一、VLAN
1. 什么是VLAN?
VLAN,全称是虚拟局域网(Virtual Local Area Network),是一种将物理局域网(LAN)分割成多个逻辑上的、彼此独立的网络的方法。这些逻辑网络可以在同一物理网络设备(如交换机)上实现,而不需要实际的物理隔离。
2. VLAN作用
- 提高网络安全性:
通过将网络流量划分为多个VLAN,可以将不同部门或应用的数据隔离在不同的逻辑网络中,减少网络攻击的范围。
- 网络管理的灵活性:
VLAN使得网络管理更加灵活和方便。管理员可以在不同的物理位置上创建和管理VLAN,而不需要重新布线或增加新的硬件。
- 优化网络性能:
VLAN通过将网络流量分隔在不同的逻辑网络中,可以减少广播风暴,提高网络性能。
- 简化网络配置:
VLAN使得网络配置更加简单和高效。管理员可以通过软件配置来管理VLAN,而不需要更改硬件设备的物理连接。
- 提升可扩展性:
使用VLAN,可以在同一交换机上为不同的工作组或部门创建独立的网络,并且可以根据需要轻松地添加或移除VLAN,提升网络的可扩展性。
3. 应用场景
企业网络:在企业网络中,常常使用VLAN将不同的部门(如市场部、财务部和研发部)进行隔离,以提高安全性和管理效率。
学校网络:在学校网络中,VLAN可以用于将不同的教室或实验室隔离开来,确保教学数据的安全和独立。
数据中心:在数据中心,VLAN用于将不同的服务器或服务隔离开来,提高网络的安全性和性能。
4. VLAN间路由
| 方式 | 方法 |
|---|---|
| 单臂路由Router on a Stick (RoAS) | 通过一个路由器的单条链路来连接多个VLAN。这种方法使用一个路由器的接口连接到一个交换机的多个VLAN,然后通过路由器的路由表来实现VLAN间的通信。 |
| 三层交换机Layer 3 Switching | 使用支持Layer 3功能的交换机(也称为多层交换机)。这些交换机可以在VLAN间进行路由,因此可以直接在交换机上配置路由表来实现VLAN间的通信。 |
| 多接口路由 | 通过一个独立的路由器来实现VLAN间的路由。每个VLAN都连接到一个独立的路由器接口,然后通过路由器的路由表来实现VLAN间的通信。 |
二、VLAN间路由方法
(一)单臂路由
概述:单臂路由是一种通过单个物理路由器接口连接多个VLAN,并通过子接口进行VLAN间路由的方法。这种方法适用于小型网络。
参考文章:单臂路由配置
最终的实验效果PC1、PC2和PC3可以相互通信ping通,发送报文。
了解了单臂路由的配置操作,我们来将单臂路由应用至企业网络架构实验。
1. 企业网络架构实验——单臂路由
在企业网络架构实验基础上,我们进行vlan之间的通信实验操作
各部门之间的PC不能相互访问,但同部门的PC可以相互访问,且PCO可以访问部门对应的server
增加一个Router路由器,聚合链路
在配置单臂路由前,为PC和server配置上网关
市场部:192.168.10.254
财务部:192.168.20.254
生产部:192.168.30.254
A. 配置LSW1
- 查看设备当前的运行配置,包括接口配置、VLAN配置、路由配置和其他所有有效的配置命令。回车查看更多。
display current-configuration
- 链路聚合:GE0/0/1和GE0/0/2
inter eth-trunk 2
trunkport g 0/0/1
trunkport g 0/0/2
port link-type trunk
port trunk allow-pass vlan all
B. 配置R1
- 基础配置
undo t m
sys
undo info en
sys R1
vlan batch 100 200 300
- 路由器链路聚合配置路由子接口
#链路聚合
int eth 1
trunkport g 0/0/1
trunkport g 0/0/2
dis this 查看
#配置路由子接口
int eth-trunk1.100 #进入端口
dot1q termination vid 100 #开启单臂路由
ip add 192.168.10.254 24 #配置IP地址
arp broadcast enable #开启ARP协议
undo sh #打开端口
vlan 200和300的配置如上
C. 测试
- 市场部PC10访问
- PC10访问财务部的PC12和server5
- PC10访问财务部的PC14和server6
- 财务部PC12访问
- PC12访问市场部的PC10和server4
- PC12访问生产部的PC14和server6
- 财务部PC14访问
- PC10访问财务部的PC14和server6
- PC10访问财务部的PC12和server5
(二)三层交换机(S5700)
概述:三层交换机可以在二层交换(VLAN间的帧转发)和三层路由(IP路由)之间进行切换,从而直接在交换机上实现VLAN间的路由。
参考文章:三层交换机配置
最终的实验效果PC1、PC2、PC3和PC4可以相互通信ping通,发送报文。这里就不展示测试结果了。
了解了三层交换机的配置操作,我们来将三层交换机应用至企业网络架构实验。
1. 企业网络架构——三层交换机
在企业网络架构实验基础上,我们进行vlan之间的通信实验操作
各部门之间的PC不能相互访问,但同部门的PC可以相互访问,且PCO可以访问部门对应的server
在配置单臂路由前,为PC和server配置上网关
市场部:192.168.10.254
财务部:192.168.20.254
生产部:192.168.30.254
A. 配置LSW1
- 查看设备当前的运行配置,包括接口配置、VLAN配置、路由配置和其他所有有效的配置命令。回车查看更多。
display current-configuration
- 链路聚合:GE0/0/1和GE0/0/2
inter eth-trunk 2
trunkport g 0/0/1
trunkport g 0/0/2
port link-type trunk
port trunk allow-pass vlan all
B. 配置S5700
- 基础配置
undo t m
sys
undo info en
sys R1
- 路由器链路聚合配置三层交换机
#链路聚合
int eth 1
trunkport g 0/0/1
trunkport g 0/0/2
port link-type trunk
port trunk allow-pass vlan all
dis this 查看
#配置vlan间路由,分配网段
int vlan 100
ip address 192.168.10.254 24
q
int vlan 200
ip address 192.168.20.254 24
q
int vlan 300
ip address 192.168.30.254 24
C. 测试
测试操作如单臂路由操作一样
