VLAN

1.VLAN基础配置及Aceess接口

1.1 概述

  交换机能有效隔离冲突域。VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。

      Access接口是交换机上用来连接用户主机的接口。

1.2 实验

     实验内容：本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。

      实验拓扑：VLAN基础配置及Access接口拓扑如图所示

实验步骤：

1.基本配置

       根据实验编址进行相应的IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。

      

2.创建VLAN

  创建VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。

在S1上使用两条命令分别创建VLAN 10和VLAN 20。

     

  在S2上使用一条VLAN batch一次创建VLAN 30和VLAN 40。

            

  配置完成后，在S1和S2上使用display vlan命令查看VLAN相关信息。

 

    

3.配置Access接口

 按照拓扑，使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口，并使用port default vlan命令配置默认VLAN并同时加入相应的VLAN中。默认VLAN ID为1。

   

  

 

 

 

 配置完成后，查看S1和S2上的VLAN信息。

   

   

4.检查配置结果

      在本实验中，只有同属于IT部门VLAN 10的两台主机PC1与PC2之间可以相互通信。其他部门之间的PC机将无法通信。在IT部门的终端PC1上分别测试与同部门的终端PC2、HR部门的PC3之间的连通性。

      

2.配置Trunk接口

2.1 概述

     为了使VLAN的数据帧跨越多台交换机传递，交换机之间互联的链路需要配置为干道链路（Trunk Link）。干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机和交换机之间）承载多个不同VLAN数据的。Trunk端口一般用于交换机之间连接的端口，Trunk端口可以属于多个VLAN，可以接受和发送多个VLAN的报文。

     当Trunk端口收到数据帧时，如果该帧不包含802.1Q的VLAN的标签，将打上该Trunk端口的PVID；如果该帧包含802.1Q的VLAN标签，则不改变。

     当Trunk端口发送数据帧时，当该所发送帧的VLAN ID与端口的PVID不同时，检查是否允许该VLAN通过，若允许直接透传，不允许直接丢弃；当该帧的VLAN ID与端口的PVID相同时，则剥离VLAN标签后转发。

2.2 实验

       实验内容：本实验模拟某公司网络场景。公司规模较大，员工200余名，内部网络是一个大的局域网。公司放置了多台接入交换机（如S1和S2）负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域，由于员工较多，相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能够相互通信，需要配置交换机之间链路为干道模式，以实现相同VLAN跨交换机通信。

       实验拓扑：跨交换机实现VLAN间通信的拓扑

    

实验步骤：

1.基本配置

   根据实验编制表进行相应的基本IP地址配置，并使用ping命令检测各直连链路的连通性。在没有完成划分VLAN之前各PC之间都能互通。

  

2.创建VLAN，配置Access接口

   公司内网需要通过VLAN的划分来隔离不同的部门，需要在3台交换机S1、S2、S3上都分别创建VLAN 10和VLAN 20，研发部员工属于VLAN 10，市场部员工属于VLAN 20。

   

   

   

   配置完成后，使用display vlan命令查看所配置的vlan信息。以S3为例

   

   也可以使用display vlan summary命令查看所配置vlan的简要信息。

   

   在S1上配置E 0/0/2和E 0/0/3为Access接口，并划分到相应的VLAN。

   

   在S2上配置E 0/0/3和E 0/0/4为access接口，并划分到相应的VLAN。

   

   配置完成后，使用display port vlan命令检查vlan和接口配置情况。

   

   

3.配置Trunk接口

   将PC所连入的交换机接口划入到相应的部门VLAN后，测试相同部门中的PC是否能够通信。测试PC1和PC3之间的连通性。

   

   测试PC2和PC4之间的连通性。

   

  为了让交换机间能够识别和发送跨越交换机的VLAN报文，需要将交换机间相连的接口配置成Trunk接口，配置时要明确被允许通过的VLAN，实现对VLAN流量传输的控制。

  在S1上配置E 0/0/1为Trunk接口，允许VLAN 10和VLAN 20通过。

  

  在S2上配置E 0/0/2为Trunk接口，允许VLAN 10和VLAN 20通过。

  

  在S1上配置GE 0/0/1和GE 0/0/2为trunk接口，允许所有vlan通过。

 

 

 配置完成后可以使用display port vlan来检查trunk的配置情况。以S3为例。

 

