Vlan配置與管理.doc

實驗名稱：Vlan配置與管理一 實驗?zāi)康模?. 了解Vlan的相關(guān)概念2. 掌握基于交換機的Vlan配置3. 掌握多臺交換機利用trunk聯(lián)通多個Vlan的配置二 實驗內(nèi)容：相關(guān)知識點：什么是vlan？VLAN是英文Virtual Local Area Network的縮寫，即虛擬局域網(wǎng)。一方面，VLAN建立在局域網(wǎng)交換機的基礎(chǔ)之上；另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因為通過VLAN用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進行分配，而無需考慮物理連接方式。 VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。 VLAN與普通局域網(wǎng)從原理上講沒有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來看，VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個園區(qū)的任意位置，甚至位于不同的國家。 VLAN具有以下優(yōu)點： a) 控制網(wǎng)絡(luò)的廣播風(fēng)暴 采用VLAN技術(shù)，可將某個交換端口劃到某個VLAN中，而一個VLAN的廣播風(fēng)暴不會影響其它VLAN的性能。 b) 確保網(wǎng)絡(luò)安全 共享式局域網(wǎng)之所以很難保證網(wǎng)絡(luò)的安全性，是因為只要用戶插入一個活動端口，就能訪問網(wǎng)絡(luò)。而VLAN能限制個別用戶的訪問，控制廣播組的大小和位置，甚至能鎖定某臺設(shè)備的MAC地址，因此VLAN能確保網(wǎng)絡(luò)的安全性。 c) 簡化網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理員能借助于VLAN技術(shù)輕松管理整個網(wǎng)絡(luò)。例如需要為完成某個項目建立一個工作組網(wǎng)絡(luò)，其成員可能遍及全國或全世界，此時，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能在幾分鐘內(nèi)建立該項目的VLAN網(wǎng)絡(luò)，其成員使用VLAN網(wǎng)絡(luò)，就像在本地使用局域網(wǎng)一樣。 VLAN的分類主要有以下幾種： a) 基于端口的VLAN 基于端口的VLAN是劃分虛擬局域網(wǎng)最簡單也是最有效的方法，這實際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備。 b) 基于MAC地址的VLAN 由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來劃分VLAN實際上是將某些工作站和服務(wù)器劃屬于某個VLAN。事實上，該VLAN是一些MAC地址的集合。當(dāng)設(shè)備移動時，VLAN能夠自動識別。但當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時，會給管理帶來難度并且影響設(shè)備效率。 c) 基于第3層的VLAN 基于第3層的VLAN是采用在路由器中常用的方法：IP子網(wǎng)和IPX網(wǎng)絡(luò)號等。其中，局域網(wǎng)交換機允許一個子網(wǎng)擴展到多個局域網(wǎng)交換端口，甚至允許一個端口對應(yīng)于多個子網(wǎng)。 本次實驗著重講解的是基于端口的VLAN配置方法。什么是trunk？在路由與交換領(lǐng)域，VLAN的端口聚合叫TRUNK或TRUNKING（前面我們學(xué)習(xí)的交換機端口聚合英文名稱也叫trunk但是用途完全不同）。所謂的TRUNKING是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯(lián)用的端口就稱為TRUNK端口。與一般的交換機的級聯(lián)不同，TRUNKING是基于OSI第二層的。假設(shè)沒有TRUNKING技術(shù)，如果你在2個交換機上分別劃分了多個VLAN（VLAN也是基于Layer2的），那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機上設(shè)為VLAN10的端口中取一個和交換機B上設(shè)為VLAN10的某個端口作級聯(lián)連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯(lián)，端口效率就太低了。 當(dāng)交換機支持TRUNKING的時候，事情就簡單了，只需要2個交換機之間有一條級聯(lián)線，并將對應(yīng)的端口設(shè)置為Trunk，這條線路就可以承載交換機上所有VLAN的信息。這樣的話，就算交換機上設(shè)了上百個個VLAN也只用1個端口就解決了。Vlan20Vlan10Vlan10Vlan20如果有多個vlan跨交換機互聯(lián)就要用多條級聯(lián)線，浪費了大量交換機的端口。采用了trunk技術(shù)之后，大大節(jié)省了交換機的級聯(lián)端口占用。內(nèi)容：公司計財處和市場部分別有三臺PC終端兩部門合用一臺交換機DCS3950-26c，公司基于安全的考慮，希望在不增加投入的情況下將兩個部門在邏輯上進行分割，相互不能進行互訪?！窘鉀Q方案】通過使用Vlan的安全特性，將一臺交換機在邏輯上劃分成兩臺相互不關(guān)聯(lián)的交換機，從而使兩個部門不能相互訪問。 實驗步驟：（1） 根據(jù)上面的拓撲圖搭建網(wǎng)絡(luò)實體環(huán)境，對每臺PC終端進行IP地址的配置（2） 在各臺終端之間使用ping 命令測試其相互間的連通性,驗證示例如下C:Documents and Settings陳ping 192.168.1.4Pinging 192.168.1.4 with 32 bytes of data:Reply from 192.168.1.4: bytes=32 time=111ms TTL=128Reply from 192.168.1.4: bytes=32 time=62ms TTL=128Reply from 192.168.1.4: bytes=32 time=47ms TTL=128Reply from 192.168.1.4: bytes=32 time=63ms TTL=128Ping statistics for 192.168.1.