交换机端口隔离802.1Q

交换机常用功能举例（四）——管理型交换机IEEE 802.1Q VLAN设置应用实例一VLAN的概念VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN 头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是控制网络的广播风暴、确保网络安全、简化网络管理、减少了对路由器的需求、灵活的网络分组、减少网络解决方案费用、更合理的利用服务资源。

VLAN是局域交换网的灵魂。

VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。

是否具有VLAN功能是衡量局域网交换机的一项重要指标。

网络的虚拟化是未来网络发展的潮流。

二VLAN的划分方式VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。

802.1Q是VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。

不同厂家的交换机只要支持802.1Q VLAN就可以跨越交换机，可以统一划分管理。

三802.1q Tag VLAN的设置实例我司的大多数管理型交换机都支持基于端口的VLAN和基于802.1q协议的VLAN功能。

基于端口规则的VLAN这是最早的VLAN类型，也是最简单的VLAN，可以将局域网交换机其中的几个端口指定成一个VLAN。

以下主要介绍管理型交换机的IEEE 802.1Q VLAN设置，设置IEEE802.1Q VLAN大体分三步：1、选择VLAN的类型。

2、设置VLAN组的划分。

3、端口PVID值的设置。

下面用TL-SL3226P交换机举三个实例来说明802.1Q VLAN的划分方法。

IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。

下面先介绍有关VLAN的基本概念。

1．IEEE 802.1q协议简介IEEE 802.1q协议为标识带有VLAN成员信息的以太帧建立了一种标准方法。

I EEE802.1q标准定义了VLAN网桥操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN拓朴结构等操作。

IEEE 802.1q标准主要用来解决如何将大型网络划分为多个小网络，如此广播和组播流量就不会占据更多带宽的问题。

此外IEEE 802.1q标准还提供更高的网络段间安全性。

IEEE802.1q完成这些功能的关键在于标签。

支持IEEE 802.1q的交换端口可被配置来传输标签帧或无标签帧。

一个包含VL AN信息的标签字段可以插入到以太帧中。

如果端口有支持IEEE 802.1q的设备（如另一个交换机）相连，那么这些标签帧可以在交换机之间传送VLAN成员信息，这样VLAN就可以跨越多台交换机。

但是，对于没有支持IEEE 802.1q设备相连的端口我们必须确保它们用于传输无标签帧，这一点非常重要。

很多PC和打印机的NIC并不支持IEEE 802.1q，一旦它们收到一个标签帧，它们会因为读不懂标签而丢弃该帧。

在IEEE 802.1q中，用于标签帧的最大合法以太帧大小已由1518字节增加到1522字节，这样就会使网卡和旧式交换机由于帧“尺寸过大”而丢弃标签帧。

图6-16就是以太网中的IEEE 802.1q标签帧格式。

Preamble（Pre）：前导字段，7字节。

Pre字段中1和0交互使用，接收站通过该字段知道导入帧，并且该字段提供了同步化接收物理层帧接收部分和导入比特流的方法。

Start-of-Frame Delimiter（SFD）：帧起始分隔符字段，1字节。

字段中1和0交互使用，结尾是两个连续的1，表示下一位是利用目的地址的重复使用字节的重复使用位。

实训案例6——网络隔离【项目目标】掌握在单交换机上进行VLAN 划分的方法。

掌握在多交换机上进行VLAN 划分的方法。

掌握同一交换机上，同一VLAN中端口隔离的配置方法。

【项目背景】某企业有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统连接在不同的交换机上，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要相互隔离；技术部的个人计算机系统虽然连接在一个交换机上，但由于研发项目的不同也要求研发小组之间相互隔离；同一研发小组的计算机之间能够通信，但某一研发小组的两台计算机之间要求隔离。

