原理:
早期的局域網技術是基於總線型的結構,也就是說所有主機共享一條傳輸線路。這就帶來了很多問題:沖突域和安全問題。為了避免沖突域,我們使用二層交換機。但想想,一台計算機在總線上傳輸數據的時候,所有計算機都會收到數據,只不過在網絡層發現不是自己的地址丟棄掉了,如果被一些人利用,完全可以將信息攔截存儲下來,所有我們為了解決安全問題,我們開始划分VLAN,相當於把一個大的廣播域划分成許多小的廣播域,來提高網絡安全性。VLAN ID的取值范圍是0~4095 可配置的值是1~4094
什么是access接口?
Access接口是交換機上用來連接用戶主機的接口。當Access接口從主機收到一個帶VLAN標簽的數據幀時,會給該數據幀加上一個與PVID一致的VLAN標簽(PVID可手工配置,默認是1,即所有交換機上的接口默認都屬於VLAN1)。當Access接口要發送一個帶VLAN標簽的數據幀給主機時,首先檢查該數據幀的VLAN ID 是否與自己的PVID相同,若相同,就去掉VLAN標簽后發送給該數據幀主機;不相同,直接丟棄該數據幀。
例子:
實驗內容本實驗模擬企業網絡場景.公司內網是一個大的局域網,二層交換機 sl 放置在一樓,在一樓辦公的部門有 IT 部和人事部:二層交換機 s2 放置在二樓,在二樓辦公的部門有市場部和研發部。由於
交換機組成的是一個廣播網,交換機連接的所有主機都能互相通信,而公司策略是:不同部門之問的主機不能互相通信,同一部門內的主機才可以互相訪問。因此需要在交換機上划分不同的 VLAN ,並將連接
主機的交換機接口配置成 Access 接口划分到相應 VLAN 內。
拓撲圖:
實驗編址:
1.基礎配置
按照實驗編制進行實驗配置,並用ping命令測試連通性
2.創建VLAN(兩種方法)
我們用display看一下,
3.配置Access接口
按照拓撲,使用port link-type access命令配置所有S1和S2交換機上連接PC的接口類型為Access類型接口,並使用port default vlan命令配置接口的默認VLAN並同時加入相應VLAN中。默認情況下,所有接口的默認VLANID為1。
到這一步了,可以再用display看一下配置信息。(我就不截了)
4.檢測配置結果
我們用PC1來 ping其他的幾個PC(第一個是ping PC2 第二個是pingPC3)
發現不在一個VLAN中ping不同了