实验
3
VLAN
配置
3.实验目标
1
(1)掌握单交换机VLAN 配置的方法。
(2)掌握跨交换机VLAN 配置的方法。
(3)理解trunk的作用。
3.实验背景
2
假设有一位某公司新入职的网络管理员,员工对其投诉,称该公司网络中经常有大量的
广播数据,挤占大量带宽,无法开展有效业务。经调研,该网络管理员发现该公司有管理、财
务、销售等若干部门,每个部门有若干计算机,均接入同一交换机,并且网络上的所有用户都
能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。针对这个问
题,应该如何提出一个有效的解决方案?
3.技术原理
3
3.1
VLAN
简介
3.
虚拟局域网(virtuallocalareanetwork,VLAN)是将局域网从逻辑上划分为一个个网
段,从而实现虚拟工作组的一种交换技术。
使用交换机构成的一个物理局域网,整个网络属于同一个广播域,广播帧或多播帧
(multicastframe)都将被广播到整个局域网中的每一台主机。在网络通信中,广播信息是
普遍存在的,这些广播帧将占用大量的网络带宽,导致网络速度和通信效率的下降,并额外
增加了网络主机为处理广播信息而产生的负荷。交换技术的发展,允许物理上分散的组织
在逻辑上分成若干新的工作组,把一个大的广播域分割成多个小的广播域,这就是所谓的虚
拟局域网技术(VLAN )。VLAN 之间的广播互不可达,VLAN 间互不影响,每个VLAN 是
一个独立的广播域。值得注意的是,VLAN 隔离了广播风暴,同时也隔离了各个不同的
VLAN 之间的通信,所以不同的VLAN 之间的通信是需要有三层设备(如路由器、三层交
换机)来完成的。
下面通过一个具体的案例分析在交换机上VLAN 划分的作用。
在一台未设置任何VLAN 的二层交换机上,任何广播帧都会被转发给除接收端口外的
所有其他端口(loig)。例如,1所示, 会被转发给端口
fodn如图3.计算机A发送广播信息后,
2、3、4,并转发给与这些端口连接的主机B、C、D。
�
计算机网络综合实训教程
图3.
1 划分VLAN 前
如果在交换机上生成两个VLAN(10 、20), 同时设置端口1、2属于VLAN10,端口3、4
属于VLAN20(如图3.若从A发出广播帧的话,
2所示), 交换机就只会把它转发给同属于
一个VLAN 的端口2,不会转发给属于VLAN20 的端口。同样,C发送广播信息时,只会
被转发给属于VLAN20 的其他端口,不会被转发给属于VLAN10 的端口。
图3.
2 划分VLAN 后
可见,VLAN 的本质是通过限制广播帧转发的范围来分割广播域的,用不同的广播域
表示不同的VLAN 。不同的VLAN 用不同的VLANID 来区分。
通过以上分析可知,在交换机上划分不同的VLAN 后,交换机端口必须能区分所接收
的数据帧隶属于哪一个VLAN,这就需要在普通的MAC 帧上插入新的字段标签以区分不
同的VLAN,完成标签插入的代表协议有IEEE802.interswitchlink)。因为
1q和ISL(
ISL 是Cisco私有的协议,只能用于Cisco交换机的VLAN 配置,所以下面仅分析IEEE
802.1q协议。
1q所附加的VLAN 识别信息,位于以太网数据帧中“发送源MAC 地址”与
IEEE802.
