以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现 LAN 互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了 VLAN 技术,这种技术可以把一个 LAN 划分成多个逻辑的 VLAN,每个VLAN 是一个广播域,VLAN 内的主机间通信就和在一个 LAN 内一样,而VLAN 间则不能直接互通,这样,广播报文就被限制在一个 VLAN 内。
本实验通过配置华为交换机设备,了解并熟悉 VLAN 技术的相关配置。
一、实验目的
- 掌握VLAN 的创建方法
- 掌握Access、Trunk 和 Hybrid 类型接口的配置方法
- 掌握基于接口划分 VLAN 的配置方法
- 掌握基于 MAC 地址划分 VLAN 的配置方法
- 掌握 MAC 地址表及 VLAN 信息的查看方式
二、实验拓扑结构
其中,交换机S1-S4统一使用S3700交换机。
IP和VLAN规划如下表所示
| 设备 | 接口 | IP地址 | 所属VLAN |
|---|---|---|---|
| S1 | Eth 0/0/1 | VLAN 2 | |
| S2 | Eth 0/0/1 | VLAN 10 | |
| S3 | Vlanif3 | 10.1.3.1/24 | VLAN3 |
| S4 | Vlanif3 | 10.1.3.2/24 | VLAN3 |
| PC1 | Eth 0/0/1 | 10.1.2.1/24 | VLAN2 |
| PC2 | Eth 0/0/1 | 10.1.10.1/24 | VLAN10 |
| PC3 | Eth 0/0/1 | 10.1.3.30/24 | VLAN3 |
| PC4 | Eth 0/0/1 | 10.1.3.40/24 | VLAN3 |
三、实验背景
某公司根据业务需求,需要对其二层网络进行VLAN 划分。同时,VLAN 10 为特殊 VLAN,为了保证信息安全,只有某些特殊的 PC才可以通过 VLAN 10 进行网络访问。
如实验拓扑图所示,可以在 S1 和 S2 交换机上配置基于接口划分 VLAN,把业务相同的用户连接的接口划分到同一VLAN。
同时,可以在 S2上配置基于 MAC 地址划分 VLAN,绑定特殊PC的 MAC 地址。
四、实验过程
4.1 配置思路
(1)创建 VLAN
(2)配置交换机基于接口划分 VLAN
(3)配置交换机基于 MAC地址划分 VLAN
4.2 实验过程
4.2.1 设备基础配置
(1)LSW1交换机的基础配置
<Huawei>system-view # 禁用信息中心
[Huawei]undo info-center enable
[Huawei]sysname S1
(2)LSW2交换机的基础配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S2(3)LSW3交换机的基础配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S3(4)LSW4交换机的基础配置
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S44.2.2 配置设备及接口IP地址
(1)PC1的基础配置
(2)PC2的基础配置
(3)PC3的基础配置
(4)PC4的基础配置
(5)在交换机 S3 上创建 VLAN 3
[S3]vlan 3
[S3-vlan3]quit(6)在交换机S4 上创建 VLAN 3
[S4]vlan 3
[S4-vlan3]quit(7)配置交换机 S3接口为 Access 接口,并将接口划入对应的 VLAN。
配置接口的链路类型的命令格式如下:
port link-type 链路类型
其中链路类型有Access、Trunk 和Hybrid三种模式。
# 进入GE 0/0/2接口的配置模式
[S3]interface GigabitEthernet 0/0/2# 将接口的链路类型配置为access模式
[S3-GigabitEthernet0/0/2]port link-type access # 将接口划入到vlan 3
[S3-GigabitEthernet0/0/2]port default vlan 3
[S3-GigabitEthernet0/0/2]quit# 进入Vlanif 3接口的配置模式
[S3]interface Vlanif 3# 为接口指定IP地址
[S3-Vlanif3]ip address 10.1.3.1 24
[S3-Vlanif3]quit# 进入Eth0/0/1接口的配置模式
[S3]interface Eth0/0/1# 将接口的链路类型配置为access模式
[S3-Ethernet0/0/1]port link-type access # 将接口划入到vlan 3
[S3-Ethernet0/0/1]port default vlan 3
[S3-Ethernet0/0/1]quit(8)配置交换机S4 接口为 Access 接口,并将接口划入对应的 VLAN
# 进入GE 0/0/2接口模式
[S4]interface GigabitEthernet 0/0/2# 将接口链路类型配置为access模式
[S4-GigabitEthernet0/0/2]port link-type access # 将接口划入vlan 3
[S4-GigabitEthernet0/0/2]port default vlan 3
[S4-GigabitEthernet0/0/2]quit# 进入Vlanif 3接口模式
[S4]interface Vlanif 3# 为接口指定IP地址
[S4-Vlanif3]ip address 10.1.3.2 24
[S4-Vlanif3] quit# 进入Eth 0/0/1接口模式
[S4]interface Ethernet0/0/1# 将接口链路类型配置为access模式
[S4-Ethernet0/0/1]port link-type access # 将接口划入vlan 3
[S4-Ethernet0/0/1]port default vlan 3
[S4-Ethernet0/0/1]quit
4.2.3 创建VLAN
创建 VLAN 并进入 VLAN 视图的命令格式如下:
vlan van-id
批量创建 VLAN的命令格式如下:
vlan batch vlan-id1 to vlan-id2
(1)在交换机 S1 上创建 VLAN 2、3、10
# 批量创建VLAN 2、VLAN 3和VLAN 10
[S1]vlan batch 2 to 3 10(2)在交换机S2 上创建 VLAN 2、3、10
# 批量创建VLAN 2、VLAN 3和VLAN 10
[S2]vlan batch 2 to 3 104.2.4 配置基于接口划分VLAN
