项目一 虚拟局域网组建

1、数据交换网组建与维护1项目描述 某电脑教育培训机构为了提高办公效率，减少因纸张浪费带来的办公开支，现欲构建一个局域网络，该培训机构现有各类办公人员8人，财务部有3台电脑，培训学员有30台电脑；为了保证网络的正常使用，建设的时候必须满足以下要求：（1）培训学员网络要与办公网络能够隔离，不能互访；（2）财务部门只能内部之间互访，其他部门不能访问财务部的网络。根据这个要求，我采用VLAN技术进行隔离，将整个局域网分为培训子网、行政办公子网、财务子网三个子网，分别采用不同的VLAN达到隔离要求，并设计以下网络拓扑结构，如图1-1所示： 2项目目标图1-1 某电脑教育培训机构网络拓扑图3项目描述 该设计

2、方案选用两台中兴通讯股份有限公司的S3928交换机作为网络的接入设备，将财务、培训、行政分别划分成三个不同的VLAN以达到隔离不同用户的要求，为了对设备资源的有效利用并考虑一定的可扩展性，我们将SW1与SW2进行互联，并在SW1中分配10个端口给行政子网，在SW1上分配4个端口个财务网，在SW1上分配8个端口给培训子网，在SW2上分配10个端口给行政子网，在SW2上分配10个端口给培训子网。 4任务分解 该设计方案得到认可，并进入工程的施工建设阶段，公司技术员小李承担了该项目的建设，根据项目设计要求，小李需要完成以下工作任务：财务、培训、行政三个子网的IP规划；管理和登陆SW1、SW2交换机；

3、SW1、SW2上VLAN的配置和调试；SW1与SW2之间级联端口的配置和调试； 为了完成以上4个工作任务，我们需要具备以下相关基础知识和职业技能知识：5任务分解1.基础知识子网规划的计算方法；VLAN技术的概念和优点；VLAN技术的标记；2.职业技能计算机与交换机如何连接，才能实现通过计算机管理和登录交换机；交换机的基本操作和信息检查方法；交换机中VLAN划分的基本步骤；交换机中VLAN的配置和检查。61.1VLAN基础1.1.1 产生背景 在一个广播域中，数据帧对该局域网上的所有设备都是可见的。因此，广播、多点广播、未知的单点传送数据帧都有可能占用过多的带宽。广播数据流随着网络的增长而增长。

4、过多的广播会占用用户的带宽，最坏的情况下，广播风暴可以使整个网络瘫痪，如图1-2所示。图1-2 广播风暴71.1VLAN基础 另一方面，在实现用户的LAN接入时，应该考虑的一个重要问题就是用户之间的隔离。这是因为在局域网环境中，接入到局域网的用户一般都处于同一个广播域之中，也就是一个用户在通过局域网进行通信时，发出的广播信息同样能够被其它用户监听到。在一般的局域网网络环境下，由于用户处于互相信任的关系，这种情况并不会产生严重的安全问题。但对于LAN的接入，各个接入到LAN的用户之间一般都互不相干，不存在互相信任的基础，接入到LAN中的用户一般都不希望自己的网络通信信息被其它的用户所获得，这就要

5、求在实现LAN的接入中要充分考虑各个接入用户的隔离问题。 为了实现LAN接入时各个接入用户的隔离以及减少广播泛滥，虚拟局域网（Virtual Local Area Network，VLAN）技术就应运而生。VLAN技术通过将局域网络划分为不同的广播域从而实现安全和隔离广播的目的，减少了网络中的广播信息，从而提高了网络的性能，如图1-3所示。81.1VLAN基础图1-3 VLAN隔离广播VLAN（Virtual Local Area Network，简称VLAN ）技术即虚拟局域网技术，它是将一个物理上互联的局域交换网络划分为逻辑上互相隔离的虚拟网络，一个VLAN在逻辑上等价于一个广播域，如图1

