一、简介¶
本章给出了VLAN的Access接口、Trunk接口、Hybrid接口的配置实例,以及分别通过单臂路由和三层交换机实现VLAN间通信的配置实例。
二、VLAN基础配置及Access接口¶
2.1 VLAN出现背景介绍¶
2.1.1 总线型结构¶
总线型结构是由一条单电缆连接着所以主机,这种局域网技术存在着冲突域问题,即所有用户都在一个冲突域中。同时因为所有主机共享一条传输通道,任意主机之间都可以直接访问,无法控制信息的安全。
2.1.2 VLAN技术介绍¶
1、VLAN技术把一个物理的LAN在逻辑上划分为多个广播域。 2、VLAN内的主机可直接进行通信,VLAN间则不能互相通信 3、为提高网络安全性,不同VLAN使用不同的VLAN ID区分,VLAN ID的范围是0-4095,可配置的值为1-4094,0和4095为保留值
2.1.3 Access接口介绍¶
1、Access接口是交换机上用来连接用户主机的接口。 2、当Access接口从主机收到一个不带VLAN标签的数据帧时,会给该数据帧加上与PVID一致的VLAN 标签(PVID可手工配置,默认为1,即所有交换机上的接口默认都属于VLAN 1)。 3、当Access接口要发送一个带有VLAN标签的数据帧给主机时,首先检查该数据帧的VLAN ID是否与自己的PVID相同,若相同,则去掉VLAN标签后发送给数据帧给主机;若不相同,直接丢弃该数据帧。
2.2 VLAN基础配置及Access接口配置实验¶
2.2.1 实验目的¶
1、理解VLAN的应用场景 2、掌握VLAN的基本配置 3、掌握Access接口的配置方法 4、掌握Access接口加入相应VLAN的方法
2.2.2 实验内容¶
本实验模拟企业网络场景。公司内网是一个大的局域网,二层交换机S1放置在一楼,在一楼办公的部门有IT部和人事部;二层交换机S2放置在二楼,在二楼办公室的部门有市场部和研发部。由于交换机组成的是一个广播网,交换机连接的所有主机都能互相通信,而公司策略是:不同部门之间的主机不能互相通信,同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN,并将连接主机的交换机接口配置成Access接口划分到相应的VLAN内。
2.2.3 实验拓扑¶
2.2.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| PC-2 | Ethernet 0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
| PC-3 | Ethernet 0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
| PC-4 | Ethernet 0/0/1 | 10.1.1.4 | 255.255.255.0 | N/A |
| PC-5 | Ethernet 0/0/1 | 10.1.1.5 | 255.255.255.0 | N/A |
2.2.5 实验步骤¶
2.2.5.1 基本配置¶
根据实验编址尽心相应的IP地址配置,使用Ping命令检测各直连链路的连通性,所有的PC都能相互通信。
2.2.5.2 创建VLAN¶
1、创建VLAN的方法有两种:一是使用vlan命令一次创建单个VLAN;二是使用vlan batch命令一次创建多个VLAN。 2、在S1上采用一次创建单个VLAN的方法来创建VLAN
[S1]vlan 10
[S1-vlan10]vlan 20
3、在S2上采用一次创建多个VLAN的方法来创建VLAN
[S2]vlan batch 30 40
4、创建完VLAN以后,在S1和S2上使用display vlan命令查看VLAN的相关信息。
[S1]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D)
Eth0/0/5(U) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D)
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D)
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D)
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
10 common
20 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable VLAN 0010
20 enable default enable disable VLAN 0020
[S2]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(D) Eth0/0/4(D)
Eth0/0/5(U) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D)
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D)
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D)
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
30 common
40 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
30 enable default enable disable VLAN 0030
40 enable default enable disable VLAN 0040
2.2.5.3 配置Access接口¶
1、按照拓扑,使用命令port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口,并使用port default vlan命令配置接口的默认VLAN并同时加入相应的VLAN中。默认情况下,所有接口默认为VLAN ID为1。
[S1]interface Ethernet0/0/1
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]port default vlan 10
[S1-Ethernet0/0/1]interface Ethernet0/0/2
[S1-Ethernet0/0/2]port link-type access
[S1-Ethernet0/0/2]port default vlan 10
[S1-Ethernet0/0/2]interface Ethernet0/0/3
[S1-Ethernet0/0/3]port link-type access
[S1-Ethernet0/0/3]port default vlan 20
[S2]interface Ethernet0/0/1
[S2-Ethernet0/0/1]port link-type access
[S2-Ethernet0/0/1]port default vlan 30
[S2-Ethernet0/0/1]interface Ethernet0/0/2
[S2-Ethernet0/0/2]port link-type access
[S2-Ethernet0/0/2]port default vlan 40
2、配置完成后,查看S1和S2上的VLAN信息
[S1]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/4(D) Eth0/0/5(U) Eth0/0/6(D) Eth0/0/7(D)
Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D)
Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D)
Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D)
Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D)
GE0/0/2(D)
10 common UT:Eth0/0/1(U) Eth0/0/2(U)
20 common UT:Eth0/0/3(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable VLAN 0010
20 enable default enable disable VLAN 0020
[S2]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(U) Eth0/0/6(D)
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D)
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D)
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D)
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D)
GE0/0/1(D) GE0/0/2(D)
30 common UT:Eth0/0/1(U)
40 common UT:Eth0/0/2(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
30 enable default enable disable VLAN 0030
40 enable default enable disable VLAN 0040
2.2.5.4 检查配置结果¶
通过Ping测试,只有同属于IT部门VLAN 10的两台主机PC-1和PC-2之间可以互相通信。其他不同部门间的PC之间将无法通信。 说明:在交换机上将不同接口加入各自不同的VLAN中后,属于相同VLAN的接口处于同一个广播域,相互之间可以互相通信。属于不同VLAN的接口是处于不同的广播域,相互之间不能直接通信。
2.3 思考¶
在本实验中,如果将S2的接口E 0/0/5配置为Access类型接口,并划入VLAN 30中,此时PC-1能否ping通PC-4?PC-1能否ping通PC-5?为什么? 答:(1)PC-1不能ping通PC-4,PC-1不能ping通PC-5。(2)S1的接口E 0/0/5没有做配置,默认PVID 为1,当收到VLAN ID为30的数据帧会丢掉。而且交换机之间的接口类型应该设置为Trunk!
三、配置Trunk接口¶
3.1 Trunk接口介绍¶
1、为了使VLAN的数据帧跨越多台交换机传递,交换机之间互联的链路需要设置为干道链路(Trunk Link)。 2、和接入链路不同,干道链路是用来在不同设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同的VLAN数据的,它不属于任何一个具体的VLAN,可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的报文。 3、Trunk端口一般用于交换机之间连接的端口,可以接收和发送多个VLAN的报文。 4、当Trunk端口收到数据帧时,如果该帧不包含802.1Q的VLAN标签,将打上该Trunk接口的PVID;如果该帧包含802.1Q的VLAN标签,则不改变。 5、当Trunk端口发送数据帧时,当该所发送数据帧的VLAN ID与端口的PVID不同时,检查是否允许该VLAN通过,若允许的话则直接透传,不允许就直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则剥离VLAN标签后转发。
3.2 Trunk接口配置实验¶
3.2.1 实验目的¶
1、理解干道链路的应用场景 2、掌握Trunk端口的配置 3、掌握Trunk端口允许所有VLAN通过的配置方法 4、掌握Trunk端口允许特定VLAN通过的配置方法
3.2.2 实验内容¶
本实验模拟某公司网络场景。公司规模较大,员工200余名,内部网络是一个大的局域网。公司放置了多台接入交换机(如S1和S2)负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域,由于员工较多,相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信,需要配置交换机之间链路为干道模式,以实现相同VLAN跨交换机通信。
3.2.3 实验拓扑¶
3.2.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
| PC-2 | Ethernet 0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
| PC-3 | Ethernet 0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
| PC-4 | Ethernet 0/0/1 | 10.1.1.4 | 255.255.255.0 | N/A |
3.2.5 实验步骤¶
3.2.5.1 基本配置¶
根据实验编制表进行相应的基本IP地址配置,并使用Ping命令检测各直连链路的连通性。
3.2.5.2 创建VLAN,配置Access接口¶
1、在S1、S2、S3上分别创建VLAN 10和VLAN 20,研发部员工属于VLAN 10,市场部员工属于VLAN 20
[S1]vlan 10
[S1-vlan10]description
[S1-vlan10]description yanfa
[S1-vlan10]vlan 20
[S1-vlan20]description Market
[S2]vlan 10
[S2-vlan10]description
[S2-vlan10]description yanfa
[S2-vlan10]vlan 20
[S2-vlan20]description Market
[S3]vlan 10
[S3-vlan10]description
[S3-vlan10]description yanfa
[S3-vlan10]vlan 20
[S3-vlan20]description Market
2、配置完成后,使用display vlan命令查看所配置的VLAN信息
[S1]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D)
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D)
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D)
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D)
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
10 common
20 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable yanfa
20 enable default enable disable Market
[S2]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(D) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(U)