(1)配置交换机S1连接终端的接口为 Access 接口,并将接口划入对应的 VLAN
# 进入Ethernet 0/0/1
[S1]interface Ethernet 0/0/1# 将接口的链路类型配置为access
[S1-Ethernet0/0/1]port link-type access # 将接口划入VLAN 2
[S1-Ethernet0/0/1]port default vlan 2
[S1-Ethernet0/0/1]quit# 进入GE 0/0/2
[S1]interface GigabitEthernet 0/0/2# 将接口的链路类型配置为access
[S1-GigabitEthernet0/0/2]port link-type access # 将接口划入VLAN 3
[S1-GigabitEthernet0/0/2]port default vlan 3
[S1-GigabitEthernet0/0/2]quit(2)配置交换机S2连接终端的接口为 Access 接口,并将接口划入对应的 VLAN
# 进入GigabitEthernet0/0/2
[S2]interface GigabitEthernet 0/0/2# 将接口的链路类型配置为access
[S2-GigabitEthernet0/0/2]port link-type access # 将接口划入VLAN 3
[S2-GigabitEthernet0/0/2]port default vlan 3
[S2-GigabitEthernet0/0/2]quit(3)配置交换机S1的互联接口为 Trunk 接口,并仅允许 VLAN 2、3 和10通过
[S1]interface GigabitEthernet 0/0/1# 将接口链接类型配置为trunk模式
[S1-GigabitEthernet0/0/1]port link-type trunk # 允许VLAN 2 3 10帧通过
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 10# 禁止VLAN 1帧通过
[S1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[S1-GigabitEthernet0/0/1]quit
注:默认情况,任何链路类型均允许通过VLAN1帧,若无实际业务用途,出于安全考虑,一般要将它删除。
(4)配置交换机S2的互联接口为 Trunk 接口,并仅允许 VLAN 2、3 和10通过
[S2]interface GigabitEthernet 0/0/1# 将接口链接类型配置为trunk模式
[S2-GigabitEthernet0/0/1]port link-type trunk # 允许VLAN 2 3 10帧通过
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 10# 禁止VLAN 1帧通过
[S2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
[S2-GigabitEthernet0/0/1]quit4.2.5 配置基于MAC划分VLAN
如实验组网图所示,PC2模拟特殊业务 PC,从前面的截图可以看出该 PC的 MAC地址为5489-98B5-5C1F。现希望该 PC 可以通过 S2 的 GE0/0/1 端口接入网络,并且通过 VLAN 10 进行数据传递。
(1)配置交换机 S2,让 PC 的 MAC 地址与 VLAN 10 关联
基于 MAC划分 VLAN 指将 MAC地址与 VLAN 关联,按照报文的源 MAC 地址来定义 VLAN成员,将指定报文添加该 VLAN 的 Tag 后发送。
用户在变换物理位置时,不需要重新划分VLAN,提高了终端用户的安全性和接入的灵活性。
用来配置 MAC 地址与 VLAN 关联的命令格式如下,其中MAC地址格式按xxxx-xxxx-xxxx的形式给出。
mac-vlan mac-address xxxx-xxxx-xxxx
[S2]vlan 10
[S2-vlan10]mac-vlan mac-address 5489-98B5-5C1F
[S2-vlan10]quit(2)配置交换机 S2 的 Eth0/0/1 接口为 Hybrid 接口,并允许基于 MAC地址划分的 VLAN 通过当前 Hybrid 接口
在 Access 口和 Trunk 口上,只有基于 MAC划分的 VLAN 和 PVID 相同时,才可以正常使用。
所以基于 MAC地址划分 VLAN 推荐在 Hybrid 口上配置,可以接收多个 VLAN 不带标签通过。
[S2]interface Eth 0/0/1# 将接口链路类型配置为hybrid模工
[S2-Ethernet0/0/1]port link-type hybrid# 将接口加入到VLAN,该VLAN 帧将以Untagged 方式通过接口
[S2-Ethernet0/0/1]port hybrid untagged vlan 10# 使能基于MAC地址划分VLAN功能
[S2-Ethernet0/0/1]mac-vlan enable
[S2-Ethernet0/0/1]quit
4.2.6 查看交换机的VLAN配置信息
(1)查看S1的VLAN配置信息
[S1]display vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 2 common UT:Eth0/0/1(U) TG:GE0/0/1(U)
3 common UT:GE0/0/2(U) TG:GE0/0/1(U) 10 common TG:GE0/0/1(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
10 enable default enable disable VLAN 0010 (2)查看S2的VLAN配置信息
[S2]display vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 2 common TG:GE0/0/1(U) 3 common UT:GE0/0/2(U) TG:GE0/0/1(U) 10 common UT:Eth0/0/1(U) TG:GE0/0/1(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
10 enable default enable disable VLAN 0010 (3)查看S3的VLAN配置信息
[S3]display vlan
The total number of vlans is : 2
