局域网技术与组网工程：第三次实验

1、局域网技术与组网工程 Part3了解VLAN进行VLAN划分配置以太网端口链路类型本次课程目标学习完本次课程，您应该能够：VLAN配置以太网端口链路类型目录VLAN 概述 VLAN (Virtual Local Area Network)，即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。 利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说，一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。 构成虚拟局域网的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中

2、。虚拟局域网技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。VLAN 存在的理由第一，基于网络性能的考虑。 对于大型网络，现在常用的Windows NetBEUI是广播协议，当网络规模很大时，网上的广播信息会很多，会使网络性能恶化，甚至形成广播风暴，引起网络堵塞。那怎么办呢?可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输，因为广播信息是不会跨过VLAN的，可以把广播限制在各个虚拟网的范围内，用术语讲就是缩小了广播域，提高了网络的传输效率，从而提高网络性能。VLAN 存在的理由第二，基于安全性的考虑。 因为各虚拟网之间不能

3、直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。在大规模的网络，比如说大的集团公司，有财务部、采购部和客户部等，它们之间的数据是保密的，相互之间只能提供接口数据，其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。VLAN 存在的理由第三，基于组织结构上考虑。 同一部门的人员分散在不同的物理地点，比如集团公司的财务部在各子公司均有分部，但都属于财务部管理，虽然这些数据都是要保密的，但需统一结算时，就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中，实现数据安全和共享。因此，采用虚拟局域网有如下优势： 抑制网络上的广播风暴； 增加网络的安全性

4、； 集中化的管理控制。VLAN VLAN S500P支持的类型S5000P支持两种类型的VLAN： 802.1q VLAN； 基于端口的VLAN（Port-based VLAN）。802.1q VLAN由IEEE 802.1q协议定义其帧格式，是最常用的一种VLAN，以下简称VLAN。802.1q VLAN 配置VLAN配置包括： 创建/删除VLAN； 给VLAN指定端口。对VLAN进行配置时，首先应根据需求创建VLAN，之后为VLAN指定端口。802.1q VLAN 配置 创建/删除VLAN操作命令说明进入系统视图system-view-创建VLANvlan vlan-idvlan-id：V

5、LAN的ID，取值范围为14094创建VLAN时，如果该VLAN已存在，则直接进入该VLAN视图；如果该VLAN不存在，则首先创建VLAN，然后进入VLAN视图删除VLANundo vlan vlan-id删除VLAN时，如果该VLAN不存在，会出现“VLAN(s) do(es) not exist!”的提示802.1q VLAN 配置 创建/删除VLAN例：创建VLAN 2，并且进入VLAN视图。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway vlan 2Quidway-Vlan2802.1q VL

6、AN 配置 配置VLAN的指定端口当需要为VLAN增加以太网端口或删除VLAN的某些以太网端口时，可以通过以下命令来实现。操作命令说明进入系统视图system-view-进入VLAN视图vlan vlan-id-为指定的VLAN增加以太网端口port GigabitEthernet interface_ num to GigabitEthernet interface_ num-为指定的VLAN删除以太网端口undo port GigabitEthernet interface_ num to GigabitEthernet interface_ num不能在缺省VLAN 1下执行这条命令，当

7、在其他VLAN中添加了端口之后，对应的端口会自动从VLAN 1中删除。802.1q VLAN 配置 配置VLAN的指定端口例：将GigabitEthernet0/4至GigabitEthernet0/7的以太网端口加入VLAN 2。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway vlan 2Quidway-Vlan2 port GigabitEthernet 0/4 to GigabitEthernet 0/7 VLAN 信息显示在完成上述配置后，在任意视图下执行display命令可以显示配置后VLA

8、N的相关信息，包括：VLAN ID、VLAN包含的端口。用户可以通过查看显示信息验证配置的效果。操作命令说明显示VLAN相关信息display vlan vlan-id l 任意视图下均可执行l vlan-id：指定要显示的VLAN ID，取值范围为14094l 如果指定vlan-id，则显示指定VLAN的信息；如果不指定，将显示已创建的所有VLAN的信息VLAN 信息显示例：显示VLAN 1的信息。 display vlan 1VLAN State: 802.1q VLANVLAN ID: 1VLAN Type: staticRoute Interface: configuredIP Add

9、ress: 192.168.10.1Subnet Mask: 255.255.255.0Tagged Ports: noneUntagged Ports: GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 GigabitEthernet0/4 GigabitEthernet0/5 GigabitEthernet0/6 GigabitEthernet0/7 GigabitEthernet0/8 GigabitEthernet0/9 GigabitEthernet0/10 GigabitEthernet0/11 GigabitEthe