“类别域”(之间(见图3.3)。具体为2字节的TPID(和2
typefield) tagprotocolidentifier)
�
实验3 VLAN 配置
31
字节的TCI(tagcontrolinformation),共计4字节。TPID的值固定为0x8100,它表示网络
帧承载的IEEE802.1q类型,交换机通过它来确定数据帧是否附加了基于IEEE802.1q的
VLAN 信息。而关键的VLANID,是TCI中的12位。由于总共有12位,因此最多可标识
4096个VLAN。这种基于IEEE802.1q附加的VLAN 信息,就像在传递物品时附加的标
签。因此,它也被称作“标签型VLAN”(taggingVLAN)。
图3.3 IEEE802.1q帧格式
因此,在引入VLAN 技术后,以太网帧就可能有以下两种形式。
(1)无标记帧(untagged帧):原始的、未加入4字节VLAN 标签的以太网帧。
(2)有标记帧(tagged帧):加入了4字节VLAN标签的帧,即图3.3中的IEEE802.1q帧。
以太网链路包括接入链路(accesslink)和干道链路(trunklink)。接入链路用于连接交
换机和用户(如用户主机、服务器等),只可以承载1个VLAN 的数据帧。干道链路用于交
换机间互连或连接交换机与路由器,可以承载多个不同VLAN 的数据帧。在接入链路上传
输的数据帧都是无标记帧,在干道链路上传输的数据帧都是有标记帧。
交换机内部处理的数据帧一律都是有标记帧。从用户终端接收无标记帧后,交换
机会为无标记帧添加VLAN 标签,重新计算帧检验序列(FCS),然后通过干道链路发
送帧;向用户终端发送帧前,交换机会去除VLAN 标签,并通过接入链路向终端发送无
标记帧。
总结划分VLAN 的作用如下。
(1)控制网络的广播,增加广播域的数量,减小广播域的范围。
(2)增强网络的安全性。在缺少路由的情况下,VLAN 之间不能直接通信,从而起到了
隔离作用,并提高了VLAN 中用户的安全性。VLAN 间的通信可通过应用访问控制列表,
来实现VLAN 间的安全通信。
(3)便于对网络进行管理和控制。
3.3.2 VLAN 划分方式
1.静态VLAN———基于端口
静态VLAN 又被称为基于端口的VLAN(port-basedVLAN),就是明确指定交换机各
端口属于哪个VLAN。如图3.4 所示,1、2 号端口指派给VLAN1,3、4 号端口指派给
VLAN2,这样接入端口1和2的终端就属于同一个广播域,即同一个虚拟局域网,而接入
�
计算机网络综合实训教程
32
端口3和4的终端就属于另一个虚拟局域网。这种方式的优点是管理简单,缺点是由于需
要一个个端口地指定,因此当网络中的计算机超过一定数量(比如数百台)后,设定操作就会
变得复杂。并且,客户端每次变更所连端口,都必须同时更改该端口所属VLAN 的设定,不
适合需要频繁改变拓扑结构的网络。
图3.4 基于端口的VLAN
2.动态VLAN
动态VLAN 是以终端设备来定义虚拟局域网,交换机端口因不同的接入终端改变所属
的VLAN。动态VLAN 可以分为3类:基于MAC地址的VLAN(MAC_basedVLAN)、
基于子网的VLAN(subnet_basedVLAN)、基于用户的VLAN(user_basedVLAN)。
(1)基于MAC地址的VLAN,是通过查询并记录端口所连计算机上网卡的MAC地址
来决定端口的所属的。假定有一个MAC地址A 被交换机设定为属于VLAN10,那么不论
这台MAC地址为A 的计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。
这种基于MAC地址的VLAN 缺点是在设定时必须调查所连接的所有计算机的MAC地址
并加以记录。如果计算机变换了网卡,还需要更改设定。
(2)基于子网的VLAN,是通过所连计算机的IP地址来决定端口所属VLAN 的。即
使计算机因为变换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍
可以加入原先设定的VLAN。
(3)基于用户的VLAN,是根据交换机各端口所连的计算机上当前登录的用户的,来决
定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比
如可以是Windows域中使用的用户名。这些用户名信息,属于OSI第四层以上的信息。
本实验主要学习基于端口的VLAN 划分方法和步骤。
3.3.3 VLAN 设置命令格式
(1)在单台交换机上配置VLAN 的基本步骤和主要命令如下。
① 创建VLAN:
Switch (config)#vlan vlan-id
Switch (config)#name vlan-name
�
实验3 VLAN 配置
33
② 将端口加入VLAN:
Switch (config-if)#switchport mode access
Switch (config-if)#switchport access vlan vlan-id
③ 检查的命令:
Switch#show vlan
(2)跨交换机配置VLAN 的基本步骤和主要命令如下。
① 在各交换机配置VLAN;
② 将端口加入VLAN;
③ 将交换机互联端口配置成trunk模式,建立trunk干线;
④ 检查。
其中配置trunk的基本步骤和主要命令如下。
① 进入接口配置命令模式;
② 选择封装类型(IEEE802.1q或ISL),默认为IEEE802.1q:
Switch(config-if)#switchport trunk encapsulation dot1q
