我们已经在第 11、12 和 13 天的视频课程中了解了本地 VLAN,今天我们将根据 ICND2 的主题继续研究它们。 我录制了上一个视频,标志着ICND1考试准备工作的结束,几个月前一直到今天我都很忙。 我想你们很多人都已经顺利通过了这次考试,那些推迟考试的人可以等到课程第二部分结束后,尝试通过CCNA 200-125综合考试。
通过今天的视频课程“第 34 天”,我们开始讨论 ICND2 课程的主题。 很多人问我为什么我们没有覆盖 OSPF 和 EIGRP。 事实上,这些协议并未包含在 ICND1 课程的主题中,而是为通过 ICND2 做准备而学习的。 从今天开始,我们将开始讨论课程第二部分的主题,当然,我们还将研究 OSPF 和 EIGRP 穿刺。 在开始今天的主题之前,我想谈谈我们视频课程的结构。 在介绍ICND1的主题时,我没有遵循公认的模板,而是简单地逻辑地解释材料,因为我认为这种方法更容易理解。 现在,在学习ICND2时,应学生的要求,我将开始按照课程表和思科课程计划提供培训材料。
如果你访问该公司的网站,你会看到这个计划以及整个课程分为5个主要部分的事实:
— 本地网络交换技术(占教材的 26%);
— 路由技术(29%);
— 全球网络技术(16%);
— 基础设施服务(14%);
— 基础设施维护(15%)。
我将从第一部分开始。 如果单击右侧的下拉菜单,您可以看到本节的详细主题。 今天的视频教程将涵盖第 1.1 节的主题:“跨多个交换机的 VLAN(常规/扩展范围)的配置、验证和故障排除”以及第 1.1a 小节“访问端口(数据和语音)”和 1.1.b“默认 VLAN” 。
接下来,我会尽量遵循同样的讲授原则,即每一节视频课都会分一节讲,如果材料不够,我会把几个节的主题合并在一节课中,以便例如,1.2 和 1.3。 如果本节内容较多,我会将其分成两个视频。 无论如何,我们都会遵循课程大纲,您可以轻松地将您的笔记与当前的思科课程进行比较。
你可以在屏幕上看到我的新桌面,这是Windows 10。如果你想用各种小部件来增强你的桌面,你可以观看我的视频“Pimp Your Desktop”,我向你展示如何根据您的需求。 我在另一个频道ExplainWorld上发布了此类视频,因此您可以使用右上角的链接来熟悉其内容。
在开始课程之前,我请您不要忘记分享和喜欢我的视频。 我还想提醒您我们在社交网络上的联系方式以及我的个人页面的链接。 您可以通过电子邮件给我写信,正如我已经说过的,在我们网站上捐款的人将优先收到我的个人回复。
如果您还没有捐款,也没关系,您可以在 YouTube 频道的视频教程下方留下您的评论,我会尽力回复。
所以,今天,根据思科的日程安排,我们将讨论 3 个问题:将默认 VLAN(或默认 VLAN)与本机 VLAN(或“本机”VLAN)进行比较,找出普通 VLAN(常规 VLAN 范围)与扩展 VLAN 网络的扩展范围,让我们看看数据 VLAN 和语音 VLAN 之间的区别。 正如我所说,我们在之前的系列中已经研究过这个问题,但由于比较肤浅,所以很多同学仍然很难确定VLAN类型之间的区别。 今天我就用大家都能理解的方式来解释一下。
我们来看看默认 VLAN 和本机 VLAN 之间的区别。 如果您采用出厂设置的全新 Cisco 交换机,它将有 5 个 VLAN - VLAN1、VLAN1002、VLAN1003、VLAN1004 和 VLAN1005。
VLAN1 是所有 Cisco 设备的默认 VLAN,VLAN 1002-1005 为令牌环和 FDDI 保留。 VLAN1 无法删除或重命名,也无法向其添加接口,并且默认情况下所有交换机端口都属于该网络,除非对其进行不同配置。 默认情况下,所有交换机都可以相互通信,因为它们都是 VLAN1 的一部分。 这就是“默认 VLAN”的含义。
如果您进入交换机 SW1 的设置并将两个接口分配给 VLAN20 网络,它们将成为 VLAN20 网络的一部分。 在开始今天的课程之前,我强烈建议您回顾一下上面提到的第 11,12、13 和 XNUMX 集,因为我不会重复 VLAN 是什么以及它们如何工作。
