基于端口模式的VLAN实现
10.基于端口模式的VLAN实现
一.实训目的
1.理解VLAN的基本概念。
2.掌握VLAN的分类方法和实现原理。
3.掌握交换机上实现静态VLAN的基本命令。
二.实训器材及环境
1.安装Windows 2000 Server操作系统的计算机。
2.安装Boson Netsim 5.31模拟软件。
3.实验环境见实训步骤中的描述。
三.实训理论基础
1.虚拟局域网简介
Virtual Local Area Network(VLAN),翻译成中文是“虚拟局域网”。VLAN所指的LAN 特指使用路由器分割的网络,也就是广播域。是指在逻辑上将物理的LAN分成不同的小的逻辑子网,每一个逻辑子网就是一个单独的广播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。
2.VLAN的作用
使用集线器或交换机所构成的一个物理局域网,整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧,因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。在网络通讯中,广播信息是普遍存在的,这些广播帧将占用大量的网络带宽,导致网络速度和通讯效率的下降,并额外增加了网络主机为处理广播信息所产生的负荷。
目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络的阻塞和瘫痪。
一个VLAN就是一个网段,通过在交换机上划分VLAN,可将一个大的局域网划分成若干个网段,每个网段内所有主机间的通讯和广播仅限于该VLAN内,广播帧不会被转发到其他网段,即一个VLAN就是一个广播域,VLAN间是不能进行直接通信的,从而就实现了对广播域的分割和隔离。
从中可见,通过在局域网中划分VLAN,可起到以下方面的作用:控制网络的广播,增加广播域的数量,减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组,不受任何物理连接的限制,同一VLAN中的用户,可以连接在不同的交换机,并且可以位于不同的物理位置,增加了网络连接、组网和管理的灵活性。
增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。
3.VLAN的分类
(1)静态VLAN
静态VLAN就是明确指定各端口所属VLAN的设定方法,通常也称为基于端口的VLAN,其特点是将交换机按端口进行分组,每一组定义为一个VLAN,属于同一个VLAN的端口,可来自一台交换机,也可来自多台交换机,即可以跨越多台交换机设置VLAN。
静态指定各端口所属的VLAN,需要对每一个端口地进行设置,当要设定的端口数目较多时,工作量会比较大,通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。
(2)动态VLAN
动态VLAN 是根据每个端口所连的计算机,动态设置端口所属VLAN 的设定方法。动态VLAN 通常可分为基于MAC 地址的VLAN 、基于子网的VLAN 和基于协议的VLAN 等。
基于MAC 地址的VLAN ,就是根据端口所连计算机的网卡MAC 地址,来决定该端口所属的VLAN 。在这种方式下,端口所属的VLAN ,不是事先固定的,而是由所连计算机的MAC 地址来决定的。比如,若MAC 地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2,则该台计算机无论接到交换机的哪个端口,其所连端口就会被自动划归为VLAN2。
基于子网的VLAN ,是根据端口所连计算机的IP 地址,来决定端口所属的VLAN 。
基于协议的VLAN ,是根据协议字段划分(如:IP 协议和IPX 协议)。
4.VLAN 的汇聚链接与封装协议
在实际应用中,通常需要跨越多台交换机的多个端口划分VLAN ,比如,同一个部门的员工,可能会分布在不同的建筑物或不同的楼层中,此时的VLAN ,就将跨越多台交换机。
图10-1 跨越多台交换机的VLAN
跨越多台交换机的VLAN ,VLAN 内的主机彼此间应可以自由通讯,当VLAN 成员分布在多台交换机的端口上时,如何才能实现彼此间的通讯呢?解决的办法就是在交换机上各拿出一个端口,用于将两台交换机级联起来,专门用于提供该VLAN 内的主机跨交换机相互通讯。有多少个VLAN ,就对应地需要占用多少个端口,用来提供VLAN 内主机的跨交换机相互通讯,如下图所示。
图10-2 VLAN 内的主机在交换机间的通讯
这种方法虽然解决了VLAN 内主机间的跨交换机通讯,但每增加一个VLAN ,就需要在交换机间添加一条互联链路,并且还要额外占用交换机端口,这对保贵的交换机端口而言,是一种严重的浪费,而且扩展性和管理效率都很差。
为了避免这种低效率的连接方式和对交换机端口的大量占用,人们想办法让交换机间的互联链路汇集到一条链路上,让该链路允许各个VLAN 的通讯流经过,这样就可解决对交换机端口的额外占用,这条用于实现各VLAN 在交换机间通讯的链路,称为交换机的汇聚链路或主干链路
(Trunk Link),如下图所示。用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量,因此要求只有通讯速度在100Mbps或以上的端口,才能作为汇聚端口使用。
图10-3 利用汇聚链路实现各VLAN内主机跨交换机的通讯
在引入VLAN后,交换机的端口按用途就分为了:访问连接端口(Access Link)和汇聚连接(Trunk Link)端口两种。访问连接端口通常用于连接客户PC机,以提供网络接入服务。该种端口只属于某一个VLAN,并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连接端口属于所有VLAN共有,承载所有VLAN在交换机间的通讯流量。由于汇聚链路承载了所有VLAN的通讯流量,为了标识各数据帧属于哪一个VLAN,为此,需要对流经汇聚链接的数据帧进行打标(tag)封装,以附加上VLAN信息,这样交换机就可通过VLAN标识,将数据帧转发到对应的VLAN中。