③ 配置一个接口成为trunk:
Switch(config-if)#switchport mode trunk
④ 配置trunk允许通过的VLAN(默认允许全部):
Switch(config-if)#switchport trunk allowed vlan all
⑤ 在接口下用noshutdown命令激活trunk进程:
Switch(config-if)#no shutdown
3.4 单交换机VLAN 配置实验
3.4.1 实验准备
(1)根据图3.5的拓扑图1所示完成网络电缆连接。
图3.5 拓扑图1
�
计算机网络综合实训教程
34
(2)按表3.1完成终端设备的IP 地址配置。以PC0为例,其IP 地址配置如图3.6
所示。
表3.1 接口地址分配表1
设备名称接口IP地址子网掩码默认网关交换机端口VLAN
PC0 网卡192.168.1.2 255.255.255.0 192.168.1.1 Fa0/1 10
PC1 网卡192.168.1.3 255.255.255.0 192.168.1.1 Fa0/2 10
PC2 网卡192.168.2.2 255.255.255.0 192.168.2.1 Fa0/3 20
PC3 网卡192.168.2.3 255.255.255.0 192.168.2.1 Fa0/4 20
图3.6 PC0的IP地址配置
3.4.2 实验过程
步骤1
(1)配置交换机主机名为S1,命令如下:
switch(config)#hostname s1
(2)禁用DNS查找,命令如下:
s1(config)#no ip domain-lookup
步骤2
(1)在没有进行VLAN 配置的情况下,使用showvlan命令查看VLAN 情况,部分内
容如图3.7所示。
从图3.7 可知,在默认情况下,交换机已经创建了VLAN1,并且所有端口都属于
VLAN1,所以默认情况下交换机的所有端口处于同一个广播域,也就是同一个局域网段。
(2)在全局配置模式下使用vlanvlan-id命令将VLAN10和VLAN20添加到交换机
S1。并分别命名为management和guest,命令如下:
s1(config)#vlan 10
//创建VLAN,其vlan-id 值为10,并进入VLAN 配置模式,no vlan 10 命令删除vlan 10
s1(config-vlan)#name management //将VLAN 10 命名为management
�
实验3 VLAN 配置
35
图3.7 使用showvlan命令查看VLAN情况
s1(config-vlan)#exit
s1(config)#vlan 20
s1(config-vlan)#name guest
s1(config-vlan)#exit
(3)在特权用户配置模式下使用showvlan命令检验在S1上创建的VLAN,如图3.8
所示。
图3.8 在特权模式下使用showvlan命令
观察showvlan的结果,出现default、management和guest3个VLAN,其ID 分别为
1、10和20,其中default的端口为交换机的所有端口,而management和gues目前没有
端口。请
思考,这个现象说明了什么问题?
(4)在端口配置命令模式下将交换机端口分配给VLAN,命令如下:
s1(config)#interface range f0/1 - 2
//进入端口配置,使用range 参数实现了多端口的配置
s1(config-if-range)#switchport mode access
�
计算机网络综合实训教程
36
//设置端口工作模式为access,access 是交换机端口默认工作模式
s1(config-if-range)#switchport access vlan 10
//把f0/1 - 2 端口加入VLAN 10,no witchport access vlan 10 可以从VLAN 10 删除端口
s1(config-if-range)#exit
s1(config)#interface range f0/3 - 4
s1(config-if-range)#switchport mode access
s1(config-if-range)#switchport access vlan 20
(5)在特权用户配置模式下用showvlan命令检验在S1上已添加的端口。
问:哪些端口已经分配给VLAN10?
步骤3
配置管理VLAN。管理VLAN 是配置用于访问交换机管理功能的VLAN,默认将
VLAN1作为管理VLAN。通过为管理VLAN 分配IP地址和子网掩码,交换机可通过
HTTP、telnet、SSH 或SNMP进行管理。因为Cisco交换机的出厂配置将VLAN1作为默
认VLAN,所以将VLAN1 用作管理VLAN 不安全。在本实验中,将管理VLAN 配置为
VLAN99。IP地址为192.168.3.1,掩码为255.255.255.0,命令如下:
s1(config)#interface vlan 99
//将VLAN 99 看作一个接口进行配置
s1(config-if)#ip address 192.168.3.1 255.255.255.0
//配置IP 地址和掩码,以后对该交换机可以采用本地址进行远程访问
s1(config-if)#no shutdown
//激活接口
步骤4
(1)打开PC0的命令行窗口,执行ping192.168.1.3命令,观察结果。
(2)打开PC0的命令行窗口,执行ping192.168.2.3命令,观察结果。
根据观察到的现象,可以得到什么结论?
