VLAN:虚拟局域网

VLAN：虚拟局域网

路由器与交换机协同工作后，将一个广播域逻辑的切分为多个。

同一个广播域由于会洪泛就会导致很多攻击，如dhcp arp攻击，但一个路由器的接口就是一个广播域，不可能用很多个路由器来划分广播域，所以产生了VLAN技术

 

配置思路：

    1、交换机上创建多个vlan

    2、交换机上各接口划分到对应的vlan中

    3、trunk(中继）干道 （贴标签）

 sw-sw sw-router

    4、vlan间路由——路由器子接口，多层交换机SVI

 

配置命令：

    1.创建VLAN 

  编号0-4095 其中1-4094可用

默认存在vlan1，且所有接口默认属于vlan1

 

[sw]vlan +编号

批量创建

[sw]vlan batch x to y

批量删除

[sw]undo vlan batch x to y

 

    2.交换机上的各个接口划分到对应的vlan里去

port——端口

   [sw]interface e0/0/0

          port link-type access

现将该接口修改为接入模式

          port default vlan+编号

将其划分到对应的vlan中

 

批量处理

port-group group-member e0/0/0-e0/0/2

port link-type access

port default vlan +编号

 

    3.trunk干道

不属于任何一个vlan，可以承载多个vlan的流量转发，过程中需要标记和识别来区分不同vlan的流量

trunk干道的封装标准

802.1q(dot1q)公用

ISL-cisco 私有

 

[sw]int e0/0/0

      port link-type trunk

先将接口修改为trunk模式

        port trunk allow-pass vlan 2 to 3

        port trunk allow-pass vlan all

 

再定制允许列表，默认仅允许vlan1

 

    4.路由器的子接口——单臂路由

[router]int e0/0/0.1

进入物理接口对应子接口

            dot1q termination vid 2

定义其管理的vlan标记号

            ip add 192.168.1.1 24

配置该网段网关

            arp broadcast enable

需要手动开启子接口arp功能