 再次验证不同交换机上的相同部门的PC之间的连通性。

 测试PC1与PC3之间的连通性。

测试PC2和PC4之间的连通性。

3.理解Hybrid接口的应用

3.1 概述

     Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的标签剥掉。通过配置Hybrid的接口，能够实现对VLAN标签的灵活控制，既能实现Access接口的功能，又能实现Trunk接口的功能。

     Access类型的接口仅属于一个vlan，只能接收、转发相应的vlan帧；而Trunk类型的接口则默认属于所有vlan，任何Tagged帧都能经过Trunk接收和转发；Hybrid类型接口介于两者之间，可自主定义端口上能接收和转发哪些VLAN Tag的帧，并可决定VLAN Tag是否继续携带或者剥离。

     Hybrid处理VLAN帧的的过程如下：

     （1）收到一个二层帧，判断是否有VLAN标签。没有便签，则标记上Hybrid的PVID，进行下一步处理。有标签，判断Hybrid是否允许该VLAN帧的进入，允许则进行下一步处理，否则丢弃。

    （2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged，先剥离帧的VLAN标签，在发送；如果是Tagged则直接发送帧。

3.2 实验

      实验内容：

     

     实验拓扑：理解Hybrid接口的应用拓扑如图。

实验步骤：

1.测试主机之间的连通性。在PC1上使用ping命令，PC1访问其他主机通信正常。

    在没有定义VLAN及接口类型之前，默认情况下交换机接口都是Hybrid接口，接口的PVID是VLAN 1，即所有的接口收到没有标签的二层数据帧，都被转发到VLAN 1中，并继续以Untagged的方式把帧发送至同为VLAN 1的其他接口。所以，即使未做任何配置，主机之间默认仍然可以相互通信。

在S1上使用display port vlan命令查看接口的默认类型。

 在交换机上使用display vlan命令查看接口和所属vlan的对应关系。

 2.实现组内通信，组间隔离。

要想实现部门内部访问，而部门之间不能访问，可以使用Access和Trunk的配置方法，也可以仅使用Hybrid的配置方法。

使用Access和Trunk接口类型的配置方法如下，将S1上的E 0/0/2和S2上的E 0/0/2配置为Access接口，并将相应的接口划分到VLAN 20中，将S1上的E 0/0/3和S2上的E 0/0/3配置成Access接口，并将相应的接口划分到VLAN 10中。而交换机之间的互连链路的两个E 0/0/1接口配置为Trunk类型接口。

 

 

 

 

 

 

 配置完成后，查看接口和VLAN的对应关系。

 

 在PC1上测试与同VLAN 20的PC3的连通性，以及与VLAN 10内终端的连通性。

 使用Hybrid接口来实现该组内交互组间不交互。操作如下。

在S1的E 0/0/2接口上使用undo port default vlan命令用来恢复接口默认VLAN。

 配置port link-type hybrid命令修改接口类型为默认的Hybrid类型。

 配置port hybrid untagged vlan 20命令使得交换机在该接口转发VLAN 20的帧时，剥离掉相应的VLAN Tag 20，以Untagged的形式发送给PC。

 配置port hybrid pvid vlan 20命令设置Hybrid类型接口的默认VLAN ID，即使得该端口上接收到PC发来的未带VLAN Tag的帧时，加上VLAN Tag 20，并转发到VLAN 20。

 同样在连接另一台终端的E 0/0/3接口做同样的配置。

 在连接交换机S2的E 0/0/1接口上修改端口类型为默认的Hybrid类型，并使用port hybird tagged vlan 10 20命令设置该链路仅接收带有VLAN Tag 10和20的帧，而交换机也仅转发VLAN 10和20的帧到该链路。一般该命令设置在交换机互连的链路接口之上。

 S2交换机将在E 0/0/1接口接收到的Tagged帧，根据VLAN Tag标识，向接口E 0/0/2转发VLAN 20的帧，向接口E 0/0/3转发VLAN 30的帧。反之，接口E 0/0/2接收到PC发送的未带Tag的帧转发到VLAN 20,接口E 0/0/3接收的到未带Tag的帧会被转发到VLAN 10，并且这些帧发送到邻居交换机S1时，会保留原有Tag。

