网工知识——VLAN技术

1.认识Vlan

Vlan又叫虚拟局域网，用于划分网络，从而隔断广播域

2.Vlan的划分方式

五种：基于接口（最常用，最重要），基于MAC，基于ip子网划分，基于协议划分，基于策略

配置vlan时交换机的接口类型:三种

Access接口：连接终端，只收发无标签的帧，只能加入一个vlan

Trunk接口：可以连接多个vlan，用于交换机之间，路由器或防火墙的子接口的连接。

Hybird接口：与Trunk接口相似，但可以指点那个vlan带不带标签

3.配置

1.vlan配置access接口和trunk接口，略

2.vlan配置hybird接口

需求：让pc1和pc2都可以访问服务器，而让pc1和pc2之间无法相互通信

拓扑图：

配置内容：

IP地址配置，略

sw1配置：

vlan batch 10 20 100 #创建vlan
int g0/0/1
port link-type hybrid  #将接口设置为hybrid类型
port hybrid tagged vlan 10 20 100 #将发出去的数据包打上对应的vlan标签

int g0/0/2
port link-type hybrid 
port hybrid pvid vlan 10 #将发出去的数据包打上对应pvid相同的vlan标签
port hybrid untagged vlan 10 100  #将接收相应vlan标签的数据包，同时去除vlan标签

int g0/0/3
port link-type hybrid
port hybrid pvid vlan 20
port hybrid untagged vlan 20 100

sw2配置：

vlan batch 10 20 100
int g0/0/1
port link-type hybrid
port hybrid tagged vlan 10 20 100

int g0/0/2
port link-type hybrid
port hybrid pvid vlan 100
port hybrid untagged vlan 10 20 100

4.vlan间通信

1.用路由器（网关）连接（一种用两根线连接，一种用一根线连接，也就是单臂路由）

2.设置三层交换机

单臂路由配置

拓扑图：

配置

交换机

vlan batch 10 20
int g0/0/2
port link-type access
port default vlan 10

int g0/0/3
port link-type access
port default vlan 20

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

路由器

int g0/0/0.10  #子接口命名方式，接口最后一个数字加.后面自己命名
dot1q termination vid 10 #该子接口对应的vlan为10
ip address 192.168.1.1 255.255.255.0
arp broadcast enable #开启arp广播功能

int g0/0/0.20
dot1q termination vid 20
ip address 192.168.2.1 255.255.255.0
arp broadcast enable

三层交换机配置（常用），配置见vlan实验

5.ACL访问控制列表

控制什么流量可以通过，什么流量不可以通过

配置

拓扑图：

需求：pc1可以访问vlan20的各个主机，pc2不能访问vlan20的各个主机

配置内容：

lsw3配置vlan10和trunk

vlan batch 10
int g0/0/2
port link-type access
port default vlan 10

int g0/0/3
port link-type access
port default vlan 10

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

lsw4配置vlan20和trunk

vlan batch 20
int g0/0/2
port link-type access
port default vlan 20

int g0/0/3
port link-type access
port default vlan 20

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

switchB配置trunk

vlan batch 10 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20

int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20

switchA配置三层交换机

vlan batch 10 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

int vlanif10
ip address 192.168.1.1 255.255.255.0
int vlanif20
ip address 192.168.2.1 255.255.255.0

switchB配置ACL访问控制

acl 3000 #编号有规定的取2000-2999的只识别数据包的IP地址，3000-3999可以识别数据包的其他信息】

rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.2.0 0.0.0.255 #禁止源地址为192.168.1.3的主机访问，目标网段为192.168.2.x的主机

int g0/0/2

traffic-filter inbound acl 3000 #inbound表示对进入的数据包进行过滤