本项目的实施使用Packet Tracer 5.0。

Packet Tracer 5.0是一款非常不错的Cisco(思科)网络设备模拟器。

【方案设计】1.总体设计通过在单交换机上进行VLAN 划分和跨交换机进行VLAN配置的方法隔离销售部和技术部，以及技术部中各个研发小组的隔离。

通过交换机中同一VLAN的端口隔离来完成某一研发小组的两台计算机之间的隔离。

2.任务分解任务1：单交换机上创建多个VLAN段。

任务2：实现单交换机上多个VLAN的隔离。

任务3：跨交换机进行VLAN配置。

任务4：查看交换机的系统和配置信息。

任务5：设置同一VLAN两台PC的隔离。

任务6：删除VLAN。

3.知识准备（1）VLAN Tag为使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。

由于交换机工作在OSI模型的数据链路层，只能对报文的数据链路层封装进行识别。

因此，识别字段需要添加到数据链路层封装中。

传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。

如图7-1所示。

图7-1 封装类型字段其中DA表示目的MAC地址，SA表示源MAC地址，Type表示报上层协议的类型字段。

IEEE 802.1Q协议规定，在目的MAC地址和源MAC地址之后封装4个字节的VLAN Tag，用以标识VLAN的相关信息。

目录VLAN配置总结 (2)命令行界面的端口字符串用法 (2)生成VLAN安全管理 (2)Viewing VLANs（查看VLAN） (2)show vlan (2)Creating and Naming Static VLANs（生成以及命名静态VLAN） (3)set vlan (3)set vlan name (4)clean vlan (4)clear vlan name (5)Assigning Port VLAN IDs (PVIDs) and Ingress Filtering（指定端口VLAN ID以及入口过滤） (5)show port vlan (5)set port vlan (6)clear port vlan (6)show port ingress-filter (7)set port ingress-filter (8)show port discard (8)set port discard (9)Configuring the VLAN Egress List（配置VLAN出口列表） (9)show port egress (9)set vlan forbidden (10)set vlan egress (11)clear vlan egress (11)show vlan dynamicegress (12)set vlan dynamicegress (13)Setting the Host VLAN（设置主VLAN） (13)show host vlan (13)set host vlan (14)clear host vlan (14)Enabling/Disabling GVRP (GARP VLAN Registration Protocol)（使能/禁止GVRP） (14)show gvrp (15)show garp timer (15)set gvrp (16)clear gvrp (17)set garp timer (17)clear garp timer (18)802.1Q VLAN 配置命令及用法VLAN配置总结命令行界面的端口字符串用法关于如何在命令行界面指定VLANs以及端口号的用法，请参考page 6-1生成VLAN安全管理生成一个VLAN安全管理，必须：1 生成一个新VLAN 参考page 9-52 为步骤1要求的交换端口设置pvid 参考page 9-93 为步骤1添加要求的交换端口到出口列表参考page 9-154 给VLAN指定主机状态参考page 9-185 设置一个私有的名字以及访问策略参考page 7-14Viewing VLANs（查看VLAN）命令包含show vlanshow vlan使用此命令显示一个或者多个VLAN的所有相关信息。

802.1q协议802.1q协议是一种网络通信协议，用于虚拟局域网（VLAN）的标准化。

它允许网络管理员在现有的以太网基础设施上创建虚拟局域网，从而提供更好的网络管理和资源隔离。

背景随着企业网络规模的扩大和组织结构的变化，传统的以太网无法满足网络管理的需求。

当网络中存在多个部门或用户群体时，需要一种机制来隔离不同的数据流，以确保安全性和性能。

这就是802.1q协议的诞生背景。

802.1q标签在802.1q协议中，虚拟局域网是通过使用802.1q标签来实现的。

每个以太网帧都会被添加一个额外的标签，用于标识该帧所属的虚拟局域网。

这个标签包含了虚拟局域网的标识符（VLAN ID），以及一些其他的控制信息。

交换机的支持要使用802.1q协议，网络中的交换机必须支持VLAN的功能。

现代的企业级交换机通常都支持802.1q协议，并提供了相应的配置选项。

通过配置交换机的VLAN设置，管理员可以创建、删除和管理虚拟局域网。

VLAN的优势802.1q协议带来了许多优势，使得企业可以更好地管理和控制网络。

以下是一些主要的优点：1.隔离网络流量： VLAN允许管理员将网络划分为多个逻辑上独立的子网络，从而隔离不同部门或用户群体的流量。

这有助于提高网络的安全性和性能。

2.简化网络管理： VLAN提供了一种逻辑上集中管理网络资源的方法。

管理员可以根据需要调整虚拟局域网的配置，而无需对整个物理网络进行修改。

3.降低网络成本：使用VLAN可以减少物理设备的数量和复杂性。

管理员可以通过逻辑上的配置更灵活地利用现有的网络基础设施。

4.增强网络可靠性： VLAN可以提供冗余和负载均衡的功能。

通过将关键设备和服务器分配到不同的虚拟局域网上，可以确保网络中断的影响范围最小。

VLAN的配置以下是一些常见的配置步骤，用于在支持802.1q协议的交换机上创建和配置VLAN：1.启用VLAN功能：确保交换机已启用VLAN功能。

这通常可以在交换机的管理界面中完成。

VLANIEEE802.1Q⼀、VLAN产⽣原因-⼴播风暴传统的局域⽹使⽤的是HUB，HUB只有⼀根总线，⼀根总线就是⼀个冲突域。

所以传统的局域⽹是⼀个扁平的⽹络，⼀个局域⽹属于同⼀个冲突域。

任何⼀台主机发出的报⽂都会被同⼀冲突域中的所有其它机器接收到。

后来，组⽹时使⽤⽹桥（⼆层交换机）代替集线器（HUB），每个端⼝可以看成是⼀根单独的总线，冲突域缩⼩到每个端⼝，使得⽹络发送单播报⽂的效率⼤⼤提⾼，极⼤地提⾼了⼆层⽹络的性能。