我只是提醒您,在创建 VLAN20 网络之前,您无法自动将接口分配到 VLAN20 网络,因此首先您需要进入交换机的全局配置模式并创建 VLAN2。 你可以查看 CLI 设置控制台并明白我的意思。 将这 20 个端口分配给 VLAN1 后,PC2 和 PC20 将能够相互通信,因为它们都属于同一个 VLAN3。 但 PC1 仍属于 VLAN20 的一部分,因此无法与 VLANXNUMX 上的计算机进行通信。
我们有第二台交换机 SW2,其中一个接口被分配与 VLAN20 一起工作,PC5 连接到该端口。 采用这种连接设计,PC5无法与PC4和PC6通信,但是两台计算机可以互相通信,因为它们属于同一个VLAN1。
两台交换机通过各自配置的端口通过中继连接。 我不会重复,我只是说所有交换机端口都默认配置为使用 DTP 协议的中继模式。 如果将计算机连接到某个端口,则该端口将使用访问模式。 如果要将 PC3 连接的端口切换到此模式,则需要输入 switchport mode access 命令。
因此,如果将两个交换机相互连接,它们就会形成一条主干。 SW1 的顶部两个端口将仅通过 VLAN20 流量,底部端口将仅通过 VLAN1 流量,但中继连接将通过所有经过交换机的流量。 因此,SW2 将接收来自 VLAN1 和 VLAN20 的流量。
您还记得,VLAN 具有本地意义。 因此,SW2 知道从 PC1 到达端口 VLAN4 的流量只能通过也属于 VLAN6 的端口发送到 PC1。 然而,当一台交换机通过中继向另一台交换机发送流量时,它必须使用一种机制向第二台交换机解释该流量的类型。 作为这种机制,使用了 Native VLAN 网络,该网络连接到中继端口并通过它传递标记的流量。
正如我已经说过的,交换机只有一个不可更改的网络 - 这是默认网络 VLAN1。 但默认情况下,Native VLAN 为 VLAN1。 什么是本机 VLAN? 该网络允许来自 VLAN1 的未标记流量,但一旦中继端口接收到来自任何其他网络(在我们的示例中为 VLAN20)的流量,它就必须被标记。 每个帧具有目的地址DA、源地址SA和包含VLAN ID的VLAN标签。 在我们的例子中,该 ID 表明该流量属于 VLAN20,因此它只能通过 VLAN20 端口发送并发往 PC5。 可以说本机 VLAN 决定流量是否应该标记或不标记。
请记住,VLAN1 是默认的本机 VLAN,因为默认情况下所有端口都使用 VLAN1 作为本机 VLAN 来承载未标记的流量。 但是,默认 VLAN 仅为 VLAN1,是唯一无法更改的网络。 如果交换机在中继端口上收到未标记的帧,它会自动将它们分配给本机 VLAN。
简单来说,在Cisco交换机中可以使用任意VLAN作为Native VLAN,例如VLAN20,而只有VLAN1可以作为Default VLAN。
这样做时,我们可能会遇到问题。 如果我们将第一台交换机的中继端口的 Native VLAN 更改为 VLAN20,则该端口会认为:“既然这是一个 Native VLAN,那么它的流量不需要标记”,并将发送 VLAN20 网络的未标记流量沿着树干到第二个交换机。 交换机 SW2 收到此流量后会说:“太好了,此流量没有标签。 根据我的设置,我的本机 VLAN 是 VLAN1,这意味着我应该在 VLAN1 上发送此未标记的流量。” 因此,SW2 只会将收到的流量转发到 PC4 和 PC-6,即使它的目的地是 PC5。 这会产生一个主要的安全问题,因为它会混合 VLAN 流量。 这就是为什么两个 Trunk 端口上必须始终配置相同的 Native VLAN,即,如果 Trunk 端口 SW1 的 Native VLAN 是 VLAN20,则必须将相同的 VLAN20 设置为 Trunk 端口 SW2 上的 Native VLAN。
这就是Native VLAN和Default VLAN的区别,需要记住的是Trunk中的所有Native VLAN都必须匹配(译者注:因此,最好使用除VLAN1之外的网络作为Native VLAN)。
