Access 类型的端口只能属于1个VLAN,一般用于连接计算机的端口,也可以连接交换机和交换机。
Trunk 类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,trunk口一般用于连接两台交换机,这样可以只用一条trunk连接实现多个vlan的扩展。对于trunk口发送出去的报文,只有默认vlan的报文不带vlan ID,其它vlan的报文都要带vlan ID(要不然,对端的交换机不知道该报文属于哪个vlan,无法处理,也就不能实现vlan跨交换机扩展了)。简而言之,trunk端口的设计目的就是通过一条连接实现多个vlan的跨交换机扩展。
Hybrid 类型的端口可以实现比trunk端口更多的功能,trunk端口是hybrid端口的真子集。可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。hybrid端口可以加入多个vlan,并可以设置该vlan的报文通过该端口发送是否带vlan ID(trunk端口不能设置,只有默认vlan的报文不带vlan ID进行发送)。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。
1、限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或、跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
2、增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
相应的工作设备有路由器和路由交换机
首先是创建vlan
vlan n(n为正整数) 同时创建多个vlan vlan batch n x y (n、x、y为整数)
将vlan划分到端口(access、hybrid、trunk)
access 端口:通常是PC与交换机相连的那个口
port link-type access 端口类型是access
port default vlan n 端口属于vlan几
hybrid端口:通常是PC与交换机、交换机与交换机、交换机与路由器相连的口
port link-type hybrid
port hybrid vlan n
trunk端口:通常是交换机与交换机、交换机与路由器相连的口
port link-type trunk
port trunk allow-pass vlan n x y (n、x、y为整数) 允许通过这些vlan
实验环境:华为ensp模拟器,三台交换机,两台二层交换机,一台三层交换机,四台PC机。
实验目的:实现端口划分vlan、以及不同vlan间的通信。
LSW3的配置:
<huawei>system-view Enter system view, return user view with Ctrl+Z. [huawei]sysname LSW3 [LSW3] [LSW3]vlan batch 10 20 Info: This operation may take a few seconds. Please wait for a moment...done. [LSW3]int e0/0/1 [LSW3-Ethernet0/0/1]port link-type access [LSW3-Ethernet0/0/1]port default vlan 10 [LSW3-Ethernet0/0/1]undo shutdown Info: Interface Ethernet0/0/1 is not shutdown. [LSW3-Ethernet0/0/1]quit [LSW3]int e0/0/2 [LSW3-Ethernet0/0/2]port link-type access [LSW3-Ethernet0/0/2]port default vlan 20 [LSW3-Ethernet0/0/2]undo shutdown Info: Interface Ethernet0/0/2 is not shutdown. [LSW3-Ethernet0/0/2]int e0/0/3
[LSW3-Ethernet0/0/3]port link-type trunk [LSW3-Ethernet0/0/3]port trunk allow-pass vlan 10 20 [LSW3-Ethernet0/0/3]quit [LSW3]
LSW2 的配置:命令的简写模式
<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys LSW2 [LSW2]v b 10 20 Info: This operation may take a few seconds. Please wait for a moment...done. [LSW2]int e0/0/1 [LSW2-Ethernet0/0/1]p l a [LSW2-Ethernet0/0/1]p d v 20 [LSW2-Ethernet0/0/1]un sh Info: Interface Ethernet0/0/1 is not shutdown. [LSW2-Ethernet0/0/1]int e0/0/2 [LSW2-Ethernet0/0/2]p l a [LSW2-Ethernet0/0/2]p d v 10 [LSW2-Ethernet0/0/2]un sh Info: Interface Ethernet0/0/2 is not shutdown. [LSW2-Ethernet0/0/2]int e0/0/3 [LSW2-Ethernet0/0/3]p l t [LSW2-Ethernet0/0/3]p t a v 10 20 [LSW2-Ethernet0/0/3]un sh Info: Interface Ethernet0/0/3 is not shutdown. [LSW2-Ethernet0/0/3]int g0/0/1 [LSW2-GigabitEthernet0/0/1]p l t [LSW2-GigabitEthernet0/0/1]p t a v 10 20 [LSW2-GigabitEthernet0/0/1]q [LSW2]
LSW1 的配置:
<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys LSW1 [LSW1]v b 10 20 Info: This operation may take a few seconds. Please wait for a moment...done. [LSW1]int vlanif 10 [LSW1-Vlanif10]ip add 10.0.0.1 24 [LSW1-Vlanif10]q [LSW1]int vlanif 20 [LSW1-Vlanif20]ip add 10.0.10.1 24 [LSW1-Vlanif20]q [LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]p l t [LSW1-GigabitEthernet0/0/1]p t a v 10 20 [LSW1-GigabitEthernet0/0/1]q [LSW1]
PC机的配置:配置相应的IP 和网关
用PC机在命令行界面中 使用ping命令分别ping网关和不同vlan的主机看是否能通。能通说明实验成功。
实验成功
