實驗原理
在以太網中,通過劃分VLAN來隔離廣播域和增強網路通信的安全性,以太網通常由多臺交換機組成,為了使VLAN的資料幀跨越多臺交換機傳遞,交換機之間互連的鏈路需要配置為干道鏈路(Trunk Link),和接入鏈路不同,干道鏈路是用來在不同的設備之間(如交換機和路由器之間、交換機和交換機之間)承載多個不同VLAN資料的,它不屬于任何一個具體的VLAN,可以承載所有的VLAN資料,也可以配置為只能傳輸指定VLAN的資料,
Trunk埠一般用于交換機之間連接的埠,Trunk埠可以屬于多個VLAN,可以接收和發送多個VLAN的報文,
當Trunk埠收到資料幀時,如果該幀不包含802.1Q的VLAN標簽,將打上該Trunk埠的PVID;如果該幀包含802.1Q的VLAN標簽,則不改變,
當Trunk埠發送資料幀時,當該所發送幀的VLAN ID與埠的PVID不同時,檢查是否允許該VLAN通過,若允許的話直接透傳,不允許就直接丟棄;當該幀的VLANID與埠的PVID相同時,則剝離VLAN標簽后轉發,
實驗內容
本實驗模擬某公司網路場景,公司規模較大,員工200余名,內部網路是一一個大的局域網,公司放置了多臺接入交換機(如S1和S2)負責員工的網路接入,接入交換機之間通過匯聚交換機S3相連,公司通過劃分VLAN來隔離廣播域,由于員工較多,相同部門的員工通過不同交換機接入,為了保證在不同交換機下相同部門的員工能互相通信,需要配置交換機之間鏈路為干道模式,以實作相同VLAN跨交換機通信,
實驗步驟:
(1) 根據實驗內容,利用eNSP仿真軟體畫出如下拓撲圖:
(2) 根據下面的編址表進行相應的IP地址配置,啟動所有設備并利用Ping命令測驗直連鏈路的連通性,(沒有劃分VLAN之前,兩兩之間應該都能ping通,這里以“PC-1”ping“PC-3”為例)
(3) 在三臺交換機上分別創建VLAN10和VLAN20,研發部員工屬于VLAN10,市場部員工屬于VLAN20,
[fengwenbo-S1]vlan 10
[fengwenbo-S1-vlan10]vlan 20
[fengwenbo-S2]vlan 10
[fengwenbo-S2-vlan10]vlan 20
[fengwenbo-S3]vlan 10
[fengwenbo-S3-vlan10]vlan 20
(4) 使用display vlan summary來查看配置好的vlan簡要資訊,(這里以fengwenbo-S1為例,實際上三個交換機都需要檢查一下vlan是否配置好)
(5) 在fengwenbo-S1中配置E 0/0/2和E 0/0/3為access介面,并且劃分到相應的VLAN;
在fengwenbo-S2中配置E 0/0/3和E 0/0/4為access介面,并且劃分到相應的VLAN;
配置完成后使用display port vlan 命令檢查VLAN和介面配置情況,
(注:這里以fengwenbo-S1中的E 0/0/2為例,其他的介面配置方法一樣)
(6) 測驗相同部門中的PC是否可以進行通信(以研發部PC-1,PC-3為例)
發現相同部門之間并不能正常通信,
(7) 為了讓交換機能夠識別和發送跨越交換機的VLAN報文,需要將交換機間相連的介面配置成為Trunk介面,配置時要明確被允許通過的VLAN,實作對VLAN流量傳輸的控制,
7.1在fengwenbo-S1上配置E 0/0/1為Trunk介面,允許VLAN10和VLAN20通過,
7.2在fengwenbo-S2上配置E 0/0/2為Trunk介面,允許VLAN10和VLAN20通過,
7.3在fengwenbo-S3上配置GE 0/0/1和GE 0/0/2為Trunk介面,允許所有VLAN通過,
(8) 使用display port vlan 命令來查看Trunk的配置情況,這里以fengwenbo-S3為例
(9) 再次測驗部門間的PC的連通性,同樣以研發部的PC-1和PC-3為例:
發現可以進行通信,實驗結束,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/51315.html
標籤:其他
上一篇:eNSP仿真軟體之VLAN基礎配置及Access介面
下一篇:滲透測驗實戰第三版學習筆記(二)