原理:
早期的局域网技术是基于总线型的结构,也就是说所有主机共享一条传输线路。这就带来了很多问题:冲突域和安全问题。为了避免冲突域,我们使用二层交换机。但想想,一台计算机在总线上传输数据的时候,所有计算机都会收到数据,只不过在网络层发现不是自己的地址丢弃掉了,如果被一些人利用,完全可以将信息拦截存储下来,所有我们为了解决安全问题,我们开始划分VLAN,相当于把一个大的广播域划分成许多小的广播域,来提高网络安全性。VLAN ID的取值范围是0~4095 可配置的值是1~4094
什么是access接口?
Access接口是交换机上用来连接用户主机的接口。当Access接口从主机收到一个带VLAN标签的数据帧时,会给该数据帧加上一个与PVID一致的VLAN标签(PVID可手工配置,默认是1,即所有交换机上的接口默认都属于VLAN1)。当Access接口要发送一个带VLAN标签的数据帧给主机时,首先检查该数据帧的VLAN ID 是否与自己的PVID相同,若相同,就去掉VLAN标签后发送给该数据帧主机;不相同,直接丢弃该数据帧。
例子:
实验内容本实验模拟企业网络场景.公司内网是一个大的局域网,二层交换机 sl 放置在一楼,在一楼办公的部门有 IT 部和人事部:二层交换机 s2 放置在二楼,在二楼办公的部门有市场部和研发部。由于
交换机组成的是一个广播网,交换机连接的所有主机都能互相通信,而公司策略是:不同部门之问的主机不能互相通信,同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的 VLAN ,并将连接
主机的交换机接口配置成 Access 接口划分到相应 VLAN 内。
拓扑图:
实验编址:
1.基础配置
按照实验编制进行实验配置,并用ping命令测试连通性
2.创建VLAN(两种方法)
我们用display看一下,
3.配置Access接口
按照拓扑,使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口,并使用port default vlan命令配置接口的默认VLAN并同时加入相应VLAN中。默认情况下,所有接口的默认VLANID为1。
到这一步了,可以再用display看一下配置信息。(我就不截了)
4.检测配置结果
我们用PC1来 ping其他的几个PC(第一个是ping PC2 第二个是pingPC3)
发现不在一个VLAN中ping不同了