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D)
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D)
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D)
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
10 common
20 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable yanfa
20 enable default enable disable Market
[S3]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D)
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D)
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D)
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D)
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D)
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D)
10 common
20 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable yanfa
20 enable default enable disable Market
3、同时也可以使用display vlan summary命令查看所配置VLAN的简要信息
[S3]display vlan summ
[S3]display vlan summary
static vlan:
Total 3 static vlan.
1 10 20
dynamic vlan:
Total 0 dynamic vlan.
reserved vlan:
Total 0 reserved vlan.
4、在S1上配置E0/0/2和E0/0/3和在S2上配置E0/0/3和E0/0/4为Access接口,并划分到相应的VLAN
[S1]interface e0/0/2
[S1-Ethernet0/0/2]port link-type access
[S1-Ethernet0/0/2]port default vlan 10
[S1-Ethernet0/0/2]int e0/0/3
[S1-Ethernet0/0/3]port link-type access
[S1-Ethernet0/0/3]port default vlan 20
[S2]interface e0/0/3
[S2-Ethernet0/0/3]port link-type access
[S2-Ethernet0/0/3]port default vlan 10
[S2-Ethernet0/0/3]int e0/0/4
[S2-Ethernet0/0/4]port link-type access
[S2-Ethernet0/0/4]port default vlan 20
5、配置完成后,使用display port vlan命令检查VLAN和接口配置情况。
[S1]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 -
Ethernet0/0/2 access 10 -
Ethernet0/0/3 access 20 -
[S2]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 -
Ethernet0/0/2 hybrid 1 -
Ethernet0/0/3 access 10 -
Ethernet0/0/4 access 20 -
3.2.5.3 配置Trunk接口¶
1、在S1上配置E0/0/1、S2上配置E0/0/2、S3上配置GE0/0/1和GE0/0/2为Trunk接口,并且允许VLAN10、20 通过
[S1]int e0/0/1
[S1-Ethernet0/0/1]port link-type trunk
[S1-Ethernet0/0/1]port trunk allow-pass vlan 10 20
[S2]int e0/0/2
[S2-Ethernet0/0/1]port link-type trunk
[S2-Ethernet0/0/1]port trunk allow-pass vlan 10 20
[S3]int g0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[S3]int g0/0/2
[S3-GigabitEthernet0/0/2]port link-type trunk
[S3-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
2、配置完成后可以使用display port vlan命令来检查Trunk接口,并且允许所有VLAN流量通过(VLAN 1~4094)
[S3]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet0/0/1 trunk 1 1 10 20
GigabitEthernet0/0/2 trunk 1 1 10 20
3、测试PC-1与PC-3、PC-2和PC-4的连通性
PC-1>ping 10.1.1.3
Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break
From 10.1.1.3: bytes=32 seq=1 ttl=128 time=78 ms
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=94 ms
From 10.1.1.3: bytes=32 seq=3 ttl=128 time=63 ms
From 10.1.1.3: bytes=32 seq=4 ttl=128 time=78 ms
From 10.1.1.3: bytes=32 seq=5 ttl=128 time=78 ms
--- 10.1.1.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 63/78/94 ms
PC-2>ping 10.1.1.4
Ping 10.1.1.4: 32 data bytes, Press Ctrl_C to break
From 10.1.1.4: bytes=32 seq=1 ttl=128 time=79 ms
From 10.1.1.4: bytes=32 seq=2 ttl=128 time=109 ms
From 10.1.1.4: bytes=32 seq=3 ttl=128 time=94 ms
From 10.1.1.4: bytes=32 seq=4 ttl=128 time=62 ms
From 10.1.1.4: bytes=32 seq=5 ttl=128 time=78 ms
--- 10.1.1.4 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 62/84/109 ms
注意:在华为S系列交换机上,当Trunk接口上收到带有vlan tag的数据帧,但本机上没有创建与该vlan tag 数据帧中所携带的vlan id一致的vlan 时,会对做数据帧做丢弃处理!!!
