用交换机组建虚拟局域网的实验
VLAN概述和用途
VLAN(Virtual Local Area Network)是局域网的仿真,它允许数据的传送不受物理网络限制。借助第三层交换机的路由功能及强有力的网管软件,可以对网络结构进行逻辑更改,避免了昂贵耗时的物理重构,减少网管开销。
优点:对包含特殊数据服务的访问只局限于指定工作组,广播数据包也限制在特定的VLAN范围内,不会传播到整个网上增加网络的负担,可以优化网络带宽,减少网络堵塞,在一定程度上保证了安全性目标。
VLAN的核心是通过路由和交换设备,在网络物理结构的基础上建立逻辑网络,使得网络中的任意节点能根据需要组成一个逻辑的局域网。
本实验使用港湾三层交换机 FLex Hammer 24组建VLAN。
Flex Hammer交换机的VLAN分类
三层交换机可以设置VLAN(虚拟局域网),不同VLAN内的工作站在没设置路由的情况下无法Ping通,因此要修改VLAN的设置,使它们在一个VLAN中,或设置路由使VLAN之间可以通讯。
Flex Hammer交换机最多支持256个VLAN。用户可以根据以下标准创建VLAN。
物理端口
802.1Q tag
以上标准的组合
以端口划分的VLAN(Port-Based VLAN)
如果网络站点相对固定,可采用基于端口的虚拟子网的划分,这种方式配置简单,便于维护。在一个Port-Based VLAN中,用一个VLAN的名字来代表交换机中的一个或多个端口组成的一组端口。每一个端口最多只能属于一个Port-Based VLAN中。
在每个VLAN中的设备只能与在同一个VLAN中的设备通信。不同的VLAN中的设备通信时,就必须通过路由设备才能进行,即使它们在物理上属于同一个交换机的同一个I/O模块。这就意味着每一个VLAN都必须被配置成拥有唯一且不同子网段IP地址的路由接口。
以标签划分的VLAN(Tagged VLAN)
A. 标签的含义
标签就是在以太网帧中插入的特定的记号,称为tag。标签是某个指定VLAN的标识号VLANid。
注意:使用802.1Q标签的数据包可能导致数据包长度比现行的IEEE 802.3以太网帧的最大字节数1,518稍微大一点。而这可能导致其它设备中的数据包计数错误,这又可能在存在非802.1Q的网桥或者路由器的网络中导致连接出现问题。
B. Tagged VLAN的应用
标签(Tagging)最常应用在跨交换机创建的VLAN当中。此时,交换机之间的连接通常叫做中继。使用标签后,可以通过一个或多个中继创建跨多个交换机的VLAN。一个VLAN可以很轻易地通过中继跨多个交换机。
使用Tagged VLAN的另一个好处就是一个端口可以属于多个VLAN。这一点在当您有一个设备(例如服务器)必须属于多个VLAN的时候特别有用。这个设备必须有支持802.1Q的网络接口卡。
C. 指定VLAN标签
每一个VLAN都可以赋予一个802.1Q VLAN Tag。当端口被加到一个802.1Q标签定义好的VLAN中去时,您可以决定该端口是否使用该VLAN的标签。HammerOS交换机的缺省模式是所有端口都属于一个名叫default的VLAN中,但不使用该VLAN的标签(VLANid)-2047。
并不是所有端口都必须使用标签。当数据流从交换机的一个端口输出时,交换机实时决定是否需将该VLAN的标签加入到数据包中。交换机根据每个VLAN的端口的配置情况决定加上或者去掉数据包中的标签。
如果交换机收到带Tag标志的数据包,而接收数据的端口又并不属于配置带该Tag(VLANid)的VLAN时,那么交换机将丢弃该数据包。
D. 应用的例子
举例(图略):
有交换机1和交换机2,它们之间通过各自的端口1相连,而交换机1的端口8连接的server有支持802.1Q Tagged的网络接口卡。虚拟局域网的分配如下:
VLAN Market:交换机1:端口2,3,7;交换机2:端口6,8
VLAN Sales: 交换机1:端口20,24;交换机2:端口16,19,22
同时属于VLAN Market和VLAN Sales的端口:交换机1:端口1,8;交换机2:端口1。
1)交换机1的端口1和交换机2的端口1都同时属于VLAN Market和VLAN Sales,是两台交换机的中继端口。这两个端口之间的连接使两台交换机上VLAN Market和VLAN Sales连接起来,使这两个VLAN都能跨交换机通信。
2)中继端口都是tagged。
3)连接到交换机1的端口8的Server有支持802.1Q Tagged的网络接口卡。
4)Server所连的交换机1的端口8同时属于VLAN Market和VLAN Sales。
