vlan

一、实验目的

1、了解VLAN的基本概念。 2、掌握VLAN的配置方法。 3、掌握跨交换机VLAN的实现。

4、理解VTP(Vlan Trunk Protocol)即VLAN中继协议。

二、 实验内容与原理 1、实验内容：

（1）VLAN的配置方法。

（2）跨交换机VLAN的实现。

（3）VTP(Vlan Trunk Protocol)即VLAN中继协议 2、实验原理： （1）VLAN

1VLAN概述 ○

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”， VLAN是一种得到较快发展的技术，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机。此种技术的核心是通过路由和交换设备，在网络的物理拓扑结构基础上建立一个逻辑网络，以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网。支持VLAN的交换设备给用户提供了非常好的网络分段能力，极低的报文转发延迟以及很高的传输带宽。

VLAN可以很好的解决传统LAN的很多问题，具体如下特征：

一是：VLAN与由物理位置决定的LAN有着本质不同，不受网络物理位置的，可以跨越多个物理网络、多台交换机。可以将网络按功能划分成多个逻辑工作组，每组为一个VLAN。

二是：同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他VLAN中去，因此，VLAN可以隔离广播信息，每一个VLAN为一个广播域，用户可以通过划分VLAN的方法来广播域，以防止广播风暴的发生。

三是：划分VLAN可以有效节省带宽，可以将网络上的用户按业务功能划分成多个逻辑工作组，每一组为一个VLAN，这样，日常的交流信息绝大部分被在一个VLAN内部，使带宽得到有效利用。

四是：VLAN均由软件实现定义与划分，使得建立与重组VLAN非常灵活，增加、删除或修改用户是不必从物理位置上调整网络。

2VLAN原理 ○

传统的以太网数据帧不能对VLAN或子网进行识别，VLAN帧的标识是在每一个数据帧内放入一个唯一性的标识符，每台交换机都检查这个帧的标识符，以决定该帧所属的VLAN，交换机可以做相应的判断，将该帧送到该VLAN内的目的端口，交换机还负责在帧被送到接收设备以前将VLAN信息删掉。例如一个PC机发出的某个VLAN数据帧后，在传给交换机在进入trunk干道之间会加上ISL的标记，然后就可以在干道上传输，到对方的交换机后，交

换机通过查看数据帧知道这个数据包是传给哪个VLAN的，于是去掉相应的VLAN标识，再传给相应的VLAN内的PC，如图1.4-1所示。另一种封装标记是:IEEE标准委员会制定的802.1Q和LANE等：802.1Q主要用于不同厂家的交换机来建立多个VLAN，操作原理和ISL一样。

交换机要传输多个VLAN的通信，需要用专门的协议封装或者加上VLAN ID，以便接收设备能够区分数据帧所属的VLAN。Trunk协议可以使交换机识别来自于不同VLAN的帧，允许VLAN帧使用时分复用的方式占用Trunk链路，跨越交换机通信。这样的Trunk协议主要有两种，即IEEE802.1Q和CISCO专用的协议ISL，ISL 和 二层的封装如图1.4-2所示，IEEE802.1Q 协议的MAC帧封装如图1.4-3所示。

VLAN的端口有两种类型：一种是Access端口，只能属于一个VLAN，并且是通过手工设置指定VLAN的，这个端口不能直接从另一个VLAN

图1.4-1 跨交换机VLAN原理

图1.4-2 ISL协议封装MAC帧

图1.4-3 802.1q协议封装MAC帧与一般帧的比较

○

3VLAN划分方式 虚拟局域网的划分方式如下，以第一种为例，在支持VLAN的交换机上，设置多个VLAN，默认所有端口都是VLAN 1，然后把不同的接口加入到对应得VLAN中，那么连接该接口的计算机就自然属于相应的VLAN。

基于端口划分VLAN。这种划分方式的优点是：一是定义VLAN成员时非常简单，也相对安全，容易配置和维护；只要将所有的端口都定义为相应的VLAN即可，适合于任何大小的网络。二是由于不同的VLAN间的端口不能直接相互通信，因此每个VLAN都有自己的生成树。三是交换机之间在不同的VLAN中可以有多个并行链路，以提高VLAN内部的交换速率，增加交换机之间的带宽。四是可以设置跨越交换机的VLAN，即将不同交换机的不同端口划分至同一VLAN，从而解决了位于不同物理位置、连接至不同交换机的用户划为同一虚拟工作组的难题。

