封面图加载中

以太网基础与 VLAN 配置实验

文章阐述以太网冲突与广播问题,引入 VLAN 技术实现逻辑隔离与性能优化。通过华为交换机实战,详细演示 VLAN 创建、Access/Trunk 接口配置,以及基于接口和 MAC 地址的 VLAN 划分。特别是 MAC 地址绑定 VLAN10,可提升特定用户接入的安全性与灵活性,旨在帮助读者掌握 VLAN 部署与管理。
  • 本文作者
  • 文章发布日期 2025-09-04 16:53
  • 热度 136
  • 天气 阴 11°~25°
  • 作者心情 愉快
  • 地点 天作国际A座
  • 本文共计
  • 预计阅读

实验介绍

以太网是一种基于CSMA/CD(载波侦听多路访问/冲突检测)机制的共享通信介质数据网络技术。当网络中主机数量较多时,容易引发冲突频发、广播流量过载,从而导致网络性能显著下降,甚至可能引发网络瘫痪。虽然采用交换机实现局域网(LAN)的互联可以有效缓解冲突问题,但仍无法彻底隔离广播报文或从根本上提升网络质量。

在此背景下,VLAN(虚拟局域网)技术应运而生。该技术能够将一个物理局域网划分为多个逻辑VLAN,每个VLAN形成一个独立的广播域。VLAN内部的主机可以像在同一局域网中一样通信,而不同VLAN之间的主机则无法直接互通,从而将广播报文限制在各自的VLAN范围内。

本实验通过配置华为交换机设备,帮助学习者理解并掌握VLAN技术的相关配置方法。

某公司根据业务需求,需要对其二层网络进行VLAN划分。其中,VLAN10为特殊VLAN,为了确保信息安全,只有特定的PC才能通过VLAN10访问网络。如实验拓扑图所示,可以在S1和S2交换机上配置基于接口的VLAN,将业务相同的用户连接接口划分到同一VLAN。同时,还可以在S2交换机上通过MAC地址进行VLAN划分,绑定特定PC的MAC地址以实现访问控制。

实验目的

  • 掌握VLAN的创建方法

  • 掌握Access、Trunk和Hybrid类型接口的配置方法

  • 掌握基于接口划分VLAN的配置方法

  • 掌握基于MAC地址划分VLAN的配置方法

  • 掌握MAC地址表及VLAN信息的查看方式

拓扑结构

接口信息

路由器

接口

IP Address/Mask

R1

GigabitEthernet 0/0/1

10.1.2.1/24

R2

GigabitEthernet 0/0/2

10.1.10.1/24

S3

VLAN 3

10.1.3.1/24

S4

VLAN 3

10.1.3.2/24

实验步骤

步骤一:配置接口IP

配置R1和R2的接口IP

[R1-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 10.1.2.1 255.255.255.0
[R2-GigabitEthernet0/0/1]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 10.1.10.1 255.255.255.0

配置S3和S4,创建VLANIF并配置相应的IP地址

创建VLAN

vlan batch 3
[SW3-Vlanif3]dis th
#
interface Vlanif3
 ip address 10.1.3.1 255.255.255.0
[SW4-Vlanif3]dis th
#
interface Vlanif3
 ip address 10.1.3.2 255.255.255.0

配置交换机S3和S4的接口为Access接口,并将接口划入对应的VLAN

[SW3-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 3
[SW4-GigabitEthernet0/0/2]dis th
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 3

步骤二:创建VLAN

在交换机S1和S2上创建VLAN2、3、10

[SW1]vl b 2 3 10
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2]vl b 2 3 10
Info: This operation may take a few seconds. Please wait for a moment...done.

