接入交换机VLAN设置企业组网规划实验
【实验目的】
了解vlan的基本概念和基本原理。
掌握vlan的基本配置步骤。
【实验任务】
三台交换机通过VLAN划分实现不同的端口下挂的电脑的互通和隔离。
详细记录每个步骤的操作结果。
环境:电脑4台,交换机3台,网线6根。
【实验原理】
VLAN(Virtual Local Area Network,虚拟局域网)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
【实验内容】
1、实验拓扑图
2、数据规划(两个人一小组进行规划数据,三个小组的IP地址建议分别用10/20/30.1.1.0/24):
(组长分配各小组的端口范围和VLAN范围,设备互联的端口建议三个小组共用,业务端口在各自规划的范围中使用。如果各小组分开用互联端口,切记,一定要避免二层VLAN的环回,把端口从VLAN1中删除,再进行交换机互联)。
如上面组网图所示,进行交换机组网。现在某公司有四个部门,分别是管理部电脑3台、财务部电脑3台、工程维护部电脑6台,研发部电脑6台,每个部门每台交换机连接的电脑数量平均分配。现在要求如下,
1) 各部门内部电脑都可以相互通信
2) 管理部门的电脑可以和任意部门的电脑进行通信
3) 除管理部外其它部门的电脑不能和管理部之外的电脑进行通信。
4) 每台交换机下挂的工程维护部的电脑可以而且只可以TELNET登录到直连的交换机,但是不允许登录到其它交换机。
请根据上面要求对交换机的端口、VLAN、进行规划
3、数据配置规划数据验证:
根据数据规划进行交换机配置,并对规划数据进行验证,如果验证出现问题,请修改规划继续验证。
4、每组可以做一次,也可以做三次。
实验结果:
1、导出配置文件:
导出经过验证的配置好的数据文件做为作业发给老师。记住各组内部讨论规划,不允许出现雷同的数据配置。
由于不同公司间的IP网段理应不同,所以根据此无需考虑不同公司间互通的影响,使方案简易化,但是由于工程维护部登陆的只有自己所直连的交换机,根据ipport设置的虚拟IP登陆,受限于一个ipport只能属于1个vlan的原因,保证达到要求,需要为工程部划分不同vlan,根据不同vlan的特点便可以达到登陆不同账号的目的,即根据不同的ipport登陆端口进入交换机。
由于受到端口的限制,部分部门由2台缩减为1台,实际效果都一样
A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,4,5 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
4 |
4 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
B公司 |
端口号 |
7 |
8 |
9 |
10 |
|
|
所属部门 |
管理部门 |
财务部 |
工程维护部 |
研发部 |
|
||
VLAN |
2,3,5,6 |
2,3 |
2,6,12,13 |
2,5 |
|
||
PVID |
2 |
3 |
6 |
5 |
|
||
Tag标记 |
untag |
untag |
untag |
untag |
|
||
C公司 |
端口号 |
11 |
12 |
13 |
14 |
|
|
所属部门 |
管理部门 |
财务部 |
工程维护部 |
研发部 |
|
||
VLAN |
2,3,5,7 |
2,3 |
2,7,14,15 |
2,5 |
|
||
PVID |
2 |
3 |
7 |
5 |
|
||
Tag标记 |
untag |
untag |
untag |
untag |
|
||
公有端口 |
端口号 |
15 |
16 |
|
|||
Tag标记 |
Tag |
Tag |
|
Ipport属性设置:
|
ipport |
ipaddress |
mask |
VlanId |
A公司 |
63 |
192.168.1.10 |
255.255.255.0 |
4 |
B公司 |
62 |
192.168.2.10 |
255.255.255.0 |
6 |
C公司 |
61 |
192.168.3.10 |
255.255.255.0 |
7 |
A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
10 |
10 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
B公司 |
端口号 |
7 |
8 |
9 |
10 |
11 |
12 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
12 |
12 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
C公司 |
端口号 |
13 |
14 |
15 |
16 |
17 |
18 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
14 |
14 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