5)除了Server所连的交换机1 的端口8和两台交换机的端口1两个中继端口是tagged的以外,别的端口都是untagged。
当数据转发到交换机的端口时,交换机决定数据送达到目的端口是否需要加标签(tagged)。所有Server收发的数据都是加标签的(tagged)。从其余终端工作站收和发的数据都是untagged。
混合使用Tagged VLAN和Port-based VLAN
可以混合使用Tagged VLAN和Port-based VLAN。一个给定的端口可以属于多个VLAN,前提是该端口只能在一个VLAN中是未加标签的(Untagged)。换句话说,一个端口同时能属于一个Port-Based VLAN和多个Tagged VLAN。
出于VLAN分类的目的,如果交换机收到一个含802.1Q标签的数据包,但是该802.1Q标签所含的VLANid值为0,那么交换机会把该数据包当作是未标签的(Untagged)。
三、配置VLAN的有关规则
FlexHammer的VLAN的配置要求遵循一定的规则,对VLAN的命名、端口的添加、IP Address的配置、Tag值的范围等有一定的要求。
1. 缺省VLAN(Default VLAN)
每一台FlexHammer交换机出厂时都有一个缺省的VLAN,该VLAN有以下属性:
VLAN的名字是default
它包含所有的端口
Default VLAN的所有端口都是untagged的
Default VLAN的VLANid是2047
2. VLAN的名字
HammerOS交换机支持256个不同的VLAN。每个VLAN的名字可以是以字母或数字开头的1至30个字符组成,这些字符只能是字母、数字或者下划线“-”。空格符、逗号、引号等字符都是不合法的。
VLAN的名字都只是本地标志。也就是说,在一台交换机上设置的VLAN的名字只对该交换机有意义。如果另一台交换机(switch2)与该交换机(switch1)相连,那么这个交换机(switch1)的VLAN的名字对那台交换机(switch2)来讲毫无意义。
应该在整个网络中统一规划命名VLAN。
VLAN端口的添加
Flex Hammer的端口可以以两种形式属于某个VLAN,分别是:
IEEE 802.1Q tagged模式
IEEE 802.1Q untagged模式
一个端口只能在IEEE 802.1Q untagged模式下属于一个VLAN,同时可以以IEEE 802.1Q tagged模式属于多个VLAN。
添加VLAN端口,键入命令:
config vlan <name> add port <portlist> [tagged|untagged]
选择tagged,向VLAN添加tagged端口,
选择untagged,向VLAN添加untagged端口。
A. 当我们往一个指定VLAN中添加IEEE802.1Q untagged端口时:
如果该端口属于Default Vlan,则该端口可以添加到指定的VLAN,同时交换机会自动从Default Vlan中将该端口删除。
2)如果该端口不属于Default Vlan,那么该端口肯定以IEEE802.1Q untagged模式属于某个其它VLAN,则不能将该端口添加到指定的VLAN中。
B. 当我们往一个指定VLAN中添加IEEE802.1Q tagged端口时:
不再受该端口与其它VLAN关系的限制。
2)如果该端口已经以IEEE802.1Q untagged模式属于该VLAN,端口可以添加成功,但该端口将不再以untagged模式属于该VLAN。
C. 举例
1)创建一个名称为market的VLAN,且端口2已经以IEEE802.1Q untagged模式属于该VLAN。
键入命令:
show vlan market
按回车,显示如下信息:
VLAN ID :2045
Name :market
Mac address :00:45:32:65:98:72
Tagged Ports :
Untagged Ports :2 4 5 8 9 10
2)当我们向market添加一个以IEEE802.1Q tagged模式属于该VLAN的端口2时,键入命令:
config vlan market add port 2 tagged
按回车,添加成功,键入命令:
show vlan market
按回车,显示如下信息:
VLAN ID :2045
Name :market
Mac address :00:45:32:65:98:72
Tagged Ports :2
Untsgged Ports :4 5 8 9 10
说明:端口2以IEEE802.1Q tagged模式属于market,而untagged ports中就没有端口2了。
IP Address的配置
