一、 VLAN基础配置及Access接口
原理概述
早期的局域网技术是基于总线型结构的。总线型拓扑结构是由一根单电缆连接着所有主机,这种局域网技术存在着冲突域问题,即所有用户都在一个冲突域中,那么同一时间内只有一台主机能发送消息,从任意设备发出的消息都会被其他所有主机接收到,用户可能收到大量不需要的报文;而且所有主机共享一条传输通道,任意主机之间都可以直接互相访问,无法控制信息的安全。
为了避免冲突域,同时扩展传统局域网以接入更多计算机,可以在局域网中使用二层交换机。交换机能有效隔离冲突域,但是由于所有计算机仍处于同一个广播域,任意设备都能接收到所有报文,不但降低了网络的效率,而且降低了安全性,即广播域和信息安全问题依旧存在。为了能减少广播,提高局域网安全性,人们使用虚拟局域网即VLAN技术把一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信,而VLAN间不能直接互通。这样,广播报文被限制在一个VLAN内,同时也提高了网络安全性。不同的VLAN使用不同的VLAN ID区分,VLAN ID的范围是0〜4095,可配置的值为1〜4094, 0和4095为保留值。
Access接口是交换机上用来连接用戸主机的接口。当Access接口从主机收到一个不带VLAN标签的数据帧时,会给该数据帧加上与PVID一致的VLAN标签(PVID可手工配置,默认是1,即所有交换机上的接口默认都属于VLAN Do当Access接口要发送一个带VLAN标签的数据帧给主机时,首先检查该数据帧的VLAN ID是否与自己的PVID相同,若相同,则去掉VLAN标签后发送该数据帧给主机;若不相同,直接丢弃该数据帧。
实验目的
•理解VLAN的应用场景
•掌握VLAN的基本配置
•掌握Access接口的配置方法'
•掌握Access接口加入相应VLAN的方法
实验内容
本实验模拟企业网络场景。公司内网是一个大的局域网,二层交换机S1放置在一楼,在一楼办公的部门有IT部和人事部;二层交换机S2放置在二楼,在二楼办公的部门有市场部和研发部。由于交换机组成的是一个广播网,交换机连接的所有主机都能互相通信,而公司策略是:不同部门之间的主机不能互相通信,同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN,并将连接主机的交换机接口配置成。Access接口划分到相应VLAN内。
实验拓扑
VLAN基础配置及Access接口拓扑如图所示
实验编址
| 设备 | 接口 | ip地址 | 子网掩码 | 默认网关 |
| pc1 | Ethernet 0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| pc2 | Ethernet 0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
| pc3 | Ethernet 0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
| pc4 | Ethernet 0/0/1 | 10.1.1.4 | 255.255.255.0 | N/A |
| pc5 | Ethernet 0/0/1 | 10.1.1.5 | 255.255.255.0 | N/A |
实验步骤
1.基本配置
根据实验编址进行相应的基本IP地址配置,在此步骤中不要为交换机创建任何的VLAN。使用ping命令检测各直连链路的连通性,所有的PC都能相互通信。
其他主机间互相通信测试和上述相同,略过。
2.创建VLAN
除默认VLAN 1夕卜,其余VLAN需要通过命令来手工创建。创建VLAN有两种方..式,一种是使用vlan命令一次创建单个VLAN,另一种方式是使用vlan batch命令一次创建多个VLAN.
在S1上使用两条命令分别创建VLAN 10和VLAN 20。
可以观察到,SI和S2都已经成功创建了相应VLAN.但目前没有任何接口加入所创建的VLAN10与20中,默认情况下交换机上所有接口都属于VLAN 1。
3.配置Access接口
按照拓扑,使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口,并使用port default vlan命令配置接口的默认VLAN并同时加入相应VLAN中。默认情况下,所有接口的默认VLANID为1。
查看s1的VLAN信息。
S2同理如图
可以观察到,目前两台交换机上连接PC的接口都巳经加入到相应所属部门的VLAN当中。
4.检查配置结果
在交换机上将不同接口加入各自不同的,VLAN中后,属于相同VLAN的接口处于同一个广播域,相互之间可以直接通信。属于不同VLAN的接口是处于不同的广播域,相互之间不能直接通信。在本实验环境中,只有同属于IT部门VLAN 10的两台主机PC-1和PC-2之间可以互相通信。其他不同部门间的PC之间将无法通信。
在IT部门的pc1上分别测试与同部门的pc2,HR部门的pc3间的连通性。
可以观察到,相同VLAN内的PC可以互相通信,不同VLAN内的PC间无法通信。
思考:
在本实验中,如果将S2的接口E 0/0/5配置为Access类型接口,并划入VLAN 30中,此时PC-1能否ping通PC-4? PC-1能否ping通PC-5?为什么?
