目录
了解VLAN
在以太网交换环境中,我们会使用VLAN(虚拟局域网)将一个大型广播域分隔为多个较小的广播域,这样既减轻了交换机的广播流量压力,也保障了安全性和可管理性。每个VLAN内部是一个广播域,VLAN内部的所有主机之间的通信就像在一个局域网(LAN)中一样,交换机无需支持三层路由功能。不同VLAN之间不能,交换机也不会把一个VLAN中的广播数据包转发到另一个VLAN的端口中。
本质上,VLAN是与端口相关联的,交换机需要知道哪个端口属于哪个VLAN,或者允许这个端口传输哪些VLAN的流量,这样才可以正确的执行转发。让交换机明确地知道哪个端口属于哪个VLAN的过程就叫做VLAN划分,管理员可以根据实际情况,使用多种方法来划分VLAN,其中最简单的划分方法是直接在端口上输入命令指定该端口所属于的VLAN,但这种方法过于静态,不适合用于多种环境。
多种VLAN划分的方法
| VLAN划分方法 | 描述 | 适用场景 |
| 基于端口 | 直接指定该端口所属的VLAN | 适用于设备位置固定的安全环境 |
| 基于AMC地址 | 根据数据帧头部的MAC地址来划分VLAN | 适用于设备位置不同固定,但设备MAC地址固定的小型网络 |
| 基于子网 | 根据数据包头部的源IP地址来划分VLAN | 适用于对移动性和简化管理有较高要求的安全环境 |
| 基于网络层协议 | 根据数据帧的协议类型和封装格式来划分VLAN | 适用于同时运行了多种协议的杂合网络 |
| 基于匹配策略 | 根据配置的策略来划分VLAN,策略中可以组合多种参数,比如端口、MAC地址、IP地址等 | 适用于需求较为复杂,无法通过单一方法划分VLAN的环境 |
实验介绍
实验背景
在一家微型企业中,企业的办公区域分为两个房间,一个小房间为老板办公室,一个大房间为开放办公室,财务部和销售部的员工共同使用这个开放办公空间。
我们需要通过 VLAN 的划分,使老板 PC、财务部 PC 和销售部 PC 之间无法进行通信,保障其安全性和便捷性。同时在这个办公环境中,财务部和销售部各自拥有本部门的服务器,财务部PC可以访问财务部服务器,销售部PC 可以访问销售部服务器,但不可以跨部门访问。
在本实验中,我们着重关注VLAN的概念和配置,实验所需的两台交换机只做二层交换机使用,不启用路由功能,且不在交换机上为PC配置默认网关。不考虑PC连接外网的需求,只考虑公司内部终端之间的通信。
实验目的
1.掌握创建VLAN的命令,允许VLAN内部通信,不允许VLAN之间通信。
2.掌握将交换机端口配置为Access、Trunk、Hybrid端口的命令。
3.掌握限制Trunk链路上允许传输的VLAN的命令。
4.掌握根据端口、MAC地址划分VLAN的方法。
实验拓扑图
实验使用的网络地址
| 设备 | 接口 | IP地址 | 子网掩码 |
| PC10-1 | E0/0/1 | 10.0.10.1 | 255.255.255.0 |
| PC20-1 | E0/0/1 | 10.0.20.1 | 255.255.255.0 |
| PC20-2 | E0/0/1 | 10.0.20.2 | 255.255.255.0 |
| PC30-1 | E0/0/1 | 10.0.30.1 | 255.255.255.0 |
| Server20 | E0/0/1 | 10.0.20.10 | 255.255.255.0 |
| Server30 | E0/0/1 | 10.0.30.10 | 255.255.255.0 |
开始实验
创建VLAN
实验思路
我们要先在两台交换机S1和S2上分别创建公司需要的VLAN。按照拓扑图所示的部分规划,将公司的VLAN、PC、交换机端口的规划总结如下。
端口规划总结表
| VLAN ID | 交换机端口 | PC或服务器 |
| 10 | S1:G0/0/1~G0/0/3 | PC10-1 |
| 20 | S1:G0/0/4~G0/0/9 | PC20-1、PC20-2 |
| S2:G0/0/1 | Server20 | |
| 30 | S1:G0/0/4~G0/0/9 | PC30-1 |
| S2:G0/0/2 | Server30 |
在本实验环境中,VLAN 10 是专用于老板办公室的,VLAN 20 是专用于销售部的,VLAN 30 是专用于财务部的。从端口规划总结表中我们可以看出,交换机 S1 和交换机 S2 上分别需要配置以下 VLAN。
交换机 S1:VLAN10、VLAN 20、VLAN 30。
交换机 S2:VLAN20、VLAN 30。
在交换机上配置 VLAN,可以使用两种方法。
1.逐个创建VLAN,在输入创建一个 VLAN 的命令后,用户会进入 VLAN 配置视图。
2.批量创建多个 VLAN,这条命令不会使用户进入某个 VLAN 配置视图。
接下来我将分别展示这两种配置方法。
在交换机S1上创建VLAN
在交换机S2上创建VLAN
创建完 VLAN 后,可以使用 display 命令来查看 VLAN 是否创建成功,首先通过 display vlan summary 查看已存在的 VLAN 汇总情况。
VLAN 10、VLAN 20 和 VLAN 30 是我们刚创建的 VLAN,说明 VLAN 已创建完成。
