文章目錄
- 一、沖突域與廣播域
- 二、Vlan
-
- 2.1 定義
- 2.2 優點
- 2.3 劃分方式
- 2.4 範圍
- 2.5 靜态vlan的建立步驟
- 三、不同Vlan間不能通信
- 四、驗證相同Vlan間實作通信
- 五、單臂路由實作不同vlan間通信
- 六、總結
一、沖突域與廣播域
在介紹vlan之前,先引入幾個概念。
沖突:兩個節點同時發送資料的情況。
沖突域:産生沖突的範圍。
集線器/交換機的沖突域:集線器所有接口都處于一個沖突域中,交換機一個接口一個沖突域。
廣播域:廣播擴散的範圍。
本網段廣播:發送的消息會傳達給這個網段的全體成員。
交換機/路由器的廣播域:交換機的所有接口處于一個廣播域中,路由器一個接口一個廣播域。
二、Vlan
2.1 定義
VLAN(Virtual Local Area Network)即虛拟區域網路,是将一個實體的LAN在邏輯上劃分成多個廣播域的通信技術。VLAN内的主機間可以直接通信,而VLAN間不能直接通信,進而将廣播封包限制在一個VLAN内。
2.2 優點
1、隔離了廣播域:廣播域被限制在一個VLAN内,節省了帶寬,提高了網絡處理能力。
2、增強區域網路的安全性:不同VLAN内的封包在傳輸時是互相隔離的,即一個VLAN内的使用者不能和其它VLAN内的使用者直接通信。
3、靈活性:用VLAN可以劃分不同的使用者到不同的工作組,同一工作組的使用者也不必局限于某一固定的實體範圍,網絡建構和維護更友善靈活。
2.3 劃分方式
1、靜态vlan:基于端口劃分;簡單;經濟
2、動态vlan:基于Mac位址動态劃分vlan;相比于靜态vlan來說複雜,并且需要購買伺服器。
2.4 範圍
vlan的範圍為0-4095,一共4096個。
其中,vlan0和vlan4095系統保留,不可見也不可用;vlan1為系統預設vlan,使用者可以使用但是不能删除;vlan2-vlan4094使用者可以建立、使用、删除。
2.5 靜态vlan的建立步驟
1、交換機上建立vlan
(1)建立一個vlan:[SW1]vlan 2
(2)建立多個vlan:
①建立多個不連續的vlan
例如,一次性建立vlan 3 ,6, 9:[SW1]vlan batch 3 6 9
②建立多個連續的vlan:
例如,一次性建立vlan 10,11,12,13:[SW1]vlan batch 10 to 13
2、接口劃分進對應的vlan
(1)先進入接口:[SW1]int e0/0/1
(2)設定該接口的鍊路類型:[SW1-Ethernet0/0/1]port link-type access
(3)将該接口劃分進對應的vlan:[SW1-Ethernet0/0/1]port default vlan 2
補:交換機根據連接配接對象的不同,會有不同的鍊路類型。
①如果連接配接對象是PC機,那麼鍊路類型為access(接入類型),要注意的是,access這種類型的接口隻能屬于一個vlan。
②如果連接配接對象是交換機,那麼鍊路類型為trunk(主幹類型),要注意的是,trunk不屬于任何vlan,它是一條公有鍊路,用來在單條鍊路上承載不同的vlan流量,讓其通過。
三、不同Vlan間不能通信
1、拓撲圖如下圖所示:三台pc機分别通過e0/0/1連接配接到SW1的e0/0/1、e0/0/2、e0/0/3接口,三台主機的IP分别設定為192.168.1.10/24、192.168.1.20/24、192.168.1.30/24。
2、我們知道,交換機連接配接相同網段的裝置,故按理論上來說,這三台主機是可以互相間進行通信的。但是我們還是需要實驗來證明,如下圖所示,PC1分比别pingPC2和PC3的IP位址,發現都是通的,是以它們之間可以互相通信。
3、但是如果我們要求它們不能進行互相間通信,該怎麼辦呢?
這就要建立靜态vlan,三個接口分别設定上不同的vlan就不能通信了。
(1)首先在交換機上一次性建立三個vlan2、vlan3、vlan5,然後用display vlan配置指令檢視是否成功,如下圖所示,可以看到已經成功建立。
(2)接着按接口進行對應的vlan劃分,操作如下圖所示。
(3)按照上面完成操作後,我們繼續在PC1上pingPC2和PC2的IP位址,發現發送的資料包全部丢失,是以它們就不能互相進行通信了。
四、驗證相同Vlan間實作通信
1、情況一:同一台交換機相同vlan間通信
拓撲圖如下圖所示:
(1)交換機上的配置:
(2)接着就是用PC1 ping PC3、PC4的IP位址。可以看到PC1能ping通PC3,但是不能ping通PC4,因為PC1和PC3是相同的vlan10,而PC4劃分的是vlan20,是以不能ping通。
2、情況二:跨交換機實作相同vlan間通信
拓撲圖如下圖所示:
(1)兩台交換機上的配置:
(2)接着就是用PC1 ping PC4、PC5的IP位址。可以看到PC1能ping通PC4,但是不能ping通PC5,因為PC1和PC4是相同的vlan10,而PC5劃分的是vlan20,是以不能ping通。
vlan跨交換機的整個過程:PC機經過發送方交換機某個接口發送資料,此時交換機會對應vlan資訊表,給經過某接口的資料打上對應的标簽,打上對應标簽的資料經由trunk(主幹)鍊路驗證這個vlan ID是不是在trunk鍊路的白名單範圍内,如果在,無條件放行;如果不在,則該流量不予通過。當打了标簽的資料到達接收方交換機後,接收方交換機會解開這個資料對應的vlan标簽,對照本地mac位址表和vlan資訊表,将此資料轉發到該vlan對應的端口上。
五、單臂路由實作不同vlan間通信
1、單臂路由實作:一台二層交換機、一台路由器、兩台PC機。
拓撲塗如下所示:
(1)交換機上的操作如圖所示:
(2)路由器上的操作如圖所示:
注意:路由器的實體接口預設是關閉的,需要手動開啟,指令為undo shutdown,而交換機接口是預設開啟的。
(3)接着就是用PC1ping 192.168.10.1、192.168.20.1、192.168.20.10看是否能實作通信,結果顯示通過單臂路由能實作不同vlan間互相通信。
六、總結
1、沖突域與廣播域
2、vlan劃分以及配置指令
3、相同vlan間通信(一台交換機、兩台交換機)和不同vlan間通信的驗證(單臂路由:一台交換機和一台路由器)