交换机．路由器．防火墙-技术提升【2.9】

6.2.3 创建和管理 VLAN

VLAN 的主要作用有两点，一是提高网络安全性，阻止未经授权的 VLAN 访问，二是提
高网络传输效率，将广播隔离在子网之内。因此， VLAN 划分是可网管交换机最基本的配置
之一。
1. VLAN 配置文件
VLAN 1～1005 的配置被写入 vlan.dat 文件（ VLAN 数据库），可以在特权模式下使用 show
vlan 命令查看 VLAN 相关信息。文件 vlan.dat 存储于闪存中。如果 VTP 模式为透明，也被保
存于交换机的运行配置文件（ running-configuration）。
在接口配置模式下，可以将端口从 VLAN 中添加或移除。这些命令被写入运行配置文件，
可以使用 show running-configuration 查看。
当在启动配置文件（ startup-configuration）中保存 VLAN 和 VTP 信息（包括扩展 VLAN
配置信息），并重新引导交换机。交换机配置将从下述项目中选择：
 如果启动配置中 VTP 模式为透明， VLAN 数据库与启动配置文件中的 VTP 域名相匹
配， VLAN 数据库被忽略（清除），使用启动文件中的 VTP 和 VLAN 配置信息。 VLAN
数据库中的 VLAN 数据库修订号不改变。
 如果启动配置文件中的 VTP 模式或域名与 VLAN 数据库不匹配，的 VTP 域名、 VTP
和 ID 为 1～1005 的 VLAN，使用 VLAN 数据库信息进行配置。
 VTP 版本 1 和 2，如果 VTP 模式为服务器，域名和 VLAN 1～1005 使用 VLAN 数据
库信息配置。 VTP 版本 3 也支持 VLAN 1006～4094。

2. 标准 VLAN 配置策略
VLAN 1～1005 为标准 VLAN。在创建和修改标准 VLAN 时，应当遵循以下策略。
 在 VTP 客户端、服务器和透明模式中，交换机支持 1005 个 VLAN。
 标准 VLAN 的 ID 号为 1～1001。 VLAN 号为 1002～1005 的是 Token Ring 和 FDDI
VLAN。
 VLAN 1～1005 通常被保存在 VLAN 数据库中。如果 VTP 模式是透明的， VTP 和
VLAN 配置也保存在交换机运行配置文件中。
 如果交换机处于 VTP 服务器或 VTP 透明模式，可以在 VLAN 数据库中添加、修改
或移除 VLAN 2～1001。 VLAN 1 和 VLAN 1002～1005 将自动创建，并不能移除。
 在创建 VLAN 之前，交换机必须处于 VTP 服务器模式或 VTP 透明模式。如果交换
机是 VTP 服务器，必须定义 VTP 域。
 交换机支持 128 个生成树实例。如果交换机有太多的活动 VLAN，超过所支持的扩
展树，扩展树将在 128 个 VLAN 启用，并且禁用其他的 VLAN。如果已经在交换机
上使用了所有可用的扩展树实例，无论在 VTP 域何处添加 VLAN，那么，该交换机
将不运行扩展树。如果在该交换机的中继端口有默认允许列表（允许所有 VLAN），
新 VLAN 将在所有中继端口传输，在某些拓扑结构的局域网中，可能会导致环路而
瘫痪。
 当堆叠中的交换机学习新 VLAN，或者删除、修改原有 VLAN 时， VLAN 信息会传
播给堆叠中的所有成员。
 当交换机加入堆叠或堆叠混合时，新交换机上的 VTP 信息（ vlan.dat 文件）将与活动
交换机并存。
3. 扩展 VLAN 配置策略
VLAN 1006～4094 是扩展 VLAN。在创建扩展 VLAN 时，应当遵循下述策略：
 在 VTP 透明模式下，创建的扩展 VLAN 不保存在 VLAN 数据库中，并且不能扩散。
在 VTP 服务器模式下， VTP 版本 3 支持扩展 VLAN（ VLAN 1006～4094）数据库的
扩散。
 扩展 VLAN 不被保存在 VLAN 数据库中，并且对 VTP 无效，除非在 VTP 版本 3 交
换机中。
 VTP 版本 1 和 2，可以在全局模式下配置 VTP 模式为透明。需要将该配置保存至启
动配置中，以便交换机以 VTP 透明模式引导。否则，交换机重新加载时，将丢失扩
展 VLAN 配置。如果在 VTP 版本 3 中创建了扩展 VLAN，不能将其转变为 VTP 版
本 1 或 2。
 当交换机上拥有最大数量的扩展树实例时，在任何新创建的 VLAN 中扩展树都将被
禁用。如果交换机上的 VLAN 数量超过了扩展树实例的最大值，推荐配置 MSTP
（ Multiple STP，多扩展树），从而将多个 VLAN 映射至一个扩展树实例。
 在交换机堆叠中，所有成员使用相同的启动配置和保存配置，扩展 VLAN 信息可以
穿越堆叠而被共享。

