任務(wù)5

組建虛擬局域網(wǎng)5.1任務(wù)描述網(wǎng)絡(luò)通信項(xiàng)目組當(dāng)前網(wǎng)絡(luò)為平面結(jié)構(gòu)，所有設(shè)備處于同一廣播域，導(dǎo)致：網(wǎng)絡(luò)擁堵日益嚴(yán)重；

精細(xì)化運(yùn)維困難。為優(yōu)化性能、提升資源利用率并增強(qiáng)安全性，項(xiàng)目組計(jì)劃引入虛擬局域網(wǎng)(VirtualLocalAreaNetwork，VLAN)技術(shù)進(jìn)行網(wǎng)絡(luò)劃分，實(shí)現(xiàn)網(wǎng)絡(luò)資源的高效利用和安全隔離。5.2任務(wù)目標(biāo)了解廣播與廣播域的概念；理解VLAN的原理；掌握VLAN的用途；掌握交換機(jī)端口的類型。知識目標(biāo)01能夠配置VLAN；能夠配置跨交換機(jī)的VLAN。能力目標(biāo)02遵法守紀(jì)、誠實(shí)守信，履行道德準(zhǔn)則和行為規(guī)范，具有社會責(zé)任感。素質(zhì)目標(biāo)03利用VLAN技術(shù)提高網(wǎng)絡(luò)設(shè)計(jì)靈活性，簡化網(wǎng)絡(luò)管理。創(chuàng)新目標(biāo)045.3知識準(zhǔn)備5.3.1VLAN的相關(guān)概念VLAN是一種在二層交換機(jī)上實(shí)現(xiàn)的技術(shù)，它將一個物理局域網(wǎng)在邏輯層面劃分為多個獨(dú)立的廣播域，突破物理位置的限制，實(shí)現(xiàn)靈活的網(wǎng)絡(luò)分割。同一VLAN內(nèi)的廣播幀和未知單播幀僅在本VLAN內(nèi)泛洪，不會跨越VLAN邊界傳輸，確保了各VLAN的廣播域隔離。VLAN的本質(zhì)內(nèi)部流量傳播特點(diǎn)5.3.1VLAN的相關(guān)概念：廣播和廣播域在以太網(wǎng)中，一臺網(wǎng)絡(luò)設(shè)備同時向網(wǎng)絡(luò)中其他的所有設(shè)備發(fā)送信息的數(shù)據(jù)發(fā)送方式稱為廣播。廣播的概念廣播信息在網(wǎng)絡(luò)中能傳播到的區(qū)域，稱為廣播域，本書僅討論二層廣播域。交換機(jī)中廣播域和沖突域的關(guān)系如右圖所示。廣播域的定義如ARP請求通信，一臺設(shè)備為獲取目的IP地址對應(yīng)的MAC地址，要向所在網(wǎng)絡(luò)的所有其他設(shè)備發(fā)送信息。廣播舉例—ARP請求0102035.3.1VLAN的相關(guān)概念：VLAN原理

廣播在網(wǎng)絡(luò)中起著重要的作用，許多網(wǎng)絡(luò)協(xié)議都要用到。在一個擁有非常多計(jì)算機(jī)的局域網(wǎng)中，廣播報(bào)文也會急劇增加，消耗大量的帶寬，廣播數(shù)量占到通信總量的30%時，網(wǎng)絡(luò)傳輸效率會顯著降低，甚至造成網(wǎng)絡(luò)擁塞。

VLAN通過在交換機(jī)上進(jìn)行邏輯劃分，將單一廣播域分割為多個較小的廣播域。每個VLAN是一個獨(dú)立的廣播域。二層數(shù)據(jù)幀（包括廣播幀）無法直接跨越VLAN邊界傳播。VLAN之間不能直接進(jìn)行二層通信，二層廣播無法傳播到其他VLAN。VLAN有效隔離廣播流量，減少其對整體網(wǎng)絡(luò)的影響。5.3.1VLAN的相關(guān)概念：VLAN作用將大型廣播域分割為小型廣播域，抑制廣播風(fēng)暴。限制廣播域范圍隔離敏感VLAN間的二層流量，限制病毒傳播范圍，將故障域縮小。增強(qiáng)網(wǎng)絡(luò)安全性基于邏輯而非物理位置組織用戶，簡化網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)。提高網(wǎng)絡(luò)管理靈活性5.3.1VLAN的相關(guān)概念：VLAN劃分方法根據(jù)交換機(jī)的交換端口來劃分，是最常見、應(yīng)用最廣泛的劃分方法。基于端口劃分根據(jù)主機(jī)的MAC地址劃分，允許主機(jī)物理位置移動時，自動保留所屬VLAN成員身份?；贛AC地址劃分按照數(shù)據(jù)幀的協(xié)議類型和封裝格式劃分，適用于針對具體應(yīng)用和服務(wù)組織用戶的場景?；趨f(xié)議劃分根據(jù)管理員定義的復(fù)雜策略（組合端口、MAC地址、IP地址、協(xié)議、應(yīng)用等條件）動態(tài)分配VLAN?；诓呗詣澐?.3.1VLAN的相關(guān)概念：交換機(jī)端口分類Access端口是連接用戶主機(jī)的接口，只能連接接入鏈路，僅允許唯一VLANID通過，發(fā)往對端設(shè)備的以太網(wǎng)幀不帶標(biāo)簽。0102Trunk端口與其他交換機(jī)連接，只能連接干道鏈路，允許多個VLAN的幀（帶Tag標(biāo)記）通過，除與PVID一致的VLAN幀發(fā)送時剝離Tag外，其他幀全帶Tag發(fā)送。03Hybrid端口既可以連接接入鏈路又可以連接干道鏈路，允許多個VLAN的幀通過，并可在出接口方向?qū)⒛承￢LAN幀的Tag剝離。04思科交換機(jī)端口思科交換機(jī)有Access和Trunk端口的類型。沒有直接的Hybrid端口等效類型5.3.2配置VLAN

