CH 9

Download Report

Transcript CH 9 

第9章
虛擬區域網路
(VLAN)
本著作僅授權老師於課堂使用, 切勿置放在網路上
播放或供人下載, 除此之外, 未經授權不得將全部
或局部內容以任何形式重製、轉載、變更、散佈或
以其他任何形式、基於任何目的加以利用。
著作權所有 © 旗標出版股份有限公司
本章重點







9 - 1 VLAN 基本原理
9 - 2 VLAN 成員
9 - 3 識別 VLAN
9 - 4 VLAN 主幹通訊協定
9 - 5 VLAN 之間的遶送
9 - 6 設定 VLAN
9 - 7 設定 VTP
2
本章重點



9 - 8 電信:設定語音 VLAN
9 - 9 利用 CNA 來設定 VLAN 與跨 VLAN 遶送
9 - 10 摘要
3
虛擬區域網路 (VLAN)




我們不斷地提醒您, 只是要確定您並沒有忘記,
所以這裡再重複最後一次:根據預設, 交換器切
割碰撞網域, 而路由器則切割廣播網域。
好的, 這樣筆者安心多了!讓我們繼續吧。
與昨日那種以疊起來的骨幹 (collapsed
backbone) 為基礎的網路相反, 今日網路設計的
特徵是階層較少的結構 - 多虧交換器的功勞。
所以現在要如何設計呢?我們要如何在純粹的
交換式互連網路中分割廣播網域呢?
4
虛擬區域網路 (VLAN)



答案就是建置虛擬區域網路 (Virtual Local Area
Network, VLAN)。
VLAN 是一個邏輯群組的網路使用者與資源, 連
結到交換器上那些依管理意義而定義出來的埠。
當您建立 VLAN 時, 其實是藉由指定交換器上
的不同埠給不同的子網路, 使得我們能夠在第 2
層交換式互連網路中產生較小的廣播網域。
5
虛擬區域網路 (VLAN)



VLAN 被視為它自己的子網路或廣播網域, 這表
示廣播訊框只會在以邏輯分組於相同 VLAN 內
的埠之間交換。
因此, 這表示我們不再需要路由器了嗎?也許是,
也許不是。這真的要看您想要做什麼。
根據預設, 特定 VLAN 內的所有主機不可以與
屬於另一個 VLAN 的其他主機通訊, 所以如果
您想要有跨 VLAN 的通訊, 上述問題的答案就
是 - 您仍然需要路由器。
6
虛擬區域網路 (VLAN)



本章告訴您 VLAN 到底為何物, 以及如何在交
換式互連網路中使用 VLAN 成員關係。
此外, 您也會學到如何利用 VLAN 主幹協定
(VLAN Trunk Protocol, VTP) 來更新含有 VLAN
資訊的交換器資料庫。
以及如何利用主幹通訊 (trunking), 讓所有
VLAN 交通能夠透過單一條鏈路來傳送資訊。
7
虛擬區域網路 (VLAN)


最後則討論要如何藉由引進路由器至交換式互
連網路中, 進行跨 VLAN 的通訊。
當然, 最後我們會為我們的交換網路設定 VLAN
與跨 VLAN 的遶送, 並利用 CNA 在我們的交換
器上設定 VLAN。
8
9 - 1 VLAN 基本原理




如圖 9.1 所示, 第 2 層交換式網路通常會設計成
平版網路。
在這種組態中, 廣播封包會被網路上的每部裝置
看到, 而不管裝置是否需要接收那些資料。
根據預設, 路由器只允許在發起的網路內進行廣
播, 但交換器則轉送廣播到所有的網段上。
它被稱為「平版網路 (flat network)」的理由是,
因為它是一個廣播網域, 而不是因為它的設計在
實體上是平的。
9
VLAN 基本原理




在圖 9.1 中, 我們看到 A 主機傳送了一則廣播,
而交換器上除了原先接收到該廣播的埠以外, 其
他所有埠都會轉送該廣播。
現在讓我們來看看圖 9.2, 這是一個交換式網路。
它展示的是 A 主機傳送一個以 D 主機為目的地
的訊框, 而且如您所看到的, 該訊框只會轉送到
連結 D 主機的埠。
這是針對老式集線器網路的重大改良, 除非預設
上單個碰撞網域才真的是您想要的 (應該不是
吧!)。
10
VLAN 基本原理
11
VLAN 基本原理

現在您已經知道了第 2 層交換式網路所能得到
的最大好處就是:為每個裝置連接交換器的每
個埠, 以產生個別碰撞網域的網段。
12
VLAN 基本原理





這樣也可解放乙太網路的距離限制, 所以現在就
可以建置較大的網路。
但通常每個新的進步都會遇到新的議題 - 使用
者與裝置的數目越多, 每部交換器必須處理的廣
播與封包也越多!
另一個議題是安全性!這真的是個問題。
因為在典型的第 2 層交換式互連網路內, 所有使
用者預設上都可看到所有的裝置。
而且您無法阻止裝置送出廣播, 也無法阻止使用
者回應廣播。
13
VLAN 基本原理



這表示您的安全功能只能局限於在伺服器與其
他的裝置上設置密碼。
不過, 等等, 事情還有希望!那就是如果建置
VLAN, 就可解決許多第 2 層交換所帶來的問題
- 您馬上就會看到。
VLAN 有幾種簡化網路管理的方式:

只要設定一個埠到適當的 VLAN 中, 就可輕易地
完成網路的新增、遷移、與修改。
14
VLAN 基本原理





可將需要極高安全性的一組使用者放入同一個
VLAN, 使得該 VLAN 以外的使用者無法與他們
通訊。
可對使用者進行功能性的邏輯分組, 這樣就可分
開來看待 VLAN 與他們的實體或地理位置。
VLAN 大大地加強網路安全性。
藉由縮小 VLAN 的規模, 就可增加廣播網域的數
目。
以下幾節將討論交換特性, 以及交換器如何能在
網路中提供比集線器更好的網路服務。
15
管制廣播

每種協定都會發生廣播, 但發生的頻率取決以下
3 件事:





協定類型
在互連網路上執行的應用服務
如何使用這些服務
有些老舊的應用服務已被重新改寫, 以降低他們
的頻寬需求, 但卻有新世代的應用服務以驚人的
頻寬需求, 消耗他們所能得到的所有頻寬。
那些濫用頻寬者就是使用廣播與多點傳播的多
媒體應用。
16
管制廣播




有缺點的設備、不適當的網路分段、以及設計
不良的防火牆, 只會使得這些亟需廣播的應用所
產生的問題更加惡化。
這些真的為網路設計增加了一個新的範疇, 並且
為管理員帶來新的挑戰。
很重要的是, 您要確定網路是否經過正確地分割,
以隔離一個網段的問題, 防止那些問題擴散至整
個互連網路中。
這最有效的做法就是透過策略性的交換與遶送。
17
管制廣播



因為近年來交換器已經變得比較具有成本效益,
許多公司都以純粹的交換式網路與 VLAN 環境
來取代平版的集線器網路。
VLAN 之內的所有裝置都是同一個廣播網域的
成員, 並且接收所有的廣播。
預設上, 不屬於相同 VLAN 成員的交換埠都會
將廣播過濾掉, 這是很不錯的, 因為您得到了交
換式設計的所有好處, 但不會有所有使用者都在
相同廣播網域而產生的問題!
18
安全性




讓我們再回到安全性的議題。
對於平版網路的安全性, 習慣上總是藉由將集線
器與交換器連結到路由器來處理, 所以基本上維
護安全性是路由器的工作。
有幾種理由說明這種安排非常沒有效率:首先,
任何人只要連上實體網路都可存取到位於該實
體區域網路的網路資源。
其次, 任何人只要在集線器上插入一部網路分析
器, 就可以看到該網路中的所有交通。
19
安全性




同樣地, 使用者只要將他們的工作站插入既有的
集線器, 就可加入一個工作群組。
所以基本上, 這完全沒有安全性可言!
這也是為什麼 VLAN 這麼酷的原因, 藉由建置
VLAN, 並產生多個廣播群組, 管理員就能控制
每個埠與使用者!
使用者只要將他們的工作站插入交換埠就可存
取網路資源的日子已經不再了, 因為現在管理員
得以控制每個埠, 以及每個埠只能存取那些資源。
20
安全性



甚至如果您用 2960 / 3560 等新型的交換器, 這
些會自動發生!
此外, 因為 VLAN 可根據使用者要求的網路資
源來產生, 所以可設定交換器, 當它發現到有非
授權存取網路資源的狀況時就通知網管工作站。
而且如果您需要跨 VLAN 通訊, 可在路由器上
實作一些限制來達成。
21
安全性


您也可以將限制放在硬體位址、協定、以及應
用服務上。
現在我們正在談論的是安全性 - 現在蜂蜜罐已
經用堅固的鈦合金密封著, 並裹著有刺的鐵絲網!
22
彈性與擴充性




您應該知道第 2 層交換器只會讀取訊框以進行
過濾 - 他們不會檢視網路層協定。而且根據預
設, 交換器會轉送所有的廣播。
但如果建置與實作 VLAN, 其實是在第 2 層建立
更小的廣播網域。
這表示從一個 VLAN 的某個節點傳送出去的廣
播並不會轉送給設定成不同 VLAN 的埠。
所以藉由指定交換埠或使用者給一個或一組相
連之交換器上的 VLAN 群組, 就可獲得一種彈
性, 能夠只新增您想要的使用者到廣播網域中,
而不管他們的實際位置!
23
彈性與擴充性



這種設置也可用來阻擋那些由故障的網路界面
卡所引起的廣播風暴, 以及防止中間的裝置將風
暴擴散至整個互連網路上。
這些災難仍然會發生在在引起問題所在的
VLAN 上, 但只孤立在這個發生問題的 VLAN 上。
另一個好處是當 VLAN 變得太大時, 您可以產
生更多的 VLAN, 以避免廣播消耗太多的頻寬
- VLAN 上的使用者越少, 受廣播影響的使用
者也就越少。
24
彈性與擴充性



