計算機網絡實驗教學中VLAN實驗的設計研究

梁 盛

（廣州商學院 信息技術與工程學院，廣東 廣州 511363)

0 引言

VLAN 的中文名為虛擬局域網，指將一個物理的局域網在邏輯上劃分成多個廣播域，從而可以縮小和隔離廣播域，達到預防數據流量過大和廣播風暴的一種通信技術[1]。直接將局域網按網絡號劃分成不同的網段，雖能實現訪問隔離的功能，但是后期維護不方便，更改訪問控制需要用戶配合。

例如某單位的人事部和財務部，初始計劃是不能互訪。如果僅使用不同網段進行隔離，而不使用VLAN。后期更改為人事部和財務部能夠互訪，則需用戶配合更改IP為同一網段，這增加了后期維護的難度。反之，如果初始設計網絡時使用了VLAN 技術，后期訪問需求變更，網絡的更改維護只需網絡管理員在交換機端設置為VLAN 間路由互訪。此更改過程不需要用戶參與，簡化了網絡管理。

由于VLAN 的作用可以簡化網絡管理，控制廣播風暴，增強網絡安全性[2],應用比較廣泛，因此VLAN實驗在計算機網絡的實驗教學中，是一個比較重要的實驗。在計算機網絡實驗的教學中，一般講授完交換機的基礎配置以后，就開始講授VLAN 實驗。該文根據實驗內容的由淺入深，實際應用場景由簡單到復雜的順序，探討VLAN實驗內容的設計。

1 接入層只需一臺交換機，VLAN 的劃分和路由的配置

當公司的空間很小，網絡規模很小，一臺交換機已能夠供給所有終端設備接入。此情況可以僅使用一臺三層交換機實現。首先根據部門的數量，制定VLAN的劃分計劃表，列出部門名稱、VLAN號、VLAN網段，如表1所示。

表1 VLAN的劃分計劃表

根據VLAN 的劃分計劃表，繪出網絡拓撲結構圖。由于兩個VLAN 與多個VLAN 的配置方法類似，所以該文VLAN實驗的設計研究只選用兩個VLAN來舉例子。其中，人事部使用VLAN 10，192.168.10.0 網段；財務部使用VLAN 20，192.168.20.0 網段。PC1 和PC3 屬于人事部的個人電腦，PC2 和PC4 屬于財務部的個人電腦。如圖1所示。

圖1 接入層一臺交換機的網絡拓撲圖

在交換機上劃分VLAN 的方法有多種，可以基于端口，也可以基于MAC 地址[3]。但應用最廣泛、最有效的方法是基于端口的劃分方法，絕大多數支持VLAN協議的交換機都提供這種VLAN配置方法。交換機端口出廠默認歸屬于VLAN 1。在端口歸屬的配置中，可以一個VLAN 對應一個端口，也可以一個VLAN擁有多個端口。由于一臺三層交換機的端口數量有限，如果某一個VLAN 的終端數目不多，可以直接連至此交換機；如果某一個VLAN 的終端數目很多，可以在此端口下，先加入一個非網管型普通交換機，擴充可供終端設備連接的交換機端口。非網管型交換機屬于即插即用的設備，不需要作任何配置。

根據VLAN 的劃分計劃表以及網絡拓撲圖，在交換機上需要做以下步驟。首先創建相應數目的VLAN，接著配置端口的屬性，最后將端口歸屬到相應的VLAN[4]，配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1]interface GigabitEthernet 0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中端口1 和端口3 屬于VLAN 10，端口2 和端口4 屬于VLAN 20，其余端口處于默認狀態，屬于VLAN 1，如圖2所示。

圖2 Display VLAN命令顯示VLAN的配置情況

配置完VLAN 的劃分后，通過在PC1 使用Ping 命令進行測試，發現PC1 能Ping 通PC3，但不能Ping 通PC2 和PC4。因為PC1 與PC3 在VLAN 10，PC2 與PC4在VLAN 20。Ping測試驗證了同一個VLAN的設備可以互訪，不同VLAN的設備不能互訪。