交換機(jī)SW1的接口接入了財(cái)務(wù)部和項(xiàng)目部的計(jì)算機(jī)，VLAN10分配給財(cái)務(wù)部，VLAN20分配給項(xiàng)目部。屬于相同VLAN的計(jì)算機(jī)能夠互通，屬于不同VLAN的計(jì)算機(jī)之間無法通信。各部門計(jì)算機(jī)工作在192.168.1.0/24網(wǎng)段。5.3.2配置VLAN：配置命令執(zhí)行“vlanbatch{vlan-id1vlan-id2}”命令，能創(chuàng)建多個不連續(xù)ID的VLAN。執(zhí)行“vlanbatch{vlan-id1[tovlan-id2]}”命令，創(chuàng)建多個連續(xù)ID的VLAN。執(zhí)行“vlan<vlan-id>”命令，創(chuàng)建VLAN。創(chuàng)建單個VLAN創(chuàng)建多個連續(xù)VLAN創(chuàng)建多個不連續(xù)VLAN5.3.2配置VLAN：配置命令接口視圖下，執(zhí)行“portlink-typeaccess”命令，可將端口配置為Access類型。01接口視圖下，配置端口類型為Access后，執(zhí)行“portdefaultvlan<vlan-id>”命令。02接口視圖下，執(zhí)行“portlink-typetrunk”命令，可將端口配置為Trunk類型。03接口視圖下，配置端口類型為Trunk后，執(zhí)行“porttrunkallow-passvlan{vlan-id1[tovlan-id2]}”命令。04配置Access端口配置Access端口PVID配置Trunk端口允許通過的VLAN配置Trunk端口5.3.2配置VLAN：配置思路5.3.2配置VLAN：配置過程在交換機(jī)SW1上創(chuàng)建VLAN10和VLAN20；配置交換機(jī)端口類型；配置終端PC的IP地址；測試網(wǎng)絡(luò)連通性。(1)在SW1上創(chuàng)建VLAN10和VLAN20，命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlanbatch10205.3.2配置VLAN：配置過程(2)在SW1上將各部門計(jì)算機(jī)所使用的端口類型配置為Access，并配置端口的PVID，命令如下：[SW1]interfaceethernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Etherneto/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceethernet0/0/2[SW1-Etherneto/0/2]portlink-typeaccess[SW1-Etherneto/0/2]portdefaultvlan10[SW1-Ethernet0/0/2]quit[SW1]interfaceethernet0/0/3[SW1-Etherneto/0/3]portlink-typeaccess[SW1-Etherneto/0/3]portdefaultvlan20[SW1-Ethernet0/0/3]quit5.3.2配置VLAN：配置過程(3)配置完成后，檢查VLAN和端口配置情況，命令如下：[SW1]displayportvlanPortLinkTypePVIDTrunkVLANList---------------------------------------------------------------------------Ethernet0/0/1access10-Ethernet0/0/2access10-Ethernet0/0/3access20-5.3.2配置VLAN：配置過程(4)配置各部門計(jì)算機(jī)的IP地址，以PC1為例。5.3.2配置VLAN：配置驗(yàn)證以PC1為例，使用“PC>ping192.168.1.2”命令，測試與本部門PC2的連通性，結(jié)果顯示能正常互通。相同VLAN計(jì)算機(jī)互通測試PC>ping192.168.1.2Ping192.168.1.2:32databytes,PressCtrl_CtobreakFrom192.168.1.2:bytes=32seq=1ttl=128time=47msFrom192.168.1.2:bytes=32seq=2ttl=128time=47msFrom192.168.1.2:bytes=32seq=3ttl=128time=63msFrom192.168.1.2:bytes=32seq=4ttl=128time=47msFrom192.168.1.2:bytes=32seq=5ttl=128time=31ms---192.168.1.2pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/47/63ms5.3.2配置VLAN：配置驗(yàn)證使用“PC>ping192.168.1.3”命令，測試PC1與項(xiàng)目部PC3的連通性，結(jié)果顯示無法互通。不同VLAN計(jì)算機(jī)互通測試PC>ping192.168.1.3Ping192.168.1.3:32databytes,PressCtrl_CtobreakFrom192.168.1.1:DestinationhostunreachableFrom192.168.1.1:DestinationhostunreachableFrom192.168.1.1:DestinationhostunreachableFrom192.168.1.1:DestinationhostunreachableFrom192.168.1.1:Destinationhostunreachable---192.168.1.3pingstatistics---5packet(s)transmitted0packet(s)received100.00%packetloss通