Vlan配置與管理.doc

實(shí)驗(yàn)名稱：Vlan配置與管理一 實(shí)驗(yàn)?zāi)康模?. 了解Vlan的相關(guān)概念2. 掌握基于交換機(jī)的Vlan配置3. 掌握多臺(tái)交換機(jī)利用trunk聯(lián)通多個(gè)Vlan的配置二 實(shí)驗(yàn)內(nèi)容：相關(guān)知識(shí)點(diǎn)：什么是vlan？VLAN是英文Virtual Local Area Network的縮寫(xiě)，即虛擬局域網(wǎng)。一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò)VLAN用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。 VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來(lái)網(wǎng)絡(luò)發(fā)展的潮流。 VLAN與普通局域網(wǎng)從原理上講沒(méi)有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來(lái)看，VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個(gè)園區(qū)的任意位置，甚至位于不同的國(guó)家。 VLAN具有以下優(yōu)點(diǎn)： a) 控制網(wǎng)絡(luò)的廣播風(fēng)暴 采用VLAN技術(shù)，可將某個(gè)交換端口劃到某個(gè)VLAN中，而一個(gè)VLAN的廣播風(fēng)暴不會(huì)影響其它VLAN的性能。 b) 確保網(wǎng)絡(luò)安全 共享式局域網(wǎng)之所以很難保證網(wǎng)絡(luò)的安全性，是因?yàn)橹灰脩舨迦胍粋€(gè)活動(dòng)端口，就能訪問(wèn)網(wǎng)絡(luò)。而VLAN能限制個(gè)別用戶的訪問(wèn)，控制廣播組的大小和位置，甚至能鎖定某臺(tái)設(shè)備的MAC地址，因此VLAN能確保網(wǎng)絡(luò)的安全性。 c) 簡(jiǎn)化網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理員能借助于VLAN技術(shù)輕松管理整個(gè)網(wǎng)絡(luò)。例如需要為完成某個(gè)項(xiàng)目建立一個(gè)工作組網(wǎng)絡(luò)，其成員可能遍及全國(guó)或全世界，此時(shí)，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能在幾分鐘內(nèi)建立該項(xiàng)目的VLAN網(wǎng)絡(luò)，其成員使用VLAN網(wǎng)絡(luò)，就像在本地使用局域網(wǎng)一樣。 VLAN的分類主要有以下幾種： a) 基于端口的VLAN 基于端口的VLAN是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法，這實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備。 b) 基于MAC地址的VLAN 由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來(lái)劃分VLAN實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè)VLAN。事實(shí)上，該VLAN是一些MAC地址的集合。當(dāng)設(shè)備移動(dòng)時(shí)，VLAN能夠自動(dòng)識(shí)別。但當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時(shí)，會(huì)給管理帶來(lái)難度并且影響設(shè)備效率。 c) 基于第3層的VLAN 基于第3層的VLAN是采用在路由器中常用的方法：IP子網(wǎng)和IPX網(wǎng)絡(luò)號(hào)等。其中，局域網(wǎng)交換機(jī)允許一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對(duì)應(yīng)于多個(gè)子網(wǎng)。 本次實(shí)驗(yàn)著重講解的是基于端口的VLAN配置方法。什么是trunk？在路由與交換領(lǐng)域，VLAN的端口聚合叫TRUNK或TRUNKING（前面我們學(xué)習(xí)的交換機(jī)端口聚合英文名稱也叫trunk但是用途完全不同）。所謂的TRUNKING是用來(lái)在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊。其中交換機(jī)之間互聯(lián)用的端口就稱為T(mén)RUNK端口。與一般的交換機(jī)的級(jí)聯(lián)不同，TRUNKING是基于OSI第二層的。假設(shè)沒(méi)有TRUNKING技術(shù)，如果你在2個(gè)交換機(jī)上分別劃分了多個(gè)VLAN（VLAN也是基于Layer2的），那么分別在兩個(gè)交換機(jī)上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機(jī)上設(shè)為VLAN10的端口中取一個(gè)和交換機(jī)B上設(shè)為VLAN10的某個(gè)端口作級(jí)聯(lián)連接。