查看VLAN汇总情况
为了查看端口与 VLAN 的对应关系,我们需要使用一条能够显示更详细信息的命令:display vlan。从命令的输出中我们可以看出,目前所有端口都属于VLAN1,刚创建的3个VLAN 中没有端口。
查看VLAN与端口的对应关系
这样公司环境中需要的 VLAN 就创建完成了,读者可以自行在交换机 S2 上使用上述 display 命令进行检查。
基于端口划分VLAN
实验思路
基于端口划分 VLAN 的方法适用于设备位置固定的安全环境,因为这种方法会在交换机端口上静态指定该端口所属的 VLAN,即无论终端设备是否属于该 VLAN,只要它连接在这个端口上,就可以访问这个 VLAN 中的资源。
端口划分VLAN的配置
| 交换机 | 端口 | 类型 | VLAN |
| S1 | G0/0/1~G0/0/3 | Access | 10 |
| G0/0/10 | Trunk | 20或30 | |
| S2 | G0/0/1 | Access | 20 |
| G0/0/2 | Access | 30 | |
| G0/0/10 | Trunk | 20或30 |
在本实验环境中,老板办公室是一个相对安全的环境,因此我们对其进行基于端口的划分。本环境只在 VLAN 10 中连接了一台 PC,但需要为老板多预留出两个端口,以便连接多台设备,因此我们将交换机 S1 的 GO/0/1G0/0/3 端口静态地划分到 VLAN 10.另外,连接两台交换机的端口,以及连接服务器的端口一般是比较固定的,不会轻易改动,因此这些端口也适用于基于端口划分。
设置 Access 端口并绑定 VLAN
在交换机 S1 上,我们需要将 G0/0/1~G0/0/3 端口设置为 Access 端口,并静态关联到VLAN 10。可以按照以下步骤进行配置。
1.使用命令interface interface-type interface-number 进入相应端口的接口配置视图。
2.使用命令 port link-type access 将端口设置为 Access 模式
3。使用命令 port default vlan vlan-id 将端口添加到某个 VLAN 中
接了下来展示交换机S1上的配置。
在S1上配置G0/0/1~G0/0/3端口
配置完成后我们可以通过 display vlan 命令来验证配置结果。
查看G0/0/1~G0/0/3的配置结果
交换机S2上有两个段亏分别连接了一台服务器,我们将它们设置为Access端口并静态配置VLAN。
在S2上配置G0/0/1、G0/0/2端口
配置完成后我们可以通过 display vlan 命令来验证配置结果。
查看G0/0/1和G0/0/2端口
设置 Trunk 端口并允许VLAN
交换机之间的互联链路上通常需要承载多个 VLAN 的流量,我们会把这条链路设置为Trunk 模式,并且限制它只能传输 VLAN 20 和 VLAN 30 的流量。可以按照以下步骤进行配置。
1.使用命令interface interface-type interface-number 进入相应端口的接口配置视图。
2.使用命令 port link-type trunk 将端口设置为 Trunk 模式。
3.使用命令port trunk allow-pass vlan {{vlan-id1 [to vlan-id2]} all;设置允许Trunk 传输的 VLAN。
如需允许编号连续的 VLAN,我们可以在允许的第一个 VLAN与最后一个 VLAN 之间使用关键字 to; 如需允许所有 VLAN,可以使用关键字 all。
配置S1上的Trunk端口
从命令输出中可以发现,G0/0/1端口除了可以传输VLAN 20和VLAN 30的流量外还可以传输VLAN 1的流量。这是因为VLAN 1是缺省VLAN,在实际工作中,出于安全性的考虑,我们会根据需要在Trunk链路上移除VLAN 1。
查看Trunk端口支持的VLAN
下图展示了从Trunk链路上移除VLAN1的命令和结果。从命令输出中我们可以看出现在VLAN 1中已经没有了端口G0/0/10。
从Trunk上移除VLAN 1
配置S2上的 Trunk 端口
基于MAC地址划分VLAN
实验思路
本实验环境所模拟的开放办公室中,基于 MAC 地址划分 VLAN 的做法可以提高终端接入的灵活性和安全性,无须关注物理端口(或者说工位) 的位置。当交换机端口接收到终端 PC 发来的数据帧时,它会以数据的源 MAC 地址为依据在 MAC-VLAN 表中查找匹配项,并根据匹配的 VLANID 和优先级进行转发。
根据实验要求,交换机S1的G0/0/4~G0/0/9 端口需要根据 PC20-1、PC20-2和PC30-1的MAC 地址为其分配特定的 VLAN。可以按照以下步骤进行配置。
1.使用命令 vlan vlan-id 创建 VLAN 进入 VLAN 视图。由于在前文步骤中我们已经创建好 VLAN,因此此时会进入 VLAN 视图。使用命令 mac-vlan mac-address mac-address 将MAC 地址与该 VLAN 进行关联。命令中 MAC 地址的格式为 H-H-H。
