神舟数码DCN-TS04 VLAN协议原理和配置

单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,VLAN,客户服务中心 张海军,Vlan,原理,Vlan,配置命令,2,Vlan,介绍,标签技术,管理,vlan,跨,Vlan,通信,Vlan,作用与划分,VLAN,原,理,3,VLAN,介绍,虚拟网络建立在局域网交换机之上,;,VLAN,是一个广播域，,是,由一些局域网网段构成的与物理位置无关的逻辑组,;,以软件方式实现对逻辑工作组的划分与管理,;,一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样,;,一个,VLAN,就好像是一个孤立的网段，,VLAN,间不能直接通信，实现,VLAN,间互联必须借助于路由器,(,或具有三层交换功能的交换机）。,4,VLAN,分割,灵活,安全,A VLAN = A Broadcast Domain = Logical Network (Subnet),5,Vlan,介绍,标签技术,管理,vlan,跨,Vlan,通信,Vlan,作用与划分,VLAN,原理,6,VLAN,标记技术,VLAN,可以跨越多台交换机？两个问题，物理通道的问题、区分不同,VLAN,数据的问题。,一个物理通道，但对来自不同,VLAN,的数据进行标记。这条通道上就承载看多个,VLAN,的数据，这样的链路称为,trunk(,干道,).,Trunk,链路是通过在交换机上设置,trunk,端口，并把它们连起来。,以太网中两种标记技术：,CISCO,的,ISL(inter-switch link),和,IEEE802.1Q,7,VLAN,标记技术,- 802.1Q Trunking,8,VLAN,标记技术,- 802.1Q Frame,9,Vlan,介绍,标签技术,管理,vlan,跨,Vlan,通信,Vlan,作用与划分,VLAN,原理,10,VLAN1-,负责管理的,VLAN,11,Vlan,介绍,标签技术,管理,vlan,跨,Vlan,通信,Vlan,作用与划分,VLAN,原理,12,跨,VLAN,通信,-802.1Q TRUNK,13,Vlan,的作用,抑制网络上的广播风暴,增加网络的安全性,集中化的管理控制,缩小广播域，实现端口隔离,14,Vlan,的划分,基于端口的,vlan,基于,mac,地址的,vlan,基于,ip,地址的,vlan,基于协议的,vlan,15,Vlan,原理,Vlan,配置命令,Vlan,16,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,Vlan,配置命令,17,创建或删除,VLAN,为,VLAN,分配交换机端口,设置交换机端口类型,设置,Trunk,端口,设置,Access,端口,Vlan,配置任务序列,18,创建或删除,VLAN,vlan ,no vlan ,功能：创建VLAN 并且进入VLAN 配置模式，在VLAN 模式中，用户可以配置VLAN 名称和为该VLAN 分配交换机端口；本命令的no 操作为删除指定的VLAN。,参数：,为要创建/删除的VLAN 的VID，取值范围为14094。,命令模式：全局配置模式,缺省情况：交换机缺省只有VLAN1。,使用指南：VLAN1 为交换机的缺省VLAN，用户不能配置和删除VLAN1。允许配置VLAN的总共数量为4094 个。,举例：创建VLAN100，并且进入VLAN100 的配置模式。,Switch(Config)#vlan 100,Switch(Config-Vlan100)#,19,为,VLAN,分配交换机端口,switchport interface ethernet|portchannel ,no switchport interface ethernet|portchannel ,功能：给VLAN 分配以太网端口的命令；本命令的no 操作为删除指定VLAN 内的一个或一组端口。,参数：ethernet 要添加的为以太网端口；portchannel 要添加的为一个链路聚合端口；,interface-name,端口名称，如e1/1，若选择端口名称则不用选etherneth 或portchannel；,要添加或者删除的以太网端口的列表，支持”;” ”-” ，如：ethernet 1/1;3;4-7;8，或者是,terface-list,要添加或删除的端口链路聚合，如port-channel 1,命令模式：VLAN 配置模式,缺省情况：新建立的VLAN 缺省不包含任何端口。,使用指南：Access 端口为普通端口，可以加入VLAN，但同时只允许加入一个VLAN。,举例：为VLAN100 分配百兆以太网端口1，3，4-7，8。,Switch(Config-Vlan100)#switchport interface ethernet 1/1;3;4-7;8,20,设置交换机端口类型,switchport mode trunk|access,功能：设置交换机的端口为access 模式或者trunk 模式。,参数：trunk 表示端口允许通过多个VLAN 的流量；access 为端口只能属于一个VLAN。,命令模式：端口配置模式,缺省情况：端口缺省为Access 模式。,使用指南：工作在trunk mode 下的端口称为Trunk 端口，Trunk 端口可以通过多个VLAN 的流量，通过Trunk 端口之间的互联，可以实现不同交换机上的相同VLAN 的互通；工作在access mode 下的端口称为Access 端口，Access 端口可以分配给一个VLAN，并且同时只能分配给一个VLAN。