毕业论文《虚拟局域网技术及应用》.docx

《毕业论文《虚拟局域网技术及应用》.docx》由会员分享，可在线阅读，更多相关《毕业论文《虚拟局域网技术及应用》.docx（29页珍藏版）》请在三一办公上搜索。

1、北京邮电大学毕业设计（论文）虚拟局域网技术及应用学生姓名： X X X 学 号： 200601001 系 部： 计算机系 专 业： 计算机通信 班 级： 063 指导老师： 罗永昌 助教 中国北京提交时间：2010年5月摘 要虚拟局域网（VLAN），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术，在功能和操作上和传统的LAN基本相同。虚拟局域网技术是目前网络界最热门的技术之一，也是交换网络中最重要的技术之一，它的出现是和局域网的交换技术的发展分不开的。VLAN的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便。随着网络技术日新月异的发展，现代

2、局域网已进入高速交换时代。以交换技术为基础产生的VLAN技术是一种新的热门技术，目前正在得到越来越广泛的应用从某种角度讲，VLAN技术己经成为现代大型局域网建设、管理和应用不可缺少的技术。研究VLAN技术的应用，对于网络的建设、管理和应用具有十分重要的意义。关键词：虚拟局域网；技术；划分；应用；AbstractThe virtual local area network (VLAN), is one kind through is not physics divides local area network in equipment logic each one webpage to real

3、ize the hypothesized work teams emerging technology, in function and operation and traditional LAN basic same.The virtual local area network technology is one of present network most popular technologies, also is exchanges in the network one of most important technical, its appearance is and the loc

4、al area network exchange technology development cannot separate.The VLAN appearance has broken traditional network many inherent ideas, causes the network architecture to become is nimble, is convenient.With the rapid development of network technology, modern high-speed local area network has entere

5、d the era of exchange. In exchange for technology-based VLAN generated by the new technology is a hot technology, is being increasingly wide range of applications from a certain point say, VLAN technology has been become a modern large-scale local area network construction, management and applicatio

6、n of essential technologies. VLAN technology research for the campus network construction, management and application is of great significance . Keywords：Virtual local area network；Technology；Divided；Apply；目 录第一章虚拟局域网（VLAN）基础61.1 虚拟局域网概述61.1.1虚拟局域网的定义61.1.2 VLAN的由来61.2 虚拟局域网的特点81.2.1 VLAN的特性81.2.2 V

7、LAN与传统的LAN相比较的优势8第二章虚拟局域网的划分102.1 基于端口的VLAN划分102.2 基于MAC地址的VLAN划分102.3 基于网络层的划分112.4 基于策略的VLAN划分11第三章虚拟局域网协议123.1 IEEE802.1Q协议123.1.1协议概述123.1.2 IEEE 802.1Q帧格式12IEEE 802.1Q帧的格式如下：123.2 VLAN链路133.2.1 vlan链路类型133.2.2 VLAN帧在网络中的通信143.2.3 Trunk和VLAN14第四章VLAN间路由164.1 VLAN间路由的需求164.1.1 VLAN隔离二层广播域164.1.2连

8、接不同的VLAN164.2 三层交换机做VLAN间路由174.2.1 VLAN间路由的解决方案174.2.2使用VLAN Trunkint184.2.3基于内部硬件路由引擎的三层交换机19第五章虚拟局域网应用实例215.1 思科单臂路由配置215.2 利用VLAN进行学校配置23总 结27致 谢28参 考 文 献29第一章虚拟局域网（VLAN）基础1.1 虚拟局域网概述1.1.1虚拟局域网的定义VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。它允许网络管理者将一个物理的LAN

9、逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。1.1.2 VLAN的由来图1-1传统的局域网使用的是HUB，HUB只有一根总路线，一根总路线就是一个冲突域。所以传统的局域网是一个扁平的网络，一个局域网属于同一个冲突域，任何一台主机发出的

