vlan的秘密

VLAN:virtual local area network，虚拟局域网
-背景
可以在2层网络分割不同的广播域，从而可以实现故障的隔离与快速定位； 
-定义
一个VLAN就是一个网段，并且其中的成员主机可以位于不同的物理位置；
-管理
创建
sw(config)#vlan 10
删除
修改

VLAN配置
1、创建VLAN
SW(config)# vlan 12
2、配置端口模式
SW(config)#interface fas0/1
SW(config)#switchport mode access
3、将端口放入VLAN
SW(config)#intertace fas0/1
SW(config)#switchport access vlan 12
4、验证与测试
SW# show vlan brief
PC:
ping 192.168.12.X
注意：
有了VLAN概念以后，必须得对交换机的工作原理进行修正。在成表和查表的过程
中，得考虑到VLAN概念。

Trunk：
interface fas0/24
switchport mode trunk
show interface trunk

Trunk链路：
同一个链路上，可以同时传输多个VLAN的数据；
默认情况下，是允许所有VLAN数据通过的。
每个VLAN的数据，都是通过vlan的标签进行区分；
(Access模式的链路上的数据，是没有标签的)
-配置:
interface fas0/24
switchport mode trunk
-验证：
show interface trunk 
ISL(inter switch link) 思科专用封装vlan协议

Trunk链路上的流量安全控制：
SW(config)#interface fas0/24
SW(config)#switchport trunk allowed vlan ?

word //表示该链路上仅仅允许的VLAN。此时的word表示的是vlan号；
add //表示将后面跟的vlan号添加到现有的trunk允许的vlan列表中。
all //这是默认动作，即trunk链路上允许所有的vlan通过；
excapt//表示该链路允许该参数后面的vlan以外的其他所有vlan；
none //表示该链路不允许任何vlan通过；
remove//表示将该参数后面的vlan，在现有的vlan列表中移除。
Vlans allowed on trunk
1-1005//理论上该trunk链路所允许的vlan；
Vlans allowed and active in management domain
1,12,34,100,200//当前网络中真正存在，并且允许的VLAN
Vlans in spanning tree forwarding state and not pruned
//当前链路上真正可以通信的VLAN；
encapsulation,即trunk的封装协议。
-ISL 
Inter switch link,交换机之间的链路
思科私有协议，
会对原有数据增加30个字节；26个字节的ISLtoubu+4字节的ISL尾部
-802.1Q
也称之为dot1q
共有标准
仅对原有数据增加4个字节，其中表示vlan号的仅仅为12bit。
所以，vlan号的范围是：0-4096个；

Nativevlan，即本地vlan 或者 本征vlan
-本地vlan，是一种特殊的vlan
#平时的vlan，的数据，经过trunk的时候，需要打标签；
但是，native vlan 的数据，经过trunk，不需要打标签。
#trunk链路下，native vlan 是1；

  -更改Trunk链路上的native vlan；
      interfacefas0/24     
          switchport Trunk native vlan{xx}

注意：
必须要保证整个网络中的所有的交换机上的vlan数据库，是完全一致的 。

Trunk配置模式：
1、静态配置
switchport mode trunk
2、自动配置
两边的链路，通过发送DTP报文，进行trunk链路的协商；
DTP-dynamic trunk protocol，动态干道协议；
默认情况下，端口上的DTP功能是默认开启的；

       interface fas0/24
            switchport mode dynamic
nigotiate协商
auto：表示自动，只能被动的接受请求；
desirable：表示动态期望，可以主动的发送请求
即：
   动态形成trunk链路时，只要双方不都是auto，就可以成功形成Trunk链路。

验证命令：
show interface 0/12 switchport
//查看一个端口详细的2层交换配置信息；
一个交换机端口的最终工作模式，就只有两种：
1、access 一个vlan信息通过
2、trunk 同时多个vlan信息通过

  为了安全方面的考虑，我们一般会将非dynamic模式的端口或者平时不用
  的端口和trunk端口，都关闭DTP功能
      interface fas0/4
          switchport nonegotiate //关闭该端口的DTP功能；

          -验证
            show interface fas0/4 switchport

===========================================================================
VLAN的删除
删除一个VLAN
1、移除端口
interface fas0/1
no switchport access vlan 100
2、删除VLAN
sw(config)#no vlan 100
删除所有VLAN
1、移除端口
2、删除VLAN
#一个一个删除
#删除VLAN数据库文件
sw# dir //列出当前设备的存储路径和文件
sw# delete vlan.dat //删除vlan数据库文件
文件类型 
IOS-flash
running-config ---RAM
startup-config ---NVRAM
vlan.dat ---flash

    注意：
       平时在将一个交换机设备回复出厂化配置/初始化配置时，
       要将“startup-config”和“vlan.dat”同时删除掉；

       删除启动配置文件-
            sw# erase startup-config
                erase nvram
                delete nvram:startup-config

==================================================================
VLAN数据库保持一致：
1、手动配置
2、自动配置
-VTP(virtual trunk protocol)
在相同域的，不同交换机之间，自动的同步VLAN信息；
-交换机角色
VTP Server-服务器模式；
1、交换机默认的VTP模式；
2、该模式下可以对VLAN进行所有的操作；
3、该模式的交换机会将自己本身的VLAN的所
有信息，通过VTP报文，沿着trunk链路传输出去；
VTP Client-客户端模式；
1、该模式下交换机不能进行任何的VLAN操作；
2、只能接受服务器端发送过来的VLAN信息，
以及传输给后面的其他客户端模式的交换机；
VTP Transparent-透明模式； 
1、与服务器模式的交换机功能相同，
但是，不会讲自己本身的VLAN信息的变化
传递给其他的交换机；
2、在收到其他交换机发送过来的VTP报文时，
会将这些报文完整的透传给后面的设备。
注意：
以上所有操作成功的前提是：
所有的设备，必须位于同一个VTP域；
默认情况下，VTP域名为null，即空。没有域名。
在没有域名的情况，及时VTP server也不会向外
传输任何信息。
并且交换机之间的trunk链路必须是完好的。
VTP server上，VLAN信息每变化一次，VTP的配
置版本号，都会增加1；
VTP配置版本号越高，表示VLAN信息越新。交换
机会优先使用最新的VLAN信息。
将VTP模式配置为“透明模式”或者更改VTP域名都
会导致VTP配置版本号迅速“归零”。
VTP是思科独有的
配置命令：
vtp domain(name)
vtp mode server/client/transparent
vtp password 
验证命令：
show vtp status:查看VTP相关信息，比如模式和配置版本号、域名；

gvrp配置思路
首先，将交换机所连的端口配置为trunk,并允许所有vlan通过；
--port link type trunk
--port trunk allow-pass vlan all
在交换机全局模式下开启gvrp功能：
--gvrp
在每个端口都开启gvrp功能；
--gvrp-----注：只能先在全局模式下开启gvrp功能后才能在端口
上开启此功能
另：通过gvrp学习到的vlan不能直接使用，如若使用只能够手动添加

本文转自 Mr_Lee_1986 51CTO博客，原文链接：http://blog.51cto.com/13504837/2048124，如需转载请自行联系原作者