eNSP配置VLAN

实验配置VLAN实验目的掌握 VLAN 的创建方法掌握 Access、 Trunk 和 Hybrid 类型接口的配置方法掌握基于接口划分 VLAN 的配置方法掌握基于 MAC 地址划分 VLAN 的配置方法掌握 MAC 地址表及 VLAN 信息的查看方式实验介绍和内容1、实验介绍以太网是一种基于 CSMA/CD（ Carrier Sense Multiple Access/Collision De

旁观日落。

23708人浏览 · 2022-01-16 15:58:38

旁观日落。 · 2022-01-16 15:58:38 发布

实验配置VLAN

实验目的

掌握 VLAN 的创建方法
掌握 Access、 Trunk 和 Hybrid 类型接口的配置方法
掌握基于接口划分 VLAN 的配置方法
掌握基于 MAC 地址划分 VLAN 的配置方法
掌握 MAC 地址表及 VLAN 信息的查看方式

实验介绍和内容
1、实验介绍
以太网是一种基于 CSMA/CD（ Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现 LAN 互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。在这种情况下出现了 VLAN 技术，这种技术可以把一个 LAN 划分成多个逻辑的 VLAN，每个VLAN 是一个广播域，VLAN 内的主机间通信就和在一个LAN 内一样，而VLAN 间则不能直接互通,这样，广播报文就被限制在一个 VLAN 内。
本实验通过配置华为交换机设备，了解并熟悉 VLAN 技术的相关配置。

2、实验背景
某公司根据业务需求，需要对其二层网络进行VLAN 划分。同时，VLAN 10 为特殊 VLAN，为了保证信息安全，只有某些特殊的 PC 才可以通过 VLAN 10 进行网络访问。
如实验拓扑图所示，可以在 S1 和 S2 交换机上配置基于接口划分 VLAN，把业务相同的用户连接的接口划分到同一 VLAN。同时，可以在 S2 上配置基于 MAC 地址划分VLAN，绑定特殊 PC 的 MAC 地址。
3、实验组网
网络拓扑图
实验步骤
1.实验任务配置
1.1 配置思路
1）创建 VLAN
2）配置交换机基于接口划分 VLAN
3）配置交换机基于 MAC 地址划分 VLAN
1.2 配置步骤

1)配置设备 IP 地址

pc号	IP地址
pc1	192.168.1.1/24
pc2	192.168.1.2/24
pc3	192.168.1.3/24
pc4	192.168.1.4/24

2)创建 VLAN

# 在交换机 S1 和 S2 上创建 VLAN 2、 3、 10

[S1]vlan batch 2 to 3 10
Info: This operation may take a few seconds. Please wait for a moment...done.

VLAN 2、 3、 10 创建成功。
vlan vlan-id命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。
vlan batch { vlan-id1 [ to vlan-id2 ] }命令用来指定批量创建VLAN。

[S2]vlan batch 2 to 3 10

3)配置基于接口划分 VLAN
# 配置交换机 S1 和 S2 连接终端的接口为 Access 接口，并将接口划入对应的 VLAN

[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1]port link-type access

port link-type { access | hybrid | trunk }命令用来配置接口的链路类型。可以配置接口的类型为Access、 Trunk或Hybrid。

[S1-GigabitEthernet0/0/1]port default vlan 2

port default vlan vlan-id命令用来配置接口的缺省VLAN并同时加入这个VLAN。

[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 3
[S1-GigabitEthernet0/0/2]quit
[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]port link-type access
[S2-GigabitEthernet0/0/1]port default vlan 3
[S2-GigabitEthernet0/0/1]quit

# 配置交换机 S1 和 S2 的互联接口为 Trunk 接口，并仅允许 VLAN 2、 3 通过

[S1]interface GigabitEthernet0/0/3
[S1-GigabitEthernet0/0/3]port link-type trunk
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3

port trunk allow-pass vlan命令用来配置Trunk类型接口加入的VLAN。

[S1-GigabitEthernet0/0/3]undo port trunk allow-pass vlan 1

undo port trunk allow-pass vlan命令用来删除Trunk类型接口加入的VLAN。
VLAN 1默认就在允许通过列表中，若无实际业务用途，出于安全考虑，一般要将它删除。

[S2]interface GigabitEthernet0/0/3
[S2-GigabitEthernet0/0/3]port link-type trunk
[S2-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[S2-GigabitEthernet0/0/3]undo port trunk allow-pass vlan 1

