■ 任务描述
某小型公司4台交换机、200多台电脑组成局域网,但网络总是掉线,网络工程师诊断需划分VLAN有效地分割广播域,提高网络的安全性和可靠性。
■ 任务相关知识
1、交换机的工作原理
交换机是数据链路层设备,它能够读取数据包中的MAC(网卡)地址信息,并根据MAC来进行交换,如图1所示。
图1-1 交换机的工作原理
图1-1中有A、B、C、D四台主机的IP地址在同一网段内,其IP地址和MAC地址如图1中所示,交换机有一张MAC地址表,是通过MAC地址来进行交换的,接入网络之前,交换机的MAC地址是空的。
当主机A(192.168.1.1)向主机C(192.168.1.3)发送数据的时候,交换机是如何把数据正确的发给主机C呢?
交换机的工作过程是这样的,主机A在发送数据时会携带自身的MAC地址,交换机从E0端口收到了数据,就会在MAC表中记录一条信息,如图1-2所示。
图1-2 交换机的工作原理(记录E0端口)
从图1-2中可知,交换机的MAC地址表已经有一条记录,此时交换机并不知道主机C在哪个端口,数据不确定从哪个端口转发,这时交换机只能选择在E0以外的所有端口都转发(洪泛(flooding),那么主机B、C、D都会收到来自主机A的信息,收到信息后解开数据比对信息,主机B和主机D发现不是找它的,就把数据丢弃,只有主机C核对后发现是找C的,于是返回一条信息给交换机,返回信息的时候,带上自身的MAC地址,这个时候交换机的MAC地址表又多了一条记录,如图3所示。
图1-3 交换机的工作原理(记录E0和E2端口)
交换机收到来自主机C的数据后,是否又要向全部端口转发呢?不会的,因为主机C发的信息有目的地址信息(主机A)交换机直接把数据在E0端口发给了主机A。
当主机B发数据给主机C的时候,交换机会从E1端口获取主机B的MAC地址并记录在MAC表中,交换机收到信息后查询MAC表,发现已有主机C的地址,于是直接把数据往E2端口转发,其他端口以此类推。
需要注意的是MAC表是动态的,当主机更换网卡或者主机移走的时候,一段时间以后交换机会把MAC中的记录移除,方便MAC表的维护。
2、虚拟局域网技术(VLAN)
工作中有时候网络不好,但是重启交换机又好了,一段时间后又不行,又必须重启。出现这样的原因很有可能是多台交换机工作在同一网段,导致广播风暴致使网络瘫痪。
如果整个网络属于一个网段,那么只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,主机就会不断的接收广播信息,严重影响网络的质量。因此在设计局域网LAN时需有效地分割广播域,解决办法之一是把交换机划分VLAN。
划分VLAN后当一个VLAN里面出现广播风暴时,受影响的只是这个VLAN本身。而整个网由于被分成了多个VLAN(也就是多个广播域),所以网络的其它部分不会受到广播风暴的影响,从而最大程度地为提高网络的安全性能提供了可靠保障。 需要注意的是,VLAN之间必须使用路由器或三层交换机才能通信的。
3、交换机的端口类型
局域网为了隔离广播必须划分VLAN,了解VLAN的划分与配置,必须先熟悉交换机的端口类型,交换机的端口类型主要有Access、Trunk、Hybrid三类,这里我们主要介绍前两种类型的端口:
Access(接入)端口:接收、发送不带标签的报文,一般与pc、server相连时使用,只属于1个VLAN;
Trunk(中继)端口:接收、发送带标签的报文,一般用于交换机级联端口传递多组vlan信息时使用,可属于多个VLAN;
这两种类型的端口主要应用拓扑如图1-4所示,图中SW1和SW2的1/2/3/4端口都设置为Access类型,分别属于VLAN10/VLAN20/VLAN30/VLAN40,而交换机的5端口设置为Trunk类型,能同时通过VLAN10/VLAN20/VLAN30/VLAN40。
图1-4 交换机端口类型
■ 任务完成步骤
1、网络拓扑规划
根据任务需求,简化拓扑结构,规划拓扑如图1-5所示,PC的IP规划如图所示,四台PC分别被规划到两个VLAN,VLAN10及VLAN20。
图1-5 交换机VLAN配置拓扑图
要求:
(1)根据拓扑图的要求,在交换机上创建相关VLAN;
(2)将PC所连接的交换机端口划分给相应的VLAN;
(3)在交换机上查看VLAN配置。
(4)配置完成后检验PC1与PC3、PC2与PC4之间的连通性;
2、完成SW1和SW2设备配置
(1)SW1的配置如下:
第一步:创建两个vlanid 号10和20;
[SW1] vlan batch 10 20
