计算机网络实验指导3.4-虚拟局域网（VLAN）配置与分析

数据链路层第3

章郑宏宿红毅编著计算机网络实验指导3.1PPP配置与分析3.2交换机的MAC地址表管理3.3STP配置与分析3.4虚拟局域网（VLAN）配置与分析3.5链路聚合配置与分析3.4

虚拟局域网（VLAN）配置与分析3实验3.4.1基于端口的VLAN的划分实验3.4.2基于MAC地址的VLAN的划分实验3.4.3基于IP地址的VLAN的划分实验3.4.4跨以太网交换机的VLAN扩展实验目的1．理解VLAN工作原理，掌握划分VLAN的方法。2．理解并掌握Access、Trunk和Hybird类型端口的作用和配置方法。实验装置1．华为eNSP软件。2．ping。3．Wireshark。43.4虚拟局域网（VLAN）配置与分析实验原理（1/3）虚拟局域网（VirtualLAN，VLAN）是交换式以太网中的一个重要技术。主要优点：1.改善性能。2.逻辑分组，简化了管理。3.降低成本。4.改善安全性。53.4虚拟局域网（VLAN）配置与分析实验原理（2/3）VLAN

划分方法：5种典型方法1.基于端口：根据交换机的端口划分。简单，常用，但不允许用户移动。2.基于MAC地址：根据数据帧的源MAC地址划分。允许用户移动，但需要管理大量的MAC地址。3.基于协议类型：数据帧所属的协议类型和封装格式划分。适用于需要同时运行多协议的网络。4.基于IP子网地址：根据数据帧所属的协议类型和IP分组首部中的源IP地址划分。VLAN适用于对安全需求不高、对移动性和简易管理需求较高的场景中。5.基于策略：根据配置的策略划分。适用于需求比较复杂的环境。63.4虚拟局域网（VLAN）配置与分析实验原理（3/3）标准的以太网帧：不带标记的以太网帧（UntaggedEthernetFrame）。VLAN帧：802.1Q帧或带标记的以太网帧（TaggedEthernetFrame）73.4虚拟局域网（VLAN）配置与分析以太网MAC帧字节66246~15004VLAN标识符

12位

(最多允许4096个VLAN)4目地地址源地址802.1Q标记长度/类型数据FCS2字节2字节802.1Q标记类型0x8100VLANIDTCI(标记控制信息)802.1Q帧以太网MAC帧的最大帧长从原来的1518字节变为1522字节。端口的链路类型：3种8实验3.4.1基于端口的VLAN的划分端口类型允许通过的帧典型用途说明Access一个

Untagged帧。连接用户主机、服务器、打印机等。连接在

Access端口上的设备不知道它是哪个

VLAN的成员。只能加入一个

VLAN。如果未给

Access端口配置

VLAN，则该端口属于默认

VLAN1。Trunk一个

Untagged帧，多个

Tagged帧。连接交换机、路由器、AP、语音终端等。可以加入多个

VLAN，但不属于某一特定

VLAN。Trunk端口的设计目的就是通过一条链路实现多个VLAN的跨交换机扩展。Hybrid支持

Untagged帧和

Tagged帧。连接用户主机、服务器、打印机、Hub、交换机、路由器、AP、语音终端等。不属于任何

VLAN，是交换机端口的默认模式。Hybrid端口能发送多个

VLAN的帧，发出去的帧可根据需要配置：某些

VLAN的帧带

Tag，某些

VLAN的帧不带

Tag。除了可以配置端口允许通过的VLAN外，还可以配置端口的默认VLAN，即端口PVID（PortVLANID）。Access端口的默认VLAN就是它所在的VLANTrunk端口和Hybrid端口可以允许多个VLAN通过，可以配置端口的默认VLAN。在配置了端口链路类型和端口默认VLAN后，不同端口对帧处理是不同的，之间的差异见表3-37。9实验3.4.1基于端口的VLAN的划分任务要求：某学校的学生管理部门包括招生就业部和学生工作部等部门。为保护数据安全，各部门希望把本部门的数据限制在本部门内，仅能被本部门的计算机访问，不能被其他部门的计算机访问。请设计一个交换式以太网，实现部门内部的通信，但隔离各部门之间的通信。10实验3.4.1基于端口的VLAN的划分实验步骤（1/4）：步骤1：网络设计。采用VLAN技术，按端口划分VLAN。招生就业部的计算机连入属于VLAN10的端口，学生工作部的计算机连入属于VLAN30的端口。11实验3.4.1基于端口的VLAN的划分图3-14按端口划分VLAN的交换式以太网