目前交换机支持的打标封装协议有IEEE 802.1Q和ISL。其中IEEE 802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议,属于国际标准协议,适用于各个厂商生产的交换机,该协议通常也简称为dot1q。
5.如何设置交换机的TRUNK
(1)设置TRUNK需要指定一个作为主干的端口,比如2/24,如把某个端口设成Trunk方式,命令如下:
set trunk mod/port [on | off | desirable | auto | nonegotiate] [vlan_range] [isl | dot1q dot10 | lane | negotiate]。
该命令可以分成以下4个部分:
mod/port:指定用户想要运行Trunk的那个端口;
Trunk的运行模式,分别有:on | off | desirable | auto | nonegotiate。
要想在快速以太网和千兆以太网上自动识别出Trunk,则必须保证在同一VTP域内。也可使用On或Nonegotiate模式来强迫一个端口上起Trunk,无论其是否在同一个VTP域内。
承载的VLAN范围。缺省下是1~1005,可以修改,但必须有TRUNK协议。使用TRUNK时,相邻端口上的协议要一致。
另外在中心交换机上需要把和下面的交换机相连的端口设置成TRUNK,这样下面的交换机中的多个VLAN就能够通过一条链路和中心交换机通信了。
(2)配置TRUNK时的注意事项
在一个TRUNK中,数据总是从一个特定的源点到目的点,一条单一的链路被设计去处理广播包或不知目的地的包。在配置TRUNK时,必须遵循下列规则:
○1正确选择TRUNK的端口数目,必须是2,4或8。
○2必须使用同一组中的端口,在交换机上的端口分成了几个组,TRUNK的所有端口必须来自同一组。
○3使用连续的端口;TRUNK上的端口必须连续,如你可以用端口4,5,6和7组合成一个端
口汇聚。
○4在一组端口只产生一个TRUNK;如对于安奈特的AT-8224XL以太网交换机有3组,假定没有扩展槽。所以该交换机可以支持3个端口聚合。加上扩展槽可以使得该交换机多支持一个端口汇聚。
○5基于端口号维护接线顺序:在接线时最重要的是两头的连接线必须相同。在一端交换机的最低序号的端口必须和对方最低序号的端口相连接,依次连接。举例来说,假定你从OPF-8224E 交换机端口聚合到另一台OPF-8288XL交换机,在OPF-8224E上你选择了第二组端口12、13、14、15,在OPF-8288XL上你选择了第一组端口5、6、7、8,为了保持连接的顺序,你必须把OPF-8224XL 上的端口12和OPF-8288XL上的端口5连接,端口13对端口6,其它如此。
○6为TRUNK配置端口参数:在TRUNK上的所有端口自动认为都具有和最低端口号的端口参数相同的配置(比如在VLAN中的成员)。比如如果你用端口4、5、6和7产生了TRUNK,端口4是主端口,它的配置被扩散到其他端口(端口5、6和7)。只要端口已经被配置成了TRUNK,你不能修改端口5、6和7的任何参数,可能会导致和端口4的设置冲突。
○7使用扩展槽:有些扩展槽支持TRUNK。这要看模块上的端口数量。
6.VTP协议
VTP(VLAN Trunk Protocol,VLAN干道协议)的功能与GVRP相似,也是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议。在一台VTP Server上配置一个新的VLAN信息,则该信息将自动传播到本域内的所有交换机,从而减少在多台设备上配置同一信息的工作量,且方便了管理。VTP信息只能在Trunk端口上传播。
任何一台运行VTP的交换机可以工作在三种模式:VTP Server、VTP Client及VTP Transparent。
(1)VTP Server维护该VTP域中所有VLAN信息列表,可以增加、删除或修改VLAN。
(2) VTP Client也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN,任何变化的信息必须从VTP Server发布的通告报文中接收。
(3)VTP Transparent不参与VTP工作,它虽然忽略所有接收到的VTP信息,但能够将接收到的VTP报文转发出去。它只拥有本设备上的VLAN信息。
其中,VTP Server和VTP Client必须处于同一个VTP域,且一个交换机只能位于一个VTP 域中。
四.实训内容
1.进一步学习模拟软件Boson Netsim的使用方法。
2.模拟实现基于端口的VLAN。
五.实训步骤
1.绘制网络拓扑结构。双击打开Boson Network Designer,绘制出如下拓扑图。其中计算机PC1和PC2分别通过双绞线和交换机Switch1的e0/1以及e0/2端口连接。注意,选择硬件时,以够用为原则,这里我们使用1912系列的交换机。
2. 图形化配置计算机的IP地址。点击Boson Network Designer中的“File下的Load Netmap into the simulator”,调用出命令行控制界面,既打开Boson Netsim。
选择Boson Netsim上的“eStations”,可以看到PC1和PC2的选项。然后分别使用同一命令winipcfg,直接调用出设定各自IP属性的图形界面。具体设置如下:
PC1 IP地址:192.168.1.2 子网掩码:255.255.255.0 默认网关:192.168.1.1 PC2 IP地址:192.168.1.3 子网掩码:255.255.255.0 默认网关:192.168.1.1