6、-4所示。 91.1VLAN基础图1-4 VLAN划分示意图VLAN技术的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便。在局域网交换技术中，虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备，在网络的物理拓朴结构基础上建立一个逻辑网络，以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网。101.1VLAN基础1.1.2 VLAN的优点VLAN与普通局域网从原理上讲没有什么不同。但从用户使用和网络管理的角度，VLAN 与普通局域网最基本的差异体现在：VLAN 并不局限于某一网络或物理范围，VLAN用户可以是位于城市内的不同区域，甚至位于不同的国家。总体来

7、说，VLAN 具有以下优点：（1）能控制网络的广播风暴（2）能确保网络的安全性（3）简化网络管理（4）虚拟工作组111.1VLAN基础1.1.3 VLAN的实现方式VLAN 划分方法指的是在一个VLAN中包含哪些站点（包括服务器和客户站），采用何种方法将这些站点划分到同一个VLAN中。处在同一个VLAN中的所有成员（站点）将共享广播数据，而这些广播数据将不会被扩散到其他不在此 VLAN 中的站点那里。VLAN 划分的方法如下：1按交换机端口号的VLAN按交换机端口号来划分的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换机端口的集合，网络管理员只需管理和配置交换机端口，而不管

8、交换机端口连接什么设备。如图1-5所示，包括两个VLAN，即VLAN2（以太网端口1、2）和VLAN3（以太网端口3、4）。121.1VLAN基础图1-5 按端口划分VLAN131.1VLAN基础（1）优点： 易于理解和管理； 是厂商常用的方法； 在一个企业中，对于连接不同交换机的用户，可以创建用户的逻辑分组； 由于端口可以连接集线器，而集线器支持共享介质的多用户网络，因此，按交换端口号的分组方案能够将两个或多个共享介质的网络分为一组。（2）缺点： 当工作站移动到新的端口时，必须对用户进行配置； 每个端口不能加入多个 VLAN。141.1VLAN基础2按 MAC 地址的 VLAN由于只有网卡才

9、分配有MAC地址，因此按MAC地址来说，事实上，该 VLAN 是一些MAC地址的集合。如图1-6所示，当设备移动时，网络管理需要管理和配置设备的MAC地址，很显然，如果网络规模很大，设备很多，则会给管理带来难度。图1-6 基于MAC地址的VLAN151.1VLAN基础3按第3层协议划分的VLAN基于第3层协议的VLAN实现，在决定VLAN成员身份时，主要是考虑协议类型（支持多协议的情况下）或网络层地址（如TCP/IP网络的子网地址），如图1-7所示。图1-7 基于第3层协议划分的VLAN 161.1VLAN基础4IP组播划分VLANIP组播代表着一种与众不同的VLAN定义方法。但在此种分组方法

10、中，VLAN作为广播域的基本概念仍然适用。各站点可以自由地动态决定参加到哪一个或哪一些IP组播组中。一个IP组播组实际上是用一个D类地址表示的。当向一个组播组发送一个IP报文时。此报文将被传送到此组中的各个站点处。从这个意义上讲，我们可以将一个IP组播组看成是一个VLAN。但此 VLAN中的各个成员都只具有临时性的特点，由IP组播定义VLAN的动态特性可以达到很高的灵活性。并且借助于路由器，此种VLAN可以是很容易地扩展到整个WAN上。171.2 VLAN标记1.2.1 VLAN的运行方式 每个VLAN相当于一个物理上独立的网桥，不同VLAN成员不能直接访问。VLAN可以跨越交换机，不同交换机

11、上相同VLAN 的成员处于一个广播域，可以直接相互访问。 由于VLAN的划分是基于交换机的物理端口，交换机从连接主机的某个端口上接收到一个数据帧，交换机知道这个数据帧是属于哪个VLAN的，因为在交换机上面我们将不同的端口划分到了不同的VLAN中，从哪个端口收到的数据帧就属于该端口所属的VLAN，所以从这个角度进行分析，计算机并不对VLAN进行判别，决定属于哪个VLAN是由交换机来决定的。所以交换机的端口如果是与一台计算机相连接，那么这个端口只能属于一个VLAN，既然属于一个VLAN，这种端口不需要进行VLAN标记，如图1-8所示。181.2 VLAN标记图1-8 VLAN标签191.2 VLA

