VLAN基础配置
VLAN基础配置
实验内容
VLAN级联的静态配置;
通过GVRP协议实现的VLAN级联的动态配置;
端口Hybrid特性配置;
PVlan特性配置。
VLAN级联静态配置
实验目的
掌握VLAN级联的基本配置。
实验环境
2~3台S3000系列交换机,4台PC。
实验组网图
实验组网图
实验步骤
实验基本配置准备
本实验的主要目的是掌握VLAN的基本配置。在完成VLAN的相关配置之后,
要求能够达到同一VLAN内的PC可以互通,不同VLAN间的PC不能互通的
目的。首先按照上图连接各实验设备,然后配置PCA IP地址为10.1.1.2/24,
PCB IP地址为10.1.2.2/24,PCC IP地址为10.1.1.3/24,PCD IP地址为
10.1.2.3/24。
具体的配置如下:
配置交换机端口属于特定VLAN
[Quidway]sysname S3026A
[S3026A]vlan 2
[S3026A-vlan2]port Ethernet 0/9 to e0/16
[S3026A-vlan2]vlan 3
[S3026A-vlan3]port Ethernet 0/17 to e0/24
[Quidway]sysname S3026B
[S3026B]vlan 2
[S3026B-vlan2]port Ethernet 0/9 to e0/16
[S3026B-vlan2]vlan 3
[S3026B-vlan3]port Ethernet 0/17 to e0/24
当配置交换机端口属于特定VLAN时,有两种方法:一种是上面介绍的在
VLAN配置模式下进行,另一种是在端口配置模式下进行,大家有兴趣可以试
试看。
配置交换机之间的端口为Trunk端口,并且允许所有VLAN通过
[S3026A]int e0/1
[S3026A-Ethernet0/1]port link-type trunk //设置端口工作在trunk模式(系
统默认为access模式)
[S3026A-Ethernet0/1]port trunk permit vlan all //允许所有VLAN通过Trunk
端口
[S3026B]int e0/1
[S3026B-Ethernet0/1]port link-type trunk
[S3026B-Ethernet0/1]port trunk permit vlan all
配置完成后,可以看到,同一VLAN内部的PC可以互相访问,不同VLAN 间的PC不能够互相访问。
在S3026A和S3026B之间增加交换机S3526C,同样实现上述实验目标:VLAN内互通,VLAN间隔离。组网图如下:
继续上面的实验,这时候,我们需要修改三台交换机e0/1和e0/2接口的配置。
配置步骤如下:
配置三台交换机之间链路为trunk链路
[Quidway]sysname S3526C
[S3526C]int e0/1
[S3526C-Ethernet0/1]port link-type trunk
[S3526C-Ethernet0/1]port trunk permit vlan all
[S3526C-Ethernet0/1]int e0/2
[S3526C-Ethernet0/2]port link-type trunk
[S3526C-Ethernet0/2]port trunk permit vlan all
完成上述配置之后,我们可以测试一下VLAN内的主机之间是否可以ping通。结果是否定的,这是因为在交换机S3526C没有配置VLAN2和VLAN3,所以来自VLAN2和VLAN3的帧不能通过。必须在交换机上创建VLAN2和VLAN3,这样,这二个VLAN的帧才能够通过S3526C。
在S3526C上创建VLAN2和VLAN3
[S3526C]vlan 2
[S3526C-vlan2]vlan 3
思考题:如果S3026A和S3026B之间连接了多台交换机,是否需要在每一台交换机上都创建VLAN2和VLAN3?如果接入用户的交换机配置了许多VLAN,是否需要在每一台交换机上都创建这些VLAN?
答案是肯定的。如果VLAN众多,这样的静态VLAN配置工作会很复杂。通过GVRP协议,在交换机上动态的创建和注册VLAN,避免了手工配置之苦。
VLAN级联动态配置
实验目的
学习GVRP协议动态创建和注册VLAN信息。了解GVRP动态注册VLAN的
过程和端口上注册VLAN的三种方法。
实验环境
2~3台S3000系列交换机,4台PC。
实验组网图
实验组网图
实验步骤
具体的配置如下:
延续上面的实验配置。
删除S3526上的VLAN创建:
[S3526C]undo vlan 2
[S3526C]undo vlan 3
在三台交换机上配置VLAN动态注册协议——GVRP:
首先在系统配置模式下启用GVRP协议。
[S3526C]gvrp
GVRP is enabled globally
然后在每一个trunk端口启用GVRP协议。
[S3526C]int e0/1
[S3526C-Ethernet0/1]gvrp
GVRP is enabled on port Ethernet0/1
[S3526C-Ethernet0/1]int e0/2
[S3526C-Ethernet0/2]gvrp
GVRP is enabled on port Ethernet0/2
在S3026A和S3026B上进行相同的配置,即在系统模式下和端口模式下分别启用GVRP协议。然后我们可以用下面的命令来察看配置的GVRP信息和VLAN信息。我们可以看到,在S3526C上,GVRP已经启用,并且自动学习创建了VLAN2和VLAN3。
[S3526C]display gvrp statistics
GVRP statistics on port Ethernet0/1
GVRP Status : Enabled
GVRP Failed Registrations : 0
GVRP Last Pdu Origin : 00e0-fc07-7085
GVRP Registration Type : Normal
GVRP statistics on port Ethernet0/2
GVRP Status : Enabled
GVRP Failed Registrations : 0
GVRP Last Pdu Origin : 00e0-fc07-7089
GVRP Registration Type : Normal
[S3526C]display vlan
Now, the following VLAN exist(s):
1(default), 2-3
3. 接下来我们可以通过如下的方法来观察一下GVRP注册VLAN信息的过程:
首先在交换机S3026A上手动添加一个VLAN5
[S3026A]vlan 5
然后在三台交换机上分别查看VLAN信息如下:
[S3026B-Ethernet0/1]dis vlan
VLAN function is enabled.
Now, the following VLAN exist(s):
1(default), 2-3, 5
[S3026B-Ethernet0/1]dis vlan
VLAN function is enabled.