3.3 思考¶
连接PC的交换机也可以配置成Trunk接口吗?为什么? 答:(1)不可以(2)PC不能识别处理包含802.1Q的数据帧。
四、理解Hybrid接口的应用¶
4.1 Hybrid接口用途¶
1、Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路,它允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的标签剥掉。 2、通过配置Hybrid接口,能够实现对VLAN标签的灵活控制,既能实现Access接口的功能,又能实现Trunk接口的功能。
4.2 Hybrid接口处理VLAN帧过程¶
1、收到一个二层帧,判断是否有VLAN标签。没有标签,则标记上Hybrid接口的PVID,进行下一步处理;有标签,判断该Hybrid接口是否允许该VLAN的帧进入,允许则进行下一步处理,否则丢弃。 2、当数据帧从Hybrid接口发出时,交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged,先剥离帧的VLAN标签,再发出;如果是Tagged,则直接发送帧。
4.3 Hybrid接口的应用实验¶
4.3.1 实验目的¶
1、掌握配置Hybrid接口的方法 2、理解Hybrid接口处理Untagged数据帧过程 3、理解Hybrid接口处理Tagged数据帧过程 4、理解Hybrid接口的应用场景
4.3.2 实验内容¶
某企业二层网络使用两台S3700交换机S1和S2,且两台设备在不同的楼层。网络管理员规划了3个不同VLAN,HR部门使用VLAN 10,市场部门使用VLAN20,IT部门使用VLAN 30。现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信,而两部门之间不允许互相通信;IT部门可以访问任意部门。可以设置Hybrid接口来实现较复杂的VLAN控制。
4.3.3 实验拓扑¶
4.3.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 192.168.1.1 | 255.255.255.0 | N/A |
| PC-2 | Ethernet 0/0/1 | 192.168.1.2 | 255.255.255.0 | N/A |
| PC-3 | Ethernet 0/0/1 | 192.168.1.3 | 255.255.255.0 | N/A |
| PC-4 | Ethernet 0/0/1 | 192.168.1.4 | 255.255.255.0 | N/A |
| PC-5 | Ethernet 0/0/1 | 192.168.1.100 | 255.255.255.0 | N/A |
4.3.5 实验步骤¶
4.3.5.1 基本配置¶
按照实验编址表为PC配置IP地址,并使用Ping测试主机之间的连通性。
4.3.5.2 实现组内通信、组间隔离、网管员对所有网络的访问¶
1、在S1、S2上创建VLAN,并作描述
[S1]vlan 10
[S1-vlan10]description HR
[S1-vlan10]vlan 20
[S1-vlan20]description Market
[S1-vlan10]vlan 30
[S1-vlan30]description IT
[S2]vlan 10
[S2-vlan10]description HR
[S2-vlan10]vlan 20
[S2-vlan20]description Market
[S2-vlan10]vlan 30
[S2-vlan30]description IT
2、在S1上使用display port vlan 命令查看接口的默认类型。
[S1]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 10 20 30
Ethernet0/0/2 hybrid 20 -
Ethernet0/0/3 hybrid 10 -
Ethernet0/0/4 hybrid 30 -
Ethernet0/0/5 hybrid 1 -
Ethernet0/0/6 hybrid 1 -
Ethernet0/0/7 hybrid 1 -
Ethernet0/0/8 hybrid 1 -
Ethernet0/0/9 hybrid 1 -
Ethernet0/0/10 hybrid 1 -
注意:接口类型默认为Hybrid,接口的PVID是VLAN 1!!! 3、指定配置S1、S2接口的Untagged帧、tagged帧
[S1]interface Ethernet 0/0/1
[S1-Ethernet0/0/1]port hybrid tagged 10 20 30
[S1]interface Ethernet 0/0/2
[S1-Ethernet0/0/2]port hybrid pvid vlan 20 #设置Untagged帧加入至VLAN 20
[S1-Ethernet0/0/2]port hybrid untagged 20 30 #让VLAN20、30的帧以Untagged方式发出去
[S1]interface Ethernet 0/0/3
[S1-Ethernet0/0/3]port hybrid pvid vlan 10 #设置Untagged帧加入至VLAN 10
[S1-Ethernet0/0/3]port hybrid untagged 10 30 #让VLAN10、30的帧以Untagged方式发出去
[S1]interface Ethernet 0/0/4
