虚拟局域网配置(一)
1.1 VLAN简介
1.1.1 VLAN概述
传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中。HUB和交换机作为网络连接的基本设备,在转发功能方面有一定的局限性:
●网络中可能存在着大量广播和未知单播报文,浪费网络资源。
●网络中的主机收到大量并非以自身为目的地的报文,造成了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器,但使用路由器隔离广播域有很大的局限性,因此采用VLAN技术来实现广播域的隔离。
1.1.2 VLAN接口
不同VLAN间的主机不能直接通信,需要通过路由器或三层交换机等网络层设备进行转发,目前的三层以太网交换机支持通过配置VLAN接口实现对报文进行三层转发的功能。
VLAN接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通,它不作为物理实体存在于交换机上。每个VLAN对应一个VLAN接口,该接口可以为本VLAN内端口收到的报文根据其目的IP地址在网络层进行转发。通常情况下,由于VLAN能够隔离广播域,因此每个VLAN也对应一个IP网段,VLAN接口将作为该网段的网关对需要跨网段转发的报文进行基于IP地址的三层转发。
1.2 基于端口的VLAN
基于端口的VLAN是最简单的一种VLAN划分方法。可以将设备上的端口划分到不同的VLAN中,此后从某个端口接收的报文将只能在相应的VLAN内进行传输,从而实现广播域的隔离和虚拟工作组的划分。以太网交换机的端口链路类型可以分为三种:Access、Trunk、Hybrid。这三种端口在加入VLAN和对报文进行转发时会进行不同的处理。基于端口的VLAN具有实现简单,易于管理的优点,适用于连接位置比较固定的用户。
1.2.1 以太网端口的链路类型
以太网交换机支持的以太网端口链路类型有三种:
●Access类型:端口只能属于1个VLAN,一般用于交换机与终端用户之间的连接;
●Trunk类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;
●Hybrid类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
说明:
Hybrid端口可以允许多个VLAN的报文发送时不携带标签,而Trunk端口只允许缺省VLAN 的报文发送时不携带标签。
三种类型的端口可以共存在一台设备上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
交换机接口出入数据处理过程:
Acess端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
Acess端口发报文:
将报文的VLAN信息剥离,直接发送出去
trunk端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃trunk端口发报文:
比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送
hybrid端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用)
hybrid端口发报文:
1、判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN是untag,哪些VLAN是tag)
2、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送
1.2.2 配置以太网端口的缺省VLAN ID
Access端口只能属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口可以属于多个VLAN,所以需要设置端口的缺省VLAN ID。
注意:
建议将本端Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID配置为一致,否则端口可能无法正确转发报文。
1.2.3 将当前端口加入指定VLAN
可以将当前以太网端口加入到指定的VLAN中。执行该配置以后,以太网端口就可以转发指定VLAN的报文,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。
Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN 中。
说明:
在将Access端口或Hybrid端口加入到指定的VLAN前,指定的VLAN必须已经创建。1.3 VLAN配置
1.3.1 VLAN的基本配置
表1-1 VLAN的基本配置
1.3.2 VLAN接口的基本配置
1. 配置准备
配置VLAN接口之前,首先要创建对应的VLAN。
2. 配置步骤
表1-2 VLAN接口的基本配置
说明:
打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的物理状态没有影响。
交换机只能配置一个VLAN接口,而且该VLAN必须是管理VLAN。
1.3.3 VLAN配置显示
完成上述配置后,在任意视图下执行display命令,可以显示配置VLAN后的运行情况。通过查看显示信息,可以验证配置的效果。
表1-3 VLAN配置显示
1.4 配置基于端口的VLAN
1.4.1 配置基于Access端口的VLAN
配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,一种是在以太网端口视图下进行配置。
表1-5 配置基于Access端口的VLAN(在VLAN视图下)
表1-6 配置基于Access端口的VLAN(在以太网端口视图下)
说明:
在将Access端口加入到指定VLAN之前,要加入的VLAN必须已经存在。
1.4.2 配置基于Hybrid端口的VLAN
表1-7配置基于Hybrid端口的VLAN
说明:
Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
在设置允许指定的VLAN通过Hybrid端口之前,允许通过的VLAN必须已经存在。
本端设备Hybrid端口的缺省VLAN ID和相连的对端设备的Hybrid端口的缺省VLAN ID必须一致,否则报文将不能正确传输。
1.4.3 配置基于Trunk端口的VLAN
表1-8 配置基于Trunk端口的VLAN
说明:
Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
本端设备Trunk端口的缺省VLAN ID和相连的对端设备的Trunk端口的缺省VLAN ID必须一致,否则本端缺省VLAN的报文将不能正确传输至对端。
1.4.4 基于端口的VLAN配置显示
完成上述配置后,在任意视图下执行display命令,可以显示配置系统中当前存在的Trunk和Hybrid端口。
表1-9 VLAN配置显示
1.4.5 基于端口的VLAN典型配置举例
1. 组网需求
●如图所示,Switch A和Switch B各自连接了一台服务器和一台工作站。
●为保证服务器的数据安全,需要将两台服务器划分到VLAN101中,并配置描述字符为“DMZ”,工作站划分到VLAN201中。
