《IP地址及规划网络地址》-项目4

【任务目标】单个交换机上配置VLAN的方法以及配置VLAN后各VLAN中的PC通信的情况。【材料清单】H3CS2100交换机一台；RJ45-to-DB9Console配置线一根，直连线两根；测试PC（两台）。【任务说明】PC1和PC2分别连接到交换机SwitchA的端口E1/0/1和E1/0/2，端口分别属于VLAN10和VLAN20。PC1属于VLAN10，PC2属于VLAN20，VLAN10和VLAN20分别属于两个不同的组织。任务实施如图4-1所示，PC的参数配置见表4-1。【工作过程1】使用所供设备和线缆正确连接各设备并搭建环境（1）因为路由器和PC都属于MDI接口，以太网交换机提供都是MDI-X接口，所以PC与交换机采用直连线进行连接。任务1单交换机上配置基于端口的VLAN隔离办公网络下一页返回现场制作或者选择两根已经做好的直连线，用测线仪测试通过后，将PC与交换机的指定接口进行连接。（2）选择PC1对交换机进行配置，使用RJ45-to-DB9Console配置线分别连接PC1的DB9和交换机Console口。（3）检查线缆连接无误后，启动设备电源。【工作过程2】交换机VLAN应用配置流程『说明』（1）默认情况下，交换机存在一个默认的VLAN，即VLAN1，且VLAN1不能被删除；（2）将端口加入到某VLANX中，有两种方法：创建某VLANX，进入VLANX的配置视图，将指定端口加入VLANX；进入指定端口的配置视图，修改该端口的PVID为X。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【步骤一】查看交换机VLAN信息。交换机VLAN信息如图4-2所示。

【步骤二】给交换机重命名。具体命令如下所述：[H3C]sysnameSwitchA[SwitchA]【步骤二】SwitchA相关配置。『方法1』（1）创建（进入）VLAN10，将E1/0/1加入到VLAN10。具体命令如下所述：[SwitchA]vlan10[SwitchA-vlan10]portEthernet1/0/1任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（2）创建（进入）VLAN20，将E1/0/2加入到VLAN20。具体命令如下所述：[SwitchA]vlan20[SwitchA-vlan20]portEthernet1/0/2『方法2』（1）进入以太网端口E1/0/1的配置视图。具体命令如下所述：[SwitchA]interfaceEthernet1/0/1（2）配置端口E0/1的PVID为10。具体命令如下所述：[SwitchA-Ethernet1/0/1]portaccessvlan10（3）进入以太网端口E1/0/2的配置视图。具体命令如下所述：[SwitchA]interfaceEthernet1/0/2（4）配置端口E0/2的PVID为20。具体命令如下所述：[SwitchA-Ethernet1/0/2]portaccessvlan20任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【工作过程3】配置PC参数配置PC的参数见表4-1。【工作过程4】测试（1）查看交换机中所有VLAN的信息。VLAN10的信息如图4-3所示，VLAN20的信息如图4-4所示，VLAN1的信息，如图4-5所示。也可以通过displayvlanall这一条命令查看如图4-3～图4-5所示的信息。（2）查看交换机的MAC地址表。交换机的MAC地址表，如图4-6所示。由于交换机连接的计算机的MAC地址不同，所以查看到交换机的MAC地址表是有差异的。可以通过在命令提示窗口中运行IPCONFIG命令，查出交换所连接的计算机的MAC地址和IP地址信息，任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回然后与交换机中的MAC表信息比较，会发现交换机的MAC地址表中的MAC地址就是与交换机连接的计算机的MAC地址信息，这项目二中已经介绍过。（3）通过ping测试PC1与PC2能否通信。pingPC1的结果如图4-7所示，pingPC2的结果如图4-8所示。通过测试发现两台PC无法通信。（4）修改PC1或者PC2的IP地址，使得它们在同一个网段，再通过ping测试PC1与PC2能否通信。由于两台计算机的IP地址设在不同的网段，所以可能会有读者认为两台计算机ping不通不一定是将它们设置在了不同的VLAN中的原因，也可能是IP地址的原因，这个过程建议读者可以自己动手操作，验证一下。现在将PC1的IP地址改为192.168.20.2/24，这样两台计算机就同属于一个网段。再来测试PC1能否ping通PC2，结果如图4-9所示。