目录
VLAN在交换机上的实现方法,可以大致划分为多类,基于端口划分的VLAN方法是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
一、实验目的
1.理解虚拟局域网的概念。
2.了解VLAN技术在交换式以太网中的使用。
3.理解VLAN在数据链路层隔离广播域的作用。
二、实验要求
1.拓扑图
2.IP地址配置
三、实验步骤
1. 任务一:观察未划分VLAN前,交换机对广播包的处理
步骤1:按要求配置IP地址
步骤2:查看交换机上VLAN信息
通过Inspect工具查看两个交换机的Port Status Summary Table。Switch0上所有端口均属于VLAN1,即未划分VLAN。
步骤3:观察在未划分VLAN的情况下,交换机对广播包的转发方法
在Simulation模式,设置过滤器,ARP和ICMP。PC0向PC2发送简单数据包,观察发送数据包的详情。
观察是否发送ARP数据包,向哪些站点发送ARP广播包,记录该广播包的传播范围。
删除所有场景,为下一步实验做准备。
2. 任务二:创建两个VLAN,并将端口划分到不同的VLAN内
步骤1:创建VLAN
参照如上,分别在两个交换机上设置vlan2和vlan3。
步骤2:设置两个交换机之间的中继连接
步骤3:将端口设置到不同的VLAN内
具体划分见下表:
3. 任务三:观察划分VLAN后,交换机对广播包的处理
步骤1:查看交换机上的VLAN信息
任务2中,已经在两台交换机上设置了两个VLAN:VLAN2和VLAN3,从而得到两个广播域。查看两台交换机的Port Status Summart Table,观察链接状态。
步骤2:观察交换机对广播包的处理,理解划分VLAN的情况下,广播域的范围
在Simulation模式。设置过滤ARP和ICMP。添加PC0向PC3发送简单数据包。
观察ARP数据包的封装信息。通过"Auto Capture/Play"按钮,观察数据发送过程。重点观察两台交换机转发该广播包的范围,哪些PC最终接受到该广播包,哪些没有接收到该广播包。结合步骤1查看的VLAN信息,对结果进行分析。
按照上述步骤,添加PC1向PC2发送的数据报,观察期ARP广播包发送的情况并记录其结果。
4. 任务四 观察802.1Q帧封装格式
步骤:观察跨交换机的帧封装格式
在仿真状态,只捕获ICMP数据报,添加PC0向PC3发送的数据包。捕获跨交换机的ICMP数据包。该数据包与原来数据包相比,多了字段TPID和TCI,即为VLAN标记。
按照上述步骤,捕获PC1-PC5的数据包,观察其数据包帧的封装格式,并与PC0向PC3发送的数据包格式进行对比。
四、实验环境
五、 实验结果
任务一:观察未划分VLAN前,交换机对广播包的处理
步骤1:按要求配置IP地址
步骤2:查看交换机上VLAN信息
通过Inspect工具查看两个交换机的Port Status Summary Table。Switch0上所有端口均属于VLAN1,即未划分VLAN。
如图所示,交换机的所有端口都属于VLAN1,即未划分VLAN
步骤3:观察交换机对广播包的处理,理解划分VLAN的情况下,广播域的范围
在Simulation模式。设置过滤ARP和ICMP。添加PC0向PC3发送简单数据包。
观察ARP数据包的封装信息。通过"Auto Capture/Play"按钮,观察数据发送过程。重点观察两台交换机转发该广播包的范围,哪些PC最终接受到该广播包,哪些没有接收到该广播包。结合步骤1查看的VLAN信息,对结果进行分析。
如图所示,发送了ARP数据包,该广播包传播到了所有主机。
结果分析
