VLAN | 易学教程

1.VLAN基础配置及Aceess接口

1.1 概述

交换机能有效隔离冲突域。VLAN技术把一个无力的LAN在逻辑上划分成多个广播域，VLAN内的主机间可以直接通信，而VLAN间不能直接互通。VLANID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。

Access接口是交换机上用来连接用户主机的接口。

1.2 实验

实验内容：本实验模拟企业网络场景。公司内网是一个大的局域网，二层交换机S1放置在一楼，在一楼办公的部门有IT部和人事部；二层交换机S2放置在二楼，在二层办公的部门有市场部和研发部。由于交换机组成的是一个广播网，交换机连接的所有主机都能相互通信，而公司策略是：不同部门之间的主机不能互相通信，同一部门内的主机才可以互相访问。因此需要在交换机上划分不同的VLAN，并将连接主机的交换机接口配置成Access接口划分到相应的VLAN中。

实验拓扑：VLAN基础配置及Access接口拓扑如图所示

实验步骤：

1.基本配置

根据实验编址进行相应的IP地址配置，使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。

2.创建VLAN

创建VLAN有两种方式，一种是使用VLAN命令一次创建单个VLAN，另一种方式是使用VLAN batch命令一次创建多个VLAN。

在S1上使用两条命令分别创建VLAN 10和VLAN 20。

在S2上使用一条VLAN batch一次创建VLAN 30和VLAN 40。

配置完成后，在S1和S2上使用display vlan命令查看VLAN相关信息。

3.配置Access接口

按照拓扑，使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口，并使用port default vlan命令配置默认VLAN并同时加入相应的VLAN中。默认VLAN ID为1。

配置完成后，查看S1和S2上的VLAN信息。

4.检查配置结果

在本实验中，只有同属于IT部门VLAN 10的两台主机PC1与PC2之间可以相互通信。其他部门之间的PC机将无法通信。在IT部门的终端PC1上分别测试与同部门的终端PC2、HR部门的PC3之间的连通性。

2.配置Trunk接口

2.1 概述

为了使VLAN的数据帧跨越多台交换机传递，交换机之间互联的链路需要配置为干道链路（Trunk Link）。干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机和交换机之间）承载多个不同VLAN数据的。Trunk端口一般用于交换机之间连接的端口，Trunk端口可以属于多个VLAN，可以接受和发送多个VLAN的报文。

当Trunk端口收到数据帧时，如果该帧不包含802.1Q的VLAN的标签，将打上该Trunk端口的PVID；如果该帧包含802.1Q的VLAN标签，则不改变。

当Trunk端口发送数据帧时，当该所发送帧的VLAN ID与端口的PVID不同时，检查是否允许该VLAN通过，若允许直接透传，不允许直接丢弃；当该帧的VLAN ID与端口的PVID相同时，则剥离VLAN标签后转发。

2.2 实验

实验内容：本实验模拟某公司网络场景。公司规模较大，员工200余名，内部网络是一个大的局域网。公司放置了多台接入交换机（如S1和S2）负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域，由于员工较多，相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能够相互通信，需要配置交换机之间链路为干道模式，以实现相同VLAN跨交换机通信。

实验拓扑：跨交换机实现VLAN间通信的拓扑