●各VLAN内的设备之间可以互相通信,但跨VLAN的工作站与服务器之间不能直接通信。
2. 组网图
VLAN101VLAN201
图1-1 VLAN配置示例图
3. 配置步骤
●配置Switch A
# 创建VLAN101,并配置VLAN101的描述字符串为“DMZ”,将端口Ethernet1/0/1加入到VLAN101。
[SwitchA] vlan 101
[SwitchA-vlan101] description DMZ
[SwitchA-vlan101] port Ethernet 1/0/1
[SwitchA-vlan101] quit
# 创建VLAN201,将端口Ethernet1/0/2加入到VLAN201。
[SwitchA] vlan 201
[SwitchA-vlan201] port Ethernet 1/0/2
[SwitchA-vlan201] quit
●配置Switch B
# 创建VLAN101,并配置VLAN101的描述字符串为“DMZ”,将端口Ethernet1/0/11加入到VLAN101。
[SwitchB] vlan 101
[SwitchB-vlan101] description DMZ
[SwitchB-vlan101] port Ethernet 1/0/11
[SwitchB-vlan101] quit
# 创建VLAN201,将端口Ethernet1/0/12加入到VLAN201。
[SwitchB] vlan 201
[SwitchB-vlan201] port Ethernet 1/0/12
[SwitchB-vlan201] quit
配置Switch A和Switch B之间的链路
由于Switch A和Switch B之间的链路需要同时传输VLAN101和VLAN201的数据,所以可以配置两端的端口为Trunk端口,且允许这两个VLAN的报文通过。
# 配置Switch A的Ethernet1/0/3端口
[SwitchA] interface Ethernet 1/0/3
[SwitchA-Ethernet1/0/3] port link-type trunk
[SwitchA-Ethernet1/0/3] port trunk permit vlan 101
[SwitchA-Ethernet1/0/3] port trunk permit vlan 201
# 配置Switch B的Ethernet1/0/10端口
[SwitchB] interface Ethernet 1/0/10
[SwitchB-Ethernet1/0/10] port link-type trunk
[SwitchB-Ethernet1/0/10] port trunk permit vlan 101
[SwitchB-Ethernet1/0/10] port trunk permit vlan 201
附1.交换机Trunk端口配置
一、组网需求:
1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;
2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP 地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。
二、组网图:
1.VLAN内互访,VLAN间禁访
2.通过三层交换机实现VLAN间互访
三、配置步骤:
实现VLAN内互访VLAN间禁访配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
1.创建(进入)VLAN10,将E0/10加入到VLAN10
[SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/10
2.创建(进入)VLAN20,将E0/20加入到VLAN20
[SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/20
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet1/1]port link-type trunk
[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20
通过三层交换机实现VLAN间互访的配置
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
SwitchB相关配置:
1.创建VLAN10
[SwitchB]vlan 10
2.设置VLAN10的虚接口地址
[SwitchB]interface vlan 10
[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0
3.创建VLAN20
[SwitchB]vlan 20
4.设置VLAN20的虚接口地址
[SwitchB]interface vlan 20
[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0
5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
附2.交换机Hybrid端口配置
一、组网需求:
需求一
1.PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30,服务器连接到端口G2/1,属于VLAN100。
2.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,服务器的IP地址为10.1.1.254/24;
3.PC1和PC2之间可以互访;
4.PC1和PC3之间可以互访;
5.PC1、PC2和PC3都可以访问服务器;
6.其余的PC间访问均禁止。
需求二
1.PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30;PC4和PC5分别连接到二层交换机SwitchB的端口E0/1和E0/2,端口分属于VLAN10和20;
2.SwitchA通过端口G2/1,连接到SwitchB的端口G1/1;SwitchA的端口G2/1和SwitchB 的端口G1/1均不是Trunk端口;
3.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,PC4的IP地址为10.1.1.4/24,PC5的IP地址为10.1.1.5/24;
4.PC1和PC3之间可以互访;
5.PC2和PC3之间可以互访;
6.PC1和PC4之间可以互访;
7.PC2和PC5之间可以互访;
8.其余PC之间均禁止互相访问。
二、组网图:
1.需求一
2.需求二
三、配置步骤:
1需求一配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.创建(进入)VLAN30,将E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.创建(进入)VLAN100,将G2/1加入到VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5.配置端口E0/1为Hybrid端口,能够接收VLAN20、30和100发过来的报文[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged
6.配置端口E0/2为Hybrid端口,能够接收VLAN10和100发过来的报文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged
7.配置端口E0/3为Hybrid端口,能够接收VLAN10和100发过来的报文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged
8.配置端口G2/1为Hybrid端口,能够接收VLAN10、20和30发过来的报文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged
9.补充说明
对于Hybrid端口来说,可以同时属于多个VLAN。这些VLAN分别是该Hybrid端口的PVID,以及手工配置的“untagged”及“tagged”方式的VLAN。一定要注意对应端口的VLAN配置,保证报文能够被端口进行正常的收发处理。此应用在二层网络中,对相同网段的主机进行访问权限的控制。
2需求二配置过程
SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.创建(进入)VLAN30,将E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.配置端口E0/1为Hybrid端口,能够接收VLAN30发过来的报文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 30 untagged
5.配置端口E0/2为Hybrid端口,能够接收VLAN30发过来的报文[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 30 untagged
6.配置端口E0/3为Hybrid端口,能够接收VLAN10和20发过来的报文[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 20 untagged
7.配置端口G2/1为Hybrid端口,能够接收并透传VLAN10和20发过来的报文[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
SwitchB相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.配置端口G1/1为Hybrid端口,能够接收并透传VLAN10和20发过来的报文[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
实验8 虚拟局域网 8.1实验目的 1、了解虚拟局域网的概念和作用。 2、掌握在一台交换机上划分VLAN的方法和跨交换机VLAN的配置方法。 3、掌握VLAN数据帧的格式、添加和删除VLAN标记的过程。 8.2实验内容 1、使用二层交换机进行组网,按拓扑图上的设备信息及地址信息对设备做基本的配置。在一台交换机上划分VLAN,用Ping命令测试在同一VLAN和不同VLAN中设备连通情况。 2、配置Trunk端口,用Ping命令测试在同一VLAN和不同VLAN中设备的连通情况。 8.3实验原理 1、VLAN概述 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。 本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。 那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看如图1加深理解。
软件学院计算机网络课程实验报告 2013~2014学年第二学期2013 级软件工程专业 班级:学号:姓名: 实验三虚拟局域网配置 一、实验目的 1、掌握二层和三层交换机的基本操作 2、掌握VLAN的配置操作 二、实验环境 1.华为ENSP模拟器,PC机一台 三、实验资料 华为的ENSP可以模拟华为公司AR路由器、x7系列交换机的大部分特性,可以用来仿真局域网组建、虚拟局域网配置、各种路由(RIP、OSPF、BGP)配置、地址转换(静态、动态)配置、访问控制列表配置、虚拟专用网配置、小规模网络系统组建等实践任务,例如在“路由配置”的实践任务中,利用ENSP 模拟的路由器AR1220可以做基于OSPF的单区域、多区域的路由配置,甚至可以结合实际小型网络布局模拟实现拓展性的路由配置任务。ENSP也可以做多种协议数据包分析的实验(Sniffer和Wireshark协议是专业的协议分析软件),能够对IP、ICMP、ARP、TCP、UDP、RIP、OSPF、FTP、HTTP等网络课程中重要的协议数据包进行分析,支持多种平台环境。具体请参考华为官方网站。 另外的仿真软件还有例如Boson公司的Boson NetSim模拟工具,Cisco公司的Packet Tracer 仿真软件。 四、实验内容 1. VLAN的配置 虚拟设备:华为交换机S5700一台,PC机4台,拓扑结构如图3-1所示。
图3-1 VLAN配置的拓扑结构 方法:采用基于端口或者基于IP子网划分VLAN的方法。参考S5700产品文档。 要求:建立两个VLAN,例如VLAN10和VLAN20,每个VLAN里各包含两个端口,例:把学生楼交换机的千兆以太网端口GE 0/0/2、GE0/0/5划分到VLAN10中,把GE 0/0/6、GE 0/0/3 加入VLAN20中,并检查配置结果。 2.VLAN间的通信
实验二虚拟局域网的配置 一、实验目的 了解vlan的作用,掌握在一台交换机上划分VLan的方法和跨交换机的VLan的配置方法,掌握Trunk端口的配置方法。理解三层交换的原理,熟悉Vlan接口的配置。 二、实验内容 首先,在一台交换机上划分VLan,用ping命令测试在同一VLan和不同VLan中设备的连通性。然后,在交换机上配置Trunk端口,用ping命令测试在同一VLan和不同VLan 中设备的连通性。最后,利用交换机的三层功能,实现Vlan间的路由,再次用ping命令测试其连通性。 三、实验原理 VLan,即虚拟局域网,是将一组位于不同物理网段上的用户在逻辑上划分在一个局域网内,在功能和操作上与传统Lan基本相同,可以提供一定范围内终端系统的互联。 VLan的主要目的就是划分广播域,可以基于端口、基于MAC地址、基于协议、基于子网等参数进行VLan划分。本实验使用基于端口的VLan划分。 802.1q严格规定了统一的VLan帧格式,在原有的标准以太网帧格式中增加了一个特殊的标志域——tag域,用于标识数据帧所属的VLan ID。 根据交换机处理VLan数据帧的不同,可以将交换机的端口分为两类:一类是只能传递标准以太网帧的端口,称为Access端口;另一类是既可以传送有VLan标签的数据帧也可以传送标准以太网帧的端口,称为Trunk端口。 四、实验环境与分组 Quidway S2016交换机两台,S3928交换机一台,计算机8台,console线3条,标准网线10根。每8人一组,共同配置3台交换机。 五、实验组网 六、实验步骤 1.Vlan的基本配置 步骤1按照组网图一连接好设备,为交换机划分Vlan。参考配置命令如下:
