VLAN基础配置及Access接口

早期的局城网技术是基于总线型结构的。总线型拓扑结构是由一根单电缆连接着所有主机，这种局城网技术存在着冲突域问题，即所有用户都在一个冲突域中，那么同一时间内只有一台主机能发送消息，从任意设备发出的消息都会被其他所有主机接收到，用户可能收到大量不需要的报文:而且所有主机共享一条传输通道，任意主机之间都可以直接互相访问，无法控制信息的安全。

为了避免冲突域，同时扩展传统局城网以接入更多计算机，可以在局域网中使用二层交换机。交换机能有效隔离冲突域，但是由于所有计算机仍处于同一个广播域，任意

设备都能接收到所有报文，不但降低了网络的效率，而且降低了安全性，即广播域和信息安全问题依旧存在。为了能减少广播，提高局域网安全性，人们使用虚拟局域网即

VLAN技术把一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信，而VLAN间不能直接互通。这样，广播报文被限制在一个VLAN内，同时也提高了网络安全性。不同的VLAN使用不同的VLAN ID区分，VLAN ID的范围是0~4095，可配置的值为1~ 4094，0和4095为保留值。

Access接口是交换机上用来连接用户主机的接口。当Access接口从主机收到一个不带VLAN标签的数据帧时，会给该数据帧加上与PVID -致的VLAN标签(PVID可手工配置，默认是1,即所有交换机上的接口默认都属于VLAN1)。当Access接口要发送一个带VLAN标签的数据帧给主机时，首先检查该数据帧的VLAN ID是否与自己的

PVID相同，若相同，则去掉VLAN标签后发送该数据帧给主机:若不相同，直接丢弃该数据帧。

VLAN基础配置及Access接口拓扑如图3-1所示。

实验编址见表3-1。

1.基本配置

根据实验编址进行相应的基本IP地址配置，在此步骤中不要为交换机创建任何的VLAN。

使用ping命令检测各直连链路的连通性，所有的PC都能相互通信。

其他主机间互相通信测试和上述相同，略过。

2.创建VLAN

除默认VLAN 1 外，其余VLAN需要通过命令来手工创建。创建VLAN有两种方式，一种是使用vlan命令一次创建单个VLAN,另- -种方式是使用vlan batch命令- -次

创建多个VLAN。

在S1上使用两条命令分别创建VLAN10和VLAN20。

在S2上使用一-条vlanbath命令创建VLAN30和VLAN40。

配置完成后，在S1和S2.上使用display vlan命令查看VLAN的相关信息。

可以观察到，S1 和S2都已经成功创建了相应VLAN,但目前没有任何接口加入所创建的VLAN 10与20中，默认情况下交换机上所有接口都属于VLAN 1。

3.配置Access接口

按照拓扑，使用port link-type access命令配置所有S1和S2交换机上连接PC的接口类型为Access类型接口，并使用port default vlan命令配置接口的默认VLAN并同时加入相应VLAN中。默认情况下，所有接口的默认VLANID为1。

配置完成后，查看S1与S2上的VLAN信息。

可以观察到，目前两台交换机上连接PC的接口都已经加入到相应所属部门的VLAN当中。

4.检查配置结果

在交换机上将不同接口加入各自不同的VLAN中后，属于相同VLAN的接口处于同一个广播域，相互之间可以直接通信。属于不同VLAN的接口是处于不同的广播城，相互之间不能直接通信。

在这个实验环境中，只有同属于IT部门VLAN 10的两台主机PC-1和PC-2之间可以互相通信。其他不同部门间的PC之间将无法通信。

在IT部门的终端PC-1上分别测试与同部门]的终端PC-2、HR部]的PC-3间的连通性。

可以观察到，相同VLAN内的PC可以互相通信，不同VLAN内的PC间无法通信。

思考

在本实验中，如果将S2的接口E 0/0/5 配置为Access类型接口，并划入VLAN 30中，此时PC-1能否ping通PC-4? PC-1能否ping通PC-5?为什么?

为了方便广大网络爱好学习者一起学（聚）习（众）交（搞）流（基），特开设华为干货交流群，里面已经上传大量学习资料，欢迎广大网络工程师进群学习！