IPv4地址子网掩码VLAN10192.168.10.0255.255.255.0PC-10-1192.168.10.11255.255.255.0PC-10-2192.168.10.12255.255.255.0VLAN30192.168.30.0255.255.255.0PC-30-1192.168.30.11255.255.255.0PC-30-2192.168.30.12255.255.255.0表3-38VLAN中PC的IPv4地址和子网掩码定义实验步骤（2/4）：步骤2：创建拓扑。向空白工作区中添加S5700交换机和PC。按指定端口将交换机和PC互连。步骤3：配置IP地址。为PC-1和PC-2配置IPv4地址和子网掩码。保存创建的拓扑。步骤4：启动设备。12创建的网络拓扑实验3.4.1基于端口的VLAN的划分实验步骤（3/4）：步骤5：配置交换机，按端口划分VLAN。1.首先创建VLAN方法1：单独创建每个VLAN。方法2：批量创建1个或多个VLAN。2.然后将端口加入VLAN。默认情况下，交换机的所有端口都只加入VLAN1。方法1：将端口逐个加入VLAN。方法2：利用端口组功能，将端口统一加入VLAN。13实验3.4.1基于端口的VLAN的划分撤销或删除操作：若做错了或做了不应做的操作，可以撤销或删除操作。只需在原操作命令的前面使用undo即可。例如：undovlan10（删除VLAN10）；undoportdefaultvlan（端口退出指定vlan）实验步骤（4/4）：步骤6：测试验证。使用ping命令进行测试验证。同一个VLAN内的电脑能相互ping通吗？

能：正确；不能：错误。不同VLAN内的电脑能相互ping通吗？

能：错误；

不能：正确。完成并提交实验报告14实验3.4.1基于端口的VLAN的划分任务要求：某学校的学生管理部门包括招生就业部和学生工作部等部门。已经采用实验3.4.1中方案按端口划分了两个VLAN：VLAN10和VLAN30，实现了部门内部的通信，但隔离各部门之间的通信。由于工作需要，招生就业部和学生工作部经常开会交流。两个部门各有一个会议室，各有一台笔记本电脑。要求：这两台笔记本电脑无论在哪个部门的会议室使用，均只能访问本部门的电脑。请给出解决方案，完成交换机的配置。15实验3.4.2

基于MAC地址的VLAN的划分实验步骤（1/3）：步骤1：网络设计。保持原有网络的设计不变，但对其进行扩展。按笔记本电脑的MAC地址划分VLAN，将其分配到指定的VLAN。16实验3.4.2

基于MAC地址的VLAN的划分图3-15按MAC地址划分VLAN的交换式以太网

IPv4地址子网掩码VLAN10192.168.10.0255.255.255.0PC-10-1192.168.10.11255.255.255.0PC-10-2192.168.10.12255.255.255.0PC-BOOK-10-1192.168.10.14255.255.255.0VLAN30192.168.30.0255.255.255.0PC-30-1192.168.30.11255.255.255.0PC-30-2192.168.30.12255.255.255.0PC-BOOK-30-1192.168.30.14255.255.255.0表3-40VLAN中PC的IPv4地址和子网掩码定义实验步骤（2/3）：步骤2：加载拓扑。打开实验3.4.1中保存的拓扑文件，将其加载到工作区。步骤3：修改拓扑。增加2台用于模拟笔记本电脑的PC。为电脑配置IPv4地址和子网掩码。记录笔记本电脑的MAC地址。保存创建的拓扑。步骤4：启动设备。17创建的网络拓扑实验3.4.2基于MAC地址的VLAN的划分实验步骤（3/3）：步骤5：配置交换机，按MAC地址划分VLAN。1.命令中MAC地址的正确格式为：xxxx-xxxx-xxxx，例如：5489-9841-80E3。2.需将端口类型配置为hybrid，并使其在发送VLAN10和VLAN30的帧时剥除VLANTag。步骤6：测试验证。将每台笔记本电脑分别接入交换机上属于不同VLAN的端口，使用ping命令进行测试验证。能与同一个VLAN内的主机能相互ping通吗？

