trunk 链路

5.6.1 配置案例

　参见教材第 174 页的例 5.2。5.6.2 Trunk 链路的配置方法　 1.　配置交换机端口的工作模式　交换机端口的工作模式有 access 和 trunk两种，对于 Trunk链路两端的端口，工作模式必须设置为trunk。　配置命令： switchport　mode　access|trunk

　 2.　配置 Trunk链路封装协议　 switchport　trunk　encapsulation　isl|dot1q

5.6 配置 Trunk 链路

5.6.2 Trunk 链路的配置方法　 3.　配置 Trunk链路允许通过的 VLAN

　（ 1）绝对指定方式　 switchport　trunk　allowed　vlan　vlanlist

　若要允许所有 VLAN通过，则配置命令为：　 switchport　trunk　allowed　vlan　all

　若要允许 vlan　1 、 vlan　10 、 vlan　20 和 vlan　

30通过，则命令为：　 switchport　trunk　allowed　vlan　1,10,20,30

5.6 配置 Trunk 链路

5.6.2 Trunk 链路的配置方法　 3.　配置 Trunk链路允许通过的 VLAN

　（ 2）相对指定方式　默认允许通过的 VLAN 号为 1002-1005 和 VLAN　

1。可在此基础上增加或删除不允许通过的 VLAN 号。　指定不允许通过的 VLAN，配置命令：　 switchport　 trunk　 allowed　 vlan　 remove　

vlanlist

　增加允许通过的 VLAN，配置命令：　 switchport　trunk　allowed　vlan　add　vlanlist

5.6 配置 Trunk 链路

5.6.3 案例的配置实现　 1.　配置接入层交换机　配置内容：创建和划分 VLAN　10 和 VLAN　20，配置 Fa0/24 为 trunk端口。　 2.　配置汇聚层交换机　配置内容：创建 VLAN　10 和 VLAN　20 ，配置Fa0/24 为 Trunk口，并配置 VLAN子接口的 IP地址。　 3.　校验配置结果

5.7 单臂路由器的配置与应用

应用场合：只有二层交换机和路由器，要划分多个网段，并要实现网段间的相互通信的应用场合。5.7.1 应用案例　参见教材第 177 页的例 5.3。

5.7 单臂路由器的配置与应用

5.7.2 单臂路由器的实现方法　 1.　网络拓扑结构分析

5.7.2 单臂路由器的实现方法

　 2.　实现方法　 VLAN的划分在二层交换机上完成，由于不支持路由功能，故二层交换机无法提供这些 VLAN的虚拟子接口，无法实现 VLAN间的相互通信。　可利用外置的路由器的路由功能，来实现 VLAN间的相互通信。实现方法是：二层交换机与路由器采用Trunk链路互联，在路由器的互联端口通过划分子接口，来作为各 VLAN的虚拟子接口使用。

5.7.2 单臂路由器的实现方法

　 3.　创建子接口　 Cisco三层交换机和路由器支持创建子接口，即在一个物理接口上，根据应用的需要，创建出多个逻辑子接口，其创建方法是利用选择端口的命令，选择相应的子接口即可。　例如，若物理接口为 Fa0/1，则子接口分别为：Fa0/1.1 、 Fa0/1.2 、 Fa0/1.3…

5.7.2 单臂路由器的实现方法

　 4.　配置子接口的封装协议和所属 VLAN

　创建子接口，实际上就是先选中该子接口，然后对该子接口进行配置即可。　对子接口的配置主要是配置 Trunk封装协议和该子接口所属的 VLAN，即作为哪一个 VLAN的虚拟子接口，以及该子接口的 IP地址。　配置子接口的封装协议和所属 VLAN的配置命令为：　 encapsulation　dot1Q|isl　vlan-id

5.7.2 单臂路由器的实现方法

　例如：若要配置 Fa0/1.1子接口采用 dot1Q封装协议，用作 VLAN　10的虚拟子接口，并配置接口地址为 192.168.1.1/24，则配置命令为：Router(config)#int　fa0/1.1

Router(config-if)#encapsulation　dot1Q　10Router(config-subif)#ip address 192.168.1.1