這是不錯的做法, 但當您產生 VLAN 時, 絕對要
記住您有那些網路服務, 並瞭解使用者是如何連
上這些服務的。
嘗試並且讓所有的服務儘可能地與它的使用者
區域化是不錯的對策, 但每個人都需要的電子郵
件與網際網路存取服務則除外。
若要瞭解對交換器而言 VLAN 看起來如何, 首
先檢視一下傳統的網路是有幫助的, 圖 9.3 顯示
如何藉由集線器連結實體的區域網路到路由器,
以產生一個網路。
25
彈性與擴充性




圖中每個網路以一個集線器埠連結到路由器 (每
個網段也有它自己的邏輯網路號碼, 不過在這圖
上並不明顯)。
每個連結至特定實體網路的節點必須使用該網
路號碼, 以便能夠在互連網路上通訊。
請注意每個部門有它自己的區域網路, 所以如果
要增加新的使用者到譬如業務部門, 則只要將他
們連上業務部區域網路, 他們就會自動地成為業
務部碰撞與廣播網域的一部份。
這種設計已運作許多年了。
26
彈性與擴充性
27
彈性與擴充性



但這樣有一個主要的缺點:如果業務部門的集
線器插滿了, 而您需要增加其他的使用者到業務
部區域網路, 怎麼辦?
好的, 假如恰巧大樓的財務部還有許多空間, 新
的業務團隊成員只需與財務部同仁坐在大樓的
同一邊, 並且只要將這些可憐蟲連結到財務部的
集線器即可。
這樣做很明顯地會使這些新使用者成為財務部
區域網路的一部份, 有許多理由顯示這樣並不好。
28
彈性與擴充性




首先而且也最嚴重的是, 我們現在會有安全性的
問題, 因為這些新進的業務部員工是財務部廣播
網域的成員, 因此可以看到財務部同仁所能看到
的伺服器與網路服務。
其次, 如果這些新使用者因工作需要必須存取業
務部網路服務, 他們需要穿越路由器才能登入業
務部伺服器 - 不是很有效率!
現在讓我們來看看交換器能做到什麼。
圖 9.4 展示交換器如何移除實體的界限, 以解決
我們的問題。
29
彈性與擴充性




圖 9.4 也顯示如何使用 6 個 VLAN (編號 2 到 7)
來為每個部門建立廣播網域。
然後根據主機與主機應該屬於那個廣播網域, 依
管理意義將每個交換埠指定給某個 VLAN。
因此, 如果需要增加其他使用者到業務 VLAN
(VLAN 7), 只要將使用的埠指定給 VLAN 7 即可,
而不用管這些新業務團隊成員的實際位置所在
- 太好了!
這展示了利用 VLAN 來設計網路的其中一個優
勢 (跟老式疊起來的骨幹設計相比)。
30
彈性與擴充性



現在, 很簡單地, 每部需要在業務 VLAN 上的主
機只要指定給 VLAN 7 即可。
而且, 藉由新型交換器所提供之預先定義的巨集,
我們只要使用 CNA 與 Smartports, 將埠所要連
結的裝置類型設定成 Desktop, 嘿!埠的設定就
完成了!
這裡的 VLAN 編號從 2 開始, 其實編號多少是
無關緊要的, 但您一定會好奇:VLAN 1 怎麼了?
31
彈性與擴充性


這個 VLAN 是管理性的 VLAN, 雖然它也可以給
工作群組用, 但 Cisco 建議您只用它來當作管理
的目的。
您不能刪除或更改 VLAN 1 的名稱, 而且預設上,
交換器上的所有埠都是 VLAN 1 的成員, 直到您
加以更改為止。
32
彈性與擴充性
33
彈性與擴充性



每個 VLAN 都可視為一個廣播網域, 所以必須
有它自己的子網路號碼, 如圖 9.4 所示。如果您
也使用 IPv6, 則每個 VLAN 也必須分配到它自
己的 IPv6 網路號碼。
所以千萬不要搞混了, 只要把 VLAN 想成是個
別的子網路或網路就好了。
現在讓我們回到 "因為有交換器, 所以不再需要
任何路由器" 的錯誤觀念。
34
彈性與擴充性



在圖 9.4 中有 7 個 VLAN 或廣播網域 (如果
VLAN 1 也算進來), VLAN 內的節點可以彼此互
相通訊。
但不同 VLAN 之間的節點則不能, 因為個別
VLAN 中的節點將認為他們實質上就好像是在
如圖 9.3 疊起來的骨幹中。
如果我們想要讓圖 9.4 中屬於不同 VLAN 的節
點或主機能互相通訊, 有什麼小巧的工具嗎?也
許您已經猜到了 - 路由器!
35
彈性與擴充性


那些節點肯定需要穿越路由器、或某個第 3 層
裝置, 就好像為他們設定互連網路的通訊一樣
(如圖 9.3 所示)。
這如同要連結不同的實體網路一般, VLAN 之間
的通訊必須經過第 3 層裝置, 所以不要期待路由
器很快就會消失!
36
9 - 2 VLAN 成員



通常 VLAN 是由管理員產生的, 然後再指定交
換埠給每個 VLAN, 這種 VLAN 稱為靜態的
VLAN (static VLAN)。
如果管理員願意事先多花一點工夫, 指定主機裝
置的硬體位址到資料庫中, 這樣就可設定交換器,
使得每當主機插上交換器時, 就能動態地分配到
一個 VLAN。
這種 VLAN 稱為動態 VLAN (dynamic VLAN)。
37
靜態的 VLAN



靜態的 VLAN 是習慣上最常用來產生 VLAN 的
方式, 理由之一就是因為靜態的 VLAN 也最安
全。
安全的理由是因為您所指定的交換埠與 VLAN
的結合關係會一直維持著, 直到管理員手動地更
改該埠的指定為止。
這種 VLAN 的設定相對上很容易設置與監視,
對於那些使用者於網路中的移動需要受到控制
的網路, 這種方式可運作得很好。
38
靜態的 VLAN



雖然利用網路管理軟體來設定埠可能會有幫助,
但並不是必要的。
在圖 9.4 中, 管理員根據主機需要屬於那個
VLAN (而不管裝置實際上的實體位置), 手動地
設定每個交換埠的 VLAN 成員關係。
主機要成為那個廣播網域的成員乃是管理上的
選擇, 但請記住每部主機也必須有正確的 IP位
址資訊。
39
靜態的 VLAN



例如, VLAN 2 中的每部主機一定要設定成屬於
172.16.20.0 / 24 網路, 讓它們成為該 VLAN 的
成員。
同時也必須謹記的是, 如果您連結一部主機至交
換器上, 一定要確認該埠的 VLAN 成員關係。
如果成員關係不是該主機所需要的, 它就無法得
到所需要的網路服務, 例如工作群組伺服器。
40
動態的 VLAN




動態的 VLAN 可自動地決定一部節點的 VLAN
指派。
利用聰明的管理軟體, VLAN 的指派可以根據硬
體 (MAC) 位址、協定、甚至是應用服務, 來產
生動態的 VLAN。
例如, 假設已經將 MAC 位址輸入中央式的
VLAN 管理應用, 然後您接上一個新的節點。
如果您將它連結至尚未指定的交換埠, 則 VLAN
管理資料庫就能查詢硬體位址, 並指派與設定該
交換埠到正確的 VLAN。
41
動態的 VLAN



這樣很酷吧 - 它使得管理與設定更容易了, 因
為如果使用者遷移, 交換器也能自動地分配給他
們正確的 VLAN。
但一開始您必須做更多的事情以建置資料庫。
不過這可能會非常值得!
Cisco 管理員可以使用 VLAN 管理政策伺服器
(VLAN Management Policy Server, VMPS) 的
服務來建置 MAC 位址資料庫, 這些 MAC 位址
可用作 VLAN 的動態定址。
42
動態的 VLAN




VMPS 資料庫自動構成 MAC 位址與 VLAN 的
對應。
動態存取的埠可以屬於一個 VLAN (VLAN ID 從
1 到 4094), 而且如方才所說的, 由 VMPS 動態
地指派。
Catalyst 2960 只能是 VMPS 客戶端。
您可以在同一部交換器上同時擁有動態存取的
埠與主幹埠, 但必須將動態存取的埠連到終端工
作站或集線器 - 而不能連到另一部交換器!
43
9 - 3 識別 VLAN




交換埠只是結合實體埠的第二層界面。
對於存取埠 (access port) 而言, 一個交換埠只
能屬於一個 VLAN。
對於主幹埠 (trunk port) 而言, 一個交換埠可以
屬於所有的 VLAN。
您可以手動地將一個交換埠設定成存取埠或主
幹埠, 或者讓動態主幹通訊協定 (Dynamic
Trunking Protocol, DTP) 在每個埠的基礎上運
作, 以設定交換埠模式。
44
識別 VLAN




DTP 藉由跟鏈路另一端上的埠協商來達成這樣
的工作。
交換器肯定是非常忙碌的裝置, 因為要將訊框交
換至整個網路, 所以交換器必須要有能力記錄所
有不同的類型, 並且能瞭解如何依據硬體位址來
處理他們。
請記住, 要依據訊框所經過的鏈路類型來進行不
同的處理。
交換式環境中有 2 種不同的鏈路。
45
識別 VLAN




存取埠 (access port) 存取埠只屬於一個 VLAN,
而且只傳送一個 VLAN 的交通。這裡的交通完
全以原生的格式來收送, 不帶任何的 VLAN 標籤。
所有抵達存取埠的交通只會被認為是屬於該埠所
指定的 VLAN。
因此, 如果存取埠收到有貼標籤的封包, 例如
IEEE 802.1Q 的標籤, 您猜會發生什麼事呢?沒
錯 - 這樣的封包只會被丟掉。
但為什麼呢?因為存取埠並不檢查來源位址, 所
以貼標籤的交通只能在主幹埠上轉送與接收。
46
識別 VLAN