能：正确；不能：错误。能不同VLAN内的主机能相互ping通吗？

能：错误；

不能：正确。完成并提交实验报告18实验3.4.2基于MAC地址的VLAN的划分任务要求：某学校的学生管理部门包括招生就业部和学生工作部等部门。已经按实验3.4.1中的方案按端口划分了两个VLAN：VLAN10和VLAN30，实现了部门内部的通信，但隔离各部门之间的通信。由于工作需要，某招生就业部的工作人员既需要访问招生就业部的数据，也需要访问学生工作部的数据。要求：增加1台电脑，该电脑可以与不同部门的电脑通信。请给出解决方案，完成交换机的配置。19实验3.4.3

基于IP地址的VLAN的划分实验步骤（1/3）：步骤1：网络设计。保持原有网络的设计不变，但对其进行扩展。按IP地址划分VLAN。只需将电脑的IP地址设置到招生就业部或学生工作部的IP网段，就可以访问不同部门的电脑了。20实验3.4.3

基于IP地址的VLAN的划分图3-16按IP地址划分VLAN的交换式以太网

IPv4地址子网掩码VLAN10192.168.10.0255.255.255.0PC-10-1192.168.10.11255.255.255.0PC-10-2192.168.10.12255.255.255.0PC-1030-1192.168.10.18255.255.255.0VLAN30192.168.30.0255.255.255.0PC-30-1192.168.30.11255.255.255.0PC-30-2192.168.30.12255.255.255.0PC-1030-1192.168.30.18255.255.255.0表3-40VLAN中PC的IPv4地址和子网掩码定义实验步骤（2/3）：步骤2：加载拓扑。打开实验3.4.1中保存的拓扑文件，将其加载到工作区。步骤3：修改拓扑。增加1台PC。先将电脑的IPv4地址和子网掩码配置为VLAN10或VLAN30的IPv4地址和子网掩码。保存创建的拓扑。步骤4：启动设备。21创建的网络拓扑实验3.4.3基于IP地址的VLAN的划分实验步骤（3/3）：步骤5：配置交换机，按IP地址划分VLAN。1.命令中的子网掩码可以采用前缀，例如24，也可以采用掩码255.255.255.0。2.需将端口类型配置为hybrid，并使其在发送VLAN10和VLAN30的帧时剥除VLANTag。步骤6：测试验证。分别将电脑的IP地址设置为VLAN10和VLAN30所在IP网段的IP地址，使用ping命令进行测试验证。能与同一个VLAN内的主机能相互ping通吗？

能：正确；不能：错误。能不同VLAN内的主机能相互ping通吗？

能：错误；

不能：正确。完成并提交实验报告22实验3.4.3基于IP地址的VLAN的划分任务要求：某学校的学生管理部门包括招生就业部和学生工作部等部门。已经按实验3.4.1中的方案按端口划分了两个VLAN：VLAN10和VLAN30，实现了部门内部的通信，但隔离各部门之间的通信。由于工作需要，需要对系统进行扩容，以便将更多的电脑接入网络。请给出解决方案，使网络具有良好的扩展性。完成交换机的配置。23实验3.4.4跨以太网交换机的VLAN扩展实验步骤（1/6）：步骤1：网络设计。保持原有网络的设计不变，但对其进行扩展。再增加1台交换机，通过配置Trunk端口对原有VLAN10和VLAN30进行跨交换机扩展，达到提供扩展能力和隔离不同部门通信的目的。24实验3.4.4跨以太网交换机的VLAN扩展图3-17跨以太网交换机的VLAN扩展实验步骤（2/6）：25实验3.4.4跨以太网交换机的VLAN扩展

IPv4地址子网掩码VLAN10192.168.10.0255.255.255.0PC-10-1192.168.10.11255.255.255.0PC-10-2192.168.10.12255.255.255.0PC-10-3192.168.10.13255.255.255.0PC-10-4192.168.10.14255.255.255.0VLAN30192.168.30.0255.255.255.0PC-30-1192.168.30.11255.255.255.0PC-30-2192.168.30.12255.255.255.0PC-30-3192.168.30.13255.255.255.0PC-30-4192.168.30.14255.255.255.0表3-43VLAN中PC的IPv4地址和子网掩码定义实验步骤（3/6）：步骤2：加载拓扑。打开实验3.4.1中保存的拓扑文件，将其加载到工作区。步骤3：修改拓扑。增加1台交换机和4台电脑。按指定端口将PC、交换机互连。设置电脑的IPv4地址和子网掩码。保存创建的拓扑。步骤4：启动设备。26创建的网络拓扑实验3.4.4