[S1-Ethernet0/0/4]port hybrid pvid vlan 30 #设置Untagged帧加入至VLAN 30
[S1-Ethernet0/0/4]port hybrid untagged 10 20 30 #让VLAN10、20、30的帧以Untagged方式发出去
[S2]interface Ethernet 0/0/1
[S2-Ethernet0/0/1]port hybrid tagged 10 20 30 #同上
[S2]interface Ethernet 0/0/2
[S2-Ethernet0/0/2]port hybrid pvid vlan 20 #同上
[S2-Ethernet0/0/2]port hybrid untagged 20 30 #同上
[S2]interface Ethernet 0/0/3
[S2-Ethernet0/0/3]port hybrid pvid vlan 10 #同上
[S2-Ethernet0/0/3]port hybrid untagged 10 30 #同上
4、测试PC-1与本部门内主机PC-2间的连通性
PC-1>ping 192.168.1.2
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break
From 192.168.1.2: bytes=32 seq=1 ttl=128 time=62 ms
From 192.168.1.2: bytes=32 seq=2 ttl=128 time=94 ms
From 192.168.1.2: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.1.2: bytes=32 seq=4 ttl=128 time=47 ms
From 192.168.1.2: bytes=32 seq=5 ttl=128 time=63 ms
--- 192.168.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/65/94 ms
5、测试PC-1与外部门主机PC-3和PC-4的连通性
PC-1>ping 192.168.1.3
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
--- 192.168.1.3 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
PC-1>ping 192.168.1.4
Ping 192.168.1.4: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
--- 192.168.1.4 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
6、测试PC-1与IT部门网络管理员主机PC-5的连通性
PC-1>ping 192.168.1.100
Ping 192.168.1.100: 32 data bytes, Press Ctrl_C to break
From 192.168.1.100: bytes=32 seq=1 ttl=128 time=31 ms
From 192.168.1.100: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.1.100: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.1.100: bytes=32 seq=4 ttl=128 time=31 ms
From 192.168.1.100: bytes=32 seq=5 ttl=128 time=31 ms
--- 192.168.1.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/37/47 m
4.4 基于Hybrid接口配置对比三层路由¶
1、三层路由:通常情况下每个VLAN都会分配一个独立的IP网络,根据需要把对应主机所在接口划入到指定的VLAN中,并配置相应的网络IP地址,VLAN间通过路由访问来实现相互访问。 2、三层路由缺点:在于VLAN之间的访问控制要借助于路由设备来实现。 3、Hybrid接口配置优点:简化了配置的复杂性,它仅需在端口上自主定义基于VLAN Tag的过滤规则,既不需要每个VLAN定义单独的网段,更不需要在VLAN间引入路由设备,配置更加灵活方便。
4.5 思考¶
在本实验中,如果将PC-5所连交换机的接口E 0/0/4下的port hybrid pvid vlan 30命令删除,PC-4所连的端口E0/0/3下的port hybrid pvid vlan 10命令删除,其他端口配置保持不变。此时PC-5和PC-4间的连通性是否为正常?报文经过S1和S2间端口时使用的VLAN Tag是哪个?为什么? 答:(1)PC-5和PC-4间的连通性为正常 (2)报文经过S1和S2间端口时使用的VLAN Tag是1 (3)删除以上命令后,S1的E0/0/4 收到后发现没有标签会标记上Hybrid接口的PVID也就是默认PVID 1,当从S1的E0/0/1发出去时发现VLAN1是带标签的,会直接转发。S2的E0/0/1收到此标签后,发现允许该数据帧进入。最后从S2的E0/0/3剥离标签转发。
五、利用单臂路由实现VLAN间路由¶
5.1 VLAN技术的优缺点¶
5.1.1 VLAN技术优点¶
隔离二层广播域来减少广播的影响,并增强网络的安全性和可管理性。
5.1.2 VLAN技术缺点¶
严格地隔离了不同VLAN间的任何二层流量,使分属不同的VLAN的用户不能直接互相通信
5.2 单臂路由原理¶
