實(shí)驗(yàn)任務(wù)2_虛擬局域網(wǎng)VLAN的配置00[1]

1、山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院網(wǎng)絡(luò)實(shí)驗(yàn)室實(shí)驗(yàn)二、虛擬局域網(wǎng)VLAN配置實(shí)驗(yàn)【相關(guān)知識(shí)】1虛擬局域網(wǎng)VLAN簡(jiǎn)介虛擬局域網(wǎng)VLAN是通過(guò)將局域網(wǎng)內(nèi)設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段的技術(shù)。這里所說(shuō)的網(wǎng)段僅僅是邏輯網(wǎng)段的概念，而不是真正的物理網(wǎng)段?？梢詫LAN理解為是在物理網(wǎng)絡(luò)上通過(guò)設(shè)備配置邏輯地劃分出來(lái)的邏輯網(wǎng)絡(luò)，相當(dāng)于OSI參考模型的第二層的廣播域。由于實(shí)現(xiàn)了廣播域分隔，VLAN可以將廣播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，隨著廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗的帶寬所占的比例大大降低，網(wǎng)絡(luò)性能得到顯著提高。不同的VLAN間的數(shù)據(jù)傳輸是通過(guò)第三層（網(wǎng)絡(luò)層）的路由來(lái)實(shí)現(xiàn)的，因此使用VLA

2、N技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。同時(shí)，由于VLAN是邏輯的而不是物理的，因此在規(guī)劃網(wǎng)絡(luò)時(shí)可以避免地理位置的限制。如上所述，VLAN具有控制網(wǎng)絡(luò)廣播、提高網(wǎng)絡(luò)性能；分隔網(wǎng)段、確保網(wǎng)絡(luò)安全；簡(jiǎn)化網(wǎng)絡(luò)管理、提高組網(wǎng)靈活性的功能。目前業(yè)界公認(rèn)的VLAN劃分方法有如下幾種： 基于端口的VLAN（Port-Based） 基于協(xié)議的VLAN（Protocol-Based） 基于MAC層分組的VLAN（MAC-Layer Grouping） 基于網(wǎng)絡(luò)層分組的VLAN（Network-Layer Grouping） 基于IP組播分組的VLAN（IP Multicast Groupi

3、ng） 基于策略的VLAN（Policy-Based）其中基于端口的靜態(tài)VLAN是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法，它實(shí)際上是某些交換機(jī)端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換機(jī)端口，而不管交換機(jī)端口連接什么設(shè)備。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分的，是目前業(yè)界定義VLAN最廣泛的方法，IEEE802.1Q規(guī)定了這種劃分VLAN的國(guó)際標(biāo)準(zhǔn)。2VLAN的基本配置命令基于端口的VLAN在實(shí)現(xiàn)上包括兩個(gè)步驟，首先啟用VLAN（用VLAN ID標(biāo)識(shí)），而后將交換機(jī)端口指定到相應(yīng)VLAN下。配置命名如下：（1）vlan命令語(yǔ)法格式為：vlan vlan-id該命令執(zhí)行于全局配置模

4、式下，是進(jìn)入VLAN配置模式的導(dǎo)航命令。使用該命令的no選項(xiàng)可以刪除VLAN：no vlan vlan-id注意：缺省的VLAN（VLAN 1）不允許刪除。例如啟用VLAN 10，執(zhí)行如下：Switch(config)#vlan 10Switch(config-vlan)#（2）switchport access命令語(yǔ)法格式為：switchport access vlan vlan-id no switchport access vlan使用該命令將一個(gè)端口設(shè)置為 statics accessport，并將它指派為一個(gè)VLAN的成員端口。使用該命令的no選項(xiàng)將該端口指派到缺省的VLAN中。sw

