如果设备都在同一个广播域是很容易受到攻击的(DHCP攻击,ARP攻击),原理都是冒充网关将我们的流量拦截下来,这样我们的信息就很容易泄露,一个路由器的接口数量有限,想要划分多个局域网需要很高的成本,所以VLAN就产生了。
VLAN: 虚拟局域网
路由器与交换机协同工作后,将一个广播域逻辑的切分为多个;
配置思路:
- 交换机上创建vlan
- 交换机上各个接口划分到对应的vlan中
- TRUNK(中继)干道 sw-sw(交换机与交换机之间) sw-router(交换机与路由器之间)
- vlan间路由 -- 路由器子接口 多层交换机SVI
配置命令:
- 创建vlan 编号0-4095 其中1-4094可用
默认存在vlan1,且所有接口默认属于vlan1;
[sw1]vlan 2
[sw1-vlan2]q
[sw1]vlan 3
[sw1-vlan3]q
[sw1]undo vlan 2
[sw1]undo vlan 3
[sw1]vlan batch 2 to 10 15 to 20 批量创建
- 交换机上的各个接口划分到对应的vlan中
[sw1]interface Eth0/0/1
[sw1-Ethernet0/0/1]port link-type access 先将该接口修改为接入模式
[sw1-Ethernet0/0/1]port default vlan 2 再将其划分到对应的vlan中
批量的将多个接口划分到同一个vlan
[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4 Ethernet 0/0/10 to Ethernet 0/0/20
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
- trunk干道 -- 不属于任何一个vlan,可以承载多个vlan的流量转发,过程中需要标记和识别来区分不同vlan的流量;
trunk干道的封装标准 --- 802.1q(dot1q)公用 ISL-cisco私有
[sw1]interface Eth0/0/5
[sw1-Ethernet0/0/5]port link-type trunk 先将接口修改为trunk模式
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3 再定制允许列表,默认仅允许vlan1通过
- 路由器的子接口 --- 单臂路由
[router]interface e0/0/0.1 -- 创建物理接口对应的子接口
[router-Ethernet0/0/0.1]dot1q termination vid 2 定义其管理的vlan标记号
[router-Ethernet0/0/0.1]ip address 192.168.1.1 24 配置该网段网关ip地址
[router-Ethernet0/0/0.1]arp broadcast enable 需要手工开启子接口ARP功能
我们现在可以完成以下实验来巩固知识:
LSW1上的配置:
[Huawei]vlan 2
[Huawei-vlan2]q
[Huawei]vlan 3
[Huawei-vlan3]q //先创建两个vlan
[Huawei]port-group group-member e0/0/1 to e0/0/2 //进入2、3接口批量操作
[Huawei-port-group]port link-type access //2、3接口进入接入模式
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-port-group]port default vlan 2 //2、3接口划分为vlan2
[Huawei-Ethernet0/0/1]port default vlan 2
[Huawei-Ethernet0/0/2]port default vlan 2
[Huawei]port-group group-member e0/0/3 to e0/0/4 //以下同理
[Huawei-port-group]port link-type access
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/4]port link-type access
[Huawei-port-group]port default vlan 3
[Huawei-Ethernet0/0/3]port default vlan 3
[Huawei-Ethernet0/0/4]port default vlan 3
[Huawei-port-group]q
[Huawei]int e0/0/5 //进入接口5
[Huawei-Ethernet0/0/5]port link-type trunk
[Huawei-Ethernet0/0/5]port trunk allow-pass vlan 1 to 2 //接口5设为trunk干道允许vlan2和vlan3通过
[Huawei-Ethernet0/0/5]int e0/0/6
[Huawei-Ethernet0/0/6]port link-type trunk
[Huawei-Ethernet0/0/6]port trunk allow-pass vlan 2 to 3
[Huawei-Ethernet0/0/6]q
[Huawei]display vlan
LSW2上配置:
<Huawei>sys
[Huawei]vlan 2
[Huawei-vlan2]q
[Huawei]vlan 3
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 3
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type trunk
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan 2 to 3
[Huawei-Ethernet0/0/3]q
[Huawei]display vlan
AR1上配置:
<Huawei>sys
[Huawei]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2
[Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]q
[Huawei]dhcp enable
[Huawei]ip pool a
[Huawei-ip-pool-a]network 192.168.1.0 mask 24
[Huawei-ip-pool-a]gateway-list 192.168.1.1
[Huawei-ip-pool-a]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dhcp select global
[Huawei-GigabitEthernet0/0/0.1]q
[Huawei]ip pool b
[Huawei-ip-pool-b]network 192.168.2.0 mask 24
[Huawei-ip-pool-b]gateway-list 192.168.2.1
[Huawei-ip-pool-b]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dhcp select global
以上实验配置完成,成功划分两个vlan,并开启了dhcp服务,主机自动获取ip,vlan2的主机ping不通vlan3的主机,同一vlan都能ping通,实验结束。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