3.PC1和PC2相互Ping,二者此时显示连通,可见此时属于同一个LAN;
4.接着选择Boson Netsim上的“eSwitches”进入Switch1的配置界面。注意:初始情况下PC1和PC2所在端口都在“默认的VLAN1”上,可采用命令show vlan查看;
5.创建一个新的VLAN,利用vlan database进入交换机的Vlan数据库维护模式,建立一个编号为555,名字为jsj的虚拟网,并退出VLAN数据库维护模式。命令如下:
>en
#configure terminal
(config)#vlan database
(config)#vlan 555 name jsj
(config)#exit
#show vlan
屏幕提示如下,可见一个新的名叫555的vlan被成功创建。
6.为新建VLAN分配端口。接上面执行configure terminal命令进入全局配置模式,并告知交换机要配置的端口为其1号端口,再将它分配给新建的编号为555的VLAN,采用的是静态方案(Static)。命令如下:
(config)#int e0/1
(config-if)#vlan-membership static 555
(config-if)#exit
(config)#exit
#show vlan
屏幕提示如下,可见端口“1”被成功分到了新的名叫555的vlan中。
7. PC1和PC2再相互Ping,显示不通,此时基于端口实现VLAN起到了作用,因为PC1位于新建的VLAN555上,而PC2还是位于默认的VLAN1上,不同的VLAN不经路由配置是不能相互访问的。从而也证明了VLAN对于控制广播域和提升安全性的作用;
8.再采用同样的方法配置其2号端口,使其也分配给编号为555的VLAN。命令如下:
9.PC1和PC2再相互Ping,可见又显示连通,证明同一VLAN中机器可以直接访问。
10.验证,通过命令查看交换机的VLAN配置现状,可见现在端口1,2都在同一编号为555的VLAN中。命令如下:
六.实训报告要求
1.写出Vlan的分类方式。
2.写出实现静态VLAN的配置命令。
七.课后思考
1.思考:如何实现不同Vlan之间的通信。
2.了解VTP的工作模式和特点。
华为交换机如何划分VLAN
华为交换机如何划分VLAN . 在
VLAN详解教程
局域网VLAN技术详解教程 1.VLAN的概念 1.1什么是VLAN VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。 本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。 那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。 A B 图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC
地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播信息是那么经常发出的吗? 读到这里,您也许会问:广播信息真是那么频繁出现的吗? 答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……) 总之,广播就在我们身边。下面是一些常见的广播通信: ● ARP请求:建立IP地址和MAC地址的映射关系。 ● RIP:选路信息协议(Routing Infromation Protocol)。 ● DHCP:用于自动设定IP地址的协议。 ● NetBEUI:Windows下使用的网络协议。 ● IPX:Novell Netware使用的网络协议。 ● Apple Talk:苹果公司的Macintosh计算机使用的网络协议。 1.2 VLAN的实现机制 在理解了“为什么需要VLAN”之后,接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。首先,在一台未设置任何VLAN的二层交换机上,任何广播帧都会被转发给除接收端口外的所有其他端口(Flooding)。例如,计算机A发送广播信息后,会被转发给端口2、3、4。
华为s5700交换机vlan设置
华为s5700交换机vlan设置 现有一台华为s5700交换机和普通交换机数台,以及tp-link路由器一台。 1.tp-link路由器连接外网。 2.s5700交换机划分vlan。 3.普通交换机接vlan和pc端。 网络拓扑图如下: 配置说明: s5700默认有vlan1所有端口都在vlan1里面。 vlanif1配置路由器网段ip用于连接路由器。 三层交换机要配置一条指向路由器的静态路由。 路由器要配置nat对应个vlan ip。 路由器要配置路由到各个vlan网段。 1.s5700交换机web管理ip和用户配置。 使用Console线缆将计算机连接至交换机的Console口。
在计算机上打开终端仿真软件,新建连接,设置连接的端口以及通信参数。计算机终端的通信参数配置要和交换机Console 口的缺省配置保持一致,交换机Console口的缺省配置如下: 传输速率:9600 数据位:8 校验方式:无 停止位:1 流控方式:无 按Enter键,直到仿真终端出现如下显示,提示用户配置验证密码。 Please configure the login password (6-16) Enter Password:123456789 Confirm Password:123456789 配置交换机的管理IP。 system-view interface meth 0/0/1 ip address 10.255.4.100 24 quit quit save 配置web登陆用户信息。 system-view aaa local-user admin password cipher pioneer2015 local-user admin privilege level 15 local-user admin service-type http ftp local-user admin ftp-directory flash: quit quit save 使用网线将计算机与交换机的ETH口相连,配置计算机上的IP。在尚未使用的IP地址围选择IP地址,如10.255.4.50。打开一个Web浏览器窗口。在地址栏中输入10.255.4.50,即交换机IP地址,然后按Enter键。系统将显示登录界面。2.s5700vlan划分和设置。 console登陆交换机,按enter键输入密码:123456789。 设置端口的接入方式和所属的vlan system-view