4. VLAN 默认配置

以太网 VLAN 默认配置和范围如表 6-2 所示。

5. 创建 VLAN

创建 VLAN 共需要两个步骤，先是创建 VLAN，再将相关接口指定至该 VLAN。这个过程相似于先划分若干部门，然后再将人员一一分配至不同部门。

① 进入全局配置模式。

Switch# configure terminal

② 键入 VLAN ID，进入 VLAN 配置模式。以太网 VLAN ID 的取值范围为 1～1001。其中， VLAN 1 为系统默认 VLAN，不能被创建，也不能被删除。

Switch(config)# vlan vlan_id

如果键入的 VLAN ID 不存在，那么，此时将自动创建该 VLAN。因此，首次进入某个 VLAN 的过程，也是创建该 VLAN 的过程。
③ 为 VLAN 命名，便于区分、查看和管理 VLAN。如果不为 VLAN 命名，默认在 VLAN ID 前添加 0 作为 VLAN 名称。例如， VLAN0004 是 VLAN 4 的默认名称。

Switch(config-vlan)# name vlan-name

为 VLAN 命名后，使用 show vlan 命令，可以方便地查看该 VLAN 所属的部门或用户群，便于对 VLAN 进行后期的配置和管理，因此，建议为每个 VLAN命名。
④ 返回全局配置模式。

Switch(config-vlan)# exit

若欲创建多个 VLAN，并将端口指定至 VLAN，必须一一重复执行上述命令。
⑤ 查看并检验 VLAN 配置。
Switch# show vlan [id | name] vlan_name
⑥ 保存 VLAN 配置。
Switch# copy running-config startup-config
6. 将端口指定至相应的 VLAN
指定欲配置至该 VLAN 的接口。创建 VLAN 之后，接下来就需要根据规划将相应的端口
指定至该 VLAN。
① 进入全局配置模式。
Switch# configure terminal
② 指定欲配置的端口或端口范围。
Switch(config)# interface interface-id
或
Switch(config)# interface range interface-range

若欲将多个端口指定至同一 VLAN，建议采用指定端口组的方式，一次将多个端口指定至同一 VLAN。
③ 在配置完成之前禁用该端口。
Switch(config-if)# shutdown
④ 将接口配置二层交换接口。在使用其他带有关键字的 switchport 命令之前，必须使用
不带任何关键字的 switchport 命令一次，以将该接口作为二层接口。或者，以前在该接口上使
用过 no switchport 命令，也必须使用该命令。
Switch(config-if)# switchport
⑤ 将该接口指定为二层访问模式。
Switch(config-if)# switchport mode access

在将交换机端口指定至某个 VLAN 之前，必须将该端口设置为二层接口。尤其是对于三层交换机而言，默认状态下，所有接口都是三层接口，因此，将指定端口设置为二层交换端口就显得更为必要。
⑥ 将该端口指定至相应的 VLAN。
Switch(config-if)# switchport access vlan vlan_id
⑦ 重新激活该接口，使其恢复转发状态。
Switch(config-if)# no shutdown
⑧ 退出接口配置状态。
Switch(config-if)# end
⑨ 查看该接口的运行状态。
Switch# show running-config interface interface-id
⑩ 显示该接口的交换端口配置。
Switch# show interfaces interface-id switchport
11 保存 VLAN 配置。
Switch# copy running-config startup-config

若欲将多个端口指定至不同 VLAN，必须一一重复执行上述命令。当然，不能将一个端口指定至多个 VLAN。当将一个端口指定至一个新的 VLAN 后，该端口将只属于新指定的 VLAN。
7. 管理 VLAN
如果交换机处于 VTP 透明模式， VLAN 配置被保存在运行配置文件时，也被保存至 VLAN 数据库。这里只是将当前配置保存至启动配置。

