构建以太网交换网络——（以太网基础与VLAN配置实验）

实验介绍

关于本实验

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。

本实验通过配置华为交换机设备，了解并熟悉VLAN技术的相关配置。

实验目的

掌握VLAN的创建方法
掌握Access、Trunk和Hybrid类型接口的配置方法
掌握基于接口划分VLAN的配置方法
掌握基于MAC地址划分VLAN的配置方法
掌握MAC地址表及VLAN信息的查看方式

实验组网介绍

VLAN配置实验拓扑

实验背景

某公司根据业务需求，需要对其二层网络进行VLAN划分。同时，VLAN 10为特殊VLAN，为了保证信息安全，只有某些特殊的PC才可以通过VLAN 10进行网络访问。

如实验拓扑图所示，可以在S1和S2交换机上配置基于接口划分VLAN，把业务相同的用户连接的接口划分到同一VLAN。同时，可以在S2上配置基于MAC地址划分VLAN，绑定特殊PC的MAC地址。

实验任务配置

配置思路

1.创建VLAN

2.配置交换机基于接口划分VLAN

3.配置交换机基于MAC地址划分VLAN

配置步骤

步骤一配置S1和S2设备名称并关闭多余接口

# 设备命名

略。

# 关闭S1的GE0/0/11和GE0/0/12接口，只针对《HCIA-Datacom实验室搭建指南V1.0》所描述的环境，其他环境可以忽略此步骤。

[S1]interface GigabitEthernet 0/0/11
[S1-GigabitEthernet0/0/11]shutdown
[S1-GigabitEthernet0/0/11]quit
[S1]interface GigabitEthernet 0/0/12
[S1-GigabitEthernet0/0/12]shutdown
[S1-GigabitEthernet0/0/12]quit

# 关闭S2的GE0/0/11和GE0/0/12接口

[S2]interface GigabitEthernet 0/0/11
[S2-GigabitEthernet0/0/11]shutdown
[S2-GigabitEthernet0/0/11]quit
[S2]interface GigabitEthernet 0/0/12
[S2-GigabitEthernet0/0/12]shutdown
[S2-GigabitEthernet0/0/12]quit

步骤二配置设备IP地址

# 配置R1和R3的IP地址，其中物理口地址分别为10.1.2.1/24和10.1.10.1/24

[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.2.1 24

[R3]interface GigabitEthernet0/0/2
[R3-GigabitEthernet0/0/2]ip address 10.1.10.1 24

# 配置S3和S4的IP地址，其中物理口地址分别为10.1.3.1/24和10.1.3.2/24（场景1：适用于S3和S4支持二层接口切换为三层接口的环境）

[S3]interface GigabitEthernet0/0/1
[S3-GigabitEthernet0/0/1]undo portswitch

该接口状态转变为三层模式

undo portswitch命令用来配置将以太网接口从二层模式切换到三层模式。

[S3-GigabitEthernet0/0/1]ip address 10.1.3.1 24

[S4]interface GigabitEthernet0/0/2
[S4-GigabitEthernet0/0/2]undo portswitch
[S4-GigabitEthernet0/0/2]ip address 10.1.3.2 24

# 配置S3和S4的IP地址，其中逻辑口VLANIF3地址分别为10.1.3.1/24和10.1.3.2/24（场景2：适用于S3和S4不支持二层接口切换为三层接口的环境）

1. 在交换机S3和S4上创建VLAN 3

[S3]vlan 3
[S3-vlan3]

[S4]vlan 3
[S4-vlan3]

2. 配置交换机S3和S4的接口为Access接口，并将接口划入对应的VLAN

[S3]interface GigabitEthernet0/0/1
[S3-GigabitEthernet0/0/1]port link-type access
[S3-GigabitEthernet0/0/1]port default vlan 3
[S3-GigabitEthernet0/0/1]quit

[S4]interface GigabitEthernet0/0/2
[S4-GigabitEthernet0/0/2]port link-type access
[S4-GigabitEthernet0/0/2]port default vlan 3
[S4-GigabitEthernet0/0/2]quit

3. 创建VLANIF并配置相应的IP地址

[S3] interface Vlanif 3

interface vlanif vlan-id命令用来创建三层逻辑VLANIF接口并进入VLANIF接口视图。

[S3-Vlanif3]ip address 10.1.3.1 24

[S4] interface Vlanif 3
[S4-Vlanif3]ip address 10.1.3.2 24

步骤三创建vlan

# 在交换机S1和S2上创建VLAN 2、3、10

[S1]vlan batch 2 to 3 10
Info: This operation may take a few seconds. Please wait for a moment...done.

