多台交换机VLAN配置-实践教程

交换机的端口数量比较常见的有24、48，当组建的网络接入需求大于一台交换机端口数量时，自然考虑使用多台交换机。针对图3-2所示场景，要求配置两台交换机完成PC1与PC3同属于13号VLAN，PC2与PC4同属于24号VLAN，VLAN内计算机能够通信，VLAN间不能通信。

1.Trunk链路配置

首先按照图3-2所示拓扑连接设备与计算机并配置好IP地址，交换机A与交换机B之间使用双绞线连接。此时测试4台计算机应该能够互相“ping”通，因为在默认情况下，交换机所有端口都属于1号VLAN，即4台计算机同属于1号VLAN，可以互相通信。

图3-2　多台交换机使用Trunk链路基于端口划分VLAN拓扑图

交换机A配置如下：

交换机B配置如下：

配置为Trunk模式的端口将会出现在每一个VLAN中。使用“sh vlan”指令可以看出效果。

配置完毕后，PC1与PC3可以“ping”通，PC2与PC4可以“ping”通，其余不能“ping”通。

通常情况下，交换机之间的链路配置为Trunk模式，因为此链路需要接收和发送属于多个VLAN的帧。图3-2中两个交换机之间的链路需要传送13号和24号VLAN的数据包，因此配置为Trunk模式。

2.不使用Trunk链路配置

如果只是针对图3-2中的需求，也可以不配置Trunk模式，但需要在交换机之间多加一条连接线，即两台交换机之间用两条线路连接，这两条连接线的端口都配置为Access模式，分别属于13号和24号VLAN，如图3-3所示。

图3-3　多台交换机不使用Trunk链路基于端口划分VLAN拓扑图

交换机A配置如下：

交换机B配置如下：

修改拓扑并配置完毕后，实现的效果与使用Trunk链路一样，PC1与PC3可以“ping”通，PC2与PC4可以“ping”通，其余不能“ping”通。这种方式具有很大的弊端，如果交换机上存在的VLAN数量很多，就需要很多条交换机间的链路，显然不可取。Trunk链路正是为了解决这样的问题而设计的。

3.Trunk链路原理

Trunk链路只需要一条线路就能够传送多个VLAN的数据包，这是如何做到的呢？交换机A发出一个数据帧给交换机B，交换机B收到后是如何判断这个数据包属于哪个VLAN的呢？

数据帧通过Trunk端口发出时，将被加上“标签”，所谓的标签其实是对原先的数据帧增加一个4字节长度的字段，字段中包括数据包来源VLAN的编号。802.1Q标准，即虚拟桥接局域网（Virtual Bridged Local Area Networks），是IEEE于1999年正式公布的VLAN报文格式的国际标准，如图3-4所示。

图3-4　Ethernet Version 2与IEEE 802.1Q 帧格式

与Ethernet Version 2帧格式相比，IEEE 802.1Q帧格式增加了一个字段，这个长度为4字节的标签字段包含2个字节的标签协议标识（Tag Protocol Identifier，TPID）和2个字节的标签控制信息（Tag Control Information，TCI）。其中TPID是一个固定的值0x8100，表明这是一个加了802.1Q标签的以太网帧。

TCI包含的是帧的控制信息，它包含了3个字段：

（1）Priority：这3 位指明帧的优先级。具有从0到7共8种优先级，主要用于交换机阻塞时，优先发送优先级别高的数据帧。

（2）CFI （Canonical Format Indicator）：CFI的值为0说明是规范格式，为1则是非规范格式。它被用在令牌环/源路由的FDDI介质访问方法中指示封装帧中所带地址的比特次序信息。

（3）VLAN ID（VLAN Identified）：是一个12位的域，指明VLAN的ID，取值范围为0～4095，一共4096个，由于0和4095为协议保留取值，所以VLAN ID的取值范围为1～4094，每个支持802.1Q协议的交换机从Trunk端口发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。

需要注意的是，计算机的网卡是无法识别加了标签（增加了4个字节）的数据帧的，计算机网卡发出的数据包是正常的Ethernet Version 2数据帧，接收到的数据包也应该是Ethernet Version 2数据帧，否则网卡识别不了，将丢掉这个数据包。(www.xing528.com)