10、报文都会被同一冲突域的所有其它机器接收到。后来，组网的时使用网桥（二层交换机）代替集线器（HUB），每个端口可以看成是一根单独的总线，冲突域缩小到每个端口，使得网络发送单播报文的效率大大提高，极大地提高了二层网络的性能。但是网络中所有端口仍然处于同一个广播域，网桥在传递广播报文的时候依然要将广播报文复制多份，发送到网络的各个角落。随着网络规模的扩大，网络中的广播报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，这是所谓的广播风暴的问题。如图1-1所示。由于网桥二层网络工作原理的限制，网桥对广播风暴的问题无能为力。为了提高网络的效率，一般需要将网络进行分段：把一个大的广播域划分成几

11、个小的广播域。 图1-2过去往往通过路由器对LAN进行分段。图1-2中用路由器替换图1-1中的中心节点交换机，使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题，但是用路由器是在网络层上分段将网络隔离，网络复杂，组网方式不灵活，并且大大增加了管理维护的难度。做为替代的LAN分段的方法，虚拟局域网被引入到网络解决方案中来，用于解决大型的二层网络环境面临的问题。图1-3虚拟局域网VLAN逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络，这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网。图1-3中几个部门都使用一个中心交换机，但是各个部门

12、属于不同的VLAN，形成各自的的广播域，广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。1.2 虚拟局域网的特点1.2.1 VLAN的特性VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，同一个VLAN中的所有成员共同拥有一个VLANID，组成一个虚拟局域网络；同一个VLAN中的成员均能收到本VLAN内其他成员发来的广播包，但收不到其他VLAN成员的广播包；不同VLAN成员之间不可进行二层

13、互访直接通信，需要通过三层交换或者路由支持才能通信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。1.2.2 VLAN与传统的LAN相比较的优势(1)增加、移动、更改工作站灵活方便。在网络中，工作站在一个建筑物内或校园网内增加、移动、更改是很常见的事情。划分了VLAN后，当一个工作站需要变动物理位置时，只要通过网管工作站就可以重新配置其属性。当一个工作站在相同的VLAN内移动位置时，它在新的位置仍然保留其原有的属性:当一个工作站在不同VLAN之间移动时，就把新的VLAN的属性应用于这个站。若因作需要，部的一个人员需调到另一个部门，或因开发某个项目需要临时组建一个由不同部门

14、的技术人员组成的工作小组时，有了VLAN，小组的成员就不必真正集中到一起，他们只需坐在自己的计算机旁就可参与另一部门的工作或了解其他合作伙伴的工作情况。工作结束后，这个工作组可以随之消失。(2)隔离广播风暴，提高网络性能。网络中大量的广播信息所带来的带宽消耗和网络延迟甚至造成网络堵塞，对用户来讲是不容忽视的。VLAN具有隔离广播风暴的特点，可以把一个大的局域网划分成几个小的VLAN，使每个VLAN中的广播信息大大减少，从而减少整个网络范围内广播包的传输，提高网络传输效率。除此之外，在划分VLAN时，若将工作性质相同的用户集中在同一个VLAN，减少跨VLAN的访问，可减少路由器经网络传输带来的延

15、迟，也能进一步提高网络的性能。(3)增强网络的安全性。各个VLAN之间不能进行直接通信，而必须通过路由器转发。如果VLAN之间没有路由器，那么VLAN就是与外界隔离的，相当于一个独立的局域网，可防止大部分以网络监听为手段的入侵。当使用路由器转发时，可以在路由器上进行相应的设置，实现网络的安全访问控制。另外，在每个交换机端口只有一个工作站的结构中，可以形成特别有效的限制非授权访问的屏障。(4)提高网络的可靠性。在VLAN中利用STP可以在两条毛链路上进行负载分担和冗余备份。也就是说，当两条Trunk链路都工作的时候，可以使一部分VLAN通过一条毛田链路传递信息，另一部分VLAN通过另一条工m吐链

16、路传递信息，使得两条毛链路共同分担信息传递，提高传送速度;当两条Trunk链路中有一条不能传递信息时，另一条自动承担全部VLAN的信息传递，保证了网络传递信息的可靠性。第二章虚拟局域网的划分2.1 基于端口的VLAN划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于M

17、AC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。2.2 基于MAC地址的VLAN划分这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC

18、地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MA

19、C地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。2.3 基于网络层的划分VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种

20、方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。2.4 基于策略的VLAN划分这是最灵活的VLAN划分方法，具有自动配置的能力，能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等，把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入

21、网络中时，将会被“感知”，并被自己地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。第三章虚拟局域网协议3.1 IEEE802.1Q协议3.1.1协议概述图3-1IEEE802.1Q是虚拟桥接局域网的正式标准，定义了同一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个标准的方法。 这个格式统一了标识VLAN的方法，有利于保证不同厂家设备配置的VLAN问题。IEEE802.1Q定义了以下内容：VLAN的架构、VLAN中所提供的服务、VLAN实施中涉及的协议和算法；IEEE802.1Q协议不仅规定VLAN中的M

22、AC帧的格式，而且还制定诸如帧发送及校验、回路检测，对业务质量（QOS）参数的支持以及对网管系统的支持等方面的标准。如图3-1所示3.1.2 IEEE 802.1Q帧格式IEEE 802.1Q帧的格式如下：802.1Q标记(4B)PRESFDASATPIPCVIL/TDATAFCS802.1p(3b)各字段含义如下：标志说明PRE前导码，用于同步SF起始定界符，标志帧的开始DA目的802.3 MAC地址SA源802.3 MAC地址TPI标记协议标识符(2B)，以太网为0x8100(802.3ab格式)P802.1p优先级，从0到7(7的优先级最高)C规范形式标记符(1b)，说明MAC地址是否用

23、规范形式表示。以太网为0VIVLAN标识符(12b)，表示帧所属的VLAN号(取值范围从04095)L/T标准的以太帧字段DATA用户数据(不超过1500B)FCS帧校验序列3.2 VLAN链路3.2.1 vlan链路类型图3-2接入链路指(Access Link)的是用于连接主机和交换机的链路，通常情况下主机并不需要知道自己属于哪些VLAN，主机的硬件也不一定支持带有VLAN标记的帧，主机要求发送和接收的帧都是没有打上标记的帧。接入链路属于某一个特定的端口，这个端口属于一个并且只能是一个VLAN，这个端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN发送信息。不同VLAN的信息必须

24、通过三层路由处理才能转发到这个端口上。干道链路“trunk link”是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的，或者用于交换机和路由器之间的连接。和接入链路不同，干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机与交换机之间）承载VLAN的。通过配置，干道链路可以承载所有的VLAN数据，也可以配置为只能传输指定的VLAN的数据。3.2.2 VLAN帧在网络中的通信图3-3图3-3表示一个局域网环境，网络中有两台交换机，并且配置了两个VLAN。主机和交换机之间的链路是接入链路，交换机之间通过干道链路互相连接。 对于主机来说，它是不需要知道VLAN的存在的。主机发

25、出的报文都是untagged的报文；交换机接收到这样的报文之后，根据配置规则（如端口信息）判断出报文所属VLAN进行处理，如果报文需要通过另外一台交换机发送，则该报文必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理报文的VLAN信息，在干道链路上发送的报文都带上了VLAN标记。当交换机最终确定报文发送端口后，将报文发送给主机之前，将VLAN的标记从以太网帧中删除，这样主机接收到的报文都是不带VLAN的标记的以太网帧。所以一般情况下，干道链路上传送的都是Tagged Frame，接入链路上传送的都是Untagged Frame。这样做的最终结果是：网络中配置的VLAN可以被所有

26、的交换机正确处理，而主机不需要了解VLAN信息。3.2.3 Trunk和VLAN无论一个网络由多少个交换机构成，也无论一个VLAN跨越了多少个交换机，按照VLAN的定义，一个VLAN就确定了一个广播域。广播报文能够被在一个广播域中的所有主机接收到，也就是说，广播报文必须被发送一个VLAN中的所有端口。因为VLAN可能跨越多少交换机，当一个交换机从某VLAN的一个端口收到广播报文之后，为了保证同属一个VLAN的所有主机都接收到这个广播报文，交换机必须按照如下原则报文进行转发：1.发送给本交换机中同一个VLAN中的其它端口；2.将这个报文发送给本交换机的包含这个VLAN的所有干道链路，以便让其它交