****实验报告 专业:网络工程方向系(班):计算机科学与技术系***班 姓名:**** 课程名称:计算机网络原理实验 实验项目:实验三虚拟局域网VLAN划分与配置 实验类型:设计型指导老师:*** 实验地点:网络实验室(2)时间:2013年11月21日14时至16时一、实验目的: 了解vlan的作用,掌握在一台交换机上划分VLan的方法和跨交换机的VLan的配置方法,掌握Trunk 端口的配置方法。理解三层交换的原理,熟悉Vlan接口的配置。 二、实验内容: 首先,在一台交换机上划分VLan,用ping命令测试在同一VLan和不同VLan中设备的连通性。然后,在交换机上配置Trunk端口,用ping命令测试在同一VLan和不同VLan中设备的连通性。最后,利用交换机的三层功能,实现Vlan间的路由,再次用ping命令测试其连通性。 三、实验方案设计: 四、实验步骤: 1、Vlan的基本配置 (1)按照组网图一连接好设备,为交换机划两个Vlan(Vlan2,Vlan3)。 (2)按照组网图一设置各台计算机的IP地址。 (3)验证同一Vlan中的两台计算机能否通信和不同Vlan之间的计算机能否通信。 2、Trunk的配置 (1)按照组网图二连接好设备,配置各台计算机的IP地址。配置S1和S2,各自划分Vlan2和Vlan3
(2)ping两台交换机上的相同Vlan间能否通信。 (3)配置交换机上的Trunk端口将S1和S2的接口类型配置成Trunk,并且允许Vlan2和Vlan3通过3、Vlan间通信 (1)在S1上配置Vlan2和Vlan3的接口IP地址,Vlan2配置为192.200.16.1,Vlan3配置为192.200.50.1 (2)给各台计算机配默认网关地址。 (3)拿一台计算机ping任意的计算机,看能否ping通。 五、实验数据(或者实验结果): 1、Vlan的基本配置 先给两台交换机划分vlan,步骤如下: Ping同一交换机上的相同Vlan Ping同一交换机上的不同Vlan 由此可得,同一交换机上的不同Vlan间不通。 2、Trunk的配置
实验二虚拟局域网 实验2.1 一、实验目的 理解Port Vlan 的配置。 二、实验内容 通过划分PORT VLAN 实现本交换端口隔离。 三、实验拓扑 四、实验设备 S2126G (1 台) 五、实验步骤 第一步:在未划VLAN 前两台PC 互相ping 可以通。 第二步:创建VLAN 。 Switch#configure terminal ! 进入交换机全局配置模式。 Switch(config)# vlan 10 ! 创建vlan 10 。 Switch(config-vlan)# name test10 ! 将Vlan 10 命名为test10 。 Switch(config)# vlan 20 ! 创建vlan 20 。 Switch(config-vlan)# name test20 ! 将Vlan 20 命名为test20 。 第三步:将接口分配到VLAN 。 Switch(config)# interface fastethernet 0/5 ! 进入fastethernet 0/5 的接口配置模式。 Switch(config-if)# switch access vlan 10 ! 将fastethernet 0/5 端口加入vlan10 中。 Switch(config)# interface fastethernet 0/15 ! 进入fastethernet 0/15 的接口配置模式。 Switch(config-if)# switch access vlan 20 ! 将fastethernet 0/15 端口加入 vlan 20 中。 第四步:两台PC 互相ping 不通。 验证测试: Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1 ,Fa0/ 2 ,Fa0/3 Fa0/4 ,Fa0/6 ,Fa0/7 Fa0/8 ,Fa0/9 ,Fa0/10
实验二 虚拟局域网VLAN 【实验名称】 虚拟局域网VLAN 【实验目的】 掌握Port Vlan的配置 掌握跨交换机之间VLAN的配置 【技术原理】 VLAN(Virtual Local Area Network,虚拟局域网)是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。VLAN最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以互相直接访问,不同VLAN间的主机之间不能互相直接访问(访问必须经由路由设备进行转发)。广播数据包只可以在本VLAN内进行传播,不能传输到其他VLAN中。 Port Vlan是实现VLAN的方式之一,Port Vlan是利用交换机的端口进行VLAN的划分,一个端口只能属于一个VLAN。 Tag Vlan是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。Tag Vlan遵循了IEEE802.1q协议的标准。在利用配置了Tag vlan的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤。 【实验设备】 交换机(2台)(s3760一台,s2328一台。每实验台两组,分别使用不同的交换机) 计算机(3台) 【实验拓扑】
【实验步骤】 1. 按照第一个拓扑图进行网络的连接,注意主机号和所选交换机 号及其连接的端口(配线架上与计算机号相同的端口用直连线 连接到交换机)。连接交换机的两台计算机作为测试计算机, 另外一台计算机作为配置计算机。(将两台计算机各自测试连接 的IP记录到拓扑图上) 2. 在未划VLAN前两台PC互相ping通。由于没有划分VLAN,或者说 交换机默认情况下所有端口都属于一个默认的VLAN,所以两台 计算机应该能够ping通。如不通需检查原因。预先查看计算机 测试连接的网络地址。 例:第五组第六号计算机ping第四号计算机: Ping 192.168.5.4 3. 创建VLAN。在配置计算机上打开浏览器,通过RCMS选择进入 本组实验所选设备,输入如下命令进行配置。输入命令时注意 交换机的模式。 1) 创建VLAN: switch#configure terminal! 进入交换机全局配置模式 switch(config)# vlan 10! 创建vlan 10 switch(config-vlan)# name test10 ! 将Vlan 10命名为test10 switch(config)# vlan 20! 创建vlan 20 switch(config-vlan)# name test20 ! 将Vlan 20命名为test20 2) 验证: switch#show vlan !查看已配置的VLAN信息 VLAN Name Status Ports ------------------------------------------------------------------- 1 default static Fa0/1 ,Fa0/ 2 ,Fa0/3 Fa0/4 ,Fa0/5 ,Fa0/6 Fa0/22,Fa0/23,Fa0/24 !默认情况下所有接口都属于VLAN1 10 test10 static !创建的VLAN10,没有端口属于VLAN10