但是⽹络中所有端⼝仍然处于同⼀个⼴播域，⽹桥在传递⼴播报⽂的时候依然要将⼴播报⽂复制多份，发送到⽹络的各个⾓落。

随着⽹络规模的扩⼤，⽹络中的⼴播报⽂越来越多，⼴播报⽂占⽤的⽹络资源越来越多，严重影响⽹络性能，这就是所谓的⼴播风暴的问题。

由于⽹桥⼆层⽹络⼯作原理的限制，⽹桥对⼴播风暴的问题⽆能为⼒。

为了提⾼⽹络的效率，⼀般需要将⽹络进⾏分段：把⼀个⼤的⼴播域划分成⼏个⼩的⼴播域。

过去往往通过路由器对LAN进⾏分段。

⽤路由器替换中⼼节点交换机，使得⼴播报⽂的发送范围⼤⼤减⼩。

这种⽅案解决了⼴播风暴的问题，但是⽤路由器是在⽹络层上分段将⽹络隔离，⽹络规划复杂，组⽹⽅式不灵活，并且⼤⼤增加了管理维护的难度。

做为替代的LAN分段⽅法，虚拟局域⽹被引⼊到⽹络解决⽅案中来，⽤于解决⼤型的⼆层⽹络环境⾯临的问题。

虚拟局域⽹（VLAN——Virtual Local Area Network）逻辑上把⽹络资源和⽹络⽤户按照⼀定的原则进⾏划分，把⼀个物理上实际的⽹络划分成多个⼩的逻辑的⽹络。

这些⼩的逻辑的⽹络形成各⾃的⼴播域，也就是虚拟局域⽹VLAN虚拟局域⽹将⼀组位于不同物理⽹段上的⽤户在逻辑上划分成⼀个局域⽹内，在功能和操作上与传统LAN基本相同，可以提供⼀定范围内终端系统的互联。

VLAN与传统的LAN相⽐，具有以下优势：1. 减少移动和改变的代价即所说的动态管理⽹络，也就是当⼀个⽤户从⼀个位置移动到另⼀个位置时，他们的⽹络属性不需要重新配置，⽽是动态的完成。

实验报告课程名称：计算机网络基础实验项目：虚拟局域网VLAN专业班级：信息系统与信息管理602班姓名： ****** 学号： *****指导教师：***老师成绩：日期：第一部分：交换机端口隔离.【实验名称】交换机端口隔离.【实验目的】理解Port Vlan的配置，了解VLAN的原理，熟练掌握交换机端口隔离划分虚拟局【背景描述】假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机的fa0/5口;住户PC2连接在交换机的fa0/15口，住户pc3连接在fa0/1口.现要实现各家各户的端口隔离. 【实现功能】通过PORT VLAN实现本交换机端口隔离. （通过虚拟局域网技术可以隔离网络风暴，提高网络的性能，降低无用的网络开销。

并能提高网络的安全性,保密性。

）【实现拓扑】【实验设备】S2126G 1台、PC机6台、直连线6条【实验步骤】步骤1.搭建一个小型局域网的拓扑，使得一台可网管的交换机，通过普通快速以太网端口f0/1、f0/2、f0/10与多台PC，使用直连线相连接。

并给三台PC机配置IP，要求所有IP属于同一个网段。

保证三台PC两两之间互相能够ping通。

截图于此switchA#configure terminal !进入交换机全局配置模式switchA(config)#vlan 2 ！创建VLAN2switchA(config-vlan)#name wxk01 ！将其命名为wxk01switchA(config-vlan)#exit!退出VLAN 01switchA(config)#vlan 3 ！创建VLAN 02switchA(config-vlan)#name wxk02 ！将其命名为wxk02switchA(config-if)#exit验证测试使用命令show vlan和show running-config查看与刚才有何不同。

switchA#show vlan步骤2.将接口分配到VLAN.switchA(config)#interface fa0/1 ！进入fa0/1的接口配置模式。