S2上的配置和S1类似。

 配置完成后，使用display vlan命令查看使用Hybrid配置下接口和VLAN的对应关系。

 

 3.实现网管员对所有网络的访问

在实现各部门内终端可以互相访问，部门间的终端不能互相访问后，要求网络管理员所在的IT部门（使用终端PC5）能够实现对所有部门的访问。如果S1的E 0/0/2接口仍是Access类型的接口且属于VLAN 10,则不能被其他VLAN访问。若要VLAN 30的终端能访问VLAN 10的终端，则需要修改接口的配置，使其既能被VLAN10访问也能被VLAN 30访问，这就要求此接口同时要属于多个VLAN,且端口所连设备是PC，不能识别带VLAN Tag的帧，故此时只能使用Hybrid类型接口。Hybrid端口既能被加入多个VLAN中，又能够将其余VLAN的帧转发到次接口时，剥离掉相应的VLAN Tag。

配置S1交换机，E 0/0/4接口是网络管理员的PC终端，属于VLAN 30，该接口收到的PC发送的Untagged帧要能够发送至VLAN 30中，配置port hybrid pvid vlan 30命令设置Untagged加入至VLAN 30.

 S1交换机上收到VLAN10、VLAN20和VLAN30的帧也要能够从该接口发送至PC，配置port hybrid untagged vlan 10 20 30命令使得上述3个VLAN的帧会以Untagged的方式从该接口发送出去

 同理，端口E 0/0/2接PC1，接口收到PC的Untagged帧需要发送至VLAN 20，使用port hybrid pvid vlan 20命令。E 0/0/2接口同时也要能够被VLAN 30和VLAN 20的主机访问，即VLAN 20和30的帧能够从该接口发送出去，并以Untagged的方式发送给PC1。

 接口E0/0/3收到Untagged的帧需发送至VLAN 10，同时VLAN10和30的帧要能从该接口发送出去。

 VLAN 10、VLAN 20和VLAN 30的帧要能够发送至邻居交换机S2，且要保留原有的VLAN Tag，以便于邻居交换机S2根据VLAN Tag继续转发到相应的VLAN。同样，邻居交换机S2发送过来的帧也会带有相应的VLAN Tag，所以S1与S2间互连的接口配置如下，

 

 

S1和S2上全部配置完成后，使用ping命令在IT部的网络管理员的PC5上测试与不同部门内的各台主机的连通性，以PC1为例

 测试PC1与本部门内的PC3的连通性

 测试PC1与外部门主机PC2和PC4之间的连通性（不能正常通信，实现了设计要求）

 测试PC1与IT部门网络管理员主机PC5之间的连通性（可以正常通信）

4.利用单臂路由实现VLAN间路由

4.1 概述

      以太网中，通常会使用VLAN技术隔离二层广播域来减少广播的影响，并增强网络的安全性和可管理性。其缺点是同时也严格的隔离了不同VLAN之间的任何二层流量，使分属于不同VLAN的用户不能直接通信。在现实中，经常会出现某些用户需要跨越VLAN实现通信的情况，单臂路由技术就是解决VLAN间通信的一种方法。

      单臂路由的原理是通过一台路由器，使VLAN间互通数据通过路由器进行三层转发。如果在路由器上为每个VLAN分配一个单独的路由器物理接口，随着VLAN的数量增加，需要更多的接口，而路由器的物理接口是有限的，所以在路由器的一个物理接口上通过配置子接口（逻辑接口）的方式来实现以一当多的功能。路由器同一接口的不同子接口作为不同VLAN的默认网关，当不同VLAN间的用户主机需要通信时，只需要将数据包发送给网关，网关处理后再发送至目的主机所在VLAN，从而实现不同VLAN间的通信。

4.2 实验

实验内容：

 实验拓扑：利用单臂路由实现VLAN间路由拓扑如下，

 实验编址：

 4.3实验步骤

1.创建VLAN并配置Access和Trun接口

再S2上创建VLAN 10、VLAN 20，把连接PC1的E 0/0/1和连接PC2的E 0/0/2接口配置为Access接口，并划分到相应的VLAN中。

 在S3上创建VLAN 30，把连接PC3的E 0/0/1接口配置为access接口，并划分到VLAN 30中。

 交换机之间或者交换机与路由之间相连的接口需要传递多个VLAN信息，需要配置成Trunk接口。

将S2和S3的GE 0/0/2接口配置成Trunk接口，并允许所有VLAN通过。

 

