目录
了解VLAN
在以太网交换环境中,我们会使用VLAN(虚拟局域网)将一个大型广播域分隔为多个较小的广播域,这样既减轻了交换机的广播流量压力,也保障了安全性和可管理性。每个VLAN内部是一个广播域,VLAN内部的所有主机之间的通信就像在一个局域网(LAN)中一样,交换机无需支持三层路由功能。不同VLAN之间不能,交换机也不会把一个VLAN中的广播数据包转发到另一个VLAN的端口中。
本质上,VLAN是与端口相关联的,交换机需要知道哪个端口属于哪个VLAN,或者允许这个端口传输哪些VLAN的流量,这样才可以正确的执行转发。让交换机明确地知道哪个端口属于哪个VLAN的过程就叫做VLAN划分,管理员可以根据实际情况,使用多种方法来划分VLAN,其中最简单的划分方法是直接在端口上输入命令指定该端口所属于的VLAN,但这种方法过于静态,不适合用于多种环境。
多种VLAN划分的方法
VLAN划分方法 | 描述 | 适用场景 |
基于端口 | 直接指定该端口所属的VLAN | 适用于设备位置固定的安全环境 |
基于AMC地址 | 根据数据帧头部的MAC地址来划分VLAN | 适用于设备位置不同固定,但设备MAC地址固定的小型网络 |
基于子网 | 根据数据包头部的源IP地址来划分VLAN | 适用于对移动性和简化管理有较高要求的安全环境 |
基于网络层协议 | 根据数据帧的协议类型和封装格式来划分VLAN | 适用于同时运行了多种协议的杂合网络 |
基于匹配策略 | 根据配置的策略来划分VLAN,策略中可以组合多种参数,比如端口、MAC地址、IP地址等 | 适用于需求较为复杂,无法通过单一方法划分VLAN的环境 |
实验介绍
实验背景
在一家微型企业中,企业的办公区域分为两个房间,一个小房间为老板办公室,一个大房间为开放办公室,财务部和销售部的员工共同使用这个开放办公空间。
我们需要通过 VLAN 的划分,使老板 PC、财务部 PC 和销售部 PC 之间无法进行通信,保障其安全性和便捷性。同时在这个办公环境中,财务部和销售部各自拥有本部门的服务器,财务部PC可以访问财务部服务器,销售部PC 可以访问销售部服务器,但不可以跨部门访问。
在本实验中,我们着重关注VLAN的概念和配置,实验所需的两台交换机只做二层交换机使用,不启用路由功能,且不在交换机上为PC配置默认网关。不考虑PC连接外网的需求,只考虑公司内部终端之间的通信。
实验目的
1.掌握创建VLAN的命令,允许VLAN内部通信,不允许VLAN之间通信。
2.掌握将交换机端口配置为Access、Trunk、Hybrid端口的命令。
3.掌握限制Trunk链路上允许传输的VLAN的命令。
4.掌握根据端口、MAC地址划分VLAN的方法。
实验拓扑图
实验使用的网络地址
设备 | 接口 | IP地址 | 子网掩码 |
PC10-1 | E0/0/1 | 10.0.10.1 | 255.255.255.0 |
PC20-1 | E0/0/1 | 10.0.20.1 | 255.255.255.0 |
PC20-2 | E0/0/1 | 10.0.20.2 | 255.255.255.0 |
PC30-1 | E0/0/1 | 10.0.30.1 | 255.255.255.0 |
Server20 | E0/0/1 | 10.0.20.10 | 255.255.255.0 |
Server30 | E0/0/1 | 10.0.30.10 | 255.255.255.0 |
开始实验
创建VLAN
实验思路
我们要先在两台交换机S1和S2上分别创建公司需要的VLAN。按照拓扑图所示的部分规划,将公司的VLAN、PC、交换机端口的规划总结如下。
端口规划总结表
VLAN ID | 交换机端口 | PC或服务器 |
10 | S1:G0/0/1~G0/0/3 | PC10-1< |