一、关于VLAN
1.什么是vlan?
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
2.vlan的作用及优势
vlan能够起到隔离广播域、广播控制、带宽利用、降低延迟、提升安全性等作用。
优点:
1. 抑制广播风暴(泛洪)
划分VLAN可以防止广播风暴波及整个网络。即:一台主机发出的数据包只会被和它同一VLAN下的主机接收。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
2. 安全性高
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3.成本低
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因而可节约成本。
4.性能提高
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
5.提高人员工作效率
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
6.增加了网络连接的灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地VLAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
二、eNSP划分VLAN实验
拓扑一如下:
拓扑一的实验环境是为了验证在同一交换机下不同vlan间的PC连通性的问题
如上图所示,PC1、PC2、PC3在同一网段下,如果我们没有划分vlan的情况下,这3台机器是可以互通的。
PC1配置:
PC2配置:
PC3配置:
没有划分vlan的情况下三台机器的连通性:
可以看到,三台机器之间的连通性是没有问题的。
我们将PC1和PC3划为vlan10,PC2划为vlan20后,测试PC1和PC2、PC1和PC3的连通性。
实验步骤如下:
LSW1配置:
<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 10
我们测试一下PC1和PC2、PC1和PC3的连通性:
PC1 ping PC3:
PC1 ping PC3是通的,因为在此拓扑图中它们的vlan是一样的,就相当于它们在同一个组里,所以PC1发往PC3的包没有被丢弃。
PC1 ping PC2:
PC1 ping PC2 是不通的,他们在不同vlan中,当PC1发数据包给PC2时,会被交换机识别为不同vlan,从而将数据包丢弃。
拓扑二如下:
该实验是为了验证多交换机时,相同vlan之间、不同vlan之间连通性。这种拓扑结构是更贴合现实中企业内部网络搭建的。结果大家肯定已经猜到了,我们就通过时间验证一下。
LSW1配置如下:
<Huawei>system-view
[Huawei]sysname LSW1
[LSW1]vlan batch 10 20
[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access
[LSW1-Ethernet0/0/1]port default vlan 10
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 20
[LSW1-Ethernet0/0/2]int e0/0/3
[LSW1-Ethernet0/0/3]port link-type trunk ##e0/0/3口是和交换机相连的,这时我们将该接口的模式改为trunk口(交换机接口默认的模式是hybird(混合)接口)
[LSW1-Ethernet0/0/3]port trunk allow-pass vlan all ##配置3口允许所有vlan通过
LSW2配置如下:
<Huawei>system-view
[Huawei]sysname LSW2
[LSW2]vlan batch 10 20
[LSW2]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/1]port default vlan 10
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 20
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type trunk ##同LSW1一样的,e0/0/3口是和交换机相连的,这时我们将该接口的模式改为trunk口)
[LSW2-Ethernet0/0/3]port trunk allow-pass vlan all ##配置3口允许所有vlan通过
PC1 ping PC3:
PC2 ping PC4:
可见,PC1 ping PC3和PC2 ping PC4都是通的
PC1 ping PC2:
同样的,PC1 ping PC4 也不会通:
三、总结
vlan具有划分、隔离广播域的作用,相同vlan下的所有主机可以通信,不同vlan下的主机是建立不起通信的,极大的减少了广播风暴的危险。如果想实现不同vlan间的通信,就需要用到三层交换机了。
关于不同vlan间的通信,后续会详细讲解,敬请期待。
最后感谢大家的观看,如有不足之处,望大家交流指正。