VLAN基础配置及 Access接口
1、早期总线型网络是由一根单电缆连接着所有主机,这种局域网技术存在着冲突域问题,同一时间只有一台主机能发消息,且从任意设备发出的消息都会被其他所有主机接收到无法控制信息的安全。
2、为了避免冲突域且同时支持更多计算机接入产生了交换机,交换机能有效隔绝冲突域,但不可避免的是所有计算机仍处于一个广播域中,任意设备都能收到该广播域中的报文,所以安全问题仍然存在;
3、为了减少广播域,提高安全性,人们使用VLAN(虚拟局域网技术)将一个物理的LAN(局域网)在逻辑上划分为多个广播域,相同VLAN间可以直接通信,不同VLAN间不能通信,提高了一定的网络安全性。
4、Access接口是交换机上用来连接用户主机的接口,当 Access接口从主机收到一个不带VLAN标签的数据帧时,会给该数据帧加上与PVID一致的VLAN标签(PVID可手工配置,默认为1,即所有交换机上的接口默认都属于VLAN1)
5、VLAN ID的范围是0~4095,可配置的值为1~4094,0和4095为保留值
(vlan1和1002~1005是自动创建,为特殊用途。Vlan 1为默认管理vlan,1002~1005保留给与令牌环和FDDI交换相关的功能使用的。)
1、模拟一个公司的网络,交换机S1放一楼,交换机S2放在二楼;一楼接了交换部和人事部,二楼接了售后部和研发部。公司要求不同部门的主机不能通信,同部门主机可以互相访问,这里用vlan技术来实现完成。
2、首先开启设备按拓扑图中的地址给主机配上相应的地址,交换机不做配置,测试连通性。
//模拟器有时候会反应不灵敏,如果确认自己地址和掩码没有配错还是ping不通可以全部关闭重启一次,还不行就删除设备重新搭建一次。
3、通过vlan隔绝不通部门间的通信
S1新建vlan10、20,S2新建vlan 30、40
命令:
vlan x //新建vlan x
description 人事部 //描述(可以不写,描述是为了方便管理员记录)
4、配置access口应用vlan到相应的端口上
interface Ethernet x/x/x //进入某端口
port link-type access //指定端口类型
port default vlan x //应用相应的vlan到该端口上
5、检查vlan应用到了哪个端口
6、再次测试
可以看到只有相同vlan ID的才可以ping通
完成。
1、如果S2的Ethernet 0/0/1口应用vlan ID为10,PC1能否ping通PC4 ?