任何連結至存取鏈路的裝置都不會察覺到它是某
個 VLAN 的成員 - 該裝置只假定它是同一個廣
播網域的一部份, 但並不瞭解實體的網路拓樸。
交換器在轉送訊框至存取鏈路的裝置之前, 會先
移除訊框中的 VLAN 資訊。
存取鏈路的裝置無法與他們的 VLAN 以外的裝
置通訊, 除非經過遶送的方式。而且一個交換埠
只能建置成存取埠或主幹埠 - 不能同時是兩者。
所以您只能兩者擇一, 而且如果設成存取埠的話,
也只能指定一個 VLAN 給它。
47
識別 VLAN




語音存取埠並非要存心把您搞混, 但之前所說的,
存取埠只能指定一個 VLAN 給它, 這件事其實並
不完全對。
現今大部分的交換器都能讓您在語音交通用的交
換埠上增加第二個 VLAN 給存取埠;這種
VLAN 稱為語音 VLAN。
語音 VLAN 過去一向稱為輔助VLAN, 可覆蓋在
資料 VLAN 之上, 讓兩種交通都可通過相同的埠。
雖然技術上可視為不同類型的鏈路, 但其實就是
可將存取埠同時設給資料與語音 VLAN。
48
識別 VLAN




這讓您可以同時連結電話與 PC 裝置到一個交換
埠上, 而且讓每部裝置都有個別不同的 VLAN。
本章稍後的「電信:設定語音 VLAN」一節中會
更詳細地介紹語音 VLAN, 為您釐清這些觀念。
主幹埠 (trunk port) 相不相信, 這個術語其實是
來自電信系統中, 同時可運載多筆通話的主幹。
同理, 主幹埠可同時運載多個 VLAN。
主幹鏈路是 2 部交換器之間、交換器與路由器
之間、或交換器與伺服器之間的 100 或 1000
Mbps 點對點鏈路。
49
識別 VLAN



這些鏈路會運載多個 VLAN 的交通 - 同時 1 到
4, 094 個 (除非您要擴充 VLAN, 否則其實最多
只有 1, 005 個)。
主幹通訊 (trunking) 有個很實在的優點, 那就是
它讓我們能使一個埠同時成為多個 VLAN 的一
部份。
這真的很好, 因為您可以做一些設定, 讓伺服器
同時在 2 個廣播網域中, 因此您的使用者不需要
經過第 3 層裝置 (路由器) 就可登入並存取它。
50
識別 VLAN



主幹通訊的另一個好處是當您在連接交換器時,
主幹鏈路可承載各種不同的 VLAN 資訊, 但如果
交換器之間的鏈路不是主幹時, 預設上就只能交
換所設定之 VLAN 的資訊。
所有的 VLAN 都可在主幹鏈路上傳送資訊, 除非
管理員手動地清除各個 VLAN。但別擔心, 稍後
就會跟您解釋如何從主幹中清除個別的 VLAN。
圖 9.5 顯示如何在交換式網路中使用不同的鏈
路。
51
識別 VLAN



連結交換器的所有主機因為交換器之間的主幹
鏈路, 所以能夠與它們各自之 VLAN 中的所有
埠通訊。
請記住, 如果我們在交換器之間使用存取鏈路,
那麼就只能允許一個 VLAN 在交換器之間通訊。
圖中這些主機使用存取鏈路來連結交換器, 這表
示他們只能在一個 VLAN 中通訊。
52
識別 VLAN

換句話說, 如果沒有路由器, 沒有主機可以與它
自己 VLAN 之外的主機通訊, 但它們可以透過
主幹鏈路, 傳送資料給另一部交換器所連結之相
同 VLAN 的主機。
53
識別 VLAN
54
在訊框上貼標籤



如之前所說的, 您所產生的 VLAN 可以跨越一
個以上互相連結的交換器。
在圖 9.4 中, 來自各個 VLAN 的主機可遍佈於許
多交換器上。這種彈性或許就是實作 VLAN 的
主要優勢!
但這可能會變得有點複雜 - 即使只是一部交換
器 - 必須有個方法可讓交換器在訊框經過交換
組織 (switch fabric) 與 VLAN 時, 能夠記錄所有
的使用者與訊框。
55
在訊框上貼標籤



(基本上交換組織係指一群分享相同 VLAN 資訊
的交換器) 這也就是需要在訊框上貼標籤的原因。
訊框的識別方法唯一地指定一個使用者定義的
ID 給每個訊框, 有時人們會稱之為 VLAN ID 或
徽章 (color)。
以下是它的運作方式:每部交換器收到訊框時
必須先從訊框的標籤中識別出它的 VLAN ID,
然後檢視過濾表中的資訊, 看要如何處理該訊框。
56
在訊框上貼標籤



如果訊框抵達的是一部連有其他主幹鏈路的交
換器, 就會從主幹鏈路的埠轉送出去。
當訊框抵達出口 (由轉送 / 過濾表來決定它是否
是符合該訊框之 VLAN ID 的存取鏈路) 時, 交換
器就會移除 VLAN 識別子, 所以目的裝置可以
接收訊框, 而不必瞭解他們的 VLAN 識別。
有關主幹埠的另一件事是, 它們同時支援有貼標
籤與沒有貼標籤的交通 (如果您是使用 802.1Q
的主幹通訊, 下一節會討論)。
57
在訊框上貼標籤


主幹埠會為所有無標籤交通賴以傳輸的 VLAN,
指定一個預設的埠 VLAN ID (PVID), 這個
VLAN 又稱為原生 VLAN, 預設上總是 VLAN 1
(但可以變更成任何其他的 VLAN 編號)。
同樣地, VLAN ID 為 NULL (沒指定) 的無標籤
或有標籤交通, 都會被視為屬於 ID 為預設
PVID 的 VLAN (同樣地, 預設為 VLAN 1)。
58
在訊框上貼標籤


VLAN ID 與離開埠之預設 PVID 相等的封包會
以無標籤的交通送出, 而且只能與 VLAN 1 中的
主機或裝置通訊。
其他的所有 VLAN 交通都必須以某個 VLAN 的
標籤送出, 以便和該標籤的對應 VLAN 通訊。
59
VLAN 的識別方法

VLAN 識別就是當訊框經過交換組織時, 交換器
用來記錄他們的憑藉, 這是交換器如何辨別那些
訊框屬於那個 VLAN 的方法, 而且有一個以上
的主幹通訊方法:


跨交換器鏈路
IEEE 802.1Q
60
跨交換器鏈路



跨交換器鏈路 (Inter-Switch Link, ISL) 是一種明
確地為乙太網路訊框貼上 VLAN 資訊的方法,
這種標籤資訊讓 VLAN 可以透過一種外部的封
裝方法 (ISL), 多工於主幹鏈路上。
這使得交換器能識別出主幹鏈路上的訊框是屬
於那個 VLAN。
藉由執行 ISL, 就可讓多個交換器互相連結, 當
交通於交換器之間的主幹鏈路上傳輸時, 仍能維
持 VLAN 的資訊。
61
跨交換器鏈路



ISL 在第 2 層運作, 利用一個新的標頭與 CRC
來封裝資料訊框。
這是專屬於 Cisco 交換器的方法, 只用於快速乙
太網路與 Gigabit 乙太網路的鏈路。
ISL 遶送是非常多功能的, 可用於交換埠、路由
器界面、以及伺服器界面卡上, 以主幹鏈路來連
結伺服器。
62
IEEE 802.1Q



IEEE 所產生用來在訊框上貼標籤的標準方法,
這個方法實際上會插入一個欄位至訊框中, 以識
別 VLAN。
如果您要在 Cisco 交換器與其他廠牌的交換器
之間建立主幹鏈路, 則必須使用 802.1Q, 才能讓
主幹運作。
它的運作方式像這樣:首先您必須為即將成為
主幹的每個埠指定 802.1Q 封裝, 這些埠要一個
特定的 VLAN ID, 讓它們成為原生 VLAN, 才能
彼此通訊。
63
IEEE 802.1Q



連結相同主幹的埠會產生一個有原生 VLAN 群
組, 而每個埠會得到一個反應其原生 VLAN 的
識別號碼當作標籤 - 預設是 VLAN 1。
原生 VLAN 讓主幹能運載所收到之沒有任何
VLAN 識別或訊框標籤的資訊。
2960 只支援 IEEE 802.1Q 主幹通訊協定, 但
3560 同時支援 ISL 與 IEEE 標準。
64
9 - 4 VLAN 主幹通訊協定




VLAN 主幹通訊協定 (VLAN Trunking Protocol,
VTP) 也是 Cisco 建立的。
它的基本目的是要管理交換式互連網路上所有
設定的 VLAN, 以及維護整個網路的一致性。
VTP 讓管理員可新增、刪除、以及重新命名
VLAN - 然後將這些資訊散播到 VTP 網域中的
所有其他交換器。
以下是 VTP 必須提供的一些優點:

網路中的所有交換器之間有一致的 VLAN 設定。
65
VLAN 主幹通訊協定






允許 VLAN 以主幹連結於混合的網路上, 例如乙
太網路到 ATM LANE 或甚至是 FDDI。
正確地記錄與監視 VLAN。
動態地報告新增的 VLAN 給 VTP 網域中的所有
交換器。
隨插即用地新增 VLAN。
非常酷吧 - 沒錯, 但在您能讓 VTP 管理您網路
的 VLAN 之前, 必須先建置 VTP 伺服器。
所有需要分享 VLAN 資訊的伺服器需使用相同
的網域名稱, 而一部交換器一次只能在一個網域
中。
66
VLAN 主幹通訊協定




因此, 這表示一部交換器只能與其他設定在相同
VTP 網域中的交換器共享 VTP 網域資訊。
如果您有一個以上的交換器連結至網路中, 可以
使用一個 VTP 網域。但如果您讓所有的交換器
只在一個 VLAN 中, 則根本不需要使用 VTP。
VTP 資訊只能透過主幹在交換器之間傳送。
交換器會宣傳 VTP 管理的網域資訊, 以及一個
組態修訂號碼和所有含特定參數的已知 VLAN。
67
VLAN 主幹通訊協定




