進(jìn)階-中小型網(wǎng)絡(luò)構(gòu)建-二層VLAN技術(shù)詳解配實(shí)驗(yàn)步驟-創(chuàng)新互聯(lián)

進(jìn)階-中小型網(wǎng)絡(luò)構(gòu)建-二層VLAN技術(shù)詳解配實(shí)驗(yàn)步驟

在成都網(wǎng)站建設(shè)、成都網(wǎng)站制作中從網(wǎng)站色彩、結(jié)構(gòu)布局、欄目設(shè)置、關(guān)鍵詞群組等細(xì)微處著手，突出企業(yè)的產(chǎn)品/服務(wù)/品牌，幫助企業(yè)鎖定精準(zhǔn)用戶，提高在線咨詢和轉(zhuǎn)化，使成都網(wǎng)站營(yíng)銷(xiāo)成為有效果、有回報(bào)的無(wú)錫營(yíng)銷(xiāo)推廣。創(chuàng)新互聯(lián)建站專(zhuān)業(yè)成都網(wǎng)站建設(shè)十年了，客戶滿意度97.8%，歡迎成都創(chuàng)新互聯(lián)客戶聯(lián)系。

為什么講 VLAN ？

在傳統(tǒng)的交換網(wǎng)絡(luò)中，為了隔離沖突域，我們引入了交換機(jī)。

交換機(jī)的每一個(gè)端口都是一個(gè)不同的隔離域。

但是交換機(jī)無(wú)法隔離廣播域，

所以，如果網(wǎng)絡(luò)中有一個(gè)惡意的主機(jī)發(fā)送廣播的惡意流量，

那么處于同一個(gè)交換網(wǎng)路中的所有設(shè)備都會(huì)受到影響。

此時(shí)，如果我們想進(jìn)行故障主機(jī)的定位或者控制惡意廣播流量的

影響范圍，是非常困難的。

為了解決這個(gè)問(wèn)題，我們的方案是：隔離廣播域。

即將一個(gè)大的廣播域，通過(guò)“技術(shù)”分割成很多不同的小廣播域。

那么惡意的廣播流量，僅僅會(huì)被控制在一個(gè)有限的范圍內(nèi)，

如此一來(lái)，對(duì)于故障主機(jī)的定位以及惡意流量的影響都可以實(shí)現(xiàn)

很好的控制。

這種技術(shù)，我們稱之為 -- vlan ，virtual lan 虛擬局域網(wǎng)。

VLAN的定義：

VLAN指的是具有同樣功能的一些設(shè)備所處于一個(gè)的廣播域/網(wǎng)段；

但是位于同一個(gè) VLAN 中的設(shè)備與物理位置沒(méi)有關(guān)系。

即屬于同一個(gè) VLAN 的成員主機(jī)，可以位于同一個(gè)物理位置，

也可以位于不同的物理位置。

所謂的“虛”，指的就是“物理位置的”的“虛擬”。

是相對(duì)于“傳統(tǒng)的LAN”而言的，在傳統(tǒng)的 LAN 中，只有屬于同一個(gè)物理

范圍內(nèi)的設(shè)備，才是屬于同一個(gè) LAN 的。

而 VLAN 就是打破了這種物理位置的限制。

在交換機(jī)上通過(guò) VLAN 技術(shù)，實(shí)現(xiàn)廣播域的隔離。屬于 OSI 2層的技術(shù)。

VLAN的作用：

在交換機(jī)上劃分不同的廣播域，

每一個(gè) VLAN 都是屬于一個(gè)不同的廣播域；

【不同的 VLAN 就是屬于不同的網(wǎng)段；】

VLAN的表示：

# 通過(guò) ID 來(lái)表示，比如 vlan 1 , vlan 2 .....

ID取值范圍： 0 - 4095

Access 與 Trunk 鏈路的區(qū)別：

#連接的設(shè)備不同；

access ，一般連接的是終端設(shè)備；

trunk ，一般連接的是交換機(jī)設(shè)備；

#支持的VLAN不同；

access，永遠(yuǎn)只能屬于一個(gè) VLAN ；

trunk ，可以同時(shí)支持多個(gè)VLAN ；

#對(duì)數(shù)據(jù)的操作不同

access ：

對(duì)于出向數(shù)據(jù)而言，是不打標(biāo)簽的；

對(duì)于入向數(shù)據(jù)而言，是不打標(biāo)簽的；

trunk :