27、换机上的同一个VLAN的端口也发送该报文。图3-4将一个端口设置成Trunk端口后，也就是说，和这个端口相连的名字路被设置为Trunk链路，同时还可以配置哪些VLAN的报文可以通过这个干道链路。如图3-4所示第四章VLAN间路由4.1 VLAN间路由的需求4.1.1 VLAN隔离二层广播域图4-1为了解决网络由广播导致的效率下降和安全性等问题，VLAN的概念被引入，在支持VLAN功能的交换机组成的网络中，每一个VLAN计数一个独立的广播域；VLAN之间被严格地隔离开来，任何一个帧都不能从自己所属的VLAN被转发到其他的VLAN中。整个网络被划分为若干个规模更小的广播域，网络系统的广播被控制在相

28、对比较小的范围内，提高了网络的带宽利用率，改善网络效率和性能。每个人都不能随意地从网络上的一点，毫无控制地直接访问另一点的网络或监听整个网络上的帧，隔离的广播域改善了网络的性能。如图4-1。VLAN可以实现对用户的分组，通过配置VLAN可以实现灵活的网络管理，同时在网络迁移的时候，由于交换机的灵活配置，可以物设计，而不需要修改网络的布线等烦琐、耗时的工作。4.1.2连接不同的VLAN“无连不成网”，一个网络在使用VLAN隔离成多个广播域后，各个VLAN之间是不能互相访问的，因为各个VLAN的流量实际上已经在物理上隔离开来了。隔离网络并不是建网的最终目的，选择VLAN隔离只是为了优化网络，最终我

29、们还是要让整个网络能够畅通起来。VLAN之间的通信是解决方法是：在VLAN配置路由器，这样VLAN内部的流量仍然通过原来的VLAN内部的二层网络进行，从一个VLAN到另外一个VLAN的通信流量，通过路由在三层上进行转发，转发到目的网络后，再通过二层交换网络把报文最终发送给目的主机。如图4-2所示由于路由器对以太网上的广播报文采取不转发的策略，因此中间配置的路由器仍然不会改变划分VLAN所达到的广播的目的。在VLAN之间做互联使用的路由器上，我们可以通过各种配置，比如对路由协议的配置、对访问控制的配置等形成对VLAN之间互相访问的控制策略，使网络处于受控的状态。4.2 三层交换机做VLAN间路由

30、4.2.1 VLAN间路由的解决方案图4-2对于本地通信，通信两端的主机同处于一个相同的广播域，两台主机之间的流量可以直接相互到达，通信的过程与扁平二层网络中的情况相同；对于非本地通信，通信两端的主机位于不同的广播域内，主机的流量不能互相到达，主机通过ARP广播请求也不能到对方的地址，此时的通信必须借助于中间的路由器来完成。路由器在各个VLAN中间，实际上是作为各个VLAN的网状起作用的，要难过路由器来互相通信的主机必须知道这路由器的存在，并且知道它的地址。在路由器配置好了之后，就要在主机上配置默认网关为路由器在本VLAN上的接口的地址。如图4-3中所示，主机1.1.1.10要同2.2.2.2

31、0通信。首先主机1.1.1.10根据本地的子网掩码比较，发现目的主机不是本地主机，不能够访问目的主机；根据IP通信规则，主机1.1.1.10将要查找本机的的路由表寻找相应的网状，在实际网络中，主机通常只配置了默认网关，因此这里主机1.1.1.10找到了默认网关。然后，主机1.1.1.10在本机的ARP Cache中查找默认网关的MAC地址，如果没有则启动一个ARP请求的过程去发现，得到默认网关的MAC地址后，主机将帧转发给默认网关，由路由器转发。路由器通过查找路由表将报文转发到相应的接口上面，然后查找到目的主机的MAC地址，将报文发送给目的主机。目的主机收到报文后，回应的报文经历类似的过程又转