255.255.255.0

　 经 过 以 上 配 置 后 ， VLAN 10 的 网 关 地 址 就 是192.168.1.1 。

5.7.3 案例的配置实现

　参见教材第 180 页至第 181 页。

5.8 华为交换机 VLAN 的创建与配置

　 1.　创建 VLAN

　命令： vlan vlan-id

　 　 华为和华三交换机也使用 vlan 命令来创建VLAN，但不支持利用 name来为该 VLAN指定描述文字。　华为和华三可使用单独的 description命令，来为VLAN指定描述文字，用于描述说明该 VLAN的用途。　 [Quidway]vlan　20

　 [Quidway-vlan20]description　studentgroup

　删除 VLAN使用命令： undo　vlan　vlan-id

5.8 华为交换机 VLAN 的创建与配置

　 2.　划分 VLAN端口　 Cisco交换机一次可选择一个或多个连续的端口，华为和华三交换机无法一次性选择多个连续的端口。但可使用其它方法来实现一次性划分多个端口，指派其属于某一个 VLAN 。

　（ 1）一次划分一个端口　首 先 选 择该端口，然后使用 port　 access　 vlan　

vlan-id命令进行指派。这与 Cisco相同。

5.8 华为交换机 VLAN 的创建与配置

　 2.　划分 VLAN端口（ 2）一次划分指派多个端口　配置方法：首先选择端口要指派到的目标 VLAN，然后指定属于该 VLAN的端口范围。　配置命令：　 vlan　vlan-id

　 port　start-port　to　end-port

5.8 华为交换机 VLAN 的创建与配置

　例如：若要将交换机的 E0/2 至 E0/23 划分到VLAN　20中，则配置命令为：[Quidway]int　vlan　20

[Quidway-vlan20]port　e0/2　to　e0/23

3.　配置 VLAN子接口　配置方法与 Cisco相同，只是选择子接口的命令和指定 DHCP 服务器地址的命令不相同。

5.8 华为交换机 VLAN 的创建与配置

3.　配置 VLAN子接口　配置命令：　 interface　vlan-interface　vlan-id

　 ip　address　ip-address netmask

　 ip　relay　address　dhcp-server-ip-address

　 dhcp　select　relay

5.8 华为交换机 VLAN 的创建与配置

4.　配置 Trunk链路　华为和华三交换机和路由器均只支持 dot1Q封装协议，这是默认的协议，不用再配置指定，故没有配置指令，不用再配置指定。　配置端口的工作模式为 Trunk，华为和华三使用：　 port　link-type　trunk

　取消 Trunk模式，恢复为 Access模式，使用命令：　 undo　port　link-type

5.8 华为交换机 VLAN 的创建与配置

4.　配置 Trunk链路　指定 Trunk链路允许通过的 VLAN，配置命令：　 port　trunk　permit　vlan　vlan-list

　配置指定允许所有的 VLAN通过，配置命令：　 trunk　permit　vlan　alla

　例如，若要配置指定 E0/24 为 Trunk端口，允许所有 VLAN通过，则配置命令为：　 [Quidway]#int　e0/24

　 [Quidway-Ethernet0/24]port　link-type　trunk

[Quidway-Ethernet0/24]port　 trunk　 permit　 vlan　

all

5.9 校园网 VLAN 的划分与配置

5.9.1　　 汇聚层交换机 VLAN划分策略　每一幢楼需要划分多少个网段，就在汇聚层交换机上创建多少个 VLAN，并配置 VLAN接口的 IP地址。　根据各网段的接入层交换机的数量，在汇聚层交换机上，划分多少个端口属于该 VLAN 。　汇聚层交换机的一个端口，用于连接一个接入层交换机，接入层交换通常不用配置。它连接在汇聚层交换机的端口属于哪一个 VLAN，则该接入层交换机上所接入的用户，就属于哪一个 VLAN 。

5.9 校园网 VLAN 的划分与配置

5.9.2　　配置教学楼 VLAN

　对于该网络工程的各幢楼的汇聚层交换机的配置，参见教材第 184 页至第 186 页。