《vlan配置(二)》由会员分享,可在线阅读,更多相关《vlan配置(二)(40页珍藏版)》请在金锄头文库上搜索。
1、交换机VLAN配置,【实验目的】了解VLAN的作用,掌握在一台交换机上划分VLAN以及VLAN端口的配置方法,熟悉跨交换机的VLAN的配置,掌握VLAN间通信的配置方法。,【引入案例】 某企业组织结构划分为档案室、财务部、研发部、市场部等多个部门,单位内部网络组建情况如下:各部门计算机分别通过两台二层交换机连接到一台三层交换机。各部门的对网络的安全和管理都有不同的要求,比如档案室和财务部出于安全需要,均不允许与其他部门互访;市场部是企业中最大的部门,其拥有的计算机数量最多,两台二层交换机上都连接有该部门的计算机;而研发部和市场部之间的业务来往比较频繁,经常在网络中传输大量的文件资料。根据这些情
2、况,要如何有效地实现企业的网络管理?,【案例分析】 出于对不同部门的管理、安全要求和企业整体网络的稳定运行的考虑,需要对企业内部网络进行VLAN的划分。通过划分VLAN可以将各部门之间进行隔离,保证了重要部门的数据安全;若属于同一个VLAN但不在一个交换机上的用户,可以在交换机上做适当的配置来实现跨交换机实现VLAN的需要;对属于不同VLAN需要互相通信的部门,需要路由来实现,而三层交换机已经可以满足这个要求。,【基本原理】一、VLAN的基本概念 虚拟局域网(Virtual Local Area Network,VLAN),是指突破了设备或用户的物理位置的限制,将局域网设备从逻辑上划分成新的分
3、组区段,每一个区段都可看作一个新的局域网,它们各自形成一个小的广播域。这就避免了发生广播风暴时会对全网产生影响,从而造成传输速率和传输质量的下降情况,因此,VLAN技术在交换机中被广泛使用。 一般来说,当存在以下两种情况时,局域网可以通过划分VLAN来实现虚拟工作组。第一,局域网规模太大以至广播域太大,使用VLAN可以把一个大的广播域划分成若干个小的广播域,把广播报文限制在一个VLAN内,以减小广播报文对整个网络带宽的占用。第二,局域网中存在各种不同安全要求的群体,使用VLAN可以将其相互隔离。,如图所示,VLAN把一个物理上的LAN划分成多个逻辑的上的LAN,每个VLAN是一个广播域。VLA
4、N内主机间的通信方式与在一个LAN内一样,而不同VLAN内的主机之间不能直接通信。,二、VLAN的划分 常用的VLAN划分方法主要有以下四种: 1、基于端口的划分 此划分方法利用网络设备的端口来决定虚拟工作组的成员,网络管理员针对于网络设备的交换端口进行重新分配,然后将其组合在不同的逻辑网段中。基于端口的VLAN的划分是最简单、最常用也是最有效的VLAN划分方法,特别适用于连接位置比较固定的用户。 以太网交换机的端口链路类型可以分为Access、Trunk、Hybrid三种,不同的端链路口在加入VLAN和对报文进行转发时会进行不同的处理。,Access类型:端口只能属于1个VLAN,一般用于交
5、换机与终端用户之间的连接;Trunk类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;Hybrid类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接终端用户的计算机。 2、基于MAC地址的划分 这种划分方法的优点就是只要主机的网卡不更换,即使用户的物理位置发生改变也不需要重新配置其所属的VLAN。,3、基于协议的划分 通过配置基于协议的VLAN,交换机可以对端口上收到的报文进行分析,根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配,为匹配成功的报文添加相应的VLAN 标识,实现动态
6、将属于指定协议的数据划分到特定的VLAN中传输。 4、基于IP组播的划分 基于IP组播划分VLAN认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网。这种方法更灵活,很容易通过路由器进行扩展,主要是用来跨广域网划分VLAN,但这种方法在局域网中使用的话效率太低。,三、跨交换机VLAN对于小型企业来说,在一台交换机上实现多个VLAN,就已经可以满足用户在安全与性能上的需求。对于中型以上的企业来说,一台交换机不能够满足用户日常工作的需要,就必须要在多台交换机上组建VLAN。这就涉及到同一个VLAN如何在不同的交换机间进行数据的交换的问题。 跨交换机的VLAN之间数据要进行转
7、发,就必须得在交换机间建立起主干链路,交换机在链路上识别出帧的VLAN成员关系。交换机链路主要作用就是判断数据帧是属于哪个VLAN,并将其正确的转发到对应的VLAN或者相应的交换机的端口中。,四、VLAN间通信不同VLAN之间的通信必须依赖路由功能,传统的路由器可以满足此要求,但由于传统路由低速,复杂等局限性,很容易成为网络的瓶颈使以太网的优势难以发挥。再者,利用路由器实现VLAN间的数据交换,其通信会受到路由器和交换机之间的链路带宽限制,这种分离的网络设备使得网络建设成本大大增加。三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况,灵活
8、地在网络第二层或者第三层进行网络分段。三层交换机在二层交换的基础上实现了三层的路由功能,是三层路由和二层交换的有机结合,并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。,五、管理VLAN 如果用户要通过Telnet、网管等方式对以太网交换机进行远程管理,则交换机上必须要设置IP地址,并确保用户和交换机之间路由可达。对于H3C系列二层以太网交换机,只能有一个VLAN对应的VLAN接口可以配置IP地址,而该VLAN即为管理VLAN。缺省情况下,交换机的管理VLAN是VLAN1,用户也可以通过management-vlan命令来设置其它VLAN为管理VLAN。,【命令介绍】 1、name
