VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
简介:
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
实现原理:
1. 静态VLAN
在VLAN管理员最初配置交换机Port和VLAN ID的对应关系时,就已经固定了这种对应关系,即这个Port只能对应这个VLAN ID,之后无法进行更改,除非管理员再重新配置。
当一台设备接到这个Port上的时候,怎么判断该主机的VLAN ID与Port对应呢,这里是根据IP配置决定的,我们知道每个VLAN都有一个子网号,并对应着哪些Port,如果设备要求的IP地址和该Port对应的VLAN的子网号不匹配,则连接失败,该设备将无法正常通信。所以除了连接到正确的Port外,也必须给设备分配属于该VLAN网络段的IP地址,这样才能加入到该VLAN中。
2. 动态VLAN:
交换机自动配置Port为主机所属的VLAN。这里有三种分类:基于MAC,基于IP,基于用户
基于MAC的VLAN(例如二层交换机)
将所有主机的硬件地址都加入到VALN的管理数据库中,例如,一主机随便连接到交换机的一个动态VLAN的Port时,管理数据库将根据主机的MAC地址查询到该主机要加入VLAN 2中,然后自动设置该Port为VLAN 2。缺点是当主机更换了网卡之后,管理数据库需要重新设定。
基于IP的VLAN(例如三层交换机)
与基于MAC不同,这种方法会记录子网ID与VLAN ID的映射,而不论主机的网卡怎么变换,只要他的IP不变,交换机就可以根据主机的子网ID自动设置对应的VLAN ID。
基于用户的VLAN
根据操作系统的登录用户决定VLAN。
Access接口和Trunk接口:
交换机中,有两种类型的接口:接入端口(Access)和中继端口(Trunk),Access接口只能用来连接用户主机,只能属于一个VLAN,因此该接口只传输本VLAN的数据。
以上介绍的都是基于一台交换机划分VLAN的情况,当要实现跨两台甚至更多交换机呢,基于Access接口已经无法实现了,我们需要加入Trunk接口连接交换机。
优点:
控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
特点:
基于端口的VLAN,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为:由于一个端口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。
静态VLAN的优缺点:
可以说静态VLAN与基于端口的VLAN有一丝相似之处,用户可在交换机上 让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态 VLAN虽说是可以使多个端口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚 拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟 局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。
动态VLAN的优缺点:
与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之 中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网 的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。
图1接下来试试搭建和配置一个简单的拓扑图
1.先创建两个局域网 vlan2 和vlan3
[Huawei]sy
[Huawei]sysname S1
[S1]
Aug 29 2022 20:29:23-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 4, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1]vlan ba
[S1]vlan batch 2 3
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1]dis
[S1]display
Aug 29 2022 20:29:53-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 5, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1]display vl
[S1]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D)
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D)
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D)
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D)
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
2 common
3 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
[S1]
2.给S1的Ethernet0/0/1设置接入链路和所属局域网
[S1]int e0/0/1
[S1-Ethernet0/0/1]port li
[S1-Ethernet0/0/1]port link-type access
[S1-Ethernet0/0/1]
Aug 29 2022 20:42:54-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 6, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/1]port defa
[S1-Ethernet0/0/1]port default vlan 3
[S1-Ethernet0/0/1]
Aug 29 2022 20:43:14-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 7, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/1]dis vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D) Eth0/0/5(D)
Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D)
Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D)
Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D)
Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D)
Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D)
2 common
3 common UT:Eth0/0/1(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
[S1-Ethernet0/0/1]
3.给S1的Ethernet0/0/2设置接入链路和所属局域网
[S1-Ethernet0/0/1]int e0/0/2
[S1-Ethernet0/0/2]por
[S1-Ethernet0/0/2]port lin
[S1-Ethernet0/0/2]port link-t
[S1-Ethernet0/0/2]port link-type a
[S1-Ethernet0/0/2]port link-type access
[S1-Ethernet0/0/2]po
[S1-Ethernet0/0/2]port de
[S1-Ethernet0/0/2]port default vla
[S1-Ethernet0/0/2]port default vlan 3
Aug 29 2022 20:45:54-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 8, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/2]
Aug 29 2022 20:46:04-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 9, the ch
ange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/2]dis th
#
interface Ethernet0/0/2
port link-type access
port default vlan 3
#
return
4.给S1的Ethernet0/0/3设置干道链路和可进出局域网口
[S1-Ethernet0/0/2]int e0/0/3
[S1-Ethernet0/0/3]por
[S1-Ethernet0/0/3]port li
[S1-Ethernet0/0/3]port link-t
[S1-Ethernet0/0/3]port link-type tru
[S1-Ethernet0/0/3]port link-type trunk
[S1-Ethernet0/0/3]
Aug 29 2022 20:47:04-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 10, the c
hange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/3]port tr
[S1-Ethernet0/0/3]port trunk all
[S1-Ethernet0/0/3]port trunk allow-pass vl
[S1-Ethernet0/0/3]port trunk allow-pass vlan 2 3
[S1-Ethernet0/0/3]
Aug 29 2022 20:47:24-08:00 S1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.
191.3.1 configurations have been changed. The current change number is 11, the c
hange loop count is 0, and the maximum number of records is 4095.
[S1-Ethernet0/0/3]dis th
#
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
[S1-Ethernet0/0/3]dis vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/3(U) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D)
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D)
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D)
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D)
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D)
GE0/0/1(D) GE0/0/2(D)
2 common TG:Eth0/0/3(U)
3 common UT:Eth0/0/1(U) Eth0/0/2(U)
TG:Eth0/0/3(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
[S1-Ethernet0/0/3]
5.最后各个线路端口配置如下
图26.vlan设置如下
图37.同样的设置在S2也做一遍 最终各个线路端口配置如下
图48.vlan设置如下
图59.验证 pc1和pc2同一网段不同局域网不能访问
图6图7pc1和pc4同一网段同一局域网能访问
图8图9pc2和pc3同一网段同一局域网
图10图11pc2和pc3同一局域网不同网段
图12图13