文档文库

手机版

投诉建议

首页 > Vlan配置与管理

Vlan配置与管理

发布时间：2018-07-01 06:14:24 来源：文档文库

小中大

字号：

手机查看

实验名称：Vlan配置与管理

一实验目的：

1. 了解Vlan的相关概念

2. 掌握基于交换机的Vlan配置

3. 掌握多台交换机利用trunk联通多个Vlan的配置

二实验内容：

相关知识点：

什么是vlan？

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。

VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

VLAN具有以下优点：

a) 控制网络的广播风暴

采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

b) 确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

c) 简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

VLAN的分类主要有以下几种：

a) 基于端口的VLAN

基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。

b) 基于MAC地址的VLAN

由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上，该VLAN是一些MAC地址的集合。当设备移动时，VLAN能够自动识别。但当网络规模很大，设备很多时，会给管理带来难度并且影响设备效率。

c) 基于第3层的VLAN

基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。

本次实验着重讲解的是基于端口的VLAN配置方法。

什么是trunk？

在路由与交换领域，VLAN的端口聚合叫TRUNK或TRUNKING（前面我们学习的交换机端口聚合英文名称也叫trunk但是用途完全不同）。所谓的TRUNKING是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同，TRUNKING是基于OSI第二层的。假设没有TRUNKING技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。当交换机支持TRUNKING的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了上百个个VLAN也只用1个端口就解决了。

内容：

公司计财处和市场部分别有三台PC终端两部门合用一台交换机DCS3950-26c，公司基于安全的考虑，希望在不增加投入的情况下将两个部门在逻辑上进行分割，相互不能进行互访。

【解决方案】通过使用Vlan的安全特性，将一台交换机在逻辑上划分成两台相互不关联的交换机，从而使两个部门不能相互访问。

实验步骤：

（1）根据上面的拓扑图搭建网络实体环境，对每台PC终端进行IP地址的配置

（2）在各台终端之间使用ping 命令测试其相互间的连通性,验证示例如下

C:\Documents and Settings\陈>ping 192.168.1.4

Pinging 192.168.1.4 with 32 bytes of data:

Reply from 192.168.1.4: bytes=32 time=111ms TTL=128

Reply from 192.168.1.4: bytes=32 time=62ms TTL=128

Reply from 192.168.1.4: bytes=32 time=47ms TTL=128

Reply from 192.168.1.4: bytes=32 time=63ms TTL=128

Ping statistics for 192.168.1.4:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 47ms, Maximum = 111ms, Average = 70ms

（3）对交换机DCS3950-26c进行基于端口的VLAN设置

a) 创建vlan10和vlan20

Switch>

Switch>en

Switch#config t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#vlan 10 //创建vlan 10