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 47ms, Maximum = 111ms, Average = 70ms（3） 對交換機DCS3950-26c進行基于端口的VLAN設(shè)置a) 創(chuàng)建vlan10和vlan20SwitchSwitchenSwitch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 10 /創(chuàng)建vlan 10Switch(config-vlan10)#exitSwitch(config)#vlan 20 /創(chuàng)建vlan20Switch(config-vlan20)#exitb) 檢測創(chuàng)建的vlan是否生效Switch#show vlanswitch#switch#sh vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 10 VLAN0010 Static ENET 創(chuàng)建了vlan1020 VLAN0020 Static ENET 創(chuàng)建了vlan20如圖，我們已經(jīng)創(chuàng)建了兩個vlan，但2個vlan都沒有進行端口綁定，所有的端口都歸屬與交換機的默認vlan1中c) 將PC終端對應(yīng)的交換機端口綁定到各自的vlan中，對于這個案例來說，我們 將交換機的1、2、3端口綁定到vlan10中，4、5、6端口綁定到vlan20中switch#switch#config t進入全局模式switch(Config)#int e0/0/1進入第一個以太網(wǎng)口switch(Config-Ethernet0/0/1)#switchport access vlan 10將該端口綁定至vlan10Set the port Ethernet0/0/1 access vlan 10 successfully交換機提示綁定成功switch(Config-Ethernet0/0/1)#exit退出端口配置模式switch(Config)# 同樣的方法將2、3、4、5、6號終端綁定到不同的vlan中去。d) 綁定完成之后,我們再次使用show vlan 命令來確定我們的交換機物理端口是否和vlan綁定成功switch(Config)# exitswitch#show vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 10 VLAN0010 Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 20 VLAN0020 Static ENET Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 從上面的命令我們可以看出，vlan10和vlan20都分別綁定了相應(yīng)的端口，此時交換機在邏輯上已經(jīng)分為了兩臺無相不關(guān)聯(lián)的交換機，對應(yīng)不同vlan的交換機物理端口是相互之間不能互通的。（4） 檢測實驗配置結(jié)果，在部門用ping命令測試各臺PC終端是否互聯(lián)互通；跨部門用ping命令測試各臺PC終端是否能互聯(lián)互通，并將結(jié)果記錄下來。一、 進階練習(xí)：跨交換機的vlan劃分如下拓撲，公司的計財處和市場部現(xiàn)在由兩個樓層交換機將兩個部門互聯(lián)，兩個交換機用各自的24號端口進行級聯(lián)，為了不增加布線成本，利用現(xiàn)有的兩臺交換機將兩個部門在邏輯上進行分割，使得兩個部門不能互相訪問。一樓交換機二樓交換機【解決方案】我們已經(jīng)知道vlan可以在邏輯上將一臺交換機劃分成多臺交換機用，但在上面的網(wǎng)絡(luò)環(huán)境中，需要將兩臺交換機在邏輯上分割成四臺交換機，這樣就需要兩條級聯(lián)線和占用四個交換機端口用于級聯(lián)，而實際環(huán)境中不允許我們用兩條級聯(lián)線來連接交換機。基于以上條件，我們可以使用trunk技術(shù)來解決這一問題。實驗步驟：（1） 如圖搭建網(wǎng)絡(luò)實體環(huán)境。將一樓交換機的2、3號端口劃分到vlan10 ，一樓的4、5號端口劃分到vlan20，二樓交換機的1號端口劃分到vlan10，二樓交換機的6號端口劃分到vlan20.完成了這步工作之后，樓層內(nèi)部門內(nèi)的PC終端可以相互通訊，但是跨樓層的pc終端并不能互聯(lián)。（2） 使用trunk技術(shù)將兩臺交換機的vlan信息共享。這就需要我們在兩臺交換機的級聯(lián)端口即本案例的交換機24號物理端口進行trunk設(shè)置Switch(config)#int e0/0/24 /進入交換機的第24號物理端口Switch(config-if)#switchport mode trunk/將端口設(shè)置為trunk模式Switch(config-if)# switchport trunk allowed vlan all /允許所有的vlan信息通過該trunk（3） 用show vlan、show run等 命令來查看vlan和trunk的信息，并記錄。（4） 使用ping命令來測試跨交換機相同部門和不同部門的終端連通性三 實驗結(jié)果：機號地址組合1192.168.1.1周宏遠2192.168.1.2陳鑫 薛亮耀3192.168.1.3陳圓圓 宣露敏4192.168.1.4陳宗樹 何旋5192.168.1.5王澄國6192.168.1.6陳萍實驗第一次，都可以連接實驗第二次可以連接第1，2臺，第4 ,5, 6臺不可以連接第三次實驗四 課后習(xí)題：（1） 簡述什么是IEEE802.1Q的數(shù)據(jù)封裝及其作用。（2） 使用什么方式可以控制trunk允許通過某些vlan通過，試舉例說明。答: （1）802.1q是一種工業(yè)標(biāo)準(zhǔn)，所有的網(wǎng)絡(luò)設(shè)備都能夠識別的一種格式, IEEE802.1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域(Type Field)”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計4字節(jié)。802.1q使用的是在貞內(nèi)部打入tag標(biāo)記來插入他的標(biāo)示符得 共插入4個字節(jié)的數(shù)據(jù). 802.1q幀標(biāo)識過程可以同時工作在接入鏈路和中繼鏈路上。(2) 在默認狀體下，Trunk端口允許所有的Vlan發(fā)送和接口傳輸信息。如果用戶有可以控制trunk允許通過某些vlan通過的需求，則也可以調(diào)整相關(guān)的配置，來拒絕某些V