|
使用本地VLAN來實施企業(yè)園區(qū)網(wǎng)架構(gòu)具有以下優(yōu)勢: · 輕松判斷數(shù)據(jù)流:這種簡單的設(shè)計方案可以讓判斷二層和三層的數(shù)據(jù)流變得更加輕松���。如果出現(xiàn)了某種故障,且網(wǎng)絡(luò)中的冗余技術(shù)并沒有解決這個問題時���,那么一個簡單的模型可以讓管理員更加輕松的找到問題的所在,并在相應(yīng)的交換機上解決問題�。 · 靈活的冗余路徑:在實施PVST(每VLAN生成樹)或MSTP(多生成樹)時���,由于網(wǎng)絡(luò)無環(huán),因此所有鏈路都可以使用冗余的路徑����。 · 高可用性:所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施都可以配置冗余路徑����。因此���,如果首選的二層路徑出現(xiàn)故障,那么接入層交換機上的本地VLAN流量還可以沿著另一條二層路徑穿過建筑分布層交換機。如果接入層VLAN的默認網(wǎng)關(guān)出現(xiàn)了故障��,那么路由器冗余協(xié)議可以實現(xiàn)故障倒換(Failover)。當生成樹(STP)實例和VLAN都配置在了一臺特定的接入層或分布層交換機上時���,那么管理員也可以使用相應(yīng)的方法來配置二層和三層冗余及協(xié)議。 · 有限故障域:如果VLAN僅限于本地交換機��,那么每個VLAN中的設(shè)備數(shù)量就不會太多���,于是二層故障就會被限制在不大的用戶范疇內(nèi)����。 · 設(shè)計方案擴展性強:如上圖是一個企業(yè)園區(qū)架構(gòu)的設(shè)計方案�,管理員可以十分輕松地在網(wǎng)絡(luò)中添加新的交換機����,在必要的時候��,也可以在網(wǎng)絡(luò)中添加新的子模塊����。 規(guī)劃端到端VLAN需要的步驟: 1. 把握現(xiàn)有網(wǎng)絡(luò)的流量���。收集一些信息,這些信息包括:子網(wǎng)及與其相關(guān)聯(lián)的VLAN�,VLAN號��,名稱���,作用����,以及VLAN和IP地址之間的映射���。 2. 在收集這些信息之后,應(yīng)該記錄下來哪一部分需要使用哪個VLAN��。這樣就確定了交換機之間的數(shù)據(jù)流向����,以及哪些VLAN應(yīng)該配置在哪些交換機上�����。 3. VLAN一般是基于端口來劃分的�。 4. 在獲得了所有與VLAN相關(guān)的信息之后��,下一個重要的步驟就是配置Trunk(干道)。如果交換機之間需要通信����,就需要使用Trunk��。在配置Trunk時�����,應(yīng)該考慮在Trunk上時否允許所有的VLAN�,以及NativeVLAN應(yīng)該如何設(shè)計等�����。 5. VTP可以簡化VLAN的配置和修剪。應(yīng)該考慮哪臺交換機充當服務(wù)器����,哪臺充當客戶端����,哪臺配置為透明模式。 設(shè)計VLAN的最佳做法: · 對于本地VLAN模型來說�����,一般推薦設(shè)計者在每個模塊上使用1~3個VLAN,將這些VLAN限制在幾臺接入層交換機和分布層交換機的范圍內(nèi)��。 · 不要將VLAN1作為未使用端口的“黑洞”����。要將這些不使用的端口劃分到其他VLAN中����,只要不是VLAN1就好����。 · 盡量將語音VLAN�����,數(shù)據(jù)VLAN,管理VLAN�����,Native VLAN,黑洞VLAN和默認VLAN1分開���。 · 在本地VLAN模型中����,不要使用VTP���。可以用手動的方式配置Trunk上允許哪些VLAN��。 · 對于Trunk端口來說��,應(yīng)該關(guān)閉DTP并且手動對其進行配置��。這里應(yīng)該使用802.1Q而不應(yīng)該使用ISL�����,因為IEEE802.1Q能夠更好的支持QOS,而且,IEEE802.1Q也是標準(即共有)協(xié)議�����。 · 手動配置那些不打算用于Trunk鏈路的Access端口。 · 阻止所有來自VLAN1的數(shù)據(jù)流量;VLAN1上只允許運行控制協(xié)議(如DTP,VTP,STPBPDU,PAgP,LACP,CDP等)���。 · 出于安全性的考慮,不要使用telnet��,但可以使管理VLAN支持SSH協(xié)議���。 動態(tài)中繼協(xié)議DTP�,是 VLAN 組中思科的私有協(xié)議����,主要用于協(xié)商兩臺設(shè)備間鏈路上的中繼過程及中繼封裝 802.1Q類型。DTP的用途是取代動態(tài)ISL(Dynamic ISL��,DISL)��。 配置VLAN: 所有的CiscoCatalyst交換機都能夠支持VLAN。但是CiscoCatalyst交換機所支持的VLAN數(shù)量卻有所區(qū)別����。高端的CiscoCatalyst交換機可以支持多達4096個VLAN。如圖: 
Cisco Catalyst交換機支持最多4096個VLAN,具體支持的VLAN數(shù)量取決于設(shè)備的型號及軟件系統(tǒng)的版本���。 注意:對于安裝了標準操作系統(tǒng)軟件(Standard Softwareimage)的Catalyst2950和2955交換機來說,它們最多能夠支持64個VLAN���;對于安裝了增強型系統(tǒng)軟件(EnhancedSoftware image)的Catalyst 2950和2955交換機來說,它們最多能夠支持250個VLAN。CiscoCatalyst交換機不支持1002~1005����,因為這些VLAN是為令牌環(huán)和FDDI VLAN所預(yù)留的���。除此之外�,Catalyst4500和6500系列交換機也不支持VLAN 1006~1024,此外��,好幾系列的交換機支持的VLAN比生成樹實例還要多�。例如:CiscoCatalyst2970支持1005個VLAN�,但它只支持128個生成樹實例�。 
VLAN配置步驟: 1.進入全局配置模式 Switch#configure terminal 2.使用特定ID編號創(chuàng)建新的VLAN��。 Switch(config)#vlan vlan-id 3.命名VLAN(可選) Switch(config)#name vlan-name 刪除VLAN: 1.進入全局配置模式刪除特定ID編號的VLAN Switch(config)#no vlan vlan-id 分配交換機端口到所創(chuàng)建的VLAN: 1.在全局配置命令進入接口模式 Switch(config)#interface interface_id 2.將端口指定為access端口 Switch(config-if)#switchport modeaccess Switch(config-if)#switchport host 命令switchporthost的作用是將某端口配置為主機模式(例如工作站或服務(wù)器)所連端口��。在啟用該特性的時候�����,就表示同時對該端口啟用生成樹portfast并禁用EtherChannel特性����。 3.將端口放入某個VLAN中����,或從該VLAN中移除 Switch(config-if)#【no】 switchport access vlan vlan-id 驗證VLAN的配置: 如需驗證Catalyst交換機上的VLAN配置�����,那么就需要使用show 命令來實現(xiàn)。在特權(quán)模式中��,使用showvlan命令能夠顯示特定VLAN的相關(guān)信息。 show vlan 字段描述: show vlan顯示出來的字段 VLAN 該VLAN編號 Name 如果配置�����,那么表示該VLAN的名稱 Status 該VLAN的狀態(tài)(active(活動)還是Suspended(掛起)) Ports 屬于該VLAN的端口 Type 該VLAN的介質(zhì)名稱 SAID 該VLAN的安全關(guān)聯(lián)ID值 MTU 該VLAN最大傳輸單元的大小 Parent 如果存在,那么表示父輩VLAN RingNo 如果可用�����,那么表示環(huán)編號 BridgNo 如果可用����,那么表示該VLAN的橋接編號 Stp 該VLAN所使用的生成樹協(xié)議類型 BrdgMode 該VLAN的橋接模式 Trans1 透明網(wǎng)橋1 Trans2 透明網(wǎng)橋2 AREHops ALL-Route探測幀的最大跳計數(shù) STEHops 生成樹探測幀的最大跳計數(shù) 如圖查看VLAN的相關(guān)信息: 