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【任务小结】同一交换机在同一VLAN之间能通信，同一交换机在不同的VLAN之间不能通信。这种方式适用于以下情况：例如一个人虽然办公地点没有变，但他更换了部门的情况，此时就只需要网络管理员更改一下该用户的计算机的接口。【相关命令】1.给VLAN指定端口用途给指定VLAN增加/删除以太网接口。命令格式如下所述：portport_num[toport_num]&<1-10>Undoportport_num[toport_num]&<1-10>port_num的参数含义为：由端口类型和端口序号组成；端口序号由槽号和端口号的二元组组成，如果是百兆口，则槽号为0，端口号取值范围为1～24；如果是千兆口，则槽号为1或2，端口号取值范围为1。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回2.给端口指定VLAN用途给端口指定VLAN增加/删除以太网接口。命令格式如下所述：portaccessvlanvlan-idUndoportaccessvlanvlan-idvlan-id的参数含义为：VLAN接口的ID，取值范围为2～4094。3.其他常用命令指定/删除VLAN描述字符命令格式如下所述：descriptionstringundodescription查看VLAN设置的命令如下所述：displayvlan[vlan_id]任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回开启/关闭VLAN接口的命令如下所述：shutdownundoshutdown交换机重命名的命令如下所述：Sysname新名称【相关知识】1.VLAN的产生局域网的发展历史，从共享以太网到标准以太网，从同轴电缆到双绞线都经历了一个漫长的过程，其中VLAN技术就是解决期间为了解决广播域过大的一种技术。下面来了解一下VLAN的产生背景，如图4-10所示。在标准以太网出现后，同一个交换机下的不同端口已经不在同一个冲突域中，如图4-11所示，连接在交换机下的主机进行点到点的数据通信时，也不再影响到其他主机的正常通信。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回但是，后来会发现应用广泛的广播报文不受交换机端口的局限，而是在整个广播域中任意传播，甚至在某些情况下，单播报文也被转发到整个广播域的所有端口。这样一来，极大地占用了有限的网络带宽资源，使得网络效率极低。但是以太网处于TCP/IP协议栈的第二层，二层的本地广播报文是不能被路由器转发的，为了减少广播报文的影响，只有使用路由器来缩小以太网上的广播域的范围，从而降低广播报文在网络中的比例，提高带宽利用率。但这也不能解决同一个交换机下的用户隔离的问题，并且使用路由器来划分广播域，无论是在网络建设成本上，还是在管理上都存在很多不利的因素。为此，IEEE协会专门设计规定了一个802.1Q的协议标准，这就是VLAN技术的根本。它应用软件实现二层广播域的划分，完美地解决了路由器划分广播域存在的困难。总体上来说，VLAN技术划分广播域有无与伦比的优势。VLAN逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上的网络划分成许多个小的逻辑网络。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回这些小的逻辑网络形成各自的广播域，也就是虚拟局域网。如图4-12所示，几个部门都使用一个中心交换机，但是各个部门属于不同的VLAN，形成各自的广播，广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分在一个局域网中，在功能和操作上与传统LAN基本相同，可以提供一个范围内终端系统的互联。VLAN与传统的LAN相比，具有以下几方面优势。（1）减少移动和改变的代价。即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置时，它的网络属性不需要重新配置，而是动态地完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他在哪里，都能不做任何修改地接入网络中，这种前景是非常好的。当然，并不是所有的VLAN定义方法都能做到这一点。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（2）虚拟工作组。使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一个部门就好像在一个LAN上一样，很容易互相访问、交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需要网络管理员更改一下该用户的配置即可。