让我们从交换机的角度来看这个问题。 您可以进入交换机并输入 show vlan Brief 命令,之后您将看到交换机的所有端口都连接到默认 VLAN1。
下面显示了另外 4 个 VLAN:1002,1003,1004、1005、XNUMX 和 XNUMX。这也是默认 VLAN,您可以从它们的名称中看出这一点。 它们是默认网络,因为它们是为特定网络(令牌环和 FDDI)保留的。 如您所见,它们处于活动状态,但不受支持,因为上述标准的网络未连接到交换机。
VLAN 1 的“默认”名称无法更改,因为它是默认网络。 由于默认情况下所有交换机端口都属于该网络,因此默认情况下所有交换机都可以相互通信,即不需要额外的端口配置。 如果要将交换机连接到另一个网络,请进入全局设置模式并创建该网络,例如 VLAN20。 按“Enter”键,您将进入已创建网络的设置,您可以为其命名,例如“管理”,然后退出设置。
如果您现在使用 show vlan Brief 命令,您将看到我们有一个新的 VLAN20 网络,该网络不对应于任何交换机端口。 为了将特定端口分配给该网络,您需要选择一个接口,例如 int e0/1,进入该端口的设置并输入 switchport mode access 和 switchport access vlan20 命令。
如果我们要求系统显示 VLAN 的状态,我们将看到以太网端口 0/1 现在用于管理网络,也就是说,它自动从默认分配给 VLAN1 的端口区域移至此处。
请记住,每个接入端口只能有一个数据 VLAN,因此不能同时支持两个 VLAN。
现在让我们看看本机 VLAN。 我使用 show int trunk 命令并看到端口Ethernet0/0 已分配给中继。
我不需要故意这样做,因为 DTP 协议自动分配此接口用于中继。 端口处于desired模式,封装类型为n-isl,端口状态为trunking,网络为Native VLAN1。
下面显示了允许中继的 VLAN 编号范围 1-4094,并表明我们有 VLAN1 和 VLAN20 网络正在运行。 现在我将进入全局配置模式并输入命令 int e0/0,通过它我将进入该界面的设置。 我尝试使用 switchport mode trunk 命令手动将此端口编程为在中继模式下运行,但系统不接受该命令,并响应:“具有自动中继封装模式的接口无法切换到中继模式。”
因此,我必须首先配置中继封装类型,为此我使用 switchport trunk encapsulation 命令。 系统提供了此命令可能的参数提示:
dot1q — 中继期间,端口使用 802.1q 中继封装;
isl——在Trunking期间,端口仅使用专有的Cisco ISL协议的Trunking封装;
协商 – 设备封装与连接到此端口的任何设备的中继。
干线两端必须选择相同的封装类型。 默认情况下,开箱即用的交换机仅支持 dot1q 类型中继,因为几乎所有网络设备都支持此标准。 我将使用 switchport trunk encapsulation dot1q 命令对我们的接口进行编程,以根据此标准封装中继,然后使用之前拒绝的 switchport mode trunk 命令。 现在我们的端口被编程为中继模式。
如果Trunk由两台Cisco交换机组成,则默认使用专有的ISL协议。 如果一台交换机支持 dot1q 和 ISL,而第二台交换机仅支持 dot1q,则中继将自动切换到 dot1q 封装模式。 再次查看Trunking参数,可以看到Et0/0接口的Trunking封装模式已经从n-isl变为802.1q。
如果我们输入show int e0/0 switchport命令,我们将看到该端口的所有状态参数。
您会看到,默认情况下,VLAN1 是用于中继的 Native VLAN 的“本机网络”,并且可以使用 Native VLAN 流量标记模式。 接下来,我使用 int e0/0 命令,进入该接口的设置并输入 switchport trunk,之后系统会提示该命令的可能参数。