Now, the following VLAN exist(s):
1(default), 2-3, 5
[S3526C-Ethernet0/2]dis vlan
Now, the following VLAN exist(s):
1(default), 2-3, 5
现在我们可以看到在另外两台交换机上都已经动态添加了有关VLAN5的信息。
然后再看看有关的Trunk接口上又是怎么一回事:
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3, 5
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
1099 packets output
98522 bytes, 158 multicasts, 176 broadcasts, 0 pauses
998 packets input
81803 bytes, 166 multicasts, 71 broadcasts, 0 pauses
0 CRC errors
0 long frames
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-707c Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3, 5
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
1092 packets output
91028 bytes, 109 multicasts, 86 broadcasts, 0 pauses
1264 packets input
104679 bytes, 253 multicasts, 106 broadcasts, 0 pauses
0 CRC errors
0 long frames
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380 Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
MTU: 1500, Maximum Frame Length: 25608752
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3, 5
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
Last 5 minutes output: 0 packets/sec, 0 bytes/sec
Last 5 minutes input: 0 packets/sec, 0 bytes/sec
input: 1314 packets, 116004 bytes
184 broadcasts, 192 multicasts
input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC
1152 frame, - overruns, aborts, 0 ignored, - parity errors Output: 1211 packets, 99117 bytes
80 broadcasts, 197 multicasts, 0 pauses
Output: - output errors, 0 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
Ethernet0/2 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380 Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
MTU: 1500, Maximum Frame Length: 25608752
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
Last 5 minutes output: 0 packets/sec, 0 bytes/sec
Last 5 minutes input: 0 packets/sec, 0 bytes/sec
input: 1168 packets, 97347 bytes
89 broadcasts, 116 multicasts
input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC
1081 frame, - overruns, aborts, 0 ignored, - parity errors
Output: 1354 packets, 112066 bytes
109 broadcasts, 274 multicasts, 0 pauses
Output: - output errors, 0 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
现在我们发现在S3026A的Trunk接口e0/1上已经允许VLAN5通过,同样S3026B和S3526C的e0/1接口上也已经VLAN5,但是S3526C的e0/2接口上却只允许VLAN1,2,3通过,VLAN5不能通过,这是为什么呢?
实际上这也是GVRP进行VLAN注册的一条规则,由于交换机S3026B上没有手工配置VLAN5,也就是说S3026B上没有VLAN5的成员,所以S3026B 和S3526C之间的Trunk链路就不应该让VLAN5的帧通过。下面我们可以通过在S3026B上配置VLAN5来进行验证:
[S3026B]vlan 5
[S3026B-vlan5]port e0/3
Dynamic VLAN is configured, now changed to static!
由于交换机S3026B上已经动态注册了VLAN5,所以需要通过添加端口来将VLAN改变为静态VLAN。
Ethernet0/2 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
MTU: 1500, Maximum Frame Length: 25608752
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3, 5
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
Last 5 minutes output: 0 packets/sec, 0 bytes/sec
Last 5 minutes input: 0 packets/sec, 0 bytes/sec
input: 4065 packets, 337496 bytes
253 broadcasts, 370 multicasts
input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC
3765 frame, - overruns, aborts, 0 ignored, - parity errors
Output: 4606 packets, 373337 bytes
240 broadcasts, 903 multicasts, 0 pauses
Output: - output errors, 0 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
在S3026B上已经有了VLAN5的成员之后,S3526C的e0/2接口开始允许VLAN5通过。
在交换机的Trunk端口上,VLAN的GVRP注册有三种方法:normal、fixed 和forbidden。其中normal是默认的注册方法,表示允许在该端口手工或动态创建、注册和注销VLAN。下面我们分别来看看其他两种方法:
首先在S3026A上进行如下配置:
[S3026A-Ethernet0/1]gvrp registration fixed
fixed表示允许在该端口手工创建和注册VLAN,不允许动态注册或注销VLAN。也就是说S3026A的端口Ethernet0/1不会接受从对端来的动态VLAN 信息。
下面在S3026B上添加一个新的VLAN,配置如下:
[S3026B]vlan 7
[S3026B-vlan7]dis vlan
VLAN function is enabled.
Now, the following VLAN exist(s):
1(default), 2-3, 5, 7
在另外两台交换机上查看VLAN如下:
Now, the following VLAN exist(s):
1(default), 2-3, 5, 7
VLAN function is enabled.