因此VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用能极大地降低。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要其他方面的支持。（3）用户不受物理设备的限制，VLAN用户可以处于网络中的任何地方。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（4）VLAN对用户的应用不产生影响。VLAN的应用解决了许多大型二层交换网络产生的问题。（1）限制广播包，提高带宽的利用率有效地解决广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域，同一个VLAN的成员都在其所属的VLAN确定的广播域内，那么，当一个数据包没有路由时，交换机只会将数据发送到所有属于该VLAN的其他端口，而不是所有的交换机端口，这样，数据包就限制一个VLAN内，在一定程度上可以节省带宽。VLAN可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。（2）增加网络通信的安全性

因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这极大地提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回保密的数据应提供访问控制等安全手段。一个有效而又容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。（3）增强网络的健壮性图4-13基于端口划分VLAN示意图当网络规模增大时，部分网络出现问题往往会影响整个网络，引入VLAN后，可以将一些网络故障限制在一个VLAN之内。VLAN从逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回2.VLAN的划分（1）基于端口的VLAN的划分基于端口的VLAN划分方法是根据以太网交换机的端口来划分广播域的，也就是说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一个广播域，VLAN和端口连接的主机无关，如图4-13所示，见表4-2。假设指定交换机的端口1和端口7属于VLAN5，端口2和端口10属于VLAN10，此时，主机A和主机C在同一个VLAN，主机B和主机D在另一VLAN中。如果将主机A和主机B交换机连接端口，则VLAN表仍然不变，而主机A变成与主机D在同一VLAN（广播域），而主机B和主机C在另一VLAN中。如果网络中存在多个交换机，还可以指定交换机1的端口和交换机2的端口属于同一VLAN，这样同样可以实现VLAN内部主机的通信，也隔离了广播报文的泛滥。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回所以这种VLAN划分方法的优点是定义VLAN成员非常简单，只要指定交换机的端口即可；但是如果VLAN用户离开原来的接入端口，而连接到新的交换机端口，就必须重新指定新连接的端口所属的VLANID。（2）基于MAC地址的VLAN划分基于MAC地址的VLAN划分方法是根据连接在交换机上主机的MAC地址来划分广播域的。也就是说，某个主机属于哪一个VLAN只和它的MAC地址有关，和它连接在哪个端口或者使用哪个IP地址都没有关系，如图4-14所示，见表4-3。这种划分VLAN的方法最大的优点在于当用户改变物理位置（改变接入端口）时，不用重新配置。但是可以明显感觉到这种方法的初始配置量很大，要针对每个主机进行VLAN设置。并且对于那些经常更换网络接口卡的用户，会迫使网络管理员经常更改交换机的配置。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（3）基于协议的VLAN划分基于协议的VLAN划分方法是根据网络主机使用的网络协议来划分广播域的。也就是说，主机属于哪一个VLAN决定于它所运行的网络协议（如IP协议和IPX协议），而与其他因素没有关系。如图4-15所示，见表4-4。这种VLAN划分在实质当中应用非常少，因为目前实际上绝大多数都是IP协议的主机，其他协议的主机组件被IP协议主机代替，所以它很难将广播域划分得更小。（4）基于子网的VLAN划分基于子网的VLAN划分方法是根据网络主机使用的IP地址所在的网络子网来划分广播域的。也就是说，IP地址地址属于同一个子网的计算机属于同个广播域，而与主机的其他因素没有任何关系。如图4-16所示，见表4-5。