交换机VLAN划分实验
二、交换机VLAN划分实验 一、实验目的 1、了解VLAN原理; 2、熟练掌握二层交换机VLAN的划分方法; 3、了解如何验证VLAN的划分。 二、应用环境 学校实验楼中有两个实验室位于同一楼层,一个是计算机软件实验室,一个是多媒体实验室,两个实验室的信息端口都连接在一台交换机上。学校已经为实验楼分配了固定的IP地址段,为了保证两个实验室的相对独立,就需要划分对应的VLAN,使交换机某些端口属于软件实验室,某些端口属于多媒体实验室,这样就能保证它们之间的数据互不干扰,也不影响各自的通信效率。 三、实验设备 1、DCS-3926S交换机1台 2、PC机2台 3、Console线1根 4、直通网线2根 四、实验拓扑 使用一台交换机和两台PC机,还将其中PC1作为控制台终端,使用Console口配置方式;
使用两根网线分别将PC1和PC2连接到交换机的RJ-45接口上。 五、实验要求 在交换机上划分两个基于端口的VLAN:VLAN100,VLAN200。 VLAN 端口成员 1001~8 2009~16 使得VLAN100的成员能够互相访问,VLAN200的成员能够互相访问;VLAN100和VLAN200成员之间不能互相访问。 PC1和PC2的网络设置为: 设备IP地址Mask 交换机A 192.168.1.11 255.255.255.0 PC1 192.168.1.101 255.255.255.0 PC2 192.168.1.102 255.255.255.0 PC1、PC2接在VLAN100的成员端口1~8上,两台PC互相可以ping通;PC1、PC2接在VLAN的成员端口9~16上,两台PC互相可以ping通;PC1接在VLAN100的成员端口1~8上,PC2接在VLAN200的成员端口9~16上,则互相ping不通。 若实验结果和理论相符,则本实验完成 六、实验步骤 第一步:交换机恢复出厂设置 Switch#set default Switch#write Switch#reload 第一步:给交换机设置ip地址即管理ip Config t Interface vlan 1 Ip address 192.168.1.11 255.255.255.0
华为 交换机配置命令详解
交换机配置命令详解 华为交换机配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置[Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件
VLAN虚拟局域网和子网划分的区别(精解)
VLAN"虚拟局域网"和子网划分的区别 这个理解,比如同一个交换机下的两种不同状态: 1、划分VLAN ,同一个交换机下分成两个VLAN,那么这两段之间通信必须要通过三层或路由,这两段之间的广播风暴是不通的。可视为两个单独的交换机。 2、划分子网,同一个交换机下划分了两个子网,所以两子网之间通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时,所以的端口都要接收。因为广播风暴是工作在第二层。广播是以MAC地址为依据的,所以同一个交换机上所有的端口都要接收广播。。 3、子网划分是通过路由器才能形成的,没有路由器来分隔子网是没法进行子网划分的,VLAN是在交换机上划分多个VLAN,从而划分多个广播域,这有利于阻隔广播风暴的发生!!而且不同vlan间必须通过三层设备才能相互通信!!而使用划分子网,必须增加路由器,这样就增加了组网的成本!!使用vlan来可以节约成本!! 4、从某种意义上来说,划分VLAN是一个更好的方法。 如果你只靠子网来划分,你就会发现你的交换机端口上各个子网的数据在到处跑。。。。交换机上灯闪个不停。。 而划了VLAN,如果不属于这个VLAN的数据是不是乱发的,广播包是过来的, 这是硬件上做了处理。。 只靠子网来划分,你的电脑网卡还是会收到其他子网的数据,只是会在你的电脑上被拒绝,虽然被拒绝可是对你的电脑性能是有影响的。。 VLAN和IP子网是局域网里的两个法宝一定要掌握。。。这样你才能得心应用的管理你的管理。规划。。 一、VLAN VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,
最新华为交换机基本配置命令资料
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN ●[Huawei]int g0/0/1 ● [Huawei]port link-type access(注:接口类型access,hybrid、trunk) ● [Huawei]port default vlan 10 批量端口放入VLAN ●[Huawei]port-group 1 ●[Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 ●[Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组) vlan 200内的15端口 ●[Huawei]int g0/0/15 ●[Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200