HammerOS要求在一台交换机中,不同VLAN必须配置成不同子网段的IP Address。
VLAN的Tag值范围
Flex Hammer的VLAN的Tag值要求在1-4095范围之间。
6. 配置VLAN的步骤
创建VLAN并给该VLAN取名
如果需要的话给该VLAN分配IP地址和子网掩码。
每一个VLAN都应该分配唯一的IP地址和子网掩码,不能把两个VLAN配置成同一个IP地址。(要求不在同一个子网段)
给VLAN指定一个Tag,或者使用创建时系统分配的Tag。
在VLAN中加入端口,当加入端口时可以指定是否使用802.1Q tag。
HammerOS的VLAN配置表
命令
描述
creat vlan <name>
创建一个VLAN
config vlan <name> ipaddress
[<A.B.C.D/M>|<A.B.C.D> <A.B.C.D>]
配置VLAN的IP地址和子网掩码。
子网掩码可以以掩码长度格式输入,也
可以以IP地址格式输入。
config vlan <name> tag <1-4095>
指定VLAN的Tag即VLANid
config vlan <name> [add|delete]
port <portlist> [tagged|untagged]
在VLAN中增加或删除端口,
并设置该端口是Tagged还是untagged
配置VLAN举例
以下例子创建了一个名为development的VLAN,给该VLAN分配IP地址 202.106.15.3和子网掩码255.255.255.0,然后加入端口3,6,17-20并指定端口为untagged模式。
create vlan development
config vlan development ipaddress 202.106.15.3 255.255.255.0
config vlan development add port 3,6,17-20 untagged
以下例子创建了一个名为video的Tag-Based VLAN,分配给该VLAN的VLANid 是128。把端口4至端口8加入该VLAN并设为tagged模式。
creat vlan video
config vlan video tag 128
config vlan add port 4-8 tagged
C.删除VLAN
delete vlan <name>
删除一个VLAN后,该VLAN的untagged模式的端口将被以untagged模式放回(default)VLAN。
D. 显示VLAN配置信息
show vlan {<name>}*1
四、虚拟局域网实验
1. 实验设备:港湾FLEXHAMMER24交换机、学生机(192.168.1.0网段及192.168.2.0网段)
将整个网络划分为3个VLAN,分别命名为VLAN1、VLAN2和VLAN3。其中switch交换机的端口1-8分配给VLAN1,端口9-16分配给VLAN2,其余的端口分配给VLAN3。
网络结构示意图
安装调试过程
步骤一、使用Console口连接到交换机
第一次配置必须通过在交换机前面板上标有“Console”字样的RJ-45 串口连接交换机内置的命令行接口。
1)将电缆(一端是RJ45口,水晶头形式;另一端是并行端口形式)的RJ45口接至Hammer交换机的Console口,另一端接至电脑主机的COM口。将电脑通上电源,交换机暂时不接电源。
2)点开始 程序 附件 通讯 超级终端,给本次连接命名后,按如下参数配置本次连接。
波特率 :115200
数据位 :8
奇偶校验 :无
停止位 :1
流量控制 :无
端口:COM1(这里依电脑上实际接的物理并行端口为准)
3)在使用Console 口连接交换机时,推荐用户使用VT100 终端仿真。设置方法:在超级终端界面中,打开“文件”菜单,选择“属性”工具条,出现一个窗口,点击 “设置”标签,在“终端仿真”下拉列表中选择VT100 即可。
步骤二、访问交换机
给交换机接上电源。 如果连接成功,在终端中看到操作系统启动的界面后,就可以通过命令行接口对交换机进行配置了。
1)待HammerOS 成功启动后,就可以看到交换机的提示登录信息:
############################################################
# #
# Welcome to HammerOS。 #
# #
# Press Return to connect and config this system。 #
# #
############################################################
按回车键进行登录。