對(duì)于出向數(shù)據(jù)而言，肯定是需要打標(biāo)簽的；

對(duì)于入向數(shù)據(jù)而言，

#如果接收到的數(shù)據(jù)是攜帶標(biāo)簽的，

&如果該接收端口是允許該vlan的，則直接接收；

&如果該接收端口不允許該vlan的，則直接丟棄；

#如果接受到的數(shù)據(jù)是不攜帶標(biāo)簽的，

就會(huì)使用該 trunk 端口上的 PVID 表示的

vlan 號(hào)，為數(shù)據(jù)打一個(gè)標(biāo)簽；

注意：

trunk 鏈路上的默認(rèn)的 PVID 是 1 ；

--------------------------------------------------------------------

通過(guò)以上的 access 與 trunk 鏈路對(duì) tag 標(biāo)簽的操作的理解，

以后我們?cè)谂挪榻粨Q網(wǎng)絡(luò)中的故障的時(shí)候，

應(yīng)該在“數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上的每個(gè)交換機(jī)上，依次使用下列命令進(jìn)行排查”：

1.當(dāng)交換機(jī)收到一個(gè)數(shù)據(jù)幀的時(shí)候，我們使用下面的命令查看：

display port vlan ---> 為的是確定該數(shù)據(jù)幀的入端口的 PVID ；

2.查看交換機(jī)上的入端口的 PVID 表示的 VLAN 的 MAC-address 表；

display mac-address vlan {pvid}

#在該 vlan 的 mac-address 表的顯示中，存在對(duì)應(yīng)的 mac-address

條目，則將數(shù)據(jù)幀從對(duì)應(yīng)的端口中發(fā)送出去；

#在該 vlan 的 mac-address 表的顯示中，不存在對(duì)應(yīng)的 mac-address

條目，則進(jìn)行“第3步”

3.通過(guò)以下命令進(jìn)一步確定“數(shù)據(jù)幀的出端口”：

display vlan [pvid] --> 首先查看與該 vlan 對(duì)應(yīng)的 “出端口”。

同時(shí)，確定數(shù)據(jù)在該端口上出去的時(shí)候，

對(duì)標(biāo)簽的處理動(dòng)作：

UT - 不打標(biāo)簽；

TG - 打標(biāo)簽；

其實(shí)打的標(biāo)簽的值

是PVID；

下面就以一組實(shí)驗(yàn)來(lái)驗(yàn)證

進(jìn)階-中小型網(wǎng)絡(luò)構(gòu)建-二層VLAN技術(shù)詳解配實(shí)驗(yàn)步驟

實(shí)驗(yàn)名稱：同一個(gè)VLAN內(nèi)的主機(jī)互通

實(shí)驗(yàn)需求：

PC-1/PC-2/PC-5 屬于 VLAN 10 ，IP地址：192.168.10.X/24，X是PC號(hào)；

PC-3/PC-4屬于 VLAN 30 ，IP地址：192.168.30.X/24，X 是 PC 號(hào)；

同一個(gè) VLAN 內(nèi)部的主機(jī)之間互相 ping 通；

實(shí)驗(yàn)步驟：

1.配置終端主機(jī)；

PC-1 : 192.168.10.1/24

PC-2 ：192.168.10.2/24

PC-5 ：192.168.30.5/24

PC-3 : 192.168.30.3/24

PC-4 ：192.168.30.4/24

2.配置網(wǎng)絡(luò)設(shè)備

# 創(chuàng)建 VLAN ,并驗(yàn)證 VLAN 信息；

SW1:

[SW1]vlan 10 -->創(chuàng)建 VLAN 10 ；

[SW1-vlan 10] quit

[SW1]vlan 30 -->創(chuàng)建 VLAN 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交換機(jī)上創(chuàng)建好的 vlan 10 和 30

SW2:

[SW1]vlan 10

[SW1-vlan 10] quit

[SW1]vlan 30

[SW1-vlan 30] quit

[SW1] display vlan --> 查看交換機(jī)上創(chuàng)建好的 vlan 10 和 30

# 將連接 PC 的端口配置為 Acess ，并放入特定的 VLAN ；

SW1;

interface gi0/0/1 -->該端口連接的是 PC-1