VLAN20也是這樣。那么如果交換機(jī)上劃了10個(gè)VLAN就需要分別連10條線作級(jí)聯(lián)，端口效率就太低了。 當(dāng)交換機(jī)支持TRUNKING的時(shí)候，事情就簡(jiǎn)單了，只需要2個(gè)交換機(jī)之間有一條級(jí)聯(lián)線，并將對(duì)應(yīng)的端口設(shè)置為T(mén)runk，這條線路就可以承載交換機(jī)上所有VLAN的信息。這樣的話，就算交換機(jī)上設(shè)了上百個(gè)個(gè)VLAN也只用1個(gè)端口就解決了。Vlan20Vlan10Vlan10Vlan20如果有多個(gè)vlan跨交換機(jī)互聯(lián)就要用多條級(jí)聯(lián)線，浪費(fèi)了大量交換機(jī)的端口。采用了trunk技術(shù)之后，大大節(jié)省了交換機(jī)的級(jí)聯(lián)端口占用。內(nèi)容：公司計(jì)財(cái)處和市場(chǎng)部分別有三臺(tái)PC終端兩部門(mén)合用一臺(tái)交換機(jī)DCS3950-26c，公司基于安全的考慮，希望在不增加投入的情況下將兩個(gè)部門(mén)在邏輯上進(jìn)行分割，相互不能進(jìn)行互訪?！窘鉀Q方案】通過(guò)使用Vlan的安全特性，將一臺(tái)交換機(jī)在邏輯上劃分成兩臺(tái)相互不關(guān)聯(lián)的交換機(jī)，從而使兩個(gè)部門(mén)不能相互訪問(wèn)。 實(shí)驗(yàn)步驟：（1） 根據(jù)上面的拓?fù)鋱D搭建網(wǎng)絡(luò)實(shí)體環(huán)境，對(duì)每臺(tái)PC終端進(jìn)行IP地址的配置（2） 在各臺(tái)終端之間使用ping 命令測(cè)試其相互間的連通性,驗(yàn)證示例如下C:Documents and Settings陳ping 192.168.1.4Pinging 192.168.1.4 with 32 bytes of data:Reply from 192.168.1.4: bytes=32 time=111ms TTL=128Reply from 192.168.1.4: bytes=32 time=62ms TTL=128Reply from 192.168.1.4: bytes=32 time=47ms TTL=128Reply from 192.168.1.4: bytes=32 time=63ms TTL=128Ping statistics for 192.168.1.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 47ms, Maximum = 111ms, Average = 70ms（3） 對(duì)交換機(jī)DCS3950-26c進(jìn)行基于端口的VLAN設(shè)置a) 創(chuàng)建vlan10和vlan20SwitchSwitchenSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 10 /創(chuàng)建vlan 10Switch(config-vlan10)#exitSwitch(config)#vlan 20 /創(chuàng)建vlan20Switch(config-vlan20)#exitb) 檢測(cè)創(chuàng)建的vlan是否生效Switch#show vlanswitch#switch#sh vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 10 VLAN0010 Static ENET 創(chuàng)建了vlan1020 VLAN0020 Static ENET 創(chuàng)建了vlan20如圖，我們已經(jīng)創(chuàng)建了兩個(gè)vlan，但2個(gè)vlan都沒(méi)有進(jìn)行端口綁定，所有的端口都?xì)w屬與交換機(jī)的默認(rèn)vlan1中c) 將PC終端對(duì)應(yīng)的交換機(jī)端口綁定到各自的vlan中，對(duì)于這個(gè)案例來(lái)說(shuō)，我們 將交換機(jī)的1、2、3端口綁定到vlan10中，4、5、6端口綁定到vlan20中switch#switch#config t進(jìn)入全局模式switch(Config)#int e0/0/1進(jìn)入第一個(gè)以太網(wǎng)口switch(Config-Ethernet0/0/1)#switchport access vlan 10將該端口綁定至vlan10Set the port Ethernet0/0/1 access vlan 10 successfully交換機(jī)提示綁定成功switch(Config-Ethernet0/0/1)#exit退出端口配置模式switch(Config)# 同樣的方法將2、3、4、5、6號(hào)終端綁定到不同的vlan中去。