实验六——划分虚拟局域网 一、实验目的 掌握在交换机上划分虚拟局域网的方法 二、实验预习内容 1.什么是虚拟局域网? 虚拟网络建立在交换技术基础之上,将网络上的节点按工作性质与需要划分成若干个“逻辑工作组”,那么一个逻辑工作组就是一个虚拟网络。虚拟局域网VLAN建立在局域网交换机之上,它以软件方式实现逻辑工作组的划分与管理,逻辑工作组的站点组成不受物理位置的限制。 2.虚拟局域网的技术原理是什么? 虚拟局域网vlan建立在局域网交换机之上,它以软件方式实现逻辑工作组的划分和管理,逻辑工作组的站点组成不受物理位置的限制。同一逻辑工作组的成员可以不必连接在同一物理网络段上。只要以太网交换机是互联的,它们既可以链接在同一局域网交换机上,也可以连接到不同局域网交换机上。当一个站点从一个逻辑工作组转移到另一个逻辑工作组时,只需要通过软件设定,而不需要改变它在网络中的物理位置;当一个站点从一个物理位置移动到另一个物理位置时,只要将该计算机介入另一台交换机,通过交换及软件设置,这台计算机还可以成为原工作组的一员。同一个逻辑工作组的站点可以分布在不同的物理网段上,但是它们之间的通信就像在同一个物理网段上一样。 3.划分虚拟局域网时常用到哪些交换机配置命令? Switch.> /*用户直行模式提示符 Switch.>enable /*进入特权模式 Switch.# /*特权模式提示符 Switch.# config terminal /*进入配置模式 Switch.(config)# /*配置模式提示符 Vlan X::添加第X个虚拟局域网并进入第X个虚拟局域网设置模式 Inter fa 0/x:进入第x端口的配置模式 Switch access vlan x:将当前端口配置到第X个虚拟局域网 Exit:退出当前配置对象模式 Switch mode trunk:接口模式从access转换为trunk模式,trunk接口允许所有vlan通过。End:退出配置模式 三、实验内容 某一公司内财务部、销售部的PC 通过2 台交换机实现通信;要求财务部和销售部的PC 可以互通,但为了数据安全起见,销售部和财务部需要进行互相隔离,现要在交换机上做适当配置来实现这一目标。 四、实验步骤 1.打开Cisco Packet Tracer软件 2.选择两个交换机,用交叉线连接它们各自的第24的端口; 3.选择4个主机,将它们两个一组分别连到两个交换机上,再将4台主机从左至右依次命名为销售1,财务1,销售2,财务2. 4.设置四个主机的IP地址,分别为:192.168. 1.2;192.168.1.3;192.168.1.4;192.168.1.5它们的子网掩码皆为25 5.255.255.0;它们的默认网关为192.168.1.1。
VLAN,是英文Virtual Local Area Network的缩写,中文名为 "虚拟局域网” VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。 VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查 看相应交换机的说明书即可得知。VLAN的好处主要有三个:(1)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物
理范围中,即这些工作站可以在不同物理LAN网段,由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN在交换机上的实现方法,可以大致划分为六类: 1. 基于端口的VLAN 这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能,从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的
实验二 虚拟局域网 一、实验目的 1.理解Port VLAN 的配置。 2.理解跨交换机之间VLAN 的特点。 二、实验设备 S2126G 交换机两台,PC 机三台,直连线四条。 三、技术原理 VLAN(Virtual Local Area Network ,虚拟局域网)是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。VLAN 最大的特点是不受物理位置的限制,可以进行灵活的划分。VLAN 具备了一个物理网段所具备的特性。相同VLAN 内的主机可以互相直接访问,不同VLAN 的主机之间互相访问必须经路由设备进行转发。广播数据包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。VLAN 主要有以下两种方式: 1. Port VLAN Port VLAN 是利用交换机的端口进行VLAN 的划分,一个端口只能属于一个VLAN 。 2. Tag VLAN Tag VLAN 是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN 内主机之间直接访问,同时对于不同VLAN 的主机进行隔离。Tag VLAN 遵循了IEEE802.1q 协议的标准。在利用配置了Tag VLAN 的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q 标签信息,用于标识该数据帧属于哪个VLAN ,以便对端交换机接收到数据帧后进行准确的过滤。 四、实验步骤 1.首先进行交换机端口隔离实验。按图2-1将两台PC 机连接到交换机Switch 相应端口。另外一台PC 用于配置交换机(图中未画出)。 图2-1 2.在未划分VLAN 前两台PC 互相可以ping 通。下面创建VLAN 。 switch>enable !进入特权模式 switch#configure terminal !进入全局配置模式 switch(config)#vlan 10 !创建vlan 10 switch(config-vlan)#name test10 !将vlan 10命名为test10 switch(config-vlan)#exit switch(config)#vlan 20 !创建vlan 20 Switch PC1 192.168.0.10/24 F0/5 F0/15 VLAN 20 VLAN 10 PC2 192.168.0.20/24
实验6 虚拟局域网的配置和应用 一实验目的 了解端口VLAN(port VLAN)的功能和配置方法,熟悉端口VLAN的应用。本实验将在一台交换机上实现VLAN的划分。 二实验要求 1. 设备要求:计算机2台(装有Windows 2000/XP/2003操作系统、装有网卡),交 换机1台,UTP直通线2根,console电缆1根; 2. 每组2人,合作完成。 三实验预备知识 VLAN(Virtual Local Area Network)虚拟局域网是一种将局域网内的设备通过逻辑地划分成为一个个网段来进行管理的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准。 VLAN扩大了交换机的应用和管理功能。VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。 VLAN的最大特点是不受物理位置的限制,可以根据用户的需要进行灵活的划分。基于端口的VLAN划分方法是较为常用的,许多厂商的交换机产品都支持这一功能。本实验将在一台交换机上实现端口VLAN的划分,给学生一个从概念到应用的初步认识。 1. VLAN优点 使用VLAN具有以下优点: 分割广播域 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN 技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。 2. VLAN的划分
