实验二、虚拟局域网VLAN配置实验

1、中北女学网給工程系专业实验枣中北衣学网給工程系专业实验蜜实验二、虚拟局域网VLAN配置实验【相关知识】虚拟局域网VLAN简介虚拟局域网VLAN是通过将局域网内设备逻辑地而不是物理地划分成一个个网段的技术。这里所说的网段仅仅是逻辑网段的概念，而不是真正的物理网段。可以将VLAN理解为是在物理网络上通过设备配置逻辑地划分出來的逻辑网络，相当于0S1参考模型的第二层的广播域。由于实现了广播域分隔，VLAN可以将广播风暴控制在一个VLAN内部，划分VLAN后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例人人降低，网络性能得到显著提高。不同的VLAN间的数据传输是通过第三层(网络层)的路由来实现的

2、，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。同时，由TVLAN是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。如上所述，VLAN具白控制网络广播、提高网络性能；分隔网段、确保网络安全：简化网络管理、提高组网灵活性的功能。目前业界公认的VLAN划分方法仃如卜种：基于端口的VLAN(Port-Based)基丁协议的VLAN(Protocol-Based)基J*MAC层分组的VLAN(MAC-LayerGrouping)基J网络层分组的VLAN(Network-LayerGrouping)基于IP组播分组的VLAN(IPMulticastGroupin

3、g)基于策略的VLAN(Policy-Based)其中基丁端II的静态VLAN是划分虚拟局域网最简单也是最令效的方法，它实际上是某些交换机端II的集合，网络管理员只需要管理和配置交换机端II,而不管交换机端II连接什么设备。这种划分VLAN的方法是根据以A网交换机的端II来划分的，是目前业界定义VLAN最广泛的方法，IEEE802.1Q规定了这种划分VLAN的国际标准。VLAN的基本配置命令基于端II的VLAN在实现上包括两个步骤，首先启用VLAN(用VLANID标识)，而后将交换机端II指定到相应VLAN下。配置命名如下：vlan命令语法格式为：vlanvlan-id该命令执行于全局配置模式

4、厂是进入VLAN配置模式的导航命令。使用该命令的no选项可以删除VLAN：novlanvlan-id注意：缺省的VLAN(VLAN1)不允许删除。例如启用VLAN10,执行如2Switch(config)#vlan10Switch(config-vlan)#switchportaccess命令语法格式为：switchportaccessvlanvlan-idnoswitchportaccessvlan使用该命令将一个端II设置为staticsaccessport,并将它指派为一个VLAN的成员端II。使用该命令的no选项将该端口指派到缺省的VLAN中。switchport缺省模式为access

5、,缺省的VLAN为VLAN1。如果输入的是一个新的VLANID,则交换机会创建一个VLAN,并将该端II设置为该VLAN第1页共8页的成员。如果输入的是已经存在的VLANID,则增加VLAN的成员端II。例如将交换机F0/5端I1指定到VLAN10的配置为：Switch（config）#interfacefastEthernet0/5Switch（config-if）#switchportaccessvlan103.IEEE802.1Q标准1996年3月，IEEE802InternetWorking委员会结束了对VLAN初期标准的修订工作，统一了Frame-Tagging（帧标记）方式中不同厂

6、商的标签格式，制定IEEE802.1QVLAN标准，进一步完善了VLAN的体系结构。802.1Q定义了VLAN的桥接规则，能够正确识别VLAN的帧格式，更好地支持多媒体应用。它为以太网提供了更好服务质量（QOS）保证和安全的能力。如图2.1所示，IEEE802.1Q使用4Byte的标记头來定义Tag（标记）Tag头中包括2Byte的VPID（VLANProtocolIdentifier）和2Byte的VCI（VLANControlInformation）o其中：VPID为0 x8100,标识该数据帧承载IEEE802.1Q的Tag信息；VCI包含组件：3bits用户优先级、1bitsCFT（C

7、anonicalFormatIndicator）,默认值为0（表示以太网）和12bits的VID（VLANIdentifier,VLAN标识符）。13的MAC源MACVPIDVCITypeDATAFCS0X810080l.lP3bCFTlbVID12b802帧格式图2.1802.IQ帧格式基于802.IQTagVLAN用VID来划分不同VLAN,当数据帧通过交换机的时候，交换机根据数据帧中Tag的VID信息来识别它们所在的VLAN（若帧中无Tag头，则应用帧所通过端II的默认VID来识别它们所在的VLAN）。这使得所有属于该VLAN的数据帧，不管是单播帧、组播帧还是广播帧，都将被限制在该逻辑V

