進(jìn)階-中小型網(wǎng)絡(luò)構(gòu)建-二層VLAN技術(shù)詳解配實驗步驟

為南縣等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及南縣網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站制作、成都網(wǎng)站設(shè)計、外貿(mào)營銷網(wǎng)站建設(shè)、南縣網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

為什么講 VLAN ？

在傳統(tǒng)的交換網(wǎng)絡(luò)中，為了隔離沖突域，我們引入了交換機(jī)。

交換機(jī)的每一個端口都是一個不同的隔離域。

但是交換機(jī)無法隔離廣播域，

所以，如果網(wǎng)絡(luò)中有一個惡意的主機(jī)發(fā)送廣播的惡意流量，

那么處于同一個交換網(wǎng)路中的所有設(shè)備都會受到影響。

此時，如果我們想進(jìn)行故障主機(jī)的定位或者控制惡意廣播流量的

影響范圍，是非常困難的。

為了解決這個問題，我們的方案是：隔離廣播域。

即將一個大的廣播域，通過“技術(shù)”分割成很多不同的小廣播域。

那么惡意的廣播流量，僅僅會被控制在一個有限的范圍內(nèi)，

如此一來，對于故障主機(jī)的定位以及惡意流量的影響都可以實現(xiàn)

很好的控制。

這種技術(shù)，我們稱之為 -- vlan ，virtual lan 虛擬局域網(wǎng)。

VLAN的定義：

VLAN指的是具有同樣功能的一些設(shè)備所處于一個的廣播域/網(wǎng)段；

但是位于同一個 VLAN 中的設(shè)備與物理位置沒有關(guān)系。

即屬于同一個 VLAN 的成員主機(jī)，可以位于同一個物理位置，

也可以位于不同的物理位置。

所謂的“虛”，指的就是“物理位置的”的“虛擬”。

是相對于“傳統(tǒng)的LAN”而言的，在傳統(tǒng)的 LAN 中，只有屬于同一個物理

范圍內(nèi)的設(shè)備，才是屬于同一個 LAN 的。

而 VLAN 就是打破了這種物理位置的限制。

在交換機(jī)上通過 VLAN 技術(shù)，實現(xiàn)廣播域的隔離。屬于 OSI 2層的技術(shù)。

VLAN的作用：

在交換機(jī)上劃分不同的廣播域，

每一個 VLAN 都是屬于一個不同的廣播域；

【不同的 VLAN 就是屬于不同的網(wǎng)段；】

VLAN的表示：

# 通過 ID 來表示，比如 vlan 1 , vlan 2 .....

ID取值范圍： 0 - 4095

Access 與 Trunk 鏈路的區(qū)別：

#連接的設(shè)備不同；

access ，一般連接的是終端設(shè)備；

trunk ，一般連接的是交換機(jī)設(shè)備；

#支持的VLAN不同；

access，永遠(yuǎn)只能屬于一個 VLAN ；

trunk ，可以同時支持多個VLAN ；

#對數(shù)據(jù)的操作不同

access ：

對于出向數(shù)據(jù)而言，是不打標(biāo)簽的；

對于入向數(shù)據(jù)而言，是不打標(biāo)簽的；

trunk :

對于出向數(shù)據(jù)而言，肯定是需要打標(biāo)簽的；

對于入向數(shù)據(jù)而言，

#如果接收到的數(shù)據(jù)是攜帶標(biāo)簽的，

&如果該接收端口是允許該vlan的，則直接接收；

&如果該接收端口不允許該vlan的，則直接丟棄；

#如果接受到的數(shù)據(jù)是不攜帶標(biāo)簽的，

就會使用該 trunk 端口上的 PVID 表示的

vlan 號，為數(shù)據(jù)打一個標(biāo)簽；

注意：

trunk 鏈路上的默認(rèn)的 PVID 是 1 ；

--------------------------------------------------------------------

通過以上的 access 與 trunk 鏈路對 tag 標(biāo)簽的操作的理解，

以后我們在排查交換網(wǎng)絡(luò)中的故障的時候，

應(yīng)該在“數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上的每個交換機(jī)上，依次使用下列命令進(jìn)行排查”：

1.當(dāng)交換機(jī)收到一個數(shù)據(jù)幀的時候，我們使用下面的命令查看：

display port vlan ---> 為的是確定該數(shù)據(jù)幀的入端口的 PVID ；

2.查看交換機(jī)上的入端口的 PVID 表示的 VLAN 的 MAC-address 表；

display mac-address vlan {pvid}

#在該 vlan 的 mac-address 表的顯示中，存在對應(yīng)的 mac-address

條目，則將數(shù)據(jù)幀從對應(yīng)的端口中發(fā)送出去；

#在該 vlan 的 mac-address 表的顯示中，不存在對應(yīng)的 mac-address

條目，則進(jìn)行“第3步”

3.通過以下命令進(jìn)一步確定“數(shù)據(jù)幀的出端口”：

display vlan [pvid] --> 首先查看與該 vlan 對應(yīng)的 “出端口”。

同時，確定數(shù)據(jù)在該端口上出去的時候，

對標(biāo)簽的處理動作：

UT - 不打標(biāo)簽；

TG - 打標(biāo)簽；

其實打的標(biāo)簽的值

是PVID；

下面就以一組實驗來驗證

進(jìn)階-中小型網(wǎng)絡(luò)構(gòu)建-二層VLAN技術(shù)詳解配實驗步驟

實驗名稱：同一個VLAN內(nèi)的主機(jī)互通

實驗需求：

PC-1/PC-2/PC-5 屬于 VLAN 10 ，IP地址：192.168.10.X/24，X是PC號；

PC-3/PC-4屬于 VLAN 30 ，IP地址：192.168.30.X/24，X 是 PC 號；

同一個 VLAN 內(nèi)部的主機(jī)之間互相 ping 通；

實驗步驟：

1.配置終端主機(jī)；

PC-1 : 192.168.10.1/24

PC-2 ：192.168.10.2/24

PC-5 ：192.168.30.5/24

PC-3 : 192.168.30.3/24

PC-4 ：192.168.30.4/24

2.配置網(wǎng)絡(luò)設(shè)備

# 創(chuàng)建 VLAN ,并驗證 VLAN 信息；

SW1:

[SW1]vlan 10 -->創(chuàng)建 VLAN 10 ；

[SW1-vlan 10] quit

[SW1]vlan 30 -->創(chuàng)建 VLAN 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交換機(jī)上創(chuàng)建好的 vlan 10 和 30

SW2:

[SW1]vlan 10

[SW1-vlan 10] quit

[SW1]vlan 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交換機(jī)上創(chuàng)建好的 vlan 10 和 30

# 將連接 PC 的端口配置為 Acess ，并放入特定的 VLAN ；

SW1;

interface gi0/0/1 -->該端口連接的是 PC-1