基于MAC 地址划分VLAN。这种划分方式是借助智能管理软件根据用户主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于一个VLAN。交换机端口借助网络包的MAC地址将其划分不同的VLAN。当一个用户刚连接时，此端口尚未分配，于是，交换机通过读取用户主机的MAC地址，动态地将该端口划入某个VLAN。一旦网管人员配置好后，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的VLAN。这种划分的优点：一是当网络用户从一个物理位置移动到另一个物理位置的时候，自动保留其所属VLAN的成员身份，VLAN不用重新配置；二是MAC地址具有世界唯一性，因此，该VLAN划分方式安全性较高。缺点：一是初始化时，所有的用户都必须进行配置，如果用户多的话，配置是非常繁琐的，通常适用于小型局域网，二是这种划分方式使得交换机的每一个端口可能存在多个VLAN组的成员，保存了许多用户的MAC地址，查询起来很不便。

基于ip地址划分VLAN。这是以IP地址来划分的VLAN，一般每个VLAN都是和一段的IP子网相对应。因此，当某用户设置有多个IP地址时，或该端口连接到集线器拥有多个TCP/IP用户时，通过基于IP地址的VLAN，该用户或该端口就可以同时访问多个VLAN。这种划分的优点：一是当某一个用户主机的IP地址改变时，交换机能够自动识别，重新定义VLAN，不需要管理员干预；二是有利于在VLAN交换机内容实现路由，也有利于将动态主机配置（DCHP）技术结合起来。这种划分的缺点：一是由于IP地址可以人为地、不受约束的自由修改设置，因此，使用该方式划分VLAN也会带来安全上的隐患；二是效率要比基于MAC地址的VLAN差，因为查看三层IP地址比查看MAC地址所消耗的时间多。

基于协议划分VLAN。这种划分方式基于的协议，主要是网络层协议比如IP、IPX、

AppleTalk等VLAN。这种划分的优点：一是用户物理位置改变了，不需要重新配置所属的VLAN；二是可以根据协议类型来划分VLAN，这对网络管理者来说非常重要；三是这种方式不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种划分的缺点：效率低，因为要检查IP帧头，需耗费很多时间。

基于用户定义规则划分VLAN。比如基于IP组播的VLAN，要动态地把那些需要同时通信的端口定义到一个VLAN中，并在VLAN中用广播的方法解决点对多点通信问题。 （1） VTP ○1 VTP概述

VTP(Vlan Trunk Protocol)即VLAN中继协议。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。

通常情况下，我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步，以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发，然而对于大型网络来说，可能有成百上千台交换机，而一台交换机上都可能存在几十乃至数百个VLAN，如果仅凭网络工程师手工配置的话是一个非常大的工作量，并且也不利于日后维护——每一次添加修改或删除VLAN都需要在所有的交换机上部署。在这种情况下，引入了VTP（VLAN Trunking Protocol）。

2VTP模式分类 ○

VTP模式有3种 服务器模式（Server）客户机模式（Client）透明模式（Transparent）

服务器模式（Server）：提供VTP消息：包括VLAN ID和名字信息、学习相同域名的VTP消息、转发相同域名的VTP消息、可以添加、删除和更改VLAN；把VLAN信息写入NVRAM。

客户机模式（Client）：请求VTP消息、学习相同域名的VTP消息、转发相同域名的VTP消息、不可以添加、删除和更改VLAN VLAN信息不会写入NVRAM。

透明模式：不提供VTP消息、不学习VTP消息、转发VTP消息、可以添加、删除和更改VLAN，只在本地有效 VLAN信息写入NVRAM。

新交换机出厂时的默认配置是预配置为VLAN1，VTP 模式为服务器。

当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。 一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。 例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。

在交换机自动转到VTP的Client模式后，它会传送广播信息并从广播中学习新的信息。但是，不能通过MIB、CLI、或者控制台来增加、删除、修改VLAN。VTP Client端不能保持VLAN信息在非易失存储器中。当启动时，它会通过Trunk网络端口接受