,举例：将端口5 设置为trunk 模式，端口8 设置为access 模式。,Switch(Config)#interface ethernet 1/5,Switch(Config-ethernet1/5)#switchport mode trunk,21,设置,trunk,端口,switchport trunk allowed vlan ,|all,no switchport trunk allowed vlan,功能：设置Trunk 端口允许通过VLAN；本命令的no 操作为恢复缺省情况。,参数：,为允许在该Trunk 端口上通过的VLAN 列表；all 关键字表示允许该Trunk端口通过所有VLAN 的流量。,命令模式：端口配置模式,缺省情况：Trunk 端口缺省允许通过所有VLAN。,使用指南：用户可以通过本命令设置哪些VLAN 的流量通过Trunk 端口，没有包含的VLAN流量则被禁止。,举例：设置Trunk 端口允许通过VLAN1，3，5-20 的流量。,Switch(Config)#interface ethernet 1/5,Switch(Config-ethernet1/5)#switchport mode trunk,Switch(Config-ethernet1/5)#switchport trunk allowed vlan 1;3;5-20,22,设置,trunk,端口,switchport trunk native vlan ,no switchport trunk native vlan,功能：设置Trunk 端口的PVID；本命令的no 操作为恢复缺省值。,参数：,为Trunk 端口的PVID。,命令模式：端口配置模式,缺省情况：Trunk 端口默认的PVID 为1。,使用指南：在802.1Q 中定义了PVID 这个概念。Trunk 端口的PVID 的作用是当一个untagged的帧进入Trunk 端口，端口会对这个untagged 帧打上带有本命令设置的native PVID 的tag标记，用于VLAN 的转发。,举例：设置某Trunk 端口的native vlan 为100。,Switch(Config)#interface ethernet1/5,Switch(Config-ethernet1/5)#switchport mode trunk,Switch(Config-ethernet1/5)#switchport trunk native vlan 100,23,switchport access vlan ,no switchport access vlan,功能：将当前Access 端口加入到指定VLAN；本命令no 操作为将当前端口从VLAN 里删除。,参数：,为当前端口要加入的vlan VID，取值范围为14094。,命令模式：端口配置模式,缺省情况：所有端口默认属于VLAN1。,使用指南：只有属于Access mode 的端口才能加入到指定的VLAN 中，并且Access 端口同时只能加入到一个VLAN 里去。,举例：设置某Access 端口加入VLAN100。,Switch(Config)#interface ethernet 1/8,Switch(Config-ethernet1/8)#switchport mode access,Switch(Config-ethernet1/8)#switchport access vlan 100,设置,access,端口,24,isolate-port allowedethernet,deny-scheme|permit-scheme,no isolate-port allowed ethernet,功能：设置或取消端口隔离功能，开启时要指定上行端口列表。可以反复调用此命令以分别设定或取消各个上行端口。,参数：,：上行端口列表，支持,-,和,;,：以deny-scheme模式进行端口隔离，上行口越多，耗费的硬件资源越少。,：以permit-scheme模式，上行口越多，耗费的硬件资源越多。,命令模式：全局配置模式,缺省情况：用deny-scheme模式,举例：以deny-scheme模式设置接口ethernet 0/0/1和ethernet 0/0/2为上行口，其余口为下行口进行端口隔离。,SWITCH(Config)#isolate-port allowed e0/0/1;0/0/2,端口隔离,25,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,私有,Vlan,配置命令,26,private-vlan primary|isolated|community,no private-vlan,功能：将当前VLAN 设置为Private VLAN，该命令的no 操作为取消Private VLAN 设置。,参数：primary 将当前VLAN 设置为Primary VLAN，isolated 将当前VLAN 设置为Isolated,VLAN，community 将当前VLAN 设置为Community VLAN。,命令模式：VLAN 配置模式,缺省情况：缺省没有Private VLAN 配置。,私有,Vlan,配置命令,27,private-vlan association ,no private-vlan association,功能：设置Private VLAN 的绑定操作，该命令的no 操作为取消Private VLAN 绑定。