实验名称虚拟局域网的划分和配置 一、实验目的: 1.了解交换机工作原理、交换技术和VLAN的作用。 2.掌握在一台交换机上划分VLAN的方法及VLAN的配置命令。 3.掌握VLAN划分和TRUNK设置,掌握实现交换机三层路由功能的方法。 二、实验内容: 1.按照实验拓扑图,设计出IP地址表。 2.使用超级终端程序,通过控制台端口进行交换机的基本配置,端口属性配置,在一台交换机上创建VLAN。 3.通过VLAN Trunk配置跨交换机的VLAN。 4.测试端口的配置状态、VLAN的配置状态,记录测试的结果。 实验设备: DCRS-5526S型交换机、PC、Console专用电缆线或反序电缆,用于PC机串口的RJ-45到DB-9的接口转换器、交叉、直通双绞线若干。 三、预习内容: 1.写出冲突域、广播域的含义。 冲突域:在以太网中,如果某个CSMA/CD网络上的两台计算机在同时通信时会发生冲突,那么这个CSMA/CD网络就是一个冲突域。 广播域:网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域。 2.写出VLAN划分的意义。 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 3.写出VLAN的划分方式。 VLAN的划分一般有基于端口的划分VLAN、基于MAC地址的划分VLAN、基于协议的划分VLAN、基于子网的划分VLAN等。 4.写出在一台交换机上创建VLAN的命令。 假设交换机名为SwitchA,VLAN名为vlan100,则配置命令为: SwitchA(Config)#vlan100 SwitchA(Config-Vlan100)#switchport interface ethernet 0/0/1-8 SwitchA(Config-Vlan100)#exit 5.写出如何配置跨交换机的VLAN。 使用Trunk可解决跨交换机的VLAN互联。将连接两交换机的端口设为Trunk类型,配置时关键命令为: SwitchA(Config-Ethernet0/0/24)#switchport mode trunk SwitchA(Config-Ethernet0/0/24)#switchport trunk allowed vlan all
实验内容: 1.每组每个同学轮流telnet到交换机里面,划分VLAN,尝试用不同的方式思 考划分(基于端口方式、基于MAC地址、基于IP地址),重点掌握第一种方式划分(课本3.3.1)。划分后检查基于端口的VLAN是否生效,把PC机的网线插到相应VLAN端口上,用Ping命令检查互通性(同个VLAN间、不同VLAN间的PC机是否可以通信)。 注意:划分过程参照教材3.3.1命令。 设置静态端口安全 switchA(config)#mac-address-table static aa-bb-cc-dd-ee vlan1 interface f0/10 把MAC地址以静态方式分配给接口f0/10上 switchA#sh mac-address-table 查看MAC地址池中所有MAC地址信息 Pc机的MAC被分配到VLAN 1中f0/10上,可以理解成是这样一个对应关系:此端口占用此MAC,反过来此MAC不占用此端口。意思就是说其他PC机还是可以使用此端口,但是此PC机无法给其他端口使用,其MAC已经分配给了f0/10。 switchA(config)interface f0/10 switchA(config-if)#switchport mode access switchA(config-if)#switchport port-security switchA(config-if)#switchport port-security maximum 1 (一定要指定数目)switchA(config-if)#switchport port-security mac-address aa-bb-cc-dd-ee switchA(config-if)#switchport port-security violation shutdown 进入端口模式,对端口进行MAC绑定,可以理解成这样的对应关系:此MAC 地址占用此端口,但此端口不占用此MAC。意思是其他PC机无法使用此端口,被限制成专用端口。 比较两种配置的不同 不同品牌的设备命令有所不同,不同型号的设备命令有会有不同
VLAN"虚拟局域网"和子网划分的区别 这个理解,比如同一个交换机下的两种不同状态: 1、划分VLAN ,同一个交换机下分成两个VLAN,那么这两段之间通信必须要通过三层或路由,这两段之间的广播风暴是不通的。可视为两个单独的交换机。 2、划分子网,同一个交换机下划分了两个子网,所以两子网之间通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时,所以的端口都要接收。因为广播风暴是工作在第二层。广播是以MAC地址为依据的,所以同一个交换机上所有的端口都要接收广播。。 3、子网划分是通过路由器才能形成的,没有路由器来分隔子网是没法进行子网划分的,VLAN是在交换机上划分多个VLAN,从而划分多个广播域,这有利于阻隔广播风暴的发生!!而且不同vlan间必须通过三层设备才能相互通信!!而使用划分子网,必须增加路由器,这样就增加了组网的成本!!使用vlan来可以节约成本!! 4、从某种意义上来说,划分VLAN是一个更好的方法。 如果你只靠子网来划分,你就会发现你的交换机端口上各个子网的数据在到处跑。。。。交换机上灯闪个不停。。 而划了VLAN,如果不属于这个VLAN的数据是不是乱发的,广播包是过来的, 这是硬件上做了处理。。 只靠子网来划分,你的电脑网卡还是会收到其他子网的数据,只是会在你的电脑上被拒绝,虽然被拒绝可是对你的电脑性能是有影响的。。 VLAN和IP子网是局域网里的两个法宝一定要掌握。。。这样你才能得心应用的管理你的管理。规划。。 一、VLAN VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,
实验三虚拟局域网(VLAN)综合实验一、实验目的 综合应用所学计算机网络知识,完成一个虚拟局域网(VLAN)创建、配置和测试,使学生较全面的掌握和了解虚拟局域网。 二、实验设备 本实验中每一实验组配置的实验设备如下: 5类UTP双绞线5根, PC机4台(已配置好网卡和安装好Windows XP操作系统) 交换机Cisco2950 1台、交换机Cisco3560 1台。 三、实验要求 (1)实验任务 ①掌握VLAN 的创建和配置。 ②掌握VTP的配置。 ③组建一个虚拟局域网,并对网络进行测试。 (2)实验预习 ①了解虚拟局域网络的相关知识,以及实验中使用的设备。 ②预习本实验指导书,熟悉Cisco交换机配置命令和实验步骤。 (3)实验报告 ①画出实验网络拓扑图 ②填写以下虚拟局域网规划表格。 ③写出实验中配置交换机的命令序列及相关注释 ④结合实验中遇到的问题,谈谈本人的收获与体会。 四、实验虚拟网拓扑
