网络设计与集成 实验二 - 设备远程管理、VLAN 配置

预备知识

远程登录设备概述
🤪假如某所学校拥有 20 台交换机，分别放置在不同的位置，作为网络管理员需要对这 20 台交换机做管理，通过前面学习的知识，我们知道可以通过带外管理的方式对交换机进行管理，这就需要管理员带着自己的笔记本和配置线缆区学校不同的位置区调试每一台交换机，显然这样做十分的麻烦。

从另外一个角度想，既然校园网是互通的，也就是说在网络的任何一个节点都能访问其他的节点，我们为什么不通过网络的方式来调试交换机呢？

这就是本实验要学习的内容：通过远程登录方式管理设备。
用户除了可以通过 Console 口在本地登录设备外，还可以通过 Telnet 或 SSH 方式远程登录设备，见表 2-1。
先通过 Console 口配置了用户界面、用户管理和终端服务后，用户才能远程登录到设备，对设备进行配置、监控和维护。

远程登录管理设备的用户权限是分级的，缺省情况下命令级别分为 0～3 级，见表 2-2。登录用户的验证模式见表 2-3。

表2-3 用户验证模式

VLAN 概述
传统的以太网是一个广播型网络，网络中的所有主机通过 HUB 或交换机相连，处在同一个广播域中。HUB 是物理层设备，没有交换功能，接收的报文会向所有端口转发；交换机是链路层设备，具备根据报文的目的 MAC 地址进行转发的能力，但在收到广播报文或未知单播报文（报文的目的 MAC 地址不在交换机 MAC 地址表中）时，也会向除报文入端口之外的所有端口转发。

上述情况使网络中的主机会收到大量并非以自身为目的地的报文，在浪费大量带宽资源的同时，也造成了严重的安全隐患。

隔离广播域的传统方法是使用路由器，但是路由器成本较高，而且端口较少，无法划分细致的网络。

为解决以太网交换机在 LAN 中无法限制广播的问题，出现了 VLAN（Virtual Local Area Network，虚拟局域网）技术。

VLAN 把一个物理上的 LAN 划分成多个逻辑上的 LAN，每个 VLAN 是一个广播域。VLAN内的主机间通信就和在一个 LAN 内一样，而不同 VLAN 内的主机不能直接通信。

VLAN 的组成不受物理位置的限制。一个 VLAN 可以在一个交换机内，也可以跨越交换机，甚至可以跨越路由器。同一 VLAN 内的各台计算机不一定属于同一个物理网段。

传统的以太网数据帧在目的 MAC 地址和源 MAC 地址之后封装的是上层协议的类型字段，如图 2-1 所示

IEEE 802.1Q 是虚拟桥接局域网的正式标准，对 Ethernet 帧格式进行了修改，在 Source address 字段和 Length/Type 字段之间加入 4 字节的 802.1Q Tag，如图 2-2 所示。

• TPID：长度为2字节，表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。

• PCP：Priority Code Point，长度为3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。用于当交换机阻塞时，优先发送优先级高的数据帧。

• DEI: Drop Eligible Indicator, 适时丢弃指示符，长度为1比特。对帧进行队列管理需要丢弃时，DEI为1的帧优先丢弃；DEI为0时，跟普通报文一样。该字段以前称为CFI（Canonical Format Indicator,经典格式指示符），CFI为0说明是经典格式(以太网)，CFI为1表示为非经典格式，用于兼容以太网和令牌环网。

• VID：VLAN ID，长度为12比特，表示该帧所属的VLAN。VLANID取值范围是0～4095。由于0 和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。 每台支持802.1Q协议的交换机发送的数据包都会包含VLAN ID，以指明自己属于哪一个VLAN。因此，在一个VLAN交换网络中，以太网帧有以下两种形式：
  – 有标签帧（tagged frame）：加入了4字节802.1Q Tag的帧
  – 无标签帧（untagged frame）：原始的、未加入4字节802.1Q Tag的帧