允许表示如果端口处于中继模式,则将设置允许的 VLAN 特性。 如果端口处于中继模式,则封装启用中继封装。 我使用native参数,这意味着在trunk模式下端口将具有native特性,并输入switchport trunk native VLAN20命令。 因此,在中继模式下,VLAN20 将是第一个交换机 SW1 的该端口的本机 VLAN。
我们还有另一台交换机 SW2,其中继端口 VLAN1 用作本机 VLAN。 现在您可以看到 CDP 协议显示一条消息,表明在中继两端检测到 Native VLAN 不匹配:第一台Ethernet0/0 交换机的 trunk 端口使用 Native VLAN20,第二台交换机的 trunk 端口使用 Native VLAN1 。 这说明了本机 VLAN 和默认 VLAN 之间的区别。
让我们开始了解 VLAN 的常规范围和扩展范围。
长期以来,Cisco 只支持 VLAN 编号范围 1 到 1005,其中 1002 到 1005 默认为令牌环和 FDDI VLAN 保留。 这些网络称为常规 VLAN。 如果您还记得的话,VLAN ID 是一个 12 位标记,允许您设置最大为 4096 的数字,但出于兼容性原因,思科仅使用最大为 1005 的数字。
扩展的 VLAN 范围包括从 1006 到 4095 的数字。只有支持 VTP v3 的旧设备才能使用它。 如果您使用 VTP v3 和扩展的 VLAN 范围,则必须禁用对 VTP v1 和 v2 的支持,因为如果第一个和第二个版本的 VLAN 编号大于 1005,则它们无法使用。
因此,如果您在较旧的交换机上使用扩展 VLAN,则 VTP 必须处于“禁用”状态,并且您需要为 VLAN 手动配置它,否则 VLAN 数据库将无法更新。 如果您打算将扩展 VLAN 与 VTP 结合使用,则需要第三版本的 VTP。
让我们使用 show vtp status 命令查看 VTP 状态。 您会看到交换机以 VTP v2 模式运行,可能支持版本 1 和 3。我为它分配了域名 nwking.org。
VTP控制模式——服务器在这里很重要。 您可以看到支持的最大 VLAN 数量为 1005。因此,您可以理解该交换机默认情况下仅支持常规 VLAN 范围。
现在,我将输入 show vlan Brief,您将看到 VLAN20 Management,此处提到它是因为它是 VLAN 数据库的一部分。
如果我现在要求使用 show run 命令显示当前设备配置,我们将不会看到任何有关 VLAN 的提及,因为它们仅包含在 VLAN 数据库中。
接下来,我使用 vtp mode 命令来配置 VTP 工作模式。 旧型号的交换机该命令只有三个参数:client,将交换机切换到客户端模式,server,打开服务器模式,透明,将交换机切换到“透明”模式。 由于不可能在较旧的交换机上完全禁用 VTP,因此在此模式下,交换机虽然仍然是 VTP 域的一部分,但只是停止接受通过 VTP 协议到达其端口的 VLAN 数据库更新。
新交换机现在具有 off 参数,允许您完全禁用 VTP 模式。 让我们使用 vtp mode secure 命令将设备切换到透明模式,并再次查看当前配置。 正如您所看到的,现在已经添加了有关 VLAN20 的条目。 因此,如果我们添加一些编号在常规 VLAN 范围内(编号为 1 到 1005)的 VLAN,同时 VTP 处于透明或关闭模式,则根据内部 VLAN 策略,该网络将被添加到当前 VLAN 中。配置并进入 VLAN 数据库。
让我们尝试添加 VLAN 3000,您将看到在透明模式下它也出现在当前配置中。 通常,如果我们想要从扩展的 VLAN 范围中添加网络,我们会使用 vtp version 3 命令。如您所见,当前配置中显示了 VLAN20 和 VLAN3000。