Now, the following VLAN exist(s):
1(default), 2-3, 5
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan), 2-3, 5
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
647 packets output
52285 bytes, 97 multicasts, 27 broadcasts, 0 pauses
809 packets input
66183 bytes, 228 multicasts, 54 broadcasts, 0 pauses
0 CRC errors
0 long frames
可以看到S3026A上没有注册VLAN7。
下面我们再来看看如何应用forbidden:
在S3026A上进行如下配置:
[S3026A-Ethernet0/1]gvrp registration forbidden
forbidden表示在端口将注销除VLAN1之外的所有其它VLAN,并且禁止在该端口创建和注册任何其它VLAN。
然后我们可以在查看一下S3026A的端口e0/1:
[S3026A-Ethernet0/1]dis int e0/1
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: trunk
VLAN passing : 1(default vlan)
VLAN allowed : 1(default vlan), 2-4094
Trunk port encapsulation: IEEE 802.1q
929 packets output
74705 bytes, 143 multicasts, 35 broadcasts, 0 pauses 1173 packets input
94456 bytes, 348 multicasts, 70 broadcasts, 0 pauses 0 CRC errors
0 long frames
现在只有VLAN1可以通过端口e0/1。
配置交换机端口属于特定VLAN
[Quidway]sysname S3026A
[S3026A]vlan 2
[S3026A-vlan2]port Ethernet 0/9 to e0/16
[S3026A-vlan2]vlan 3
[S3026A-vlan3]port Ethernet 0/17 to e0/24
Hybrid端口配置
实验目的
掌握Hybrid端口的基本特性,了解其常见应用。
实验环境
2~3台S3000系列交换机,4台PC。
实验组网图
实验组网图
实验步骤
实验基本配置准备
本实验完成以下配置:配置交换机之间的端口为Hybrid端口,并且允许VLAN2
和VLAN3的帧通过Hybrid端口,并且VLAN2的帧在Hybrid端口打上VLAN2
的tag,VLAN3的帧不打tag。
具体的配置如下:
由于当交换机上有Trunk端口存在时不能配置Hybrid,所以我们需要先把
Trunk端口改成Access端口。命令如下:
[S3026A-Ethernet0/1]port link-type access
在S3026B和S3526C上也作同样的配置。同时也要在S3526C上配置VLAN2和VLAN3,因为Trunk取消之后,GVRP也随之取消了。
配置交换机之间的端口为Hybrid端口(注意,连接PC的端口不能配为Hybrid 端口):
[S3026A-Ethernet0/1]port link-type hybrid
在S3026B的e0/1端口和S3526C的e0/1、e0/2端口上也作同样的配置
下面查看S3026A的端口信息如下:
[S3026A-Ethernet0/1]dis int e0/1
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: hybrid
Tagged VLAN ID : none
Untagged VLAN ID : 1
1292 packets output
101041 bytes, 423 multicasts, 118 broadcasts, 0 pauses
2027 packets input
152720 bytes, 1119 multicasts, 153 broadcasts, 0 pauses
0 CRC errors
0 long frames
从上面的信息可以看出PVID为1,Tagged VLAN ID没有配置,而Untagged VLAN ID默认为1。
配置VLAN2打tag,VLAN3不打tag。
[S3026A-Ethernet0/1]port hybrid vlan 2 tagged
[S3026A-Ethernet0/1]port hybrid vlan 3 untagged
在交换机S3026B的端口e0/1和S3526C的端口e0/1、e0/2上进行相同的配置。
下面查看S3026A的端口信息如下:
[S3026A-Ethernet0/1]dis int e0/1
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: hybrid
Tagged VLAN ID : 2
Untagged VLAN ID : 1, 3
1539 packets output
122085 bytes, 480 multicasts, 266 broadcasts, 0 pauses
2243 packets input
172338 bytes, 1178 multicasts, 270 broadcasts, 0 pauses
0 CRC errors
0 long frames
从上面的信息可以看出PVID为1,Tagged VLAN ID为2,而Untagged VLAN ID为1和3。
然后我们可以分别查看VLAN2和VLAN3的信息如下:
VLAN ID: 2
VLAN Type: static
Route Interface: not configured
Description: VLAN 0002
Tagged Ports:
Ethernet0/1
Untagged Ports:
Ethernet0/9 Ethernet0/10 Ethernet0/11
Ethernet0/12 Ethernet0/13 Ethernet0/14
Ethernet0/15 Ethernet0/16
VLAN ID: 3
VLAN Type: static
Route Interface: not configured
Description: VLAN 0003
Tagged Ports: none
Untagged Ports:
Ethernet0/1 Ethernet0/17 Ethernet0/18
Ethernet0/19 Ethernet0/20 Ethernet0/21
Ethernet0/22 Ethernet0/23 Ethernet0/24
在VLAN2中,已经有一个tagged port:e0/1。
实际上对于一个以太网帧来说,从主机到交换机接入端口这一段是没有VLAN tag的,这是因为一般的计算机并不能识别VLAN tag的。而当以太网帧在通过Hybrid端口发往另一台交换机之前,就已经打上了相应的VLAN tag以作区别。对于来自不同VLAN的帧,Hybrid端口会根据配置作不同的处理。
以上面的配置为例,当一个从VLAN2来的帧从S3026A的Hybrid端口e0/1发往对端S3526C的e0/1时,S3026A的e0/1端口不会对它作任何处理,而当这个帧到达对端时,(对端也是一样的配置)S3526C的e0/1端口会检查它的VLAN tag,发现VLAN2是Tagged VLAN ID,于是S3526C的e0/1端口不会改变以太网帧的tag,并向相应正确的端口进行转发。
当一个从VLAN3来的帧从S3026A的Hybrid端口e0/1发往对端S3526C的e0/1时,则会被去掉VLAN3的tag。当这个帧到达对端时,(对端也是一样的配置)S3526C的e0/1端口会检查它的VLAN tag,发现是没有VLAN tag 的,则认为该帧属于VLAN 1(PVID为1),不会向VLAN 3的端口转发。
