计算机网络实验:VLAN组建
CONTENTS
- 一、VLAN基础理论
- 二、VLAN标签
- 三、VLAN的链路类型和端口类型
-
-
- Access链路及Access端口
- Trunk链路及Trunk端口
-
- 四、VLAN的划分方式
-
-
- 基于端口号划分
- 基于MAC地址划分
- 基于子网划分
- 基于协议划分
- 基于策略划分
-
- 五、使用华为交换机实现基于端口号的VLAN组建
一、VLAN基础理论
VLAN(Virtual Local Area Network,虚拟局域网),交换机中最重要和最常用的一项技术。其核心是通过交换设备,在网络物理结构的基础上构建逻辑网络,使网络中的任意节点都能够根据需要组成一个逻辑局域网。
VLAN组网技术有高速、灵活、易于扩展和管理的特点。
二、VLAN标签
VLAN是二层协议,划分VLAN之后会在二层数据帧中打上所属VLAN的标签,用来指示VLAN的成员,它封装在能够穿越局域网的帧里。
比如VLAN标签“802.1q Tag”字段包含4个子字段:
- TPID:标签协议标识符,表明这是一个添加了802.1q标签的帧
- PRI:优先级字段,用于交换机阻塞时优先发送哪个数据帧
- CFI:标准格式指示器,用来标识MAC地址在传输介质中是否以标准格式进行封装,取值为0表示MAC地址为标准格式封装
- VID:VLAN标志字段,指明VLAN的ID,实际有效取值范围1~4095
三、VLAN的链路类型和端口类型
对于带有 Tag 的 VLAN i 帧,i 就是 Tag 中 VID 字段的取值,交换机可以根据VID值判定属于哪个 VLAN。每一个交换机的端口都应该配置一个PVID(Port VLAN ID),到达这个端口的 Untagged 帧将一律添加 VID 为 PVID 的 VLAN 标签,默认情况下PVID为1。一台交换机内部运动的帧肯定是 Tagged 帧。
Access链路及Access端口
Access链路:交换机与终端计算机直连的链路
Access端口:Access链路上交换机一侧的端口
Access 链路上运动的帧只能是Untagged帧,这些帧只属于特定VLAN。Access端口收到Untagged 帧后交换机会在这个帧中添加VID为PVID的Tag然后进行转发。如果收到Tagged帧,交换机检查其VID是否与PVID相同,若相同则转发,若不相同则直接丢弃。
数据帧在Access链路及端口上的处理过程如图所示
Trunk链路及Trunk端口
Trunk链路上运动的只能是Tagged帧,并且这些帧可以属于不同VLAN。对于每一个Trunk端口,除了要配置PVID,还必须配置允许通过的VLAN ID列表。
数据帧在Trunk链路及Trunk端口的处理过程如图所示
四、VLAN的划分方式
VLAN划分的主要目的就是限制和缩小广播域。常用划分方式为基于端口号、基于MAC地址、基于子网、基于协议和基于策略。
基于端口号划分
基于端口号的划分方式是最常用的。其思路是把交换机的端口指定到具体的VLAN,即给交换机每个二层端口配置不同的PVID(一个端口默认属于的VLAN),这种划分方式只和交换机端口有关,可以看做是交换机端口和VLAN之间的映射。
- 优点:配置过程简单,最常用
- 缺点:配置不够灵活,当VLAN中的成员所连接的端口发生变化是需要重新配置VLAN。
基于MAC地址划分
基于MAC地址划分是一种动态的VLAN划分方式。其思想是吧用户计算机网卡上的MAC地址配置与某个VLAN进行关联。网络管理员需要事先配置MAC地址和VLAN ID映射关系表。(该划分方式只能在Hybird交换机端口上进行)
- 优点:用户变化物理位置时,不需要重新划分VLAN,提高了终端用户的安全性和接入的灵活性。
- 缺点:对拥有大量终端的网络来说,初始配置工作量较大。
基于子网划分
根据用户主机网卡IP地址所在IP网段进行划分,需要事先配置IP地址和VLAN ID映射关系表。
- 优点:大大减少了人工配置VLAN的工作量,同时保证用户自由的增加、移动和修改。
- 缺点:交换机需要解析源IP地址并进行对应转换,导致交换机响应速度较慢。
基于协议划分
根据用户主机运行的网络层协议划分,需要配置“协议”字段和VID字段的映射关系表。
- 优点:大大减少了人工配置VLAN的工作量,同时保证用户自由的增加、移动和修改。
- 缺点:交换机需要分析各种协议的地址格式并进行对应转换,导致交换机响应速度较慢。
基于策略划分
根据用户安全策略划分。主要包括基于MAC地址+IP地址组合策略和基于MAC地址+IP地址+端口号组合策略。
- 优点:安全性非常高,禁止用户改变IP地址或MAC地址
- 缺点:针对每一条策略都需要手工配置,VLAN较多时工作量大。
五、使用华为交换机实现基于端口号的VLAN组建
打开华为eNSP,新建一个拓扑,至少包含2个S3700交换机和4台PC主机,每台S3700与两台PC相连。
给四台PC配置不同的的IP地址,如
启动设备,双击交换机LSW1打开命令行窗口
(1)进入系统视图,设置交换机提示符
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname switchA
[switchA]
(2)进入接口视图设置端口类型
设置端口类型
port link-type access/trunk/hybrid
[switchA]interface Ethernet 0/0/1
[switchA-Ethernet0/0/1]port link-type access
[switchA-Ethernet0/0/1]
[switchA]interface Ethernet 0/0/2
[switchA-Ethernet0/0/2]port link-type access
[switchA-Ethernet0/0/2]
[switchA]interface Ethernet 0/0/3
[switchA-Ethernet0/0/3]port link-type trunk
[switchA-Ethernet0/0/3]
(3)给Access端口划分VLAN
[switchA]vlan 2 //创建VLAN
[switchA-vlan2]port Ethernet 0/0/1
[switchA-vlan2]
[switchA]vlan 3
[switchA-vlan3]port Ethernet 0/0/2
[switchA-vlan3]
(4)给Trunk端口设置允许通过的VLAN
[switchA]interface Ethernet 0/0/3
[switchA-Ethernet0/0/3] port trunk allow-pass vlan 2 to 3
[switchA-Ethernet0/0/3]
LSW1交换机的基于端口号划分VLAN配置结束。LSW2交换机的配置方法相同。