目录
4 以太网基础与VLAN配置实验
4.1 实验介绍
4.1.1 实验组网拓扑
4.1.2 实验背景
某公司根据业务需求,需要对其二层网络进行VLAN划分。同时,VLAN 10为特殊VLAN,为了保证信息安全,只有某些特殊的PC才可以通过VLAN 10进行网络访问。
如实验拓扑图所示,可以在S1和S2交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。同时,可以在S2上配置基于MAC地址划分VLAN,绑定特殊PC的MAC地址。
4.2 实验任务配置
4.2.1 实验环境搭建
路由器R1,R2型号选择AR3260,交换机S1,S2,S3,S4型号选择S5700
配置各个设备名称,并关闭多余接口
4.2.2 设备基础配置
1.配置R1和R3的IP地址,其中物理口地址分别为10.1.2.1/24和10.1.10.1/24
[接口视图]ip address x.x.x.x x
接下来分两种情况,S3、S4是否支持将二层接口切换成三层接口
- S3和S4支持二层接口切换为三层接口的环境
# 配置 S3和S4 的IP地址,其中物理口地址分别为10.1.3.1/24和10.1.3.2/24
①将接口状态转变为三层模式 [接口视图]undo portswitch
undo portswitch:配置将以太网接口从二层模式切换到三层模式。
②配置接口IP地址 [接口视图]ip address x.x.x.x x
- S3和S4不支持二层接口切换为三层接口的环境
# 配置 S3 和 S4 的IP地址,其中逻辑口 VLANIF3地址分别为10.1.3.1/24 和 10.1.3.2/24
①在交换机S3,S4上创建VLAN 3 vlan x [有空格]
②配置交换机S3和S4的接口为Access接口,并将接口划入对应的VLAN
设置接口类型为Access接口 [接口视图] port link-type access
将接口划入对应vlan [接口视图] port default vlan x
③创建VLANIF并配置相应的IP地址
创建三层逻辑VLANIF接口并进入接口视图 interface Vlanif 3
interface vlanif vlan-id :创建三层逻辑 VLANIF 接口并进入VLANIF 接口视图
配置IP地址 [接口视图]ip address x.x.x.x x
本次实验在eNSP环境下使用的S5700,经试验属于不支持二层接口切换为三层接口的类型,可以利用undo portswitch命令将L2接口转换为L3接口,但无法配置IP地址,建议利用创建逻辑接口VLANIF配置IP地址
4.2.3 创建VLAN
1.在交换机S1和S2上创建VLAN2,3,10 vlan batch 2 to 3 10
vlan vlan-id:创建VLAN并进入VLAN视图,如果VLAN已存在,直接进入该VLAN的视图。
vlan batch { vlan-id1 [ to vlan-id2 ] }:指定批量创建VLAN
4.2.4 配置基于接口划分VLAN
1.配置交换机S1和S2连接终端的接口为Access接口,并将接口划入对应的VLAN
S1-GE0/0/1 Access接口,划入VLAN2
S1-GE0/0/13 Access接口,划入VLAN3
S2-GE0/0/14 Access接口,划入VLAN3
配置接口链路类型 [接口视图]port link-type access
配置接口缺省VLAN并加入VLAN [接口视图]port default vlan x
port link-type { access | hybrid | trunk }:配置接口的链路类型。可以配置接口的类型为Access、Trunk或Hybrid
port default vlan vlan-id:配置接口的缺省VLAN并同时加入这个VLAN
2.配置配置交换机S1和S2的互联接口为Trunk接口,并仅允许VLAN 2、3通过
S1-GE0/0/10 Trunk接口,允许通过VLAN2、3
S2-GE0/0/10 Trunk接口,允许通过VLAN2、3
配置接口链路类型 [接口视图]port link-type trunk
配置Trunk接口加入的VLAN [接口视图]port trunk allow-pass vlan x y
删除Trunk接口加入的VLAN1 [接口视图]undo port trunk allow-pass vlan 1
port trunk allow-pass vlan:配置Trunk类型接口加入的VLAN
undo port trunk allow-pass vlan:删除Trunk类型接口加入的VLAN
VLAN 1默认就在允许通过列表中,若无实际业务用途,出于安全考虑,一般要将它删除
4.2.5 配置基于MAC地址划分VLAN
1.查看R3的mac地址 display interface GigabitEthernet0/0/0
路由器R3模拟特殊业务PC,可查该PC的MAC地址为:00e0-fcfa-730c。希望该PC可以通过S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2、GigabitEthernet0/0/3任意一个端口接入网络,并且通过VLAN 10进行数据传递。
2.配置交换机S2,让PC的MAC地址与VLAN 10关联
#基于MAC划分VLAN指将MAC地址与VLAN关联,按照报文的源MAC地址来定义VLAN成员,将指定报文添加该VLAN的Tag后发送。用户在变换物理位置时,不需要重新划分VLAN,提高了终端用户的安全性和接入的灵活性
创建VLAN vlan 10
配置交换机mac地址与VLAN 10关联 [vlan视图]mac-vlan mac-address 00e0-fcfa-730c(R3mac地址)
mac-vlan mac-address:配置MAC地址与VLAN关联
3.配置交换机S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2、GigabitEthernet0/0/3接口为Hybrid接口,并允许基于MAC地址划分的VLAN通过当前Hybrid接口
在Access口和Trunk口上,只有基于MAC划分的VLAN和PVID相同时,才可以正常使用。所以基于MAC地址划分VLAN推荐在Hybrid口上配置,可以接收多个VLAN不带标签通过。