公有端口 |
端口号 |
19 |
20 |
21 |
22 |
23 |
24 |
Tag标记 |
tag |
tag |
tag |
tag |
tag |
tag |
|
ipport |
ipaddress |
mask |
VlanId |
A公司 |
63 |
192.168.1.20 |
255.255.255.0 |
10 |
B公司 |
62 |
192.168.2.20 |
255.255.255.0 |
12 |
C公司 |
61 |
192.168.3.20 |
255.255.255.0 |
14 |
A公司 |
端口号 |
1 |
2 |
3 |
4 |
5 |
6 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,4,5,10,11 |
2,3 |
2,4,10,11 |
2,4,10,11 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
11 |
11 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
B公司 |
端口号 |
7 |
8 |
9 |
10 |
11 |
12 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,5,6,12,13 |
2,3 |
2,6,12,13 |
2,6,12,13 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
13 |
13 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
C公司 |
端口号 |
13 |
14 |
15 |
16 |
17 |
18 |
所属部门 |
管理部门 |
财务部 |
工程维护部 |
工程维护部 |
研发部 |
研发部 |
|
VLAN |
2,3,5,7,14,15 |
2,3 |
2,7,14,15 |
2,7,14,15 |
2,5 |
2,5 |
|
PVID |
2 |
3 |
15 |
15 |
5 |
5 |
|
Tag标记 |
untag |
untag |
untag |
untag |
untag |
untag |
|
公有端口 |
端口号 |
19 |
20 |
21 |
22 |
23 |
24 |
Tag标记 |
tag |
tag |
tag |
tag |
tag |
tag |
Ipport属性设置:
|
ipport |
ipaddress |
mask |
VlanId |
A公司 |
63 |
192.168.1.30 |
255.255.255.0 |
11 |
B公司 |
62 |
192.168.2.30 |
255.255.255.0 |
13 |
C公司 |
61 |
192.168.3.30 |
255.255.255.0 |
15 |
1) 各部门内部电脑都可以相互通信
2) 管理部门的电脑可以和任意部门的电脑进行通信
3) 除管理部外其它部门的电脑不能和管理部之外的电脑进行通信。
4) 每台交换机下挂的工程维护部的电脑可以而且只可以TELNET登录到直连的交换机,但是不允许登录到其它交换机。
完全采用vlan划分,即考虑不同公司相同子网的问题,即将上面的B和C公司改为不同VLAN即可,基本思路都差不多,可以将BC公司的VLAN都加10和20,基本思路和方案1一致,属于方案1的完全版。
第一阶段测试有些草率,测试了几个管理部的端口,能Ping通该公司其他部门后,没有继续测试。有个组员接了一交换机A公司财务部后发现仍能ping通该公司其他部门,就发现了问题。
有组员发现交换机之间的端口连接用的还是untag,这就导致帧通过交换机后pvid转换成2进而通过vlan2进行通信,使得不该通的部门之间也能互通了。修改成tag后,帧直接转发,没有修改pvid。
最后测试时发现,交换机1下的工程部不仅可以登陆到自己直连的交换机,还能登陆到其他两台交换机上。小组仔细研究发现在对工程部的划分时出现了问题,在vlan4,6,7的基础上把ipport 删除,每个公司增加两个vlan,划入ipport并重新配置telnet,问题解决。
最后经过全组人员的认真实验和总结完美解决上述问题!
本次实验从拓扑图的规划、设计,到并行网络的配置,再到最后的测试、修改,都由大部分小组组员合作完成。组员分工明确,在草稿上把拓扑图和vlan分组画的清晰仔细,配置工作进行的也迅速有效率。
ping部门时有许多不通的情况,组员又一起对代码进行了检查,修改以后顺利完成老师的要求。
基础功能在第一天下午基本实现,进行了几个简单测试没有发现问题。然而第二天进行细致测试截图时出现了不少问题。组员进行深入讨论后,也咨询了其他组的成员,制定出修改计划,总算是圆满解决了问题。。
这次实验展现了小组的合作精神,每个人都参与进来,思考讨论,才有了最后这份完整的实验报告。然而我们仍发现许多不足,比方说测试的时候想当然,测试不全面不仔细。学习就是个精益求精的过程,做学问容不得一点马虎。