,参数： 为与指定Primary VLAN 相关关联的Secondary VLAN 列表，Secondary VLAN 包括Isolated VLAN 和Community VLAN 两种，支持“;”连接多个,Secondary VLAN。,命令模式：VLAN 配置模式,缺省情况：缺省没有Private VLAN 绑定。,举例：将Isolated VLAN200、Community VLAN300关联到Primary VLAN100上。,Switch(Config-Vlan100)#private-vlan association 200;,私有,Vlan,配置命令,28,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,Vlan,配置命令,29,命令：gvrp,no gvrp,功能：启动交换机或者当前Trunk 端口的GVRP 功能；本命令的no 操作为关闭全局或端口的GVRP 功能。,命令模式：接口配置模式和全局配置模式,缺省情况：交换机缺省关闭GVRP 功能。,使用指南：开启全局的GVRP 功能后，才能开启端口的GVRP。全局的GVRP 关闭后，端口GVRP 配置失效。注意GVRP 只能在Trunk 端口上开启。,举例：开启全局和Trunk 端口10 的GVRP 功能。,Switch(Config)#gvrp,Switch(Config)#interface ethernet 0/0/10,Switch(Config-Ethernet0/0/10)#gvrp,Switch(Config)#exit,Gvrp,配置命令,30,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,Vlan,配置命令,31,开启端口的dot1q-tunnel 功能,设置端口的协议类型（TPID）,Dot1q-tunnel,配置任务序列,32,dot1q-tunnel enable,no dot1q-tunnel enable,功能：使交换机的access 端口进入dot1q-tunnel 模式；本命令的no 命令为恢复缺省值。,参数：无。,命令模式：端口配置模式。,缺省情况：端口缺省为没有使能dot1q-tunnel 功能。,使用指南：端口使能dot1q-tunnel 后，对于从该端口进入的无VLAN tag（以下简称tag）的数据包打上一层tag；对于已经有tag 的数据包打上外层tag，tag 中的TPID 为8100，VLAN,ID 为该端口所属的VLAN ID。带有双层tag 的数据包由MAC 地址与外层tag 决策转发，直到从access 端出去时去掉外层tag。由于打上外层tag 时可能会使数据包长度超过正常大小，故建议该命令与Jumbo 功能一同使用。本命令在access 端口上使用，仅当配合VLANtranslation 功能时可在trunk 端口上启用。,进入dot1q-tunnel 模式,33,dot1q-tunnel tpid 8100|9100|9200,功能：设置交换机trunk 端口的协议类型（TPID）。,参数：无。,命令模式：端口配置模式。,缺省情况：端口缺省TPID 为8100。,使用指南：该功能是为了方便与其它厂商的设备进行互连。与交换机trunk 端口连接的设备如果发送TPID 为9100 的数据包，则将该端口的TPID 设置为9100，这样交换机就可以正常接收并处理收到的数据包。,举例：将交换机的端口10 设置为trunk 端口，并设置其TPID 为9100。,SWITCH(Config)#interface ethernet 1/10,SWITCH(Config-Ethernet1/10)#switchport mode trunk,SWITCH(Config-Ethernet1/10)#dot1q-tunnel tpid 9100,设置端口的协议类型（TPID）,34,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,Vlan,配置命令,35,开启,端口的VLAN-translation 功能,设置端口VLAN-translation 的翻译关系,设置端口VLAN-translation 翻译关系查找失败是否丢包,Vlan translation,配置命令序列,36,vlan-translation enable,no vlan-translation enable,功能：使交换机指定trunk 端口进入VLAN translation 状态；本命令的no 命令为恢复缺省值。,参数：无。,命令模式：端口配置模式。,缺省情况：端口缺省为没有使能VLAN translation 功能。,使用指南：使用VLAN translation 的端口必须先启用dot1q-tunnel 功能，并且在trunk 端口进行配置。,举例：使端口1 进入VLAN translation 功能。,SWITCH#config,SWITCH(config)#interface ethernet 1/1,SWITCH(Config-If-Ethernet1/1)#dot1q-tunnel enable,SWITCH(Config-If-Ethernet1/1)#vlan-translation enable,开启端口的,VLAN-translation,功能,37,vlan-translation ,to ,in|out,no vlan-translation in|out,功能：添加VLAN translation，使原VLAN ID 与现VLAN ID 产生一条映射；本命令的no命令为删除对应映射。