如果后期需求更改為不同部門也能互相訪問，財務部和人事部需要互訪，需要在三層交換機上配置VLAN間的路由[5]。方法是給每個VLAN配置一個IP，此IP 將成為此VLAN 內所有終端設備的網關。配置方法是通過interface 命令進入某個VLAN 的接口，給此VLAN設置一個IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，通過在PC1 使用Ping命令進行測試，發現PC1不僅能Ping通PC3，也能Ping通PC2和PC4。此Ping測試的結果驗證了在交換機上配置VLAN間的路由，能實現不同VLAN的通信，不同部門的互相訪問。

2 接入層有兩臺或多臺交換機，VLAN 的劃分和路由的配置

當公司的空間逐漸增大，網絡規模也在逐漸增大，一臺交換機已無法方便地提供給所有終端接入，公司放置了兩臺或者多臺交換機，供終端的網絡接入。從設備價格成本考慮，兩層交換機的價格比三層交換機便宜，且兩層交換機具備劃分VLAN 的功能。因此接入層交換機一般使用兩層交換機。公司通過劃分VLAN 來隔離廣播域，由于辦公室分散，同一部門的員工通過不同交換機接入。VLAN的劃分計劃表同表1。

由于兩臺交換機與多臺交換機的配置方法類似，所以該文VLAN 實驗的設計研究，只選用兩臺交換機來舉例子。其中人事部使用VLAN 10，192.168.10.0網段；財務部使用VLAN 20，192.168.20.0 網段。PC1和PC3 屬于人事部的個人電腦，PC2 和PC4 屬于財務部的個人電腦。人事部和財務部的電腦都存在通過兩臺以上交換機接入的情況。如圖3所示。

圖3 接入層兩臺交換機的網絡拓撲圖

每一臺交換機VLAN 的劃分，同前文接入層只有一臺交換機的配置方法。交換機連接終端設備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺交換機之間的數據傳輸一般不局限于某一個部門某一個VLAN，而是需要允許多個部門多個VLAN的數據通過。因此兩臺交換機之間連線的端口，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過。典型的配置為允許全部VLAN通過。

根據VLAN 的劃分計劃表以及網絡拓撲圖，在交換機上需要做以下步驟。首先每臺交換機創建相應數目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應的VLAN，最后配置干道鏈路端口的屬性。配置代碼如下：

交換機的配置代碼如下：

[LSW3]interface GigabitEthernet 0/0/1

[LSW3-GigabitEthernet0/0/1]port link-type access

[LSW3-GigabitEthernet0/0/1]port default vlan 10

[LSW3]interface GigabitEthernet 0/0/2

[LSW3-GigabitEthernet0/0/2]port link-type access

[LSW3-GigabitEthernet0/0/2]port default vlan 20

[LSW3]interface GigabitEthernet 0/0/24

[LSW3-GigabitEthernet0/0/24]port link-type trunk

[LSW3-GigabitEthernet0/0/24]port trunk allowpass vlan all

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中兩臺交換機的端口1屬于VLAN 10，端口2屬于VLAN 20，端口24 既屬于VLAN 10，也屬于VLAN 20，其余端口處于默認狀態的VLAN 1。

配置完VLAN的劃分后，通過在PC使用Ping命令進行測試，發現PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個VLAN 間不能Ping通。驗證了不同VLAN 的設備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過的干道鏈路可以通過所有的VLAN數據。

如果后期需求更改為不同部門也能互相訪問，財務部和人事部需要互訪，需要將其中一臺二層交換機更換為三層交換機，在三層交換機上配置VLAN 間的路由。方法同前文接入層只有一臺交換機的情況，給每個VLAN配置一個IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24

[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，發現PC1 不僅能Ping通PC3，也能Ping通PC2和PC4，驗證了在交換機上配置VLAN間的路由，能實現不同VLAN的通信，實現不同部門的互相訪問。