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回这种VLAN划分方法管理配置灵活，网络用户自由移动位置而不需要重新配置主机或交换机，并且可以按照传输协议进行子网划分，从而实现针对具体应用服务来组织网络用户。但是，这种方法也有它不足的一面，因为为了判断用户属性，必须检查每一个数据包的网络层地址，这将消耗交换机不少的资源；并且同一个端口可能存在多个VLAN用户，这对广播报文的抑制效率有所下降。从上述几种VLAN划分方法的优缺点综合来看，基于端口划分VLAN是最普遍使用的方法之一，它也是目前所有交换机都支持的一种VLAN划分方法。有少量交换机支持基于MAC地址的VLAN划分。3.VLAN帧的格式IEEE802.1q协议标准规定了VLAN技术，它定义同一个物理链路上承载多个子网的数据流的方法。其包括以下内容。（1）VLAN的架构。（2）VLAN技术提供的服务。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（3）VLAN技术涉及的协议和算法。为了保证不同厂家生产的设备能够顺利互通，802.1Q标准严格规定了统一的VLAN帧格式以及其重要参数。下面重点介绍标准的VLAN帧格式。802.1Q标准规定在原有的标准以太网帧格式中增加一个特殊的标志域——Tag域，用于标识数据帧所属的VLANID。其帧格式如图4-17所示。从两种帧格式可以知道VLAN帧相对标准以太网帧在源MAC地址后面增加了4字节的Tag域。它包含了2字节的标签协议标识（TagProtocalIdentifier，TPID）和2字节的标签控制信息（TagControlInformation，TCI）。其中TPID是IEEE定义的新的类型，表示这是一个加了802.1Q标签的帧。TPID包含了一个固定的16进制值0X8100。TCI又分为Priority、CFI和VLANID三个域。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回（1）Priority：该域占用3位，用于标识数据帧的优先级。该优先级决定了数据帧的重要紧急程度，优先超高，就越优先得到交换机的处理。（2）CFI：该域仅占用1位，如果该位为0，表示数据帧采用规范帧格式，如果该位为1，表示该数据帧为非规范帧格式。它主要用在令牌环/源路由FDDI介质访问方法中来指示数据中所带地址的比特次序信息。如果在以太网端口接收的帧具有CFI，那么设置为1，表示该帧不进行转发，这是因为以太网端口是一个无标签端口。（3）VLANID：该域占用12位，它明确指出该数据帧属于某一个VLAN。所以VLANID表示的范围为0～4095。任务1单交换机上配置基于端口的VLAN隔离办公网络上一页返回下一页【任务目标】多台交换机上配置VLAN的方法以及配置VLAN后各VLAN中的PC通信的情况。【材料清单】H3CS2100交换机两台；RJ45-to-DB9Console配置线1～２根，交叉线1根，直连线4根；测试PC（4台）。两台交换机划分VLAN的配置图如图4-18所示。【任务说明】创建VLAN10和VLAN20，VLAN10和VLAN20的描述分别是研发１部、研发２部，其中VLAN10包含端口E1/0/9～E1/0/16、VLAN20包含端口E1/0/17～E1/0/24；PC1和PC2分别连接到交换机SwitchA的端口E1/0/9和E1/0/24，端口分别属于VLAN10和20；PC3和PC4分别连接到交换机SwitchB的端口E1/0/9和E1/0/24，端口分别属于VLAN10和20。任务2多交换机上配置基于端口的VLAN隔离办公网络下一页返回上一页任务实施图如图4-18所示，PC的参数配置见表4-7。【工作过程5】使用所供设备和线缆正确连接各设备搭建环境【步骤一】根据路由器和PC都属于MDI接口，以太网交换机提供都是MDI-X接口，所以PC与交换机采用直连线进行连接，交换机之间采用交叉线进行连接。现场制作或者选择4根已经做好的直连线和1根交叉线，用测线仪测试通过后，将PC与交换机的指定接口进行连接、交换机与交换机连接。【步骤二】选择PC1对交换机进行配置，所以使用RJ45-to-DB9Console配置线分别连接PC1的DB9和交换机Console口。【步骤三】检查线缆连接无误后，启动设备电源。【注意】如果只有一根配置线，只需要将RJ45-to-DB9Console配置线RJ45的一端在两台交换机对应的Console口上切换，就可分别对两台交换机进行配置。如果有两根配置线，那可以根据配置的实际情况用分别用两台计算机来分别配置两台交换机。任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【工作过程6】交换机VLAN配置流程【SwitchA相关配置】【步骤一】给交换机重命名。