VLAN配置

null交换机VLAN配置交换机VLAN配置【实验目的】 了解VLAN的作用，掌握在一台交换机上划分VLAN以及VLAN端口的配置方法，熟悉跨交换机的VLAN的配置，掌握VLAN间通信的配置方法。null【引入案例】 某企业组织结构划分为档案室、财务部、研发部、市场部等多个部门，单位内部网络组建情况如下：各部门计算机分别通过两台二层交换机连接到一台三层交换机。各部门的对网络的安全和管理都有不同的 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 ，比如档案室和财务部出于安全需要，均不允许与其他部门互访；市场部是企业中最大的部门，其拥有的计算机数量最多，两台二层交换机上都连接有该部门的计算机；而研发部和市场部之间的业务来往比较频繁，经常在网络中传输大量的文件资料。根据这些情况，要如何有效地实现企业的网络管理？ null【案例分析】 出于对不同部门的管理、安全要求和企业整体网络的稳定运行的考虑，需要对企业内部网络进行VLAN的划分。通过划分VLAN可以将各部门之间进行隔离，保证了重要部门的数据安全；若属于同一个VLAN但不在一个交换机上的用户，可以在交换机上做适当的配置来实现跨交换机实现VLAN的需要；对属于不同VLAN需要互相通信的部门，需要路由来实现，而三层交换机已经可以满足这个要求。 null【基本原理】 一、VLAN的基本概念 虚拟局域网（Virtual Local Area Network，VLAN），是指突破了设备或用户的物理位置的限制，将局域网设备从逻辑上划分成新的分组区段，每一个区段都可看作一个新的局域网，它们各自形成一个小的广播域。这就避免了发生广播风暴时会对全网产生影响，从而造成传输速率和传输质量的下降情况，因此，VLAN技术在交换机中被广泛使用。 一般来说，当存在以下两种情况时，局域网可以通过划分VLAN来实现虚拟工作组。第一，局域网规模太大以至广播域太大，使用VLAN可以把一个大的广播域划分成若干个小的广播域，把广播报文限制在一个VLAN内，以减小广播报文对整个网络带宽的占用。第二，局域网中存在各种不同安全要求的群体，使用VLAN可以将其相互隔离。null 如图所示，VLAN把一个物理上的LAN划分成多个逻辑的上的LAN，每个VLAN是一个广播域。VLAN内主机间的通信方式与在一个LAN内一样，而不同VLAN内的主机之间不能直接通信。 null二、VLAN的划分 常用的VLAN划分方法主要有以下四种： 1、基于端口的划分 此划分方法利用网络设备的端口来决定虚拟工作组的成员，网络管理员针对于网络设备的交换端口进行重新分配，然后将其组合在不同的逻辑网段中。基于端口的VLAN的划分是最简单、最常用也是最有效的VLAN划分方法，特别适用于连接位置比较固定的用户。 以太网交换机的端口链路类型可以分为Access、Trunk、Hybrid三种，不同的端链路口在加入VLAN和对报文进行转发时会进行不同的处理。 nullAccess类型：端口只能属于1个VLAN，一般用于交换机与终端用户之间的连接；Trunk类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接；Hybrid类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接终端用户的计算机。 2、基于MAC地址的划分 这种划分方法的优点就是只要主机的网卡不更换，即使用户的物理位置发生改变也不需要重新配置其所属的VLAN。null3、基于 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的划分 通过配置基于协议的VLAN，交换机可以对端口上收到的报文进行分析，根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配，为匹配成功的报文添加相应的VLAN 标识，实现动态将属于指定协议的数据划分到特定的VLAN中传输。 4、基于IP组播的划分 基于IP组播划分VLAN认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网。这种方法更灵活，很容易通过路由器进行扩展，主要是用来跨广域网划分VLAN，但这种方法在局域网中使用的话效率太低。null三、跨交换机VLAN 对于小型企业来说，在一台交换机上实现多个VLAN，就已经可以满足用户在安全与性能上的需求。对于中型以上的企业来说，一台交换机不能够满足用户日常工作的需要，就必须要在多台交换机上组建VLAN。这就涉及到同一个VLAN如何在不同的交换机间进行数据的交换的问题。 跨交换机的VLAN之间数据要进行转发，就必须得在交换机间建立起主干链路，交换机在链路上识别出帧的VLAN成员关系。交换机链路主要作用就是判断数据帧是属于哪个VLAN，并将其正确的转发到对应的VLAN或者相应的交换机的端口中。 null四、VLAN间通信 不同VLAN之间的通信必须依赖路由功能，传统的路由器可以满足此要求，但由于传统路由低速，复杂等局限性，很容易成为网络的瓶颈使以太网的优势难以发挥。再者，利用路由器实现VLAN间的数据交换，其通信会受到路由器和交换机之间的链路带宽限制，这种分离的网络设备使得网络建设成本大大增加。三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。三层交换机在二层交换的基础上实现了三层的路由功能，是三层路由和二层交换的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。 null【命令介绍】 1、name text undo name 【用途】 name命令用来指定当前VLAN的名称。当VLAN数量很多的时候，使用名称可以更明确的定位VLAN。undo name命令用来恢复当前VLAN名称的缺省值。缺省情况下，VLAN的名称为该VLAN的VLAN ID，如“VLAN 0001”。 【视图】VLAN视图 【参数】 text：VLAN名称， 1～32个字符（可以包含特殊字符及空格）。 【例】在系统视图下，指定VLAN 2的名称为“test vlan”。 [H3C] vlan 2 [H3C-vlan2] name test vlan null2、description text undo description 【用途】 description命令用来设置当前VLAN或VLAN接口的描述字符串，当通过交换机接入的设备和网络情况比较复杂时，用户可以为每个VLAN或VLAN接口设置明确的描述字符串，用以快速定位通过该VLAN或VLAN接口连接的设备和区域。undo description命令用来恢复当前VLAN或VLAN接口的描述字符串为缺省值。缺省情况下，VLAN的描述字符串为该VLAN的VLAN ID，例如“VLAN 0001”；VLAN接口的描述字符串为该VLAN接口的接口名，例如“Vlan-interface1 Interface”。 【视图】VLAN视图/VLAN接口视图 null【参数】 text：描述VLAN或VLAN接口的字符串，可以包含特殊字符及空格，区分大小写。VLAN的描述字符串：长度范围为1～32个字符；VLAN接口的描述字符串：长度范围为1～80个字符。 【例1】在系统视图下，指定VLAN2的描述字符串为“to switchB”。 [H3C] vlan 2 [H3C-vlan2] description to switchB 【例2】在系统视图下，指定Vlan-interface1接口的描述字符串“gateway of CWB” [H3C] interface Vlan-interface 1 [H3C-Vlan-interface1] description gateway of CWB null3、port link-type { access | hybrid | trunk } undo port link-type 【用途】 port link-type命令用来设置以太网端口的链路类型。undo port link-type命令用来恢复端口的链路类型为缺省状态，即为Access端口。缺省情况下，所有端口均为Access端口。 【视图】以太网端口视图 【参数】 access：将当前端口设置为Access端口。 hybrid：将当前端口设置为Hybrid端口。 trunk：将当前端口设置为Trunk端口。 【例】在系统视图下，将以太网端口Ethernet1/0/1设置为Trunk端口。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port link-type trunk null4、port interface-list undo port interface-list 【用途】 port命令用来向当前VLAN中添加一个或一组Access端口。undo port命令用来从当前VLAN中删除一个或一组Access端口。 【视图】VLAN视图 【参数】 interface-list：需要添加到当前VLAN中或从当前VLAN中删除的以太网端口列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ，表示方式为interface-list＝{ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型，interface-number为端口号。关键字to之后的端口号要大于或等于to之前的端口号。命令中&<1-10>表示前面的参数最多可以输入10次。null【例】在系统视图下，向VLAN 2中加入从Ethernet1/0/2到Ethernet1/0/4的以太网端口。 [H3C] vlan 2 [H3C-vlan2] port Ethernet 1/0/2 to Ethernet 1/0/4 5、port access vlan vlan-id undo port access vlan 【用途】 port access vlan命令用来把Access端口加入到指定的VLAN中。undo port access vlan命令用来把Access端口从指定的VLAN中删除，删除后该端口将加入VLAN1。 null【视图】以太网端口视图 【参数】 vlan-id：当前端口需要加入的VLAN编号，取值范围为1～4094，且目的VLAN必须已经创建。 【例】在系统视图下，将Ethernet1/0/1端口加入到VLAN2中。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port access vlan 2 6、port trunk permit vlan { vlan-id-list | all } undo port trunk permit vlan { vlan-id-list | all } 【用途】 port trunk permit vlan命令用来将Trunk端口加入到指定的VLAN，即允许这些VLAN的报文通过。undo port trunk permit vlan命令用来将Trunk端口从指定的VLAN中删除。nullTrunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令，那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。缺省情况下，所有Trunk端口仅属于VLAN1。 【视图】以太网端口视图 【参数】 vlan-id-list：vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ]&<1-10>，为此Trunk端口加入的VLAN的范围，可以是离散的，vlan-id取值范围为1～4094。&<1-10>表示前面的参数最多可以重复输10次。 all：将Trunk端口加入到所有VLAN中 【例】在系统视图下，将Trunk端口Ethernet1/0/1加入到VLAN2。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port trunk permit vlan 2null7、port hybrid vlan vlan-id-list { tagged | untagged } undo port hybrid vlan vlan-id-list 【用途】 port hybrid vlan命令用来将Hybrid端口加入到指定的VLAN，并配置该端口在发送这些VLAN的报文时是否保留VLAN Tag。Hybrid端口可以属于多个VLAN。如果多次使用该命令，那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的合集。undo port hybrid vlan命令用来将Hybrid端口从指定的VLAN中删除。 缺省情况下，Hybrid端口属于VLAN1。此命令使用的前提条件是vlan-id所指定的VLAN必须存在。 【视图】以太网端口视图null【参数】 vlan-id-list：当前Hybrid端口要加入的VLAN的范围，表示方式为vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ] &<1-10>，vlan-id1和vlan-id2的取值范围为1～4094，但vlan-id2不能小于vlan-id1。&<1-10>表示前面的参数最多可以输入10次。 tagged：该端口在转发指定的VLAN报文时将保留VLAN Tag。 untagged：该端口在转发指定的VLAN报文时将不保留VLAN Tag。 【例】在系统视图下，将Hybrid端口Ethernet1/0/1加入到VLAN2，并且设置该端口在发送这些VLAN的报文时将保留VLAN Tag。。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port hybrid vlan 2 tagged null8、display interface Vlan-interface [ vlan-id ] 【用途】 display interface Vlan-interface命令用来显示VLAN接口的一些相关信息。用户可以通过该命令的输出信息了解当前VLAN接口的状态、IP地址配置以及描述字符等信息，用于网络故障的诊断和定位。 【视图】任意视图 【参数】 vlan-id：指定VLAN接口的编号。如果在执行命令时使用了vlan-id参数，则显示指定VLAN接口的相关信息；如果不使用vlan-id参数，则显示所有已创建的VLAN接口的相关信息。 null9、display vlan [ vlan-id1 [ to vlan-id2 ] | all | dynamic | static ] 【用途】 display vlan命令用来显示VLAN的相关信息，可显示的信息包括VLAN编号、类型、接口状态以及该VLAN内包含的端口等内容。如果执行display vlan命令时不使用任何参数，则显示系统已存在的VLAN的数量和VLAN编号。 【视图】任意视图 【参数】 vlan-id1：显示指定VLAN的信息，取值范围为1～4094。 to vlan-id2：用来与vlan-id1配合，指定一个范围，以显示该范围内所有已存在的VLAN的信息。to之后的VLAN编号不能小于to之前的。 nullall：显示所有VLAN的信息。 dynamic：显示设备上动态VLAN（指通过GVRP协议注册或通过Radius服务器下发的VLAN）的数量和VLAN编号。 static：显示设备上静态VLAN（指通过手工配置创建的VLAN）的数量和VLAN编号。 【解决方案】 一、案例描述 为便于企业网络管理和部门安全需要，可以将该单位的每一个部门均划分为一个VLAN。具体的划分情况如下：市场部划分为VLAN2，研发部划分为VLAN3，财务划分为VLAN4，档案部划分为VLAN5。根据此划分，需求分析如下： null1、财务部所属VLAN4和档案部所属VLAN5与任意VLAN之间都不能互访。 2、市场部所属VLAN2分布在两台二层交换机上，VLAN2内部需正常通信。 3、市场部所属VLAN2和研发部所属VLAN3之间要能互访。null二、拓扑结构 null【实验设备】 PC机5台、H3C系列交换机S3100-16C-SI、S3100-16TP-EI、S3600-28P-EI 【实施过程】 一、根据拓扑图连接好设备，按需求配置好PC机的IP地址，测试目前网络中的连通性。 null二、在二层交换机上划分VLAN，实现部门隔离。SwitchA 1、二层交换机SwitchA的配置 ①进入系统视图。 system-view ②创建VLAN2、VLAN3、VLAN4。 [SwitchA]vlan 2 to 4 Please wait............. Done. ③进入VLAN2视图，把连接市场部的交换机端口Ethernet1/0/2口加入VLAN2；进入VLAN3视图，把连接研发部的交换机端口Ethernet1/0/3加入VLAN3；进入VLAN4视图，把连接财务部的交换机端口Ethernet1/0/4加入VLAN4。 [SwitchA]vlan 2 [SwitchA -vlan2]port Ethernet1/0/2 [SwitchA]vlan3 [SwitchA -vlan3]port Ethernet1/0/3 null[SwitchA]vlan 4 [SwitchA -vlan4]port Ethernet1/0/4 [SwitchA -vlan4]return quit 2、二层交换机SwitchB的配置 ①进入系统视图。 system-view ②创建VLAN2，并进入VLAN2视图，把连接市场部的交换机端口Ethernet1/0/3口加入VLAN2；创建VLAN5，并进入VLAN5视图，把连接档案的交换机端口Ethernet1/0/3加入VLAN5； [SwitchB]vlan 2 [SwitchB -vlan2]port Ethernet1/0/3 [SwitchB]vlan5 [SwitchB -vlan5]port Ethernet1/0/2 [SwitchB -vlan5] return quitnull3、测试划分VLAN后网络的连通性。 null三、实现市场部所属VLAN2的跨交换机通信。 由拓扑图可得，交换机SwitchA 、SwitchB上的 VLAN2要通信，实际上要跨越交换机SwitchA 、SwitchB和SwitchC，因此实现跨交换机通信的链路，需要在三个交换机上建立起通信的链路。 1、二层交换机SwitchA的配置 ①进入系统视图。 system-view ②将SwitchA与SwitchC连接的Ethernet1/0/1端口设置为Trunk链路类型，并允许VLAN2通过。 [SwitchA]interface ethernet1/0/1 [SwitchA -Ethernet1/0/1]port link-type trunk [SwitchA -Ethernet1/0/1]port trunk permit vlan 2 [SwitchA -Ethernet1/0/1]return quit null2、二层交换机SwitchB的配置 ①进入系统视图。 system-view ②将SwitchB与SwitchC连接的Ethernet1/0/1端口设置为Trunk链路类型，并允许VLAN2通过。 [SwitchB]interface ethernet1/0/1 [SwitchB -Ethernet1/0/1]port link-type trunk [SwitchB -Ethernet1/0/1]port trunk permit vlan 2 [SwitchB -Ethernet1/0/1]return quit 3、三层交换机SwitchC的配置 ①进入系统视图。 system-view null②创建VLAN2 [SwitchC]vlan 2 [SwitchC-vlan 2]quit ③分别将SwitchC与交换机SwitchA、SwitchB连接的Ethernet1/0/1、Ethernet1/0/2端口设置为Trunk链路类型，并允许VLAN2通过。 [SwitchC]interface ethernet1/0/1 [SwitchC -Ethernet1/0/1]port link-type trunk [SwitchC -Ethernet1/0/1]port trunk permit vlan 2 [SwitchC -Ethernet1/0/1]quit [SwitchC] interface ethernet1/0/2 [SwitchC -Ethernet1/0/2]port link-type trunk [SwitchC -Ethernet1/0/2]port trunk permit vlan 2 [SwitchC -Ethernet1/0/2]return quit null4、测试两个交换机上市场部的连通性。 四、利用三层交换机实现VLAN2和VLAN3通信，需要在三层交换机SwitchC实现VLAN间路由，并配置好市场部和研发部之间的链路。 1、二层交换机SwitchA的配置 ①进入系统视图。 system-view ②之前已将交换机SwitchA与SwitchC连接的Ethernet1/0/1端口设置为Trunk链路类型，并允许VLAN2通过，但要实现VLAN2和VLAN3之间的链路，交换机SwitchA的Ethernet1/0/1端口也要运行VLAN3通过。null[SwitchA]interface ethernet1/0/1 [SwitchA -Ethernet1/0/1]port trunk permit vlan 3 [SwitchA -Ethernet1/0/1]return quit 2、二层交换机SwitchB的配置 ①进入系统视图。 system-view ②与交换机SwitchA类似，要保证VLAN2和VLAN3之间的链路互通，交换机SwitchB的Ethernet1/0/1端口也要运行VLAN3通过。 [SwitchB]interface ethernet1/0/1 [SwitchB -Ethernet1/0/1]port trunk permit vlan 3 [SwitchB -Ethernet1/0/1]return quit null3、三层交换机SwitchC的配置 ①在交换机SwitchC上创建VLAN3。 system-view [SwitchC]vlan 3 [SwitchC-vlan 3]quit ②分别配置VLAN2接口IP地址为10.1.2.1，掩码255.255.255.0；VLAN3接口IP地址为10.1.3.1，掩码255.255.255.0。 [SwitchC]interface vlan-interface 2 [SwitchC -Vlan-interface2]ip address 10.1.2.1 24 [SwitchC -Vlan-interface2]quit [SwitchC]interface vlan-interface 3 [SwitchC -Vlan-interface3]ip address 10.1.3.1 24 [SwitchC -Vlan-interface3]quit null③分别将交换机SwitchC中与交换机SwitchA、SwitchB相连的端口配成trunk类型，允许VLAN2和VLAN3通过。 [SwitchC]interface ethernet1/0/1 [SwitchC -Ethernet1/0/1]port link-type trunk [SwitchC -Ethernet1/0/1]port trunk permit vlan 2 3 [SwitchC -Ethernet1/0/1]quit [SwitchC]interface ethernet1/0/2 [SwitchC -Ethernet1/0/2]port link-type trunk [SwitchC -Ethernet1/0/2]port trunk permit vlan 2 3 [SwitchC -Ethernet1/0/2]return quit null4、测试市场部和研发部在网络中的连通性。null【工程项目】 某广告公司属下有3个部门：设计部、商务部和财务部。这3个部门的所有计算机均接入一台二层交换机SwitchA，SwitchA通过一台三层交换机SwitchB接入互联网。其中，财务部要求与其它部门隔离，而设计部和商务部需要信息互通。请使用VLAN技术实现此需求。