本实验的网络拓扑及规划都在图中,注意和后面的实验配置命令相参照。 五、实验步骤 (1)用一根网线连接两台交换机,2950的 Fa0/6到3560的Fa0/2 (2)用实验组中的一台PC 登录到交换机 (3)配置命令 ① 配置trunk 。 登录到交换机3560 S3560-15(config)# interface fa0/2 S3560-15(config-if)# switchport trunk encapsulation dot1q S3560-15(config-if)# switchport mode trunk
登录到交换机2950 S2950-15(config)# interface fa0/6 S2950-15(config-if)# switchport mode trunk 注意:Cisco 2950不支持switchport trunk encapsulation dot1q 命令,dot1q 为2950 的默认trunk封装。 ②在3560和2950上设置VTP 参数 将3560 配置为VTP server,将2950配置为VTPclient。 登录到交换机3560 S3560-15# vlan database S3560-15(vlan)# vtp domain ncdx S3560-15(vlan)# vtp password cisco S3560-15(vlan)# vtp server S3560-15(vlan)# exit 登录到交换机2950 S2950-15# vlan database S2950-15(vlan)# vtp domain ncdx S2950-15(vlan)# vtp password cisco S2950-15(vlan)# vtp client S2950-15(vlan)# exit
实验四虚拟局域网VLAN的划分及配置 一、实验目的: 1、了解虚拟局域网的作用。 2、掌握在一台交换机上划分VLAN的方法和跨交换机的VLAN的配置方法; 3、掌握Trunk端口的配置方法。 4、了解VLAN数据帧的格式、VLAN标记添加和删除的过程。 二、实验内容: 1、VLan的基本配置:在一台交换机上划分VLAN,用ping命令测试同一VLAN和不同VLAN 中设备的连通性; 2、Trunk口配置:在交换机上配置Trunk端口,用ping命令测试同一VLAN和不同VLAN中设备的连通性; 3、最后实现VLan间的通信。 三、实验具体过程 参考一配置VLAN间通过VLANIF接口通信示例 企业的不同用户拥有相同的业务,且位于不同的网段。现在相同业务的用户所属的VLAN不相同,需要实现不同VLAN中的用户相互通信。 如下图所示,User1和User2中拥有相同的业务,但是属于不同的VLAN且位于不同的网段。现需要实现User1和User2互通。 图1 配置VLAN间通过VLANIF接口通信组网图
配置思路 采用如下的思路配置VLAN间通过VLANIF接口通信: 1.创建VLAN,确定用户所属的VLAN。 2.配置接口加入VLAN,允许用户所属的VLAN通过当前接口。 3.创建VLANIF接口并配置IP地址,实现三层互通。 说明: 为了成功实现VLAN间互通,VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。操作步骤 1.配置Switch # 创建VLAN
计算机网络技术实验报告 学生学号: 学生姓名: 专业年级: 开课学期: 指导教师:
一.实验名称 虚拟局域网 二.实验目的 1.掌握在一台交换机上配置VLAN的方法 2. 掌握跨交换机配置VLAN的方法 三.实验任务 1.规划VLAN 2.配置交换机的VLAN及端口 3.测试网络互联结果 四.实验环境及工具 Catalyst 2950系列交换机若干台,安装有“超级终端”的计算机若干台。 五.实验记录 (1)实验任务1 实验时间实验内容实验地点实验人 在一台交换机上 创建VLAN
实验步骤 1.建立VLAN (1).进入VLAN配置模式。 在特权模式下输入“vlan database”,进入VLAN配置模式。 (2).创建VLAN。 在VLAN配置模式下输入“vlan vlan 编号[name
(3).设置端口访问模式。 在端口配置状态下输入“switchport mode access”,定义端口访问模式。 (4).将接口加入到指定VLAN中。 在端口配置状态下输入“switchport access vlan vlan 编号”,将端口加入到指定VLAN中。 (5).退出设置 输入“end”,退出端口设置状态。 3.验证VLAN设置 在特权模式下输入“show vlan”显示不同的VLAN的信息,即switch#show vlan。 4.测试连通性 用Ping命令测试同一VLAN内计算机的连通性和不同VLAN之间的连通性并记录结果。 ·Ping同一VLAN的计算机 在PC1上PingPC3,即c:\ping 192.168.10.12。·Ping不同VLAN的计算机 在PC1上PingPC2,即c:\ping 192.168.10.8。 5.删除现有VLAN 为防止和其他VLAN相互混淆,本部分实验做完后需要删除现有VLAN,方法是进入到VLAN设置模式,输入“no vlan vlan”编写,即可删除该编号对应的VLAN。即:
Vlan: Vlan是一种通过将局域网内地设备逻辑地划分成多个互不相干地子网络 可以防止网络风暴地发生对整个网络造成危害,就是分隔广播域,分隔广播域有两种方法. 1)物理分隔,使用能隔离广播地路由设备将不同地网络连接起来实现通信 2)逻辑分隔,使用Vlan技术把网络从逻辑上分成若干个广播域 但是使用物理分隔有很多缺点,缺乏灵活性,不能将连接在不同交换机上地用户划分到一个网络中. 而通过Vlan可以弥补这一缺陷,因为在每个Vlan中地所有用户同属一个广播域,而且还可以跨交换机实现. Vlan具有灵活性和可扩展性等特点,Vlan地优势有以下几点:1)控制广播: 每个Vlan都是一个独立地广播域,可以减少广播对网络带宽地占用,提高传输速率,防止网络风暴对整个网络造成危害. 2)增强网络安全性: 不同地Vlan之间不可能直接访问,因此可以限制个别主机
访问服务器等资源,从而提高网络安全. 3)简化网络管理: 如果对某些用户重新进行网段分配时,不需要在物理结构上重新进行调整,通过Vlan可以把不同地理位置上地用户划分到一个逻辑网络中,不用改动物理网络,从而减轻网络管理和维护工作地负担. Vlan地种类: 根据Vlan地使用和管理地不同,可以把Vlan分为两种,静态Vlan 和动态Vlan. 1)静态Vlan: 目前最常见地Vlan实现方式,针对端口地,需要手工把端口加入到Vlan中,当主机连接到该端口时,就被分配到了相应地Vlan中,静态Vlan只对本地生效,交换机不共享这一信息. 2)动态Vlan: 实现动态Vlan有多种方法,普遍地是基于MAC地址地动态Vlan,优点是当用户从一台交换机移动到另一交换机时,Vlan不用重新进行配置,缺点就是初始化时所有地用户都必须重新进行配置,不适用于大型网络.