隨著網絡規模的增大，接入層交換機數量越來越多，如果網絡拓撲結構依舊保持為一層結構，接入層交換機兩兩連接，那么從一個終端設備到另一個終端設備的訪問，經過的交換機節點數也會越來越多。網絡的訪問速度將降低，網段內的數據廣播流量會增多。因此，考慮將網絡結構從一層結構改為兩層結構，將劃分VLAN 的二層交換機保留在接入層，將配置VLAN 間路由的三層交換機提升一層當作核心交換機，不再連接終端設備。接入層的交換機則不再是兩兩連接，而是全部連接到核心交換機，那么從一個終端設備到另外一個終端設備經過的交換機數目為三個，先后為發送端所連接的接入交換機、核心交換機、接收端所連接的接入交換機。

3 兩層結構下，VLAN的劃分和路由的配置

在企業或校園網絡中，一般使用的是分層的結構。根據網絡規模以及需要實現的功能，可以分成兩層結構，核心層和接入層；也可以分成三層結構，核心層、匯聚層、接入層。其中，核心層和匯聚層的交換機，一般放在網絡中心機房，由網絡管理員專職管理。接入層的交換機，則根據終端設備的所在位置，來決定擺放位置。例如學校里，會放置接入交換機在教學樓、實驗樓等位置，供終端設備接入。

由于兩個VLAN 與多個VLAN 的配置方法類似，接入層兩臺交換機與多臺交換機的配置方法類似，這里選用兩個VLAN，接入層兩臺交換機作為例子。其中人事部使用VLAN 10，192.168.10.0 網段；財務部使用VLAN 20，192.168.20.0網段。PC1和PC3屬于人事部的個人電腦，PC2 和PC4 屬于財務部的個人電腦。人事部和財務部的電腦都存在通過兩臺以上交換機接入的情況。接入層使用二層交換機，核心層使用三層交換機，如圖4所示。

圖4 兩層結構的網絡拓撲圖

接入層每一臺交換機VLAN 的劃分，同前文接入層只有一臺交換機的配置方法。交換機連接終端設備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺交換機之間的數據傳輸，接入層交換機與核心層交換機的級聯線路作為干道鏈路，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過。

根據VLAN 的劃分計劃表以及網絡拓撲圖，在交換機上需要做以下步驟。首先每臺交換機創建相應數目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應的VLAN，最后配置干道鏈路端口的屬性。接入層交換機的配置代碼同前文，核心層交換機的配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type trunk

[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type trunk

[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中接入層兩臺交換機的端口1 屬于VLAN 10，端口2 屬于VLAN 20，端口3屬于所有VLAN。核心層交換機的端口1和端口2屬于所有VLAN。

配置完VLAN的劃分后，通過在PC使用Ping命令進行測試，發現PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個VLAN 間不能Ping通。驗證了不同VLAN 的設備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過的干道鏈路可以通過所有的VLAN數據。

如果后期需求更改為不同部門能互訪，不同VLAN 能互相通信，則在核心層交換機上進行VLAN間路由的配置。

4 結束語

在VLAN 實驗內容所設計的三個網絡應用場景中，可發現接入層的交換機，都需要做VLAN 的劃分和端口的歸屬這兩個步驟，且配置方法是一樣的，VLAN 間路由的配置代碼也是一樣的。區別在于VLAN 間的路由，選擇在哪臺交換機上進行配置。在接入層只有一臺交換機的情況下，只能在此交換機；在接入層有多臺二層交換機的情況下，選擇其中一臺更改為三層交換機，并進行VLAN 間路由的配置；在兩層網絡結構下，選擇核心層交換機進行VLAN 間路由的配置。

通過對VLAN 實驗內容進行由淺入深的設計，網絡規模從一臺交換機，到一層的網絡結構，再到兩層的網絡結構。學生在學習中，循序漸進地掌握VLAN相關的知識，學習興趣得到提高，實驗教學質量也得到了提升。