如果使用 vtp mode server 命令退出透明模式并启用服务器模式,然后再次查看当前配置,您可以看到 VLAN 条目已完全消失。 这是因为所有VLAN信息仅存储在VLAN数据库中,并且只能在VTP透明模式下查看。 由于我启用了VTP v3模式,使用show vtp status命令后,可以看到支持的最大VLAN数量增加到4096。
因此,VTP v1 和 VTP v2 数据库仅支持编号为 1 到 1005 的常规 VLAN,而 VTP v3 数据库包括编号为 1 到 4096 的扩展 VLAN 条目。如果您使用 VTP 透明或 VTP 关闭模式,则会添加 VLAN 信息到当前配置。 如果要使用扩展的 VLAN 范围,设备必须处于 VTP v3 模式。 这就是常规 VLAN 和扩展 VLAN 之间的区别。
现在我们将比较数据 VLAN 和语音 VLAN。 如果您还记得的话,我说过每个端口一次只能属于一个 VLAN。
然而,在很多情况下,我们需要配置一个端口来与IP电话配合使用。 现代 Cisco IP 电话有自己的内置交换机,因此您只需使用电缆将电话连接到墙上插座,然后使用跳线连接到计算机。 问题是电话端口插入的墙壁插孔必须有两个不同的 VLAN。 我们已经在视频课程 11 和 12 天中讨论了如何防止流量循环、如何使用传递未标记流量的“本机”VLAN 概念,但这些都是解决方法。 该问题的最终解决方案是将 VLAN 分为数据流量网络和语音流量网络。
在这种情况下,您可以将所有电话线路合并到一个语音 VLAN 中。 该图显示,PC1 和 PC2 可能位于红色 VLAN20 上,PC3 可能位于绿色 VLAN30 上,但它们所有关联的 IP 电话将位于同一个黄色语音 VLAN50 上。
事实上,SW1 交换机的每个端口将同时拥有 2 个 VLAN - 用于数据和语音。
正如我所说,接入 VLAN 始终有一个 VLAN,同一端口上不能有两个 VLAN。 不能同时对一个接口应用 switchport access vlan 10、switchport access vlan 20 和 switchport access vlan 50 命令,但可以对同一接口使用两条命令:switchport access vlan 10 命令和 switchport voice vlan 50 命令因此,由于 IP 电话内部包含交换机,因此它可以封装和发送 VLAN50 语音流量,同时以交换端口访问模式向交换机 SW20 接收和发送 VLAN1 数据流量。 让我们看看这个模式是如何配置的。
首先我们将创建一个 VLAN50 网络,然后我们将进入以太网 0/1 接口的设置并将其编程为交换端口模式访问。 之后,我依次输入 switchport access vlan 10 和 switchport voice vlan 50 命令。
我忘了为 trunk 配置相同的 VLAN 模式,所以我进入以太网端口 0/0 的设置,输入命令 switchport trunk native vlan 1。现在我会要求显示 VLAN 参数,你可以看到现在在以太网端口 0/1 上我们有两个网络 – VLAN 50 和 VLAN20。
因此,如果您看到同一端口上有两个 VLAN,则意味着其中一个是语音 VLAN。 这不能是中继,因为如果使用 show int trunk 命令查看中继参数,您可以看到中继端口包含所有 VLAN,包括默认 VLAN1。
您可以说,从技术上讲,当您创建数据网络和语音网络时,每个端口的行为都像半干线:对于一个网络,它充当干线,对于另一个网络,它充当接入端口。
如果您键入命令 show int e0/1 switchport,您可以看到一些特征对应于两种操作模式:静态访问和中继封装。 在这种情况下,接入模式对应于数据网络VLAN 20管理,同时存在语音网络VLAN 50。
您可以查看当前配置,该配置还将显示该端口上存在访问 vlan 20 和语音 vlan 50。
这就是数据 VLAN 和语音 VLAN 之间的区别。 我希望你能理解我所说的一切,如果没有,请再看一遍这个视频教程。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com