交换机的VLAN配置.docx

1、交换机的VLAN配置第3章 项目二 交换机的VLAN配置【职业能力目标】1） 根据实际需要，实现单交换机 Port VLAN配置。2） 根据实际需要，实现两交换机 TAG VLAN配置，达到不同交换机与同一 VLAN内主机相通信的目的。3） 网络管理员能根据实际应用需求，通过对交换机 VLAN配置，全面管理企业内部不同管理 单元之间的数据通信，简化网络管理、提高网络的安全性。任务1交换机VLAN的建立3.1.1任务情境你是某公司的网络管理员，公司有财务部、计划部、销售部等部门，为了公司的管理更加 安全与便捷，公司领导要求你组建公司局域网，使各个部门内部主机之间的业务往来可以通 信，但部门之间为

2、了安全禁止互访。3.1.2任务分析为了完成公司领导提岀的任务，实现部门之间安全有效的互访，我们将交换机划分成几个VLAN,使每个部门的主机在一个相同 VLAN内。具体划分为：财务部（ PC101、102）在VLAN100中，VLAN100包括 Fa 0/1 Fa 0/8 端口；计划部（pc201、202）在 VLAN200中，VLAN200包括Fa 0/9 Fa 0/16 端口；销售部（pc301 ）在 VLAN300中，VLAN300包括 Fa 0/17 Fa 0/24 端口。这样，在同一 VLAN内的主机可以相互访问，不同 VLAN内的主机不能相互访问，达到公司要求。拓扑图如图3-1所示。

3、图3-1单交换机VLAN划分任务实施1 配置各个PC机的IP地址在Packet Tracer 中单击PC101，在弹岀的窗口中单击“桌面”选项卡下的“ IP地址配置”选项，得到图 3-2，在该窗口下配置 PC101的IP地址。按照同样方法，分别配置好图 3-1所示的其他PC机的IP地址。由于所有计算机在同一网络地址内，因此这里没有配置网关地址。图3-2配置PC101 IP地址2 创建VLAN并分配端口switchAe nableswitchA#c on figure termi nalEn ter con figurati on comma nds, one per line. End wit

4、h CNTL/Z.switchA(c on fig)#vla n 100switchA(config-vlan)#vlan 200switchA(config-vlan)#vlan 300switchA(c on fig-vla n)#exitswitchA(c on fig)# int range fastEther net 0/1-8switchA(config-if-range)#switchport mode accessswitchA(c on fig-if-ra nge)#switchport access vla n 100switchA(c on fig-if-ra nge)#

5、exitswitchA(c on fig)#i nterface range fastEthernet 0/9-16switchA(config-if-range)#switchport mode accessswitchA(config-if-range)#switchport access vlan 200switchA(c on fig-if-ra nge)#exitswitchA(c on fig)#i nterface range fastEthernet 0/17-24switchA(config-if-range)#switchport mode accessswitchA(co

6、nfig-if-range)#switchport access vian 300switchA(con fig-if-ra nge)#exitswitchA(con fig)#exit查看VLAN配置情况：switchA#show via n1 default100 VLAN0100200 VLAN0200300 VLAN0300物理 配置 臬面active Gig1/1, Gig1/2active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8active Fa0/9, Fa0/10, Fa0/11, Fa0/12Fa0/13, F

7、a0/14, Fa0/15, Fa0/16active Fa0/17, Fa0/18, Fa0/19, Fa0/20Fa0/21, Fa0/22, Fa0/23, Fa0/241003 toke n-rin g-defaultact/u nsup1004 fddi net-defaultact/u nsup1005 trn et-defaultact/u nsup3 测试在Packet Tracer中单击PC101,在弹岀的窗口中单击“桌面”选项卡下“命令提示符”、1002 fddi-defaultact/u nsup3-4所示：其中 PC101与PC102在同一 VLAN内，能够 PING通