9、textundo name 【用途】 name命令用来指定当前VLAN的名称。当VLAN数量很多的时候,使用名称可以更明确的定位VLAN。undo name命令用来恢复当前VLAN名称的缺省值。缺省情况下,VLAN的名称为该VLAN的VLAN ID,如“VLAN 0001”。 【视图】VLAN视图 【参数】 text:VLAN名称, 132个字符(可以包含特殊字符及空格)。 【例】在系统视图下,指定VLAN 2的名称为“test vlan”。H3C vlan 2H3C-vlan2 name test vlan,2、description text undo description 【用途】 d
10、escription命令用来设置当前VLAN或VLAN接口的描述字符串,当通过交换机接入的设备和网络情况比较复杂时,用户可以为每个VLAN或VLAN接口设置明确的描述字符串,用以快速定位通过该VLAN或VLAN接口连接的设备和区域。undo description命令用来恢复当前VLAN或VLAN接口的描述字符串为缺省值。缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001”;VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-interface1 Interface”。 【视图】VLAN视图/VLAN接口视图,【参数】 text:描述VLAN或
11、VLAN接口的字符串,可以包含特殊字符及空格,区分大小写。VLAN的描述字符串:长度范围为132个字符;VLAN接口的描述字符串:长度范围为180个字符。 【例1】在系统视图下,指定VLAN2的描述字符串为“to switchB”。 H3C vlan 2 H3C-vlan2 description to switchB 【例2】在系统视图下,指定Vlan-interface1接口的描述字符串“gateway of CWB” H3C interface Vlan-interface 1 H3C-Vlan-interface1 description gateway of CWB,3、port l
12、ink-type access | hybrid | trunk undo port link-type 【用途】 port link-type命令用来设置以太网端口的链路类型。undo port link-type命令用来恢复端口的链路类型为缺省状态,即为Access端口。缺省情况下,所有端口均为Access端口。 【视图】以太网端口视图 【参数】 access:将当前端口设置为Access端口。 hybrid:将当前端口设置为Hybrid端口。 trunk:将当前端口设置为Trunk端口。 【例】在系统视图下,将以太网端口Ethernet1/0/1设置为Trunk端口。H3C interf
13、ace ethernet 1/0/1H3C -Ethernet1/0/1 port link-type trunk,4、port interface-listundo port interface-list 【用途】 port命令用来向当前VLAN中添加一个或一组Access端口。undo port命令用来从当前VLAN中删除一个或一组Access端口。 【视图】VLAN视图 【参数】 interface-list:需要添加到当前VLAN中或从当前VLAN中删除的以太网端口列表,表示方式为interface-list interface-type interface-number to int
14、erface-type interface-number &。其中interface-type为端口类型,interface-number为端口号。关键字to之后的端口号要大于或等于to之前的端口号。命令中&表示前面的参数最多可以输入10次。,【例】在系统视图下,向VLAN 2中加入从Ethernet1/0/2到Ethernet1/0/4的以太网端口。H3C vlan 2H3C-vlan2 port Ethernet 1/0/2 to Ethernet 1/0/4 5、port access vlan vlan-id undo port access vlan 【用途】 port access
15、 vlan命令用来把Access端口加入到指定的VLAN中。undo port access vlan命令用来把Access端口从指定的VLAN中删除,删除后该端口将加入VLAN1。,【视图】以太网端口视图 【参数】 vlan-id:当前端口需要加入的VLAN编号,取值范围为14094,且目的VLAN必须已经创建。 【例】在系统视图下,将Ethernet1/0/1端口加入到VLAN2中。H3C interface ethernet 1/0/1H3C -Ethernet1/0/1 port access vlan 2 6、port trunk permit vlan vlan-id-list |
16、 all undo port trunk permit vlan vlan-id-list | all 【用途】 port trunk permit vlan命令用来将Trunk端口加入到指定的VLAN,即允许这些VLAN的报文通过。undo port trunk permit vlan命令用来将Trunk端口从指定的VLAN中删除。Trunk端口可以属于多个VLAN。,如果多次使用port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。缺省情况下,所有Trunk端口仅属于VLAN1。 【视图】以太网端口视图 【参数】 vlan-id-list:当前Trunk端口要加入的VLAN的范围。 all:将Trunk端口加入到所有VLAN中。 【例】在系统视图下,将Trunk端口Ethernet1/0/1加入到VLAN2。H3C interface ethernet 1/0/1H3C -Ethernet1/0/1 port trunk permit vlan 2,