1、通过一台路由器,使VLAN间互通数据通过路由器进行三层转发。 2、在路由器的一个物理接口上通过配置子接口(即逻辑接口)的方式来实现以一当多的功能。 3、路由器同一物理口的不同子接口作为不同VLAN的默认网关,当不同VLAN间用户主机需要通信时,只需将数据包发送给网关,网关处理后再发送至目的主机所在VLAN,从而实现VLAN间通信。
5.3 单臂路由实现VLAN间路由互通实验¶
5.3.1 实验目的¶
1、掌握单臂路由的应用场景 2、掌握路由器子接口的配置方法 3、掌握子接口封装VLAN的配置方法 4、理解单臂路由的工作原理
5.3.2 实验内容¶
本实验模拟公司网络场景。路由器R1是公司的出口网关,员工PC通过接入层交换机(如S2和S3)接入公司网络,接入层交换机又通过汇聚交换机S1与路由器R1相连。公司内部网络通过划分不同的VLAN来隔离不同部门之间的二层通信,保证各部门之间的信息安全,但是由于业务需要,经理、市场部和人事部之间需要能跨越VLAN通信,网络管理员决定借助路由器的三层功能,配置单臂路由来实现。
5.3.3 实验拓扑¶
5.3.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| R1(AR2220) | GE 0/0/1.1 | 192.168.1.254 | 255.255.255.0 | N/A |
| R1(AR2220) | GE 0/0/1.2 | 192.168.2.254 | 255.255.255.0 | N/A |
| R1(AR2220) | GE 0/0/1.3 | 192.168.3.254 | 255.255.255.0 | N/A |
| PC-1 | Ethernet 0/0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| PC-2 | Ethernet 0/0/1 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
| PC-3 | Ethernet 0/0/1 | 192.168.3.1 | 255.255.255.0 | 192.168.3.254 |
5.3.5 实验步骤¶
5.3.5.1 基本配置¶
按照实验编址表为PC配置IP地址,并使用Ping测试主机之间的连通性。
5.3.5.2 创建VLAN并配置Access、Trunk接口¶
1、在S2上创建VLAN 10和VLAN 20,并把连接终端的接口配置为Access类型接口,并划分到相应VLAN中。
[S2]vlan 10
[S2-vlan10]description HR
[S2-vlan10]vlan 20
[S2-vlan20]description Market
[S2]interface Ethernet 0/0/1
[S2-Ethernet0/0/1]port link-type access
[S2-Ethernet0/0/1]port default vlan 10
[S2-Ethernet0/0/1]interface Ethernet 0/0/2
[S2-Ethernet0/0/2]port link-type access
[S2-Ethernet0/0/2]port default vlan 20
2、在S3上创建VLAN 30,并把连接终端的接口配置为Access类型接口,并划分到相应VLAN中。
[S3]vlan 30
[S3-vlan30]description Manager
[S3]interface Ethernet 0/0/1
[S3-Ethernet0/0/1]port link-type access
[S3-Ethernet0/0/1]port default vlan 30
3、将S2和S3上的GE0/0/2接口配置成Trunk类型接口,并允许所有VLAN通过
[S2]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]port link-type trunk
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[S3]interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/2]port link-type trunk
[S3-GigabitEthernet0/0/2]port trunk allow-pass vlan all
4、在S1上创建VLAN 10,VLAN 20和VLAN 30,并配置交换机和路由器相连的接口为Trunk,允许所有VLAN通过。
[S1]vlan 10
[S1-vlan10]description HR
[S1-vlan10]vlan 20
[S1-vlan20]description Market
[S1-vlan20]vlan 30
[S1-vlan30]description Manager
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type trunk
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port link-type trunk
[S1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type trunk
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
5.3.5.3 配置路由器子接口和IP地址¶
1、在R1上创建子接口GE0/0/1.1,配置IP地址192.168.1.254/24,作为人事部的网关地址