通过group端口限速设置 ●[Huawei]Port-group 2 ●[Huawei]group-member g0/0/2 to g0/0/23 ●[Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 ●return返回 ●Save 保存 ●info-center source DS channel 0 log state off trap state off 通过关闭日志信息命令改变DS模块来 实现(关闭配置后的确认信息显示) ●info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来 实现(打开配置后的确认信息显示) 二、配置交换机支持TELNE system 进入系统视图 sysname 交换机命名 int vlan 1 进入VLAN 1 ip address 192.168.3.100 255.255.255.0 配置IP地址 user-int vty 0 4 进入虚拟终端 authentication-mode password (aut password) 设置口令模式 set authentication password simple 222 (set aut pass sim 222) 设置口令 user privilege level 3(use priv lev 3) 配置用户级别 disp current-configuration (disp cur) 查看当前配置 disp ip int 查看交换机VLAN IP配置
基于端口模式的VLAN实现
10.基于端口模式的VLAN实现 一.实训目的 1.理解VLAN的基本概念。 2.掌握VLAN的分类方法和实现原理。 3.掌握交换机上实现静态VLAN的基本命令。 二.实训器材及环境 1.安装Windows 2000 Server操作系统的计算机。 2.安装Boson Netsim 5.31模拟软件。 3.实验环境见实训步骤中的描述。 三.实训理论基础 1.虚拟局域网简介 Virtual Local Area Network(VLAN),翻译成中文是“虚拟局域网”。VLAN所指的LAN 特指使用路由器分割的网络,也就是广播域。是指在逻辑上将物理的LAN分成不同的小的逻辑子网,每一个逻辑子网就是一个单独的广播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。 2.VLAN的作用 使用集线器或交换机所构成的一个物理局域网,整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧,因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。在网络通讯中,广播信息是普遍存在的,这些广播帧将占用大量的网络带宽,导致网络速度和通讯效率的下降,并额外增加了网络主机为处理广播信息所产生的负荷。 目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络的阻塞和瘫痪。 一个VLAN就是一个网段,通过在交换机上划分VLAN,可将一个大的局域网划分成若干个网段,每个网段内所有主机间的通讯和广播仅限于该VLAN内,广播帧不会被转发到其他网段,即一个VLAN就是一个广播域,VLAN间是不能进行直接通信的,从而就实现了对广播域的分割和隔离。 从中可见,通过在局域网中划分VLAN,可起到以下方面的作用:控制网络的广播,增加广播域的数量,减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组,不受任何物理连接的限制,同一VLAN中的用户,可以连接在不同的交换机,并且可以位于不同的物理位置,增加了网络连接、组网和管理的灵活性。 增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。 3.VLAN的分类 (1)静态VLAN 静态VLAN就是明确指定各端口所属VLAN的设定方法,通常也称为基于端口的VLAN,其特点是将交换机按端口进行分组,每一组定义为一个VLAN,属于同一个VLAN的端口,可来自一台交换机,也可来自多台交换机,即可以跨越多台交换机设置VLAN。 静态指定各端口所属的VLAN,需要对每一个端口地进行设置,当要设定的端口数目较多时,工作量会比较大,通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。
华为交换机VLAN简单配置
华为交换机VLAN配置(S5700例) ------------一个简单VLAN的详细配置过程 [quidway]> [quidway]>sys [quidway]vlan 10 # 创建ID号为10的vlan [quidway vlan 10] ip add 192.168.10.1 255.255.255.0 # 为VLAN10匹配IP地址[quidway vlan 10] quit #将一个端口加入VLAN10 [quidway] int gigab0/0/1 #进入端口1 [quidway interface gigab0/0/1 ] port link-type access [quidway interface gigab0/0/1 ] port deflaut vlan 10 [quidway]quit [quidway]vlan 20 # 创建ID号为10的vlan [quidway vlan 10] ip add 192.168.20.1 255.255.255.0 # 为VLAN20匹配IP地址[quidway vlan 10] quit #将一个端口加入VLAN20 [quidway] int gigab0/0/2 #进入端口1 [quidway interface gigab0/0/2 ] port link-type access [quidway interface gigab0/0/2 ] port deflaut vlan 20 [quidway]quit #i 添加一条缺省路由,指向防火墙或其它网关。 [quidway] ip route 0.0.0.0 0.0.0.0 60.213.13.44 [quidway] quit [quidway]>save #存储配置