二、配置Trunk接口
原理概述
在以太网中,通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成,为了使VLAN的数据帧跨越多台交换机传递,交换机之间互连的链路需要配置为干道链路(Trunk Link)。和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同VLAN数据的,它不属于任何一个具体的VLAN,可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的数据。
Trunk端口一般用于交换机之间连接的端口,Trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。
当Trunk端口收到数据帧时,如果该帧不包含802.1Q的VLAN标签,将打上该Trunk端口的PVID;如果该帧包含802.1Q的VLAN标签,则不改变。
当Trunk端口发送数据帧时,当该所发送帧的VLAN ID与端口的PV1D不同时,检査是否允许该VLAN通过,若允许的话直接透传,不允许就直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则剥离VLAN标签后转发。
实验目的
•理解干道链路的应用场景
•掌握Trunk端口的配置
•掌握Trunk端口允许所有VLAN通过的配置方法
•掌握Trunk端口允许特定VLAN通过的配置方法
实验内容
本实验模拟某公司网络场景。公司规模较大,员工200余名,内部网络是一个大的局域网。公司放置了多台接入交换机(如S1和S2)负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域,由于员工较多,相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信,需要配置交换机之间链路为干道模式,以实现相同VLAN跨交换机通信。
实验拓扑
跨交换机实现VLAN间通信的拓扑如图所示。
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| PC1 | Ethernet0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| PC2 | Ethernet0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
| PC3 | Ethernet0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
| PC4 | Ethernet0/0/1 | 10.1.1.4 | 255.255.255.0 | N/A |
实验步骤
1.基本配置
根据实验编址表进行相应的基本IP地址配置,并使用ping命令检测各直连链路的连通性。在没有完成划分VLAN之前各PC之间都能互通(属于默认VLAN 1)。
这里以pc1与pc3的ping测试为例,其余省略。
2.创建VLAN,配置Access接口
公司内网需要通过VLAN的划分来隔离不同的部门,需要在3台交换机S1、S2、S3上都分别创建VLAN 10和VLAN 20,研发部员工属于VLAN 10,市场部员工属于VLAN 20。
配置完成后,使用display vlan命令査看所配置的VLAN信息,以S3为例。
可以观察到相关的VLAN都己经配置好。也可以使用display vlan summary命令查看所配置VLAN的简要信息。
在S1上配置E 0/0/2和E 0/0/3为Access接口,并划分到相应的VLAN。
在S2上配置E 0/0/3和E 0/0/4为Access接口,并划分到相应的VLAN。
配置完成后,使用display port vlan命令检查VLAN和接口配置情况。
S1
S2
可以观察到PC所连接的交换机接口都已经被配置成Access模式,并己经加入到了正确的VLAN中.
