本文详细介绍了VLAN的概念、出现背景、作用、优势,包括控制广播、增强安全性和简化管理,以及VLAN的划分方法(基于端口、MAC地址、IP地址和用户)。还涵盖了VLAN在交换机中的三种接口模式及其配置操作实例。
前言,在正式了解VLAN之前,我们先来简单了解一下广播域和VLAN出现在什么背景之下
一. VLAN引入之何为广播域
广播域:一台发送广播域所有可以收广播的机器我们认为在同一个广播域;交换机的所有端口在同一个广播域。
分割广播域
物理分割:将网络从物理上划分为若干个小网络,再使用能隔离广播的路由设备将不同 的网络连接起来实现通信。
逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络,即 VLAN。VLAN 工作在 OSI 参考模型的数据链路层,一个 VLAN 就是一个交换网络,其中的所有用户都在同一个广播域中,各 VLAN 通过路由设备连接实现通信。
二. VLAN引入之VLAN 出现的背景
三. VLAN 的正式介绍
3.1 VLAN的概念
VLAN(Virtual Local Area Network),中文称为虚拟局域网(大的网络划分为小的局域网)。是一组逻辑上隔离的设备和用户。这些设备和用户不受物理位置限制,可根据部门或组等进行灵活划分,保障信息安全, 同时隔绝广播信息,提升网络效能,防止广播风暴的产生。
*注: 它是交换机的独有技术。
3.2 VLAN的作用
我们通俗来讲,VLAN的作用就是划分广播域
3.3 VLAN的优势
既然VLAN能够胜出于传统的以太网,必然有其优势的地方,它的优势表现在:
1. 控制广播
每个 VLAN 都是一个独立的广播域,这样就减少了广播对网络带宽的占用,提高了网络传输效率,并且一个 VLAN 出现了广播风暴不会影响其他的 VLAN。
2.增强网络安全性
由于只能在同一 VLAN 内的端口之间交换数据,不同 VLAN 的端口之间不能直接访问, 因此 VLAN 可以限制个别主机访问服务器等资源。所以,通过划分 VLAN 可以提高网络的安全性。
3.简化网络管理
一个 VLAN 可以根据部内职能、对象组或应用将不同地理位置的用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组 或子网之间移动。利用 VLAN 技术,大大减轻了网络管理和维护工作的负担,降低了网络维护的费用。
3.4 VLAN的划分
1.基于端口的划分VLAN
2.基于MAC地址的划分VLAN
3.基于IP地址划分
4.基于用户划分
3.5 VLAN的种类
静态VLAN(重点,用的最多的就是静态vlan)
静态 VLAN 也称基于端口的 VLAN,是目前最常见的 VLAN 实现方式。 静态 VLAN 即明确指定交换机的端口属于哪个 VLAN,这需要网络管理员手动配置。当用户主机连接到交换机端口上时,就被分配到了对应的 VLAN 中。
动态VLAN
静态vlan通过将接口加入vlan来分配对应的vlan,接入到这个接口的都属于这个vlan
但动态vlan不同,他是基于mac地址的vlan(太麻烦,要一台台的设备mac地址去设置),他把mac地址跟vlan对应,只要是这个mac地址的设备就属于这个vlan,而不管我是接在哪个接口上。
3.6 VLAN的范围
默认存在VLAN1,且默认的所有接口属于vlan1,vlan1不需要创建也无法删除
例:[sw1]undo vlan 1
Error: VLAN 1 is system default VLAN, can not be deleted. //显示错误,无法删除VLAN1
3.7 VLAN 在交换机中的三种接口模式
access:接入链路,一般只能属于1个VLAN,一般用于连接计算机端口或者路由器的端口。
trunk:中继链路,可以允许多个vlan通过,可以接收和发送多个vlan 报文,一般用于交换机与交 换机相关的端口。
hybrid:混杂模式,华为特有,可以手动配置 ,放行和拒绝的 vlan。
四. VLAN配置的具体操作
1.先建立VLAN
vlan 10 / vlan batch 10 20 30 (一次性建立10 20 30 这三个vlan)
/ vlan batch 31 to 40(一次性建立创建vlan10到vlan20,有31 32 33 34……)
2. 选择端口类型
(配置access和trunk类型操作不同)
在Access接口模式下:
先进入端口 ----> Int 端口
查看vlan表 -----> [SW1] display vlan
再选择接口类型 ----->[sw1-Ethernet0/0/2]port link-type access
该接口默认vlan10 -----> [sw1-Ethernet0/0/2]port default vlan 10