广播信息，学习配置信息。

在VTP透明的模式，交换不做广播或从网络学习VLAN配置。当一个交换机是在VTP透明的模式，能通过控制台、CLI、MIB来修改、增加、删除VLAN。

为使每一个VLAN能够使用，必须使VTP知道。并且包含在Trunk port 的准许列表中，一个快速以太网ISL Trunk自动为VLAN传输数据，并且从一个交换机到另一个交换机。

需要注意的是如果交换在VTP Server模式接收广播包含128多个VLAN，交换自动地转换向VTP Client模式。 更改交换机从VTP Client模式向VTP透明的模式，交换机保持初始、唯一128VLAN并删除剩余的VLAN。

3VTP配置方法 ○

进入Vlan /*比如交换机3650配置 */ Switch#vlan database 可以在全局模式下直接配置 switch(config)# 建立VTP域

Switch(vlan)#vtp domain name 修改交换机vtp的模式

Switch(vlan)#vtp{client|server|transparent} 配置vtp密码

Switch(vlan)#vtp password „„ 配置VTP修剪

switch (vlan) # vtp pruning 查看VTP运行状态 Switch#show vtp status

查看交换机收到和发出广告的数目 Switch#show vtp counters （2） VLAN的基本配置

1显示VLAN信息 ○

在特权模式下，可以用命令查看所以或指定的VLAN ID、VLAN状态、VLAN成员端口及VLAN配置等信息。

模式：特权模式。

命令：show vlan [id vlan-id]

参数：vlan-id是所要查看的VLAN的ID号。

2创建、修改一个VLAN ○

在全局模式下，可以用VLAN命令创建或修改一个VLAN，并进入VLAN 配置模式，进行VLAN的其他配置。

模式：全局配置模式。 命令：vlan vlan-id

参数：vlan-id是要创建或修改的VLAN ID号，范围为1-4094。

说明：如果输入一个新的vlan id,则交换机会创建一个VLAN，若输入的是已经存在的VLAN ID则修改相应的VLAN。

3定义VLAN的名称 ○

在VLAN配置模式下，可以通过name命令给VLAN取名字。 模式：VLAN配置模式。 命令：name vlan-name

参数：vlan-name是要给VLAN取得名字。

说明：如果不执行此命令，则交换机会自动为它起一个VLANXXXX,其中XXXX是用0开头的4位VLAN ID号。比如VLAN0001就是VLAN 6的默认名字。

4删除VLAN ○

在全局配置模式下，可以通过no vlan命令删除某个VLAN。 模式：全局配置模式。 命令：no vlan vlan-id 参数：vlan-id是要删除的VLAN的ID号码。 说明：此命令不能删除默认的VLAN,即VLAN 1。 5分配Access接口给指定VLAN ○

在接口配置模式下，可以通过switchport access vlan命令将制定接口分配给某一个VLAN，如果把一个或一组接口分配给一个不存在的VLAN，那么这个VLAN将自动创建。

模式：接口配置模式。

命令：switchport access vlan vlan-id 参数：vlan-id是对应的VLAN ID号码。

6配置SVI ○

创建SVI接口或恢复SVI为VLAN。给一个VLAN配置一个IP地址，即可创建该VLAN的SVI；同样可以将SVI的IP地址删除，就可以将SVI恢复为VLAN。其方法步骤如下：

模式：全局配置模式。

命令：interface vlan vlan-id Ip address ip-address subnet-mask /*给这个VLAN配置IP地址和子网掩码，即成为SVI*/

No ip address /*删除VLAN配置IP地址，即将SVI恢复为VLAN */ （3） VLAN之间的通信

跨交换机实现相同VLAN之间的通信要将交换机互连的端口配置为trunk模式，并进行相关设置。跨交换机实现不同VLAN之间的通信则要借助路由器或三层交换机，并进行相应设置。

1配置VLAN Trunk ○

Trunk接口一般用来连接一个或多个以太网交换机端口和其他设备，一个trunk接口可以在一条链路上传输多个VLAN信息。

在接口配置模式下，通过switchport mode trunk命令可以把一个普通的以太网端口或Aggregate port设置为一个Trunk接口。如果要把Trunk相关属性都复位成默认值，可以

使用no switchport trunk命令。

2定义Trunk接口的许可列表 ○

一个Trunk接口默认配置是可以传输本交换机支持的所有VLAN的流量，也可以通过设置Trunk接口的许可VLAN列表，来某些VLAN不能通过这个Trunk接口，但是不能将VLAN 1从许可VLAN列表中移出。