VLAN未划分:
所有端口均属于VLAN1,意味着所有端口处于同一个广播域。因此,ARP广播包应被转发到所有端口。
所有主机均接收广播包:
由于交换机处于默认配置状态,未划分VLAN,ARP广播包传播到所有主机是预期结果。
这表明交换机在转发广播包方面工作正常,网络配置正确。
按照上述步骤,添加PC1向PC2发送的数据报,观察期ARP广播包发送的情况并记录其结果。
如图所示,发送了ARP数据包,该广播包传播到了所有主机。
删除所有场景,为下一步实验做准备。
任务二:创建两个VLAN,并将端口划分到不同的VLAN内
步骤1:创建VLAN
参照如上,分别在两个交换机上设置vlan2和vlan3。
步骤2:设置两个交换机之间的中继连接
设置中继连接
步骤3:将端口设置到不同的VLAN内
具体划分见下表:
设置端口
任务三:观察划分VLAN后,交换机对广播包的处理
步骤1:查看交换机上的VLAN信息
任务2中,已经在两台交换机上设置了两个VLAN:VLAN2和VLAN3,从而得到两个广播域。查看两台交换机的Port Status Summart Table,观察链接状态。
交换机信息如图
步骤2:观察交换机对广播包的处理,理解划分VLAN的情况下,广播域的范围
在Simulation模式。设置过滤ARP和ICMP。添加PC0向PC3发送简单数据包。
观察ARP数据包的封装信息。通过"Auto Capture/Play"按钮,观察数据发送过程。重点观察两台交换机转发该广播包的范围,哪些PC最终接受到该广播包,哪些没有接收到该广播包。结合步骤1查看的VLAN信息,对结果进行分析。
由事件列表可以看出,PC0只将数据包传给了同在vlan2的PC3和PC4。
按照上述步骤,添加PC1向PC2发送的数据报,观察期ARP广播包发送的情况并记录其结果。
由事件列表可以看出,PC1只将数据包传给了同在vlan3的PC2和PC5。
任务四 观察802.1Q帧封装格式
步骤:观察跨交换机的帧封装格式
在仿真状态,只捕获ICMP数据报,添加PC0向PC3发送的数据包。捕获跨交换机的ICMP数据包。该数据包与原来数据包相比,多了字段TPID和TCI,即为VLAN标记。
按照上述步骤,捕获PC1-PC5的数据包,观察其数据包帧的封装格式,并与PC0向PC3发送的数据包格式进行对比。
PC1向PC5发送数据包与数据包PC0到PC3的数据包相比,TPID字段相同(TPID是IEEE定义的源类型,表明这是一个加了802.1Q标签的帧,此2个字节固定为0x8100),TCI字段发生变化,TCI包含下面的一些元素:
Priority(优先级):
这是一个3位的字段,用于指明帧的优先级。
一共有8种优先级,从0(最低)到7(最高)。
IEEE 802.1Q标准使用这三位信息来定义帧的优先级,以支持QoS(服务质量)功能。
CFI(Canonical Format Indicator):
CFI是一个1位的字段,用于指示地址的比特次序信息。
CFI值为0时,表示使用的是规范格式(Canonical Format)。
CFI值为1时,表示使用的是非规范格式(Non-Canonical Format),这通常用于特定的网络介质,如令牌环或源路由FDDI。
VLAN ID(VLAN Identifier):
VLAN ID是一个12位的字段,用于指明VLAN的标识符。
一共有4096个可能的VLAN ID(从0到4095)。
每个支持IEEE 802.1Q协议的交换机在发送数据包时都会包含这个字段,以指明数据包所属的VLAN。
六、思考题
1.在任务一中,两台交换机分别如何处理广播包?其广播包的传播范围有多大?
