網絡之路24：VLAN基礎實驗

正文共：2345 字 18 圖，預估閱讀時間：3 分鐘

網絡之路第一章：Windows系統中的網絡

0、序言1、Windows系統中的網絡?1.1、桌面中的網卡?1.2、命令行中的網卡?1.3、路由表?1.4、家用路由器

網絡之路第二章：認識企業設備

2、認識企業設備?2.1、MSR810-W外觀?2.2、登錄MSR810-W管理頁面?2.3、快速設置上網?2.4、WLAN配置?2.5、LTE模塊配置?2.6、MSR810-W高級設置

網絡之路第三章：認識設備命令行

3、認識設備命令行?3.1、通過Console接口登錄設備?3.2、遠程登錄設備?3.3、Comware系統的基本命令?3.4、MSR810-W配置解讀?3.5、MSR810-W初始化配置

網絡之路第4章（上）：認識網絡模擬器

4、認識網絡模擬器?4.1、HCL華三云實驗室?4.2、eNSP企業網絡模擬平臺?4.3、CiscoPacketTracer?4.4、EVE-NG??4.4.1、從OVF導入部署到ESXi??4.4.2、使用ISO安裝到WorkStation??4.4.3、EVE-NG導入iol鏡像??4.4.4、EVE-NG導入qemu鏡像

網絡之路第4章（下）：認識虛擬化

4.5、虛擬化環境VMwareESXi??4.5.1、定制ESXi?6.7安裝鏡像??4.5.2、部署ESXi?6.7??4.5.3、ESXi?6.7升級ESXi?7.0??4.5.4、vCenter納管ESXi主機?4.6、虛擬化環境CAS??4.6.1、部署CVM管理節點??4.6.2、部署CVK計算節點??4.6.3、CVM納管CVK節點?4.7、網絡功能虛擬化NFV??4.7.1、部署NFV??4.7.2、配置NFV網絡??4.7.3、NFV設備初始配置

網絡之路18：簡單網絡環境搭建與測試

5、基礎網絡實驗?5.1、簡單網絡環境搭建與測試

網絡之路19：網絡設備基本連接與調試

5.2、網絡設備基本連接與調試

網絡之路20：ARP配置

5.3、ARP協議

網絡之路21：DHCP報文交互過程

5.4、DHCP報文交互過程

網絡之路22：DHCP基礎實驗

5.5、DHCP基礎實驗

網絡之路23：DHCP進階實驗

5.6、DHCP進階實驗

在前面介紹DHCP的時候，我們提了一下，在有多個網段的情況下，除了使用路由器的接口進行分別配置之外，還可以使用三層交換機的VLAN功能來劃分不同廣播域，實現為不同VLAN分配不同的DHCP地址池。

5.7、VLAN基礎實驗

我們平時所接觸到的家用路由器（網絡之路3：認識家用路由器），一定程度上也可以稱為路由交換一體機。家用路由器一般由1個WAN口，多個LAN口，這些LAN口下聯的終端同屬于一個網段，如果單獨看這些LAN接口的話，一度程度上可以把他們視為一個小的傻瓜二層交換機。

試想這樣一個場景，我們將6臺終端接入到一個交換機上，交換機不做任何配置，所有終端可以直接通信。

最簡單的模型，我們可以將6臺設備配置到同一個網段，比如6臺設備的互聯地址分別配置為10.1.1.1-10.1.1.6，他們是可以直接通信的，這一點無需驗證。

再作進一步考慮，如果我們想讓上面3臺相互通信、讓下面3臺相互通信，上線的設備彼此不能通信，在沒有VLAN的情況下，我們可以將6臺主機分別配置到兩個網段，比如10.1.1.0/24和10.1.2.0/24。

現在，我們在RT3上測試一下終端間是否可以互訪。

可以看到，同網段之間可以互訪，不同網段之間不能互訪。注意看，我這里沒有測試RT3和RT6之間的聯通性，那我在RT6的接口上抓包能看到報文嗎？

可以看到，雖然RT6未參與任何通信，但是他的網卡一直在接收數據，而報文類型大部分都是廣播類型的報文，而且還夾雜著不是本網段的業務流量，RT6根本不關心這些業務。

我抓取了6分鐘的流量，一共捕獲了57KB的報文流量，因為沒有業務相關的操作，對RT6而言，都可以理解為是垃圾流量，這些流量換算下來，大概是1.3 kbps的流量，如果網絡規模足夠大，比如有60000臺設備都接在一臺巨大的交換機上，那單臺設備接口收到的垃圾流量將高達13 Mbps。

然后我們在交換機上配置DHCP，為6臺設備分配IP地址，但是我們地址池內僅設置2個可用地址，地址租期設置為5秒，我們再看一下。

#interfaceVlan-interface1ipaddress?10.1.1.1?255.255.255.0#dhcpserverip-poolh4cnetwork?10.1.1.0mask?255.255.255.0addressrange?10.1.1.2?10.1.1.3expiredday?0?hour?0?minute?0?second?5

接下來，我們將6臺終端的地址都修改為通過DHCP自動獲取，同時開啟抓包。

很快，2個地址就分配完成了。

然后我們查看抓包情況，發現網絡里都是DHCP報文信息。

這次，在不到3分鐘的時間里，我們捕獲了2440個報文，總大小為239 KB，這些流量換算下來，大概是11 kbps的流量，還是假設60000臺設備都接在一臺巨大的交換機上的情況，在沒有業務收發的情況下，單臺設備接口收到的垃圾流量將高達110 Mbps。

在實際使用中，還有一種環路的情況，大概像上圖這樣，多臺設備首尾相連，此時廣播報文就會在幾臺設備之間不斷傳播，在傳播的同時又在生成新的報文。如果以前面的流量模型計算，在這種網絡中，過不了多久，網絡里的流量就達到設備的性能瓶頸了，出現性能顯著下降，甚至網絡不可用等問題，影響正常業務報文的轉發；這種情況，我們一般稱之為“廣播風暴”。

為了提高網絡和設備利用率，我們可以把一個物理LAN劃分成多個邏輯LAN——VLAN（Virtual Local Area Network，虛擬局域網）。這樣，我們就將局域網中的一個沖突域（廣播域）劃分成了多個沖突域（廣播域），有效減少了廣播報文等垃圾流量無限制轉發、沖突嚴重等問題。使用VLAN之后，處于同一VLAN的主機能直接互通，而處于不同VLAN的主機則不能直接互通；廣播報文被限制在同一個VLAN內，即每個VLAN是一個廣播域。

比如我們將這6個終端分別劃分到VLAN10和VLAN20兩個VLAN。

配置方式有兩種，一種是在接口下配置VLAN。

#vlan10#interfaceGigabitEthernet1/0/1portaccess?vlan?10

另一種是在VLAN下配置接口。

[SW]vlan20[SW-vlan20]portGigabitEthernet 1/0/2[SW-vlan20]disvlan 20VLANID: 20VLANtype: StaticRouteinterface: Not configuredDescription: VLAN 0020Name: VLAN 0020Taggedports: ? NoneUntaggedports:GigabitEthernet1/0/2

最終的配置都是顯示在接口下面的。

#vlan10#vlan20#interfaceGigabitEthernet1/0/1portaccess?vlan?10#interfaceGigabitEthernet1/0/2portaccess?vlan?20#interfaceGigabitEthernet1/0/3portaccess?vlan?10#interfaceGigabitEthernet1/0/4portaccess?vlan?20#interfaceGigabitEthernet1/0/5portaccess?vlan?10#interfaceGigabitEthernet1/0/6portaccess?vlan?20

然后我們為編號為奇數的終端和編號為偶數的終端配置相同的IP地址，然后測試訪問情況。

首先是RT1訪問RT3和RT5。

然后是RT2訪問RT4和RT6。

可以看到，雖然6臺終端的IP地址兩兩重疊，但是彼此的通信互不影響，這就是VLAN隔離的作用。

我們看一下VLAN的相關信息。

觀察輸出的信息，我們發現幾個地方：

1、VLAN ID就是我們手工創建的VLAN，當沒有額外操作時，設備上僅存在VLAN 1，所有接口都在VLAN 1下面，像下面這樣：

2、VLAN type為Static，即靜態VLAN，與之對應的還有動態VLAN，一般和接入認證配合使用，等后面遇到了再進行介紹；

3、Route interface為未配置狀態，指的是是否存在VLAN虛接口，用于終結本VLAN內需要二層流量。只要創建了vlan-interface就會顯示為已配置狀態，而不會關心是否配置了IP地址。

4、Description描述字段默認顯示的VLAN+VLAN編號，正常配置中是看不到的，如果我們有需求，可以進行更改。

5、Name處為VLAN的名稱，和Description一樣，默認顯示的也是VLAN+編號，如果我們有需求，可以進行更改，這個名稱是在brief概要信息中可以展示的。

6、Tagged ports和Untagged ports是指在對應的接口收發報文時是否需要攜帶Tag標記，這是因為，在默認情況下，VLAN標識僅在本地有效；如果要將VLAN傳遞到其他設備上，則需要在轉發報文時為報文攜帶Tag標記，也就是VLAN編號。

根據端口在轉發報文時對VLAN Tag的不同處理方式，可將端口的鏈路類型分為Access、Trunk和Hybrid三種：

1、Access：端口只能發送一個VLAN的報文，發出去的報文不帶VLAN Tag。一般用于和不能識別VLAN Tag的用戶終端設備相連，或者不需要區分不同VLAN成員時使用。Access端口的缺省VLAN就是它所在的VLAN。

2、Trunk：端口能發送多個VLAN的報文，且能夠配置端口缺省VLAN，除匹配端口缺省VLAN的報文不帶VLAN Tag之外，其他VLAN的報文都必須帶VLAN Tag。通常用于網絡傳輸設備之間的互連。

3、Hybrid：端口能發送多個VLAN的報文，也能夠配置端口缺省VLAN，端口發出去的報文可根據需要配置某些VLAN的報文帶VLAN Tag，某些VLAN的報文不帶VLAN Tag。

用最簡單的組網拓撲來看一下，兩臺交換機設備直連，通過VLAN20進行通信，我們配置互聯接口為Trunk鏈路類型，默認VLAN使用VLAN10，SW1的配置如下：

#vlan1#vlan10#vlan20#interfaceVlan-interface20ipaddress?20.1.1.1?255.255.255.0#interfaceGigabitEthernet1/0/1portlink-type trunkporttrunk?permit vlan?1?10?20porttrunk?pvid vlan?10

SW2只有VLAN虛接口的IP地址有差異：

#vlan1#vlan10#vlan20#interfaceVlan-interface20ipaddress?20.1.1.2?255.255.255.0#interfaceGigabitEthernet1/0/1portlink-type trunkporttrunk?permit vlan?1?10?20porttrunk?pvid vlan?10

然后我們查看VLAN信息：

可以看到，同一接口對不同VLAN的打標簽策略是不一樣的，而且在接口配置了路由接口之后，還可以顯示IP地址和掩碼信息。

最后，我們抓包看一下報文。

觀察報文中的802.1Q封裝，我們可以看到前3位為Priority，用來表示報文的802.1p優先級，和QoS相關；第4位為DEI，也被稱為CFI，用來表示MAC地址在不同的傳輸介質中是否以標準格式進行封裝，在以太網中，取值均為0；后面12位為VLAN ID，用來表示該報文所屬VLAN的編號，對應0-4095共4096個VLAN，由于0和4095為協議保留取值，所以VLAN ID的取值范圍為1～4094。此處攜帶的VLAN ID為20。