计算机网络 vlan

Posted 2023-04-19 zhende

目录

一、vlan的概念

二、vlan的优势

三、vlan的种类

四、静态vlan的配置

五、trunk的概念和配值

六、实验

 

 

 

 

一、vlan的概念

　　在传统的以太网中，所有的用户都是同一个广播域，当数据包在传输时，会不停的发送广播，会造成资源浪费和信息臃肿，未来资源的节约，

需要将广播域分开，所有划分广播域可以有物理划分，和逻辑划分，但是物理划分的成本过高，路由器价格昂贵，所以大多数采用逻辑划分，即vlan，

虚拟局域网

二、vlan的优势

　　1.控制广播，将大的广播域划分成小的广播域，小的广播域占用资源小，一个小广播域的事情不会影响其他广播域

　　2.增强网络安全性，不同的vlan是不可以随便访问，不同的vlan是由限制

　　3.简化网络管理，减少了网络设备，降低了管理难度

三、vlan的种类

　　1.静态vlan：静态vlan是基于端口的vlan，规定交换机的端口是哪一个vlan，这样主机不同，只要接入端口，就被分配到这个vlan

　　2.动态vlan：基于mac地址的vlan,是通过录入mac地址来分配vlan，这样的vlan适用于小群体用户，不可大量使用

四、静态vlan的配置

　　静态vlan的配置步骤：

　　　　1.建立vlan

　　　　　例子：vlan batch vlan 10  //建立vlan10

　　　　2.设置端口模式（access：交换机和终端的连接，trunk：交换机和交换机之间的连接）

　　　　　例子：port link-type access //设置端口模式为access

　　　　3.将端口加入vlan

　　　　   例子：port  default vlan 10 //加入vlan 10

五、trunk的概念和配值

　　概念：用来让同一个vlan可以跨交换机通信

　　trunk可以允许多条不同vlan通过，效率高

　　配置例子：

　　　　port link-type trunk//设置端口属性为trunk

　　　　port trunk allow-pass vlan all//设置可以通过所以vlan

六、实验

实验：

　　实验目的：1.pc2和pc1为vlan10，pc3和pc4为vlan20，同一vlan可以通信，不同vlan不可以通信

　　　　　　　2.服务器1为vlan10，服务器2为vlan20，pc1可以访问服务1，不可以访问服务器2

 SW1配置：

　#

　vlan batch 10 20 //创建vlan10和vlan20

　int g0/0/1  //进入g1接口

　port link-type access //设置端口模式为access

　port default vlan 10 //将g1接口设置成vlan 10

　

　int g0/0/2 //进入g2接口

　port link-type access //设置端口模式为access

　port default vlan 10 //将g2接口设置成vlan 10

 

　port-group 1 //进入1组

　group-member g0/0/3 to g0/0/4 //将g3接口到g4接口加入1组

　pork link-type access //设置端口模式为access

　port default vlan 20 //设置成vlan20

　

　int g0/0/5 //进入g5接口

　port link-type trunk  //设置端口模式为trunk

    port trunk allow-pass vlan all //将g5端口设置为所有vlan都可以通过

　

　配置完sw1后，可以pc1ping192.168.1.1，可以看到是可以ping通的，pc1和pc2在同一个vlan

　

 ping192.168.1.4，是不能ping通的

 pc3ping192.168.1.4，是可以ping通的，pc3和pc4在同一个vlan

 接下来是配置SW2

#

vlan batch 10 20 //创建vlan10和vlan20

int g0/0/1 //进入g1接口

port link-type access //设置端口属性为access

port default vlan 10 //将接口g1设置为vlan10

 

int g0/0/2 //进入g2接口

port link-type access//设置端口属性为access

port default vlan 20 //将接口g2设置为vlan20

 

int g0/0/3 //进入g3接口

port link-type trunk //设置端口属性为trunk

port trunk allow-pass vlan all//设置为所有vlan都可以通过

 

现在服务器1为vlan10，服务器2为vlan20，用pc2ping192.168.1.100

 是可以ping通的，说明pc1和pc2以及服务器1都是vlan10的，

接下来用pc3ping192.168.1.200

 是可以ping通的，说明pc3和pc4以及服务器2都是在vlan20里

最后用pc2ping192.168.1.200，

是无法ping通的，因为两者不是同一vlan

 

计算机网络实验：VLAN组建

CONTENTS

• 一、VLAN基础理论
• 二、VLAN标签
• 三、VLAN的链路类型和端口类型
• • • Access链路及Access端口
    • Trunk链路及Trunk端口
• 四、VLAN的划分方式
• • • 基于端口号划分
    • 基于MAC地址划分
    • 基于子网划分
    • 基于协议划分
    • 基于策略划分
• 五、使用华为交换机实现基于端口号的VLAN组建

一、VLAN基础理论

VLAN（Virtual Local Area Network，虚拟局域网），交换机中最重要和最常用的一项技术。其核心是通过交换设备，在网络物理结构的基础上构建逻辑网络，使网络中的任意节点都能够根据需要组成一个逻辑局域网。
VLAN组网技术有高速、灵活、易于扩展和管理的特点。