5、itch port缺省模式為access，缺省的VLAN為VLAN 1。如果輸入的是一個(gè)新的VLAN ID，則交換機(jī)會(huì)創(chuàng)建一個(gè) VLAN，并將該端口設(shè)置為該 VLAN 的成員。如果輸入的是已經(jīng)存在的 VLAN ID，則增加VLAN的成員端口。例如將交換機(jī)F0/5端口指定到VLAN 10的配置為：Switch(config)# interface fastEthernet 0/5Switch(config-if)# switchport access vlan 103IEEE802.1Q標(biāo)準(zhǔn)1996年3月，IEEE802.1 Internet Working委員會(huì)結(jié)束了對(duì)VLAN初期標(biāo)準(zhǔn)的修訂工

6、作，統(tǒng)一了Frame-Tagging（幀標(biāo)記）方式中不同廠(chǎng)商的標(biāo)簽格式，制定IEEE802.1Q VLAN標(biāo)準(zhǔn)，進(jìn)一步完善了VLAN的體系結(jié)構(gòu)。802.1Q定義了VLAN的橋接規(guī)則，能夠正確識(shí)別VLAN的幀格式，更好地支持多媒體應(yīng)用。它為以太網(wǎng)提供了更好服務(wù)質(zhì)量（QOS）保證和安全的能力。如圖2.1所示，IEEE802.1Q使用4Byte的標(biāo)記頭來(lái)定義Tag（標(biāo)記）。Tag頭中包括2Byte的VPID（VLAN Protocol Identifier）和2Byte的VCI（VLAN Control Information）。其中：VPID為0x8100，標(biāo)識(shí)該數(shù)據(jù)幀承載IEEE802.1Q的T

7、ag信息；VCI包含組件：3 bits用戶(hù)優(yōu)先級(jí)、1 bits CFT（Canonical Format Indicator），默認(rèn)值為0（表示以太網(wǎng)）和12 bits的VID（VLAN Identifier，VLAN標(biāo)識(shí)符）。圖2.1 802.1Q幀格式基于802.1Q Tag VLAN用VID來(lái)劃分不同VLAN，當(dāng)數(shù)據(jù)幀通過(guò)交換機(jī)的時(shí)候，交換機(jī)根據(jù)數(shù)據(jù)幀中Tag的VID信息來(lái)識(shí)別它們所在的VLAN（若幀中無(wú)Tag頭，則應(yīng)用幀所通過(guò)端口的默認(rèn)VID來(lái)識(shí)別它們所在的VLAN）。這使得所有屬于該VLAN的數(shù)據(jù)幀，不管是單播幀、組播幀還是廣播幀，都將被限制在該邏輯VLAN中傳輸。當(dāng)使用多臺(tái)交換機(jī)分

8、別配置VLAN后，可以使用Trunk（干道）方式實(shí)現(xiàn)跨交換機(jī)的VLAN內(nèi)部連通，交換機(jī)的Trunk端口不隸屬于某個(gè)VLAN，而是可以承載所有VLAN的幀?？缃粨Q機(jī)的VLAN實(shí)現(xiàn)使得網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)可以完全不受實(shí)際物理連接的限制，極大地提高了組網(wǎng)的靈活性?；ヂ?lián)的交換機(jī)能夠通過(guò)識(shí)別數(shù)據(jù)幀的目的MAC地址和VLAN信息，將它發(fā)送到正確的VLAN和端口中。而在互聯(lián)端口出現(xiàn)擁塞時(shí)，交換機(jī)都能夠通過(guò)識(shí)別802.1P協(xié)議（它是802.1Q的補(bǔ)充，它定義了優(yōu)先級(jí)的概念）字段的優(yōu)先級(jí)信息，優(yōu)先轉(zhuǎn)發(fā)高優(yōu)先級(jí)的數(shù)據(jù)包。這種方式受到多廠(chǎng)家設(shè)備的支持，已經(jīng)在不同產(chǎn)品組成的二層網(wǎng)絡(luò)中普遍使用。4Port VLAN和Ta

