VLAN的详细介绍
VLAN(Virtual Local Area Network)即虚拟局域网,是一种将一个物理的局域网在逻辑上划分成多个广播域的技术。
以下是关于 VLAN 的一些详细介绍:
一、基本概念
1. 作用:
- 隔离广播域:通过将网络划分为不同的 VLAN,广播帧只会在同一 VLAN 内传播,而不会扩散到其他 VLAN 中,从而有效地控制广播风暴的范围,提高网络的整体性能和安全性。
- 增强网络安全性:不同 VLAN 之间的流量不能直接相互访问,需要通过三层设备(如路由器、三层交换机)进行路由转发,从而提高了网络的安全性,防止未经授权的访问和数据泄露。
- 灵活组网:可以根据不同的需求,将用户、设备或应用划分到不同的 VLAN 中,方便网络的管理和维护,实现灵活的组网和业务部署。
二、工作原理
1. VLAN 标识:在以太网帧中,通过插入一个 4 字节的 VLAN 标签(VLAN Tag)来标识不同的 VLAN。VLAN Tag 包含了一个 12 位的 VLAN 标识符(VLAN ID),取值范围是 0 - 4095,其中 0 和 4095 保留,可用于实际配置的 VLAN ID 为 1 - 4094。
2. 端口类型:
- Access 端口:用于连接终端设备(如计算机、打印机等),该端口只能属于一个 VLAN。当数据帧从 Access 端口发送出去时,会将 VLAN Tag 剥离;当数据帧进入 Access 端口时,如果该帧没有 VLAN Tag,则会打上该端口所属的 VLAN Tag。
- Trunk 端口:用于连接交换机与交换机、交换机与路由器等设备,该端口可以同时属于多个 VLAN。当数据帧从 Trunk 端口发送出去时,如果该帧的 VLAN ID 在该 Trunk 端口允许通过的 VLAN ID 列表中,则保留 VLAN Tag 发送;当数据帧进入 Trunk 端口时,如果该帧带有 VLAN Tag,且该 VLAN ID 在该 Trunk 端口允许通过的 VLAN ID 列表中,则接收该帧,否则丢弃。
- Hybrid 端口:是一种混合端口,可以同时具备 Access 端口和 Trunk 端口的特性,用户可以根据需要灵活配置端口对 VLAN 帧的处理方式。
三、VLAN 配置
1. 基于端口的 VLAN 划分:这是最常见的 VLAN 划分方式,管理员将交换机的端口分配到不同的 VLAN 中,连接到同一端口的设备属于同一 VLAN。
2. 基于 MAC 地址的 VLAN 划分:根据设备的 MAC 地址来划分 VLAN,无论设备连接到哪个端口,只要其 MAC 地址属于某个 VLAN,就属于该 VLAN。
3. 基于网络层协议的 VLAN 划分:根据数据帧中的网络层协议类型(如 IP、IPX 等)来划分 VLAN。
4. 基于 IP 子网的 VLAN 划分:根据设备的 IP 地址所属的子网来划分 VLAN。
四、VLAN 间通信
1. 单臂路由:在路由器的一个物理接口上创建多个子接口,每个子接口对应一个 VLAN,通过路由器实现不同 VLAN 之间的通信。
2. 三层交换机:三层交换机具有路由功能,可以为不同的 VLAN 配置 IP 地址,实现 VLAN 间的路由转发。
新建拓扑
按照以上vlan进行划分,配置vlan应该先配置交换机。
- 交换机上创建vlan
- 交换机上各个接口划分到对应的vlan中
- Trunk(中继)干道,SW-SW之间、 SW-路由器
- VLAN间通信-vlan间路由-- 路由器子接口(单臂路由)、 多层交换机的SVI
然后这道题我们用配置DHCP来让终端自动获取ip。
配置交换机
示例代码:
交换机上创建vlan 编号=12位二进制构成 0-4095 其中1-4094可用
默认所有交换机存在vlan1,且默认所有的交换机接口属于vlan1
[sw1]display vlan 查看vlan
单个创建vlan
[sw1]vlan 2
[sw1-vlan2]quit
[sw1]vlan 3
[sw1-vlan3]quit
批量创建vlan
[sw1]vlan batch 4 to 10 15 to 20
[sw1]undo vlan batch 4 to 20 删除多个vlan
检查是否创建成功
交换机上的各个接口划分到对应的vlan中
[sw1]interface Ethernet0/0/1
[sw1-Ethernet0/0/1]port link-type access 先将该接口类型修改为 接入类型
[sw1-Ethernet0/0/1]port default vlan 2 再将该接口划分到vlan2
批量将多个接口划分到同一个vlan中
[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
设置vlan2示例:
trunk干道 -- 不属于任何一个vlan,可承载所有vlan的流量转发,具有标记(封装vlan-id到数据帧) 、识别(解封装数据帧中的vlan-id)、区分转发不同vlan的流量;
[sw1]interface Eth0/0/5
[sw1-Ethernet0/0/5]port link-type trunk 将该接口修改trunk类型
注:思科系交换机,的trunk模式,默认就可以转发所有vlan的流量
华为系交换机,的trunk模式,默认仅转发vlan1的流量,若需要转发其他vlan流量,需要定义
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3 该trunk干道允许vlan2到3通过
如果不设置干道,原本的通道无法区分vlan流量
封装vlanid到数据帧中,存在两种标准
- IEEE-802.1Q 标准(dot1q) -- 公共标准 所有厂家均支持
- ISL 标准--cisco思科私有标准 仅思科设备支持
交换机和路由器连接的接口也要注意
注意:如果错把access接口配成trunk干道,需要一层一层的删除,记得检查
检查是否配置正确:
另一交换机也是以上步骤(配置完如下)
配置DHCP(路由器上配置)
以前的实验有讲解
要给路由器设置子接口(基于真实的接口之上)
示例代码:
路由器的子接口
[router]interface g0/0/0.1 创建该物理接口对应的第一个子接口
[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义该接口识别的vlan-id
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 配置该ip接口ip地址
[router-GigabitEthernet0/0/0.1]arp broadcast enable 必须开启该接口得ARP应答功能
[router-GigabitEthernet0/0/0.1]q
[router]interface GigabitEthernet 0/0/0.2
[router-GigabitEthernet0/0/0.2]dot1q termination vid 3
[router-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[router-GigabitEthernet0/0/0.1]arp broadcast enable
[router-GigabitEthernet0/0/0.2]q
示例图片:
然后配置dncp,要设置两个池塘
将终端的DHCP打开
检查是否收到分配的ip:
pc1:
pc6:
用pc1 ping pc6
这样就都可以通了,利用vlan将原本同一个广播域划分为不同的网段。并且可以ping。