10、rnet0/12 GigabitEthernet0/13 GigabitEthernet0/14 GigabitEthernet0/15 GigabitEthernet0/16 GigabitEthernet0/17 GigabitEthernet0/18 GigabitEthernet0/19 GigabitEthernet0/20 GigabitEthernet0/21 GigabitEthernet0/22 GigabitEthernet0/23 GigabitEthernet0/24VLAN 信息显示display vlan命令显示信息描述表字段描述VLAN State当前VLAN状态

11、为：802.1q VLANVLAN ID当前VLAN的ID为：1VLAN TypeVLAN 类型：静态Route Interface路由接口：已配置IP Address路由接口的IP地址为：192.168.10.1Subnet Mask路由接口的子网掩码为：255.255.255.0Tagged Ports出端口报文打tag标记的端口：无Untagged Ports出端口报文不打tag标记的端口：GigabitEthernet0/1GigabitEthernet0/24Port-based VLAN Port-based VLAN提供了用户分组的功能，用户通过配置可以隔离同一个VLAN内的不同

12、用户，满足了更丰富的组网需求。 Port-based VLAN可以通过创建不同的user-group来实现，一个端口可以属于多个user-group。不属于同一个user-group的端口不能相互通信。 S5016P最大可以设置16个user-group，其ID取值范围为116。S5024P最大可以设置24个user-group，其ID取值范围为124。 l802.1q VLAN 和Port-based VLAN在S5000P中不能同时启用。lPort-based VLAN中，交换机的所有端口只属于VLAN 1，但可以属于不同的 user-group。注意Port-based VLAN 和VL

13、AN切换 当VLAN为802.1q VLAN且处于缺省状态时，在VLAN 1视图下执行带有user-group的添加端口的操作，系统就会自动进入Port-based VLAN状态并给出提示。 当VLAN为Port-based VLAN且处于缺省状态时，执行新增VLAN或者改变端口为Trunk类型的操作，系统就会自动进入802.1q VLAN状态并给出提示。 l802.1q VLAN的缺省状态为只存在VLAN 1，且所有端口为access端口。lPort-based VLAN的缺省状态为只有一个VLAN 1存在，且所有端口只属于user-group 1。说明VLAN与Port-based VLA

14、N切换例：切换VLAN。VLAN为802.1q VLAN，且处于缺省状态时，将其切换为Port-based VLAN，创建user-group 2且添加端口2到user-group 2中。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway vlan 1Quidway-Vlan1 port GigabitEthernet 0/2 user-group 2The VLAN state has been changed to port-based VLAN!# VLAN为Port-based VLAN且处于缺省

15、状态时，将其切换到802.1q VLAN状态且创建VLAN 2。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway vlan 1Quidway-Vlan1vlan 2The VLAN state has been changed to 802.1q VLAN!VLAN Port-based VLAN 指定端口Port-based VLAN的所有操作都是在VLAN 1视图下进行的，可以通过以下命令为user-group增加以太网端口或删除某些以太网端口。操作命令说明进入系统视图system-view-进入V

16、LAN 1视图vlan 1Port-based VLAN中只有一个VLAN，即VLAN 1为指定的user-group增加以太网端口port GigabitEthernet interface_ num to GigabitEthernet interface_ num user-group group_num(1) group_num：组号。l S5016P最大可以设置16个user-group，其组号取值范围为116l S5024P最大可以设置24个user-group，其组号取值范围为124(2)初始状态所有端口都属于user-group1VLAN Port-based VLAN 指定端

17、口Port-based VLAN的所有操作都是在VLAN 1视图下进行的，可以通过以下命令为user-group增加以太网端口或删除某些以太网端口。操作命令说明为指定的user-group删除以太网端口undo port GigabitEthernet interface_ num to GigabitEthernet interface_ num user-group group_numl执行此操作后，若端口不再属于任何user-group，系统会自动将此端口添加到user-group 1l若端口只属于user group 1，那么不能将该端口从user group 1中删除；若端口还属于其

18、他user group，那么可以将端口从user group 1中删除删除user-groupundo user-group group_num | all (低版本不支持)-VLAN Port-based VLAN 指定端口例：添加端口GigabitEthernet0/1至GigabitEthernet0/3到user-group 2中，并且从user-group1中删除。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway vlan 1Quidway-Vlan1port g0/1 to g0/3 use

19、r-group 2Quidway-Vlan1display vlan 1Quidway-Vlan1undo port g0/1 to g0/3 user-group 1Quidway-Vlan1display vlan 1VLAN Port-based VLAN 信息显示处于Port-based VLAN状态时，在任意视图下执行display vlan 1的命令就可以显示Port-based VLAN下user-group组的相关信息。操作命令说明显示Port-based VLAN相关信息display vlan 1l当前VLAN状态为Port-based VLAN时，显示Port-based