32、发回主机1.1.1.10。4.2.2使用VLAN Trunkint图4-3使用VLAN Trunking这种技术，可以使多个VLAN的业务流量共享相同的物理连接，通过在VLAN Tunking的物理连接上传递打标记的帧将各个VLAN的流量区分开来。在做VLAN间互通的时候，对于网络中多个VLAN，只需要共享一条物理链路。在交换机上配置连接到路由器的端口使用VLAN Trunking，在路由器上也做相同的配置。如图4-4所示在这样的配置下，路由器上的路由接口和物理接口是多对一的对应关系，路由器在进行VLAN间路由的时候把报文从一个路由器接口上转发到另一个路由接口上，但从物理接口上看是从一个物理接

33、口上转发回同一个物理上去，但是VLAN标记在转发后被替换为目标网络的标记。这样，在通常的情况下，VLAN间路由的流量不足以达到链路的线速度，使用VLAN Trunking的配置，可以提高链路的的带宽利用率，节省端口资源，和简化管理。4.2.3基于内部硬件路由引擎的三层交换机图4-4三层交换机使用硬件技术，采用巧妙的处理方法把二层交换机和路由器在网络中的功能集成到一个盒子里，提高了网络的集成度，增强了转发性能。如图4-5所示。为了实现各种网络的互连，IP协议实现了十分丰富的内容，标准的IP路由需要在转发每一个IP报文的时候做很多的处理，经过很多的流程，但是这样的工作并不是在处理每一个报文都必须的

34、，绝大多数的报文只需要经过很少一部分的过程，IP路由的方法有很大的改进余地。三层交换机的设计基于对IP路由的仔细分析，把IP路由中每一个报文都必须经过的过程提取出来，这个过程是个十分简化的过程：1.IP路由中绝大多数报文是不包含IP选项的报文，因此处理报文选项的工作在大多数情况下是多余的。2.不同的网络的报文长度都是不同的，为了适应不同的网络，IP实现了报文分片的功能，但是在全以太网的环境中，网络的帧（报文）长度是固定的，因此报文分片的功能也是一个可以裁减的工作。3.三层交换机采用了和路由器的最长地址掩码匹配不同的方法，使用精确地址匹配的方式处理，有利于硬件实现快速查找。4.三层交换机采用了C

35、ache的方法，把最近经常使用的主机路由放到了硬件的查找表中，只有在这个Cache中无法匹配到项目才会通过软件去转发。这样，只有每个流的第一个报文会通过软件进行转发，其后的大量数据流则可以在硬件中得以完成。三层交换机在IP路由的处理上做了以上改进，实现了简化的IP转发流程，利用专用的芯片实现了硬件的转发，这样绝大多数的报文处理都在硬件中实现了，只有极少数报文才需要使用软件转发，整个系统的转发性能能够得以成百上千倍地增加，相同性能的设备在成本上得以大幅度下降。第五章虚拟局域网应用实例5.1 思科单臂路由配置VLAN（虚拟局域网）技术是路由交换中非常基础的技术。在网络管理实践中，通过在交换机上划分

36、适当数目的vlan，不仅能有效隔离广播风暴，还能提高网络安全系数及网络带宽的利用效率。划分vlan之后，vlan与vlan之间是不能通信的，只能通过路由或三层交换来实现。我们知道路由器实现路由功能通常是数据报从一个接口进来然后另一个接口出来，现在路由器与交换机之间通过一条主干现实通信或数据转发，也就是说路由器仅用一个接口实现数据的进与出，因为我们形象地称它为单臂路由。单臂路由是解决vlan间通信的一种廉价而实用的解决方案。如图5-1所示：PC-A和PC-B分别属于vlan10和vlan20，Switch2950是一个cisco的二层交换机，型号2950，欲实现vlan10和vlan20的通信，

37、我们要增加一个路由器来转发vlan之间的数据包，路由器与交换机之间使用单条链路相连（图中画红线），这条链路也叫主干，所有数据包的进出都要通过路由器2600的f0/0端口来现实数据转发。图5-1一配置交换机：Switch 启动后进入CLI界面Switch enable 进入特权模式Switch vlan database 进入配置VLAN模式Switch(vlan)# vlan 10 name caiwu 配置第一个VLAN 10，取名caiwuSwitch(vlan)# vlan 20 name renshi 配置第二个VLAN 20，取名renshiSwitch(vlan)# exit 退出