8、；PC102与PC202不在同一 VLAN内，不能PING通。物理配置桌面图3-4测试结果3.1.4相关知识1 .什么是VLANVLAN是虚拟局域网(Virtual Local Area Network )的简称，它是在一个物理网络上划分岀来的逻辑网络，按照功能、部门及应用等因素划分成工作组，形成一个个虚拟网络，不需要 考虑设备所处的物理位置，就可直接为虚拟网络上的设备或用户提供服务。 VLAN的划分不受网络端口的实际物理位置限制，和普通物理网络有着同样的属性。一个 VLAN是一个广播域，第二层的单播、多播和广播帧在同一 VLAN内转发、扩散，而不会直接进入其他 VLAN之中。所以，女口果一个

9、端口所连接的主机想要和它不在同一 VLAN内的主机通信，则必须通过路由器或三层交换机才能实现。在交换机组成的网络中，由于交换机速度快，可以提高数据交换速度，但是由于所有主机都在一个广播域，也就是说，一台主机向外发送的广播包其他所有主机都能收到，如果网络规 模较大，网络中的大量广播包会占用很大的网络资源，严重影响了网络性能，也影响了交换网 络的发展。VLAN技术很好的解决了交换网络中划分广播域的问题，运用 VLAN技术可以对交换网络进行隔离划分，划分到同一 VLAN的主机属于一个广播域，这样划分岀来的网络是逻辑网络，并且划分岀来的 VLAN端口不受地理位置限制，就是说不同交换机上的端口可以划分到

10、一个 VLAN中来。VLAN划分的种类有很多，如基于端口的划分、基于协议的划分、基于 MAC地址的划分等，目前应用较多的是基于端口的划分，因为这种划分方法简单易用。2. VLAN成员类型基于端口划分的 VLAN有两种类型，即 Port VLAN和Tag VLAN。被设置为 Port VLAN的端 口叫Access端口，只能属于一个 VLAN通常用来连接主机；被设置为 Tag VLAN的端口叫Trunk口，属于所有 VLAN能够转发所有 VLAN的帧，通常用来连接需要通信的不同 VLAN,实现不同VLAN的通信。3 配置VLAN一个VLAN是以VLAN ID来标识的，VLAN ID从“ 1409

11、6，可以添加、删除、修改，其 中VLAN1由交换机自动建立的，不可以删除。可以使用“ In terface ”配置模式来配置一个端口的VLAN成员类型、加入或移岀 VLAN。默认的VLAN配置如下表3-1所示。表3-1 默认的VLAN配置参 数默认值范 围VLAN ID11 4096VLAN nameVLAN XXXX , XXXX是 VLAN ID 数无范围VLAN stateActiveActive ， Inactive在特权模式下，可以通过表 3-2所示步骤，创建、修改一个 VLAM表3-2 创建、修改VLAN步骤步 骤命 令含 义步骤1Configure terminal进入全局配置模

12、式步骤2Vlan vlan id输入一个VLANID。如果输入的是一个新的 VLANID，则交换机创建一个 VLAN如果输入的是已经存在的VLAN，则修改相应的 VLAN步骤3Name vlan-name（可选）为VLAN取一个名字，如果没有这一 步，则交换机会自动为它起一个名字VLAXXXX，期中XXXX是 0开头的四位VLAN ID 号。步骤4end回到特权命令模式步骤5Show vlan显示交换机VLANJ看是否正确建立。步骤6Copy running-config startupconfig将配置保存在配置文件中在特权模式下，可以通过表 3-3所示步骤，删除一个 VLAM表3-3 删除

13、VLAN步骤步 骤命 令含 义步骤1Configure terminal进入全局配置模式步骤2No Vlan vlan id输入一个VLAN ID,删除它。步骤3end回到特权命令模式步骤4Show vlan显示交换机VLAN看是否正确删除。步骤5Copy running-config startupconfig将配置保存在配置文件中在特权模式下，可以通过表 3-4所示步骤，为一个 VLAN分配Access 口表3-4 将端口分配到 VLAN中的步骤步 骤命 令含 义步骤1Configure terminal进入全局配置模式步骤2Interface interface-id输入一个想加入 VL

