VLAN的划分

                    目录

实验目标:

实验背景:

实验原理:

实验拓扑:

实验步骤:

实验总结:


实验目标:

  1. 了解交换机划分VLAN的优点;
  2. 理解VLAN的工作原理;
  3. 学会对交换机划分VLAN;

实验背景:

在一个大的局域网,如校园网和企业网,这些大局域网里有不同的工作岗位。理论上,一个局域网属于同一个网络,它们中的任意一台主机都可以与其他主机通信。但在实际生活中,一个大企业或校园网里有些小部门的网络的安全就比其他小部门的网络安全要求要高(比如财务部门)。这些小部门希望有自己独立的一个局域网,如果工程上对这些小部门重新独立搭建一个专用的局域网就会加大工程难度,而且浪费成本。为解决这个问题,虚拟局域网(virtual LAN)便产生了。

实验原理:

虚拟局域网(VLAN)是将一个大的局域网分割成几个虚拟的局域网,一旦分割,这些虚拟的局域网就像真实的局域网一般,它们之间的主机就不能直接通过二层设备通信了,若需它们通信,只能通过三层设备才能实现通信,这在某种程度上提高了各虚拟局域网络间的安全性。VLAN是在交换机上进行配置的,交换机划分VLAN有多种方式,常见的有基于端口划分、基于MAC地址划分和基于IP策略划分等。本实验就基于端口划分VLAN为例来说明。对于其他的划分方式,读者可以参看其他相关专业书籍。

交换机的初始状态下默认就存在一个VLAN,交换机的所有端口均在这个VLAN下。在思科交换机中,这个默认的VLAN称作本征VLAN,在命令行里查看显示是VLAN 1。配置VLAN时,交换机与交换机相连的时候,对相连的线路要配置应该设置为干道(trunk)模式,干道模式即表示两方交换机的所有VLAN均可通过这条干道通过,这里需要注意思科交换机与华为交换机干道模式的细微区别,思科交换机默认干道模式下允许所有VLAN通过,而华为交换机默认干道模式下只允许默认的本征VLAN通过(若需允许所有VLAN通过,还需用相关命令开启)。交换机的数据帧通过VLAN干道传送到另外一台交换机前需要打上一个VLAN标记,数据包到达另外一台交换机时再拆开这个标记,这样交换机才能识别这个数据帧是属于哪个VLAN的。给数据帧打标记需要对数据帧重新封装。封装协议有两种,一种是国际IEEE组织公认的802.1q协议,一种是思科专有的ISL协议。思科19系列交换机只支持ISL封装协议,29系列交换机只支持dot1q协议。

实验拓扑:

                                                      

 

如拓扑图所示,两台2960交换机三层交换机3560用交叉线相连,2960交换机上各接两台主机。将PC1与PC3划分到VLAN 2,PC2与PC4划分到VLAN 3。

实验步骤:

  1. 按照拓扑图搭建好网络环境,对各PC配置好IP地址。
  2. 现在PC间的IP地址均属于一个网段,可以测试,它们可以相互通信,在此不给出测试样例。
  3. 对交换机划分VLAN,将交换机(1,2)的Fa0/1端口划分到VLAN 2(它们的Fa0/1连接的是PC1和PC3),将Fa0/2划分到VLAN 3。由于两台2960交换机配置均一样,在此就给出一个配置样例。
Switch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#vlan 3Switch(config-vlan)#exitSwitch(config)#int fa0/1Switch(config-if)#switchport access vlan 2Switch(config-if)#switchport mode accessSwitch(config-if)#exitSwitch(config)#int fa0/2Switch(config-if)#switchport access vlan 3Switch(config-if)#switchport mode accessSwitch(config-if)#exit

 

4.对两台2960交换机的Fa0/3端口配置干道模式,并允许所有VLAN通过,三层交换机的Fa0/1和Fa0/2端口也设置成干道模式,并封装802.1q协议(实际工程中,交换机端口配置干道模式均要封装协议,由于模拟器的限制,模拟器中2960交换机不能封装,这里不影响实验)。

Switch(config)#int fa0/3Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan all3560_Switch(config)#int fa0/13560_Switch(config-if)#switchport trunk encapsulation dot1q3560_Switch(config-if)#switchport mode trunk3560_Switch(config-if)#switchport trunk allowed vlan all3560_Switch(config)#int fa0/23560_Switch(config-if)#switchport trunk encapsulation dot1q3560_Switch(config-if)#switchport mode trunk3560_Switch(config-if)#switchport trunk allowed vlan all3560_Switch(config-if)#exit

 

5.在PC1上测试到PC2、PC3和PC4的连通性,可以发现PC1只能与PC3连通。

PC>ping 192.168.1.2Pinging 192.168.1.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.1.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)PC>ping 192.168.1.3Pinging 192.168.1.3 with 32 bytes of data:Reply from 192.168.1.3: bytes=32 time=1ms TTL=128Reply from 192.168.1.3: bytes=32 time=0ms TTL=128Reply from 192.168.1.3: bytes=32 time=0ms TTL=128Reply from 192.168.1.3: bytes=32 time=0ms TTL=128Ping statistics for 192.168.1.3:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 1ms, Average = 0msPC>ping 192.168.1.4Pinging 192.168.1.4 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.1.4:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

6.在PC2上测试到PC1、PC3和PC4上的连通性,可以发现PC2只能与PC4连通。由此可知交换机划分了VLAN,阻隔了原来同一个网段的主机通信。

PC>ping 192.168.1.1Pinging 192.168.1.1 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.1.1:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)PC>ping 192.168.1.3Pinging 192.168.1.3 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.1.3:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)PC>ping 192.168.1.4Pinging 192.168.1.4 with 32 bytes of data:Reply from 192.168.1.4: bytes=32 time=12ms TTL=128Reply from 192.168.1.4: bytes=32 time=0ms TTL=128Reply from 192.168.1.4: bytes=32 time=0ms TTL=128Reply from 192.168.1.4: bytes=32 time=0ms TTL=128Ping statistics for 192.168.1.4:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 12ms, Average = 3ms

实验总结:

  1. VLAN可以将局域网划分为若干虚拟局域网,本实验为说明VLAN能阻隔原来同一网段的主机通信,特将所有PC的IP地址置于同一网段,在实际工程项目里,不同的VLAN会有不同的网段IP地址划分,这样可以便于管理。
  2. 每创建一个VLAN就相当于创建了一个新的广播域,它可以减少广播冲突,也提高了安全性。
  3. VLAN的干道实际上就是对数据帧加一个标记以便区分数据帧属于哪个VLAN,数据帧进入干道前加上标记封装,数据帧从干道出来后取出标记解封装。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注