查看vlan 10 -----> [SW1-Ethernet0/0/1] display vlan 10(需要查看的vlan)
查看vlan的接口类型 -----> [sw1]display port vlan
然后 q 出去,换一个接口重复上述操作,其他接口也是如此配置。
如果一次性将多个接口加入同一个vlan,可以简化操作,设置一个临时的端口组,如下
[Huawei]port-group caiwu //将接口组起名为caiwu也可以是1-32的数字
[Huawei-port-group-caiwu]group-member e0/0/1 e0/0/3 //将e0/0/1和e0/0/3加入caiwu组,如果是e0/0/1 to e0/0/3则代表e0/0/2也加入了caiwu组
[Huawei-port-group-caiwu]port link-type access
[Huawei-port-group-caiwu]port default vlan 10
如果删除(access类型)vlan,先把接口退出vlan,再undo删除vlan,不要直接删除vlan(undo vlan xx)因为可能有多个接口在vlan中,直接删除vlan就都没有了
[sw1-Ethernet0/0/2]undo port default vlan
[sw1-Ethernet0/0/2]undo port link-type
恢复默认vlan状态 -------> [sw1-Ethernet0/0/2]port link-type hybrid
添加描述信息(类似与备注与注释的作用,就是写上对这个vlan的一些信息,比如连接的用户)
[SW1]vlan 10
[SW1-vlan10]description home/boss…..
2.1 access具体实验操作,如下
a. 首先根据下图所标识的进行主机设备(PC1,PC2,PC3,PC4)的IP地址,子网掩码。
b. 从上述图例我们其实可以看出,四台设备两两属于同一网段,实际上是不同的广播域,但是,这四台设备连接了同一交换机,又因为交换机的所有端口在同一个广播域,这就意味着不同网段的设备连在同一个交换机上,所有网段都能收到其中一台设备的广播,这对于其他不同网段来说,这个广播就属于垃圾流量。例如,PC1广播寻找PC2,广播会发给PC2,但是也会给PC3,PC4,只不过不会接收。具体效果结合对PC3抓包来看,如下图:
c. 通过抓包后,垃圾流量的问题,就是我们本次实验想要去解决的,这时候就要利用我们的VLAN技术啦。我们通常是通过配置交换机的一个端口来进行VLAN的配置,接下来就开始吧,可以回看看上面的 1.先建立vlan , 如下图:
c.1 建立了两个不同的广播域后,我们接下来给e0/0/1,e0/0/2,e0/0/3,e0/0/4这四个接口定义为access类型,具体原理可以参考 3.7,并为四台设备定义默认的vlan,具体操作如下:
d. 完成上述操作后,我们可以再用 PC1去 ping PC2 ,同时再次通过抓包去看 PC3 或者 PC4 的状态,我们会发现,这二者都接收不到了来自 PC1的广播信息了,此时实验成功,具体效果如下:
当然,PC2 是可以收到来自 PC1 的广播消息的啦,而且还能互相通信,我们还是将 PC1 和 PC2 划分到了同一个逻辑上的广播域。
通过上面的实验具体了解vlan 和 access 的运用。
在Trunk接口模式下:
2.2 trunk具体实验操作,如下:
2.2.1 首先根据下图所标识的进行主机设备(法务部和财务部服务器)的IP地址,子网掩码。为了本实验的清晰性,我们给底下四台设备添加了各自总服务器,直接并用交换机连接。如图:
2.2.2 那么,如果要使得服务器分别能收到下面的四台设备的请求,我们需要让服务器也同处于下列设备所处的逻辑上的广播域,因为如果不进行这样的操作的话,我们会发现其实下面设备连不到服务器的,我们依旧以 PC1 为例,去连接物理上同属于一个网段的法务部服务器,会发现其连不上,因为在 2.1的实验中,其实变相的将 PC1/PC2 从同网段的广播域划分了出去,效果如下图:
这时候我们应当设置服务器的默认vlan 为10,便可以连接到 PC1 了,具体操作如下图:
2.2.3 通过上面的操作,我们此时去用 PC1 连接法务部服务器,能够看到,二者可以进行通信了。同理,PC3 / PC4 能够连接到财务部服务器啦。结果如下图:
PC3 / PC4 ping 财务部服务器效果如下:
通过上面的实验具体了解vlan 和 trunk 的运用。
扫一扫
1176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
