5交换机基于端口模式的VLAN实现(单一).doc

实验 VLAN基本配置：交换机端口隔离（Port Vlan） 一．实训目的 1．理解VLAN的基本概念。 2．掌握VLAN的分类方法和实现原理。 3．掌握交换机上实现静态VLAN的基本命令。 二．实训器材及环境 1．安装Windows 2000 Server操作系统的计算机。 2．安装Boson Netsim 5.31模拟软件。 3．实验环境见实训步骤中的描述。 三．实训理论基础 1．虚拟局域网简介 Virtual Local Area Network（VLAN），翻译成中文是“虚拟局域网”。VLAN所指的LAN特指使用路由器分割的网络，也就是广播域。是指在逻辑上将物理的LAN分成不同的小的逻辑子网，每一个逻辑子网就是一个单独的广播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。 2．VLAN的作用 使用集线器或交换机所构成的一个物理局域网，整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧，因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。在网络通讯中，广播信息是普遍存在的，这些广播帧将占用大量的网络带宽，导致网络速度和通讯效率的下降，并额外增加了网络主机为处理广播信息所产生的负荷。 目前，蠕虫病毒相当泛滥，如果不对局域网进行有效的广播域隔离，一旦病毒发起泛洪广播攻击，将会很快占用完网络的带宽，导致网络的阻塞和瘫痪。 一个VLAN就是一个网段，通过在交换机上划分VLAN，可将一个大的局域网划分成若干个网段，每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能进行直接通信的，从而就实现了对广播域的分割和隔离。 从中可见，通过在局域网中划分VLAN，可起到以下方面的作用：控制网络的广播，增加广播域的数量，减小广播域的大小。便于对网络进行管理和控制。VLAN是对端口的逻辑分组，不受任何物理连接的限制，同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，增加了网络连接、组网和管理的灵活性。 增加网络的安全性。由于默认情况下，VLAN间是相互隔离的，不能直接通讯，对于保密性要求较高的部门，比如财务处，可将其划分在一个VLAN中，这样，其他VLAN中的用户，将不能访问该VLAN中的主机，从而起到了隔离作用，并提高了VLAN中用户的安全性。VLAN间的通讯，可通过应用VLAN的访问控制列表，来实现VLAN间的安全通讯。 3.VLAN的分类 （1）静态VLAN 静态VLAN就是明确指定各端口所属VLAN的设定方法，通常也称为基于端口的VLAN，其特点是将交换机按端口进行分组，每一组定义为一个VLAN，属于同一个VLAN的端口，可来自一台交换机，也可来自多台交换机，即可以跨越多台交换机设置VLAN。 静态指定各端口所属的VLAN，需要对每一个端口地进行设置，当要设定的端口数目较多时，工作量会比较大，通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。 （2）动态VLAN 动态VLAN是根据每个端口所连的计算机，动态设置端口所属VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基于子网的VLAN和基于协议的VLAN等。 基于MAC地址的VLAN，就是根据端口所连计算机的网卡MAC地址，来决定该端口所属的VLAN。在这种方式下，端口所属的VLAN，不是事先固定的，而是由所连计算机的MAC地址来决定的。比如，若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2，则该台计算机无论接到交换机的哪个端口，其所连端口就会被自动划归为VLAN2。 基于子网的VLAN，是根据端口所连计算机的IP地址，来决定端口所属的VLAN。 基于协议的VLAN，是根据协议字段划分（如：IP协议和IPX协议）。 4．VLAN的汇聚链接与封装协议 在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN，就将跨越多台交换机。 图-1 跨越多台交换机的VLAN 跨越多台交换机的VLAN，VLAN内的主机彼此间应可以自由通讯，当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通讯呢？解决的办法就是在交换机上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN，就对应地需要占用多少个端口，用来提供VLAN内主机的跨交换机相互通讯，如下图所示。 图1-2 VLAN内的主机在交换机间的通讯 这种方法