一、原理概述
在以太网中,通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成,为了使VLAN的数据帽跨越多台交换机传递,交换机之间互连的链路需要配置为干道链路(Trunk Link)。和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同VLAN数据的,它不属于任何一个具体的VLAN,可以承载所有的VLAN数据,也可以配置为只能传输指定VLAN的数据。
Trunk端口一般用于交换机之间连接的端口,Trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。
当Trunk端口收到数据帽时,如果该帜不包含802。1Q的VLAN标签,将打上该Trunk端口的PVID;如果该帜包含802.1Q的VLAN标签,则不改变。
当Trunk端口发送数据帜时,当该所发送帜的VLANID与端口的PVID不同时,检查是否允许该VLAN通过,若允许的话直接透传,不允许就直接丢弃:当该帜的VLAN ID与端口的PVID相同时,则剥离VLAN标签后转发。
二、实验目的
- 理解干道链路的应用场景
- 掌握Trunk端口的配置
- 掌握Trunk端口允许所有VLAN通过的配置方法
- 掌握Trunk端口允许特定VLAN通过的配置方法
三、实验内容
本实验模拟某公司网络场景。公司规模较大,员工200余名,内部网络是一个大的局域网。公司放置了多台接入交换机(如S1和S2)负责员工的网络接入。接入交换机之间通过汇聚交换机S3相连。公司通过划分VLAN来隔离广播域,由于员工较多,相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信,需要配置交换机之间链路为干道模式,以实现相同VLAN跨交换机通信。
四、实验拓扑
跨交换机实现VLAN间通信的拓扑如图3-2所示。
图3-2跨交换机实现VLAN间通信拓扑
五、实验编址
实验编址见表3-2。
表 3-2 | 实验编址 | |||
设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
PC1 | Ethernet0/0/1 | 10.1.1.1 | 255.255.255.0 | N/A |
PC2 | Ethernet0/0/1 | 10.1.1.2 | 255.255.255.0 | N/A |
PC3 | Ethernet0/0/1 | 10.1.1.3 | 255.255.255.0 | N/A |
PC4 | Ethernet0/0/1 | 10.1.1.4 | 255.255.255.0 | N/A |
六、实验步骤
1)基本配置
根据实验编址表进行相应的基本IP地址配置,并使用ping命令检测各直连链路的连通性。在没有完成划分VLAN之前各PC之间都能互通(属于默认VLAN1)。
这里以PC-1与PC-3的ping测试为例,其余省略。
2)创建VLAN,配置Access接口
公司内网需要通过VLAN的划分来隔离不同的部门,需要在3台交换机S1、S2、S3上都分别创建VLAN10和VLAN20,研发部员工属于VLAN10,市场部员工属于VLAN20。
[S1]vlan 10
[S1-vlan10]description R$D
[S1-vlan10]quit
[S1]vlan 20
[S1-vlan20]description Market
[S1-vlan20]quit
[S2]vlan 10
[S2-vlan10]description R$D
[S2-vlan10]quit
[S2]vlan 20
[S2-vlan20]description Market
[S2-vlan20]quit
[S3]vlan 10
[S3-vlan10]description R$D
[S3-vlan10]quit
[S3]vlan 20
[S3-vlan20]description Matket
[S3-vlan20]quit
配置完成后,使用display vlan命令查看所配置的VLAN信息,以S3为例。
[S3]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D)
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D)
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D)
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D)
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D)
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D)
10 common
20 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable R$D
20 enable default enable disable Matket
可以观察到相关的VLAN都已经配置好。也可以使用display vlan summary命令查看所配置VLAN的简要信息。
<S3>display vlan summary
static vlan:
Total 3 static vlan.
1 10 20
dynamic vlan:
Total 0 dynamic vlan.
reserved vlan:
Total 0 reserved vlan.
在S1上配置E0/0/2和E0/0/3为Access接口,并划分到相应的VLAN。
[S1]interface Ethernet 0/0/2
[S1-Ethernet0/0/2]port link-type access
[S1-Ethernet0/0/2]port default vlan 10
[S1-Ethernet0/0/2]quit
[S1]interface Ethernet 0/0/3
[S1-Ethernet0/0/3]port link-type access
[S1-Ethernet0/0/3]port default vlan 20
[S1-Ethernet0/0/3]quit
在S2上配置E0/0/3和E0/0/4为Access接口,并划分到相应的VLAN。
[S2]interface Ethernet 0/0/3
[S2-Ethernet0/0/3]port link-type access
[S2-Ethernet0/0/3]port default vlan 10
[S2-Ethernet0/0/3]quit
[S2]interface Ethernet 0/0/4
[S2-Ethernet0/0/4]port link-type access
[S2-Ethernet0/0/4]port default vlan 20
[S2-Ethernet0/0/4]quit
配置完成后,使用display port vlan命令检查VLAN和接口配置情况。
[S1]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 -
Ethernet0/0/2 access 10 -
Ethernet0/0/3 access 20 -
[S2]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
Ethernet0/0/1 hybrid 1 -
Ethernet0/0/2 hybrid 1 -
Ethernet0/0/3 access 10 -
Ethernet0/0/4 access 20 -
可以观察到PC所连接的交换机接口都已经被配置成Access模式,并且已经加入到了正确的VLAN中
3)配置 Trunk 接口
将PC所连入的交换机接口划入到相应的部门VLAN后,测试相同部门中的PC是否能够通信。
测试PC-1与PC-3之间的连通性。
测试PC-2与PC-4之间的连通性。
可以观察到此时同部门的PC间不能通信。
目前在该跨交换机实现不同VLAN通信的二层组网拓扑中,虽然与PC端相连的交换机接口上创建并划分了VLAN信息,但是在交换机与交换机之间相连的接口上并没有相应的VLAN信息,不能够识别和发送跨越交换机的VLAN报文,此时VLAN只具有在每台交换机上的本地意义,无法实现相同VLAN的跨交换机通信。
为了让交换机间能够识别和发送跨越交换机的VLAN报文,需要将交换机间相连的接口配置成为Trunk接口。配置时要明确被允许通过的VLAN,实现对VLAN流量传输的控制。
在S1上配置E0/0/1为Trunk接口,允许VLAN10和VLAN20通过。
[S1]interface Ethernet 0/0/1
[S1-Ethernet0/0/1]port link-type trunk
[S1-Ethernet0/0/1]port trunk allow-pass vlan 10 20
[S1-Ethernet0/0/1]quit
在S2上配置E0/0/2为Trunk接口,允许VLAN10和VLAN20通过。
[S2]interface Ethernet 0/0/2
[S2-Ethernet0/0/2]port link-type trunk
[S2-Ethernet0/0/2]port trunk allow-pass vlan 10 20
[S2-Ethernet0/0/2]quit
在S3上配置GE0/0/1和GE0/0/2为Trunk接口,允许所有VLAN通过。
[S3]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S3-GigabitEthernet0/0/1]quit
[S3]interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S3-GigabitEthernet0/0/1]quit
配置完成后可以使用display port vlan命令来检查Trunk的配置情况,这里以S3为例。
[S3]display port vlan
Port Link Type PVID Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet0/0/1 trunk 1 1-4094
GigabitEthernet0/0/2 trunk 1 1-4094
可以观察到S3的GE0/0/1和GE0/0/2已被成功配置为Trunk接口,并且允许所有VLAN流量通过(VLAN1~4094)。
再次验证不同交换机上的相同部门的PC间的连通性。
测试PC-1与PC-3之间的连通性。
测试PC-2与PC-4之间的连通性。
可以观察到此时同部门中的PC已经能成功通信。