但也有稱為 VTP 透通模式 (transparent mode)
的東西。
在裡面您可以設定交換器, 告訴它們透過主幹埠
轉送 VTP 資訊, 但不接受資訊更新或更新他們
的 VTP 資料庫。
如果您發現有使用者擅自新增交換器到您的
VTP 網域, 您可以加入密碼, 但不要忘記 - 每
部交換器必須設置相同的密碼。
不過這個小小的困難可能會是管理上的大麻煩!
68
VLAN 主幹通訊協定



交換器可能在一個 VTP 宣傳 (advertisement)
中偵測到額外的 VLAN, 然後就準備在他們那些
結合新定義之 VLAN 的主幹埠上傳送資訊。
並送出更新封包, 其修訂號碼乃設為原先通知封
包 (notification) 的編號加一。
任何時候當交換器看到比較高的修訂號碼時, 就
會知道該資訊是比較即時的, 並且會以新資訊覆
蓋目前的資料庫。
69
VLAN 主幹通訊協定

您應該知道 VTP 在交換器之間溝通 VLAN 資訊
有 3 個需求:




兩部交換器必須設定一樣的 VTP 管理網域名稱。
其中一部交換器必須設成 VTP 伺服器。
不需要路由器。
以下將繼續對 VTP 的討論, 描述 VTP 的模式與
VTP 的修剪 (pruning)。
70
VTP 的運作模式

VTP 網域中有 3 種不同的運作模式, 圖 9.6 顯
示這 3 種模式:
71
VTP 的運作模式




伺服器 (server) 這是所有 Catalyst 交換器的預
設模式, 您的 VTP 網域中至少要有一部伺服器,
以傳播 VLAN 資訊到整個互連網路上。
交換器必須在伺服器模式才能建立、新增、或刪
除 VTP 網域中的 VLAN, 更改 VTP 資訊也必須
在伺服器模式下進行。
在伺服器模式下對交換器所作的任何修改都會宣
傳給整個 VTP 網域。
在 VTP 伺服器模式下, VLAN 的組態設定是儲存
在 NVRAM 中。
72
VTP 的運作模式



客戶端 (client) 在客戶端模式下, 交換器會接收
來自 VTP 伺服器的資訊, 也收送更新封包, 因此
它們的行為就像 VTP 伺服器一樣, 差異就在於
它們不能建立、新增、或刪除 VLAN。
此外, 在 VTP 伺服器公佈新 VLAN 之客戶端交
換器之前, 該客戶端交換器上的埠都不能加入新
的 VLAN。
這裡有個建議:如果您想要讓一部交換器變成伺
服器, 首先將它設成客戶端, 以接收所有正確的
VLAN 資訊, 然後再將它更改為伺服器 - 這樣容
易得多!
73
VTP 的運作模式




因此, 基本上 VTP 客戶端模式的交換器會轉送
VTP 摘要宣傳, 並處理它們。
這種交換器可以學習它們, 但不會將 VTP 組態
設定儲存在運行組態中, 也不會儲存在 VNRAM
中。
VTP 客戶端模式中的交換器只會學習並轉送
VTP 資訊 - 就只是這樣!
透通 (transparent) 透通模式的交換器不參與
VTP 網域或分享它的 VLAN 資料庫, 但他們仍然
會透過設定的主幹鏈路來轉送 VTP 宣傳。
74
VTP 的運作模式




這些交換器能建立、修改、與刪除 VLAN, 因為
他們只保留他們自己的資料庫 - 一個沒有與其
他交換器分享的資料庫。
透通模式下的 VLAN 資料庫雖然也保留在
NVRAM 中, 但實質上只具有本機的意義。
透通模式的目的主要是為了讓遠端交換器能從那
些設為 VTP 伺服器的交換器, 透過屬於不同
VLAN 的交換器來接收 VLAN 資料庫。
VTP 只學習一般範圍的 VLAN, 其 VLAN ID 從 1
到 1005。
75
VTP 的運作模式



ID 大於 1005 的 VLAN 稱為延伸範圍的 VLAN,
而且這些 VLAN 不會儲存在 VLAN 資料庫中。
當您產生 ID 為 1006 到 4094 的 VLAN 時, 必須
將這種交換器設定成透通模式, 而您應該很少會
用過這些 VLAN。
另一件事是:1 與 1002 到 1005 的 VLAN ID 是
自動建立在交換器上的, 無法移除掉。
76
我何時要考慮是否使用 VTP?





鮑柏是舊金山 Acme 公司的資深網路管理員, 他
要管理大約 25 部連在一起的交換器, 而且想要
設定 VLAN 來分割廣播網域。
他何時應該要開始考慮使用 VTP 呢?
只要您有一部以上的交換器, 而且有多個 VLAN
時。
如果您只有一部交換器, 則 VTP 是不重要的。
如果您不在網路中設定 VLAN, 那麼 VTP 也不
重要。
77
我何時要考慮是否使用 VTP?



但如果您有使用多個 VLAN 的多部交換器, 最
好正確地設定您的 VTP 伺服器與客戶端!
如果您正開始建置交換式網路, 請確認您的主要
交換器是一部 VTP 伺服器, 而所有其他的交換
器都是 VTP 客戶端。
當您在主要的 VTP 伺服器上產生 VLAN 時, 所
有交換器就會收到 VLAN 資料庫。
78
我何時要考慮是否使用 VTP?


如果您已經有既有的交換式網路, 而且想要加入
一部新的交換器, 安裝前請確定將它設成 VTP
客戶端。
因為如果不是這樣, 這部新交換器就會送出一個
新的 VTP 資料庫給其他交換器, 因而摧毀了您
既有的所有 VLAN!沒有人需要這種結果!
79
VTP 修剪



VTP 提供一種讓您可節省頻寬的方法, 也就是
做一些設定, 以降低廣播、多點傳播 (multicast)、
與單點傳播 (unicast) 的封包量, 我們稱為修剪
(pruning)。
VTP 修剪讓交換器只傳送廣播到真正需要的主
幹鏈路。
例如:如果 A 交換器上沒有任何埠是設成
VLAN5, 而有個廣播要傳遍 VLAN5, 則該廣播
就不會流經要到 A 交換器的主幹鏈路。
80
VTP 修剪




根據預設, 所有交換器上的 VTP 修剪功能是關
閉的;對筆者而言, 這似乎是個不錯的預設參數。
當您啟動 VTP 伺服器上的修剪功能時, 也就是
為整個網域啟動了它。
根據預設, VLAN 2 到 1001 都是可以進行修剪
的, 但 VLAN 1 則不可以, 因為它是一個管理用
途的 VLAN。
VTP 第一版與第二版同時都支援 VTP 修剪。
81
VTP 修剪

從 show interface trunk 命令可以看到, 預設
上所有 VLAN 都被允許能穿越主幹鏈路:
82
VTP 修剪


檢視以上的輸出, 您可以看到預設上 VTP 修剪
功能是關閉的。
接下來我們就來開啟修剪功能, 只要一個命令,
就能為所列的 VLAN 在整個交換網路上啟動這
個功能:
83
VTP 修剪


可以讓我們修剪的有效 VLAN 是 2 到 1001。
延伸範圍的 VLAN (ID 為 1006 到 4094 的
VLAN) 不能修剪, 而這些不能被修剪的 VLAN
可能會收到大量的交通。
84
9 - 5 VLAN 之間的遶送



VLAN 內的主機存在他們自己的廣播網域中, 可
自由地互相通訊。
VLAN 在 OSI 的第 2 層產生網路分割並分隔交
通。
而且如同之前我們說仍然需要路由器的理由一
樣, 如果您想要讓不同 VLAN 之間的主機或其
他可利用 IP 定址的裝置能互相通訊, 第 3 層裝
置絕對還是必須的。
85
VLAN 之間的遶送




要達成這樣的目的, 您可以使用一部有為每個
VLAN 裝上界面的路由器, 或一部支援 ISL 或
802.1Q 遶送的路由器。
支援 ISL 或 802.1Q 遶送的最低價路由器是
2600 系列的路由器 (您大可不必去二手貨商店
買這種路由器, 因為它們已經停產了)。
1600、1700 與 2500 系列都不支援 ISL 或
802.1Q 遶送。
筆者建議您最起碼要用 2800, 而 2800 只支援
802.1Q。
86
VLAN 之間的遶送



Cisco 其實正逐漸遺棄 ISL, 所以或許您應該只
用 802.1Q (有些 2800 上的 IOS 可能同時支援
ISL 與 802.1Q - 不過筆者並沒有看過)。
如圖 9.7 所示, 如果您已經有一些 VLAN (2 或 3
個), 您的路由器可能要有 2 或 3 個快速乙太網
路的連線。
10 BaseT 對家用而言可能可行, 但只是家用喔!
誠摯地建議您使用快速乙太網路或 Gigabit 界
面 - 這會運作得比較好。
87
VLAN 之間的遶送
88
VLAN 之間的遶送


我們在圖 9.7 中看到的是每個路由器界面各自
連上一條存取鏈路, 這表示每個路由器界面的
IP 位址將會成為每個 VLAN 中的每部主機的預
設閘道位址。
如果您的 VLAN 數量多於路由器界面, 則可以
在一個快速乙太網路界面上設定主幹通訊, 或購
買一部第 3 層交換器, 如 Cisco 3560, 或較高階
的交換器, 如 6500。
89
VLAN 之間的遶送



這樣您就可以不必為每個 VLAN 各用一個路由
器界面, 而是共同使用一個快速乙太網路界面,
並執行 ISL 或 802.1Q 主幹通訊。
圖 9.8 就顯示在路由器的一個快速乙太網路界
面上設定 ISL 或 802.1Q 主幹通訊的長相。
這讓所有的 VLAN 能透過一個界面互相通訊,
Cisco 稱這個為 "一根棒上的路由器 (router on
a stick)"。
90
VLAN 之間的遶送
91
VLAN 之間的遶送