9、g VLAN在VLAN配置中，我們使用switchport mode命令來(lái)指定一個(gè)二層接口（switch port）的模式，可以指定該接口為access port或者為trunk port。使用該命令的no選項(xiàng)將該接口的模式恢復(fù)為缺省值（access）。其命令執(zhí)行在接口模式下，語(yǔ)法格式如下：switchport mode access | trunk no switchport mode如果一個(gè)switch port的模式是access，則該接口只能為一個(gè)VLAN的成員?？梢允褂胹witchport access vlan命令指定該接口是哪一個(gè)VLAN的成員，這種接口又稱(chēng)為Port VLAN；

10、如果一個(gè) switch port 的模式是trunk，則該接口可以是多個(gè) VLAN 的成員，這種配置被稱(chēng)為T(mén)ag VLAN。Trunk接口默認(rèn)可以傳輸本交換機(jī)支持的所有VLAN（14094），但是也可以通過(guò)設(shè)置接口的許可VLAN列表來(lái)限制某些VLAN的流量不能通過(guò)這個(gè)trunk口。在Trunk口 修改許可VLAN 列表的命令如下（本節(jié)實(shí)驗(yàn)對(duì)此不作要求）。switchport trunk allowed vlan all | add | remove | except vlan-list 其中：all的含義是許可VLAN列表包含所有的VLAN；add表示將指定的VLAN加入許可列表；remove

11、表示將指定的VLAN從許可列表中刪除；except表示將除列出的v lan-list外的所有VLAN加入許可列表。Trunk口能夠收發(fā)TAG或者UNTAG的802.1Q幀，其中UNTAG幀是用來(lái)傳輸Native VLAN的流量。默認(rèn)的Native VLAN是VLAN 1，如果一個(gè)幀帶有Native VLAN的VLAN ID，在通過(guò)這個(gè)Trunk口轉(zhuǎn)發(fā)時(shí)，會(huì)自動(dòng)被剝?nèi)AG。配置Native VLAN在Trunk口接口模式下，執(zhí)行switchport trunk native vlan vlan-id。附件1山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院實(shí)驗(yàn)報(bào)告學(xué)號(hào) _ 學(xué)生姓名 _ 實(shí)驗(yàn)時(shí)間_課程名稱(chēng)： 輔導(dǎo)教

12、師： 【實(shí)驗(yàn)名稱(chēng)】虛擬局域網(wǎng)VLAN的配置實(shí)驗(yàn)【實(shí)驗(yàn)內(nèi)容】任務(wù)1：VLAN實(shí)現(xiàn)交換機(jī)端口隔離實(shí)驗(yàn)；任務(wù)2：跨交換機(jī)的VLAN劃分實(shí)驗(yàn)任務(wù)1：VLAN實(shí)現(xiàn)交換機(jī)端口隔離實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆战粨Q機(jī)的靜態(tài)VLAN（基于交換機(jī)端口）的配置方法，了解VLAN的基本功能?！緦?shí)驗(yàn)設(shè)備和連接】實(shí)驗(yàn)設(shè)備和連接圖如圖所示，一臺(tái)銳捷S2126G交換機(jī)連接2臺(tái)PC機(jī)。圖 1 交換機(jī)端口隔離實(shí)驗(yàn)【實(shí)驗(yàn)分組】每四名同學(xué)為一組，其中每?jī)扇艘恍〗M，每小組各自獨(dú)立完成實(shí)驗(yàn)?！緦?shí)驗(yàn)內(nèi)容】步驟1：按照如圖1所示連接好設(shè)備，將配線(xiàn)架學(xué)生機(jī)2網(wǎng)卡和所選擇的交換機(jī)F0/1、F0/2端口對(duì)應(yīng)接口連接。例如在配線(xiàn)架上連接N1S7F1、N2S

13、7F2（將第一和第二臺(tái)學(xué)生機(jī)分別連接實(shí)驗(yàn)臺(tái)七號(hào)設(shè)備S2126的F0/1和F0/2端口）。進(jìn)入交換機(jī)配置。步驟2：首先劃分VLAN 創(chuàng)建VLAN10和VLAN20S2126G# configure terminal ！進(jìn)入交換機(jī)全局配置模式S2126G(config)# vlan 10 ！創(chuàng)建vlan 10S2126G(config-vlan)# name test10 ！將Vlan 10命名為test10S2126G(config-vlan)# exit！返回交換機(jī)全局配置模式S2126G(config)# vlan 20 ！創(chuàng)建vlan 20S2126G(config-vlan)# name