3.配置Trunk接口
将PC所连入的交换机接口划入到相应的部门VLAN后,测试相同部门中的PC是否能够通信。
测试PC1与PC3之间的连通性。
测试PC2与PC4之间的连通性。
可以观察到此时同部门的PC间不能通信。
目前在该跨交换机实现不同VLAN通信的二层组网拓扑中,虽然与PC端相连的交换机接口上创建并划分了VLAN信息,但是在交换机与交换机之间相连的接口上并没有相应的VLAN信息,不能够识别和发送跨越交换机的VLAN报文,此时VLAN只具有在每台交换机上的本地意义,无法实现相同VLAN的跨交换机通信。为了让交换机间能够识别和发送跨越交换机的VLAN报文,需要将交换机间相连的接口配置成为Trunk接口。配置时要明确被允许通过的VLAN,实现对VLAN流量传输的控制。
在S1上配置E 0/0/1为Trunk接口,允许VLAN 10和VLAN 20通过。
在S2上配置E 0/0/2为Trunk接口,允许VLAN 10和VLAN 20通过。
在S3上配置GE 0/0/1和GE 0/0/2为Trunk接口,允许所有VLAN通过。
配置完成后可以使用display port vlan命令来检查Trunk的配置情况,这里以S3为例。
可以观察到S3的GE 0/0/1和GE0/0/2已被成功配置为Trunk接口,并且允许所有VLAN流量通过(VLAN 1〜4094)。
再次验证不同交换机上的相同部门的PC间的连通性。
测试PC1与PC3之间的连通性。
测试PC2与PC4之间的连通性。
可以观察到此时同部门中的PC己经能成功通信。
思考
连接PC的交换机接口也可以配置成Trunk接口吗?为什么?
三、理解Hybrid接口的应用
原理概述
Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路,它允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的标签剥掉。
Hybrid接口处理VLAN帧的过程如下:
(1)收到一个二层帧,判断是否有VLAN标签。没有标签,则标记上Hybrid接口的PVID,进行下一步处理:有标签,判断该Hybrid接口是否允许该VLAN的帧进入,允许则进行下一步处理,否则丢弃。
(2)当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged还是Taggedo如果是Untagged,先剥离帧的VLAN标签,再发送;如果是Tagged,则直接发送帧。
通过配置Hybrid接曰,能够实现对VLAN标签的灵活控制,既能够实现Access接口的功能,又能够实现Trunk接口的功能。
实验目的
•掌握配置Hybrid接口的方法
•理解Hybrid接口处理Untagged数据帧过程
•理解Hybrid接口处理Tagged数据帧过程
•理解Hybrid接口的应用场景
实验内容
某企业二层网络使用两台S3700交换机S1和S2,且两台设备在不同的楼层。网络管理员规划了3个不同VLAN,HR部门使用VLAN 10,市场部门使用VLAN 20, IT部门使用VLAN 30o现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信;IT部门可以访问任意部门。可以通过配置Hybrid接口来实现较复杂的VLAN控制。
实验拓扑
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| PC1 | Ethernet 0/0/1 | 192.168.1.1 | 255.255.255.0 | N/A |
| PC2 | Ethernet 0/0/1 | 192.168.1.2 | 255.255.255.0 | N/A |
| PC3 | Ethernet 0/0/1 | 192.168.1.3 | 255.255.255.0 | N/A |
| PC4 | Ethernet 0/0/1 | 192.168.1.4 | 255.255.255.0 | N/A |
| PC5 | Ethernet 0/0/1 | 192.168.1.100 | 255.255.255.0 | N/A |
实验步骤
1.基本配置
按照实验编址表为PC配置IP地址,如图3-4所示的配置过程适用于所有终端。
可以观察到,此时PC1访问其他主机通信正常,其他主机上的测试过程省略。
在没有定义VLAN及接口类型之前,默认情况下,交换机上所有接口都是Hybrid类型,接口的PVID是VLAN 1,即所有接口收到没有标签的二层数据帧,都被转发到VLAN 1,并继续以Untagged的方式把帧发送至同为VLAN 1的其他接口。所以,即使未做任何配置,主机之间默认仍然可以互相通信。
在S1上使用display port vlan命令査看接口的默认类型。