这样配置完成后,VLAN2内的PC可以互相ping通,VLAN3内部的PC不能够互相ping通。
如果我们设置Hybrid端口的PVID为3,这样,没有VLAN tag的帧将被认为属于VLAN 3,VLAN3内的主机可以通信。
[S3026A-Ethernet0/1]port hybrid pvid vlan 3
在交换机S3026B的端口e0/1和S3526C的端口e0/1、e0/2上进行相同的配置。
Ethernet0/1 is up
Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control: disabled
Broadcast MAX-ratio: 100%
PVID: 3
Mdi type: auto
Port link-type: hybrid
Tagged VLAN ID : 2
Untagged VLAN ID : 1, 3
4962 packets output
395464 bytes, 523 multicasts, 959 broadcasts, 0 pauses
5105 packets input
410851 bytes, 1222 multicasts, 405 broadcasts, 0 pauses
0 CRC errors
0 long frames
小结:
Hybrid端口是介于Access端口和Trunk端口之间的一种端口属性,通过Hybrid端口的设置,可以配置部分VLAN的帧可以打上VLAN标记,另一部分VLAN在通过交换机间链路时,不打VLAN标记,从而实现对部分VLAN 隔离的目的。当然,如果您对所有VLAN在Hybrid端口都配置为Untagged,那么交换机之间的所有VLAN都被隔离,满足一些特殊应用。
PVLAN配置
实验目的
掌握PVLAN特性和基本应用。
实验环境
2台S3000系列交换机。
实验组网图
实验组网图
实验步骤
实验基本配置准备
从VLAN的帧格式我们知道VLAN ID域占用12个bit位,所以可以表示的
VLAN范围为:0-4095(实际上用户可用的为1-4094)。这样的一个范围对
于任何一个企业局域网或者是校园网都可以说已经足够,但是运营商在小区
宽带接入的快速发展中,形成了不计其数的用户,而这些用户又不希望受到
其它用户的直接访问和攻击。这时候我们如果为每个用户都分配一个VLAN
ID来隔离他们,就显得VLAN ID不够用。利用PVLAN,即双层VLAN技术
就可以很好的解决这一问题。
在PVLAN中,一台交换机上存在Primary VLAN和Secondary VLAN。一个
Primary VLAN和多个Secondary VLAN对应,Primary VLAN包含所对应的
所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,
只须识别下层交换机中的Primary VLAN,而不必关心Primary VLAN中包含
的S econdary VLAN,简化了配置,节省了VLAN资源。用户可以采用PVLAN
vlan端口划分的基本配置
Vlan端口的基本划分配置 使用vlan的好处: 便于管理,避免大范围网络风暴,安全性较好,提高网络传输效能 创建vlan10,vlan20 [Huawei]vlan 10 [Huawei-vlan10]vlan 20 将相应的端口设为access模式然后划分到相应的vlan当中[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 20 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/3 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/4 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 20 [Huawei-GigabitEthernet0/0/1]quit [Huawei]quit
一个典型局域网的VLAN配置过程
一个典型局域网的VLAN配置过程 步骤命令及注释说明 1、设置vtp domain vlan database 进入vlan配置模式 vtp domain com 设置vtp管理域名称 com vtp server 设置交换机为服务器模式 vtp client 设置交换机为客户端模式 vtp domain 称为管理域,交换 vtp更新信息的所有交换机必须 配置为相同的管理域。核心交换 机和分支交换机都要配置 2、配置中继interface fa0/1 进入端口配置模式 switchport switchport trunk encapsulation isl 配置中 继协议 switchport mode trunk 核心交换机上以上都要配置,不过在分支交换机进入端口模式只配置这个命令就可以了 3、创建vlan vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan。创建vlan一旦建立了管理域,就可以创建vlan了。在核心交换机上配置 4、将交换机端口划入vlan switchport access vlan 10 归属counter vlan 在分支交换机的端口配置模式下 配置。 5、配置三层交换interface vlan 10 ip address 172.16.58.1 255.255.255.0 给 vlan10配置ip 在核心交换机上配置 常见的VLAN配置类型 名称简介及优缺点适用范围 基于端口划分的VLAN 按VLAN交换机上的物理端口和内部的PVC(永久虚电路)端 口来划分。 优点:定义VLAN成员时非常简单,只要将所有的端口都定义为相 应的VLAN组即可。 缺点:如果某用户离开原来的端口到一个新的交换机的某个端口, 必须重新定义。 适合于任何大小 的网络 基于MAC地 址划分VLAN 这种划分VLAN的方法是根据每个用户主机的MAC地址来划 分。 优点:当用户物理位置从一个交换机换到其他的交换机时,VLAN 不用重新配置。 缺点:初始化时,所有的用户都必须进行配置。适用于小型局域网。 基于网络层协议划分VLAN VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk 等VLAN网络。 优点:用户的物理位置改变了,不需要重新配置所属的VLAN,而 且可以根据协议类型来划分VLAN,并且可以减少网络通信量,可 使广播域跨越多个VLAN交换机。 缺点:效率低下。 适用于需要同时 运行多协议的网 络 根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组 就是一个VLAN。 优点:更大的灵活性,而且也很容易通过路由器进行扩展。 缺点:适合局域网,主要是效率不高。 适合于不在同一 地理范围的局域 网用户组成一个 VLAN 按策略划分VLAN 基于策略的VLAN能实现多种分配,包括端口、MAC地址、IP 地址、网络层协议等 适用于需求比较 复杂的环境
交换机Vlan配置