vlan vlan-id 命令用于创建VLAN并进入对应的VLAN视图;如果该VLAN已存在,则直接进入该VLAN的视图。

vlan batch {Vlan-id1 [to Vlan-id2]} 命令用于批量创建多个VLAN。

步骤三:配置基于接口划分VLAN

配置交换机S1和S2连接终端的接口为Access接口,并将接口划入对应的VLAN

[SW1-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
[SW1-GigabitEthernet0/0/13]dis th
#
interface GigabitEthernet0/0/13
 port link-type access
 port default vlan 3

port link-type {access | hybrid | trunk} 命令用于配置接口的链路类型,可以将接口设置为 Access、Trunk 或 Hybrid 类型。

port default vlan vlan-id 命令用于设置接口的默认VLAN,并将该接口加入到指定的VLAN中。

[SW2-GigabitEthernet0/0/14]dis th
#
interface GigabitEthernet0/0/14
 port link-type access
 port default vlan 3

配置交换机S1和S2的互联接口为Trunk接口,并仅允许VLAN2、3通过

[SW1-GigabitEthernet0/0/10]dis th
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3
[SW2-GigabitEthernet0/0/10]dis th
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3

port trunk allow-pass vlan命令用于配置Trunk接口允许通过的VLAN。

undo port trunk allow-pass vlan命令则用于取消Trunk接口允许通过的VLAN配置。

VLAN1默认包含在允许通过的VLAN列表中,若没有实际的业务需求,为了安全起见,通常建议将其删除。

步聚四:配置基于MAC地址划分VLAN

eNSP中不支持用MAC地址划分VLAN

如实验组网络图所示,路由器R2模拟一台特殊业务PC,假设该PC的MAC地址为:4c1f-cc74-2ad9。希望该PC可以通过S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2或GigabitEthernet0/0/3任意端口接入网络,并通过VLAN10进行数据传输。

请配置交换机S2,将该PC的MAC地址与VLAN10关联。

基于MAC地址划分VLAN的方法是将MAC地址与VLAN绑定,依据报文的源MAC地址将其归入对应的VLAN成员。当报文经过交换机时,添加VLAN标签后进行转发。这样,用户在变换物理位置时,无需重新划分VLAN,从而提升终端用户的安全性和接入的灵活性。

查看MAC地址表

[SW4]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID
               VSI/SI                                              MAC-Tunnel
-------------------------------------------------------------------------------
4c1f-cc74-2ad9 3           -      -      GE0/0/2         dynamic   0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

mac-vlan mac-address 命令用来配置 MAC 地址与 VLAN 关联。

[S2]vlan 10
[S2-vlan10]mac-vlan mac-address a008-6fe1-0c46

配置交换机S2的GigabitEthernet0/0/1、GigabitEthernet0/0/2 和 GigabitEthernet0/0/3接口为Hybrid接口,并允许通过该接口传输基于MAC地址划分的VLAN。

在Access口和Trunk口上,只有当基于MAC地址划分的VLAN与PVID一致时,才能正常通信。因此,建议在Hybrid接口上配置基于MAC地址划分的VLAN,以支持多个VLAN的无标签传输。

[SW2-GigabitEthernet0/0/1]dis th
#
interface GigabitEthernet0/0/1
 port hybrid untagged vlan 10
[SW2-GigabitEthernet0/0/2]dis th
#
interface GigabitEthernet0/0/2
 port hybrid untagged vlan 10
[SW2-GigabitEthernet0/0/3]dis th
#
interface GigabitEthernet0/0/3
 port hybrid untagged vlan 10

配置交换机S1和S2的互联接口,允许VLAN10通过。为了确保多个VLAN的带标签通信,可以将交换机互联接口配置为Trunk接口。

[SW1-GigabitEthernet0/0/10]dis th
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3 10
[SW2-GigabitEthernet0/0/10]dis th
#
interface GigabitEthernet0/0/10
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 2 to 3 10

配置交换机S2的GE0/0/1、GE0/0/2和GE0/0/3接口,以实现基于MAC地址的VLAN划分功能。

若希望通过这些接口的报文能够按照MAC地址划分的VLAN进行转发,必须启用接口的MAC VLAN功能。

[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]mac-vlan enable
[S2-GigabitEthernet0/0/1]quit
[S2]interface GigabitEthernet0/0/2
[S2-GigabitEthernet0/0/2]mac-vlan enable
[S2-GigabitEthernet0/0/2]quit
[S2]interface GigabitEthernet0/0/3
[S2-GigabitEthernet0/0/3]mac-vlan enable
[S2-GigabitEtherneto/0/3]quit