可以观察到,接口默认是Hybrid类型,接口PVID是VLAN 1,其他接口也一样。在交换机上使用display vlan命令查看接口和所属VLAN的对应关系。
可以观察到,所有接口都默认属于VLAN 1,其他交换机也都一样,因此VLAN 1内所有的主机都可以直接访问。
2.实现组内通信、组间隔离
交换机接口的类型可以是Access. Trunk和Hybrid。Access类型的接口仅属于一个VLAN,只能接收、转发相应VLAN的帧;而Trunk类型接口则默认属于所有VLAN,任何Tagged帧都能经过Trunk接收和转发;Hybrid类型接口则介于二者之间,可自主定义端口上能接收和转发哪些VLAN Tag的帧,并可决定VLAN Tag是否继续携带或者剥离。Access和Trunk类型接口是Hybrid类型接口的两个特例,一个仅支持一个VLAN的传递,一个默认支持所有VLAN的传递,而Access类型和Trunk类型的接口能做到的,Hybrid接口都能做到。
目前要求实现HR部门和市场部门的员工终端可以进行部门内部通信,即VLAN 10内PC-2和PC4之间可以自由访问,VLAN 20内PC-1和PC-3之间可以自由访问,而两个部门间的员工不能互相访问,即VLAN 10和VLAN20之间不能互相访问。要实现此需求,可以使用Access和Trunk的配置方法,也可以仅使用Hybrid的配置方法。
使用Trunk和Access类型接口的配置过程如下。
将S1上的E 0/0/2和S2上的E 0/0/2配置为Access类型,并将相应的接口加入到VLAN 20。同理,将S1上的E 0/0/3和S2上的E 0/0/3也配置为Access类型接口,并加入到VLAN 10o而交换机之间的互连链路的两个E 0/0/1接口则配置为Trunk类型。
配置完成后,査看接口和VLAN的对应关系。
可以观察到,配置己经生效。
在PC-1上测试与同VLAN 20的PC-3的连通性,以及与VLAN 10内终端的连通性。
可以观察到,在单台交换机及跨交换机间的访问控制使用Trunk和Access类型接口实现了需求,但同样的需求使用Hybrid实现会更灵活。
S1的E0/0/2接口连接PC1主机,该接口收到的PC1发送的Untagged的帧会被交换机转发到VLAN 20。同样,交换机从其他接口收到VLAN 20的发往PC-1的帧也会以Untagged的方式从E0/0/2接口发送。S1的E 0/0/3接口连接PC-2主机,该接口收到Untagged的帧会被转发到VLAN 10。如果交换机收到的VLAN 10的发往PC-2的帧也会以Untagged的方式从接口E 0/0/3发送。VLAN 10和VLAN20的帧也要经过交换机间链路发送至邻居交换机S2o反之,S1收到来自邻居交换机S2的Tagged的帧后,也会根据VLAN Tag转发到相应的VLAN。
在S1的E 0/0/2接口上使用undo port default vlan命令用来恢复接口默认VLAN。
配置port link-type hybrid命令修改接口类型为默认的Hybrid类型。
配置port hybrid untagged vlan 20命令使得交换机在该接口转发VLAN 20的帧时,剥离掉相应的VLAN Tag 20,以Untagged的方式发送给PC。
配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLAN ID,即使得该端口上接收到PC发来的未带VLAN Tag的帧时,加上VLANTag20,并转发到VLAN 20 。
同样在连接另一台终端的E 0/0/3接口做同样配置。
在连接交换机S2的E 0/0/1接口上修改端口类型为默认的Hybrid类型,并使用port hybrid taggedvlan 10 20命令设置该链路仅接收带有VLAN Tag 10和20的帧,而交换机也仅转发VLAN 10和VLAN 20的帧到该链路。一般该命令配置在交换机互连的链路接口之上。
S2交换机将在E 0/0/1接口接收到的Tagged帧,根据VLAN Tag标识,向接口E 0/0/2转发VLAN20的帧,向接口E 0/0/3转发VLAN 30的帧。反之,接口E 0/0/2接收到PC发送的未带Tag的帧转发到VLAN 20,端口E 0/0/3接收的到未带Tag的帧会被转发到VLAN 10,并且这些帧发送到邻居交换机S1时,会保留原有Tag。
配置完成后,使用display vlan命令查看使用Hybrid配置下接口和VLAN的对应关系。
可以观察到,同样的需求,Hybrid和Access> Trunk都能实现(测试省略),但Hybrid的灵活性及解决复杂需求的能力是Access和Trunk达不到的。
3.实现网管员对所有网络的访问
