配置VLAN相关知识以及VLAN和Trunk实验
一.配置VLAN
VLAN的技术简介
vlan的优点
VLAN划分不受地理位置影响,在不同地理位置上的设备仍可共享同一网络空间;一个VLAN中的用户不仅可以在同一个交换机上连接,在线接入交换机或跨越路由器也是可行的配置方式。 VLAN技术的优势主要体现在以下几个方面:首先通过精确限定广播范围可有效减少不必要的数据传输从而节省带宽提升网络处理效率;其次能够大幅增强网络安全水平使不同VLAN之间的通信必须经过路由器或三层交换机等中继设备从而防止跨域通信中的数据泄露问题;此外支持方便创建虚拟团队结构使得组织架构更加灵活开放有利于提升协作效率的同时也能有效规避潜在的安全漏洞。
VLAN的类型
- 基于端口的 VLAN 是最简单、最有效的 VLAN 划分方法,它按照设备端口来定义 VLAN 成员。将指定端口加入到指定 VLAN 中之后,该端口就可以转发指定 VLAN 的数据帧。
上图中,交换机端口G1/0/1和G1/0/2被划分到VLAN10中,端口G1/0/3和G1/0/4被划分到VLAN20中,则 PCA 和 PCB 处于VLAN10中,可以互通; PCC 和 PCD 处于VLAN20中,可以互通。但 PCA 和 PCC 处于不同 VLAN ,它们之间不能互通。
基于所接收报文所属的协议类型进行划分的是基于协议的VLAN网络架构。其通过将不同类型的报文分配至不同的VLAN ID实现对网络资源的有效划分与管理。可用以区分VLAN协议类型的有IP与IPX两种主要的技术方案
该网络设备在接收以太网数据帧后会根据数据包中的协议类型来识别其所属的VLAN类别,并将其数据包自动分配至对应的VLAN通道进行传输。
该功能主要用于将网络支持的各种通信协议与相应的VLAN组建立关联关系,并便于管理和维护网络结构。
基于IP子网的VLAN根据报文源IP地址及子网掩码作为划分依据进行划分工作。当设备接收报文时,在分析报文中包含的源IP地址后,在现有VLAN中找到对应的VLAN编号,并自动将其数据转发至相应的VLAN中进行处理。
该功能的主要作用是确保指定网络段落或IP地址所发送的数据能够被正确地分配到对应的VLAN中进行传输。
VLAN的技术原理
我们知道,以太网交换机是依据MAC地址表来进行数据帧转发操作的装置。其中包含着设备端口与其所连接主机MAC地址之间的对应关系映射信息。当交换机接收到来自端口的以太网帧时,在查询其对应的MAC地址表后即可确定该帧应从哪个端口进行转发操作。特别地,在处理广播帧时,在将其发送给除源端口之外的所有其他设备之前必须先进行过滤操作
在VLAN技术中,则是在以太网帧上附加一个Tag标签的过程来实现该帧能够在特定的VLAN范围内传播的目的
如图所示,在接收方主机PCA和PCB发送过来的数据包上附加了所属的VLAN10标签;而PCC与PCD发送过来的数据包则被赋予了所属的VLAN20标签;同时在相应的MAC地址表中增加了关于这些Tag信息的相关记录
这样,在执行MAC地址表查找操作时交换机会自动判断数据包上的Tag是否匹配;若不匹配则不会对其进行转发操作;这实际上就是利用Tag标签对MAC地址表中的各项进行了分类管理;只有具有相同Tag标识的信息项之间的关联才会被激活从而实现数据包在同一类别的网络内自由流动
IEEE标准802.1Q正是对这种用于附带Tag信息到以太网帧上的格式进行了明确规定
在传统的以太网帧中增加了4个字节的802.1Q标签后形成了带有VLAN标签的帧(Tagged Frame)。而未附加802.1Q标签的传统数据帧则被称为未标记化帧(Untagged Frame)。
802.1Q标记头由两个字节组成:一个是协议标识符(TPID),另一个是控制信息(TCI)。
其中:
- TPID(Tag Protocol Indentifier)是由IEEE定义的一种新类型标识符,在其值域中包含固定值0x8100。
- TCI包含三个关键元素:
- 优先级:使用3位字段指定数据帧的优先等级。
- CFI(Canonical Format Indicator):用于指示封装框内地址位次序的信息,在令牌环/源路由FDDI介质访问方法中采用。
- VLAN ID(VLAN Identifier):占用12位字段用于标识所属VLAN编号;支持802.1Q协议交换机的数据帧都会包含此字段以表明所属VLAN编号。
交换机通过数据帧中的标签确定所属VLAN,请问这些标签的来源是什么?