实验一构建虚拟局域网 一、实验目的 1.网网络安全测试座准备 2.网络安全实验可能对系统具有一定的破坏性,虚拟局域网可以保护物理主机和网络的安全。 3.可以实现一台主机上同时运行多个操作系统,以及一些其他的操作功能。 二、实验要求 1.准备两台装有Windows xp操作系统的台式机。 2.提前做好虚拟局域网“预习”或对有关内容进行一些了解。 三、实验内容及步骤 SoftEther是一个免费的虚拟网卡软件,能够模拟以太网卡的工作顺序,并能模拟HUB功能。 Step1:双击SoftEthernet安装文件HA-SoftEther-CHX.exe,出现如图1所示窗口,一直单击下一步。 图1 Step2:在图2中选择选择简体中文。
图2 Step3:在图3中复选第一项,如果是总部服务器必须复选第二项,其他分支机构服务器没有必要安装第二项。单击“安装”。 图3 Step4:出现图4窗口表明虚拟网卡已经安装成功,在“控制面板”下的“网络连接”已多出一个断开的名为“SoftEther Virtual LAN Connection”的连接。单击“SoftEther虚拟网卡核心服务”中的“开始”按钮启动虚拟网卡核心服务。如果是总部服务器,还要再启动“SoftEther 虚拟HUB服务”。单击“退出Soft ether设置”。(此步也可以在以后重新设置)。
图4 Step5:SoftEher安装完成之后要进行“虚拟HUB”的设置(仅总部服务器需要)。单击桌面“开始”—“所有程序”—“SoftEther”—“SoftEther虚拟HUB 管理器”,出现如图5所示窗口。此处默认连接到本地计算机Localhost,当然,也可输入远程IP地址如:202.98.168.10。单击“连接”。
虚拟局域网VLAN基本配置 【实验名称】单交换机VLAN的配置 【实验目的】掌握基于端口的VLAN的配置与删除方法 【实验设备】S2960交换机(1台)、计算机(2台)、直连线(2根)、配置电缆(1根)【实验拓扑】实验拓扑如图2-7所示。 图2-7 VLAN基本配置拓扑图 【实现功能】通过划分Port VLAN实现本交换机端口隔离 【技术原理】 VLAN是虚拟局域网(Virtual Local Area Network)的简称,它将一组位于不同物理网段上的用户在逻辑上划分在一个局域网内,在功能和操作上与传统的LAN基本相同。 VLAN的实现方式有:静态VLAN和动态VLAN。静态VLAN是明确指定交换机各端口所属VLAN的方法,也称为基于端口的VLAN(Port VLAN),属于同一个VLAN的端口,可来自一台交换机,也可来自多台交换机,即可以跨交换机设置VLAN。动态VLAN是根据每个端口所连的计算机动态设置端口所属VLAN的设定方法,通常包括基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。
一个VLAN是以VLAN ID来标识的,支持的VLAN遵循IEEE 802.1q标准,最多支持250个VLAN(VLAN1~VLAN4094)。其中VLAN1是不可删除的默认VLAN。 【实验步骤】 (1)连线。 按照图2-7连线。 (2)配置IP地址和子网掩码,测试能互相ping通。 (3)配置VLAN。 1)在交换机上创建VLAN10,并将f0/1-2端口划分到VLAN10中。 switch# configure terminal !进入全局配置模式 switch(config)# vlan 10 !创建VLAN10 switch(config-vlan)# name student !将VLAN10命名为student(名字可为任意),此操作可略 switch(config-vlan)#exit !返回到全局配置模式 switch(config)#interface range fastethernet 0/1-2 !进入接口配置模式 switch(config-if)#switchport mode access !将f0/1-2端口模式设为access switch(config-if)#switchport access vlan 10 !将f0/1-2端口划分到VLAN10 switch(config-if)#end 2)检查已创建VLAN10,并将f0/1-2端口划分到VLAN10中。 switch# show vlan id 10 !显示VLAN10 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 10 student active Fa0/1 Fa0/2 3)用同样方法在交换机上创建VLAN20,并将f0/3-4端口划分到VLAN20中。 (4)测试。相同VLAN的主机可以ping 通,不同VLAN的主机不能ping 通。 (5)保存配置。 switch#copy running-config startup config !将当前配置保存到配置文件中 或者 switch#write memory 注意:如果把一个接口分配给一个不存在的VLAN,那么这个VLAN将自动被创建。假设VLAN2不存在,则以下命令创建VLAN2的同时将f0/5口加入VLAN2中:switchA(config)#interface fastEthernet 0/5 switchA(config-if)#switchport access vlan 2 VLAN的删除 删除VLAN分为两步:①将该VLAN中的端口都移到默认的VLAN1中;②用no vlan vlanid命令将其删除。 (1)删除VLAN10。 switch#configure terminal switch(config)#interface range fastEthernet 0/1-2 switch(config-if)# switchport access vlan 1 !将VLAN内的端口全部移到VLAN1中 switch(config-if)#exit switch(config)#no vlan 10 !删除VLAN10 (2)用同样的操作将VLAN20删除。 检查是否已将VLAN10、VLAN20删除。 switch#show vlan !查看所有VLAN VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1 ,Fa0/ 2 ,Fa0/3 Fa0/4 ,Fa0/5 ,Fa0/6 Fa0/7 ,Fa0/8 ,Fa0/9 Fa0/10,Fa0/11,Fa0/12