处理广播包的方式:
在任务一中,交换机没有划分VLAN,两台交换机对广播包的处理如下:
当交换机接收到一个广播包(如ARP请求)时,它会将该包转发到除了接收到该包的端口之外的所有端口。
由于两台交换机之间是互联的,这意味着广播包会从一台交换机传播到另一台交换机。
广播包的传播范围:
广播包会在整个网络中传播。具体来说,广播包会从发送端PC经过第一个交换机转发到所有端口,然后通过连接的链路到达第二个交换机,并继续转发到所有端口。最终,所有连接到这两台交换机的设备都能接收到广播包。因此,广播包的传播范围覆盖了整个网络中的所有设备。
2.在任务三中,当一台PC发送广播包时,与之连接在同一台交换机上的其他PC是否一定能接收到该广播包?根据实验结果举例说明。
不一定。划分VLAN后交换机只会向有相同VLAN下的端口进行转发,不会全部转发。如PC0-PC3的情况。
3.通过分析任务一和任务三的实验结果,说明划分VLAN的作用。
划分VLAN的作用:
逻辑隔离:
VLAN能够将一个物理网络逻辑上划分为多个虚拟网络,每个VLAN都是一个独立的广播域。不同VLAN之间的通信需要借助路由器或三层交换机,这样可以控制哪些设备之间可以通信,哪些设备之间不能通信。逻辑隔离增强了网络的安全性和隐私保护,因为不同VLAN之间的通信被限制,减少了潜在的安全风险。
管理灵活性:
VLAN允许网络管理员根据业务需求、用户组、部门或其他标准将网络分段。管理员可以独立地配置每个VLAN的IP地址范围、网关、安全策略等,从而简化网络管理和配置。VLAN的灵活性还体现在可以轻松地添加、移动或更改设备所属的VLAN,而无需改变物理连接。
广播控制:
在VLAN中,广播报文被限制在特定的VLAN内部,不会传播到整个网络中。这减少了不必要的广播流量,提高了网络带宽的利用率,并降低了广播风暴的风险。对于大型网络来说,广播控制是确保网络性能和稳定性的关键因素之一。
故障隔离:
VLAN的划分有助于隔离和定位网络故障。如果某个VLAN中的设备发生故障,故障的影响将被限制在该VLAN内部,不会扩散到其他VLAN。这使得故障排除和恢复操作更加容易和高效。
提升性能:
通过限制广播域和碰撞域在每个VLAN内部,VLAN减少了广播和碰撞对网络性能的影响。管理员可以根据业务需求为每个VLAN分配适当的带宽资源,确保关键业务的网络性能。VLAN还可以与其他网络优化技术(如QoS)结合使用,进一步提升网络的整体性能。
七、实验心得体会
虚拟局域网(VLAN)的引入极大地优化了网络性能和资源管理。通过限制广播信息的传播范围,VLAN显著减少了网络中的广播流量,从而避免了网络因广播风暴而性能下降的问题。
VLAN本质上是一种逻辑上的网络划分,它允许管理员根据业务需求、用户群体或部门结构,将网络设备和资源重新组合成不同的逻辑子网。这种逻辑上的重新组合提供了极大的灵活性,使网络结构更加易于管理和维护。通过VLAN,用户可以方便地访问不同服务器或数据库中的资源,而无需关心它们实际的物理位置。
划分VLAN后,局域网的工作原理发生了改变。在传统的共享式网络中,广播信息会不加区别地发送到整个网络中,导致不必要的带宽占用和性能下降。而VLAN通过将网络划分为多个逻辑子网,限制了广播信息的传播范围。只有当发送方和接收方处于同一VLAN时,广播信息才会被发送。这种机制有效减少了广播流量,提高了网络带宽的利用率。
在数据包格式方面,划分VLAN后,数据包会携带一个额外的VLAN标签。这个标签包含了VLAN标识符(VID),用于标识数据包所属的VLAN。当数据包在网络中传输时,网络设备会根据VLAN标签来判断是否应该将数据包转发到相应的VLAN。通过这种方式,网络设备可以实现对不同VLAN之间的隔离和通信控制。
总之,VLAN的引入为网络带来了诸多好处。它提高了网络性能、增强了安全性、简化了网络管理,并为用户提供了更加灵活和便捷的资源访问方式。通过深入理解VLAN的作用、工作原理和数据包格式的变化,我们可以更好地应用这一技术来优化网络结构、提升网络效率。