步骤5
s1#write //保存配置
3.5 跨交换机VLAN 配置实验
在VLAN 配置中,使用switchportmode命令来指定交换机端口(switchport)的工作
模式,其工作模式主要有accessport和trunkport两种(默认为access)。如果一个switch
port是access模式,则该接口只能为一个VLAN 的成员,这种接口又称为portVLAN;如
果一个switchport是trunk模式,则该接口可以是多个VLAN 的成员,这种配置被称为
tagVLAN。
为使跨越多台交换机的同一个VLAN 的成员能够相互通信,交换机之间互联用的端口
必须被设置为trunk模式,交换机之间可以传输多个VLAN 的信息的那条线缆被称为干线
(trunk),干线又称主干。
�
实验3 VLAN 配置
37
3.5.1 实验准备
步骤1
根据图3.9所示的拓扑图2完成网络电缆连接。
图3.9 拓扑图2
步骤2
按表3.2完成终端设备的IP地址配置。
表3.2 接口地址分配表2
设备名称交换机IP地址子网掩码默认网关交换机端口VLAN
PC0 S1 192.168.1.2 255.255.255.0 192.168.1.1 F0/1 10
PC1 S1 192.168.1.3 255.255.255.0 192.168.1.1 F0/2 10
PC2 S1 192.168.2.2 255.255.255.0 192.168.2.1 F0/3 20
PC3 S1 192.168.2.3 255.255.255.0 192.168.2.1 F0/4 20
PC4 S2 192.168.1.4 255.255.255.0 192.168.1.1 F0/1 10
PC5 S2 192.168.1.5 255.255.255.0 192.168.1.1 F0/2 10
PC6 S2 192.168.2.4 255.255.255.0 192.168.2.1 F0/3 20
PC7 S2 192.168.2.5 255.255.255.0 192.168.2.1 F0/4 20
3.5.2 实验过程
步骤1
(1)配置交换机主机名分别为S1和S2。
(2)在交换机S1 完成VLAN10 和VLAN20 的配置,并将端口F0/1、F0/2 移入
VLAN10,将端口F0/3、F0/4移入VLAN20。
(3)在交换机S2 完成VLAN10 和VLAN20 的配置,并将端口F0/1、F0/2 移入
VLAN10,将端口F0/3、F0/4移入VLAN20。
步骤2
(1)配置交换机S1,进入F0/24端口,设置该端口的工作模式为trunk,并允许所有
VLAN 帧通过该端口,命令如下:
s1(config)#interface f0/24
�
计算机网络综合实训教程
38
S2(config)#shutdown
S2(config)#switchport trunk encapsulation dot1q
//使用IEEE 802.1q 的帧格式封装端口所接收的数据帧
s1(config-if)#switchport mode trunk
//设置该交换机端口为trunk 模式,trunk 链路在交换机之间起到了VLAN 管道的作用,可以通过
//多个VLAN 数据
s1(config-if)#switchport trunk allowed vlan 10,20
//设置Trunk 端口允许通过的VLAN,若用参数all 则表示允许通过所有VLAN
S1(config-if)#no shutdown
s1(config-if)#exit
s1#write
(2)配置交换机S2,进入F0/24端口,设置该端口的工作模式为trunk,并允许所有
VLAN 帧通过该端口,命令如下:
S2(config)#interface f0/24
S2(config)#shutdown
S2(config)#switchport trunk encapsulation dot1q
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk allowed vlan all
S2(config-if)#no shutdown
S2(config-if)#exit
S2#write
(3)在交换机S1或者S2特权用户配置模式下输入showinterfacestrunk,请分析输出
结果。步
骤3
(1)在终端PC0中打开命令行窗口输入命令ping192.168.1.4,观察其结果。
(2)在终端PC0中打开命令行窗口输入命令ping192.168.2.4,观察其结果。
(3)分析以上(1)、(2)步的操作,可以得到什么结论?