d) 綁定完成之后,我們?cè)俅问褂胹how vlan 命令來(lái)確定我們的交換機(jī)物理端口是否和vlan綁定成功switch(Config)# exitswitch#show vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 10 VLAN0010 Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 20 VLAN0020 Static ENET Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 從上面的命令我們可以看出，vlan10和vlan20都分別綁定了相應(yīng)的端口，此時(shí)交換機(jī)在邏輯上已經(jīng)分為了兩臺(tái)無(wú)相不關(guān)聯(lián)的交換機(jī)，對(duì)應(yīng)不同vlan的交換機(jī)物理端口是相互之間不能互通的。（4） 檢測(cè)實(shí)驗(yàn)配置結(jié)果，在部門(mén)用ping命令測(cè)試各臺(tái)PC終端是否互聯(lián)互通；跨部門(mén)用ping命令測(cè)試各臺(tái)PC終端是否能互聯(lián)互通，并將結(jié)果記錄下來(lái)。一、 進(jìn)階練習(xí)：跨交換機(jī)的vlan劃分如下拓?fù)洌镜挠?jì)財(cái)處和市場(chǎng)部現(xiàn)在由兩個(gè)樓層交換機(jī)將兩個(gè)部門(mén)互聯(lián)，兩個(gè)交換機(jī)用各自的24號(hào)端口進(jìn)行級(jí)聯(lián)，為了不增加布線成本，利用現(xiàn)有的兩臺(tái)交換機(jī)將兩個(gè)部門(mén)在邏輯上進(jìn)行分割，使得兩個(gè)部門(mén)不能互相訪問(wèn)。一樓交換機(jī)二樓交換機(jī)【解決方案】我們已經(jīng)知道vlan可以在邏輯上將一臺(tái)交換機(jī)劃分成多臺(tái)交換機(jī)用，但在上面的網(wǎng)絡(luò)環(huán)境中，需要將兩臺(tái)交換機(jī)在邏輯上分割成四臺(tái)交換機(jī)，這樣就需要兩條級(jí)聯(lián)線和占用四個(gè)交換機(jī)端口用于級(jí)聯(lián)，而實(shí)際環(huán)境中不允許我們用兩條級(jí)聯(lián)線來(lái)連接交換機(jī)?；谝陨蠗l件，我們可以使用trunk技術(shù)來(lái)解決這一問(wèn)題。實(shí)驗(yàn)步驟：（1） 如圖搭建網(wǎng)絡(luò)實(shí)體環(huán)境。將一樓交換機(jī)的2、3號(hào)端口劃分到vlan10 ，一樓的4、5號(hào)端口劃分到vlan20，二樓交換機(jī)的1號(hào)端口劃分到vlan10，二樓交換機(jī)的6號(hào)端口劃分到vlan20.完成了這步工作之后，樓層內(nèi)部門(mén)內(nèi)的PC終端可以相互通訊，但是跨樓層的pc終端并不能互聯(lián)。（2） 使用trunk技術(shù)將兩臺(tái)交換機(jī)的vlan信息共享。這就需要我們?cè)趦膳_(tái)交換機(jī)的級(jí)聯(lián)端口即本案例的交換機(jī)24號(hào)物理端口進(jìn)行trunk設(shè)置Switch(config)#int e0/0/24 /進(jìn)入交換機(jī)的第24號(hào)物理端口Switch(config-if)#switchport mode trunk/將端口設(shè)置為trunk模式Switch(config-if)# switchport trunk allowed vlan all /允許所有的vlan信息通過(guò)該trunk（3） 用show vlan、show run等 命令來(lái)查看vlan和trunk的信息，并記錄。（4） 使用ping命令來(lái)測(cè)試跨交換機(jī)相同部門(mén)和不同部門(mén)的終端連通性三 實(shí)驗(yàn)結(jié)果：機(jī)號(hào)地址組合1192.168.1.1周宏遠(yuǎn)2192.168.1.2陳鑫 薛亮耀3192.168.1.3陳圓圓 宣露敏4192.168.1.4陳宗樹(shù) 何旋5192.168.1.5王澄國(guó)6192.168.1.6陳萍實(shí)驗(yàn)第一次，都可以連接實(shí)驗(yàn)第二次可以連接第1，2臺(tái)，第4 ,5, 6臺(tái)不可以連接第三次實(shí)驗(yàn)四 課后習(xí)題：（1） 簡(jiǎn)述什么是IEEE802.1Q的數(shù)據(jù)封裝及其作用。（2） 使用什么方式可以控制trunk允許通過(guò)某些vlan通過(guò)，試舉例說(shuō)明。答: （1）802.1q是一種工業(yè)標(biāo)準(zhǔn)，所有的網(wǎng)絡(luò)設(shè)備都能夠識(shí)別的一種格式, IEEE802.1Q所附加的VLAN識(shí)別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域(Type Field)”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計(jì)4字節(jié)。802.1q使用的是在貞內(nèi)部打入tag標(biāo)記來(lái)插入他的標(biāo)示符得 共插入4個(gè)字節(jié)的數(shù)據(jù). 802.1q幀標(biāo)識(shí)過(guò)程可以同時(shí)工作在接入鏈路和中繼鏈路上。(2) 在默認(rèn)狀體下，Trunk端口允許所有的Vlan發(fā)送和接口傳輸信息。如果用戶有可以控制trunk允許通過(guò)某些vlan通過(guò)的需求，則也可以調(diào)整相關(guān)的配置，來(lái)拒絕某些V