vlan的意义、划分
交换机VLAN的定义、意义以及划分方式 什么是VLAN 虚拟网技术(VLAN,Virtual Local Area Network)的诞生主要源于广播。广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都 要用到广播,如。然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,当广播包的数量占到通讯总量的30%时,网络的传输效率将会明显下降。所以,当局域网内的 计算机达到一定数量后(通常限制在150~200台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害。 如何分隔大的广播域呢?最简单的方案就是物理分隔,即将一个完整的网络物理地分隔 成两个或多个子网络,然后,再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外,就是在交换机上采用逻辑分隔的方式,将一个大的局域网划分为若干个小的虚拟子网(如图2所示),即VLAN,从而使每一个子网都成为一个单独的广播域,子网之间进行通信必须通过三层设备。当VLAN在交换机上划分后,不同VLAN间的设备就 如同是被物理地分割。也就是说,连接到同一交换机、然而处于不同VLAN的设备,就如 同被物理地连接到两个位于不同网段的交换机上一样,彼此之间的通信一定要经过路由设备,否则,他们之间将无法得知对方的存在,将无法进行任何通信? 虽然划分VLAN的方式有许多种,但是,使用最多的仍然是基于端口的VLAN。不同厂商的交换机大多支持以下几种VLAN的划分方式: 1. 基于端口的VLAN 基于端口的VLAN是最常使用的划分VLAN的方式,几乎被所有的交换机所支持。所谓 基于端口的VLAN,是指由网络管理员使用网管软件或直接设置交换机,将某些端口直接地、强制性地分配给某个VLAN。除非网管人员重新设置,否则,这些端口将一直保持对该VLAN 的从属性,即属于该VLAN,因此,这种划分方式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻烦,但相对安全,并且容易配置和维护。同时,由
华为交换机配置命令
华为交换机配置命令 @123 3.举例 一:创建vlan并设置ip地址 Vlan10 (批量添加vlan可输入vlan batch 10 20 30 ) [Quitdway]interface vlan10 [Quitdway-Vlan10]ip address _24 [Quitdway-Vlan10]dhcp select interface (全局开启dhcp) [Quitdway-Vlan10]quit 二:批量添加端口到Vlan并设access模式 [Quitdway]port-group 1 创建组 [Quitdway-port-group-1]group-member Eth 0/0/1 to Eth 0/0/8 [Quitdway-port-group-1]port link-type access [Quitdway-port-group-1]port default vlan 10 三:开启DHCP设置时间和DNS [Quitdway]dhcp edable [Quitdway]quit [Quitdway]interface vlan 10 [Quitdway-Vlan10]dhcp server excluded-ip-address (在指定的ip 池中去掉已指派的ip) [Quitdway-Vlan10]dhcp server lease day 30 hour 0 minute 0
[Quitdway-Vlan10]dhcp server dns-list 四:建立对接口并设置路由 [Quitdway]vlan 100 [Quitdway vlan 100]ip address _24(与上一级路由的ip段一致) [Quitdway vlan 100]quit [Quitdway]interface Gi 0/0/24 [Quitdway Gi 0/0/24]port link-type access [Quitdway Gi 0/0/24]port default vlan 100(24口加入到vlan100) [Quitdway Gi 0/0/24]quit [Quitdway]ip route-static __(上一级网关) 注释:在上一级路由器上设置 目的地址: 下一跳: 五:设置trunk口类型接口 [Quitdway]interface gi 0/0/24 [Quitdway Gi 0/0/24]port link-type trunk [Quitdway Gi 0/0/24]port trunk allow-pass vlan all(允许所有vlan 通过)
实验一 基于端口划分VLAN
实验一基于端口划分VLAN 一、实验目的: 1、理解VLAN的基本原理; 2、掌握按端口划分VLAN的方法; 3、理解VLAN间通信的基本原理。 二、实验内容: 根据以下网络拓扑结构图,按端口划分VLAN,使两个VLAN之间能够相互通信。 VLAN2:PC0,PC1,PC3 主机IP:192.168.2.1—192.168.2.3,VLAN2接口IP:192.168.2.4, 子网掩码:255.255.255.0; VLAN3:PC2,PC4,PC5 主机IP:192.168.3.1—192.168.3.3,VLAN3接口IP:192.168.3.4 子网掩码:255.255.255.0。 三、实验环境: Cisco Packet Tracer 5.2。 四、实验过程: 扼要地写出实验的过程。 五、实验结果及分析: 总结实验的结果,并作简要的分析; 简单附上本次实验的体会与收获。 说明:把本次实验写成实验报告,下周三交。 后附:Cisco3560、Cisco2960的配置 附:Cisco交换机的配置过程