配置接口类型为Hybrid [接口视图]port link-type hybrid
VLAN10的帧以Untagged方式通过Hybrid接口 [接口视图]port hybrid untagged vlan 10
port hybrid untagged vlan:配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口
4.配置交换机S1和S2的互联接口允许VLAN 10通过 [接口视图]port trunk allow-pass vlan 10
5.配置交换机S2,使能GE0/0/1、GE0/0/2、GE0/0/3接口基于MAC地址划分VLAN功能
若想使通过接口的报文按照基于MAC地址划分的VLAN转发,必须使用使能接口的MAC VLAN功能
[接口视图]mac-vlan enable
mac-vlan enable:使能接口的MAC VLAN功能
4.2.6 查看配置信息
1.查看交换机的VLAN信息 diaplay vlan
display vlan:查看VLAN的相关信息。
display vlan verbose:查看指定VLAN的详细信息,包括VLAN ID、类型、描述信息、状态、统计开关状态、包含的接口以及这些接口的加入方式等。
2.查看交换机的MAC-VLAN信息 display mac-vlan vlan 10
display mac-vlan命令用来查看基于MAC地址划分VLAN的配置信息
4.3 知识补充
①Access端口,Trunk端口,Hybrid端口
在某VLAN内,可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口),从Untagged端口发出的该VLAN报文不带VLAN Tag,从Tagged端口发出的该VLAN报文带VLAN Tag。
端口的链路类型分为三种。在端口加入某VLAN时,对不同链路类型的端口加入的端口列表要求不同:
Access:端口只能发送一个VLAN的报文,发出去的报文不带VLAN Tag。该端口只能加入一个VLAN的Untagged端口列表。
当一个端口属于vlan 10时,那么带着vlan 10的数据帧会被发送到交换机Access端口上,当这个数据帧通过Access端口时,vlan 10 tag 将会被剥掉,到达用户电脑时,就是一个以太网的帧。而当用户电脑发送一个以太网的帧时,通过Access端口向上走,那么Access端口就会给这个帧加上一个vlan 10 tag。而其他vlan tag的帧则不能从这个端口上下发到电脑上。
Trunk:端口能发送多个VLAN的报文(可以拥有一个主vlan和多个副vlan),发出去的端口缺省VLAN的报文不带VLAN Tag,其他VLAN的报文都必须带VLAN Tag。在端口缺省VLAN中,该端口只能加入Untagged端口列表;在其他VLAN中,该端口只能加入Tagged端口列表。
当一个trunk端口有主vlan 10 和多个副vlan11、12、30时,带有vlan 30的数据帧可以通过trunk端口,通过时vlan 30不被剥掉;当带有vlan 10的数据帧通过trunk端口时也可以通过,vlan 10 tag 将会被剥掉。如果一个不带vlan 的数据帧通过,那么将会被trunk端口打上vlan 10 tag。trunk端口的存在就是为了多个vlan的跨越交换机进行传递。
Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLAN Tag,某些VLAN的报文不带VLAN Tag。在不同VLAN中,该端口可以根据需要加入Untagged端口列表或Tagged端口列表。
Untagged端口列表和Tagged端口列表
- Untagged列表:交换机接口可设置untag列表,当数据从接口出去时,会查看untag表,若表中存在对应标签,则会脱掉标签,放通数据。若表中没有对应标签,则会查看tag表。若存在对应标签,则会放通,若不存在,则丢弃数据。
- Tagged列表:交换机接口可设置tag列表,当数据进入接口是,会查看数据有无标签,若没有标签,则会打上PVID标签,放通,若有标签,会查看tag表是否存在对应标签,若存在,则放通,若不存在则丢弃。
- PVID:交换机接口可设置PVID,数据进入接口时,会查看数据是否有标签,若没有标签,则会打上PVID标签,放通,若有标签,则会查看tag表。
②命令总结
1. 将接口状态转变为三层模式 [接口视图]undo portswitch
2.创建VLAN并进入VLAN视图 vlan x [有空格]
3.指定批量创建VLAN vlan batch { vlan-id1 [ to vlan-id2 ] }
4.创建三层逻辑VLANIF接口并进入接口视图 interface Vlanif 3
5.设置接口类型 [接口视图] port link-type access/trunk/hybrid
6.配置接口缺省vlan [接口视图] port default vlan x
7.配置Trunk接口加入的VLAN [接口视图] port trunk allow-pass vlan x y
8.删除Trunk接口加入的VLAN [接口视图] undo port trunk allow-pass vlan x
9.查看路由器的mac地址 display interface GigabitEthernet0/0/0
10.配置交换机mac地址与VLAN 10关联 [vlan视图]mac-vlan mac-address 路由器mac地址
11.帧以Untagged方式通过Hybrid接口 [接口视图]port hybrid untagged vlan x
12.使能接口的MAC VLAN功能 mac-vlan enable
13.查看交换机的VLAN信息 diaplay vlan (verbose)
14.查看交换机的MAC-VLAN信息 display mac-vlan
4.4 未解决问题
①结果验证中——在R3上执行Ping命令,目的为R1,并在S1和S2互联链路上抓包,使得R1无法Ping通R3物理接口地址,但是可以抓到带VLAN 10标签的数据帧,无法抓到带VLAN 10标签的数据帧
②在S1和S2上通过display mac-address verbose,查看交换机的MAC地址表,输入命令后无效果
3548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