14、 test20 ！將Vlan 20命名為test20步驟3：將交換機(jī)端口劃分至VLANS2126G(config)# interface fastethernet 0/1 ！進(jìn)入F0/1的接口配置模式S2126G(config-if)# switch access vlan 10 ！將F0/1端口加入vlan 10中S2126G(config)# interface fastethernet 0/2 ！進(jìn)入F0/2的接口配置模式S2126G(config-if)# switch access vlan 20 ！將F0/2端口加入vlan 20中步驟4：VLAN配置驗(yàn)證S2126# show v

15、lan！該命令顯示VLAN的成員端口等信息VLAN Name Status Ports- - - -1 default active Fa0/3 ,Fa0/4 ,Fa0/5 Fa0/6 ,Fa0/7 ,Fa0/8 Fa0/9 ,Fa0/10,Fa0/11 Fa0/12,Fa0/13,Fa0/14 Fa0/15,Fa0/16,Fa0/17 Fa0/18,Fa0/19,Fa0/20 Fa0/21,Fa0/22,Fa0/23 Fa0/2410 test10 active Fa0/120 test20 active Fa0/2S2126#顯示狀態(tài)說(shuō)明F0/1已經(jīng)劃歸test10，F(xiàn)0/2已經(jīng)劃歸tes

16、t20。步驟5：測(cè)試結(jié)果將PC1和PC2的IP地址設(shè)為172.16.20.0/24的IP，驗(yàn)證PC1和PC2不能相互ping通。下面可以將目前的配置清空，準(zhǔn)備下一個(gè)實(shí)驗(yàn)，清空命令為：Delete flash:config.text ！清除配置文件Delete flash:vlan.dat ！刪除VLAN配置文件PC1的IP地址設(shè)置為：_；PC2的IP地址設(shè)置為：_；步驟5測(cè)試結(jié)果：PC1和PC2能否相互ping通？ 能； 不能；清除交換機(jī)配置后重啟，PC1和PC2能否相互ping通？ 能； 不能；任務(wù)2：跨交換機(jī)的VLAN劃分實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆湛缃粨Q機(jī)的VLAN配置方法，了解IEEE802.

17、1Q的基本原理，理解Port VLAN和Tag VLAN的使用?！緦?shí)驗(yàn)設(shè)備連接與分組】圖2 跨交換機(jī)劃分VLAN實(shí)驗(yàn)實(shí)驗(yàn)設(shè)備和連接圖如圖2所示，一臺(tái)銳捷S2126G交換機(jī)連接一臺(tái)S3550交換機(jī)，每臺(tái)交換機(jī)各連接2臺(tái)PC機(jī)。假設(shè)某企業(yè)的網(wǎng)絡(luò)中，計(jì)算機(jī)PC1和PC3屬于營(yíng)銷(xiāo)部門(mén)，PC2和PC4屬于技術(shù)部門(mén)，PC1和PC2連接在S3550上，PC3和PC4連接在S2126上，而兩個(gè)部門(mén)要求互相隔離，本實(shí)驗(yàn)的目的是實(shí)現(xiàn)跨兩臺(tái)交換機(jī)將不同端口劃歸不同的VLAN?！緦?shí)驗(yàn)分組】與任務(wù)1相同?！緦?shí)驗(yàn)內(nèi)容】步驟1：按照網(wǎng)絡(luò)拓?fù)湓赗ACK機(jī)柜中選擇一臺(tái)S3550和一臺(tái)S2126，完成接線(xiàn)。例如，選擇實(shí)驗(yàn)臺(tái)14P