VLAN 划分方式
划分 VLAN 时，有下列几种方式：  基于端口的 VLAN 划分：根据交换机的端口划分 VLAN。例如交换机的 1～8 端口划分到 VLAN2，9～12 端口划分到 VLAN3。

• 基于 MAC 地址的 VLAN 划分：根据每个主机的 MAC 地址划分 VLAN，即根据主机的 MAC 地址配置主机属于哪个 VLAN。交换机维护一张 VLAN 映射表，记录 MAC地址和 VLAN 的对应关系。

• 基于协议的 VLAN 划分：根据二层数据帧中协议字段划分 VLAN。通过二层数据帧中的协议字段（目前可支持 IPv4、IPv6、IPX、AppleTalk 协议），可以判断出上层运行的网络协议，从而在相应的 VLAN 中传输。交换机维护一张 VLAN 映射表，记录协议和 VLAN 的对应关系。

• 基于子网的 VLAN 划分：根据主机的 IP 地址决定主机属于哪个 VLAN，同一个 IP子网的所有主机属于同一个 VLAN。交换机维护一张 VLAN 映射表，记录 IP 子网和VLAN 的对应关系。

• 基于策略的 VLAN 划分：根据每个主机的 MAC 地址和 IP 地址划分 VLAN，即根据主机的 MAC 地址和 IP 地址配置主机属于哪个 VLAN。交换机维护一张 VLAN 映射表，记录 MAC 地址、IP 地址、端口和 VLAN 的对应关系。

通常情况下，基于端口的 VLAN 是最简单的一种 VLAN 划分方法，也是最普遍使用的方法。

VLAN 内的链路类型
VLAN 中有以下两种链路类型：

• 接入链路（Access Link）：用于连接用户主机和交换机的链路。

• 干道链路（Trunk Link）：也翻译为中继链路，用于交换机间的互连或交换机与路由器之间的连接。干道链路可以承载多个不同 VLAN 数据，数据帧在干道链路传输时，干道链路的两端设备需要能够识别数据帧属于哪个VLAN，所以在干道链路上传输的帧都是有标签帧（tagged frame）。

交换机端口类型
交换机以太网端口类型主要有 2 种：

• Access 端口：端口只能属于 1 个 VLAN，一般用于连接计算机；

• Trunk 端口：端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，一般用于交换机之间的连接

实验目的

• 了解了解设备远程管理方式、交换机端口的类型、VLAN 原理
• 掌握通过 Telnet/SSH 方式远程管理网络设备的配置
• 掌握 VLAN 接口 IP 地址的配置
• 掌握 VLAN 间路由的基本配置
• 掌握跨交换机的 VLAN 划分
• 了解 MUX VLAN/Private-VLAN 配置
• 了解 Super Vlan(VLAN 聚合)的相关知识和配置
• 了解 Hybrid 端口实现 VLAN 间二层通信的配置
• 了解 Voice VLAN 配置

实验环境

• 分组实验，本小组 5 人。
• 设备：路由器若干台、交换机若干台、计算机若干台。
• 专用软件：EVE

实验步骤、实验记录与分析

远程管理设备配置

• 拓扑图
  我们组设计的静态路由配置实验拓扑如图1-1所示。
  

• 实验需求
  网络中有一台或多台设备（交换机/路由器）需要配置和管理，用户不想为每一台设备连接用户终端进行本地维护。
  如果已知待登录设备的 IP 地址，可以通过 Telnet 或 SSH 方式从网管工作站登录到被管设备，实现对网络设备的远程维护，方便网络管理人员的操作。

• 地址分配表
  使用组员2017083117唐莹鑫同学的学号规划地址块为:31.17.0.0/24，地址分配表如表1-1所示。
  

• 配置步骤
  本实验用EVE设备完成。
  1.SW1 上的配置步骤
  #从用户视图进入系统视图，修改设备名为 SW1
  Enable
  Configure terminal
  hostname SW1
  #配置 IP 地址
  interface Vlan 1
  ip address 31.17.78.11 255.255.255.0
  no shutdown
  #进入 VTY 接口视图，配置验证密码、权限级别
  line vty 0 4
  password 2017083117
  privilege level 2
  Login
  配置步骤如图
  