(1)设置VTP管理域 Switch> enable //进入特权配置模式 Switch# config terminal //进入全局配置模式 Switch(config)# hostname VtpServer //交换机命名 VtpServer(config)# exit //退出全局配置模式 VtpServer# vlan database //进入VLAN配置模式 VtpServer(vlan)# vtp domain MathsGroup //创建VTP管理域,域名命名为MathsGroup VtpServer(vlan)#vtp server //将三层交换机配置成VTP管理域的服务器Switch> enable Switch# config terminal Switch(config)# hostname VtpInformation VtpInformation(config)# exit VtpInformation# vlan database VtpInformation(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域VtpInformation(vlan)# vtp client //将交换机配置成VTP管理域的客户机 Switch> enable Switch# config terminal Switch(config)# hostname VtpMaths VtpMaths(config)# exit VtpMaths# vlan database VtpMaths(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域 VtpMaths(vlan)# vtp client //将交换机配置成VTP管理域的客户机 (2)为交换机配置连接VLAN主干(trunk)链路的端口 VtpServer(vlan)# exit //退出VLAN配置模式 VtpServer# config terminal //进入全局配置模式 VtpServer(config)# interface f0/1 //进入接口配置模式,对端口f0/1进行配置VtpServer(config-if)# switchport mode trunk //将端口f0/1配置成trunk模式VtpServer(config-if)# exit VtpServer(config)# interface f0/2 VtpServer(config-if)# switchport mode trunk VtpInformation(vlan)# exit VtpInformation# config terminal VtpInformation(config)# interface f0/1 VtpInformation(config-if)# switchport mode trunk VtpMaths(vlan)# exit VtpMaths# config terminal VtpMaths(config)# interface f0/1 VtpMaths(config-if)# switchport mode trunk
华为交换机vlan配置
交换机上设置,划分VLAN: sys //切换到系统视图 [Quidway]vlan enable [Quidway]vlan 2 [Quidway-vlan2]port e0/1 to e0/8 [Quidway-vlan2]quit //默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3 [Quidway-vlan3]port e0/9 to e0/16 [Quidway-vlan3]quit //指定交换机的e0/9 到e0/16八个端口属于VLAN3 [Quidway]dis vlan all [Quidway]dis cu 路由器上设置,实现访问控制: [Router]interface ethernet 0 [Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit //指定ethernet 0的ip [Router]interface ethernet 1 [Router-Ethernet1]ip address 192.168.1.6 255.255.255.0 [Router-Ethernet1]quit
//开启firewall,并将默认设置为deny [Router]fire enable [Router]fire default deny //允许192.168.1.1访问192.168.1.3 //firewall策略可根据需要再进行添加 [Router]acl 101 [Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0 [Router-acl-101]quit //启用101规则 [Router-Ethernet0]fire pa 101 [Router-Ethernet0]quit [Router-Ethernet1]fire pa 101 [Router-Ethernet1]quit 交换机上设置,划分VLAN: sys //切换到系统视图 [Quidway]vlan enable [Quidway]vlan 2 [Quidway-vlan2]port e0/1 to e0/8 [Quidway-vlan2]quit