模式：接口配置模式。

命令：switchport trunk allowed vlan { all |[add|remove|except]} vlan-list 参数：vlan-list是指定VLAN列表，其中可以是一个VLAN ，也可以是一系列VLAN，中间用减号连接，如10-30，all表示许可VLAN列表包含所有支持的VLAN；add表示将指定VLAN列表加入VLAN列表；remove表示将指定许可VLAN列表删除；except表示将VLAN列表以外的所有VLAN加入许可列表。

说明：如果要将当前Trunk接口许可VLAN列表改为默认许可状态，可以使用no switchport trunk allowed vlan命令。

例如：把VLAN 2从fastethernet 0/1中移出。 Swith(config)#interface fa0/1

Swith(config-if)#switchport trunk allowed vlan remove 2 Swith(config-if)#end

Swith#show interface fastethernet0/1 switchport

3配置Native VLAN ○

Trunk Port需要配置一个Native VLAN作为默认VLAN。所谓的Native VLAN，就是只在这个接口上收发的UNTAG报文，都被认为属于这个 VLAN的。显然，这个接口的默认VLAN ID就是Native VLAN的VLAN ID。同时，在Trunk上发送属于Native VLAN的帧，则采用UNTAG方式。每个Trunk接口的默认Native VLAN是VLAN 1。在配置Trunk链路时，需要配置连接链路两端的Trunk接口属于相同的Native VLAN。

模式：接口配置模式。

命令：switchport trunk native vlan-id 参数：vlan-id就是要配置为native vlan的VLAN ID号码。

说明：把Trunk的native vlan列表改回默认值VLAN 1，可以用no switchport trunk native vlan命令。

例如：配置某端口的native vlan。

Switch(config-if)#switchport trunk native vlan 20

4验证连通性 ○

模式：特权模式。

命令：ping Destination-ip-address

参数：Destination-ip-address是目标ip地址，可以是本地局域网的IP地址，也可以是其他局域网的IP地址，还可以是互联网的公有IP地址。

四、 实验环境

1、硬件环境：计算机1台。 2、软件环境：Windows 2000/2003操作系统（或windows xp）, 已安装cisco packet tracer（模拟计算机6台，交换机2台；交换机与计算机连接的直通线若干，交换机之间的连接交叉线1根。）。

3、网络拓扑图：如图1.4-4所示。

图1.4-4 跨交换机VLAN

4、IP规划：

pc1: 192.168.1.1 pc2: 192.168.1.2 pc3: 192.168.1.3 pc4: 192.168.1.4 pc5: 192.168.1.5 pc6: 192.168.1.6.

二、实验步骤

1、在一台交换机（客户机）上配置VLAN（任务一）。

在一台已经进行初始配置的S2950交换机上配置3个ＶＡＬＮ：VLAN 10、VLAN 20、VLAN 30, 分别取名为teachers、students和adminstrators。pc1、pc2、pc3分别属于VLAN 10、VLAN 20、VLAN 30中的成员，并验证连通性。

网络拓扑图描述：pc1、pc2、pc3接入交换机的1、2、3号接口：pc1、pc2、pc3的IP分别为192.168.1.1、192.168.1.2、192.168.1.3，它们的子网掩码均为255.255.255.0。交换机的名称为客户机，网络拓扑图如图1.4-5所示。

图1.4-5任务一网络拓扑

（1） 按照图2接好各设备后，在任一台计算机上ping其余的设备的IP地址，看是否能够ping通，也可以再交换机上ping各个计算机的IP地址。 （2） 建立VLAN：（实验提示：在全局配置模式下，使用no vlan vlan-id来取消建立的VLAN号，如no vlan 10将取消建立的VLAN 10。）

Switch>enable

Switch#show vlan /*查看交换机当前的VLAN信息*/ Switch#config t

Switch(config)#hostname customer /*命名交换机的名称为customer*/ customer(config)#vlan 10 /*创建VLAN 10*/

customer(config-vlan)#name teachers /*命名VLAN 10为teachers*/ customer(config-vlan)#exit customer(config)#vlan 20

customer(config-vlan)#name students customer(config-vlan)#exit customer(config)#vlan 30

customer(config-vlan)#name administrators customer(config-vlan)#exit customer(config)#exit customer#show vlan

