实验原理
在以太网中,通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成,为了使VLAN的数据帧跨越多台交换机传递,交换机之间互连的链路需要配置为干道链路(Trunk Link)。和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同VLAN数据的,它不属于任何一个具体的VLAN,可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的数据。
Trunk端口一般用于交换机之间连接的端口,Trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。
当Trunk端口收到数据帧时,如果该帧不包含802.1Q的VLAN标签,将打上该Trunk端口的PVID;如果该帧包含802.1Q的VLAN标签,则不改变。
当Trunk端口发送数据帧时,当该所发送帧的VLAN ID与端口的PVID不同时,检查是否允许该VLAN通过,若允许的话直接透传,不允许就直接丢弃;当该帧的VLANID与端口的PVID相同时,则剥离VLAN标签后转发。
实验内容
本实验模拟某公司网络场景。公司规模较大,员工200余名,内部网络是一一个大的局域网。公司放置了多台接入交换机(如S1和S2)负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域,由于员工较多,相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信,需要配置交换机之间链路为干道模式,以实现相同VLAN跨交换机通信。
实验步骤:
(1) 根据实验内容,利用eNSP仿真软件画出如下拓扑图:
(2) 根据下面的编址表进行相应的IP地址配置。启动所有设备并利用Ping命令测试直连链路的连通性。(没有划分VLAN之前,两两之间应该都能ping通,这里以“PC-1”ping“PC-3”为例)
(3) 在三台交换机上分别创建VLAN10和VLAN20,研发部员工属于VLAN10,市场部员工属于VLAN20。
[zhengjunjie-S1]vlan 10
[zhengjunjie-S1-vlan10]vlan 20
[zhengjunjie-S2]vlan 10
[zhengjunjie-S2-vlan10]vlan 20
[zhengjunjie-S3]vlan 10
[zhengjunjie-S3-vlan10]vlan 20
(4) 使用display vlan summary来查看配置好的vlan简要信息,(这里以zhengjunjie-S1为例,实际上三个交换机都需要检查一下vlan是否配置好)
(5) 在zhengjunjie-S1中配置E 0/0/2和E 0/0/3为access接口,并且划分到相应的VLAN;
在zhengjunjie-S2中配置E 0/0/3和E 0/0/4为access接口,并且划分到相应的VLAN;
配置完成后使用display port vlan 命令检查VLAN和接口配置情况。
(注:这里以zhengjunjie-S1中的E 0/0/2为例,其他的接口配置方法一样)
(6) 测试相同部门中的PC是否可以进行通信(以研发部PC-1,PC-3为例)
发现相同部门之间并不能正常通信。
(7) 为了让交换机能够识别和发送跨越交换机的VLAN报文,需要将交换机间相连的接口配置成为Trunk接口。配置时要明确被允许通过的VLAN,实现对VLAN流量传输的控制。
7.1在zhengjunjie-S1上配置E 0/0/1为Trunk接口,允许VLAN10和VLAN20通过。
7.2在zhengjunjie-S2上配置E 0/0/2为Trunk接口,允许VLAN10和VLAN20通过。
7.3在zhengjunjie-S3上配置GE 0/0/1和GE 0/0/2为Trunk接口,允许所有VLAN通过。
(8) 使用display port vlan 命令来查看Trunk的配置情况,这里以zhengjunjie-S3为例
(9) 再次测试部门间的PC的连通性,同样以研发部的PC-1和PC-3为例:
发现可以进行通信,实验结束。