【知识准备】
1.VLAN介绍
虚拟局域网(virtual LAN,VLAN),是一种可以把局域网内的交换设备逻辑地而不是物理地划分成一个网段的技术,即从物理网络上划分出来的逻辑网络。由于VLAN是基于逻辑连接而不是物理连接的,所以它可以提供灵活的用户管理、带宽分配及资源优化等服务。
VLAN的划分可以依据网络用户的组织结构进行,形成一个个虚拟的工作组。这样,网络中工作组就可以突破共享网络中地理位置的限制,而根据管理功能来划分。这种基于工作流的分组模式,很好地提高了网络的管理功能。
2.广播域
广播域指的是广播帧(目标MAC地址全部为1)所能传递到的范围,即能够直接通信的范围。严格来说,并不仅是广播帧,多播帧(multicast frame)和目标不明的单播帧(unknown unicast frame)也能在同一个广播域中畅行无阻。
二层交换机只能构建单一的广播域,在未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(flooding),如图1-9所示。
图1-9 交换机构建单一的广播域
二层交换机使用VLAN功能后,能够将网络分割成多个广播域,如图1-10所示。如果仅有一个广播域,会影响网络整体的传输性能,所以广播域需要尽可能地缩小。
图1-10 VLAN隔离广播域
3.VLAN工作原理
如果一个VLAN的成员分布于不同的交换机上,它们之间互通时,如果只能在每个VLAN内连接一条链路,必然会造成交换机接口的极大消耗,每台交换机上可以连接主机的接口数量随着VLAN数量的增加而相应减少,如图1-11所示。IEEE 802.1q标准的出现,很好地解决了这个问题。
图1-11 跨交换机VLAN间通信
IEEE 802.1q标准为标识带有VLAN成员信息的以太网帧建立了一种标准方法。该标准主要用来解决如何将大型网络划分为多个小网络,如此广播和组播流量就不会占据更多带宽的问题。
IEEE 802.1q标准完成以上各种功能的关键在于标签。支持IEEE 802.1q标准的交换接口可被配置传输标签帧或无标签帧。一个包含VALN信息的标签字段可以插入到以太帧中。如果连接的是支持IEEE 802.1q标准的设备(如另一个交换机),那么这些标签帧可以在交换机之间传送VLAN成员信息,这样VLAN就可以跨越多台交换机了。
如图1-12所示,VLAN 2、VLAN 3、VLAN 4内主机所发出的帧会打上不同的标签,然后再用一条链路进行传输,这就解决了不同交换机上的相同VLAN内主机之间相互通信的问题。
图1-12 使用VLAN标签
4.交换机接口类型
交换机接口分为Access与Trunk两种类型。交换机接口默认为Access类型。Access类型表示一个接口只属于一个VLAN,二层交换机默认情况下,所有接口都处于VLAN 1中。Trunk类型表示一个接口属于该交换设备上创建的所有VLAN,主要用于实现跨交换机的相同VLAN内主机之间直接访问。
5.VLAN配置
VLAN的配置主要是VLAN的创建、接口的隔离、配置Trunk。
(1)VLAN创建
步骤1:创建VLAN。 vlan-id 是VLAN的编号。
switch(config)# vlan vlan-id
步骤2:命名VLAN(可选)。 vlan-name 是VLAN的名字,主要方便网络管理员管理所用。
switch(config-vlan)# name vlan-name
(2)将交换机接口划分到VLAN中
步骤1:进入需要配置的接口。 interface-id 是接口的编号,如果有多个接口要加入到同一个VLAN,用interface range {port-range}来批量设置接口。
switch(config)# interface interface-id
步骤2:将接口添加到特定的VLAN中。
switch(config-if)# switchport access vlan vlan-id
(3)将级联接口设置为Trunk
步骤1:进入需要配置的接口。
switch(config)# interface interface-id
步骤2:将接口的模式设置为Trunk。
switch(config-if)# switchport mode trunk
【任务描述】
某公司现有技术部和业务部,所有计算机均采用网段192.168.10.0/24,各计算机均可直接通信。出于数据安全的考虑,各部门的计算机需进行隔离,仅允许部门内部相互通信。为实现各部门之间的隔离,需在交换机上创建VLAN 10、VLAN 20,并将技术部、业务部计算机划分到相应的VLAN中。其网络拓扑结构如图1-13所示。
图1-13 VLAN基础配置的网络拓扑结构
【任务实施】
1.在交换机SW1上创建VLAN 、 端口隔离 、 配置SVI
2.查看VLAN
通过查看VLAN信息可以看出,VLAN 10包括接口F0/6~F0/10,VLAN 20包括接口F0/11~F0/15,其余接口都在VLAN 1中。
3.测试网络连通性
按图1-13所示连接拓扑,给VLAN 10中的主机PC1配置相应IP地址为192.168.10.1/24,给VLAN 20中的主机PC2配置相应IP地址为192.168.10.2/24。主机PC1和PC2之间进行ping测试,结果如下所示:
从测试结果可以看出,虽然主机PC1和PC2的地址在同一个网段,但是各部门的计算机被端口隔离,不能互相ping通。
【任务描述】
在交换机SW1和SW2上创建VLAN 10和VLAN 20,配置Trunk实现同一VLAN里的计算机能跨交换机进行相互通信。其网络拓扑结构如图1-14所示。
图1-14 跨交换机实现相同VLAN通信的网络拓扑结构
【任务实施】
1.在交换机SW1上创建VLAN 、 接口隔离
2.在交换机SW1上将与SW2相连的端口定义为tag vlan模式
3.在交换机SW2上创建VLAN 、 端口隔离
4.在交换机SW2上将与SW1相连的端口定义为tag vlan模式
5.测试网络连通性
按图1-14所示连接拓扑,将PC1的IP地址设置为192.168.10.1/2,PC2的IP地址设置为192.168.20.2/24,PC3的IP地址设置为192.168.10.3/24,PC4的IP地址设置为192.168.20.4/24。主机之间ping测试,结果如下所示。
(1)PC1和PC3之间ping测试
(2)PC2和PC4之间ping测试
(3)PC1和PC4之间ping测试
可以看出,将端口加入到不同的VLAN后,相同VLAN中的计算机可以互相通信,不同VLAN中的计算机则不可以互相通信。
【小结】
VLAN 1属于系统默认的VLAN,不可以被删除。删除某个VLAN时,应先将属于该VLAN的端口加入别的VLAN,再删除之。