在实现各部门内部终端可以互相访问,不同部门间的终端隔离访问后,要求网络管理员所在的IT部门(使用终端PC-5)能够实现对所有部门的访问。即要求实现VLAN 30访问VLAN10和VLAN 20, VLAN 10和VLAN 20之间仍然不允许互相访问。如果S1的E 0/0/2接口仍是Access类型且属于VLAN 10,则不能被其他VLAN访问。若要VLAN 30的终端能访问VLAN 10的终端,则需要修改接口的配置,使其既能被VLAN 10访问,又能被VLAN 30访问,这就要求此接口同时要属于多个VLAN,且端口所连设备是PC,不能识别带VLAN Tag的帧,故此时只能使用Hybrid类型接口。Hybrid端口既能被加入多个VLAN中,又能够在将其余VLAN的帧转发到此接口时,剥离掉相应的VLANTag。
配置S1交换机,E0/0/4接曰是网络管理员的PC终端,属于VLAN 30,该接口收到的PC发送的Untagged帧要能够发送至VLAN 30中,配置porthybridpvidvlan30命令设置Untagged帧加入至VLAN 30。
因为在华为交换上,默认所有接口都为Hybrid类型接口,所以在该接口下不需要修改配置。
S1交换机收到VLAN 10、VLAN 20和VLAN 30的帧也要能够从该接口发送至PC,配置porthybrid untagged vlan 10 20 30命令使得上述3个VLAN的帧会以Untagged的方式从该接口发送出去。
同理,端口E 0/0/2接PC-1,接口收到PC的Untagged帧需要发送至VLAN 20,使用port hybridpvid vlan 20命令。E 0/0/2接口同时也要能够被VLAN 30和VLAN 20的主机访问,即VLAN 20和30的帧能够从该接口发送出去,并以Untagged的方式发送至PC1.
接口E 0/0/3收到Untagged的帧需发送至VLAN 10,同时VLAN 10和30的帧要能从该接口发送出去。
VLAN10、VLAN20和VLAN30的帧要能够发送至邻居交换机S2,且要保留原有的VLAN Tag,以便于邻居交换机S2根据VLAN Tag继续转发到相应的VLAN。同样,邻居交换机S2发送过来的帧也会带有相应的VLAN Tag,所以S1与S2间互连的接口E 0/0/1配置如下。
同理在S2交换机上E 0/0/1接口收到的带有相应VLAN Tag标记的帧,如果是VLAN 10的帧要能发送至接口E 0/0/3,如果是VLAN 20的帧要能发送至E 0/0/2。而如果是VLAN 30的帧要能发送至接口E0/0/2和E 0/0/3。VLAN 10、20和30的帧都是以Untagged的方式发送至接口E 0/0/2或E 0/0/3o反之,如果PC-3发出的Untagged的帧发送至接口E 0/0/2时会进入到Hybrid接口PVID所指明的VLAN 20中,PC-4发出的Untagged的帧发送至接口E 0/0/3时会进入到Hybrid接口PVID所指明的VLAN 10中,具体配置过程如下。
S1和S2上全部配置完成后,使用ping命令在IT部门的网络管理员的PC-5上测试与不同部门内的各台主机间的连通性,以PC1为例。
可以观察到,PC-5所属网络管理员所在的VLAN 30,能够正常访问到其他部门的所有终端。
同理,选择市场部门所在VLAN 20内的主机PC-1,测试其与其他主机间的连通性。
测试PC1与本部门内的主机PC3间的连通性。
可以正常通信。
测试PC1与外部门的主机PC2和PC4间的连通性。
不能正常通信,实现了设计要求。
测试PC1与IT部门网絡管理员主机PC5间的连通性。
可以正常通信
在交换机上可以定义多个VLAN,每个VLAN都可以看做是一个广播域,通常情况下每个VLAN都会分配一个独立的IP网络,根据需要把相应主机所在的接口划入到指定的VLAN中,并配置相应的网络IP地址,VLAN间通过路由来实现互相访问。这是较为常用的方法。但是相比于基于端口的Hybrid配置,三层路由方式则不够灵活,原因在于VLAN之间的访问控制要借助于路由设备来实现。而控制VLAN访问使用Hybrid接口则极大地简化了配置的复杂性,它仅需在端口上自主定义基于VLAN Tag的过滤规则,来决定指定的VLAN的二层帧是否允许发送;它是通过二层来实现VLAN间的访问控制,既不需要每个VLAN定义单独的IP网段,更不需要在VLAN间引入路由设备,配置更为灵活方便。
思考
在本实验中,如果将PC-5所连交换机的接口E 0/0/4下的port hybrid pvid 30命令删除,PC-4所连的端口E 0/0/3下port hybrid pvid 10命令删除,其他端口配置则保持不变。此时在PC-5与PC-4间的连通性是否正常?报文经过S1和S2间端口时使用的VLAN Tag是哪个?为什么?