20、 VLAN相关信息l当前VLAN状态为802.1q VLAN时，显示的则是802.1q VLAN相关信息VLAN Port-based VLAN 配置实例1. 组网需求现需要将使用端口g0/1至g0/11的用户与使用端口g0/14至g0/24的用户实现分组，同时两个user-group都可使用端口g0/12和g0/13来实现连接服务器和外部网络。2. 组网图VLAN Port-based VLAN 配置实例3. 配置步骤Step 1 当系统为缺省状态时进入VLAN 1视图。 system-viewEnter system view, return to user view with Ctrl+

21、Z.H3Cvlan 1Step 2 添加端口g0/12至gt0/24到user-group 2中。H3C-Vlan1port g0/12 to g0/24 user-group 2The VLAN state has been changed to port-based VLAN!Step 3 将端口g0/14至g0/24从user-group 1中删除。H3C-Vlan1undo port g/14 to g0/24 user-group 1Step 4 查看当前的配置信息以确认配置。H3C-Vlan1 display vlan 1端口绑定VLAN配置以太网端口链路类型目录VLAN 配置以太

22、网端口链路类型S5000P以太网端口有两种链路类型：Access和Trunk。Access类型的端口只能属于一个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。操作命令说明进入系统视图system-view-进入以太网端口视图interface GigabitEthernet interface_num-配置端口为Access端口port link-type access缺省情况下，端口链路类型为Access恢复端口的链路类型为缺省的Access端口undo port link-type-VLAN

23、 Trunk中继工作原理 中继（Trunk）是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。 Trunk的主要功能是仅通过一条链路就可以连接多个VLAN。Trunk也称为链路中继。 VLAN 配置以太网端口链路类型例：将以太网端口GigabitEthernet0/1配置为Trunk端口。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway interface GigabitEthernet0/1Quidway-GigabitEtherne

24、t0/1port link-type trunkVLAN 配置Trunk端口缺省VLAN ID操作命令说明进入系统视图system-view-进入以太网端口视图interface GigabitEthernet interface_num-配置Trunk端口的缺省VLAN IDport trunk pvid vlan vlan-idvlan-id：IEEE802.1q中定义的VLAN ID，取值范围为14094。缺省值为1恢复Trunk端口的缺省VLAN IDundo port trunk pvid- l本端Trunk端口的缺省VLAN ID和相连的对端交换机的Trunk端口的缺省VLAN I

25、D必须一致，否则报文将不能正确传输。注意VLAN 配置Trunk端口缺省VLAN ID例：将Trunk端口GigabitEthernet0/1的缺省VLAN设为100。 system-viewEnter system view, return to user view with Ctrl+Z.Quidway interface GigabitEthernet0/1Quidway-GigabitEthernet0/1 port trunk pvid vlan 100VLAN 配置以太网端口的指定VLAN可以使用下面的命令来把Access类型的端口加入到指定的VLAN中。配置Access端口的指定

26、VLAN操作命令说明进入系统视图system-view-进入以太网端口视图interface GigabitEthernet interface_num-将Access端口加入指定VLANport access vlan vlan-idvlan-id：IEEE 802.1q中定义的VLAN ID，取值范围为24094 把Access端口从指定VLAN中删除undo port access vlan-VLAN 配置以太网端口的指定VLAN配置Trunk端口的指定VLAN操作命令说明进入系统视图system-view-进入以太网端口视图interface GigabitEthernet inter

27、face_num-将Trunk端口加入指定VLANport trunk permit vlan vlan-id-list | all l需要先将端口类型设置为Trunklvlan-id-list：vlan-id-list = vlan-id1 to vlan-id2 &，为此Trunk端口转发VLAN通信的范围，可以是离散的，vlan-id取值范围为14094。&表示前面的参数最多可以重复输10次lall：将Trunk端口转发所有VLAN中的帧把Trunk端口从指定VLAN中删除undo port trunk permit vlan vlan-id | all vlan-id的取值范围为140

28、94VLAN 配置以太网端口的指定VLANlvlan-id和vlan-id-list中所指的VLAN必须已经存在，否则将不能加入。 lTrunk端口可以转发多个VLAN的帧。如果多次使用port trunk permit vlan命令，那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。 注意补充说明1. 如果一个端口是trunk端口，则该端口可以转发多个vlan的通信；2. 缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID；3. 连接Trunk的2个端口PVID值必须一样才能正确地通信。4. 一般情况下最好指定端口允许通过哪些具体的VLAN，不要设置允许所有的VLAN通过。交换机端口Trunk属性适用情况在一个公司内部，相同的部门之间实现二层互通，不同的部门之间隔离，而这些部门分散到不同的交换机上，这个时候就可以在各台交换机上将属于同一个部门的端口划分到相同的VLAN里，交换机之间互联的端口使用Trunk属性，这样就可以实现同VLAN的交换机间互通；在一个组网中，用户接入使用二层交换机，如果要实现这个二层交换机