2使用命令interface interface-type interface-number 进入要配置基于MAC 地址的VLAN 划分的端口。
a.使用命令 port link-type hybrid 将端口设置为 Hybrid 模式。
b.使用命令 port hybrid untagged vlan fvlan-id1 [to vlan-id2]al设置允许这个Hybrid 端口传输的 VLAN。如需允许编号连续的 VLAN,我们可以在允许的第一个VLAN 与最后一个 VLAN之间使用关键字 to; 如需允许所有 VLAN,可以使用关键字 all.c.使用命令 mac-vlan enable 在端口上启用基于 MAC 地址的 VLAN 划分。
在本节中,我们需要在交换机 S1 的 GO/0/4~GO/0/9 端口上进行相同的配置。我们会先按照上述步骤展示如何根据 MAC 地址划分 VLAN,以及如何在端口 GO/0/4 上启用根据 MAC 地址划分 VLAN 的功能。接着我们会展示一种同时配置多个端口的简便配置
方法,在 GO/0/5~G0/0/9 上进行相同的配置。
将MAC 地址与 VLAN 进行关联
我们可以从PC 的配置界面查看 PC 的 MAC 地址,或者更改 MAC 地址为易于识别的值,实验按照以下规则设置了 PC 的 MAC 地址: 前 6 位十六进制为分配给华为使用的OUI (Organizationally Unique Identifier,组织唯一标识符) 00-EO-FC,后6位与PC的点分十进制IP 地址后 2 位的数字相对应。
PC20-1、PC20-2 和 PC30-1 的 MAC 地址和所属VLAN 如下。
DPC20-1: 00-E0-FC-00-20-01,VLAN 20。
2PC20-2: 00-E0-FC-00-20-02,VLAN 20。
3PC30-1: 00-E0-FC-00-30-01,VLAN30。
在S1上关联MAC地址和VLAN
配置完成后,可以使用命令 display mac-vlan mac-address all 来查看MAC-VLAN表来确认配置。
验证MAC地址与VLAN的关联
配置G0/0/4端口
在端口 G0/0/4 上,我们需要允许它传输 VLAN 20 和 VLAN 30 的流量,并且启用根据 MAC 地址划分 VLAN 的功能。
在G0/0/4上完成配置
查看G0/0/4的配置
可以使用 display current-configuration 来查看端口配置,从下图的命令输出中我们可以看出,端口下没有我们配置的第一条命令 port link-type hybrid,这是因为端口的默认模式为 Hybrid。
接下来我们要批量配置端口,要想批量配置多个端口,就需要创建一个端口组,在其中指定要配置的端口范围,以及具体的配置命令。可以按照以下命令进行配置。
1.使用命令 port-group port-group-name 创建并进入端口组。
2.使用命令 group-member interface-type interface-number to interface-type interface-number 添加端口范围,本实验中添加的是端口 G0/0/5~G0/0/9。
3.按需添加其他端口命令。本实验中添加了命令 port hybrid untagged vlan 20 30利 mac-vlan enable。
批量配置G0/0/5~G0/0/9端口
验证配置效果
至此本实验的全部配置均已完成,我们可以通过在 PC 上发出 ping 命令来验证配置效果是否与需求相同。公司的通信需求如下:
1. 相同 VLAN 中的 PC 之间可以相互访问。
2. 不同 VLAN 中的 PC 之间不可以相互访问。
在 PC20-1 上分别对 PC20-2、PC20-10 和 PC30-1 发起 ping 测试,测试结果应该为前两个 ping 成功,最后一个 ping 失败。下图展示测试结果,与通信需求相同。
测试结果
不同 IP 网段中的主机需要借助路由器才能够实现相互之间的通信,上述实验虽然能够验证相同 VLAN 中的主机之间能够相互通信,但不足以说明不同 VLAN 之间的主机无法进行通信,因为 PC20-1 和 Server30 本就不处于同一个IP 子网中。考虑到在真实网络环境中,我们一般会将 VLAN 与IP 网段进行关联和区分比如一个 VLAN 对应一个 IP 网段,因此本实验的 VLAN 设计与 IP 地址规划遵循了这种一般性原则。为了验证不同 VLAN 中的主机无法进行通信,可以在自己的实验环境中,将PC20-2 更改到 VLAN 10 中,再从PC20-1 上执行命令 ping 10.0.20.2,此时 ping测试结果应为失败。
回到实验中,当 PC 向其直连的交换机端口发送数据帧后,交换机会记录从该端口接收到的 MAC 地址,并且对于 PC20-1 所连接的交换机 S1 G0/0/4 来说,该端口不仅会记录 PC20-1 的MAC 地址,还会根据这个 MAC 地址为 PC20-1 分配 VLAN。
864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
