计算机网络实验四：设置虚拟局域网（VLAN）

VLAN在交换机上的实现方法，可以大致划分为多类，基于端口划分的VLAN方法是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

一、实验目的

1. 理解虚拟局域网的概念。
2. 了解VLAN技术在交换式以太网中的使用。
3. 理解VLAN在数据链路层隔离广播域的作用。

二、实验要求

拓扑图

图1 实验所用拓扑图

IP地址配置

图2 IP地址配置图

三、实验步骤

任务一：观察未划分VLAN前，交换机对广播包的处理

步骤1：按要求配置IP地址

步骤2：查看交换机上VLAN信息

通过Inspect工具查看两个交换机的Port Status Summary Table。Switch0上所有端口均属于VLAN1，即未划分VLAN。

图3 switch0的端口状态

图4 switch2的端口状态

步骤3：观察在未划分VLAN的情况下，交换机对广播包的转发方法

在Simulation模式，设置过滤器，ARP和ICMP。PC0向PC2发送简单数据包，PC0的ARP表为空，不知道PC2的MAC地址，又由于此时PC0到PC5均属于同一个VLAN，所以此时，PC0向所有其他主机发送了ARP请求。

图5 ARP请求情况

图6 ARP请求情况

图7 ARP请求情况

删除所有场景，为下一步实验做准备。

任务二：创建两个VLAN，并将端口划分到不同的VLAN内

步骤1：创建VLAN

图8 创建VLAN

参照如上，分别在两个交换机上设置vlan2和vlan3。

步骤2：设置两个交换机之间的中继连接

图9 设置中继连接

步骤3：将端口设置到不同的VLAN内

图10 分配VLAN

具体划分见下表：

图10 VLAN情况统计

图11 网络拓扑图

任务三：观察划分VLAN后，交换机对广播包的处理

步骤1：查看交换机上的VLAN信息

任务2中，已经在两台交换机上设置了两个VLAN:VLAN2和VLAN3，从而得到两个广播域。查看两台交换机的Port Status Summart Table，观察链接状态。

图12 switch0端口状态

图13 switch1端口状态

步骤2：观察交换机对广播包的处理，理解划分VLAN的情况下，广播域的范围。

在Simulation模式。设置过滤ARP和ICMP。添加PC0向PC3发送简单数据包。由事件列表可以看出，PC0只将数据包传给了同在vlan2的PC3和PC4。

图14 ARP请求包

按照上述步骤，添加PC1向PC2发送的数据报，观察期ARP广播包发送的情况并记录其结果。由事件列表可以看出，PC1只将数据包传给了同在vlan3的PC2和PC5。

图15 ARP请求包

任务四 观察802.1Q帧封装格式

步骤：观察跨交换机的帧封装格式。在仿真状态，只捕获ICMP数据报，添加PC0向PC3发送的数据包。捕获跨交换机的ICMP数据包。该数据包与原来数据包相比，多了字段TPID和TCI，即为VLAN标记。

图16 ICMP数据

按照上述步骤，捕获PC1给PC5的数据包，观察其数据包帧的封装格式，并与PC0向PC3发送的数据包格式进行对比。

图17 ICMP数据

PC1向PC5发送数据包，该数据包PC0到PC3的数据包相比，TPID字段相同（TPID是IEEE定义的源类型，表明这是一个加了802.1Q标签的帧，此2个字节固定为0x8100），TCI字段发生变化，TCI包含下面的一些元素：

Priority：这3 位指明帧的优先级。一共有8种优先级，0－7。IEEE 802.1Q标准使用这三位信息。

CFI（Canonical Format Indicator）：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。

VLAN ID（VLAN Identified）: 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。

四、思考题

在任务一中，两台交换机分别如何处理广播包?其广播包的传播范围有多大？

交换机0向除了PC0之外的所有站点发送了数据包，并将其传给了交换机1。

交换机2将收到的数据包传给了它连接的所有站点。传播范围是同一网络同一VLAN下的所有除自己以外的主机。

在任务三中，当一台PC发送广播包时，与之连接在同一台交换机上的其他PC是否一定能接收到该广播包？根据实验结果举例说明。

不一定，如果这两台PC不属于同一VLAN，则不会收到广播包。从任务三的事件列表中可以看出，PC0向PC3发送数据，PC0、PC1、PC2在同一个交换机上，但是PC1和PC2并没有收到PC0传出的数据。

通过分析任务一和任务三的实验结果，说明划分VLAN的作用。

划分VLAN的作用如下：

逻辑隔离：VLAN允许将一个物理网络划分成多个逻辑上隔离的虚拟网络。不同的VLAN之间可以相互通信，但通信需要经过路由器或三层交换机进行转发。通过VLAN的逻辑隔离，可以增强网络的安全性和隐私保护。

    管理灵活性：通过VLAN的划分，网络管理员可以更灵活地管理和控制网络中的设备。不同的用户、部门或服务可以被分配到不同的VLAN中，从而简化网络管理和配置。管理员可以根据需要对每个VLAN进行独立的管理、安全策略和服务配置。

    广播控制：在传统的共享介质的网络中，广播报文会在整个网络中传播，造成网络拥堵和不必要的带宽消耗。而VLAN可以限制广播报文的传播范围，使广播仅限于同一VLAN内部，从而减少广播流量，提高网络性能。

    故障隔离：当网络中发生故障或问题时，VLAN的划分可以帮助隔离和定位故障。故障只会影响同一VLAN内的设备，而不会波及到其他VLAN。这样可以更容易地进行故障排除和恢复操作，减少故障对整个网络的影响。

    提升性能：通过划分VLAN，可以将广播域和碰撞域限制在每个VLAN内部，减少广播和碰撞带来的性能损耗。此外，可以根据业务需求优化每个VLAN的带宽分配，提高网络的性能和效率。

1. 总之，划分VLAN可以提供逻辑隔离、管理灵活性、广播控制、故障隔离和性能提升等好处，使网络更安全、更可靠、更高效。