实验三交换机的VLAN配置 一、实验目的 1. 理解理解Trunk链路的作用和VLAN的工作原理 2. 掌握交换机上创建VLAN、接口分配 3.掌握利用三层交换机实现VLAN间的路由的方法。 二、实验环境 本实验在实验室环境下进行操作,需要的设备有:配置网卡的PC机若干台,双绞线若干条,CONSOLE线缆若干条,思科交换机cisco 2960两台。 三、实验容 1. 单一交换机的VLAN配置; 2. 跨交换机VLAN配置,设置Trunk端口; 3. 测试VLAN分配结果; 4.在三层交换机上实现VLAN的路由; 5.测试VLAN间的连通性 四、实验原理 1.什么是VLAN VLAN是建立在局域网交换机上的,以软件方式实现逻辑工作组的划分与管理,逻辑工作组的站点不受物理位置的限制,当一个站点从一个逻辑工作组移到另一个逻辑工作组时,只需要通过软件设定,而不需要改变它在网络中的物理位置;当一个站点从一个物理位置移动到另一个物理位置时,只要将该计算机连入另一台交换机,通过软件设定后该计算机可成为原工作组的一员。 相同VLAN的主机可以相互直接通信,不同VLAN中的主机之间不能直接通信,需要借助于路由器或具有路由功能的第三层交换机进行转发。广播数据包只可以在本VLAN进行广播,不能传输到其他VLAN中。 2.交换机的端口 以太网交换机的每个端口都可以分配给一个VLAN,分配给同一个VLAN的端口共享广播域,即一个站点发送广播信息,同一VLAN中的所有站点都可以接收到。 交换机一般都有三种类型的端口:TRUNK口、ACCESS口、CONSOLE口。 ?CONSOLE端口:它是专门用于对交换机进行配置和管理的。通过Console 端口连接并配置交换机,是配置和管理交换机必须经过的步骤。 ?ACCESS口(默认):ACCESS端口只能通过缺省VLAN ID的报文。
配置vlan(三)
配置VLAN(三) 作者:田伟聪 3.1 实验内容与目标 完成本实验,您应该能够: ●掌握VLAN的基本工作原理 ●掌握access链路端口和trunk链路端口的基本配置 3.2 实验组网图 图3-1 VLAN实验环境图 3.3 实验过程 实验任务一:配置access链路端口 本实验任务通过在交换机上配置access链路端口而使pc间处于不同VLAN,隔离pc 间的访问,从而使学生加深对access链路端口的理解。 步骤一:建立物理连接 按照图3-1进行连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请在用户模式下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化。 以上步骤会用到以下命令:
The following VLANs exist: 1(default) [swa]display vlan 1 VLAN ID: 1 VLAN Type: static Route Interface: not configured Description: VLAN 0001 Tagged Ports: none Untagged Ports: Ethernet1/0/1 Ethernet1/0/2 Ethernet1/0/3 Ethernet1/0/4 Ethernet1/0/5 Ethernet1/0/6 Ethernet1/0/7 Ethernet1/0/8 Ethernet1/0/9 Ethernet1/0/10 Ethernet1/0/11 Ethernet1/0/12 Ethernet1/0/13 Ethernet1/0/14 Ethernet1/0/15 Ethernet1/0/16 Ethernet1/0/17 Ethernet1/0/18 Ethernet1/0/19 Ethernet1/0/20 Ethernet1/0/21 Ethernet1/0/22 Ethernet1/0/23 Ethernet1/0/24 GigabitEthernet1/1/1 GigabitEthernet1/1/2 GigabitEthernet1/1/3 GigabitEthernet1/1/4 [swa]display interface Ethernet 1/0/1 ...... PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1 Port priority: 0 ...... 从以上输出可知,交换机上的缺省VLAN是vlan 1,所有的端口处于vlan 1中;端口的pvid 是1,且是access链路端口类型。 步骤三:配置VLAN并添加端口 分别在swa和swb上创建vlan 2,并将pca和pcc所连接的ethernet 1/0/1端口添加到vlan 2中。 配置swa: [swa]vlan 2 [swa-vlan2]port ethernet 1/0/1 配置swb: [swb]vlan 2 [swb-vlan2]port ethernet 1/0/1 在交换机上查看有关vlan 2的信息,如下所示: [swa]display vlan Total 2 VLAN exist(s). The following VLANs exist:
Vlan配置
8VLAN配置 本章描述如何配置IEEE802.1Q VLAN 8.1概述 VLAN是虚拟局域网(Virtual Local Area Network)的简称,它是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层网络。VLAN的划分不受网络端 口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性,除了没有物理位 置的限制,它和普通局域网一样。第二层的单播、广播和多播帧在一个VLAN内转发、 扩散,而不会直接进入其他的VLAN之中。所以,如果一个端口所连接的主机想要和 其它不在同一个VLAN的主机通讯,则必须通过一个三层设备,见下图。 可以把一个端口定义为一个VLAN的成员,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。当在VLAN中增加、删除和修改用 户的时候,不必从物理上调整网络配置。 和一个物理网络一样,VLAN通常和一个IP子网联系在一起。一个典型的例子是,所有在同一个IP子网中的主机属于同一个VLAN,VLAN之间的通讯必须通过三层设备。 锐捷的三层设备可以通过SVI接口(Switch Virtual Interfaces)来进行VLAN之间的 IP路由。关于SVI的配置,请见接口管理配置及IP单播路由配置。 8.1.1支持的VLAN
产品支持的VLAN遵循IEEE802.1Q标准,最多支持4094个VLAN(VLAN ID 1-4094),其中VLAN 1是不可删除的默认VLAN。 ?许可配置的VLAN ID范围为1-4094 ?当硬件资源不足的情况下,系统将返回创建VLAN失败信息。 8.1.2VLAN成员类型 可以通过配置一个端口的VLAN成员类型,来确定这个端口能通过怎样的帧,以及这个端口可以属于多少个VLAN。关于VLAN成员类型的详细说明,请看下表: Step 1 Step 2 8.2配置VLAN 一个VLAN是以VLAN ID来标识的。在设备中,您可以添加、删除、修改VLAN 2-4094,而VLAN 1是由设备自动创建,并且不可被删除。 可以在接口配置模式下配置一个端口的VLAN成员类型或加入、移出一个VLAN。 8.2.1VLAN配置信息的保存 当您在特权命令模式下输入copy running-config startup-config命令后,VLAN的配置信息便被保存进配置文件。要查看VLAN配置信息,可以使用show vlan命令。 8.2.2缺省的VLAN配置
VLAN构建与配置
VLAN构建与配置 【实验目的】 通过该实验理解VLAN的基本概念,掌握在二层交换机上创建VLAN的方法。 【实验任务】 1、按照给出的参考拓扑图构建逻辑拓扑图。 2、按照给出的配置参数表配置各个设备。 3、在二层交换机上构建VLAN。 4、测试同一VLAN中的连通性。 5、利用三层路由器实现VLAN间通信。(进阶) 【实验背景】 虚拟局域网VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理网段的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:1)减少网络设备的移动、添加和修改的管理开销; 2)可以控制广播活动; 3)可提高网络的安全性。 在实际应用中,假设某企业有3个主要部门:销售部,技术部和后勤部。这些部门的计算机分散连到2台交换机上,如要实现部门之间能相互通信,部门之间不能访问的需求就需要配置Vlan。 【实验拓扑与配置参数】 实验的参考拓扑图和参考配置参数如图所示。 图5.1 参考拓扑图 表5.1 配置参数表