四、利用单臂路由实现VLAN间路由
原理概述
以太网中,通常会使用VLAN技术隔离二层广播域来减少广播的影响,并增强 网络的安全性和可管理性。其缺点是同时也严格地隔离了不同VLAN之间的任何二 层流量,使分属于不同VLAN的用户不能直接互相通信。在现实中,经常会出现某 些用户需要跨越VLAN实现通信的情况,单臂路由技术就是解决VLAN间通信的一 种方法。 ,
单臂路由的原理是通过一台路由器,使VLAN间互通数据通过路由器进行三层 转发。如果在路由器上为每个VLAN分配一个单独的路由器物理接口,随着VLAN 数量的增加,必然需要更多的接口,而路由器能提供的接口数量比较有限,所以在路 由器的一个物理接口上通过配置子接口(即逻辑接口)的方式来实现以一当多的功能, 将是一种非常好的方式。路由器同一物理接口的不同子接口作为不同VLAN的默认 网关,当不同VLAN间的用户主机需要通信时,只需将数据包发送给网关,网关处 理后再发送至冃的主机所在VLAN,从而实现VLAN间通信。由于从拓扑结构图上 看,在交换机与路由器之间,数据仅通过一条物理链路传输,故被形象地称之为“单臂路由”。
实验目的
•理解单臂路由的应用场景
•掌握路由器子接口的配置方法
•掌握子接口封装VLAN的配置方法
•理解单臂路由的工作原理
实验内容
本实验模拟公司网络场景。路由器R1是公司的出口网关,员工PC通过接入层交换机(如S2和S3)接入公司网络,接入层交换机又通过汇聚交换机S1与路由器R1相连。公司内部网络通过划分不同的VLAN隔离了不同部门之间的二层通信,保证各部门间的信息安全,但是由于业务需要,经理、市场部和人事部之间需要能实现跨VLAN通信,网络管理员决定借助路由器的三层功能,通过配置单臂路由来实现。
实验拓扑
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| R1(AR2220) | GE0/0/1.1 | 192.168.1.254 | 255.255.255.0 | N/A |
| GE0/0/1.2 | 192.168.2.254 | 255.255.255.0 | N/A | |
| GE0/0/1.3 | 192.168.3.254 | 255.255.255.0 | N/A | |
| pc1 | Ethernet | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| pc2 | Ethernet | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
| pc3 | Ethernet | 192.168.3.1 | 255.255.255.0 | 192.168.3.254 |
实验步骤
1.创建VLAN并配置Access. Trunk接口
公司为保障各部门的信息安全,需保证隔离不同部门间的二层通信,规划各部门的终端属于不同的VLAN.并为PC配置相应IP地址。
在S2上创建VLAN 10和VLAN 20,把连接PC-1的E 0/0/1和连接PC-2的E 0/0/2接口配置为Access类型接口,并分别划分到相应的VLAN中。
在S3上创建VLAN 30,把连接PC-3的E 0/0/1接口配置为Access类型接口,并划分到VLAN30。
交换机之间或交换机和路由器之间相连的接口需要传递多个VLAN信息,需要配置成Trunk接口。
将S2和S3的GE 0/0/2接口配置成Trunk类型接口,并允许所有VLAN通过。
在S1上创建VLAN 10、VLAN 20和VLAN 30,并配置交换机和路由器相连的接口为Trunk,允许所有VLAN通过。
2.配置路由器子接口和IP地址