8、LAN中传输。当使用多台交换机分别配置VLAN后，可以使用Tnmk（干道）方式实现跨交换机的VLAN内部连通，交换机的Trunk端II不隶属于某个VLAN,而是可以承载所有VLAN的帧。跨交换机的VLAN实现使得网络管理的逻辑结构町以完全不受实际物理连接的限制，极人地提高了组网的灵活性。互联的交换机能够通过识别数据帧的目的MAC地址和VLAN信息，将它发送到正确的VLAN和端口中。而在互联端口出现拥塞时,交换机都能够通过识别802.1P协议（它是802.1Q的补充,它定义了优先级的概念）字段的优先级信息，优先转发高优先级的数据包。这种方式受到多厂家设备的支持，已经在不同产品组成的二层网络中普遍

9、使用。4PortVLANfflTagVLAN在VLAN配置中，我们使用switchportmode命令來指定一个二层接II（switchport）的模式，可以指定该接II为accessport或者为trunkport。使用该命令的no选项将该接II的模式恢复为缺省值（access）。其命令执行在接模式下，语法格式如下：switchportmodeaccessItrunknoswitchportmode如果一个switchport的模式是access,则该接II只能为一个VLAN的成员。口J以使用switchportaccessvlan命令指定该接II是哪一个VLAN的成员，这种接II又称为Po

10、rtVLAN：如果一个switchport的模式是tmnk,则该接II可以是多个VLAN的成员，这种配置被称为TagVLANoTrunk接II默认可以传输本交换机支持的所有VLAN（14094）,但是也可以通过设置接II的许可VLAN列表来限制某些VLAN的流量不能通过这个trunkII。在TnmkII修改许可VLAN列表的命令如F（本节实验对此不作要求）。switchporttmnkallowedvlanallIaddIremoveIexceptvlan-list第2页共8页中北女芳网給工程系专业实验蜜中北女芳网給工程系专业实验蜜第 页共8页第 #页共8页中北衣学网給工程系专业实验蜜其中：a

11、ll的含义是许可VLAN列表包含所有的VLAN：add表示将指定的VLAN加入许可列表;remove表示将指定的VLAN从许叮列表中删除：except表示将除列出的vlan-list外的所羊jVLAN加入许可列表。TrunkII能够收发TAG或者UNTAG的802.1Q帧，其中UNTAG帧是用來传输NativeVLAN的流最。默认的NativeVLAN是VLAN1,如果一个帧带有NativeVLAN的VLANID,在通过这个TrunkII转发时,会自动被剥去TAG。配置NativeVLAN在Trunk丨I接II模式I、,执行switchporttrunknativevlanvlan-id#sw

12、itchportmodetrunk!将F0/1设置为Trunk模式验证F0/1已经设置为tagvlan模式的方法如F：S355O#showinterfacefastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlistsFaO/1EnableTrunk1I注意S2126上也需要做同样配置：S2126(config)#interfacefastEthernet0/1S2126(config-if)#switchportmodetrunk步骤5：配置计算机：将PCI和PC3指定为172.16.10.0/24

13、网段IP,DisabledAll!进入珂/1接11配置模式!将珂/1设置为Trunk模式PC2和PC4为172.16.20.0/24网段IP。例如PC1：172.16.10.10,PC2：172.16.20.20,PC3：172.16.10.30,PC4：172.16.20.40。验证PCI与PC3能互相通信，但PC2与PC3不能互相通信。C:ping172.16.10.30!在PCI的命令行方式下验证能Ping通PC3Pinging192.168.10.30with32bytesofdata:Replyfrom192.168.10.30:bytes=32time10msTTL=128Repl

14、yfrom192.168.10.30:bytes=32time10msTTL=128Replyfrom192.168.10.30:bytes=32time10msTTL=128Replyfrom192.168.10.30:bytes=32timeping192.168.10.30!在PC2的命令行方式下验证不能Ping通PC3。Pinging192.168.10.30with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor192.168.1030:Packets:Sent=4.Received=0.Lost=4(100%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms.Average=0ms如果将PCI、PC2、PC3和P