【实验设备】 两台2950交换机,PC机6台,直通线缆6根,交叉线缆1根。(本实验在packet tracer 5.3环境下完成) 【实验步骤】 步骤1参考附录中PackeTracer4.0的使用方法,按照图5.1参考拓扑图构建逻辑拓扑图。并按照表5.1参数配置表配置各个设备。 步骤2 在交换机Switch A上创建三个vlan(vlan10,20,30)并分别命名 (v10,v20,v30)。 (以交换机Switch A 为例,同样配置Switch B) 步骤2.1创建Vlan 10并命名为v10: Switch# configure terminal Switch(config) #hostname SwitchA // 交换机改名 SwitchA(config)# vlan 10 SwitchA(config-vlan)# name v10 // 创建Vlan并命名为v10 步骤2.2 创建Vlan 20并命名为v20: SwitchA(config)#vlan 20 Switch A(config-vlan)#name v20 // 创建Vlan并命名为v20 步骤2.3创建Vlan 30并命名为v30: SwitchA(config)#vlan 30 SwitchA(config-vlan)#name v30 // 创建Vlan并命名为v10 步骤3把端口划分到VLAN中去. ( 端口Fa0/5划到v10, 端口Fa0/10划到v20, 端口Fa0/15划到v30, )
交换机的VLAN配置
第3章项目二——交换机的V L A N配置【职业能力目标】 1)根据实际需要,实现单交换机Port VLAN配置。 2)根据实际需要,实现两交换机TAG VLAN配置,达到不同交换机与同一VLAN 内主机相通信的目的。 3)网络管理员能根据实际应用需求,通过对交换机VLAN配置,全面管理企业内部不同管理单元之间的数据通信,简化网络管理、提高网络的安全性。 任务1——交换机VLAN的建立 3.1.1任务情境 你是某公司的网络管理员,公司有财务部、计划部、销售部等部门,为了公司的管理更加安全与便捷,公司领导要求你组建公司局域网,使各个部门内部主机之间的业务往来可以通信,但部门之间为了安全禁止互访。 3.1.2任务分析 为了完成公司领导提出的任务,实现部门之间安全有效的互访,我们将交换机划分成几个VLAN,使每个部门的主机在一个相同VLAN内。具体划分为:财务部(PC101、102)在VLAN100中,VLAN100包括Fa 0/1~Fa 0/8端口;计划部(pc201、
202)在VLAN200中,VLAN200包括Fa 0/9~Fa 0/16端口;销售部(pc301)在VLAN300中,VLAN300包括Fa 0/17~Fa 0/24端口。这样,在同一VLAN内的主机可以相互访问,不同VLAN内的主机不能相互访问,达到公司要求。拓扑图如图3-1所示。 任务实施 1.配置各个PC机的IP地址 在Packet Tracer中单击PC101,在弹出的窗口中单击“桌面”选项卡下的“IP 地址配 置”选 项,得到 图3-2, 在该窗 口下配 置PC101
的IP地址。按照同样方法,分别配置好图3-1所示的其他PC机的IP地址。由于所有计算机在同一网络地址内,因此这里没有配置网关地址。 2.创建VLAN并分配端口 switchA>enable switchA#configure terminal Enter configuration commands, one per line. End with CNTL/Z. switchA(config)#vlan 100 switchA(config-vlan)#vlan 200 switchA(config-vlan)#vlan 300 switchA(config-vlan)#exit switchA(config)#int range fastEthernet 0/1-8 switchA(config-if-range)#switchport mode access switchA(config-if-range)#switchport access vlan 100 switchA(config-if-range)#exit switchA(config)#interface range fastEthernet 0/9-16
思科交换机VLAN配置
配置C i s c o交换机V L A N配置 进入特权模式 Switch#en 进入配置模式 Switch#config 创建VLAN: Switch(config)# vlan10 (创建VLAN) 给VLAN 起名字 Switch#config Switch(config)# valn 20 Switch(vlan)# name neiwang Switch(vlan)#ex 分配端口(将f 0/1-f 0/10端口划归vlan20,f 0/11-f 0/24端口划归vlan30): Switch(config)#int range f0/1-10(多端口) Switch(config-if-range)#switchport mode access(必须) Switch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#ex Switch(config)#int range f0/11-24 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 30 Switch(config-if-range)#ex 设置VLAN的IP地址 Switch#config Switch(config)#int vlan 20 1 Switch(config-if)#no shutdown Switch(config-if)#ex Switch(config)#int vlan 30 Switch(config-if)#ip address shutdown Switch(config-if)#ex Switch(config)#ex Switch#ex 保存设置 Switch#wr 设置一台交换机VLAN之间互通写路由
VLAN基础配置
实验九VLAN基础配置 5.2.1实验目的 掌握VLAN级联的基本配置。 5.2.2实验内容 通过交换机基本配置命令实现VLAN级联的静态配置。 5.2.3实验环境 1台S6506,一台S3026,4台PC。实验拓扑图如下: PCA VLAN2 PCC VLAN2 PCD VLAN3 PCB VLAN3 图5-3 5.2.4实验步骤 在完成VLAN的相关配置后,要求能够在到同一VLAN内的PC可以互通,不同VLAN 间的PC不能互通。首先按照上图连接各实验设备,然后配置PCA的IP为:10.1.1.2/24,PCB的IP为:10.1.2.2/24,PCC的IP为:10.1.1.3/24,PCD的IP为10.1.2.3.24。具体配置如下: 1.配置VLAN及所属端口 [Quidway]sysname S6506 [S6506]vlan2 [S6506-vlan2]port Ethernet 2/0/9 to e2/0/16 [S6506-vlan2]Vlan3 [S6506-vlan3]Prot Ethernet2 /0/17 to e2/0/24 [Quidway]Sysname S3026 [S3026]Vlan2 [S3026-Vlan2]Port Ethernet 0/9 to e0/16 [S3026-Vlan2]Vlan3 [S3026-Vlan3]Port Ethernet0/17 to e0/24 当配置交换机端口属于特定VLAN时,有两种方法:一种是上面介绍的在VLAN配置模式下进行,另一种是在端口配置模式下进行。 2.配置交换机之间的商品为Trunk端口,并且允许所有VLAN通过 [S6506]Int e2/0/1
CISCO配置VLAN
CISCO配置VLAN ?在交换机S1上配置VLAN ? VLAN编号 1、默认情况下,VLAN 1为本机VLAN和管理VLAN。 2、VLAN 1&&VLAN 1002-1005被预留,不能使用、修改、重命名或删除。 3、编号大于1005的被称为扩展VLAN,一般不会被保存到数据库中。 4、默认情况下,所有端口都属于VLAN 1 ? ?