18、C機(jī)，5交換機(jī)（S3550），7交換機(jī)（S2126）。可參考連接如下：S5F1S7F1、N1S5F3、N2S5F4、N3F7F3、N4F7F4。注意：隨著大家對(duì)實(shí)驗(yàn)機(jī)柜配線(xiàn)架的熟悉，今后的實(shí)驗(yàn)將不再給出接線(xiàn)參考。步驟2：配置S3550：（1）設(shè)備標(biāo)識(shí)Switch# configure terminalSwitch(config)# hostname S3550（2）在S3550上創(chuàng)建VLAN10、VLAN20S3550(config)# vlan 10！創(chuàng)建VLAN10S3550(config-vlan)# name sales！將vlan 10命名為營(yíng)銷(xiāo)salesS3550(config-v

19、lan)# exitS3550(config)# vlan 20！創(chuàng)建VLAN20S3550(config-vlan)# name technical！將vlan 20命名為技術(shù)technicalS3550(config-vlan)# endS3550# show vlan ！驗(yàn)證配置VLAN Name Status Ports- - - -1 default active Fa0/1 ,Fa0/2 ,Fa0/3 ,Fa0/4 Fa0/5 ,Fa0/6 ,Fa0/7 ,Fa0/8 Fa0/9 ,Fa0/10,Fa0/11,Fa0/12 Fa0/13,Fa0/14,Fa0/15,Fa0/16 F

20、a0/17,Fa0/18,Fa0/19,Fa0/20 Fa0/21,Fa0/22,Fa0/23,Fa0/2410 sales active20 technical active可以看出，在S3550上VLAN10和VLAN20已經(jīng)啟用，但還沒(méi)有指定端口。（3）在S3550上把F0/3劃歸VLAN10、F0/4劃歸VLAN20S3550# configure terminalS3550(config)# interface fastEthernet 0/3！進(jìn)入F0/3接口配置模式S3550(config-if)# switchport access vlan 10！將F0/3劃歸vlan10S

21、3550(config-if)# end S3550# show vlan id 10 ！驗(yàn)證配置VLAN Name Status Ports- - - -10 sales active Fa0/3可以看出S3550的接口F0/3已經(jīng)被劃歸VLAN10。S3550# configure terminalS3550(config)# interface fastEthernet 0/4！進(jìn)入F0/3接口配置模式S3550(config-if)# switchport access vlan 20！將F0/4劃歸vlan20S3550(config-if)# end S3550# show vla

22、n id 20 ！驗(yàn)證配置VLAN Name Status Ports- - - -20 technical active Fa0/4可以看出S3550的接口F0/4已經(jīng)被劃歸VLAN20。步驟3：S2126的配置方法與步驟2完全相同，這里不再列出。注意應(yīng)當(dāng)完成以下任務(wù)：將設(shè)備名改為S2126、創(chuàng)建VLAN10和VLAN20、分別將F0/3和F0/4接口劃分至VLAN10和VLAN20。步驟4：配置S3550和S2126之間的Trunk連接：以S3550為例，需要配置F0/1為T(mén)AG端口，配置命令如下：S3550(config)# interface fastEthernet 0/1！進(jìn)入F0

23、/1接口配置模式S3550(config-if)# switchport mode trunk ！將F0/1設(shè)置為T(mén)runk模式驗(yàn)證F0/1已經(jīng)設(shè)置為tag vlan模式的方法如下：S3550# show interface fastEthernet 0/1 switchport Interface Switchport Mode Access Native Protected VLAN lists Fa0/1 Enable Trunk 1 1 Disabled All注意S2126上也需要做同樣配置：S2126(config)# interface fastEthernet 0/1！進(jìn)入F0

24、/1接口配置模式S2126(config-if)# switchport mode trunk ！將F0/1設(shè)置為T(mén)runk模式步驟5：配置計(jì)算機(jī)：將PC1和PC3指定為172.16.10.0/24網(wǎng)段IP， PC2和PC4為172.16.20.0/24網(wǎng)段IP。例如PC1：172.16.10.10、PC2：172.16.20.20、PC3：172.16.10.30、PC4：172.16.20.40。C:ping 172.16.10.30 ！在PC1的命令行方式下驗(yàn)證能Ping通PC3 。Pinging 192.168.10.30 with 32 bytes of data:Reply from 192.168.10.30: