以太網是一種基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通訊介質的數據網絡通訊技術。當主機數目較多時會導致沖突嚴重、廣播泛濫、性能顯著下降甚至造成網絡不可用等問題。通過交換機實現 LAN 互連雖然可以解決沖突嚴重的問題,但仍然不能隔離廣播報文和提升網絡質量。
在這種情況下出現了 VLAN 技術,這種技術可以把一個 LAN 劃分成多個邏輯的 VLAN,每個VLAN 是一個廣播域,VLAN 內的主機間通信就和在一個 LAN 內一樣,而VLAN 間則不能直接互通,這樣,廣播報文就被限制在一個 VLAN 內。
本實驗通過配置華為交換機設備,了解并熟悉 VLAN 技術的相關配置。
一、實驗目的
- 掌握VLAN 的創建方法
- 掌握Access、Trunk 和 Hybrid 類型接口的配置方法
- 掌握基于接口劃分 VLAN 的配置方法
- 掌握基于 MAC 地址劃分 VLAN 的配置方法
- 掌握 MAC 地址表及 VLAN 信息的查看方式
二、實驗拓撲結構
其中,交換機S1-S4統一使用S3700交換機。
IP和VLAN規劃如下表所示
| 設備 | 接口 | IP地址 | 所屬VLAN |
|---|---|---|---|
| S1 | Eth 0/0/1 | VLAN 2 | |
| S2 | Eth 0/0/1 | VLAN 10 | |
| S3 | Vlanif3 | 10.1.3.1/24 | VLAN3 |
| S4 | Vlanif3 | 10.1.3.2/24 | VLAN3 |
| PC1 | Eth 0/0/1 | 10.1.2.1/24 | VLAN2 |
| PC2 | Eth 0/0/1 | 10.1.10.1/24 | VLAN10 |
| PC3 | Eth 0/0/1 | 10.1.3.30/24 | VLAN3 |
| PC4 | Eth 0/0/1 | 10.1.3.40/24 | VLAN3 |
三、實驗背景
某公司根據業務需求,需要對其二層網絡進行VLAN 劃分。同時,VLAN 10 為特殊 VLAN,為了保證信息安全,只有某些特殊的 PC才可以通過 VLAN 10 進行網絡訪問。
如實驗拓撲圖所示,可以在 S1 和 S2 交換機上配置基于接口劃分 VLAN,把業務相同的用戶連接的接口劃分到同一VLAN。
同時,可以在 S2上配置基于 MAC 地址劃分 VLAN,綁定特殊PC的 MAC 地址。
四、實驗過程
4.1?配置思路
(1)創建 VLAN
(2)配置交換機基于接口劃分 VLAN
(3)配置交換機基于 MAC地址劃分 VLAN
4.2 實驗過程
4.2.1?設備基礎配置
(1)LSW1交換機的基礎配置
<Huawei>system-view # 禁用信息中心
[Huawei]undo info-center enable
[Huawei]sysname S1
(2)LSW2交換機的基礎配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S2(3)LSW3交換機的基礎配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S3(4)LSW4交換機的基礎配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S44.2.2 配置設備及接口IP地址
?(1)PC1的基礎配置
(2)PC2的基礎配置
(3)PC3的基礎配置
(4)PC4的基礎配置
(5)在交換機 S3 上創建 VLAN 3?
[S3]vlan 3
[S3-vlan3]quit(6)在交換機S4 上創建 VLAN 3?
[S4]vlan 3
[S4-vlan3]quit(7)配置交換機 S3接口為 Access 接口,并將接口劃入對應的 VLAN。?
配置接口的鏈路類型的命令格式如下:
port link-type 鏈路類型
其中鏈路類型有Access、Trunk 和Hybrid三種模式。
# 進入GE 0/0/2接口的配置模式
[S3]interface GigabitEthernet 0/0/2# 將接口的鏈路類型配置為access模式
[S3-GigabitEthernet0/0/2]port link-type access # 將接口劃入到vlan 3
[S3-GigabitEthernet0/0/2]port default vlan 3
[S3-GigabitEthernet0/0/2]quit# 進入Vlanif 3接口的配置模式
[S3]interface Vlanif 3# 為接口指定IP地址
[S3-Vlanif3]ip address 10.1.3.1 24
[S3-Vlanif3]quit# 進入Eth0/0/1接口的配置模式
[S3]interface Eth0/0/1# 將接口的鏈路類型配置為access模式
[S3-Ethernet0/0/1]port link-type access # 將接口劃入到vlan 3
[S3-Ethernet0/0/1]port default vlan 3
[S3-Ethernet0/0/1]quit(8)配置交換機S4 接口為 Access 接口,并將接口劃入對應的 VLAN?
# 進入GE 0/0/2接口模式
[S4]interface GigabitEthernet 0/0/2# 將接口鏈路類型配置為access模式
[S4-GigabitEthernet0/0/2]port link-type access # 將接口劃入vlan 3
[S4-GigabitEthernet0/0/2]port default vlan 3
[S4-GigabitEthernet0/0/2]quit# 進入Vlanif 3接口模式
[S4]interface Vlanif 3# 為接口指定IP地址
[S4-Vlanif3]ip address 10.1.3.2 24
[S4-Vlanif3] quit# 進入Eth 0/0/1接口模式
[S4]interface Ethernet0/0/1# 將接口鏈路類型配置為access模式
[S4-Ethernet0/0/1]port link-type access # 將接口劃入vlan 3
[S4-Ethernet0/0/1]port default vlan 3
[S4-Ethernet0/0/1]quit
4.2.3 創建VLAN
創建 VLAN 并進入 VLAN 視圖的命令格式如下:
vlan van-id
批量創建 VLAN的命令格式如下:
vlan batch? vlan-id1 to vlan-id2
(1)在交換機 S1 上創建 VLAN 2、3、10
# 批量創建VLAN 2、VLAN 3和VLAN 10
[S1]vlan batch 2 to 3 10(2)在交換機S2 上創建 VLAN 2、3、10
# 批量創建VLAN 2、VLAN 3和VLAN 10
[S2]vlan batch 2 to 3 104.2.4 配置基于接口劃分VLAN
(1)配置交換機S1連接終端的接口為 Access 接口,并將接口劃入對應的 VLAN
# 進入Ethernet 0/0/1
[S1]interface Ethernet 0/0/1# 將接口的鏈路類型配置為access
[S1-Ethernet0/0/1]port link-type access # 將接口劃入VLAN 2
[S1-Ethernet0/0/1]port default vlan 2
[S1-Ethernet0/0/1]quit# 進入GE 0/0/2
[S1]interface GigabitEthernet 0/0/2# 將接口的鏈路類型配置為access
[S1-GigabitEthernet0/0/2]port link-type access # 將接口劃入VLAN 3
[S1-GigabitEthernet0/0/2]port default vlan 3
[S1-GigabitEthernet0/0/2]quit(2)配置交換機S2連接終端的接口為 Access 接口,并將接口劃入對應的 VLAN
# 進入GigabitEthernet0/0/2
[S2]interface GigabitEthernet 0/0/2# 將接口的鏈路類型配置為access
[S2-GigabitEthernet0/0/2]port link-type access # 將接口劃入VLAN 3
[S2-GigabitEthernet0/0/2]port default vlan 3
[S2-GigabitEthernet0/0/2]quit(3)配置交換機S1的互聯接口為 Trunk 接口,并僅允許 VLAN 2、3 和10通過
[S1]interface GigabitEthernet 0/0/1# 將接口鏈接類型配置為trunk模式
[S1-GigabitEthernet0/0/1]port link-type trunk # 允許VLAN 2 3 10幀通過
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 10# 禁止VLAN 1幀通過
[S1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[S1-GigabitEthernet0/0/1]quit
注:默認情況,任何鏈路類型均允許通過VLAN1幀,若無實際業務用途,出于安全考慮,一般要將它刪除。
(4)配置交換機S2的互聯接口為 Trunk 接口,并僅允許 VLAN 2、3 和10通過?
[S2]interface GigabitEthernet 0/0/1# 將接口鏈接類型配置為trunk模式
[S2-GigabitEthernet0/0/1]port link-type trunk # 允許VLAN 2 3 10幀通過
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 10# 禁止VLAN 1幀通過
[S2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[S2-GigabitEthernet0/0/1]quit4.2.5 配置基于MAC劃分VLAN
如實驗組網圖所示,PC2模擬特殊業務 PC,從前面的截圖可以看出該 PC的 MAC地址為5489-98B5-5C1F。現希望該 PC 可以通過 S2 的 GE0/0/1 端口接入網絡,并且通過 VLAN 10 進行數據傳遞。
(1)配置交換機 S2,讓 PC 的 MAC 地址與 VLAN 10 關聯
基于 MAC劃分 VLAN 指將 MAC地址與 VLAN 關聯,按照報文的源 MAC 地址來定義 VLAN成員,將指定報文添加該 VLAN 的 Tag 后發送。
用戶在變換物理位置時,不需要重新劃分VLAN,提高了終端用戶的安全性和接入的靈活性。
用來配置 MAC 地址與 VLAN 關聯的命令格式如下,其中MAC地址格式按xxxx-xxxx-xxxx的形式給出。
mac-vlan mac-address xxxx-xxxx-xxxx
[S2]vlan 10
[S2-vlan10]mac-vlan mac-address 5489-98B5-5C1F
[S2-vlan10]quit(2)配置交換機 S2 的 Eth0/0/1 接口為 Hybrid 接口,并允許基于 MAC地址劃分的 VLAN 通過當前 Hybrid 接口
在 Access 口和 Trunk 口上,只有基于 MAC劃分的 VLAN 和 PVID 相同時,才可以正常使用。
所以基于 MAC地址劃分 VLAN 推薦在 Hybrid 口上配置,可以接收多個 VLAN 不帶標簽通過。
[S2]interface Eth 0/0/1# 將接口鏈路類型配置為hybrid模工
[S2-Ethernet0/0/1]port link-type hybrid# 將接口加入到VLAN,該VLAN 幀將以Untagged 方式通過接口
[S2-Ethernet0/0/1]port hybrid untagged vlan 10# 使能基于MAC地址劃分VLAN功能
[S2-Ethernet0/0/1]mac-vlan enable
[S2-Ethernet0/0/1]quit
?4.2.6 查看交換機的VLAN配置信息
(1)查看S1的VLAN配置信息
[S1]display vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 2 common UT:Eth0/0/1(U) TG:GE0/0/1(U)
3 common UT:GE0/0/2(U) TG:GE0/0/1(U) 10 common TG:GE0/0/1(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
10 enable default enable disable VLAN 0010 (2)查看S2的VLAN配置信息
[S2]display vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 2 common TG:GE0/0/1(U) 3 common UT:GE0/0/2(U) TG:GE0/0/1(U) 10 common UT:Eth0/0/1(U) TG:GE0/0/1(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
10 enable default enable disable VLAN 0010 (3)查看S3的VLAN配置信息
[S3]display vlan
The total number of vlans is : 2
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 3 common UT:Eth0/0/1(U) GE0/0/2(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
3 enable default enable disable VLAN 0003 (4)查看S4的VLAN配置信息
[S4]display vlan
The total number of vlans is : 2
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 3 common UT:Eth0/0/1(U) GE0/0/2(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
3 enable default enable disable VLAN 0003 4.2.6 結果驗證
(1)在PC3上ping PC4,可以驗證它們之間可以ping通
PC>ping 10.1.3.40Ping 10.1.3.40: 32 data bytes, Press Ctrl_C to break
From 10.1.3.40: bytes=32 seq=1 ttl=128 time=110 ms
From 10.1.3.40: bytes=32 seq=2 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=3 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=4 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=5 ttl=128 time=125 ms--- 10.1.3.40 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 109/112/125 ms?(2)在PC1上ping其它PC,可驗證均無法ping通
PC>ping 10.1.10.1Ping 10.1.10.1: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachablePC>ping 10.1.3.30Ping 10.1.3.30: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachablePC>ping 10.1.3.40Ping 10.1.3.40: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachable五、參考配置
5.1 S1的配置
[S1]display current-configuration
#
sysname S1
#
undo info-center enable
#
vlan batch 2 to 3 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 2
#
interface Ethernet0/0/2
#
……此處省略部分默認的內容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan 2 to 3 10
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return5.2 S2的配置
[S2]display current-configuration
#
sysname S2
#
undo info-center enable
#
vlan batch 2 to 3 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
vlan 10mac-vlan mac-address 5489-98b5-5c1f priority 0
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1port hybrid untagged vlan 10mac-vlan enable
#
interface Ethernet0/0/2
#
……此處省略部分默認的內容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan 2 to 3 10
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
5.3 S3的配置
[S3]display current-configuration
#
sysname S3
#
undo info-center enable
#
vlan batch 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface Vlanif3ip address 10.1.3.1 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 3
#
interface Ethernet0/0/2
#
……此處省略部分默認的內容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
5.4 S4的配置
[S4]display current-configuration
#
sysname S4
#
undo info-center enable
#
vlan batch 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface Vlanif3ip address 10.1.3.2 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 3
#
interface Ethernet0/0/2
#
……此處省略部分默認的內容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
六、參考材料
HCIA-Datacom實驗指導手冊V1.0