（3） 将连接的计算机的交换机接口加入相应的VLAN。将接口1加入VLAN 10,接口2加入VLAN 20 ，接口3加入VLAN 30，连接该接口的计算机就自动成为相应的VLAN成员。

customer>enable customer#config t customer(config)#int fa 0/1 /*进入fa 0/1（fastEthernet 0/1的简写）接口配置模式*/

customer(config-if)#switchport access vlan 10 /*将fa 0/1接口加入VLAN 10中*/

customer(config-if)#exit customer(config)#int fa 0/2

customer(config-if)#switchport access vlan 20 customer(config-if)#exit customer(config)#int fa 0/3

customer(config-if)#switchport access vlan 30 customer(config-if)#end customer#

customer#show vlan /*查看结果略*/

注意：如果要将接口4、5、6、7加入到VLAN 10中，可以使用下面的命令： customer(config)#int range fa 0/4-7

customer(config-if-range)# switchport access vlan 10

（4） 测试各个计算机的连通性，以及与交换机的连通性。在任一台计算机上ping其余的设备的IP地址，看是否能够ping通，也可以在交换机上ping各个计算机的IP地址。（发现都是ping不通的）。 （5） 保存设置。

Customer#copy running-config startup-config 2、 在两台交换机上实现VLAN（任务二）

在两台交换机上配置3个VLAN：VLAN 10、VLAN 20、VLAN 30, 分别取名为teachers、students和adminstrators。pc1和pc4属于VLAN 10的成员，pc2和pc5属于VLAN 20的成员，pc3和pc6属VLAN 30中的成员，并验证连通性。

网络拓扑图描述：pc1、pc2、pc3接入交换机客户机的1、2、3号接口，pc4、pc5、pc6接入交换机服务器的1、2、3号接口，两个交换机均用各自的24号接口连接：pc1、pc2、pc3、pc4、pc5、pc6的IP分别为192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4、192.168.1.5、192.168.1.6，它们的子网掩码均为255.255.255.0。网络拓扑图如图1.4-4所示。

（1）在任务一的基础上，将交换机服务器与pc4、pc5、pc6按图1.4-4连接好，并配置好IP地址，在pc4上ping其余设备的IP地址，看是否能够ping通。发现pc5,pc6可以ping通（因为默认属于VLAN 1），却不能与pc1、pc2、pc3ping通。 （2）在交换机服务器上进行如下操作，建立VLAN。

Switch>enable

Switch#show vlan /*查看交换机当前的VLAN信息*/ Switch#config t

Switch(config)#hostname service /*命名交换机的名称为service */ service(config)#vlan 10 /*创建VLAN 10*/

service(config-vlan)#name teachers /*命名VLAN 10为teachers*/ service(config-vlan)#exit service(config)#vlan 20

service(config-vlan)#name students service(config-vlan)#exit service(config)#vlan 30

service(config-vlan)#name administrators service(config-vlan)#exit service(config)#exit service#show vlan

（4） 将连接的计算机pc4、pc5、pc6的交换机接口加入相应的VLAN。将接口1加入VLAN

10，接口2加入VLAN 20 ，接口3加入VLAN 30，连接该接口的计算机就自动成为相应的VLAN成员。

service>enable service#config t

service(config)#int fa 0/1 /*进入fa 0/1（fastEthernet 0/1的简写）接口配置模式*/

service(config-if)#switchport access vlan 10 /*将fa 0/1接口加入VLAN 10中*/

service(config-if)#exit service(config)#int fa 0/2

service(config-if)#switchport access vlan 20 service(config-if)#exit service(config)#int fa 0/3

service(config-if)#switchport access vlan 30 service(config-if)#end service#

service#show vlan /*查看结果略*/

（4）设置trunk模式，实现跨交换机相同VLAN之间的通信。在交换机客户机上运行下面的命令；同样，在交换机服务器上进入24号接口，设置trunk模式（略）。

customer>enable customer#config t

customer(config)#int fa 0/24

customer(config-if)# switchport mode trunk

（5） 测试相同的VLAN之间的连通性。分别在pc1和pc4,pc2和pc5,pc3和pc6三组计 算机上相互ping，应能ping通。

（6）保存设置，分别在交换机客户机和服务器上保存设置。 Customer#copy running-config startup-config service#copy running-config startup-config