如果想查看某個特定接口當前的配置信息�����,可以使用命令showrunning-config interfaceinterface_typeslot/port來實現(xiàn)。如果希望顯示特定交換機端口的詳細信息����,那么就應(yīng)該使用命令showinterfaces來實現(xiàn)���。如果使用帶有關(guān)鍵字switchport的命令showinterfaceinterface_typeslot/port,設(shè)備就不僅會顯示出交換機的端口特征�,而且還能顯示NativeVLAN和鏈路聚集(Trunking)等信息�。通過使用命令showmac-address-tableinterfaceinterface_typeslot/port�,設(shè)備能夠顯示指定VLAN中特定接口的MAC地址表的信息。在排錯時���,這些命令可以幫助管理員判斷直連設(shè)備是否正在向正確的VLAN發(fā)送數(shù)據(jù)包。 如圖:
如上圖所示如何顯示特定接口的配置:接口Ethernet5/6被管理員劃分了VLAN200中�����,該端口的狀態(tài)為Access,因此該接口不會再協(xié)商鏈路聚集(Trunking). 如圖:
如上圖所示為如何顯示交換機端口的詳細信息�����,例如端口VLAN和工作模式:管理員將快速以太網(wǎng)端口4/1配置成了Switchport端口����,也就是一個二層端口�����,該端口的模式為Access��,位于VLAN2中。 如圖:
如上圖所示如何顯示VLAN1指定接口的MAC地址表信息�����。 VLAN的排錯: 在排除與VLAN相關(guān)的故障的時候���,管理員應(yīng)當檢查下列項目 · 物理連接 · 交換機配置 · VLAN配置
一、吞吐量低的排錯 對相同VLAN中吞吐量低的問題配錯步驟: 1. 對于由2個端口組成的點到點交換機鏈路�����,故障有可能存在于鏈路的任一側(cè)�����。此時我們需要確認鏈路兩端的速度和全雙工模式設(shè)置是否一致�。 2. 使用命令show interface 來查看嫌疑接口存在哪種類型的錯誤����。FCS(幀校驗序列)錯誤,對齊(Alignment)錯誤和短幀(Runt)的組合往往說明雙工模式不匹配����;自動協(xié)商是常見的可能發(fā)生故障的原因�����,但也可能是由于手工配置不匹配所導致。 3. 如果存在使用生成樹的多條冗余路徑���,那么管理員應(yīng)該判斷數(shù)據(jù)包會采用哪條二層路徑。 如果從showinterface命令的輸出結(jié)果中����,管理員發(fā)現(xiàn)沖突數(shù)目快速增加��,那么故障就可能在于半雙工鏈路超額訂閱(Oversubscribed)����,硬件故障����,電纜損壞或雙工不匹配。 二�����、通信問題的排錯。 當某臺設(shè)備不能與VLAN內(nèi)部的其他設(shè)備進行通信的時候��,就需要采用下列方法來查找故障���。 · 使用命令show interface��,show mac和showrunning來確認交換機端口上面配置的VLAN成員關(guān)系正確無誤��。 · 使用命令showinterface來確認交換機端口處于正常工作狀態(tài)(UP)���,并且已經(jīng)建立了連接�。嘗試在相應(yīng)的交換機端口執(zhí)行shutdown和noshutdown命令來對該端口進行復位處理�。 原文出處:http://blog.sina.com.cn/u/3793472020 By:Miller_Amy
|