  2.AR1/AR2 上的配置步骤
  AR1：
  
  AR2：
  
  3.网管工作站上的配置步骤
  网管工作站是路由器，配置接口的IP地址为31.17.78.1 、 子网掩码为
  255.255.255.0。
  

• 验证配置结果
  1.输入“SSH –L xi 31.17.78.21” ，按回车键。
  系统提示输入密码，输入密码 2017083117，按回车键，登录后可配置设备。
  
  

单交换机上 VLAN 配置

- 拓扑图

- 实验需求
1.某公司有2个部门：办公室、市场部。
2.计算机xin和xi属于某公司办公室，he和chun属于市场部。
3.同一部门内的计算机可以相互访问，不同部门的计算机不可以互访。
- 地址分配表

- 配置步骤
本实验用EVE设备完成。
交换机VLAN配置命令行如下：
enable
configure terminal
vlan 20
name office
vlan 30
Name market
interface range e0/0-1
switchport mode access
switchport access vlan 20
interface range f0/2-3
switchport mode access
switchport access vlan 30
配置如下图：

- 验证配置结果
1.在xin上分别ping xi、he、chun
Ping 10.0.0.2 # ping 同属VLAN20的xi，能ping通

Ping 10.0.0.33 # ping VLAN30的he，不能ping通

Ping 10.0.0.44 # ping VLAN30的chun，不能ping通

2.在chun上分别ping xin、xi、he
Ping 10.0.0.1 # ping VLAN20的xin，不能ping通

Ping 10.0.0.2 # ping VLAN20的xi，不能ping通

Ping 10.0.0.33 # ping同属VLAN30的he，能ping通

跨交换机的 VLAN 配置

- 拓扑图

- 实验需求
1.TYX、TX 分别与 SW1 的以太网端口 Ethernet0/0/1、Ethernet0/0/2 相连； WC、
WZ分别与 SW2 的以太网端口 Ethernet0/0/1、Ethernet0/0/2 相连；
2.TYX、WC属于 VLAN117，TX、WZ属于 VLAN 118；
3.SW1 与 SW2 之间通过 GE0/0/1 相连；
4.同一 VLAN 内的 PC 可以互通，不同 VLAN 间的 PC 不能互通。
- 地址分配表

- 配置步骤
1.配置 SW1

Enable
Configure terminal
vlan 117
Vlan 118
interface e0/1
switchport mode access
switchport access vlan 117
interface e0/2
switchport mode access
switchport access vlan 118
interface G0/1
switchport mode trunk
switchport trunk allowed vlan 117,118
2. 配置 SW2

Enable
Config terminal
vlan 117
Vlan 118
interface e0/1
switchport mode access
switchport access vlan 117
interface e0/2
switchport mode access
switchport access vlan 118
interface g0/1
switchport mode trunk
switchport trunk allowed vlan 117,118
各个PC机配置如下：

• 验证配置结果

1. 设置计算机的 IP 地址
   按图 2-3 所示设置各 PC 机的 IP 地址和子网掩码，默认网关不用设置。
2. PC 机间相互执行 Ping 操作，测试连通性
   #在TYX上分别ping TX、WC、WZ
   Ping 31.20.0.18 # ping VLAN 118的TX，不能ping通
   Ping 31.20.0.20 # ping VLAN 117的WC，能ping通
   Ping 31.20.0.21 # ping VLAN 118的WZ，不能ping通
   #在WZ上分别ping TYX、TX、WC
   Ping 31.20.0.17 # ping VLAN117的TYX，不能ping通
   Ping 31.20.0.18 # ping VLAN118的TX，能ping通
   Ping 31.20.0.20 # ping VLAN117 的 WC，不能 ping 通
   

