VLAN基础配置及Access接口
VLAN基础配置及Access接口
原理概述
早期的局城网技术是基于总线型结构的。总线型拓扑结构是由一根单电缆连接着所有主机,这种局城网技术存在着冲突域问题,即所有用户都在一个冲突域中,那么同一时间内只有一台主机能发送消息,从任意设备发出的消息都会被其他所有主机接收到,用户可能收到大量不需要的报文:而且所有主机共享一条传输通道,任意主机之间都可以直接互相访问,无法控制信息的安全。
为了避免冲突域,同时扩展传统局城网以接入更多计算机,可以在局域网中使用二层交换机。交换机能有效隔离冲突域,但是由于所有计算机仍处于同一个广播域,任意
设备都能接收到所有报文,不但降低了网络的效率,而且降低了安全性,即广播域和信息安全问题依旧存在。为了能减少广播,提高局域网安全性,人们使用虚拟局域网即
VLAN技术把一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信,而VLAN间不能直接互通。这样,广播报文被限制在一个VLAN内,同时也提高了网络安全性。不同的VLAN使用不同的VLAN ID区分,VLAN ID的范围是0~4095,可配置的值为1~ 4094,0和4095为保留值。
Access接口是交换机上用来连接用户主机的接口。当Access接口从主机收到一个不带VLAN标签的数据帧时,会给该数据帧加上与PVID -致的VLAN标签(PVID可手工配置,默认是1,即所有交换机上的接口默认都属于VLAN1)。当Access接口要发送一个带VLAN标签的数据帧给主机时,首先检查该数据帧的VLAN ID是否与自己的
PVID相同,若相同,则去掉VLAN标签后发送该数据帧给主机:若不相同,直接丢弃该数据帧。
实验拓扑
VLAN基础配置及Access接口拓扑如图3-1所示。
实验编址
实验编址见表3-1。
实验步骤
1.基本配置
根据实验编址进行相应的基本IP地址配置,在此步骤中不要为交换机创建任何的VLAN。
使用ping命令检测各直连链路的连通性,所有的PC都能相互通信。
其他主机间互相通信测试和上述相同,略过。
2.创建VLAN
除默认VLAN 1 外,其余VLAN需要通过命令来手工创建。创建VLAN有两种方式,一种是使用vlan命令一次创建单个VLAN,另- -种方式是使用vlan batch命令- -次
创建多个VLAN。
在S1上使用两条命令分别创建VLAN10和VLAN20。
在S2上使用一-条vlanbath命令创建VLAN30和VLAN40。
配置完成后,在S1和S2.上使用display vlan命令查看VLAN的相关信息。
可以观察到,S1 和S2都已经成功创建了相应VLAN,但目前没有任何接口加入所创建的VLAN 10与20中,默认情况下交换机上所有接口都属于VLAN 1。
3.配置Access接口
按照拓扑,使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口,并使用port default vlan命令配置接口的默认VLAN并同时加入相应VLAN中。默认情况下,所有接口的默认VLANID为1。
配置完成后,查看S1与S2上的VLAN信息。
可以观察到,目前两台交换机上连接PC的接口都已经加入到相应所属部门的VLAN当中。
4.检查配置结果
在交换机上将不同接口加入各自不同的VLAN中后,属于相同VLAN的接口处于同一个广播域,相互之间可以直接通信。属于不同VLAN的接口是处于不同的广播城,相互之间不能直接通信。
在这个实验环境中,只有同属于IT部门VLAN 10的两台主机PC-1和PC-2之间可以互相通信。其他不同部门间的PC之间将无法通信。
在IT部门的终端PC-1上分别测试与同部门]的终端PC-2、HR部]的PC-3间的连通性。
可以观察到,相同VLAN内的PC可以互相通信,不同VLAN内的PC间无法通信。
思考
在本实验中,如果将S2的接口E 0/0/5 配置为Access类型接口,并划入VLAN 30中,此时PC-1能否ping通PC-4? PC-1能否ping通PC-5?为什么?
为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习!
点“在看”给我一朵小黄花