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 3 common UT:Eth0/0/1(U) GE0/0/2(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
3 enable default enable disable VLAN 0003 (4)查看S4的VLAN配置信息
[S4]display vlan
The total number of vlans is : 2
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 3 common UT:Eth0/0/1(U) GE0/0/2(U) VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------1 enable default enable disable VLAN 0001
3 enable default enable disable VLAN 0003 4.2.6 结果验证
(1)在PC3上ping PC4,可以验证它们之间可以ping通
PC>ping 10.1.3.40Ping 10.1.3.40: 32 data bytes, Press Ctrl_C to break
From 10.1.3.40: bytes=32 seq=1 ttl=128 time=110 ms
From 10.1.3.40: bytes=32 seq=2 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=3 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=4 ttl=128 time=109 ms
From 10.1.3.40: bytes=32 seq=5 ttl=128 time=125 ms--- 10.1.3.40 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 109/112/125 ms(2)在PC1上ping其它PC,可验证均无法ping通
PC>ping 10.1.10.1Ping 10.1.10.1: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachablePC>ping 10.1.3.30Ping 10.1.3.30: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachablePC>ping 10.1.3.40Ping 10.1.3.40: 32 data bytes, Press Ctrl_C to break
From 10.1.2.1: Destination host unreachable五、参考配置
5.1 S1的配置
[S1]display current-configuration
#
sysname S1
#
undo info-center enable
#
vlan batch 2 to 3 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 2
#
interface Ethernet0/0/2
#
……此处省略部分默认的内容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan 2 to 3 10
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return5.2 S2的配置
[S2]display current-configuration
#
sysname S2
#
undo info-center enable
#
vlan batch 2 to 3 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
vlan 10mac-vlan mac-address 5489-98b5-5c1f priority 0
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1port hybrid untagged vlan 10mac-vlan enable
#
interface Ethernet0/0/2
#
……此处省略部分默认的内容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1port link-type trunkundo port trunk allow-pass vlan 1port trunk allow-pass vlan 2 to 3 10
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
5.3 S3的配置
[S3]display current-configuration
#
sysname S3
#
undo info-center enable
#
vlan batch 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface Vlanif3ip address 10.1.3.1 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 3
#
interface Ethernet0/0/2
#
……此处省略部分默认的内容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
5.4 S4的配置
[S4]display current-configuration
#
sysname S4
#
undo info-center enable
#
vlan batch 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http
#
interface Vlanif1
#
interface Vlanif3ip address 10.1.3.2 255.255.255.0
#
interface MEth0/0/1
#
interface Ethernet0/0/1port link-type accessport default vlan 3
#
interface Ethernet0/0/2
#
……此处省略部分默认的内容……
#
interface Ethernet0/0/22
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 3
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
六、参考材料
HCIA-Datacom实验指导手册V1.0
