网络拓扑结构设计包括两个交换机,每个交换机连接两台PC。实验过程中,我们通过划分VLAN来限制不同VLAN间的访问,实现了网络流量的隔离。为了验证VLAN的隔离效果,我们进行了ping测试。结果显示,处于不同VLAN的PC之间无法ping通,而处于同一VLAN的PC之间可以ping通,这证明了VLAN的隔离功能。
VLAN技术主要应用于企业网络,以及需要对局域网进行逻辑区域划分的网络。通过划分VLAN,我们可以有效地减少广播域,提高网络的安全性和稳定性。不同VLAN间的设备在默认情况下是不能互相访问的,这样可以防止广播风暴的发生,提高网络性能。
在实验中,我们学习了三种类型的端口:Access、Trunk和hybrid。access端口通常用于连接终端设备,如计算机,它只能属于一个VLAN。trunk端口可以允许多个VLAN通过,用于交换机之间的连接。hybrid端口同样可以允许多个VLAN通过,但可以同时连接终端设备和交换机。
我们通过控制台命令在交换机上创建了VLAN,并根据端口类型将PC分配到了相应的VLAN。此外,我们还了解了划分VLAN的四种方式:基于端口、基于MAC、基于协议和基于IP子网。这些方式可以根据不同的网络需求灵活选择。
在进行ping测试时,我们发现处于不同VLAN的PC之间无法ping通,这验证了VLAN的隔离功能。同时,我们也观察到,即使是处于同一VLAN的PC,如果其端口类型或VLAN配置不当,也可能无法互相通信。
综上所述,通过本次实验,我们深入了解了VLAN技术在网络中的应用。VLAN可以帮助我们构建高效、稳定、安全的网络环境,提高网络的性能和安全性。
一、实验环境
HCL v2.1.2
win7操作系统
二、拓扑结构
三、模拟环境
一般用于企业网络或者需要对局域网进行逻辑区域划分的网络。不同_vlan_间一般情况是不能相互访问的,这样就可以减少广播和提高网络安全性。
四、介绍
1、接口类型
access(只能属于一个VLAN,一般用于连接终端设备(计算机))
trunk(可以允许多个VLAN通过,能接收和发送多个VLAN报文,一般用于交换机之间的连接)
hybrid(可以允许多个VLAN通过,能接收和发送多个VLAN报文,可以用于交换机之间的连接或者用于连接用户的计算机)
Hybrid端口和Trunk端口属于多个VLAN,需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1。
对于华三交换机缺省VLAN被称为”Pvid Vlan”。
2、接收和发送报文
access端口接收报文
收到报文后判断是否含有VLAN信息,如果没有则将端口的pvid打上,并进行交换转发。如果有则丢弃。
access端口发送报文
将报文的VLAN信息剥离后发送出去。
access端口可以实现同一交换机同一VLAN下的主机通信。
trunk端口接收报文
收到报文后判断是否有VLAN信息:若有,则判断trunk端口是否允许该VLAN数据进入,如果可以的话就转发,否则丢弃;如果没有VLAN信息则将端口的pvid打上后进行转发。
trunk端口发送报文
比较将要发送的报文的VLAN和端口的pvid,若不一样则直接转发,若一样则剥离VLAN信息后再发送。
trunk端口可以实现多个交换机同一VLAN的计算机主机进行通信。
hybrid端口接收报文
收到一个报文后判断是否有VLAN信息:若有则判断该hybrid端口是否允许该VLAN数据进入,若可以则转发,否则丢弃(untagged在此不起作用,untagged只对发送报文时起作用);如果没有则将端口pvid打上并进行转发。
hybrid端口发送报文
收到报文时根据该端口配置的信息,哪些是VLAN是untagged,哪些VLAN是tag(可以通过display interface查看),如果是untagged则剥离VLAN信息再发送,如果是tag则直接发送。
hybrid可以很灵活地实现不同VLAN下主机的通信。
3、划分vlan的4种方式
基于端口
由于需要一个个端口的指定,因此当网络中的计算机数目超过一定数量后,设定操作就会变得繁杂。
并且,终端每次变更所在端口,都必须同时更改端口所属VLAN的设定,显然不适合需要频繁修改拓扑结构的网络。
基于MAC
基于MAC地址的VLAN,就是通过查询并记录端口所连终端网卡的MAC地址来决定端口的所属。
假设有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么无论MAC地址为“A”的这台终端连接在交换机的哪个端口,该端口都会被划分到VLAN10中。
由于是基于MAC地址决定所属VLAN的,因此可以理解为这是一种在OSI的第二层设定访问的方式。
但是,基于MAC地址的VLAN,在设定时必须知晓所有连接终端的MAC地址。
基于协议
用户主机物理位置改变后,不需要重新配置所属的VLAN网络。适用于需要针对不同应用和服务来组织用户的场景。
但是,需要检查每一个数据包的网络层地址需要消耗处理时间,效率较低。
基于IP子网
基于子网的VLAN,则是通过所连计算机的ip地址,来决定端口所属VLAN的。
不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
因此,与基于MAC地址的VLAN相比,能够更为简便地改变网络结构。
IP地址是OSI参照模型中第三层的信息,所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。
五、路由器配置
1、PC机ip配置
四台PC的IP范围:192.168.100.3/24-192.168.100.6/24
2、划分vlan
首先要在交换机上创建vlan10、vlan20
vlan10 vlan20 #创建vlan的命令
基于端口
我们只用在交换机创建的vlan中加入相对应的端口即可。
portg1/0/1#在vlan20的视图下使用此添加端口命令 portg1/0/2#在vlan10的视图下使用此添加端口命令
六、ping测试
基于端口
交换机与交换机之间放行所有vlan(根据实际情况放行)
下图是PC4:ip:192.168.100.4/24,vlan20
因为与ip为192.168.100.3的pc3处于不同vlan所以ping超时
而与ip为192.168.100.6的pc6处于同一vlan所以ping通
审核编辑:汤梓红