VLAN 间通信–VLAN 接口 IP 地址配置拓扑图

- 实验需求
企业的不同部门拥有相同的业务，如上网、VoIP 等业务，且各个部门中的主机位于不同的网段。目前存在不同的部门中相同的业务所属的 VLAN 不相同，企业所用的是三层交换机，现需要实现不同 VLAN 中的主机相互通信。

1. Alice、Bob 属于 10.1.1.0/24 网段，分别连到 Ethernet0/0/1 和 Ethernet0/0/2，
   属于 VLAN 20；
2. Carl、David 属于 10.2.2.0/24 网段，分别连到 Ethernet0/0/3 和 Ethernet0/0/4，
   属于 VLAN 30；
3. 交换机 SW 的 VLAN 接口 20 的 IP 地址为 10.1.1.254，子网掩码为 255.255.255.0。交
   换机 SW 的 VLAN 接口 30 的 IP 地址为 10.2.2.254，子网掩码为 255.255.255.0；
4. Alice、Bob、Carl、David 之间能互通。

- 地址分配表

- 配置步骤
Enable
Config terminal
vlan 119
Vlan 120
interface range e0/0-1
switchport mode access
switchport access vlan 119
interface range e0/2-3
switchport mode access
switchport access vlan 120
interface vlan 119
ip address 31.20.2.254 255.255.255.0
no shutdown
interface vlan 120
ip address 31.20.2.254 255.255.255.0
no shutdown

各个pc机配置如下：

- 验证配置结果
#在TYX上分别ping TX、WC、WZ
Ping 31.20.0.18 # ping 同属VLAN 119的TX，能ping通
Ping 31.20.0.20 # ping VLAN 120的WC，能ping通
Ping 31.20.0.21 # ping VLAN 120的WZ，能ping通
#在WZ上分别ping TYX、TX、WC
Ping 31.20.0.17 # ping VLAN119的TYX，能ping通
Ping 31.20.0.18 # ping VLAN119的TX，能ping通
Ping 31.20.0.20 # ping 同属VLAN120 的 WC，能 ping 通

3. 在测试 VLAN 配置结果后（在 PC 上执行 ping 命令后）查看 SW 的 MAC 地址表
华为设备使用命令：display mac-address
思科设备使用命令：show mac-address
4. 在 SW 上查看路由表
华为设备上使用命令：display ip routing-table
思科设备上使用命令：show ip route
注意：

1. 当 VLAN 所包含的物理端口 UP 后，VLAN 接口才会 UP。
2. 对于三层交换机，可以为多个 VLAN 接口配置 IP 地址，并且默认情况下各个 VLAN 接口之间 可以访问；对于二层交换机来说，VLAN 接口配置的 IP 地址只能用于管理。
3. 默认情况下，交换机所有端口都属于 VLAN 1。VLAN 1 是缺省的 VLAN，不需要创建。因此 我们也把 VLAN 1 作为交换机的管理 VLAN，VLAN 1 接口的 IP 地址也就是交换机的管理地 址。

【思考与分析】

1.在设备上建立一个用户名为dlnu密码为明文dl2008的登录用户，命令序列是什么？
Username dlnu password dl2008
line vty 0 4
privilege level 3
transport input ssh
login local
ip domain-name dlnu.com
Ip ssh version 2
crypto key generate rsa

2.若要通过 Telnet 或 SSH 方式远程配置交换机，前提条件是什么？
答：（1）计算机和交换机都联网，可以相互通信。 
（2）计算机有访问交换机的权限。 
（3）交换机配置好IP 地址、子网掩码和缺省路由。 
（4）交换机预先配置好控制远程登录的密码。

3. VLAN 的划分方式有哪些？目前最常用的 VLAN 划分方式是哪种？
   （1）
   ①　基于交换机端口划分
   ②　基于MAC地址划分
   ③　基于协议划分
   ④　基于子网的 VLAN 划分
   ⑤　基于策略的 VLAN 划分
   （2）目前最常用的VLAN划分方式是基于交换机端口VLAN划分