[R1]interface GigabitEthernet 0/0/1.1
[R1-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24
2、在R1上创建子接口GE0/0/1.2,配置IP地址192.168.2.254/24,作为市场部的网关地址
[R1]interface GigabitEthernet 0/0/1.2
[R1-GigabitEthernet0/0/1.2]ip address 192.168.2.254 24
3、在R1上创建子接口GE0/0/1.3,配置IP地址192.168.3.254/24,作为经理的网关地址
[R1]interface GigabitEthernet 0/0/1.3
[R1-GigabitEthernet0/0/1.3]ip address 192.168.3.254 24
4、在PC-1上测试与PC-2的连通性
PC-1>ping 192.168.2.1
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
--- 192.168.1.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
失败原因:路由器作为三层设备,默认无法处理带了VLAN标签的数据包。需要在路由器上的子接口配置对应VLAN封装,使路由器能够识别和处理VLAN标签,包括剥离和封装VLAN标签。
5.3.5.4 配置路由器子接口封装VLAN¶
1、使用dot1q termination vid 10命令配置子接口对一层tag报文的终结功能。即配置该命令后,路由器子接口在接收带有VLAN tag的报文时,将剥离tag进行三层转发,在发送报文时,会将与该子接口对应VLAN的VLAN tag添加到报文中。 2、使用arp broadcast enable 命令开启子接口的ARP广播功能。如果不配置该命令,将会导致该子接口无法主动发送ARP广播报文,以及向外转发IP报文。
[R1]int g0/0/1.1
[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.1]arp broadcast enable
[R1]int g0/0/1.2
[R1-GigabitEthernet0/0/1.2]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.2]arp broadcast enable
[R1]int g0/0/1.3
[R1-GigabitEthernet0/0/1.3]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.3]arp broadcast enable
3、在PC-1上分别测试与网关地址192.168.1.254和PC-2的连通性。
PC-1>ping 192.168.2.1
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.2.1: bytes=32 seq=2 ttl=127 time=125 ms
From 192.168.2.1: bytes=32 seq=3 ttl=127 time=125 ms
From 192.168.2.1: bytes=32 seq=4 ttl=127 time=141 ms
From 192.168.2.1: bytes=32 seq=5 ttl=127 time=125 ms
--- 192.168.2.1 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/129/141 ms
PC-2>ping 192.168.1.254
Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break
From 192.168.1.254: bytes=32 seq=1 ttl=255 time=78 ms
From 192.168.1.254: bytes=32 seq=2 ttl=255 time=109 ms
From 192.168.1.254: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.1.254: bytes=32 seq=4 ttl=255 time=47 ms
From 192.168.1.254: bytes=32 seq=5 ttl=255 time=62 ms
--- 192.168.1.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 47/68/109 ms
5.3.5.5 单臂路由运作流程(以PC-1 ping PC-2为例)¶
1、PC-1会将数据包发往自己的网关 2、数据包到达R1后,由于路由器的子接口GE 0/0/1.1已经配置了VLAN封装,当接收到PC-1发送的VLAN10的数据帧时,发现数据帧的VLAN ID跟自身GE0/0/1.1接配置的VLAN ID一样,剥离数据帧的VLAN 标签后通过三层路由转发。 3、通过查找路由表后,发现数据包中的目的地址192.168.2.1所属的192.168.2.0/24网段的路由条目,已经是路由器上的直连路由,且出接口为GE0/0/1.2,便将该数据包发送至GE0/0/1.2接口。 4、当GE 0/0/1.2接口接收到一个没有带VLAN标签的数据帧时,便会加上自身接口配置的VLAN 20后再进行转发,然后通过交换机将数据帧顺利转发给PC-2。
