項目4虛擬局域網組建目錄CONTENTS知識鏈接VLAN概述項目設計網絡拓撲圖、IP地址、設備初始配置項目描述為小企業搭建安全網絡項目實施與驗證設備配置、網絡連通性檢測0103020401PART020304知識鏈接4.1VLAN概述0102

使用交換機作為互連設備的以太網稱為交換式以太網。廣播幀所能到達的整個訪問范圍稱為廣播域，一個交換式網絡就是一個廣播域；當終端計算機發送一個廣播幀或未知單播幀時，該數據幀會被泛洪到整個廣播域。知識鏈接此圖中，SW1、SW3、SW7存有PC2的MAC地址4.1VLAN概述0102

虛擬局域網VLAN(VirtualLocalAreaNetwork)，邏輯上把網絡資源和用戶按照一定的原則進行劃分，把一個物理上的實際網絡劃分成多個小的邏輯網絡，這些小的邏輯網絡形成各自的廣播域，也就是虛擬局域網VLAN。通過劃分用戶群，控制廣播范圍等方式，VLAN技術從根本上解決網絡效率與安全性等問題。知識鏈接此圖中，SW1、SW3、SW7存有PC2的MAC地址4.1.1VLAN的優點0102（1）按需劃分VLAN，組網靈活。將計算機按照需求劃分到不同VLAN，同一個VLAN計算機不限物理位置，網絡構建和維護方便靈活。（2）限制廣播域，提升性能。一個VLAN就是一個廣播域，廣播域被限制在一個VLAN內，減少網絡不必要的流量，提高了網絡處理能力。（3）VLAN隔離，增強安全性。同一個VLAN計算機可以直接二層通信，不同VLAN內的計算機不能直接二層通信。含有敏感信息的用戶組可與網絡的其它部分隔離，降低泄露機密信息的可能性。（4）簡化項目管理。VLAN將用戶和網絡設備聚合到一起，以支持商業需求或地域上的需求。通過職能劃分，項目于管理或特殊應用的處理變得十分方便，也容易確定升級網絡服務的影響范圍。知識鏈接4.1.2VLAN的劃分0102VLAN對廣播域的劃分是通過交換機軟件完成的，每個VLAN會分配不同的VLANID。靜態VLAN劃分也就是基于接口劃分。可把同一交換機的接口劃分到不同VLAN，也可以把不同交換機的接口劃分為同一VLAN動態VLAN根據每個端口所連接的計算機，隨時改變端口所屬的VLAN基于MAC地址劃分基于IP子網劃分基于協議劃分和基于策略劃分知識鏈接4.1.3VLAN中繼0102不同物理位置的用戶群被劃分進不同的VLAN后，同一VLAN成員接入跨越任意物理位置的多個交換機的情況非常常見。VLAN中繼是以太網交換機接口和另一個聯網設備（如路由器或交換機）的以太網接口之間的點對點鏈路。VLAN中繼允許多個VLAN數據在單鏈路上傳輸。知識鏈接4.1.4交換機接口0102基于接口劃分VLAN后，交換機各接口對數據幀的處理方式不再一樣。交換機接口分為Access接口、Trunk接口和Hybrid接口Access接口是交換機上用來連接計算機、服務器等終端設備接口Trunk接口是交換機與交換機或交換機與路由器相連接的物理接口Hybrid接口是一種混合接口，同時具備Access和Trunk的兩種功能知識鏈接4.1.5GVRP技術0102GVRP即通用虛擬局域網注冊協議，能幫助網絡管理員自動完成VLAN創建、刪除和同步等工作。GVRP有Normal、Fixed和Forbidden三種注冊模式Normal模式：允許該接口動態VLAN注冊或注銷，會發送靜態VLAN和動態VLAN信息。Fixed模式：禁止該接口動態VLAN注冊或注銷，只發送靜態VLAN信息。Forbidden模式：禁止該接口動態VLAN注冊或注銷，只發送VLAN1信息。注意：GVRPVLAN注冊信息必須靠Trunk接口傳遞，配置GVRP時需要先配置好Trunk接口且必須允許相應VLAN或全部VLAN通過。GVRP具有單向注冊特性。知識鏈接4.2交換機VLAN配置常用命令0102知識鏈接1.創建VLAN命令（1）創建單個VLANvlanvlan-id例如：vlan100創建VLANID為100的VLAN。（2）批量創建VLANvlanbatch{vlan-id1[tovlan-id2]}例如：vlanbatch100to200創建VLANID從100~200的共101個VLAN。2.接口類型配置命令portlink-type{access|trunk|hybrid}4.2交換機VLAN配置常用命令0102知識鏈接接口類型配置命令portlink-type{access|trunk|hybrid}access：Access接口（接入鏈路模式）是交換機上用來連接用戶主機的接口，只能屬于一個VLAN。trunk：允許多個VLAN通過，一樣用于交換機與交換機之間的接口。hybrid：允許多個VLAN通過，可以用于交換機之間接口，也可以用于連接計算機dot1q-tunnel：用于大型網絡拓展VLAN空間的技術。4.2交換機VLAN配置常用命令0102知識鏈接3.接口PVID配置命令（1）配置Access接口PVIDportdefaultvlanvlan-id（2）配置Trunk接口PVIDporttrunkpvidvlanvlan-id（3）配置Hybrid接口PVIDporthybridpvidvlanvlan-id4.接口允許通過VLANID列表創建命令（1）配置Trunk接口允許通過的VLAN列表porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}（2）配置Hybrid接口UntaggedVLAN列表（輸入的數據包全部都要加上該缺省vlan）porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}（3）配置Hybrid接口TaggedVLAN列表（當數據包本身不包含VLAN的話，輸入的數據包就加上該缺省vlan）porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}4.2交換機VLAN配置常用命令0102知識鏈接5.GVRP配置命令（1）全局使能gvrpgvrp（2）接口使能gvrpgvrpregistration{fixed|forbidden|normal}02PART010304項目描述4.2項目簡介0102