不過有要特別指出的是, 這會產生瓶頸, 以及單
一故障點。
因此這樣的主機 / VLAN 數目會有所限制, 多少
呢?這取決於您的交通量。若要真正把事情做
好, 您最好使用一部高階的交換器, 並且在骨幹
上遶送。
但如果您就剛好只有一部路由器可以用, 也只能
這樣設囉, 不是嗎?
92
9 - 6 設定 VLAN



也許您會覺得很訝異, 不過設定 VLAN 其實非
常簡單, 但理出每個 VLAN 要加入那些使用者
則非常耗時。
一旦您已經決定好所要產生的 VLAN 編號, 並
且建立好屬於每個 VLAN 的使用者, 接下來就
是成立您的第一個 VLAN 的時候了。
要在 Cisco Catalyst 交換器上設定 VLAN, 請使
用 vlan 的整體設定命令。
93
設定 VLAN

在以下的範例中, 我們要為 3 個不同的部門產生
3 個 VLAN, 以展示如何在 S1 交換器上設定
VLAN (VLAN 1 是原生的 VLAN, 根據預設, 它
也是管理性的 VLAN):
94
設定 VLAN


從上面的輸出中可發現我們可以建立的 VLAN
從 2 到 4094, 但這並不全然對。
如之前所說的, 我們所能產生的 VLAN 最大是
1005, 但 VLAN 1 與 1002 到 1005 是不可以使
用、變更、改名、或刪除的, 因為它們是保留的。
95
設定 VLAN


編號超過 1005 的 VLAN 稱為延伸範圍的
VLAN, 它們是不會儲存在資料庫的, 除非您的
交換器設定成 VTP 透通模式 - 這在營運網路
上應該不會太常見。
以下是當交換器設成 VTP 伺服器模式 (預設的
VTP 模式) 時, 在它上面設定 VLAN 4000 的例
子:
96
設定 VLAN



產生好所要的 VLAN 之後, 就可利用 show
vlan 命令加以檢查。但請注意, 預設上交換器
上的所有埠都是在 VLAN 1 中。
若要改變某個埠所對應的 VLAN, 必須進入每個
界面, 告訴它隸屬於那個 VLAN。
一旦產生好 VLAN, 請利用 show vlan (或 sh
vlan) 命令來確認您的設定:
97
設定 VLAN



已許很嘮叨, 但很重要, 希望您確實要記得:您
不能修改、刪除、或重新命名 VLAN 1, 因為它
是預設的 VLAN。
您就是不能改變它 - 著毋庸議!
預設上它是所有交換器的原生 VLAN, 而且
Cisco 建議您利用它來當作管理性目的之 VLAN。
98
設定 VLAN



基本上, 任何沒有特別指定給特定 VLAN 的封
包就會傳送給原生 VLAN。
在前面的 S1 輸出中, 您可以看到 Fa0 / 3 到
Fa0 / 8 埠、以及 Gi0 / 1 上行鏈路, 都屬於
VLAN 1, 但 1 與 2 號埠呢?
還記得前一章設定主幹並且產生一束
EtherChannel 嗎, 主幹埠是不會出現在 VLAN
資料庫中的, 您必須使用 show interface trunk
命令來檢視主幹埠。
99
設定 VLAN



看到所產生的 VLAN 之後, 接下來就可以指定
交換埠給特定的 VLAN 了。除了語音存取埠之
外, 每個埠只能屬於一個 VLAN。
而之前所提的主幹通訊則可以使一個埠為所有
VLAN 的交通服務。
以下就來討論這些設定。
100
指定交換埠給 VLAN




若要將交換器上的埠設定給某個 VLAN, 要先設
定成員的模式, 以指定該埠運載的交通種類, 然
後再加上它所要隸屬的 VLAN 號碼。
您可以利用 switchport 界面命令來設定交換器
上的每個埠, 讓它屬於特定的 VLAN (存取埠)。
您也可以利用第 8 章所介紹的 interface range
命令, 同時設定多個埠。
請記住這些埠可以設成靜態或動態的成員關係,
不過因為本書的目的, 我們只以靜態為主。
101
指定交換埠給 VLAN

在以下的範例中, 我們將 fa0 / 3 界面設定給
VLAN 3, 這是從 S1 交換器到 HostA 裝置的連
線:
102
指定交換埠給 VLAN



我們現在有什麼呢?在前面的輸出中有一些新
的東西出現。
我們可以看到不同的命令 - 有些目前還沒有談
到, 但是別擔心;本章很快就會談到 access、
mode、nonegotiate、trunk、和 voice 等命
令。
首先從 S1 的存取埠設定開始, 這可能是有設定
VLAN 的營運用交換埠上最常使用的類型。
103
指定交換埠給 VLAN


您一開始先藉由使用 switchport mode
access 命令, 告訴交換器這是一個第 2 層的埠。
接著, 使用 switchport access 命令指定某個
VLAN 給該埠。
104
指定交換埠給 VLAN



請記住, 如果您使用 interface range 命令, 就
可以一次選擇多個埠來設定。dynamic 和
trunk 命令則是專門用在主幹埠上。
如果您將裝置連上每個 VLAN 埠, 他們就只能
與同一個 VLAN 中的其他裝置通訊。
接下來我們想要啟動跨 VLAN 通訊, 不過要這
樣做, 首先我們得先學習主幹通訊。
105
設定主幹埠



2960 交換器只執行 IEEE 802.1Q 封裝方法。
要在快速乙太網路埠上設定主幹通訊, 請使用
trunk 界面命令。
在 3560 交換器上的設定方式則會有些微差異,
我們會在下一節介紹。
以下的交換器輸出顯示 fa0 / 8 界面上的主幹設
定:
106
設定主幹埠

以下說明設定交換器界面時可用的選項:



switchport mode access 這是前一節討論的,
但這個選項將界面 (存取埠) 放入永久的非主幹
模式, 並協商要將鏈路轉換成非主幹鏈路。
這個界面會變成非主幹界面, 而不管其鄰接界面
是否為主幹界面。這個埠將會成為專用的第 2
層埠。
switchport mode dynamic auto 這個模式讓界
面能夠將鏈路轉換成主幹鏈路。
107
設定主幹埠




只有當其鄰接界面設定為 trunk 或 desirable 模
式時, 界面才會成為主幹界面。
現在對於所有新型 Cisco 交換器上的所有乙太
網路界面, 這是預設的交換埠模式。
switchport mode dynamic desirable 這個模
式讓界面主動地試圖去將鏈路轉換成主幹鏈路。
如果其鄰接界面設定為 trunk、desirable 或
auto 模式, 這個界面就會變成主幹界面。
108
設定主幹埠




筆者以前曾經看過這個模式是一些舊型交換器上
的預設模式, 但現在已經改成 dynamic auto 了。
switchport mode trunk 將界面放入永久的主
幹通訊模式, 並協商要將其鄰接鏈路轉換成主幹
鏈路。
這個界面會變成主幹界面, 而不管其鄰接界面是
否為主幹界面。
switchport nonegotiate 阻止界面產生 DTP 訊
框。只有當界面的交換埠模式是存取或主幹時,
才使用這個命令。
109
設定主幹埠


您必須手動地將其鄰接界面設定為主幹界面, 才
能建立起主幹鏈路。
若想要在界面上關閉主幹通訊, 請使用
switchport mode access 命令, 這會將交換埠
設成專用的第 2 層交換埠。
110
以 Cisco Catalyst 3560 交換器進行主
幹通訊




好的, 讓我們多研究一種交換器 - Cisco
Catalyst 3560。
這種交換器的設定與 2960 非常類似, 不一樣的
是 3560 可以提供第 3 層服務, 但 2960 不行。
此外, 3560 可以執行 ISL 與 IEEE 802.1Q 的主
幹通訊封裝方法 - 2960 只能執行 802.1Q。
因此, 這裡我們只快速地瀏覽 3560 交換器有關
VLAN 封裝的差異。
111
以 Cisco Catalyst 3560 交換器進行主
幹通訊

3560 上有 encapsulation 命令, 這是 2960 交
換器上沒有的:

從這份輸出可以看到, 我們有選項可以設定
IEEE 802.1Q (dot1q) 或 ISL 的封裝給 3560 交
換器。
112
以 Cisco Catalyst 3560 交換器進行主
幹通訊


設好封裝方法之後, 您仍然得將界面模式設定成
主幹模式。
老實說, 繼續將封裝方法設定成 ISL 是非常罕見
的, Cisco 已經逐漸遺棄 ISL - 它的新型路由器
甚至已經不支援它了。
113
定義主幹上允許的 VLAN



如前所述, 根據預設, 主幹埠會為所有 VLAN 傳
送和接收資訊, 而且如果有沒貼標籤的訊框, 則
會將它傳送給管理性 VLAN。
這也同樣適用於延伸範圍的 VLAN。
但是我們也可以從許可清單中移除 VLAN, 以防
止特定 VLAN 的交通流經主幹鏈路。下面它的
做法:
114
定義主幹上允許的 VLAN

上面的命令會作用於設定在 S1 交換器之 f0 / 1
埠上的主幹鏈路, 要它丟棄所有為 VLAN 4 傳送
和接收的全部交通。
115
定義主幹上允許的 VLAN



您可以嘗試在主幹鏈路上移除 VLAN 1, 但是它
還是會傳送和接收管理性資訊, 例如 CDP、
PAgP、LACP、DTP、和 VTP, 所以這樣做有
什麼意義呢?
要移除某個範圍的 VLAN, 只要使用橫線:
如果某人意外地從主幹鏈路移除了某些 VLAN,
而您想要將主幹設回預設, 只要使用下面命令:
116
定義主幹上允許的 VLAN

或是這個命令也有同樣的效果:

接著, 在開始討論跨 VLAN 的遶送之前, 先說明
如何修改主幹的原生 VLAN。
117
變更或修改主幹的原生 VLAN


您其實不用改變主幹埠的原生 VLAN, 把它從
VLAN 1 改掉。
但是您可以這樣做, 而且確實有人為了安全性的
理由而這麼做。要改變原生 VLAN, 請使用下列
命令:
118
變更或修改主幹的原生 VLAN

所以我們已經將主幹鏈路上的原生 VLAN 改成
40, 而透過使用 show running-config 命令, 就
可以看到主幹鏈路下的設定:
119
變更或修改主幹的原生 VLAN

等一下喔!您不會認為這很簡單, 然後就開始動
手了吧?這裡有個困難:如果主幹鏈路上所有
的交換器沒有設定相同的原生 VLAN, 那我們就
會收到下面的錯誤:
120
變更或修改主幹的原生 VLAN

事實上這個錯誤訊息很清楚, 所以我們可以到主
幹鏈路的另一端, 並改變原生 VLAN。或是將原
生 VLAN 改回預設, 如下面的做法:

現在, 我們的主幹鏈路正使用預設的 VLAN 1 當
作原生 VLAN。您只要記得, 所有交換器必須使
用相同的原生 VLAN, 否則您就會遭遇一些嚴重
的問題。
現在讓我們連結路由器到我們的交換網路上, 並
設定跨 VLAN 通訊。

121
設定跨 VLAN 遶送




根據預設, 只有相同 VLAN 上的成員可以互相
通訊。要改變這個限制, 並且允許跨 VLAN 通
訊, 您需要路由器或第 3 層交換器。
接下來我們就從路由器的方法開始。
要在快速乙太網路上支援 ISL 或 802.1Q 遶送,
路由器的界面要分割為邏輯界面 - 每個 VLAN
各一個, 這些稱為子界面 (subinterface)。
您可以利用 encapsulation 命令將快速乙太網
路或 Gigabit 界面設定成主幹。
122
設定跨 VLAN 遶送


請注意筆者的 2811 路由器 (命名為 ISR) 只支
援 802.1Q。我們需要一部舊型的路由器來執行
ISL 封裝, 不過為什麼要這麼費心呢?
子界面的編號只對本機有意義, 所以路由器上設
定哪個子界面編號完全無關緊要。
123
設定跨 VLAN 遶送



我們大部分會將子界面的編號設定和 VLAN 1
想要遶送的號碼一樣。
這樣很容易記住, 因為子界面編號只用於管理的
目的。
每個 VLAN 都是個別的子網路, 雖然他們沒有
一定要如此, 不過將您的 VLAN 設定成個別的
子網路確實是不錯的想法, 所以只要這樣做就對
了。
124
設定跨 VLAN 遶送




現在, 請確定您已經完全準備好要設定跨 VLAN
遶送, 也決定好連到交換式 VLAN 環境之主機
的埠 IP 位址。
當然, 如果有能力修正這時可能產生的問題最好!
為了助您成功, 給您幾個例子吧。
首先, 以圖 9.9 為例, 研究它所顯示的路由器與
交換器設定。
不過研讀本書到目前為止, 您應該已經能夠決定
VLAN 中每部主機的 IP 位址、遮罩、以及預設
閘道。
125
設定跨 VLAN 遶送
126
設定跨 VLAN 遶送




接下來我們要做的是推算出所用的子網路為何。
根據圖中的路由器設定, 您應該知道 VLAN 1 所
用的是 192.168.1.64 / 26, 而 VLAN 10 所用的
是 192.168.1.128 / 27。
根據圖中的交換器設定, 埠 2 與埠 3 屬於 VLAN
1, 埠 4 屬於 VLAN 10。這表示 HostA 與
HostB 屬於 VLAN 1, 而 HostC 屬於 VLAN 10。
這裡主機的 IP 設定應該如下。
127
設定跨 VLAN 遶送



其實主機可以是範圍中的任何位址 - 這裡只是
選定預設閘道位址之後第一個可用的 IP 位址。
不難吧!
現在, 讓我們利用圖 9.9, 瀏覽一遍如何設定 1
號交換埠來建立與路由器的鏈路, 並利用 IEEE
版本的封裝來提供跨 VLAN 通訊。
請記住這些命令可能因為交換器不同, 而有些差
異。
128
設定跨 VLAN 遶送

2960 交換器所用的命令如下:

2960 交換器只支援 802.1Q 封裝, 所以不需要
額外設定 - 您也無法設。
對於 3560 交換器, 基本上都是一樣的, 但因為
它可支援 ISL 與 802.1Q, 所以必須設定我們所
要用的主幹通訊協定。
讓我們研究一下圖 9.10, 看看可以得到什麼結
論。


129
設定跨 VLAN 遶送



這張網路圖顯示 3 個 VLAN, 每個 VLAN 各有 2
部主機。
圖 9.10 中的路由器連到 fa0 / 1 交換埠, 而
VLAN 2 則是設定在 f0 / 6 埠上。
根據這張圖, 以下是 Cisco 預期您會知道的幾件
事:



路由器利用子界面連接交換器。
連接路由器的交換埠是主幹埠。
連接客戶端與集線器的交換埠是存取埠, 不是主
幹埠。
130
設定跨 VLAN 遶送
131
設定跨 VLAN 遶送

交換器的設定類似這樣:
132
設定跨 VLAN 遶送





在設定路由器之前, 必須先設計我們的邏輯網路。
VLAN 1: 192.168.10.16 / 28
VLAN 2: 192.168.10.32 / 28
VLAN 3: 192.168.10.48 / 28
路由器的設定應該類似這樣:
133
設定跨 VLAN 遶送

每個 VLAN 中的主機都應該指定給他們一個其
子網路範圍中的 IP 位址, 而且預設閘道要設定
成該 VLAN 中之路由器的子界面。
134
設定跨 VLAN 遶送



現在, 根據另一份圖, 看您是否能自己確定交換
器與路由器的設定!
圖 9.11 顯示一部路由器連結了一部有 2 個
VLAN 的 2960 交換器。
每個 VLAN 上的主機都指定了 IP 位址, 根據這
些 IP 位址, 路由器與交換器的設定應該如何?
135
設定跨 VLAN 遶送
136
設定跨 VLAN 遶送



因為圖中的主機並沒有列出子網路遮罩, 所以必
須利用每個 VLAN 使用的主機數目, 推算出其
區塊大小。
VLAN 1 有 85 部主機, 而 VLAN 2 有 115 部主
機, 所以適合他們的區塊大小是 128, 也就是 /
25 遮罩, 或 255.255.255.128。
到目前為止, 您應該知道子網路是 0 與 128, 0
子網路 (VLAN 1) 的主機範圍是 1 - 126, 而 128
子網路 (VLAN 2) 的主機範圍是 129 - 254。
137
設定跨 VLAN 遶送


因為 HostA 的 IP 位址是 126, 這使得 HostA 與
HostB 看起來好像屬於同一個子網路, 很容易讓
人受騙。
以下是交換器的設定:
138
設定跨 VLAN 遶送

以下是路由器的設定:

這裡使用 VLAN 1 主機範圍的第一個位址, 以及
VLAN 2 主機範圍的最後一個位址。
139
設定跨 VLAN 遶送



不過範圍中的任何一個位址都可以, 只是您得將
主機的預設閘道設成您所設的路由器位址。
好的, 在我們繼續下個範例之前, 必須確定您知
道如何設定交換器的 IP 位址。
既然 VLAN 1 通常是管理性 VLAN, 我們就從可
用的位址中選擇一個 IP 位址來設定它。以下是
如何設定交換器的 IP 位址。
140
設定跨 VLAN 遶送




沒錯, 您必須在 VLAN 界面上設定 no
shutdown。
再舉個例子, 然後我們就往下討論 VTP - 另一
個不可缺少的重要觀念!
圖 9.12 中有 2 個 VLAN, 根據路由器的組態設
定, HostA 的 IP 位址、遮罩、預設遮罩為何?
這裡利用範圍中的最後一個 IP 位址來當作
HostA 的位址。
141
設定跨 VLAN 遶送
142
設定跨 VLAN 遶送




如果您仔細地檢視路由器的組態設定 (圖中的主
機名稱就只叫做 "Router"), 就會發現答案非常
簡單。
兩個子網路都利用 / 28 或 255.255.255.240 遮
罩, 其區塊大小是 16。
路由器針對 VLAN 1 所設的位址屬於 128 子網
路, 而下個子網路是 144, 所以 VLAN 1 的廣播
位址是 143, 而有效的主機範圍是 129 到 142。
因此, 主機位址如下:
143
9 - 7 設定 VTP




其實所有的 Cisco 交換器在預設上都是設成
VTP 伺服器。
要設定 VTP, 首先得設定您想要用的網域名稱,
當然, 一旦在交換器設定好 VTP 資訊之後, 必須
加以確認。
當您建立好 VTP 網域之後, 就有幾個選項可設,
包括設定交換器的網域名稱、密碼、運作模式、
以及修剪能力。
利用 vtp 整體設定命令就可設定所有這些資訊。
144
設定 VTP

在以下的範例中, 我們將交換器設成 VTP 伺服
器, 將 VTP 網域設為 Lammle, 並且設定 VTP
的密碼為 todd:
145
設定 VTP

請記住所有交換器的預設都是設為 VTP 伺服器
模式, 而如果您想要改變交換器上的任何 VLAN
資訊, 則必須在 VTP 伺服器模式中。
146
設定 VTP



設定好 VTP 資訊之後, 可利用 show vtp 命令
加以確認, 如前面的輸出所示。
前面的交換器輸出顯示了 VTP 網域、VTP 密
碼、以及交換器的模式。
在我們繼續往前設定 Core 與 S2 交換器的
VTP 資訊之前, 花點時間來思考一件事:show
vtp status 命令的輸出顯示本機所支援的
VLAN 最多只有 255。
147
設定 VTP