Switch(config-vlan10)#exit

Switch(config)#vlan 20 //创建vlan20

Switch(config-vlan20)#exit

b) 检测创建的vlan是否生效

Switch#show vlan

switch#

switch#sh vlan

VLAN Name Type Media Ports

---- ------------ ---------- --------- ----------------------------------------

1 default Static ENET Ethernet0/0/1 Ethernet0/0/2

Ethernet0/0/3 Ethernet0/0/4

Ethernet0/0/5 Ethernet0/0/6

Ethernet0/0/7 Ethernet0/0/8

Ethernet0/0/9 Ethernet0/0/10

Ethernet0/0/11 Ethernet0/0/12

Ethernet0/0/13 Ethernet0/0/14

Ethernet0/0/15 Ethernet0/0/16

Ethernet0/0/17 Ethernet0/0/18

Ethernet0/0/19 Ethernet0/0/20

Ethernet0/0/21 Ethernet0/0/22

Ethernet0/0/23 Ethernet0/0/24

Ethernet0/0/25 Ethernet0/0/26

10 VLAN0010 Static ENET \\创建了vlan10

20 VLAN0020 Static ENET \\创建了vlan20

如图，我们已经创建了两个vlan，但2个vlan都没有进行端口绑定，所有的端口都归属与交换机的默认vlan1中

c) 将PC终端对应的交换机端口绑定到各自的vlan中，对于这个案例来说，我们将交换机的1、2、3端口绑定到vlan10中，4、5、6端口绑定到vlan20中

switch#

switch#config t \\进入全局模式

switch(Config)#int e0/0/1 \\进入第一个以太网口

switch(Config-Ethernet0/0/1)#switchport access vlan 10 \\将该端口绑定至vlan10

Set the port Ethernet0/0/1 access vlan 10 successfully \\交换机提示绑定成功

switch(Config-Ethernet0/0/1)#exit \\退出端口配置模式

switch(Config)#

同样的方法将2、3、4、5、6号终端绑定到不同的vlan中去。

d) 绑定完成之后,我们再次使用show vlan 命令来确定我们的交换机物理端口是否和vlan绑定成功

switch(Config)# exit

switch#show vlan

VLAN Name Type Media Ports

---- ------------ ---------- --------- ----------------------------------------

1 default Static ENET Ethernet0/0/7 Ethernet0/0/8

Ethernet0/0/9 Ethernet0/0/10

Ethernet0/0/11 Ethernet0/0/12

Ethernet0/0/13 Ethernet0/0/14

Ethernet0/0/15 Ethernet0/0/16

Ethernet0/0/17 Ethernet0/0/18

Ethernet0/0/19 Ethernet0/0/20

Ethernet0/0/21 Ethernet0/0/22

Ethernet0/0/23 Ethernet0/0/24

Ethernet0/0/25 Ethernet0/0/26

10 VLAN0010 Static ENET Ethernet0/0/1 Ethernet0/0/2

Ethernet0/0/3

20 VLAN0020 Static ENET Ethernet0/0/4 Ethernet0/0/5

Ethernet0/0/6

从上面的命令我们可以看出，vlan10和vlan20都分别绑定了相应的端口，此时交换机在逻辑上已经分为了两台无相不关联的交换机，对应不同vlan的交换机物理端口是相互之间不能互通的。

（4）检测实验配置结果，在部门用ping命令测试各台PC终端是否互联互通；跨部门用ping命令测试各台PC终端是否能互联互通，并将结果记录下来。

一、进阶练习：跨交换机的vlan划分

如下拓扑，公司的计财处和市场部现在由两个楼层交换机将两个部门互联，两个交换机用各自的24号端口进行级联，为了不增加布线成本，利用现有的两台交换机将两个部门在逻辑上进行分割，使得两个部门不能互相访问。

【解决方案】我们已经知道vlan可以在逻辑上将一台交换机划分成多台交换机用，但在上面的网络环境中，需要将两台交换机在逻辑上分割成四台交换机，这样就需要两条级联线和占用四个交换机端口用于级联，而实际环境中不允许我们用两条级联线来连接交换机。基于以上条件，我们可以使用trunk技术来解决这一问题。

实验步骤：

（1）如图搭建网络实体环境。将一楼交换机的2、3号端口划分到vlan10 ，一楼的4、5号端口划分到vlan20，二楼交换机的1号端口划分到vlan10，二楼交换机的6号端口划分到vlan20.完成了这步工作之后，楼层内部门内的PC终端可以相互通讯，但是跨楼层的pc终端并不能互联。

（2）使用trunk技术将两台交换机的vlan信息共享。这就需要我们在两台交换机的级联端口即本案例的交换机24号物理端口进行trunk设置

Switch(config)#int e0/0/24 //进入交换机的第24号物理端口

Switch(config-if)#switchport mode trunk //将端口设置为trunk模式

Switch(config-if)# switchport trunk allowed vlan all //允许所有的vlan信息通过该trunk

（3）用show vlan、show run等命令来查看vlan和trunk的信息，并记录。

（4）使用ping命令来测试跨交换机相同部门和不同部门的终端连通性

三实验结果：

实验第一次，都可以连接

实验第二次可以连接第1，2台，第4 ,5, 6台不可以连接

第三次实验

四课后习题：

（1）简述什么是IEEE802.1Q的数据封装及其作用。

（2）使用什么方式可以控制trunk允许通过某些vlan通过，试举例说明。

答: （1）802.1q是一种工业标准，所有的网络设备都能够识别的一种格式, IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域(Type Field)”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。802.1q使用的是在贞内部打入tag标记来插入他的标示符得共插入4个字节的数据. 802.1q帧标识过程可以同时工作在接入链路和中继链路上。

(2) 在默认状体下，Trunk端口允许所有的Vlan发送和接口传输信息。如果用户有可以控制trunk允许通过某些vlan通过的需求，则也可以调整相关的配置，来拒绝某些Vlan通过Trunk来传输。其配置主要有两个目标，一是限制其他Vlan对其访问，既限制B、C访问自A。二是限制自己对其他Vlan的访问，即限制A访问B、C。

第一步：对相关接口进行配置。首先跟前面接受的一样，需要对相关的接口进行配置。如需要先进入到全局配置模式(configure terminal);然后指定想要配置的接口(inerface inerface_id );然后将这个接口配置为trunkd端口(switchport mode trunk)。

第二步：配置trunk上允许或则禁止通信的列表。这个列表跟思科网络设备的访问控制列表类似。管理员可以在这个列表中添加允许通信的虚拟局域网、或者直接选择全部;当然也可以选择禁止通信的虚拟局域网。注意这里定义的Vlan列表可以使一个Vlan，也可以是一个Vlan组。在配置时，还需要注意一点，如同同时输入多个Vlan号码的时候，中间不要使用空格。否则的话，这个列表就无法正确识别Vlan。

第三步：返回到特权配置模式，并利用命令查看刚才的配置是否准确。如果准确的就保存相关的配置，然后进行必要的测试。这里需要注意一点，即在保存相关的配置之前，要确保原有的配置已经有了备份。万一测试的时候发现配置有问题，就可以通过恢复原有配置来迅速排除故障。

五实验体会与建议

通过本次实验掌握基于交换机的Vlan配置，了解Vlan的相关概念，掌握多台交换机利用trunk联通多个Vlan的配置，提高了动手能力，理论和实践相结合。

本文来源：https://www.2haoxitong.net/k/doc/5be7981255270722192ef7ed.html