将交换机端口分配给VLAN 步骤: 1、打开端口(interface f0/3) 2、告诉交换机这是一个非中继第二层端口(switchport mode access) 3、将端口分配给VLAN(switchport access vlan 3)
? ?配置中继端口 1、switchport mode access 将接口设置为永久非中继模式,且将链路设置为非中继链路。(无论另一端是否是非中继接口) 2、switchport mode trunk 将接口设置为永久中继模式,且将链路设置为中继链路。(无论另一端是否是中继接口) (注:一方为trunk,另一方为access,则链路为有限的连接) 3、switchport mode dynamic auto 当另一边为trunk或desirable时:链路为trunk。 当另一边为access或auto时:链路为access。 4、switchport mode dynamic desirable 只有另一边为access,链路方为access。 5、switchport nonegotiate 防止接口生成DTP帧。 只有接口模式为access或trunk时,才可以使用此命令。
迈普交换机VLAN配置
VLAN 7.1 VLAN 7.1.1 VLAN VLAN Virtual Local Area Network VLAN VLAN IEEE 802.1Q VLAN VLAN IEEE802.1Q VLAN VLAN 802.1Q VLAN MAC VLAN IP VLAN IP VLAN VLAN VLAN My Power S41xx 802.1Q VLAN VLAN u VLAN u u 7.1.2 VLAN VLAN u VLAN u VLAN u VLAN
vlan vlan_id vlan vlan_id VLAN VLAN 1 4094 VLAN VLAN 7.1.2.2 VLAN description string String VLAN 32 VLAN VLAN vid 7.1.2.3 VLAN port port-list{forbidden|tagged|untagged} no port port-list port-list VLAN forbidden|tagged|untagged VLAN VLAN 7.1.3 VLAN show vlan [vlan_id] vlan_id VLAN
Switch# show vlan ---- ---- -------------------------------- -------------------------------- NO.VID VLAN-Name P ort N umber ---- ---- -------------------------------- -------------------------------- 11default[U]0/00/10/20/30/4 0/50/60/70/80/9 0/10 0/11 0/12 0/13 0/14 0/15 1/0 1/1 2/0 2 5 VLAN0005 [M]2/1 7.2 VLAN MyPowe S41xx 96 VLAN u IP u VLAN-ID u VLAN u 7.2.1 IP IP IP ip address ipaddress ipmask ipaddress IP ipmask IP 7.2.2 VLAN-ID VLAN VLAN VLAN VLAN VLAN
最新vlan基本配置讲课教案
实验1 vlan的基本配置 步骤1:创建vlan与命名 song#configure terminal !进入全局配置模式 song(config)#vlan 2 ! 输入一个vlan id,如果输入的是一个新的vlan id,则交换机会创建一个vlan,如果输入的是已经存在的vlan id,则修改相应的vlan。在此是创建一个vlan号为2的。并进入vlan 2修改 song(config-vlan)#name test2 !设置vlan 2的名字为test2 song(config-vlan)#end !退回到特权模式 song#show vlan id 2 !查看vlan 2的信息 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 2 test2 active song#write !保存当前所有设置 Building configuration... [OK] 步骤2:把vlan的名字改回缺省名字 song# configure terminal song(config)#vlan 2 song(config-vlan)#no name !将vlan 2的名字改为缺省名字 song(config-vlan)#end song#show vlan id 2 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 2 VLAN0002 active 步骤3:向VLAN分配Access口 song# configure terminal song(config)# interface fastEthernet 0/3 !输入想要加入vlan的interface id song(config-if)# switchport mode access !定义该接口的VLAN成员类型 song(config-if)#switchport access vlan 3 !将这个端口分配到vlan 3中
思科Vlan配置实例
思科Vlan配置实例 实验配置: SW-2L 1、创建VLAN,并将相应端口加入VLAN SW-2L#vlan database SW-2L(vlan)#vlan 10 SW-2L(vlan)#vlan 20 SW-2L(vlan)#vlan 30 SW-2L(config)#interface f0/1
SW-2L(config-if)#switch access vlan 10 SW-2L(config)#interface f0/2 SW-2L(config-if)#switch access vlan 20 SW-2L(config)#interface f0/3 SW-2L(config-if)#switch access vlan 30 2、创建TRUNK SW-2L(config)#interface f0/24 SW-2L(config-if)switch mode trunk SW-3L 1、创建VLAN SW-3L#vlan database SW-3L(vlan)#vlan 10 SW-3L(vlan)#vlan 20 SW-3L(vlan)#vlan30 用show vlan-switch查看 2、创建TRUNK SW-3L(config)#interface f0/24 SW-3L(config-if)#switch mode trunk 3、开启三层交换路由功能 SW-3L(conifg)#ip routing 4、配置VLAN的IP SW-3L(config)#interface vlan 10 SW-3L(config-if)#ip address 192.168.10.254 255.255.255.0 SW-3L(config-if)#no shutdown
H3C交换机基本配置(vlan,dhcp,telnet)
【SwitchA采用全局地址池方式分配地址相关配置】 1. 创建(进入)VLAN10 [SwitchA]vlan 10 2. 将E0/1加入到VLAN10 [SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/12 3. 创建(进入)VLAN接口10 [SwitchA]interface Vlan-interface 10 4. 为VLAN接口10配置IP地址 [SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 基于vlan的dhcp server(H3C3600-EI才支持该服务)配置: 5. 在VLAN接口10上选择全局地址池方式分配IP地址 [SwitchA-Vlan-interface10]dhcp select global 6. 创建全局地址池,并命名为”vlan10” [SwitchA]dhcp server ip-pool vlan10 7. 配置vlan10地址池给用户分配的地址范围以及用户的网关,dns地址 [SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0 [SwitchA-dhcp-vlan10]gateway-list 10.1.1.1 [SwitchA-dhcp-vlan10]dns-list 202.96.209.5 202.96.209.133 8. 禁止分配给用户的ip [SwitchA]dhcp server forbidden-ip 10.1.1.1 10.1.1.23 [SwitchA]dhcp server forbidden-ip 10.1.1.200 10.1.1.250 9.配置vlan接口通过dhcp方式获取ip(缺省情况下vlan接口不通过dhcp方式获取ip)[h3c]int vlan 3 [h3c-vlan-intterface]ip address dhcp-alloc 10.配置trunk: [switch-interface3]port link-type trunk [switch-interface3]port trunk permit vlan 2 4 6 to 10 11,路由配置 [h3c]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 --------------------- telnet配置: [h3c]user-intface vty 0 3 [h3c-vty0 3]authentication-mode password [h3c-vty0 3]set authentication password simple 123456 [h3c-vty0 3]user privilege level 3 设置vty可以执行的命令级别 [h3c]management-vlan 2 设置管理vlan
实验二 基本VLAN设置
实验三基本VLAN设置 [SwitchA]vlan 2 [SwitchA-vlan2]port e0/3 to e0/4 [SwitchA]vlan 3 [SwitchA-vlan3]port e0/5 to e0/6 [SwitchB]vlan 2 [SwitchB-vlan2]port e0/3 to e0/4 [SwitchB]vlan 3 [SwitchB-vlan3]port e0/5 to e0/6 设置计算机的IP为: PCA:10.65.1.1 PCB:10.65.1.2 PCC:10.65.1.3 PCD:10.65.1.4 [root@PCA root]#ping 10.65.1.1 通 [root@PCA root]#ping 10.65.1.2 不通 [root@PCA root]#ping 10.65.1.3 不通 [root@PCA root]#ping 10.65.1.4 不通 将PCA改接到SwitchA E0/2, PCC改接到SwitchB E0/2 [root@PCA root]#ping 10.65.1.3 通(这时都在vlan 1) 再改回来: [S3026A]interface ethernet 0/8 [S3026A-Ethernet0/8]port link-type trunk [S3026A-Ethernet0/8]port trunk permit vlan all [S3026B]interface ethernet 0/1 [S3026B-Ethernet0/1]port link-type trunk [S3026B-Ethernet0/1]port trunk permit vlan all [root@PCA root]#ping 10.65.1.3 通 [root@PCA root]#ping 10.65.1.4 不通 [root@PCB root]#ping 10.65.1.4 通 即:PCA和PCC同在vlan 2 是通的。 PCB和PCD同在vlan 3是通的。 PCA和PCB是不通的。同理PCC和PCD也是不通的。
华为eNSP vlan的基本配置
vlan的基本配置网络拓扑图: 交换机1配置: # sysname ly1 # vlan batch 2 to 3 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface Ethernet0/0/1 port link-type access port default vlan 2 # interface Ethernet0/0/2 port link-type access port default vlan 3 # interface Ethernet0/0/10 port link-type trunk port trunk allow-pass vlan 2 to 4094
# 交换机2配置: # sysname ly2 # vlan batch 2 to 3 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface Ethernet0/0/1 port link-type access port default vlan 2 # interface Ethernet0/0/2 port link-type access port default vlan 3 # interface Ethernet0/0/10 port link-type trunk port trunk allow-pass vlan 2 to 4094 #
vlan配置总结
网络拓扑图 S1配置命令: Switch>enable Switch#config Switch(Config)# switchport interface21 Switch(Config-if
! prompt Switch ! vlan 100 vlan 200 ! ! Interface Admin Vlan ip address 10.1.1.1 255.255.255.0 ! Interface Ethernet1 ! Interface Ethernet2 ! Interface Ethernet3 ! Interface Ethernet4 ! Interface Ethernet5 ! Interface Ethernet6 ! Interface Ethernet7 ! Interface Ethernet8 ! Interface Ethernet9 ! Interface Ethernet10 ! Interface Ethernet11 ! Interface Ethernet12 ! Interface Ethernet13 ! Interface Ethernet14 ! Interface Ethernet15 ! Interface Ethernet16 ! Interface Ethernet17 !
VLAN基本配置命令及说明
VLAN简介: VLAN(Virtual LAN)可以隔离广播域。VLAN工作在OSI的第2层,VLAN是交换机端口的逻辑组合,可以把在同一交换上的端口组合成一个VLAN,也可以把在不同交换机上的端口组合成一个VLAN,一个VLAN就是一个广播域,VLAN 间的通信如果不通过第三层的路由功能是无法通信的。 说明:VLAN间的通信在特殊情况下不借助第三层的路由功能也可以实现。例如: 1:sw1的F0/1和F0/2都是Access模式,都处于Vlan2;sw2的F0/1和F0/2都是Access模式,都处于Vlan3;PC1和PC2也都均处于同一网段,那么这时PC1就可以ping通PC2。 原因:当接口都为Access时,两台交换机都不涉及打、拆标签工作;只有在Trunk的时候交换机才打、拆标签。 2:sw1的F0/1口接入Vlan2,sw2的F0/1口接入Vlan3;sw1和sw2间配置Trunk模式,指定sw1的Native VLAN 为Vlan 2,sw2的Native VLAN为Vlan3;关闭sw1 Vlan2和sw2上Vlan3的spanning-tree。PC1和PC2也都均处于同一网段,那么这时PC1就可以ping通PC2。 原因:Trunk链路发送Native VLAN的数据时不打标签,Trunk链路收到Native VLAN数据时交付到本地的Native VLAN;另外启用spanning-tree时会阻塞某个端口,需要关闭掉阻塞方的spanning-tree。 二层交换网络的缺点: 极易引起广播碰撞/广播风暴/通信效率低/管理效率低/安全性不高 VLAN的特点: VLAN能够最大限度地控制广播的影响以及减少由于共享介质所造成的安全隐患VLAN允许一组不限物理位置的用户群共享一个独立的广播域一个VLAN中的所有设备都是同一广播域的成员一个VLAN是一个逻辑的子网,共享一个网络地址,且VLAN间的通信必须经过路由器,就像真正的两个网段一样VLAN可以基于端口或MAC地址来划分交换机允许在同一台交换机上可存在多个VLAN,也允许这些VLAN跨越其它交换机 划分VLAN的目的: 1.提高安全性:缩小ARP攻击范围,ARP报文是一个 2.5层的报文,划分VLAN后只能在同一个VLAN中传播 2.提高性能:隔离广播域,缩小广播域的大小缩小了广播报文能达到的范围 VLAN的创建