4)配置基于 MAC 地址划分 VLAN

如实验组网图所示，PC4模拟特殊业务 PC，假设该 PC 的 MAC 地址为： a008-6fe1-0c46。希望该 PC 可以通过 S2 的 GigabitEthernet0/0/4、GigabitEthernet0/0/6 任意一个端口接入网络，并且通过 VLAN 10 进行数据传递。

# 配置交换机 S2，让 PC 的 MAC 地址与 VLAN 10 关联
基于MAC划分VLAN指将MAC地址与VLAN关联，按照报文的源MAC地址来定义VLAN成员，将指定报文添加该VLAN的Tag后发送。用户在变换物理位置时，不需要重新划分VLAN，提高了终端用户的安全性和接入的灵活性。

[S2] vlan 10
[S2-vlan10] mac-vlan mac-address a008-6fe1-0c46

mac-vlan mac-address命令用来配置MAC地址与VLAN关联。

# 配置交换机 S2 的 GigabitEthernet0/0/4、 GigabitEthernet0/0/5、 GigabitEthernet0/0/6接口为Hybrid 接口，并允许基于 MAC 地址划分的 VLAN 通过当前 Hybrid 接口。
在Access口和Trunk口上，只有基于MAC划分的VLAN和PVID相同时，才可以正常使用。所以基于MAC地址划分VLAN推荐在Hybrid口上配置，可以接收多个VLAN不带标签通过。

[S2]interface GigabitEthernet0/0/4
[S2-GigabitEthernet0/0/4]port link-type hybrid
[S2-GigabitEthernet0/0/4]port hybrid untagged vlan 10

port hybrid untagged vlan命令用来配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。

[S2-GigabitEthernet0/0/4]quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5]port link-type hybrid
[S2-GigabitEthernet0/0/5]port hybrid untagged vlan 10
[S2-GigabitEthernet0/0/5]quit
[S2]interface GigabitEthernet0/0/6
[S2-GigabitEthernet0/0/6]port link-type hybrid
[S2-GigabitEthernet0/0/6]port hybrid untagged vlan 10
[S2-GigabitEthernet0/0/6]quit

# 配置交换机 S1 和 S2 的互联接口允许 VLAN 10 通过
交换机互联接口需要保证多个VLAN带标签通过，因此可以配置为Trunk接口。

[S1]interface GigabitEthernet0/0/3
[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10
[S1-GigabitEthernet0/0/3]quit
[S2]interface GigabitEthernet0/0/3
[S2-GigabitEthernet0/0/3]port trunk allow-pass vlan 10
[S2-GigabitEthernet0/0/3]quit

# 配置交换机 S2，使能 GE0/0/4、 GE0/0/5、 GE0/0/6接口基于 MAC 地址划分 VLAN 功能，
若想使通过接口的报文按照基于MAC地址划分的VLAN转发，必须使用使能接口的MAC VLAN功能。

[S2]interface GigabitEthernet0/0/4
[S2-GigabitEthernet0/0/1]mac-vlan enable
mac-vlan enable命令用来使能接口的MAC VLAN功能。
[S2-GigabitEthernet0/0/4]quit
[S2]interface GigabitEthernet0/0/5
[S2-GigabitEthernet0/0/5]mac-vlan enable
[S2-GigabitEthernet0/0/5]quit
[S2]interface GigabitEthernet0/0/6
[S2-GigabitEthernet0/0/6]mac-vlan enable
[S2-GigabitEthernet0/0/6]quit

5)查看配置信息

# 查看交换机的 VLAN 信息

[S1]display vlan

display vlan命令用来查看VLAN的相关信息。
display vlan verbose命令用来查看指定VLAN的详细信息，包括VLAN ID、类型、描述信息、状态、统计开关状态、包含的接口以及这些接口的加入方式等。

# 查看交换机的 MAC-VLAN 信息

[S2]display mac-vlan vlan 10
---------------------------------------------------------------------------------
MAC Address MASK VLAN Priority
---------------------------------------------------------------------------------
00e0-fc1c-47a7 ffff-ffff-ffff 10 0
Total MAC VLAN address count: 1

display mac-vlan命令用来查看基于MAC地址划分VLAN的配置信息。

1.3 结果验证
检测设备连通性，验证 VLAN 配置结果
1）在 PC2上执行 Ping 命令，使得 PC2 可以 Ping 通PC3。
2）在 PC1上执行 Ping 命令，使得 PC1与谁都无法 Ping 通。
3）在 PC4上执行 Ping 命令，目的为 PC1，并在 S1 和 S2 互联链路上抓包，使得 PC1无法 Ping 通PC4，但是可以抓到带 VLAN 10 标签的数据帧。
4）在 S1 和 S2 上通过 display mac-address verbose，查看交换机的 MAC 地址表。