 删除指定 VLAN
使用 no vlan vlan_id 命令，可删除指定的 VALN。
① 进入全局配置模式。
Switch# configure terminal
② 删除指定的 VLAN。
Switch(config-vlan)# no vlan vlan_id
③ 更新 VLAN 数据库，并返回特权配置模式。
Switch(config-vlan)# end
④ 校验 VLAN 的改变。
Switch(config-vlan)# show vlan brief
⑤ 保存 VLAN 配置。
Switch# copy running-config startup-config
删除 VLAN 后，所有指定至 VLAN 的端口将不再可用，直到将其指定至新VLAN 时止。若欲一次性删除所有创建的 VLAN，则必须借助删除 vlan.dat 数据库的方式。
 清除接口配置
将指定接口恢复为默认值，即可清除该接口的所有配置，当然也包括 VLAN 设置。
① 进入 VLAN 配置模式。
Switch# config terminal
② 清除某接口的所有配置。
Switch(config)# default interface {fastethernet | gigabitethernet |
tengigabitethernet} slot/port
③ 返回特权配置模式。
Switch(config)# end
④ 保存对配置的修改。
Switch# copy running-config startup-config
若欲将接口指定至其他 VLAN，只需直接将其指定至新 VLAN ID 即可，而不必先清除接口配置再指定至新 VLAN。

6.2.4    配置中继

当在交换机上划分有多个 VLAN 时，若欲借助一条链路实现与其他交换机的通信，就必须创建 Trunk（中继）。默认状态下，第二层接口自动处于动态的 Switchport 模式，当相邻接口（即借助于双绞线或光纤连接在一起的两个端口）支持 Trunk，并且配置为 Trunk 或动态匹配模式时，该链接即可作为 Trunk 链接。

1. Trunk 封装协议与适用

可以借助 IEEE 802.1q、 ISL（ Inter-Switch Link Protocol，交换链路协议）和 DTP（ Dynamic Trunking Protocol，动态中继协议）等 3 种不同的封装协议创建中继。

其中， 802.1q 作为 IEEE 标准适用于在任意交换机之间创建中继。因此，无论是在 Cisco交换机之间，还是在 Cisco 交换机与其他品牌的交换机创建 Trunk， 802.1q 封装协议无疑都是最佳选择。

ISL 是 Cisco 私有协议，主要用于维护交换机和路由器间的通信流量等 VLAN 信息。 DISL （ Dynamic Inter-Switch Link Protocol，动态交换链路内协议）则简化了两台相互连接的快速以太网设备上 ISL 中继的创建过程。

DTP 用于管理 Trunk 协商，支持在 ISL 和 802.1q 中继间自动协商。

两个接口的 Trunk 模式、 Trunk 封装类型和硬件能力决定了连接创建为 ISL 中继还是 802.1q中继。

以太网 Trunk 封装类型如表 6-3 所示。

Cisco Catalyst 交换机平台支持的中继协议如表 6-4 所示。

2. Trunk 上允许的 VLAN

默认状态下， Trunk 端口允许所有 VLAN 的发送和接收通信。所有 VLAN，从 1 到 4094，在每个中继接口都被允许通信。当然，根据需要，也可以从访问列表中移除某些 VLAN，拒绝这些 VLAN 通过 Trunk 传输，从而限制该 VLAN 与其他交换机的通信，或者拒绝某些 VLAN对敏感数据的访问。

为了避免生成树环或广播风暴，可以在某些特殊 VLAN 中继的允许列表中移除 VLAN1。当从 Trunk 端口移除 VLAN1 时，接口将继续发送和接收管理通信，如 CDP （ Cisco Discovery Protocol， Cisco 发现协议）、 PAgP（ Port Aggregation Protocol，端口聚合协议）、 LACP（ Link Aggregation Control Protocol，链路聚合控制协议）、 DTP 等，同时， VTP 也在 VLAN 1 中。因此，一般情况下，不建议从 Trunk 中移除 VLAN1。

VLAN1 被禁用的 Trunk 端口转换为非 Trunk 端口时，将添加该访问 VLAN。如果访问VLAN 被设置为 1，端口将添加 VLAN1，而不管 switchport trunk allowed 如何设置。端口上被禁用的所有 VLAN 都是如此。

如果 VTP 知道该 VLAN，并且该 VLAN 在端口的允许访问列表中，那么，当 VLAN 被启用时，则 Trunk 端口可以改变为 VLAN 成员。当 VTP 发现一个新启用的 VLAN，并且该 VLAN在 Trunk 端口的允许访问列表中时，该 Trunk 端口将自动改变为该新启用 VLAN 的成员。当VTP 发现一个新 VLAN，并且 VLAN 没在 Trunk 端口的允许访问列表时，该 Trunk 端口不能改变为该新启用 VLAN 的成员。

3. 二层以太网接口默认配置

二层以太网接口默认配置如表 6-6 所示。