VLAN 标签由交换机端口在收到以太网帧时自动添加标识以确定其所属区域。这一设计旨在简化网络管理,在终端设备层面无需了解VLAN划分细节以及如何识别带有802.1Q标签的以太网帧。
当终端主机发送以太网帧至交换机端口时,交换机会根据端口所属的VLAN给相应帧附加802.1Q标识信息以实现流量分类功能。
为了保障网络对主机操作的透明性与便利性,在此过程中交换机承担起相应责任。
这种仅允许默认VLAN相关的以太网帧通过的网络接口被定义为Access链路类型接口。当Access端口接收以太网帧时会附加VLAN标签发送到其他设备时则会去除VLAN标签由于其完全透明性这类接口通常会被用于连接那些无需识别802.1Q分组聚合协议的应用设备例如终端主机路由器等。
- VLAN 技术的很重要的功能是在网络中构建虚拟工作组,划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围。通过在网络中实施跨交换机的 VLAN ,能够实现虚拟工作组。
VLAN 跨越交换机时,需要交换机之间传递的以太网数据帧带有802.1Q标签。这样,数据帧所属的 VLAN 信息才不会丢失。
在上图中, PCA 和 PCB 所发出的数据帧分别打有VLAN10和VLAN20的标签, SWA 的端口G1/0/24负责对这些带802.1Q标签的数据帧进行转发,并不对其中的标签进行剥离操作。
允许多个VLAN数据帧通过的方式分类的端口称为Trunk链路类型端口。 Trunk链路类型端口不仅接收还能发送多个不同VLAN的数据帧,在处理这些数据帧的过程中不会对数据包中的标签进行任何操作处理。
然而,默认情况下 VLAN 帧是一个例外情况。在发送数据包的时候 Trunk 端口会剥离默认 VLAN 标签;同样地 当交换机从 Trunk 端口接收到没有 VLAN 标签的数据包时 也会自动附加默认 VLAN 的标签信息。
Trunk链路类型的端口通常用于连接交换机网络架构中的设备。
如图所示 PCA 至 PCC 以及 PCB 至 PCD 的标签操作流程如下: PCA 发送原始以太网数据包 经过 SWA 的G1/0/1 端口传输过程 在该过程中由于默认 VLAN 设置为10 所以会在数据包中添加上 VLAN10 标签;而 G1/0/24 端口作为一个 Trunk 链路类型端口 会将带有 VLAN10 标签的数据包转发至下一个交换机 SWB 。 SWB 接收到该数据包后 会根据 VLAN 标签重新定位到 VLAN10 类别 并将数据转发至相应的 G1/0/1 端口中 最终到达 PCC 设备。
类似地 PCB 发送的数据包会被附加上 VLAN20 标签 经过 G1/0/24 Trunk 端口后再转发至另一个交换机 SWB 。当未携带任何 VLAN 标签的数据包到达 SWB 的G1/0/24 端点时 交换机会自动附加 VLAN20 标签 并完成转发过程 最终将数据传输至 PCB 设备所在的 PCD 端点。
- 除了 Access 链路类型和 Trunk 链路类型端口外,交换机还支持第三种链路类型端口,称为 Hybrid 链路类型端口。 Hybrid 端口可以接收和发送多个 VLAN 的数据帧,同时还能够指定对任何 VLAN 帧进行剥离标签操作。
当网络中大部分主机之间需要隔离,但这些隔离的主机又需要与另一台主机互通时,可以使用 Hybrid 端口。
在上图中, PCA 发出的以太网帧进入端口时打上VLAN10的标签,在到达连接 PCC 的端口时,端口根据设定( Untag :10,20,30)将数据帧中的标签剥离后发送给 PCC ,所以 PCA 与 PCC 能够通信;同理, PCB 也能够与 PCC 通信。但 PCA 发出的以太网帧到达连接 PCB 的端口时,端口上的设定( Untag :20,30)表明只对VLAN20、VLAN30的数据帧转发且剥离标签,而不允许VLAn10的帧通过,所以 PCA 与 PCB 不能互通。
VLAN的基本配置
在默认状态下,默认仅配置一个VLAN(VLAN1),所有端口均归属该VLAN并设为Access链路类型。
完成VLAN配置的基本步骤如下:
第1步:在系统视图下创建 VLAN 并进入 VLAN 视图。配置命令为:
vlan vlan - id
第2步:在 VLAN 视图下将指定端口指定到该 VLAN 中。配置命令为:
port interface - list
VLAN配置示例
配置SWA:
- [SWA]vlan 10
- [SWA-vlan10]port GigbitEthernet1/0/1
- [SWA]vlan 20
- [SWA-vlan20]port GigbitEthernet1/0/2
- [SWA]int GigbitEthernet1/0/24
- [SWA-GigbitEthernet1/0/24]port link-type trnk
- [SWA-GigbitEthernet1/0/24]port trunk permit vlan 10 20
配置SWB:
- [SWB]vlan 10
- [SWB-vlan10]port GigbitEthernet1/0/1
- [SWB]vlan 20
- [SWB-vlan20]port GigbitEthernet1/0/2
- [SWB]int GigbitEthernet1/0/24
- [SWB-GigbitEthernet1/0/24]port link-type trnk
- [SWB-GigbitEthernet1/0/24]port trunk permit vlan 10 20
VLAN的显示与维护
vlan总结
二、vlan和trunk实验
(1)实验目的
- 熟练vlan的配置方法和命令
- 干道传输的配置方法
(2)实验相关理论
- 以太网交换机的工作原理
(3)实验内容及步骤
1.pc端IP地址命令略
2.在SWA和SWB上分别创建vlan10,vlan20
步骤1:在SWA上创建vlan10和vlan20
[H3C]sysname SWA
[SWA]vlan 10
[SWA-vlan10]vlan 20
步骤2:在SWB上创建vlan10和vlan20
[H3C]sysname SWB
[SWB]vlan 10
[SWB-vlan10]vlan 20
3.SWA和SWB都把g1/0/1接口加入vlan10,g1/0/2接口加入vlan20
[SWA]vlan 10
[SWA-vlan10]port g1/0/1
[SWA-vlan10]vlan 20
[SWA-vlan20]port g1/0/2
[SWB]vlan 10
[SWB-vlan10]port g1/0/1
[SWB-vlan10]vlan 20
[SWB-vlan20]port g1/0/2
4.SWA和SWB的g1/0/3接口都配置为trunk,允许vlan10和vlan20通过
[SWA-vlan20]interface g1/0/3
[SWA-G1/0/3]port link-type trunk
[SWA-G1/0/3]port trunk permit vlan 10 20
[SWB-vlan20]interface g1/0/3
[SWB-G1/0/3]port link-type trunk
[SWB-G1/0/3]port trunk permit vlan 10 20
5.测试结果
pc3 ping pc4可以ping通
pc3 ping pc5不能ping通