38、VLAN配置模式Switch# configure terminal 进入特权模式，开始配置接口Switch(config)# interface f0/1 进入f0/1接口Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10 把f0/1接口分配给VLAN 10Switch(config-if)# exitSwitch(config)# interface f0/2 进入f0/2接口Switch(config-if)# switchport mode accessSwitch(

39、config-if)# switchport access vlan 20 把f0/2接口分配给VLAN 20Switch(config-if)# exitSwitch(config)# interface f0/12 进入f0/12接口Switch(config-if)# switchport mode trunk 把f0/12配置成主干模式Switch(config-if)# end二配置路由器Router 启动路由器后进入CLI界面Router enable 进入特权模式Router# configure terminal 进入全局模式Router(config)# interface

40、f0/0 配置f0/0Router(config-if)# no shutdown 激活f0/0也就是打开这个接口Router(config-if)# interface f0/0.1 配置子接口Router(config-subif)# ip address 192.168.10.1 255.255.255.0 配置IP与SubnetRouter(config-subif)# encapsulation dot1q 10 为这个接口配置802.1Q协议Router(config-subif)# exitRouter(config-if)# interface f0/0.2 配置第二个子接口R

41、outer(config-subif)# ip address 192.168.20.1 255.255.255.0 Router(config-subif)# encapsulation dot1q 20Router(config-subif)# end三验证最后配置PC-A和PC-B的IP地址和子网掩码，再试试PC-A 主机 ping PC-B主机，实验结果能Ping通，配置成功。5.2 利用VLAN进行学校配置一配置交换机配置环境：Cisco 3560G-24-EMI作为一个小型网络的核心交换机，在其上共需要划分4个VLAN，分别取名为server、manage、teacher、stud

42、ent。其中3500G的2个4兆扩展口用来连接二级交换机Cisco 2950-24，在2950G上相应的VLAN中加入端口，各端口IP地址和VLAN划分如表所示，网络拓扑图为图5-2所示。VLANNAMEIP ADDRPORTVLAN13650/G0-G1，3650/21-24，2950/G0-G1VLAN2server192.168.2.2543650/1-10VLAN3manage192.168.3.2543650/11-20VLAN10teacher192.168.10.2542950/1-15VLAN11student192.168.11.2542950/16-24网管工作站192.1

43、68.2.1图5-2配置要求：为了网络管理的安全，禁止VLAN3与网络管理工作站相互通信，允许其他的相互通信。网管工作站入在VLAN2网段中。在交换机默认配置下，没有设置密码，只需按2次回车键，即可进入交换机的配置界面。Switch1输入enable后，提示符即变成#Switch1enableSwitch1#号表示已经进入特权模式，在这种模式下可进行交换机的配置操作，按下来根据网络配置方案进行交换机的调试。1.激活VLAN路由：Switch1# conf ig tSwitch1(conf ig)# ip routeingSwitch1(conf ig)# exit2.创建4个VLAN Swit

44、ch1# Switch1# vlan databas Switch1(vlan)# vlan 2 name server Switch1(vlan)# vlan 3 name manage Switch1(vlan)# vlan 10 name teacher Switch1(vlan)# vlan 11 name student Switch1(vlan)# exit3.给VLAN分配IP Switch1# conf ig t Switch1(conf ig)# int vlan 2 Switch1(config - if)# ip address 192.168.2.254 255.255

45、.255.0 Switch1(config - if)# no shutdown Switch1(config - if)#end Switch1(conf ig)# int vlan 3 Switch1(config - if)# ip address 192.168.3.254 255.255.255.0 Switch1(config - if)# no shutdown Switch1(config - if)#end Switch1(conf ig)# int vlan 10 Switch1(config - if)# ip address 192.168.10.254 255.255.255.0 Switch1(config - if)# no shutdown Switch1(config - if)#end Switch1(conf ig)# int vlan 11 Switch1(config - if)# ip address 192.168.11.254 255.255.255.0 Switch1(config - if)# no shutdown Switch1(config - if