14、AN的interface id步骤3Switchport mode access定义该端口的 VLAN成员类型（access型）步骤4Switchport access vlan vlan-id将这个端口分配给 VLAN步骤5end回到特权命令方式步骤6Show interface interface-idswitchport检查接口完整信息步骤7Copy running-config startupconfig（可选）将配置保存在配置文件中3.1.5拓展知识1 交换机接口交换机接口类型如表 3-5所示。表3-5 交换机接口类型类 型模 式描 述Access Port2层口实现2层交换功能，且

15、只转发来自同一个 VLAN的帧Trunk Port2层口实现2层交换功能，可转发来自多个 VLAN的帧L2 Aggregate Port2层口由多个物理接口组成的一个高速传输通道Routed Port3层口用单个物理接口构成的三层网关接口SVI3层口用多个物理接口构成的三层网关接口L3 Aggregate Port3层口由多个物理接口组成的一个高速三层网关接口交换机接口的默认配置如表 3-6所示。表3-6 交换机接口的默认配置参 数默认设置工作模式2层交换模式接口类型Access Port缺省VLANLVLAN 1接口状态UP （激活）接口描述无工作速度自协商双工模式自协商流控关闭风暴控制关闭

16、接口保护关闭接口安全关闭2 交换机接口的配置方法配置接口时，可以配置单个接口，也可以成组配置多个接口。配置单个接口：Switch(c on fig)# in terface port-IDSwitch(co nfig-if)# 配置接口参数in terface 命令用于指定一个接口，之后的命令都是针对此接口的。说明：in terface 命令可以在全局配置模式下执行，此时会进入接口配置模式，它也可以在接口配置模式下执行，所以配置完一个接口后，可直接用 in terface 命令指定下一个接口。参数：port-ID 是接口的标识，它可以是一个物理接口，也可以是一个 VLAN (此时应该把 VLA

17、N理解为一个接口)，或者是一个 Aggregate Port 。配置举例：Switche nableSwitch#c on figure termi nalSwitch(c on fig)#i nterface vla n 1Switch(co nfig-if)#Switch(co nfig-if)# in terface fO/1Switch(c on fig-if)#duplex fullSwitch(co nfig-if)# in terface fO/2Switch(c on fig-if)#duplex fullSwitch(c on fig-if)#e ndSwitch#说明：当交

18、换机没有 3层口时，所有接口都属于 VLAN1,所以VLAN1的IP地址就是交换机的IP地址。成组配置接口：如果有多个接口需要配置相同的参数时，可以成组配置这些接口。Switch(c on fig)#i nterface range port-ra ngeSwitch(co nfig-if)# 配置接口参数参数：port-ra nge 是接口的范围，它可以指定多个范围段，各范围段之间用逗号隔开。说明：port-ra nge 指定接口范围可以是物理接口范围，也可以是一个 VLAN范围。如：fO/1-6vlan 2-4 等。注意： 在 interface range 中的接口必须是相同类型的接口。

19、配置举例： 配置交换机的接口 fastethernet0/1fastethernetO/12 的速度为100Mbps,并把fastethernet0/1fastethernet0/3 和 fastethernet0/7fastethernet0/10 分配给 VLAN2。SwitchenableSwitch#configure terminalSwitch(config)#interface range f0/1-12Switch(config-if)#speed 100Switch(config-if)#interface range f0/1-3,0/7-10Switch(config-i

20、f)#switchport access vlan 2Switch(config-if)#endSwitch#任务2跨交换机相同 VLAN的通信与控制(1)3.2.1任务情境你是某公司的网络管理员，公司有财务部、计划部、销售部等部门，其中销售部的计算机 分布在几座楼内，为了公司的管理更加安全与便捷，公司领导要求你组建公司局域网，使各个 部门内部主机之间的业务往来可以通信，但部门之间为了安全禁止互访。3.2.2任务分析为了完成公司领导提出的任务，实现部门之间安全有效的互访，我们将交换机划分成几个VLAN,使每个部门的主机在一个相同 VLAN内。具体划分为：财务部（ pc101 ）在VLAN100