说明:在华为AR路由器上,端口默认不会向外发送icmp端口不可达消息,需要在系统视图下使用icmp port-unreachable send 命令开启该功能,以保证tracert测试的准确性。
5.4 思考¶
VLAN间的通信可以利用单臂路由的方式来实现,那么利用单臂路由实现数据转发会存在哪些潜在问题?该如何解决? 答: 存在问题:(1)路由器与交换机通过一条链路相连,容易造成网络单点故障,导致VLAN间通信中断。(2)各个VLAN间的通信都是由"单臂"链路承载,"单臂"链路可能会成为流量传输的瓶颈。 解决方法:利用三层交换机实现VLAN间路由
六、利用三层交换机实现VLAN间路由¶
6.1 三层交换机出现背景¶
单臂路由存在一定的局限性,比如带宽、转发效率等
6.2 VLANIF接口介绍¶
VLANIF接口是基于网络层的接口,可以配置IP地址。借助VLANIF接口,三层交换机就能实现路由转发功能。
6.3 利用三层交换机实现VLAN间路由实验¶
6.3.1 实验目的¶
1、掌握配置VLANIF接口的方法 2、理解数据包跨VLAN路由的原理 3、掌握测试多层交换机网络连通性的方法
6.3.2 实验内容¶
本实验模拟企业网络场景,公司有两个部门——销售部和客服部,分别规划使用VLAN 10和VLAN 20。其中销售部下有两台终端PC-1和PC-2,客服部下有一台终端PC-3。所有终端都通过核心三层交换机S1相连。现需要让该公司所有三台主机都能实现互相访问,网络管理员将通过配置三层交换机来实现。
6.3.3 实验拓扑¶
6.3.4 实验编址¶
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| PC-2 | Ethernet 0/0/1 | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 |
| PC-3 | Ethernet 0/0/1 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
| S1(S5700) | VLANIF 10 | 192.168.1.254 | 255.255.255.0 | N/A |
| S1(S5700) | VLANIF 20 | 192.168.2.254 | 255.255.255.0 | N/A |
| ### 6.3.5 实验步骤 | ||||
| #### 6.3.5.1 基本配置 | ||||
| 根据实验编制表在PC上进行相应的基本IP地址配置,配置完成后。使用Ping命令测试链路的正常连通性。 | ||||
| #### 6.3.5.2 配置三层交换机实现VLAN间通信 | ||||
| 1、在S1上创建业务VLAN并添加描述信息 |
[S1]vlan 10
[S1-vlan10]description xiaoshoubu
[S1-vlan10]vlan 20
[S1-vlan20]description shichangbu
2、在S1上把销售部的主机全部划入VLAN 10中,客服部的主机全部划入到VLAN 20中。
[S1]port-group group-member g0/0/1 g0/0/2 #设置团体组,方便统一配置
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/2]port link-type access
[S1-port-group]port default vlan 10
[S1-GigabitEthernet0/0/1]port default vlan 10
[S1-GigabitEthernet0/0/2]port default vlan 10
[S1]int GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type access
[S1-GigabitEthernet0/0/3]port default vlan 20
3、在S1上使用interface Vlanif 10、interface Vlanif 20分别创建对应的VLANIF接口,并配置IP地址。
[S1]interface Vlanif 10
[S1-Vlanif10]ip address 192.168.1.254 24
[S1-Vlanif10]int vlan 20
[S1-Vlanif20]ip address 192.168.2.254 24
4、测试PC-1和PC-3的连通性
PC-1>ping 192.168.2.1
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=127 time=62 ms
From 192.168.2.1: bytes=32 seq=2 ttl=127 time=47 ms
From 192.168.2.1: bytes=32 seq=3 ttl=127 time=31 ms
From 192.168.2.1: bytes=32 seq=4 ttl=127 time=32 ms
From 192.168.2.1: bytes=32 seq=5 ttl=127 time=46 ms
--- 192.168.2.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/43/62 ms
6.4 思考¶
试问三层交换机与路由器实现三层功能的方式是否相同?为什么? 答:(1)不相同(2)因为三层交换机上的物理接口都是二层接口,需要在三层交换机上配置VLANIF接口。VLANIF接口是基于物理层的接口,可以配置IP地址。借助于VLANIF接口,三层交换机就能实现路由转发功能。