以图3-2所示的需求为例，当PC1发送数据包给同一个VLAN的PC3时，PC1首先从网卡发出正常数据包；交换机A从端口f0/1收到；查MAC转发表后发现应从端口f0/5转发出去，f0/5是Trunk端口，f0/1属于13号VLAN，因此，交换机A为原来的数据包打上标签（增加802.1Q字段）并从f0/5端口发出数据包；此时，链路上打了标签的数据包中的VLAN ID字段的值为13，表明这个数据包来自13号VLAN；数据包将从交换机B的f0/5端口收到；交换机B查看数据包中标签的内容，知道这个数据包属于13号VLAN，查找MAC转发表后确定转发端口是f0/3，然后将标签脱去，将数据包从端口f0/3转发出去。PC1发出的是正常数据包，PC3收到的也是正常数据包，加标签的过程发生在交换机及之间的链路上，对计算机是透明的，即计算机觉察不到数据包的变化。

4.Trunk口的许可VLAN列表

一个Trunk口默认可以传输所有VLAN（1～4094）的流量。但是，用户也可以通过设置Trunk口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。在接口配置模式下，可以修改一个Trunk口的许可VLAN列表。同样以图3-2为例，下面的配置将限制PC2与PC4之间的通信。

上面的配置在Trunk链路的许可VLAN列表中删除了24号VLAN，打24号VLAN标签的数据帧不能从此链路通过，导致PC2与PC4不能通信。

如果想把Trunk链路的许可VLAN列表改为默认的许可所有VLAN的状态，使用“no switchport trunk allowed vlan”接口配置命令。

Trunk口的许可VLAN列表配置方式有4种，可以使用“？”查看。

all：许可VLAN列表包含所有支持的VLAN。

add：表示将指定VLAN列表加入许可VLAN列表。

remove：表示将指定VLAN列表从许可VLAN列表中删除。

except：表示将除列出的VLAN列表外的所有VLAN加入许可VLAN列表。

5.Trunk口配置Native VLAN

既然数据包从交换机的Trunk端口发出时都要加上包含VLAN号码的标签，那么能否设置一个VLAN在Trunk链路上传输时不加任何标签呢？因为只有一个VLAN数据包通过不加标签，不会与其他加标签的数据包混淆，所以答案是肯定的，这就叫作Native VLAN。默认情况下，所有端口的Native VLAN为1，也就是说VLAN 1的数据帧在通过Trunk链路时是没有标签的。每个端口只能设置1个Native VLAN，第二次设置将会覆盖前一次的值，通过下面指令可以查看Native VLAN的值。

可以使用指令更改Native VLAN的值。在图3-5中，两台交换机之间的Trunk链路连接的端口都是f0/5，PC2属于VLAN 2，PC4属于VLAN 4。因为处于不同VLAN，所以PC2和PC4无法通信。完成下面的配置后，PC2和PC4虽然在不同VLAN，但是也能通信了。

首先为PC2和PC4配置如图3-5所示的IP地址。

图3-5　Trunk链路Native VLAN配置拓扑

交换机A的配置如下：

交换机B的配置如下：

此时测试PC2和PC4之间的连通性，发现彼此之间不能“ping”通。从表面上看是因为PC2和 PC4在不同的VLAN，不能通信。我们分析数据流：PC2从网卡发出无标签数据包，交换机A的f0/2端口接收，查询MAC转发表后从f0/5端口发出加标签（VLAN ID=2）数据包，交换机B的f0/5端口接收后，查询MAC转发表中VLAN 2中的主机，找不到该主机，数据包被丢弃。

继续完成下列配置：

此时测试PC2和PC4之间的连通性，发现彼此之间可以“ping”通了。分析数据流：PC2从网卡发出无标签数据包，交换机A的f0/2端口接收，查询MAC转发表后从f0/5端口发出，因为此时的Native VLAN值与数据包进入端口时的VLAN号码一致，所以不加标签，交换机B的f0/5端口收到的当然也是没有加标签的数据包，因为交换机B的f0/5端口的Native VLAN值配置的为4，所以交换机B会把收到的数据包在VLAN 4中转发，同属于VLAN 4的PC2就可以收到数据包了。PC2收到数据包后的应答数据包返回路径类似。图3-5的配置方法只是为了演示Native VLAN的功能，在工程实践中极少应用，通常交换机之间链路设置为Trunk模式，两端Native VLAN一致。在图3-5中的两台交换机之间添加交换机C，不会影响PC2和PC4之间的连通性，如图3-6所示。

图3-6　Trunk链路Native VLAN配置拓扑