VLAN结合实例全面剖析

一、基本知识掌握

 虚拟局域网（Virtual Local Area Network，VLAN）

• 类型：VLAN用于OSI/RM 7层网络协议当中的第二层，即数据链路层
  

• 概念：VLAN是根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。

• 功能：

• 虚拟局域网与物理局域网的区别：VLAN与物理局域网有同样的属性，然而其中的物理工作站可以不属于同一个物理网段。

• 用法 ：交换机的任何一个交换端口都可以分配给某个VLAN，属于同一个VLAN的所有端口构成一个广播域，每一个VLAN都是一个逻辑网络，发往VLAN之外的分组必须通过路由器进行转发。

  一个VLAN=一个广播域=一个逻辑网段

二、实例

•                                                                         如图1所示：某个公司有三个部门销售部、人力资源部和工程部分布在各个楼层，同一个部门之间要进行通讯，部门与部门之间也要通讯。如何实现呢？  实现方法：每个楼层放一台交换机，每个交换机分别创建三个VLAN（Sales-VLAN、HR-VLAN、Engineer-VLAN），通过核心路由器不同部门才可以实现通讯。

• 实战演练1：

  1.打开Cisco Packet Tracer软件，按照如图2所示创建物理拓扑图
  

  

                                            图2 物理拓扑图

  2.配置主机IP

  

  3.配置交换机

  

  说明：命令详解见鸟哥学习笔记--VLAN间路由1

  4.检查是否连接成功

  

  PC2可以ping通PC1，但是无法ping通PC5（PC1和PC2同属于VLAN1，PC5属于VLAN2）

  

  PC5无法ping通PC3（属于同一个VLAN 2）,同样VLAN 3中的成员也无法连接，这是为什么呢？

  

     

       虽然我们都已经创建了3个VLAN，但是交换机和交换机之间的端口现在还不知道数据帧是发往哪个VLAN，交换机与交换机之间的链路我们称之为干道Trunk。

交换机端口之间的连接分为两种：

          接入链路连接（Access-Link Connection）

          中继链路连接（Trunk-Link Connection）

 ALC：只能传送单个链路连接的数据包，比如实例中交换机与主机之间的那条链路。

 TLC：是在一条物理连接上生成多个逻辑连接，每个逻辑连接属于一个VLAN，在进入中继端口时，交换机会在数据包中加入一个VLAN标记Tag，来区分不同的VLAN。当数据包进入接入链路时，交换机要删除VLAN标记，恢复原来的帧结构。添加和删除VLAN标记的过程是由交换机中的专用硬件自动实现的。

交换机端口协议：IEEE 802.1q（开放标准协议） 和 ISL（Cisco专用），定义VLAN帧标记的格式

上面的试验中，VLAN 1成员之间却可以通讯，那是因为802.1q将不带标的会默认为VLAN 1。

实战演练2

下面来实现VLAN 2和VLAN 3成员内部之间的通讯

建立干道Trunk

说明：

B>en
B#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
B(config)#int f0/10
B(config-if)#switchport mode trunk      // 端口将f0/10设定为Trunk端口

#switchport trunk encapsulation dot1q    //创建干道协议

这个无法创建，可能Cisco现在也默认为802.1Q了？？

VLAN 3中的成员现在也可以通讯了。

疑问有人可能又想到了？如何实现不同VLAN成员之间的通讯呢？

实战演练3

实现不同VLAN成员之间的通讯

上面有提过：属于同一个VLAN的所有端口构成一个广播域，每一个VLAN都是一个逻辑网络，发往VLAN之外的分组必须通过路由器进行转发

1. 将交换机A端口配置为Trunk模式

   A(config)#int f0/12

   A(config-if)#switchport mode trunk

2. 配置路由器

   Router#conf t
   Enter configuration commands, one per line.  End with CNTL/Z.
   Router(config)#int f0/0.1                         //f0/0.1  1自定义，通常定义为VLAN号

   Router(config-subif)#encapsulation dot1Q 1   //配置以太网子接口vlan号，封装格式为802.1q
   Router(config-subif)#ip add 1.1.1.11  255.0.0.0 //添加IP
   Router(config-subif)#int f0/0.2

   Router(config-subif)#encapsulation dot1Q 2
   Router(config-subif)#ip add 2.1.1.11  255.0.0.0
   Router(config-subif)#int f0/0.3

   Router(config-subif)#encapsulation dot1Q 3
   Router(config-subif)#ip add 3.1.1.11  255.0.0.0

   Router(config-subif)#exi
   Router(config)#no shutdown

3. 配置所有主机网关

   VLAN 1成员 1.1.1.11

   VLAN 2成员 2.1.1.11

   VLAN 3成员 3.1.1.11
   

   
   

   4.测试

      

连接失败，不要怕~~

原来交换机的端口f0/11模式是auto自动模式

Cisco交换机接口模式有4种：

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。

2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。

3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

所以协议不同，自然无法通讯，我们手动更改为Trunk模式

连接成功

几个常用的命令：

#sh ip route        //显示IP路由表

#sh ip int brief    //显示路由器端口表

#no shutdowm   //激活端口

#shutdown         //关闭端口

#sh vlan  brief     //显示vlan

#sh int tr             //显示trunk端口信息

三、划分VLAN的好处

1. 控制网络流量

   一个VLAN内部成员通信不会转发到其他VLAN中去，有助于控制网络风暴，减小冲突域，提高带宽的利用率。
   

2. 提高网络安全性

3. 灵活管理网络

   工作组可以突破地理位置的限制而根据管理功能来划分。