由于路由器R1只有一个实际的物理接口与交换机SI相连,可以在路由器上配置不同的逻辑子接口来作为不同VLAN的网关,从而达到节省路由器接口的目的。
在R1上创建子接口GE 0/0/1.1.配置IP地址192.168.1.254/24,作为人事部网关地址。
在R1上创建子接口GE 0/0/1.2,配置IP地址192.168.2.254/24,作为市场部网关地址。
在R1上创建子接口GE 0/0/1.3,配置IP地址192.1683254/24,作为经理的网关地址。
在PC1、PC2和PC3上配置IP和相应的网关地址后,在PC1上测试与PC2和PC3间的连通性。
可以观察到,通信仍然无法建立。
3.配置路由器子接口封装VLAN
虽然目前已经创建了不同的子接口,并配置了相关IP地址,但是仍然无法通信。这是由于处于不同VLAN下,不同网段的PC间要实现互相通信,数据包必须通过路由器进行中转。由S1发送到R1的数据都加上了VLAN标签,而路由器作为三层设备,默认无法处理带了VLAN标签的数据包。因此需要在路由器上的子接口下配置对应VLAN的封装,使路由器能够识别和处理VLAN标签,包括剥离和封装VLAN标签。
在R1的子接口GE 0/0/1.1上封装VLAN 10,在子接口GE 0/0/1.2上封装VLAN 20,在子接口GE 0/0/1.3上封装VLAN 30,并开启子接口的ARP广播功能。
使用dotlq termination vid命令配置子接口对一层tag报文的终结功能。即配置该命令后,路由器子接口在接收带有VLAN tag的报文时,将剥掉tag进行三层转发,在发送报文时,会将与该子接口对应VLAN的VLAN tag添加到报文中。
使用arp broadcast enable命令开启子接口的ARP广播功能。如果不配置该命令,将会导致该子接口无法主动发送ARP广播报文,以及向外转发IP报文。
同理配置R1的子接口GE 0/0/1.2和GE 0/0/1.3。
配置完成后,在路由器R1上查看接口状态。
可以观察到,3个子接口的物理状态和协议状态都正常。
査看路由器R1的路由表。
可以观察到,路由表中已经有了192.168丄0/24、192.16820/24、192.168.3.0/24的路由条目,并且都是路由器R1的直连路由,类似于路由器上的直连物理接口。
在PC1上分别测试与网关地址192.168.1.254和PC-2间的连通性。
可以观察到,通信正常。在PC1 上 Tracert PC2。
可以观察到PC-1先把ping包发送给自身的网关192.168.1.254,然后再由网关发送到PC2。
现以PC1 ping PC2为例,分析单臂路由的整个运作过程。
两台PC由于处于不同的网络中,这时PC1会将数据包发往自己的网关,即路由器R1的子接口GE0/0/1.1的地址192.168.1.254。
数据包到达路由器R1后,由于路由器的子接口GE 0/0/1.1己经配置了VLAN封装,当接收到PC1发送的VLAN 10的数据帧时,发现数据帧的VLAN ID跟自身GE 0/0/1.1接口配置的VLAN ID一样,便会剥离掉数据帧的VLAN标签后通过三层路由转发。
通过查找路由表后,发现数据包中的目的地址192.168.2.1所属的192.168.2.0/24网段的路由条目,己经是路由器R1上的直连路由,且出接口为GE0/0/1.2,便将该数据包发送至GE 0/0/1.2接口。
当GE 0/0/1.2接口接收到一个没有带VLAN标签的数据帧时,便会加上自身接口所配置的VLANID 20后再进行转发,然后通过交换机将数据帧顺利转发给PC-2o
思考
VLAN间的通信可以利用单臂路由的方式实现,那么利用单臂路由实现数据转发会存在哪些潜在问题?该如何解决?