二、VLAN标签

VLAN是二层协议，划分VLAN之后会在二层数据帧中打上所属VLAN的标签，用来指示VLAN的成员，它封装在能够穿越局域网的帧里。

比如VLAN标签“802.1q Tag”字段包含4个子字段：

• TPID：标签协议标识符，表明这是一个添加了802.1q标签的帧
• PRI：优先级字段，用于交换机阻塞时优先发送哪个数据帧
• CFI：标准格式指示器，用来标识MAC地址在传输介质中是否以标准格式进行封装，取值为0表示MAC地址为标准格式封装
• VID：VLAN标志字段，指明VLAN的ID，实际有效取值范围1~4095

三、VLAN的链路类型和端口类型

对于带有 Tag 的 VLAN i 帧，i 就是 Tag 中 VID 字段的取值，交换机可以根据VID值判定属于哪个 VLAN。每一个交换机的端口都应该配置一个PVID（Port VLAN ID），到达这个端口的 Untagged 帧将一律添加 VID 为 PVID 的 VLAN 标签，默认情况下PVID为1。一台交换机内部运动的帧肯定是 Tagged 帧。

Access链路及Access端口

Access链路：交换机与终端计算机直连的链路
Access端口：Access链路上交换机一侧的端口

Access 链路上运动的帧只能是Untagged帧，这些帧只属于特定VLAN。Access端口收到Untagged 帧后交换机会在这个帧中添加VID为PVID的Tag然后进行转发。如果收到Tagged帧，交换机检查其VID是否与PVID相同，若相同则转发，若不相同则直接丢弃。

数据帧在Access链路及端口上的处理过程如图所示

Trunk链路及Trunk端口

Trunk链路上运动的只能是Tagged帧，并且这些帧可以属于不同VLAN。对于每一个Trunk端口，除了要配置PVID，还必须配置允许通过的VLAN ID列表。

数据帧在Trunk链路及Trunk端口的处理过程如图所示

四、VLAN的划分方式

VLAN划分的主要目的就是限制和缩小广播域。常用划分方式为基于端口号、基于MAC地址、基于子网、基于协议和基于策略。

基于端口号划分

基于端口号的划分方式是最常用的。其思路是把交换机的端口指定到具体的VLAN，即给交换机每个二层端口配置不同的PVID（一个端口默认属于的VLAN），这种划分方式只和交换机端口有关，可以看做是交换机端口和VLAN之间的映射。

• 优点：配置过程简单，最常用
• 缺点：配置不够灵活，当VLAN中的成员所连接的端口发生变化是需要重新配置VLAN。

基于MAC地址划分

基于MAC地址划分是一种动态的VLAN划分方式。其思想是吧用户计算机网卡上的MAC地址配置与某个VLAN进行关联。网络管理员需要事先配置MAC地址和VLAN ID映射关系表。（该划分方式只能在Hybird交换机端口上进行）

• 优点：用户变化物理位置时，不需要重新划分VLAN，提高了终端用户的安全性和接入的灵活性。
• 缺点：对拥有大量终端的网络来说，初始配置工作量较大。

基于子网划分

根据用户主机网卡IP地址所在IP网段进行划分，需要事先配置IP地址和VLAN ID映射关系表。

• 优点：大大减少了人工配置VLAN的工作量，同时保证用户自由的增加、移动和修改。
• 缺点：交换机需要解析源IP地址并进行对应转换，导致交换机响应速度较慢。

基于协议划分

根据用户主机运行的网络层协议划分，需要配置“协议”字段和VID字段的映射关系表。

• 优点：大大减少了人工配置VLAN的工作量，同时保证用户自由的增加、移动和修改。
• 缺点：交换机需要分析各种协议的地址格式并进行对应转换，导致交换机响应速度较慢。

基于策略划分

根据用户安全策略划分。主要包括基于MAC地址+IP地址组合策略和基于MAC地址+IP地址+端口号组合策略。

• 优点：安全性非常高，禁止用户改变IP地址或MAC地址
• 缺点：针对每一条策略都需要手工配置，VLAN较多时工作量大。

五、使用华为交换机实现基于端口号的VLAN组建

打开华为eNSP，新建一个拓扑，至少包含2个S3700交换机和4台PC主机，每台S3700与两台PC相连。

给四台PC配置不同的的IP地址，如

启动设备，双击交换机LSW1打开命令行窗口

（1）进入系统视图，设置交换机提示符

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname switchA
[switchA]

（2）进入接口视图设置端口类型

设置端口类型
port link-type access/trunk/hybrid

[switchA]interface Ethernet 0/0/1
[switchA-Ethernet0/0/1]port link-type access
[switchA-Ethernet0/0/1]
[switchA]interface Ethernet 0/0/2
[switchA-Ethernet0/0/2]port link-type access
[switchA-Ethernet0/0/2]
[switchA]interface Ethernet 0/0/3
[switchA-Ethernet0/0/3]port link-type trunk
[switchA-Ethernet0/0/3]

（3）给Access端口划分VLAN

[switchA]vlan 2    //创建VLAN
[switchA-vlan2]port Ethernet 0/0/1
[switchA-vlan2]
[switchA]vlan 3
[switchA-vlan3]port Ethernet 0/0/2
[switchA-vlan3]

（4）给Trunk端口设置允许通过的VLAN

[switchA]interface Ethernet 0/0/3
[switchA-Ethernet0/0/3] port trunk allow-pass vlan 2 to 3
[switchA-Ethernet0/0/3]

LSW1交换机的基于端口号划分VLAN配置结束。LSW2交换机的配置方法相同。