校園網是典型的交換式以太網，學校信息中心應用VLAN技術部署校園網。校園網由1臺S5700和4臺S3700交換機和若干計算機組成，其拓撲結構如圖4-7所示。信息中心按照學院行政部門把校園網劃分成三個VLAN，計算機PC11、PC12屬于學院計算機應用系，劃分到同一個VLAN，VLANID為10；計算機PC21、PC22屬于學院軟件系，劃分到同一個VLAN，VLANID為20；第三組計算機PC31和PC32屬于學院通信系，劃分到同一個VLAN，VLANID為30。部署VLAN后同一VLAN內的計算機能通信，不同VLAN間的計算機不能直接通信。項目描述03PART010204項目設計單擊輸入你的正文4.1總體設計項目設計校園網的VLAN部署由四部分組成：第一部分是實驗環境搭建，配置終端計算機的IP地址并檢測網絡連通性；第二部分是基于GVRP創建VLAN，所有局域網的交換機啟用GVRP，在與終端相連的接入交換機LSW4和LSW5手動創建VLAN，VLAN注冊信息會迅速傳播到整個交換網絡，在交換機上形成統一的VLAN配置；第三部分是基于接口劃分VLAN，把交換機LSW4和LSW5與終端相連的接口劃進所屬VLAN；第四部分是項目實施結果驗證，同一VLAN計算機能通信，不同VLAN計算機不能直接通信。計算機名IP地址VLANIDPC11192.168.1.11/2410PC12192.168.1.12/2410PC21192.168.1.21/2420PC22192.168.1.22/2420PC31192.168.1.31/2430PC32192.168.1.32/243004PART010203項目實施與驗證單擊輸入你的正文5.1配置思路項目設計5.2配置計算機IP地址0102項目實施與驗證計算機名IP地址VLANIDPC11192.168.1.11/2410PC12192.168.1.12/2410PC21192.168.1.21/2420PC22192.168.1.22/2420PC31192.168.1.31/2430PC32192.168.1.32/24305.3配置GVRP創建VLAN0102項目實施與驗證配置Trunk口并開啟交換機GVRP功能：[LSW1]gvrp[LSW1]interfaceGigabitEthernet0/0/1[LSW1-GigabitEthernet0/0/1]portlink-typetrunk[LSW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/1]gvrp[LSW1]interfaceGigabitEthernet0/0/2[LSW1-GigabitEthernet0/0/2]portlink-typetrunk[LSW1-GigabitEthernet0/0/2]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/2]gvrp[LSW1-GigabitEthernet0/0/2]quit5.3配置GVRP創建VLAN0102項目實施與驗證接入交換機LSW4和LSW5手動創建靜態VLAN：在接入交換機LSW4和LSW5批量創建VLAN，VLANID為10、20、30。LSW4上批量創建VLAN命令：[LSW4]vlanbatch102030LSW5上批量創建VLAN命令：[LSW5]vlanbatch1020305.3配置GVRP創建VLAN0102項目實施與驗證接入交換機LSW4和LSW5手動創建靜態VLAN：在接入交換機LSW4和LSW5批量創建VLAN，VLANID為10、20、30。LSW4上批量創建VLAN命令：[LSW4]vlanbatch102030LSW5上批量創建VLAN命令：[LSW5]vlanbatch1020305.4基于接口劃分VLAN0102項目實施與驗證交換機LSW4和LSW5接口加入VLAN：[LSW4]interfaceEthernet0/0/2[LSW4-Ethernet0/0/2]portlink-typeaccess[LSW4-Ethernet0/0/2]portdefaultvlan10[LSW4-Ethernet0/0/2]interfaceEthernet0/0/3[LSW4-Ethernet0/0/3]portlink-typ