21、中，VLAN100包括 Fa 0/1 Fa 0/7 端口；计划部（pc201 ）在 VLAN200 中，VLAN200包括 Fa 0/8 Fa 0/16端口；销售部（pc301、302）的计算机在不同的交换机上的 VLAN300中，VLAN300包括Fa0/17Fa 0/20端口，并且两交换机相连的接口 Fa 0/24设为Trunk类型，所以VLAN数据都可以通过Trunk 口从一台交换机某一 VLAN到达另一台交换机同一 VLAN,这样，在同一 VLAN内的 主机可以相互访问，不同部门的计算机不在一个 VLAN内，不能互访。网络拓扑如图 3-5所示。1配置各个PC机的IP地址在Packet

22、Tracer 中单击PC101，在弹岀的窗口中单击“桌面”选项卡下的“ IP地址配置”选项，得到图 3-6，在该窗口下配置 PC101的IP地址。按照同样方法，分别配置好图 3-5所示的其他PC机的IP地址。由于所有计算机在同一网络地址内，因此这里没有配置网关地址。2创建VLAN并分配端口交换机SWITCH A配置：第一步：进入全局配置模式SwitchASwitchAe nableSwitchA#c onfig termi nalEn ter con figurati on comma nds, one per line. End with CNTL/Z.第二步：创建 VLAN并分配端口Swi

23、tchA(co nfig)#vla n 100SwitchA(config-vlan)#vlan 200图3-6配置PC101 IP地址SwitchA(config-vlan)#vlan 300SwitchA(c on fig-vla n)#exitSwitchA(config)#interface range fastEthernet 0/1-7SwitchA(config-if-range)#switchport mode accessSwitchA(c on fig-if-ra nge)#switchport access vla n 100SwitchA(config-if-range

24、)#interface range fastEthernet 0/8-16SwitchA(config-if-range)#switchport mode accessSwitchA(config-if-range)#switchport access vlan 200SwitchA(config-if-range)#interface range fastEthernet 0/17-20SwitchA(config-if-range)#switchport mode accessSwitchA(config-if-range)#switchport access vlan 300Switch

25、A(co nfig-if-ra nge)#exitSwitchA(co nfig-if)#i nterface fastEther net 0/24SwitchA(c on fig-if)#switchport mode tru nk%LINEPROTO-5-UPDOWNi ne protocol on In terface FastEthernet0/24, cha nged state todow n%LINEPROTO-5-UPDOWNi ne protocol on In terface FastEthernet0/24, cha nged state toupSwitchA(conf

26、ig-if)#no shutdown查看VLAN及端口配置情况：SwitchA#show runnin g-c onfigBuildi ng con figurati on.Current configuration : 2072 bytesvers ionno service timestamps log datetime msecno service timestamps debug datetime msecno service password-e ncrypti onhostname Switch interface FastEthernet0/1 switchport access

27、 vlan 100 switchport mode access interface FastEthernet0/2 switchport access vlan 100 switchport mode access interface FastEthernet0/3 switchport access vlan 100 switchport mode access interface FastEthernet0/4 switchport access vlan 100 switchport mode access interface FastEthernet0/5 switchport ac

28、cess vlan 100 switchport mode access interface FastEthernet0/6 switchport access vlan 100 switchport mode access interface FastEthernet0/7 switchport access vlan 100 switchport mode access interface FastEthernet0/8 switchport access vlan 200 switchport mode access interface FastEthernet0/9 switchpor

29、t access vlan 200 switchport mode access interface FastEthernet0/10 switchport access vlan 200 switchport mode access interface FastEthernet0/11 switchport access vlan 200 switchport mode access interface FastEthernet0/12 switchport access vlan 200 switchport mode access interface FastEthernet0/13 s

30、witchport access vlan 200 switchport mode access interface FastEthernet0/14 switchport access vlan 200 switchport mode access interface FastEthernet0/15 switchport access vlan 200 switchport mode access interface FastEthernet0/16 switchport access vlan 200 switchport mode access interface FastEthernet0/17 switchport access vlan 300 switchport mode access interface FastEthernet0/18 switchport access vlan 300 switchport mode accessinterface FastEthernet0/19 switchport access vlan 300 switchport mode accessinterface FastEth