,参数：old-vlan-id 为原VLAN ID；new-vlan-id 为翻译后的VLAN ID；in 为入口翻译；out为出口翻译。,命令模式：端口配置模式。,缺省情况：缺省没有VLAN translation 翻译关系。,举例：在端口1 将进入的VLAN100 的数据经入口翻译后划入VLAN2，并将流出的VLAN2,的数据经出口翻译后划入VLAN100。,SWITCH(config)#interface ethernet 1/1,SWITCH(Config-If-Ethernet1/1)#dot1q-tunnel enable,SWITCH(Config-If-Ethernet1/1)#vlan-translation enable,SWITCH(Config-If-Ethernet1/1)#vlan-translation 100 to 2 in,SWITCH(Config-If-Ethernet1/1)#vlan-translation 2 to 100 out,SWITCH(Config-If-Ethernet1/1)#exit,设置端口VLAN-translation 的翻译关系,38,vlan-translation miss drop in|out|both,no vlan-translation miss drop in|out|both,功能：定义翻译失败时丢包；本命令的no 命令为恢复缺省值。,参数：in 为入口；out 为出口；both 为双向。,命令模式：端口配置模式。,缺省情况：翻译失败不丢包。,使用指南：在进行原VID 与现VID 的映射关系翻译时，如时没有配置相应翻译关系，缺省为不丢包。当使用本命令后，翻译失败会丢掉数据包。,举例：设置端口1 入口翻译失败丢包。,SWITCH(Config-If-Ethernet1/1)#vlan-translation miss drop in,设置端口翻译关系查找失败是否丢包,39,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,动态,vlan,配置命令,40,设置端口的MAC-based VLAN 功能,设置MAC 地址与VLAN 的对应关系,设置端口的IP-subnet-based VLAN 功能,设置IP 子网与VLAN 的对应关系,置协议与VLAN 的对应关系,调整动态VLAN 的优先顺序,动态,vlan,配置命令序列,41,switchport mac-vlan enable,no switchport mac-vlan enable,功能：打开端口的MAC-based VLAN功能；本命令的no 命令为关闭端口的MAC-based VLAN功能。,参数：无。,命令模式：端口配置模式。,缺省情况：端口打开MAC-based VLAN 功能。,使用指南：当添加MAC 地址属于指定VLAN 后，缺省全局使能MAC-based VLAN 功能，此命令可将在指定端口上关闭MAC-based VLAN 功能，以适应用户特定的应用。,举例：关闭端口1 的MAC-based VLAN 功能。,SWITCH#config,SWITCH(config)#interface ethernet 1/1,SWITCH(Config-If-Ethernet1/1)#no switchport mac-vlan enable,设置端口的MAC-based VLAN 功能,42,mac-vlan mac,vlan,priority,no mac-vlan mac |all,功能：添加MAC 地址与VLAN 的对应关系，即指定MAC 地址加入指定VLAN；本命令的,no 命令为删除该/全部对应关系。,参数：mac-address 为MAC 地址，格式为XX-XX-XX-XX-XX-XX，vlan-id 为VLAN 号，取值范围为14094；priority-id 为优先级，用于VLAN tag 中，取值范围07；all 为所有MAC地址。,命令模式：全局配置模式。,缺省情况：没有MAC 地址加入VLAN。,举例：将MAC 地址为00-03-0f-11-22-33 的网络设备划入VLAN 100。,SWITCH#config,SWITCH(config)#mac-vlan mac 00-03-0f-11-22-33 vlan 100 priority 0,设置MAC 地址与VLAN 的对应关系,43,switchport subnet-vlan enable,no switchport subnet-vlan enable,功能：打开端口的IP-subnet-based VLAN功能；本命令的no 命令为关闭端口的IP-subnet-basedVLAN 功能。,参数：无。,命令模式：端口配置模式。,缺省情况：端口打开IP-subnet-based VLAN 功能。,使用指南：当添加IP 子网属于指定VLAN 后，缺省全局使能IP-subnet-based VLAN 功能，此命令可将在指定端口上关闭IP-subnet-based VLAN 功能，以适应用户特定的应用。,举例：关闭端口1 的IP-subnet-based VLAN 功能。