VlAN 虚拟局域网技术
VLAN(Virtual Local Area Network)是一种将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。VLAN能够隔离广播域,使得不同的VLAN之间不能直接互通。它可以根据网络用户的物理位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一个VLAN可以在一个交换机或者跨交换机实现。同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
VLAN技术有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。在配置VLAN时,需要将设备逻辑地划分到不同的组中,使得同一组中的设备能够相互通信,不同组的设备则不能直接通信。这种逻辑分段不受物理位置限制,可以根据用户需求进行灵活的网络分段。
Access端口 工作原理
Access 接口是交换机上用来连接用户主机的接口。
- 当Access 接口从主机上收到一个不带 Vlan 标签的数据帧时,会给数据帧加上与 PVID 一致的Vlan 标签(PVID 可以手工配置,默认情况下交换机的所有接口的PVID 都是1)
- 当Access 接口要发送一个带有Vlan标签的数据帧给主机时,首先会检查该数据帧的Vlan ID 是否与自己的 PVID 相同,若相同,则去掉该 Vlan 标签后发送给主机,否则,则丢弃掉该数据帧。
主机可以识别的只有 以太网帧,不识别 802.1q帧(即带有Vlan 标签的以太网帧)
Trunk端口 工作原理
Trunk 端口一般用于交换机之间连接的端口,可以接收和发送多个Vlan的报文。
- 当Trunk 端口接收到数据帧时,如果该帧不包含802.1q的vlan标签,则将打上该Trunk端口的PVID,如果该帧包含802.1q的vlan标签,则不改变。
- 当Trunk端口发送数据帧时,当该所发送帧的VLAN ID 与端口的PVID不同时,检查是否允许该Vlan 通过,若允许的话之间透传,不允许的话就之间丢弃。当该帧的VLAN ID 与 端口的PVID相同时,则剥离VlAN标签后转发。
简单实验
(一)划分不同Vlan,实现vlan内部通信
拓朴图
要求:在一个公司内部的局域网,每个部门属于不同的Vlan,只有部门内部之间才可以通信。
主机IP 配置
PC2,PC3,PC4,PC5以此类推(IP地址在拓扑图已经给出),配置每台主机时,记得点击应用
配置完成每台主机后,先启动一下设备,测试下ip是否配置正确,即每台主机是否能够相互ping通。(因为这个拓朴图的每台主机的ip是处于同一网段的,默认情况下在当前局域网内部都可以ping通,划分vlan后才会隔离广播域)。
我这里拿 PC1 进行了对每台主机的ping ,都通了,那么接下来开始配置 Vlan,按照我们的需求,每个部门内部才可以通信去划分vlan.
划分Vlan
- LSW1
system-view # 进入系统视图
sysname LSW1 # 给交换机命名,以示区分
undo info-center enable # 忽略ensp弹出的一些提示信息
vlan 10 # 创建vlan
vlan 20
interface Ethernet 0/0/1 # 进入到接口 e0/0/1中
port link-type access # 设置接口类型为access口
port default vlan 10 # 设置接口默认的vlan 为vlan 10
quit
interface Ethernet 0/0/2
port link-type access
port default vlan 10
quit
interface Ethernet 0/0/3
port link-type access
port default vlan 20
quit
display vlan # 查看当前的vlan 配置信息
- LSW2
system-view
sysname LSW2
undo info-center enable
vlan batch 30 50 # 批量创建vlan
int e0/0/1 # 进入到接口 e0/0/1中
port link-type access #设置接口类型为access
port default vlan 30 #设置e0/0/1的默认vlan
quit
int e0/0/2
port link-type access
port default vlan 50
quit
display vlan # 查看vlan配置信息
ping 测试
(二)跨交换机实现VLAN间通信
拓扑图
配置主机IP
LSW1的配置
system-view
sysname LSW1
undo info-center enable # 去除提示信息
vlan batch 10 20
int e0/0/2
port link-type access
port default vlan 10
quit
int e0/0/3
port link-type access
port default vlan 20
quit
int e0/0/1
prot link-type trunk
prot trunk allow-pass vlan 10 20
quit
display vlan
LSW2的配置
system-view
sysname LSW2
undo info-center enable # 去除提示信息
vlan batch 10 20
int e0/0/3
port link-type access
port default vlan 10
quit
int e0/0/4
port link-type access
port default vlan 20
quit
int e0/0/2
prot link-type trunk
prot trunk allow-pass vlan 10 20
quit
display vlan
LSW3的配置
system-view
sysname LSW3
undo info-center enable # 去除提示信息
vlan batch 10 20
int g0/0/1
prot link-type trunk
prot trunk allow-pass vlan all # 将g0/0/1允许的vlan设置为 2-4094即全部可以分配的vlan
quit
int g0/0/2
prot link-type trunk
prot trunk allow-pass vlan all
quit
display port vlan # 查看端口配置的vlan信息
ping 测试
使用PC1ping其他主机,只有PC3是可以ping通的(其他的也测试下),说明实验成功。