步骤五:查看配置信息

display vlan 命令用于查看VLAN的相关基本信息。

display vlan verbose 命令则提供指定VLAN的详细资料,包括VLAN ID、类型、描述信息、状态、统计开关状态、所属接口以及这些接口的加入方式等。

[SW1]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------

VID  Type    Ports
--------------------------------------------------------------------------------
1    common  UT:GE0/0/2(D)      GE0/0/3(D)      GE0/0/4(D)      GE0/0/5(D)
                GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)
                GE0/0/11(D)     GE0/0/12(D)     GE0/0/14(D)     GE0/0/15(D)
                GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)
                GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)
                GE0/0/24(D)
2    common  UT:GE0/0/1(U)
             TG:GE0/0/10(U)
3    common  UT:GE0/0/13(U)
             TG:GE0/0/10(U)
10   common  TG:GE0/0/10(U)

VID  Status  Property      MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1    enable  default       enable  disable    VLAN 0001
2    enable  default       enable  disable    VLAN 0002
3    enable  default       enable  disable    VLAN 0003
10   enable  default       enable  disable    VLAN 0010
[SW2]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------

VID  Type    Ports
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(D)      GE0/0/3(D)      GE0/0/4(D)
                GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)
                GE0/0/9(D)      GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)
                GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)
                GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)
                GE0/0/23(D)     GE0/0/24(D)
2    common  TG:GE0/0/10(U)
3    common  UT:GE0/0/14(U)
             TG:GE0/0/10(U)
10   common  UT:GE0/0/1(U)      GE0/0/2(D)      GE0/0/3(D)
             TG:GE0/0/10(U)

VID  Status  Property      MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1    enable  default       enable  disable    VLAN 0001
2    enable  default       enable  disable    VLAN 0002
3    enable  default       enable  disable    VLAN 0003
10   enable  default       enable  disable    VLAN 0010

结果验证

检测设备连通性,验证VLAN配置的效果

1.在S3上执行Ping命令,确保S3可以成功Ping通S4。

[SW3]ping 10.1.3.2
  PING 10.1.3.2: 56  data bytes, press CTRL_C to break
    Reply from 10.1.3.2: bytes=56 Sequence=1 ttl=255 time=90 ms
    Reply from 10.1.3.2: bytes=56 Sequence=2 ttl=255 time=80 ms
    Reply from 10.1.3.2: bytes=56 Sequence=3 ttl=255 time=60 ms
    Reply from 10.1.3.2: bytes=56 Sequence=4 ttl=255 time=70 ms
    Reply from 10.1.3.2: bytes=56 Sequence=5 ttl=255 time=80 ms

  --- 10.1.3.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 60/76/90 ms

2.在R1上执行Ping命令,验证R1无法Ping通任何设备。

[R1]ping 10.1.3.2
  PING 10.1.3.2: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 10.1.3.2 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

3.在R3上执行Ping命令,目标为R1,并在S1和S2的互联链路上进行抓包,结果显示R1无法Ping通R3的物理接口地址,但可以捕获到带有VLAN10标签的数据帧。

[R2]ping 10.1.2.1
  PING 10.1.2.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 10.1.2.1 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

思考

Q:如下图所示拓扑,为了保证某特殊业务的信息安全,要求只有某些特殊PC才能通过VLAN10进行网络访问,并且要求在S1交换机上实现该功能,请问将如何配置实现?

A:在S1交换机上,首先创建VLAN 10。然后将连接S2的接口GE0/0/1配置为Trunk模式,允许VLAN 10通过。最后在该接口上启用端口安全,基于MAC地址绑定,只允许特殊PC的MAC地址访问,从而限制只有授权设备可通过VLAN 10通信,确保信息安全。