VLAN 2、3、10创建成功。

vlan vlan-id命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。vlan batch { vlan-id1 [ to vlan-id2 ] }命令用来指定批量创建VLAN。

[S2]vlan batch 2 to 3 10

步骤四配置基于接口划分VLAN

# 配置交换机S1和S2连接终端的接口为Access接口，并将接口划入对应的VLAN

[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1]port link-type access

port link-type { access | hybrid | trunk }命令用来配置接口的链路类型。可以配置接口的类型为Access、Trunk或Hybrid。

[S1-GigabitEthernet0/0/1]port default vlan 2

port default vlan vlan-id命令用来配置接口的缺省VLAN并同时加入这个VLAN。

[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet0/0/13
[S1-GigabitEthernet0/0/13]port link-type access
[S1-GigabitEthernet0/0/13]port default vlan 3
[S1-GigabitEthernet0/0/13]quit

[S2]interface GigabitEthernet0/0/14
[S2-GigabitEthernet0/0/14]port link-type access
[S2-GigabitEthernet0/0/14]port default vlan 3
[S2-GigabitEthernet0/0/14]quit

# 配置交换机S1和S2的互联接口为Trunk接口，并仅允许VLAN 2、3通过

[S1]interface GigabitEthernet0/0/10
[S1-GigabitEthernet0/0/10]port link-type trunk
[S1-GigabitEthernet0/0/10]port trunk allow-pass vlan 2 3

port trunk allow-pass vlan命令用来配置Trunk类型接口加入的VLAN。

[S1-GigabitEthernet0/0/10]undo port trunk allow-pass vlan 1

undo port trunk allow-pass vlan命令用来删除Trunk类型接口加入的VLAN。

VLAN 1默认就在允许通过列表中，若无实际业务用途，出于安全考虑，一般要将它删除。

[S2]interface GigabitEthernet0/0/10
[S2-GigabitEthernet0/0/10]port link-type trunk
[S2-GigabitEthernet0/0/10]port trunk allow-pass vlan 2 3
[S2-GigabitEthernet0/0/10]undo port trunk allow-pass vlan 1

步骤五配置基于MAC地址划分VLAN

如实验组网图所示，路由器R3模拟特殊业务PC，假设该PC的MAC地址为：a008-6fe1-0c46。希望该PC可以通过S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2、GigabitEthernet0/0/3任意一个端口接入网络，并且通过VLAN 10进行数据传递。

# 配置交换机S2，让PC的MAC地址与VLAN 10关联

基于MAC划分VLAN指将MAC地址与VLAN关联，按照报文的源MAC地址来定义VLAN成员，将指定报文添加该VLAN的Tag后发送。用户在变换物理位置时，不需要重新划分VLAN，提高了终端用户的安全性和接入的灵活性。

[S2] vlan 10
[S2-vlan10] mac-vlan mac-address a008-6fe1-0c46

mac-vlan mac-address命令用来配置MAC地址与VLAN关联。

# 配置交换机S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2、GigabitEthernet0/0/3接口为Hybrid接口，并允许基于MAC地址划分的VLAN通过当前Hybrid接口

在Access口和Trunk口上，只有基于MAC划分的VLAN和PVID相同时，才可以正常使用。所以基于MAC地址划分VLAN推荐在Hybrid口上配置，可以接收多个VLAN不带标签通过。

[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 10

port hybrid untagged vlan命令用来配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。

[S2-GigabitEthernet0/0/1]quit
[S2]interface GigabitEthernet0/0/2
[S2-GigabitEthernet0/0/2]port link-type hybrid
[S2-GigabitEthernet0/0/2]port hybrid untagged vlan 10
[S2-GigabitEthernet0/0/2]quit
[S2]interface GigabitEthernet0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 10
[S2-GigabitEthernet0/0/3]quit

# 配置交换机S1和S2的互联接口允许VLAN 10通过

交换机互联接口需要保证多个VLAN带标签通过，因此可以配置为Trunk接口。

[S1]interface GigabitEthernet0/0/10
[S1-GigabitEthernet0/0/10]port trunk allow-pass vlan 10
[S1-GigabitEthernet0/0/10]quit

[S2]interface GigabitEthernet0/0/10
[S2-GigabitEthernet0/0/10]port trunk allow-pass vlan 10
[S2-GigabitEthernet0/0/10]quit

# 配置交换机S2，使能GE0/0/1、GE0/0/2、GE0/0/3接口基于MAC地址划分VLAN功能

若想使通过接口的报文按照基于MAC地址划分的VLAN转发，必须使用使能接口的MAC VLAN功能。

[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]mac-vlan enable

mac-vlan enable命令用来使能接口的MAC VLAN功能

[S2-GigabitEthernet0/0/1]quit
[S2]interface GigabitEthernet0/0/2
[S2-GigabitEthernet0/0/2]mac-vlan enable
[S2-GigabitEthernet0/0/2]quit
[S2]interface GigabitEthernet0/0/3
[S2-GigabitEthernet0/0/3]mac-vlan enable
[S2-GigabitEthernet0/0/3]quit