基于端口划分vlan
配置基于接口划分VLAN示例 组网需求 某企业有很多部门,要求业务相同部门之间的员工可以互相访问,业务不同部门之间的员工不能互相访问。 如图1所示,某企业包含4个部门。部门1通过SwitchA与Switch的接口GE0/0/1相连。部门2通过SwitchB与Switch的接口GE0/0/2相连。部门3通过SwitchC与Switch的接口GE0/0/3相连。部门4通过SwitchD与Switch的接口GE0/0/4相连。要求: ?VLAN2内的部门1、部门2与VLAN3内的部门3、部门4互相隔离。 ?VLAN2内的部门1与部门2可以互相访问。 ?VLAN3内的部门3与部门4可以互相访问。 图1 配置干道链路组网图 配置思路 采用如下的思路配置VLAN: 1.创建VLAN。 2.将接口加入VLAN。 数据准备
为完成此配置例,需准备如下的数据: ?接口GigabitEthernet0/0/1、GigabitEthernet0/0/2属于VLAN2。 ?接口GigabitEthernet0/0/3、GigabitEthernet0/0/4属于VLAN3。 操作步骤 1.配置Switch # 创建VLAN2。
实验1 基于交换机端口的VLAN
实验1 基于交换机端口的VLAN 一、实验名称 基于交换机端口的VLAN 配置实验 二、实验目的 理解基于交换机端口的VLAN 的配置方法,实现交换机端口隔离。 三、实验内容 多台PC 机连接到一台交换机的不同端口时,通过配置交换机使处于不同VLAN 组的端口上的PC 机不能相互访问实现基于端口的VLAN 隔离。 本实验用2台PC 机和1台S2126交换机连接,将PC1连接交换机的端口F0/5划入VLAN 10,将PC2连接交换机的端口F0/15划入VLAN 20。 四、实验拓扑(从本实验开始PC 机通过中心机柜和RCMS 管理设备登陆实验设备的拓扑 部分不另在图中做标明) 五、实验设备 S2126交换机1台,PC 机2台。 六、实验步骤 1.按实验拓扑图连接设备。 2.配置2台PC 机IP 地址分别为192.168.0.1和192.168.0.2,使它们可以相互ping 通。 3.在交换机上创建VLAN G7-S2126-02>enable 14 ! 进入特权模式 Password: ! 输入口令 G7-S2126-02#config terminal ! 进入全局配置模式 G7-S2126-02(config)#hostname SwitchA !配置交换机名称为”SwitchA ” SwitchA(config)#end !退到特权模式 SwitchA#conf t !进入全局配置模式 SwitchA(config)#vlan 10 !创建VLAN 10 SwitchA(config-vlan)#name test10 ! 将VLAN 10 命名为 test10
华为三层交换机如何让VLAN间不能互通配置
华为三层交换机如何让VLAN间不能互通配置 『配置环境参数』 1. 交换机E0/1和E0/2属于vlan10 2. 交换机E0/3属于vlan20 3. 交换机E0/4和E0/5属于vlan30 4. 交换机E0/23连接Server1 5. 交换机E0/24连接Server2 6. Server1和Server2分属于vlan40和vlan50 7. PC和Server都在同一网段 8. E0/10连接BAS设备,属于vlan60 『组网需求』 1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访; 2. Vlan10、vlan20和vlan30的PC均可以访问Server 1; 3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2; 4. vlan 10中的2端口的PC可以访问vlan 30的PC; 5. vlan 20的PC可以访问vlan 30的5端口的PC; 6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。 2 数据配置步骤 『端口hybrid属性配置流程』 hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。 1. 先创建业务需要的vlan [SwitchA]vlan 10 [SwitchA]vlan 20 [SwitchA]vlan 30 [SwitchA]vlan 40 [SwitchA]vlan 50 2. 每个端口,都配置为 hybrid状态 [SwitchA]interface Ethernet 0/1 [SwitchA-Ethernet0/1]port link-type hybrid 3. 设置端口的pvid等于该端口所属的vlan [Switch-Ethernet0/1]port hybrid pvid vlan 10 4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口 [Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged 实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为该 vlan 的端口互通。 5. 以下各端口类似: [Switch-Ethernet0/1]int e0/2 [Switch-Ethernet0/2]port link-type hybrid [Switch-Ethernet0/2]port hybrid pvid vlan 10 [Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged [Switch-Ethernet0/2]int e0/3 [Switch-Ethernet0/3]port link-type hybrid