 在S1上创建VLAN 10、VLAN 20、VLAN 30，并配置交换机和路由器相连的接口为Trunk接口，允许所有VLAN通过。

 2.配置路由器子接口和IP地址

由于路由器R1只有一个实际的物理接口与交换机S1相连，可以在路由器上配置不同的逻辑子接口来作为不同VLAN的网关，从而达到节省路由器接口的目的。

在R1上创建子接口GE 0/0/1.1，配置IP地址为192.168.1.254/24，作为人事部网关地址。

在R1上创建子接口GE 0/0/1.2，配置IP地址为192.168.2.254/24，作为市场部网关地址。

在R1上创建子接口GE 0/0/1.3，配置IP地址为192.168.3.254/24，作为经理的网关地址。

 在PC1上测试与PC2和PC3之间的连通性。（通信仍然无法建立）

 3.配置路由器子接口封装VLAN

    由于处于不同VLAN下，不同网段的PC间要实现相互通信，数据包必须通过路由器进行中转。由S1发送到R1的数据都加上了VLAN标签，而路由器作为三层设备，默认无法处理带了VLAN标签的数据包。因此需要在路由器的子接口下配置对应VLAN的封装，使路由器能够识别和处理带有VLAN标签的数据，包括剥离和封装VLAN标签。

使用dotlq termination vid命令配置子接口对一层报文的终结功能。即配置该命令后，路由器子接口在接收带有VLAN Tag的报文时，将剥掉tag进行三层转发，在发送报文时，会将与该子接口对应VLAN的VLAN Tag加到报文中。

 使用arp broadcast enable命令开启子接口的广播功能，如果不配置该命令，将会导致该接口无法主动发送ARP广播报文，以及向外转发IP报文。

 同理配置R1的子接口GE 0/0/1.2和GE 0/0/1.3。

 配置完成后，在R1上查看接口状态。（可以观察到，三个子接口的物理状态和协议状态均正常。）

 查看路由器R1的路由表。（可以观察到，路由表中已经有192.168.1.0/24、192.168.2.0/24、192.168.3.0/24的路由条目，并且都是路由器R1的直连路由，类似于路由器上的直连物理接口。）

 在PC1上分别测试与网关地址192.168.1.254和PC2间的连通性。（通信正常）

 在PC1上 TracertPC2。（可以观察到PC1先把ping包发送给自身的网关192.168.1.254，然后再由网关发送到PC2）

单臂路由的整个运作过程：

5.利用三层交换机实现VLAN间路由

5.1 概述

      三层交换机在原有二层交换机的基础上增加了路由功能，同时由于数据没有像单臂路由那样经过物理线路进行路由，很好的解决了带宽瓶颈的问题。

      VLANIF接口基于网络层的接口，可以配置IP地址。借助VLANIF接口，三层交换机就能实现路由转发功能。

5.2 实验

实验内容：

实验拓扑：利用三层交换机实现VLAN间路由的拓扑 

 实验编址：

 5.3实验步骤

 1.基本配置

根据实验地址编址表在PC上进行相应的IP配置，配置完成后，测试销售部两台终端PC1和PC2的连通性。（通信正常）

 测试销售部PC1与客服部PC3的连通性。（无法正常通信）

 2.配置三层交换机实现VLAN间通信

在三层交换机上创建VLAN 10和VLAN 20，把销售部的主机全部划入VLAN 10中，客服部的主机划分到VLAN 20中。

 现在需要通过VLAN间路由来实现通信，在三层交换机上配置VLANIF接口。

在S1上使用interface VLANif命令创建VLANIF接口，指定VLANIF接口所对应的VLAN ID为10，并进入VLANIF接口视图，在接口视图下配置IP地址192.168.1.254/24。再创建对应VLAN 20的VLANIF接口，地址配置为192.168.2.254/24

 配置完成后，查看接口状态。（两个VLANIF接口已经生效）

 再次测试PC1与PC3之间的连通性。（可以正常通信）

 在PC1上查看ARP信息。(PC上ARP解析到的地址只有交换机VLANIF 10的地址，PC1先将数据包发送至网关，即对应的VLAN IF 10接口，再由网关发送到对端。)