既然一部交換器上可產生超過 1000 個 VLAN,
所以如果您有超過 255 部交換器, 而且您正打
算要用 VTP, 那這看起來肯定會有問題。
嗯!是的, 這是個問題 - 如果您正試著要在交
換器上設定第 256 個 VLAN, 您會得到一個小小
的錯誤訊息, 告訴您沒有足夠的硬體資源可用。
然後它就關閉 VLAN, show vlan 命令的輸出
就會顯示第 256 個 VLAN 處於暫停狀態。這實
在不大理想!
148
設定 VTP


現在讓我們將 Core 和 S2 交換器設定到
Lammle VTP 網域。
請務必記住 VTP 網域名稱有區分大小寫!任何
一個小錯誤都會讓 VTP 無法運作。
149
設定 VTP
150
設定 VTP
151
設定 VTP


很好 - 現在所有交換器都設成相同的 VTP 網
域和密碼, 所以我們稍早在 S1 交換器上建立的
VLAN 應該可以宣傳到 Core 和 S2 的 VTP 客
戶端交換器了。
讓我們在 Core 和 S2 交換器上使用 show vlan
brief 命令檢視看看:
152
設定 VTP
153
設定 VTP



本章稍早在 S1 (2960) 交換器上建立的 VLAN
資料庫已經透過 VTP 宣傳, 上傳到 Core 和 S2
交換器了。
VTP 是在交換式網路中保持 VLAN 命名一致性
的很好方式。
我們在可以將 VLAN 指定給 Core 和 S1 交換器
上的埠, 而它們則會透過交換器間的主幹埠, 與
S1 交換器上屬於相同 VLAN 的主機溝通。
154
檢修 VTP




拿著交叉式纜線將交換器連在一起, 看著兩端的
燈號變綠, 一切就這樣搞定!
嗯, 世界真美好, 您一定希望事情就這麼簡單, 不
是嗎?其實, 只要沒有 VLAN, 事情差不多就這
麼簡單。
但如果您有用到 VLAN (您確實應該這麼做), 而
且如果您的交換式網路中設定了多個 VLAN, 那
麼就會需要 VTP。
但這裡有個妖怪 - 如果 VTP 的設定不對, 運作
就無法正常。
155
檢修 VTP

因此您一定要具備檢修 VTP 的能力。讓我們來
看看幾個組態設定, 並解決其中的問題。以下是
兩部交換器的輸出:
156
檢修 VTP

為什麼這兩部交換器無法分享 VLAN 資訊呢?
乍看之下, 問題似乎是這兩部交換器都處於
VTP 伺服器的模式, 但其實問題不在這裡。
157
檢修 VTP



問題的癥結是他們屬於不同的 VTP 網域, 因為
SwitchA 屬於 RouterSim 的 VTP 網域, 而
SwitchB 屬於 GlobalNet 的 VTP 網域。
如果 VTP 網域的名稱不一樣, 彼此就不會分享
VTP 資訊。
瞭解了交換器中 VTP 網域的設定可能出錯之後,
讓我們研究一下另一種交換器的組態設定:
158
檢修 VTP



您只是試著要在 SwitchC 上產生新的 VLAN, 這
樣會有什麼麻煩呢?為什麼無法在 SwitchC 上
產生新的 VLAN 呢?
在這個範例中, 網域名稱不是重點, 關鍵在於
VTP 模式。
這個例子的 VTP 模式設成客戶端, 但 VTP 客戶
端是不能新增、刪除、或更改 VLAN 的。
159
檢修 VTP



VTP 客戶端只會將 VTP 資料庫保留在 RAM 中,
並不會儲存到 NVRAM 中。因此, 為了在交換
器上產生 VLAN, 就先得讓它成為 VTP 伺服器。
根據以上的 VTP 設定, 產生 VLAN 時就會發生
以下的錯誤:
修正的方式如下:
160
檢修 VTP

等等, 我們還沒完成呢。現在從這 2 部交換器檢
視輸出, 找出為什麼 SwitchB 無法從 SwitchA
收到 VLAN 資訊:
161
檢修 VTP

您可能會認為:因為它們都是 VTP 伺服器, 但
這不是真正的問題。您的所有交換器都可以是
伺服器, 而且仍然共享 VLAN 資訊。
162
檢修 VTP



事實上, Cisco 的確建議所有交換器都擔任 VTP
伺服器, 而您只需要確定您想用來宣傳 VTP
VLAN 資訊的那台交換器具有最高修訂編號即
可。
如果所有交換器都是 VTP 伺服器, 則它們都會
儲存 VLAN 資料庫。
但是 B 交換器不會從 A 交換器那裡接收 VLAN
資訊, 因為 B 交換器的修訂編號比 A 交換器高。
請您務必要瞭解這個問題。
163
檢修 VTP




要解決這個問題有好幾種方法。
首先, 您可以改變 B 交換器的 VTP 網域名稱,
然後將它設回 GlobalNet;這會將 B 交換器的
修訂編號重設為 0。
第二個方法是在 A 交換器上建立或刪除 VLAN,
直到它的修訂編號高過 B 交換器。
筆者可沒說第二種方法比較好;只說這是另一
種修正的方法而已!
164
9 - 8 電信:設定語音 VLAN



如果您做瑜珈、冥想、是個老菸槍、或是在面
對壓力時需要大量安慰性食物, 那麼現在先休息
一下, 並且先這麼做吧, 因為老實說, 這可不是本
章 (或本書) 中最簡單的部份。
但是筆者保證盡量讓您不會太痛苦。
語音 VLAN 功能讓存取埠可以傳送來自 IP 電話
的 IP 語音交通。
165
電信:設定語音 VLAN



當交換器連到 Cisco IP 電話時, IP 電話會使用
第 3 層 IP 的優先等級 (precedence) 和第 2 層
服務類別 (Class of Service, CoS) 的值來傳送
語音交換。
這兩者在語音交通中都設為 5, 而其他交通的預
設則為 0。
因為當資料傳送速率不均勻時, IP 電話的聲音
品質就會變差, 所以交換器會根據 IEEE 802.1p
的 CoS 來支援服務品質 (Quality of Service,
QoS)。
166
電信:設定語音 VLAN




(802.1p 提供在 MAC 層實作 QoS 的機制)
802.1p 的欄位是在 802.1Q 的主幹標頭中傳送。
如果您檢視 802.1Q 標籤中的欄位, 可以看到一
個稱為優先權的欄位;這就是 802.1p 資訊所在
的位置。
QoS 使用分類和排程, 以經過組織、可預測的
方式從交換器傳送網路交通。
Cisco 的 IP 電話是可設定的裝置, 您可以設定
它使用 IEEE 802.1p 優先權來傳送交通。
167
電信:設定語音 VLAN




您也可以設定交換器來信任或覆蓋 IP 電話所指
定的交通優先權 - 這就是我們要做的事。
Cisco 電話基本上會有 3 個埠:一個埠連到
Cisco 交換器, 一個連到 PC 裝置, 還有一個連
到位於內部的真正電話。
您還可以設定存取埠來連接 Cisco IP 電話, 以
使用一個 VLAN 來傳送語音交通。
然後再使用另一個 VLAN 來傳送來自連結電話
之裝置 (例如 PC) 的資料交通。
168
電信:設定語音 VLAN

您可以在交換器上設定存取埠來傳送 Cisco 發
現協定 (Cisco Discovery Protocol, CDP) 的封
包, 以指示所連接的 Cisco IP 電話將語音交通
以下列任一方式傳送給交換器:



標示為第 2 層之 CoS 優先權值, 然後在語音
VLAN 中傳送。
標示為第 2 層之 CoS 優先權值, 然後在存取
VLAN 中傳送。
不標示 (沒有第 2 層之 CoS 優先權值), 然後在
存取 VLAN 中傳送。
169
電信:設定語音 VLAN


交換器也可以處理來自連結 Cisco IP 電話存取
埠的裝置之已標示的資料交通 (在 IEEE
802.1Q 或 IEEE 802.1p 之訊框類型的交通)。
您可以設定交換器的第 2 層存取埠傳送 CDP
封包, 來指示所連接的 Cisco IP 電話將 IP 電話
存取埠設為下列模式的其中之一:

在受信任模式下, 所有透過 Cisco IP 電話存取埠
所接收的交通, 都可以不經改變地穿越 IP 電話。
170
電信:設定語音 VLAN


在不受信任模式下, 所有透過 Cisco IP 電話存取
埠所接收的 IEEE 802.1Q 或 IEEE 802.1p 訊框
之交通, 都會得到所設定的第 2 層 CoS 值。
預設的第 2 層 CoS 值為 0。預設為不受信任模
式。
171
設定語音 VLAN



根據預設, 語音 VLAN 功能會被關閉;您要使
用界面命令 switchport voice vlan 來開啟。
當語音 VLAN 功能開啟時, 所有未標示交通都
會根據該埠預設的 CoS 優先權來傳送。
對 IEEE 802.1p 或 IEEE 802.1Q 的已標示交通
而言, 該 CoS 值是不受信任的。
下面是語音 VLAN 設定的指導原則:

您應該在交換器存取埠上設定語音 VLAN;主幹
埠不支援語音 VLAN - 即使您真的能在它上面
設定。
172
設定語音 VLAN



語音 VLAN 應該要能在交換器上出現並且作用,
IP 電話才能正確地跟它溝通。
使用 show vlan 的特權 EXEC 命令來檢視
VLAN 是否有出現 - 如果有的話, 它就會列在畫
面上。
在開啟語音 VLAN 之前, 建議您先輸入 mls qos
整體設定命令來開啟交換器上的 QoS, 並且使用
mls qos trust cos 的界面設定命令將埠的信任
狀態設為受信任。
173
設定語音 VLAN




您必須確定連到 Cisco IP 電話的交換埠確實有
開啟 CDP 以傳送組態。
這是預設值, 所以除非您曾經關閉它, 否則應該
不會有問題。
在設定語音 VLAN 時, PortFast 功能會自動開啟;
但是當您關閉語音 VLAN 時, PortFast 功能不會
自動關閉。
要將埠還原為預設值, 請使用 no switchport
voice vlan 界面設定命令。
174
設定 IP 電話語音交通