,SWITCH#config,SWITCH(config)#interface ethernet 1/1,SWITCH(Config-If-Ethernet1/1)#no switchport subnet-vlan enable,设置端口的IP-subnet-based VLAN 功能,44,subnet-vlan ip-address,mask,vlan,priority,no subnet-vlan ip-address mask |all,功能：添加IP 子网与VLAN 的对应关系，即指定IP 子网加入指定VLAN；本命令的no 命令为删除该/全部对应关系。,参数：ipv4-address 为IPv4 地址，格式为点分十进制，每段取值范围0255；subnet-mask 为子网掩码，格式为点分十进制，每段取值范围0255；priority-id 为优先级，用于VLAN tag中，取值范围07；vlan-id 为VLAN 号，取值范围为14094；all 为所有子网。,命令模式：全局配置模式。,缺省情况：没有IP 子网加入VLAN。,使用指南：该命令将指定的IP 子网加入到指定VLAN 中。若有指定的IP 子网的无VLAN标签数据包从交换机端口进入，它将匹配到指定的VLAN 号，从而进入指定的VLAN，不管该数据包从哪个端口进入，其所属VLAN 是一致的。该命令设置后不对有VLAN 标签的数据包进行干涉。,举例：将IP 子网为192.168.1.0/24 的网络设备划入VLAN 300。,SWITCH#config,SWITCH(config)#subnet-vlan ip-address 192.168.1.1 mask 255.255.255.0 vlan 300 priority 0,设置IP 子网与VLAN 的对应关系,45,mac-vlan mac,vlan,priority,no mac-vlan mac |all,功能：添加MAC 地址与VLAN 的对应关系，即指定MAC 地址加入指定VLAN；本命令的no 命令为删除该/全部对应关系。,参数：mac-address 为MAC 地址，格式为XX-XX-XX-XX-XX-XX，vlan-id 为VLAN 号，取值范围为14094；priority-id 为优先级，用于VLAN tag 中，取值范围07；all 为所有MAC地址。,命令模式：全局配置模式。,缺省情况：没有MAC 地址加入VLAN。,使用指南：该命令将指定的MAC 地址加入到指定VLAN 中。若有指定的MAC 地址的无VLAN 标签数据包从交换机端口进入，它将匹配到指定的VLAN 号，从而进入指定的VLAN，不管该数据包从哪个端口进入，其所属VLAN 是一致的。该命令设置后不对有VLAN 标签的数据包进行干涉。,举例：将MAC 地址为00-03-0f-11-22-33 的网络设备划入VLAN 100。,SWITCH#config,SWITCH(config)#mac-vlan mac 00-03-0f-11-22-33 vlan 100 priority 0,设置协议与VLAN 的对应关系,46,调整动态VLAN 的优先顺序,dynamic-vlan mac-vlan prefer,功能：设置MAC-based VLAN 优先。,参数：无。,命令模式：全局配置模式。,缺省情况：MAC-based VLAN 优先。,使用指南：设置交换机动态VLAN 的优先顺序。缺省优先顺序为MAC-based VLAN、IP-subnet-based VLAN、Protocol-based VLAN，即多种动态VLAN 在同时使用时优先匹配的顺序。在设置IP-subnet-based VLAN 优先后，若恢复MAC-based VLAN 优先时使用本命令。,举例：设置MAC-based VLAN 优先。,SWITCH#config,SWITCH(config)#dynamic-vlan mac-vlan prefer,47,dynamic-vlan subnet-vlan prefer,功能：设置IP-subnet-based VLAN 优先。,参数：无。,命令模式：全局配置模式。,缺省情况：MAC-based VLAN 优先。,使用指南：设置交换机动态VLAN 的优先顺序。缺省优先顺序为MAC-based VLAN、IP-subnet-based VLAN、Protocol-based VLAN，即多种动态VLAN 在同时使用时优先匹配的顺序。本命令为设置IP-subnet-based VLAN 优先。,举例：设置IP-subnet-based VLAN 优先。,SWITCH#config,SWITCH(config)#dynamic-vlan subnet-vlan prefer,调整动态VLAN 的优先顺序,48,Vlan,配置,私有,vlan,配置,Gvrp,配置,Dot1q-tunnel,配置,Vlan translation,配置,动态,vlan,配置,Voice vlan,配置,Vlan,配置命令,49,voice-vlan vlan,no voice-vlan,voice-vlan mac mask, priority name,no voice-vlan mac ,mask |name ,|all,switchport voice-vlan enable,no switchport voice-vlan enable,Voice vlan,相关命令,50,动态,vlan,静态,vlan,有哪些？有何不同？,如果没有三层设备跨,Vlan,是否能够通信？,端口隔离应用环境哪些？,DOT1q tunnel,应用环境？,思考,51,学以致用，让网络应用普遍成功！,