具体命令如下所述：[H3C]sysnameSwitchA[SwitchA]【步骤二】创建（进入）VLAN10，将端口E1/0/9～E1/0/16加入到VLAN10。具体命令如下所述：[SwitchA]vlan10[SwitchA-vlan10]descriptionRD1[SwitchA-vlan10]portEthernet1/0/9toE1/0/16任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【步骤三】创建（进入）VLAN20，将E1/0/17～E1/0/24加入到VLAN20。具体命令如下所述：[SwitchA]vlan20[SwitchA-vlan20]descriptionRD2[SwitchA-vlan20]portEthernet1/0/17toE1/0/24【SwitchB相关配置】【步骤一】给交换机重命名。具体命令如下所述：[H3C]sysnameSwitchB[SwitchB]【步骤二】创建（进入）VLAN10，将端口E1/0/9～E1/0/16加入到VLAN10。具体命令如下所述：[SwitchB]vlan10[SwitchB-vlan10]descriptionRD1任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回[SwitchB-vlan10]portEthernet1/0/9toE1/0/16【步骤三】创建（进入）VLAN20，将E1/0/17～E1/0/24加入到VLAN20，具体命令如下所述：[SwitchB]vlan20[SwitchB-vlan20]descriptionRD2[SwitchB-vlan20]portEthernet1/0/17toE1/0/24【备注】常用命令description可以用来指定VLAN描述字符，由于研究开发，又称研发，英文为Researchanddevelopment，也称R&D，所以研发１部、研发２部这儿分别使用了RD1和RD2来描述来个VLAN。【工作过程7】配置PC参数配置PC参数，见图4-7。任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【工作过程8】阶段测试用ping命令分别在PC1与PC3、PC2与PC4之间测试；用ping命令在PC1与PC3、PC2与PC4之外的4台计算机中的任意两台测试，分别记录测试的结果。【工作过程9】在两台交换机连接的端口上分别配置Trunk【步骤一】SwitchA的配置的命令如下所述：[SwitchA]intE1/0/1[SwitchA-Ethernet1/0/1]portlink-typetrunk[SwitchA-Ethernet1/0/1]porttrunkpermitvlanall【步骤二】S作witchB的配置的命令如下所述：[SwitchB]intE1/0/1[SwitchB-Ethernet1/0/1]portlink-typetrunk[SwitchB-Ethernet1/0/1]porttrunkpermitvlanall任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【工作过程10】最后测试用ping命令分别在PC1与PC3、PC2与PC4之间测试；用ping命令在PC1与PC3、PC2与PC4之外的4台计算机中的任意两台测试，分别记录测试的结果。结果是：PC1与PC3、PC2与PC4之间能相互ping通，除此以外的任意两台计算机是ping不通的。【任务小结】相连交换机的同一VLAN之间能相互通信，不同VLAN之间不能通信。这种方式适用于以下情况：如果一个人虽然办公地点改变了，但他没有更换部门的情况，此时只需要网络管理员将该用户的计算机的接口接入到其他交换机上相同的vlan即可。任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回【相关命令】1.设置/取消接口为VLANTrunk用途打开/关闭以太网接口的vlantrunk功能，基于IEEE802.1Q标准。命令格式所如下所述：portlink-type{access|trunk|hybrid}默认值：默认为关闭vlantrunk功能。2.设置/取消Trunk端口中允许通过的VLAN用途该命令用来设置或取消Trunk端口中允许通过的VLAN。命令格式如下所述：[undo]porttrunkpermitvlan{vlan_id_list|all}默认值：端口为非Trunk端口，不具备Trunk功能。任务2多交换机上配置基于端口的VLAN隔离办公网络上一页下一页返回3.设置Trunk端口的默认VLANID.（pvid）用途该命令用来设置Trunk端口的默认VLANID（pvid），此命令的undo形式用来恢复端口的默认VL