您可以設定連到 Cisco IP 電話的埠來傳送 CDP
封包給電話, 以設定該電話傳送語音交通的方式。
電話可以在具有第 2 層 CoS 值的指定語音
VLAN 中, 使用 IEEE 802.1Q 訊框來傳送語音
交通。
它也可以使用 IEEE 802.1p 優先權的標示, 賦
予語音交通較高的優先權, 以及將所有語音交通
透過原生 (存取) VLAN 來轉送。
175
設定 IP 電話語音交通



IP 電話也可以傳送未標示的語音交通, 或是使
用它自己的組態設定在存取 VLAN 中傳送語音
交通。
在所有組態中, 語音交通會攜帶第 3 層的優先等
級值 - 語音通常是設定為 5。
現在應該是舉出一些實例來說明的時候了。這
個例子說明了如何設定 4 件事:

1. 如何使用 CoS 值來設定連到 IP 電話的埠, 以
便分類進入的交通。
176
設定 IP 電話語音交通



2. 如何設定埠的組態, 以使用 IEEE 802.1p 優先
權標示來傳送語音交通。
3. 如何設定以使用語音 VLAN (10) 來傳送所有
的語音交通。
4. 最後, 如何設定 VLAN 3 來傳送 PC 資料。
177
設定 IP 電話語音交通



mls qos trust cos 命令會設定界面使用封包的
CoS 值來分類進入的交通封包。對於未經標示
的封包, 則使用埠的預設 CoS 值。
但是在設定埠的信任狀態之前, 必須先使用 mls
qos 整體設定命令來開啟整體的 QoS。
您有注意到我們如何在同一個埠上加入 2 個存
取 VLAN 嗎?只有在一個是資料 VLAN, 另一個
是語音 VLAN 時才能這麼做。
178
設定 IP 電話語音交通



本節可能是全書中最難的部份, 而且筆者很如實
地建立了讓您瞭解所需的最簡單組態!
因此, 您可以稍為輕鬆一點, 因為使用 CNA 跟
預先設定的巨集, 可以很簡單地把電話接上交換
器。
您其實應該要知道如何用這 2 種方法來完成。
下一節就來說明如何使用 CNA 設定。
179
9 - 9 利用 CNA 來設定 VLAN 與跨
VLAN 遶送



本章相當專注於如何透過真正路由器來啟動
VLAN 間的遶送, 但是您慢慢會發現, 在大型企
業環境中, 您會更常使用交換器的背板來設定遶
送。
現在, 我們要使用 CNA (而非 CLI) 來說明如何
在 2960 上設定 VLAN, 並且在 3560 交換器上
執行跨 VLAN 遶送。
之後, 使用 CNA Smartports 來設定連結電話埠
的交換埠, 以證明跟前一節的辛苦工作比起來,
使用新的 CNA 是多麼得容易。
180
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送



相不相信, 即使看起來我們好像已經做了很多事,
但本章事實上只是在電話技術上輕輕掠過而已。
現在要連到在本章稍早已經設定了 3 個新
VLAN 的 2960 交換器 (S1), 並且看看這些設定。
接著要加入新的語音 VLAN。在第一個畫面中,
點選 Configure、Switchng、和 VLAN, 並且
得到一個新的畫面, 顯示埠的狀態。
181
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送
182
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送



現在我們可以看到埠 1 和埠 2 動態地成為主幹,
而且因為它們的預設模式為 dynamic auto, 所
以會自動成為連到 Core 交換器的主幹鏈路。
之前為了要讓它發生, 我們移除了交換器的設定
並且重新載入, 所以當然也就刪除了之前的
EtherChannel 設定。
但是儲存在快閃記憶體的 VLAN 資料庫還留在
那裏。您還可以看到埠 3 是 VLAN 3 的一個成
員 - 這是本章稍早所設定的 VLAN 存取埠。
183
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

這個畫面有一項很好的功能是在右下方的
Modify 按鈕。我們選取埠 1, 點選 Modify, 於
是得到一個新的畫面。
184
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送


在畫面的右方可以改變不同的管理模式和封裝,
並且設定在主幹埠上可容許的 VLAN, 以及設定
VTP 修剪。
但是我們現在最有興趣的應該是在 VLAN 視窗
中的 Configure VLANs 頁籤。
185
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送


這邊可以看到所設定的 VLAN, 還可以修改、新
增、和刪除它們 (請記住, 要這樣做, 必須是
VTP 伺服器, 而不能只是個客戶端)。
點選 Create 按鈕, 並收到下面的畫面:
186
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

接著加入名為 Todd 的新 VLAN, 然後點選 OK。
187
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

現在讓我們來娛樂一下, 並且建立一個語音
VLAN。在 Configure 之下點選 Voice VLAN,
然後得到下面的畫面。
188
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

接著選取我們連接電話的 4 號埠, 並且點選
Modify。然後建立新的語音 VLAN (語音 VLAN
10), 並且點選 OK。
189
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送



一切都很好 - 現在我們換到 3560 交換器上,
以它取代之前的路由器來設定跨 VLAN 的遶送。
所以現在我們連到 Core 交換器 (3560)。在
Configure 之下點選 Routing、 Enable /
Disable。
從出現的畫面中點選 Enable IP Routing, 它就
會自動加入我們所設定的預設閘道 - 酷吧!
190
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送
191
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

在點選 OK 之後, 點選 Inter-VLAN Routing
Wizard, 並出現下面的畫面。
192
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送


嗯, 歡樂派對就快要結束了 - 就這麼輕鬆!當
您看到 RAM 中我們已完成的設定時, 就知道筆
者的意思了。
點選 Next 之後, 就可得到下面的畫面。
193
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

這裡沒有太多的事要做, 點選 Next 進入下個畫
面。
194
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送


現在這個畫面是事情真正發生的地方 - 您必須
去做跨 VLAN 遶送設定。
點選想要提供跨 VLAN 通訊的那些 VLAN, 為每
個獨立的 VLAN 加入新的子網路和子網路遮罩,
然後點選 Next 得到下面的畫面。
195
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

這個畫面已經將 IP 預設閘道設為交換器的預設
路徑 - 這沒有問題 - 所以再次按下 Next。
196
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送




下面是歡樂派對再次開始的地方 - 我們只要靠
在椅子上看路由器自動設定就好了。
您可以看到每個 VLAN 的獨立邏輯界面上設定
了我們所指定的 IP 位址。IP 遶送被開啟, 然後
設定了預設路徑。
老實說, 筆者若是使用 CLI 可以輸入得更快, 但
是現在看著這些命令, 您就可知道 2 種在交換器
上設定跨 VLAN 遶送的方法了。
完成之後, 點選 Next, 這些設定就會上傳到運行
組態中。
197
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

下面是這個運行組態的輸出:

很簡單、直接、而且看起來很好 - 現在我們所
有的主機 / 電話都應該能在 VLAN 間自由地溝
通了。
198
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送



但是希望您瞭解筆者並不是說您應該要在所有
VLAN 間建立路徑 - 但就展示目的而言, 這個
組態還真運作得不錯!
在結束這章之前, 筆者還想要連到 2960, 並且使
用 Smartport 巨集來設定電話所插入的那個埠。
現在, 為了對照方才在 3560 遶送設定時的說明,
以及相對於使用 CLI 的容易程度 - 如您所知,
透過 CLI 設定電話就像是面對酷斯拉一樣 - 所
以, 讓我們用簡單的方式來做吧。
199
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

我們對 2960 (S1) 開啟了 CNA, 並且點選
Smartports。接著選取 4 號埠, 按下右鍵, 然後
選擇 IP Phone+Desktop。
200
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送


接著選擇存取 VLAN (這是之前 PC 所使用的
VLAN 3), 以及稍早建立的語音 VLAN (10)。按
下 OK 之後, 巨集就會執行, 而這些設定就會載
入到運行組態中。
下面是 Cisco 電話巨集在 4 號埠上執行之後的
運行組態輸出:
201
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送

哇!筆者還認為 Desktop 巨集將很多列組態設
定加到路由器的界面中!
202
利用 CNA 來設定 VLAN 與跨 VLAN 遶
送



這還不包括它在運行組態中加入的 44 行佇列
(沒錯, 就是 44)。如果某人檢視您的組態, 並且
不知道您是使用 CNA, 他一定會覺得您是個天
才!
現在我們可以將 PC 之類的裝置和電話同時連
到相同的埠, 而且它們將在個別的 VLAN 中運
作。
現在這章真的夠了!筆者要特別強調您至少要
弄些 2960 交換器來動手做做看, 而且在設定交
換器的時候, CLI 和 CNA 都要會用。
203
9 - 10 摘要



本章跟您介紹了虛擬區域網路的世界, 並說明
Cisco 交換器如何利用他們。
我們討論了 VLAN 如何在交換式的互連網路中
分割廣播網域 - 這是非常重要且必要的事情,
因為第 2 層交換器只能分割碰撞網域, 而且預設
上所有交換器會組成一個大的廣播網域。
我們也描述了存取鏈路, 並討論 VLAN 如何在
快速乙太網路鏈路上進行主幹通訊。
204
摘要


當您正在處理的網路含有執行多個 VLAN 的多
個交換器時, 主幹通訊是很重要的技術, 必須好
好地瞭解。
我們也花不少篇幅討論了 VLAN 主幹協定
(VTP), 不過事實上它與主幹通訊無關, 它確實
會傳送 VLAN 資訊到主幹鏈路上, 但這種主幹
設定本身並非 VTP 的一部份。
205
摘要


然後我們討論了電信的語音 VLAN - 這可能是
您想要忘掉的東西, 但如果您想要成功, 就得確
實地消化它, 哪怕是您得不斷重複地研究!
本章最後提供了 VTP、主幹通訊、以及 VLAN
設定的檢修與設定範例, 然後告訴您如何利用
CNA 來設定 2960 與 3560 交換器。
206