12、N标记 但是对于连接2台交换机的链路而言，由于在一个交换机中可能会划分多个VLAN，同时两个交换机之间会出现多个相同VLAN之间需要通信的需求，此时进行交换机级联的链路需要承载多个不同VLAN的数据，连接此链路的交换机的端口不属于某个特定VLAN。如果不对数据帧做VLAN标记，交换机对从这样的链路上接收到的数据帧将无法确定所属的VLAN。所以交换机将数据帧发送到这样的链路前必须对数据帧做标记，即为每一个数据帧都被加上了一个标记，用来确定该数据帧所属的VLAN。如图1-9所示：201.2 VLAN标记图1-9 主干链路211.2 VLAN标记1.2.2 VLAN的帧结构传统的以太网数据帧格式是不

13、包含VLAN信息的，无法用这种传统的以太网数据帧来传送VLAN信息，我们要想让跨越交换机的VLAN能正常工作，必须重新提出一种帧格式，该帧格式与传统以太网帧格式不同的是包含了VLAN信息，这便是在1996年3月，由IEEE802委员会发布的IEEE802.lQ VLAN标准，其帧结构如图1-10。图1-10 802.1Q帧格式221.2 VLAN标记 可以看出，该帧格式跟传统以太网帧格式不同的是，在传统的以太网帧格式的类型/长度字段前面，附加了一个4字节的额外部分，称为802.1Q标记。 标记字段分为四部分： TYPE：这是一个两字节长度的字段，来指出该数据帧类型，目前来说都是0X8100。

14、PRI：这是一个三比特的数据字段，该字段用来表示数据帧的优先级。 CFI：这是一个比特的字段，该字段用在一些环形结构的物理介质网络中，比如令牌环、FDDI等。 VID：这就是802.1Q数据帧的核心部分，即VLAN ID， 用来表示该数据帧所属的VLAN。 231.2 VLAN标记1.2.2 TAG与UNTAG UNTAG就是普通的Ethernet报文，普通PC机的网卡是可以识别这样的报文进行通信。不带标签的报文格式为：TAG报文结构的变化就是在源MAC地址和目的MAC地址之后，加上了4bytes的VLAN信息，也就是VLAN TAG头；一般来说这样的报文普通PC机的网卡是不能识别的，主要用于

15、交换机级联时报文的传递。带有标签的报文格式为：241.2 VLAN标记1.2.3交换机端口类型 接入链路（Access link）是用来将没有 VLAN 识别能力（non-VLAN-aware）的工作站连接到一个 VLAN 交换机端口的链路。即接入链路用于终端设备和交换机相连，如图1-11所示。如果 VLAN 是基于端口进行划分的，一个接入链路只能属于某一个特定VLAN。接入链路可以是单独一个网段，也可以由非 VLAN 识别的网桥和交换机连接起来的多个网段或工作站组成。接入链路不能承载标记分组。251.2 VLAN标记图1-11 接入链路261.2 VLAN标记 干线链路（truck link

16、）是承载标记分组（即那些具有 VID的数据帧）的链路。所以一个干线链路（truck link）可以承载多个 VLAN 的数据，如图1-12所示。干线链路支持那些能够理解 VLAN 帧格式和成员资格的设备。干线链路最通常的使用场合就是连接两个 VLAN 交换机的链路。通过干线链路（truck link）可使 VLAN跨越多个交换机。干线链路也可以用于交换机和具有 VLAN 识别能力的（VLAN-aware）工作站/服务器的连接。271.2 VLAN标记图1-12 干线链路281.3 VLAN的配置 现行主要设备生产厂家生产的交换机，都支持和采用基于端口划分VLAN的方法，在交换机中对VLAN进行

17、划分的具体步骤如下：（1）创建对应的VLAN；（2）为VLAN添加对应的成员端口。1.3.1 VLAN的创建1 创建单个VLAN说明：vlan-id表示具体的VLAN号码，对应你所要创建的VLAN,取值范围为1-4094。291.3 VLAN的配置2 批量创建VLAN3 设置VLAN 的别名VLAN 别名用于区分各个VLAN，可以是小组名称、部门、地区等。缺省情况下，VLAN 的别名为“VLAN”VLAN ID，其中VLAN ID 部分为4位数字，不足4 位用0 补足，如ID 为4 的VLAN 别名缺省为VLAN0004。301.3 VLAN的配置1.3.2 端口类型配置ZXR10以太网端口的