五、利用三层交换机实现VLAN间路由
原理概述
VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信,而VLAN间不能直接互通。
在现实网络中,经常会遇到需要跨VLAN相互访问的情况,工程师通常会选择一些方法来实现不同VLAN间主机的相互访问,例如单臂路由。但是单臂路由技术中由于存在一些局限性,比如带宽、转发效率等,使得这项技术应用较少。
三层交换机在原有二层交换机的基础之上增加了路由功能,同时由于数据没有像单臂路由那样经过物理线路进行路由,很好地解决了带宽瓶颈的问题,为网络设计提供了一个灵活的解决方案。
VLANIF接口是基于网络层的接口,可以配置IP地址。借助VLANIF接口,三层交换机就能实现路由转发功能。
实验目的
•掌握配置VLAN1F接口的方法
•理解数据包跨VLAN路由的原理
•掌握测试多层交换网络连通性的方法
实验内容
本实验模拟企业网络场景。公司有两个部门——销售部和客服部,分别规划使用VLAN 10和VLAN 20。其中销售部下有两台终端PC1和PC2,客服部下有一台终端PC3。所有终端都通过核心三层交换机S1相连。现需要让该公司所有三台主机都能实现互相访问,网络管理员将通过配置三层交换机来实现。
实验拓扑
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 网关 |
| pc1 | Ethernet0/0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| pc2 | Ethernet0/0/1 | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 |
| pc3 | Ethernet0/0/1 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
| S1(S5700) | VLANIF 10 | 192.168.1.254 | 255.255.255.0 | N/A |
| VLANIF 20 | 192.168.2.254 | 255.255.255.0 | N/A |
实验步骤
1.基本配置
根据实验编址表在PC上进行相应的基本1P地址配置,三层交换机S1上暂先不做配置。
配置完成后,测试销售部两台终端PC-1与PC-2间的连通性。
可以观察到,通信正常。,
测试销售部PC1与客服部PC3间的连通性。
PC1与PC3间无法正常通信,下面简要分析主机PC.1发出数据包,直至反馈目的无法到达的整个过程:
主机发出数据包前,将会査看数据包中的目的IP地址,如果冃的IP地址和本机【P地址在同一个网段上,主机会直接发出一个ARP请求数据包来请求对方主机的MAC地址,封装数据包,继而发送该数据包。但如果目的IP地址与本机IP地址不在同一个网段,那么主机也会发出一个ARP数据包请求网关的MAC地址,收到网关ARP回复后,继而封装数据包后发送。
所以,销售部主机PC1在访问192.168.2.1这个IP地址时发现这个目的IP地址与本机IP地址不在同一个IP地址段上,PC1便会发出ARP数据包请求网关192.168.1.254的MAC地址。但由于交换机没有做任何IP配置,因此没有设备应答该ARP请求,导致销售部主机PC1无法正常封装数据包,因此无法与客服部PC3正常通信。
2.配置三层交换机实现VLAN冋通信
通过在交换机上设置不同的VLAN使得主机实现相互隔离。在三层交换机S1上创建VLAN 10和VLAN 20,把销售部的主机全部划入VLAN 10中,客服部的主机划入VLAN 20中。
现在需要通过VLAN间路由来实现通信,在三层交换机上配置VLANTF接口。
在S1上使用interface VLANif命令创建VLANIF接口,指定VLANIF接口所对应的VLAN ID为10,并进入VLANIF接口视图,在接口视图下配置IP地址192.168.1.254/24 。再创建对应VLAN 20 的VLANIF 接口,地址配置为192.168.2.254/24。
配置完成后,查看接口状态。
可以观察到,两个VLANIF接口已经生效。再次测试PC1与PC3间的连通性。
可见通信正常,实现了销售部终端与客服部终端间的通信。PC2上的测试省略。在PC1上査看ARP信息。
可以观察到,目前PC上ARP解析到的地址只有交换机的VLANIF 10的地址,而没有对端的地址,PC1先将数据包发送至网关,即对应的VLANIF 10接口,再由网关转发到对端。
思考
试问三层交换机与路由器实现三层功能的方式是否相同?为什么?
补充
交换机接口批量设置access
port -group 1 先创建端口管理组
group-member GigabitEthernet 1/0/0 to GigabitEthernet 0/0/23 将相应接口加入到组里面
port link-type access 修改端口类型
port default vlan 100 将接口加入vlan
1765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