步骤六查看配置信息

# 查看交换机的VLAN信息

[S1]display vlan

display vlan命令用来查看VLAN的相关信息。

display vlan verbose命令用来查看指定VLAN的详细信息，包括VLAN ID、类型、描述信息、状态、统计开关状态、包含的接口以及这些接口的加入方式等。

The total number of vlans is : 4
---------------------------------------------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    	*: Management-vlan;
---------------------------------------------------------------------------------------------------------------------

VID  Type    Ports                                                          
----------------------------------------------------------------------------------------------------------------------
1    common  UT:	GE0/0/2(D)      GE0/0/3(D)      GE0/0/4(D)      GE0/0/5(D)      
                		GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)      
                		GE0/0/11(D)     GE0/0/12(D)     GE0/0/14(D)     GE0/0/15(D)     
                		GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     
                		GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     
                		GE0/0/24(D)                                                     
2    common  UT:	GE0/0/1(U)                                                      
              TG:	GE0/0/10(U)                                                     
3    common  UT:	GE0/0/13(U)                                                     
              TG:	GE0/0/10(U)                                                     
10   common  TG:	GE0/0/10(U)                                                     

VID  Status  Property      MAC-LRN Statistics 	Description      
------------------------------------------------------------------------------------------------------------------------
1    enable  default       enable  	disable    VLAN 0001                         
2    enable  default       enable  	disable    VLAN 0002                         
3    enable  default       enable  	disable    VLAN 0003                         
10   enable  default       enable  	disable    VLAN 0010

[S2]display vlan 
The total number of vlans is : 4
------------------------------------------------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    	*: Management-vlan;
------------------------------------------------------------------------------------------------------------------------

VID  Type    Ports                                                          
------------------------------------------------------------------------------------------------------------------------
1    common  UT:	GE0/0/1(U)      GE0/0/2(D)      GE0/0/3(D)      GE0/0/4(D)      
                		GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      
                		GE0/0/9(D)      GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)     
                		GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     
                		GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     
                		GE0/0/23(D)     GE0/0/24(D)                                     
2    common  TG:	GE0/0/10(U)                                                     
3    common  UT:	GE0/0/14(U)                                                     
              TG:	GE0/0/10(U)                                                     
10   common  UT:	GE0/0/1(U)      GE0/0/2(D)      GE0/0/3(D)                      
              TG:	GE0/0/10(U)                                                     

VID  Status  Property      MAC-LRN Statistics 	Description      
--------------------------------------------------------------------------------------------------------------------------
1    enable  default       enable  	disable    VLAN 0001                         
2    enable  default       enable  	disable    VLAN 0002                         
3    enable  default       enable  	disable    VLAN 0003                         
10   enable  default       enable  	disable    VLAN 0010

# 查看交换机的MAC-VLAN信息

[S2]display mac-vlan vlan 10
---------------------------------------------------------------------------------
MAC Address     MASK            VLAN    Priority   
---------------------------------------------------------------------------------
00e0-fc1c-47a7  	ffff-ffff-ffff 		10     	 0          

Total MAC VLAN address count: 1

display mac-vlan命令用来查看基于MAC地址划分VLAN的配置信息。

结果验证

检测设备连通性，验证VLAN配置结果

1）在S3上执行Ping命令，使得S3可以Ping通S4。

2）在R1上执行Ping命令，使得R1与谁都无法Ping通。

3）在R3上执行Ping命令，目的为R1，并在S1和S2互联链路上抓包，使得R1无法Ping通R3物理接口地址，但是可以抓到带VLAN 10标签的数据帧。

4）在S1和S2上通过display mac-address verbose，查看交换机的MAC地址表。

配置参考

S1的配置

#
sysname S1
#
vlan batch 2 to 3 10
#                                    
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3 10     
#
interface GigabitEthernet0/0/11
 shutdown
#
interface GigabitEthernet0/0/12
 shutdown
#
interface GigabitEthernet0/0/13
 port link-type access
 port default vlan 3
#
return

S2的配置

#
sysname S2
#
vlan batch 2 to 3 10
#                                       
vlan 10
 mac-vlan mac-address a008-6fe1-0c46 priority 0
#
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid untagged vlan 10
 mac-vlan enable
#
interface GigabitEthernet0/0/2
 port link-type hybrid
 port hybrid untagged vlan 10
 mac-vlan enable
#
interface GigabitEthernet0/0/3
 port link-type hybrid
 port hybrid untagged vlan 10
 mac-vlan enable
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3 10
#
interface GigabitEthernet0/0/11
 shutdown
#
interface GigabitEthernet0/0/12
 shutdown
#
interface GigabitEthernet0/0/14
 port link-type access
 port default vlan 3
#
return