VLAN综合实验:基于接口和MAC地址的VLAN划分配置详解
VLAN综合实验:基于接口和MAC地址的VLAN划分配置详解
实验目的
- 掌握 VLAN 的创建方法
- 掌握 Access、Trunk 和 Hybrid 类型接口的配置方法
- 掌握基于接口划分 VLAN 的配置方法
- 掌握基于 MAC 地址划分 VLAN 的配置方法
- 掌握 MAC 地址表及 VLAN 信息的查看方式
实验环境
使用华为eNSP模拟器,拓扑结构如下:
实验介绍
划分VLAN的方法主要有以下三种:
基于端口划分的VLAN
这种方法是根据以太网交换机的交换端口来划分的,是最常见的一种VLAN划分方法。
优点:定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。
缺点:如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
基于MAC地址划分VLAN
这种方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
优点:当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。
缺点:安全性较低,MAC地址可以伪造。初始化时,所有的用户都必须进行配置。如果有几百个甚至上千个用户的话,配置非常繁琐,所以这种划分方法通常适用于小型局域网。交换机的执行效率降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询过程耗费资源。笔记本电脑用户,网卡一旦更换,VLAN就必须重新配置。
基于网络层协议划分VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的 VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说非常有用。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
本实验主要实现前两种VLAN划分方法。
实验思路
- 创建 VLAN
- 配置交换机基于接口划分 VLAN
- 配置交换机基于 MAC 地址划分 VLAN
实施步骤
步骤 1:设备基础配置
按照表格信息完成路由器的命名、物理接口和PC的 IP 地址配置:
路由器 | 接口 | IP Address/Mask |
|---|---|---|
R1 | GigabitEthernet0/0/0 | 192.168.1.1/24 |
R1 | GigabitEthernet0/0/0.2 | 192.168.2.1/24 |
R1 | GigabitEthernet0/0/0.3 | 192.168.3.1/24 |
这里使用的是路由器的子接口,做单臂路由。
设备 | IP Address/Mask | 网关 |
|---|---|---|
PC1 | 192.168.1.11/24 | 192.168.1.1 |
PC2 | 192.168.1.12/24 | 192.168.1.1 |
PC3 | 192.168.2.11/24 | 192.168.2.1 |
PC4 | 192.168.2.12/24 | 192.168.2.1 |
PC5 | 192.168.3.11/24 | 192.168.3.1 |
PC6 | 192.168.3.12/24 | 192.168.3.1 |
R1的配置命令如下:
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[R1]interface GigabitEthernet 0/0/0.2
[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.1 255.255.255.0
[R1]interface GigabitEthernet 0/0/0.3
[R1-GigabitEthernet0/0/0.3]ip address 192.168.3.1 255.255.255.0
步骤 2:划分VLAN
配置基于接口划分VLAN
- 在交换机S2和S3上创建VLAN,以S2为例
[LSW2]vlan batch 2 3
vlan vlan-id命令用来创建VLAN并进入VLAN视图,如果VLAN已存在,直接进入该VLAN的视图。vlan batch { vlan-id1 [ to vlan-id2 ] }命令用来指定批量创建VLAN。
- 在交换机 S2和S3上创建接口组,添加接口,配置接口类型为 Access ,并划入对应的 VLAN,这里以S2为例只介绍一个端口组的配置方法
[LSW2]port-group vlan1port
[LSW2-port-group-vlan1port]group-member Ethernet0/0/1 to Ethernet 0/0/5
port-group port-group-name命令用来创建永久端口组,并进入永久端口组视图。group-member { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-5>命令用来配置将指定的以太网接口添加到永久端口组中。
[LSW2-port-group-vlan1port]port link-type access
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/3]port link-type access
[LSW2-Ethernet0/0/4]port link-type access
[LSW2-Ethernet0/0/5]port link-type access
port link-type { access | hybrid | trunk }命令用来配置接口的链路类型。可以配置接口的类型为Access、Trunk或Hybrid。
[LSW2-port-group-vlan1port]port default vlan 1
[LSW2-Ethernet0/0/1]port default vlan 1
[LSW2-Ethernet0/0/2]port default vlan 1
[LSW2-Ethernet0/0/3]port default vlan 1
[LSW2-Ethernet0/0/4]port default vlan 1
[LSW2-Ethernet0/0/5]port default vlan 1
port default vlan vlan-id命令用来配置接口的缺省VLAN并同时加入这个VLAN。
- 配置交换机S1、 S2 和 S3 的互联接口为 Trunk 接口,并允许 VLAN 1、2、3 通过,这里以S1为例
[LSW1] interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1] port link-type trunk
[LSW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 1 to 3
port trunk allow-pass vlan命令用来配置Trunk类型接口加入的VLAN。
配置基于MAC地址划分VLAN
现在假设PC6是特殊业务 PC,查看该 PC 的 MAC 地址为:54-89-98-C8-55-3D。希望该 PC 可以通过 S3 的 Ethernet0/0/11、Ethernet0/0/12、Ethernet0/0/13 任意一个端口接入网络,并且通过 VLAN 6 进行数据传递。
- 配置交换机 S3,让 PC 的 MAC 地址与 VLAN 10 关联。
[LSW3] vlan 10
[LSW3-vlan10] mac-vlan mac-address 54-89-98-C8-55-3D
基于MAC划分VLAN指将MAC地址与VLAN关联,按照报文的源MAC地址来定义VLAN成员,将指定报文添加该VLAN的Tag后发送。用户在变换物理位置时,不需要重新划分VLAN,提高了终端用户的安全性和接入的灵活性。mac-vlan mac-address命令用来配置MAC地址与VLAN关联。
- 配置交换机 S3 的 Ethernet0/0/11、Ethernet0/0/12、Ethernet0/0/13接口为Hybrid 接口,并允许基于 MAC 地址划分的 VLAN 通过当前 Hybrid 接口,下面以Ethernet0/0/11为例
[LSW3]interface Ethernet0/0/11
[LSW3-Ethernet0/0/11]port link-type hybrid
[LSW3-Ethernet0/0/11]port hybrid untagged vlan 10
在Access口和Trunk口上,只有基于MAC划分的VLAN和PVID相同时,才可以正常使用。所以基于MAC地址划分VLAN推荐在Hybrid口上配置,可以接收多个VLAN不带标签通过。port hybrid untagged vlan命令用来配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口。
- 配置交换机 S1、S2和S3 的互联接口允许 VLAN 10 通过,以S2为例
交换机互联接口需要保证多个VLAN带标签通过,因此可以使用之前配置的Trunk接口。
[LSW2] interface GigabitEthernet0/0/1
[LSW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
- 配置交换机 S3,使能 Ethernet0/0/11、Ethernet0/0/12、Ethernet0/0/13 接口基于 MAC 地址划分 VLAN 功能。若想使通过接口的报文按照基于MAC地址划分的VLAN转发,必须使用使能接口的MAC VLAN功能。
[LSW3]interface Ethernet0/0/11
[LSW3-Ethernet0/0/11]mac-vlan enable
mac-vlan enable命令用来使能接口的MAC VLAN功能。
步骤 3:查看配置信息,以S3为例
查看交换机的VLAN信息
[LSW3]display vlan
查看交换机的 MAC-VLAN 信息
<LSW3>display mac-vlan vlan 10
display mac-vlan命令用来查看基于MAC地址划分VLAN的配置信息。
测试结果
检测设备连通性,验证 VLAN 配置结果
- 测试基于接口的VLAN间通信,在PC1执行Ping命令,使得PC1可以 Ping 通PC5
PC>ping 192.168.3.11
- 在S3上通过 display mac-address verbose,查看交换机的 MAC 地址表。
[LSW3]display mac-address verbose
- 测试基于MAC的VLAN间通信,在PC4执行Ping命令,使得PC4可以 Ping 通PC6
PC>ping 192.168.3.12
实验成功。
实验总结
知识点
在交换网络中,为了实现对物理网络的逻辑划分,引入了VLAN(虚拟局域网)的概念。VLAN通过将不同的设备划分到不同的虚拟网络中,实现了逻辑隔离。基本配置包括在交换机上创建VLAN、将端口划分到相应的VLAN,并设置端口的访问模式(Access Mode)或干道模式(Trunk Mode)。
在路由器的一个接口上通过配置子接口(并不存在的物理接口)的方式,实现原来相互隔离的不同VLAN之间的互联互通。路由器的物理接口可以被划分成多个逻辑接口,这些被划分后的逻辑接口被形象的称为子接口。值得注意的是这些逻辑子接口不能被单独的开启或关闭,也就是说,当物理接口被开启或关闭时,所有的该接口的子接口也随之被开启或关闭。
注意事项
- 在动手做实验之前,应该弄懂实验原理,以及思路,并画好拓扑图。
- 记得设置主机的IP和默认网关。
- 注意接口名称
收获
通过在交换机上划分VLAN,并用ping命令测试在同一VLAN和不同VLAN中设备的连通性,以及使用display mac-address和display vlan查看表内信息,验证了在交换机上划分VLAN 的作用。通过这个实验,学会了如何配置基于接口和基于MAC地址的VLAN划分,也明白了如何设置Tag VLAN Hybrid属性以及怎样用命令语言划分VLAN、怎样测试等操作,更加熟悉交换机的配置,受益匪浅。