18、VLAN 链路类型有三种：Access 模式、Trunk 模式和Hybrid 模式，默认为Access 模式。Access 模式的端口只能属于一个VLAN，端口不能打标签（untagged），一般为连接计算机的端口。Trunk 模式的端口可以属于多个VLAN，端口必须打标签（tagged），可以接收和发送多个VLAN 的报文，一般作为交换机之间连接的Trunk 端口。Hybrid 模式的端口可以属于多个VLAN，是否打标签由用户自由指定，可以接收和发送多个VLAN 报文，可以用于交换机之间的连接，也可以连接用户计算机。311.3 VLAN的配置Hybrid 端口和Trunk 端口的不同之处在于

19、：Hybrid 端口可以发送带标签或无标签的帧，而Trunk 端口一般只在发送缺省VLAN 的报文时不打标签。交换机端口类型的配置如下：321.3 VLAN的配置1.3.3 把端口加入到指定VLAN的配置 Access 端口只能加入到1 个VLAN，Trunk 端口和Hybrid 端口可以加入到多个VLAN 中。331.3 VLAN的配置1.3.4 VLAN 配置实例 如 图1-13所示，交换机A的端口fei_3/1、fei_3/2 和交换机B的端口fei_3/1、fei_3/2属于VLAN 10；交换机A的端口fei_3/4、fei_3/5 和交换机B的端口fei_3/4、fei_3/5属于

20、VLAN 20，均为Access端口。两台交换机通过端口gei_7/1 以Trunk方式连接，两端口为Trunk端口。 341.3 VLAN的配置交换机A 的配置：ZXR10_A(config)#vlan 10ZXR10_A(config-vlan)#switchport pvid fei_3/1-2ZXR10_A(config-vlan)#exitZXR10_A(config)#vlan 20ZXR10_A(config-vlan)#switchport pvid fei_3/4-5ZXR10_A(config-vlan)#exitZXR10_A(config)#interface gei_

21、7/1ZXR10_A(config-if)#switchport mode trunkZXR10_A(config-if)#switchport trunk vlan 10ZXR10_A(config-if)#switchport trunk vlan 20351.3 VLAN的配置交换机B 的配置：ZXR10_B(config)#vlan 10ZXR10_B(config-vlan)#switchport pvid fei_3/1-2ZXR10_A(config-vlan)#exitZXR10_B(config)#vlan 20ZXR10_B(config-vlan)#switchport

22、pvid fei_3/4-5ZXR10_A(config-vlan)#exitZXR10_B(config)#interface gei_7/1ZXR10_B(config-if)#switchport mode trunkZXR10_B(config-if)#switchport trunk vlan 10ZXR10_B(config-if)#switchport trunk vlan 2036项目实施实训条件ZXR10系列产品3928交换机2台；计算机6台；配置电缆3根；电源插座7个；2米平行网线4根，交叉线2根。数据规划设备名称规划表1-1 设备名称规划设备安装地点设备名称办公室弱电房S

23、W1培训教室弱电房SW237项目实施VLAN和端口号分配表1-2 VLAN和端口号分配设备用途端口号VLAN号SW1行政子网fei_1/1- fei_1/10VLAN 10财务子网fei_1/11- fei_1/14VLAN 20培训子网fei_1/15- fei_1/22VLAN 30与SW2级联fei_1/24TRUNKSW2行政子网fei_1/1- fei_1/10VLAN 10培训子网fei_1/11- fei_1/20VLAN 30与SW1级联fei_1/24TRUNK38项目实施实施步骤1 网络物理连接 根据项目描述中的拓扑结构，进行网络物理连接。2配置VLAN 在交换机的系统视图下创建VLAN，然后在VLAN视图下添加对应VLAN的端口号，SW1和SW2的VLAN配置如下（见教材）39项目实施3.配置交换机TRUNK端口SW1的接口配置：sw1(config)#interface fei_1/24sw1(config-