第二步:配置与计算机相连的端口(G0/0/1和G0/0/2)类型为access,其中交换机SW1的G0/0/1端口连接PC1,归属为VLAN10,G0/0/2端口连接PC2,归属为VLAN20。
[SW1] interface gigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface gigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
第三步:配置与SW2相连的 G0/0/24口类型为Trunk,并且放行VLAN10及VLAN20的流量。
[SW1] interface GigabitEthernet0/0/24
[SW1-GigabitEthernet0/0/24] port link-type trunk
[SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20
Trunk类型的二层链路默认情况下不允许任何VLAN通行,因此需使用port trunk allow-pass vlan命令在接口上放行所需VLAN。
(2)SW2的配置方法与SW1相同,如下所示:
[SW2] vlan batch 10 20
[SW2] interface gigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type access
[SW2-GigabitEthernet0/0/1] port default vlan 10
[SW2] interface gigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 20
[SW2-GigabitEthernet0/0/2]quit
[SW2]interface GigabitEthernet0/0/24
[SW2-GigabitEthernet0/0/24] port link-type trunk
[SW2-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20
3、测试与验证
完成上述配置后,查看交换机的VLAN配置如图1-6所示:
[SW1] display vlan
图1-6 查看SW1的VLAN配置
从上述输出结果我们可以看到,在VLAN1、VLAN10、VLAN20都添加了GE0/0/24,因为这个接口已经被配置为Trunk模式,可承载多VLAN的流量,并且在配置中放行了VLAN10、VLAN20的流量。同时,该接口针对VLAN10及VLAN20的流量会进行Tag(TG),以便这两个VLAN的流量在Trunk链路上从一端传输到另一端时能够被正常识别。
值得注意的是,在交换网络中,如果两台交换机之间的链路是二层链路,并且需承载多个VLAN的流量,那么这段链路的link-type是需要配置成trunk的,并且默认情况下,该trunk链路不允许任何VLAN的流量通过(除了vlan1),因此,还需要使用port trunk allow-pass vlan命令,将所需的VLAN放行。
注意:在项目实施过程中,trunk接口上,如果用户数据没有使用vlan1,则用命令undo port trunk allow-pass vlan 1将vlan1的流量禁止,已达到配置规范的目的。
测试结果如图1-7所示,VLAN10内的PC1与PC3能够互相ping通;VLAN20内的PC2与PC4能够互相ping通。
图1-7 配置后PC1与PC3连通性测试
■ 任务评价与总结
1.自我评价
考核点 | 通 | 不通 | 备注 |
PC1 ping PC3 | |||
PC2 ping PC4 |
2.任务小结
在任务实施当中,首先要判断交换机的端口类型是access还是trunk,然后确定该端口的归属及放行的VLAN,在任务实施当中要及时修改设备名称,配置完以后需要及时保存配置命令。
■ 任务拓展
完成如图1-8所示的VLAN配置,IP规划如图所示,6台PC分别被规划到VLAN10,VLAN20及VLAN30。
图1-8 交换机VLAN配置拓扑图
要求:
(1)根据拓扑图的要求,在交换机上创建相关VLAN;
(2)将PC所连接的交换机端口划分给相应的VLAN;
(3)在交换机上查看VLAN配置。
(4)配置完成后检验PC1与PC3、PC2与PC4之间的连通性;
提取码:rt39
如有问题请留言讨论。