2)此时,系统要求您输入用户名和密码。
首次登录交换机,应该使用缺省的用户名admin,来进行登录,此时输入登录密码harbour,按回车键后只进入只读模式,这时只能读系统的配置信息而不能更改和重新配置。
若想重新配置,则再输入enable,按回车,键入配置模式缺省密码harbour后系统显示如下信息 Harbour(config)# 表明可以对命令行进行操作了。
步骤三、:创建VLAN后用show vlan查看一下配置信息
创建了一个名为vlan1 的VLAN,给该VLAN 分配IP 地址192.168.1.1 和子网掩码255.255.255.0,然后加入端口1~8并指定端口为untagged 模式。
create vlan vlan1
config vlan vlan1 ipaddress 192.168.1.1 255.255.255.0
config vlan vlan1 add port 1-8 untagged
同理,创建vlan2(接口地址192.168.2.1/24, 加入端口9~16并指定端口为untagged 模式)和vlan3(接口地址192.168.3.1/24, 加入端口17~24并指定端口为untagged 模式)
步骤四、保存配置
键入命令:save configuration
按回车,当出现如下提示信息时:
Trying save configuration to flash, please wait ......
Preparing configuration data to save...Done.
Starting write configuration data to flash...Done.
Configuration save to flash successfully.
表明系统向FLASH 中写入配置信息成功,即保存成功。而且所做的配置立即生效。
步骤五、退出交换机操作系统
完成对交换机的操作后,键入命令:logout 或 quit,就可以断开与交换机的连接,并退出命令行界面。Exit主要用于一层层退出。
步骤六、验证VLAN
将两台192.168.1.0网段的学生机连到FLEX24的1、2口,用ping对方IP地址的方法看是否能通。(能)
将两台192.168.1.0网段的学生机连到FLEX24的1、9口,用ping对方IP地址的方法看是否能通。(否)
将两台分属192.168.1.0网段和192.168.2.0网段的学生机连到FLEX24的1、2口,用ping对方IP地址的方法看是否能通。(否)
将两台分属192.168.1.0网段和192.168.2.0网段的学生机连到FLEX24的1、9口,用ping对方IP地址的方法看是否能通。(能)
RIP路由协议及其在Flex Hammer上的配置
路由概述
路由又分为直接路由和间接路由,发送一个数据包需要这两种路由方式。
在一个网络中进行数据包传送时,将一个大网分成不同的子网,给每一个子网都设置一个唯一的网络号。
直接路由:子网收到的数据包中的目的IP地址的网络号与本子网网络号相同,则这些数据包直接被发送到本子网内,并查找相应的主机,而不需要使用路由设备。
间接路由:子网收到的数据包中的目的IP地址的网络号与本子网网络号不同,需要将数据包先发送到路由设备,然后再向目的主机转发。
通常涉及到路由的部分都用于在不同网段上进行数据包的转发。
路由包括静态路由和动态路由。
RIP路由协议简介
RIP(Route Information Protocol)是基于Distance—Vector算法的内部动态路由协议。
RIP协议以到达目的地所经过的路由器个数(跳数)为衡量路由好坏的度量值,最大跳数为15,因此适应于中小型网络。
RIP的路由信息用UDP数据报封装,RIP在520号端口上接收来自邻居路由器的路由更新信息。
RIP协议报文分为request和response两种。Request报文用来在RIP协议进程启动时向相邻路由发出请求信息,以获得其路由表。Response报文用来与相邻路由器周期性的相互交换路由信息,动态维护自身的路由表,以适应网络的更改。
RIP有两种模式:active模式和passive模式。在active模式下,RIP不久接收来自相邻路由器的response报文,而且也定期向相邻路由器发送包含自己RIP路由信息的response报文。在passive模式下,RIP只接收来自相邻路由器的response报文,但不发送response报文。
RIP协议有RIP-1和RIP-2两种版本,RIP-1报文不携带子网掩码信息,只能支持有限的子网信息的交换,RIP-2报文携带子网掩码信息,支持变长掩码子网信息的交换。
要进行RIP路由配置,首先应该具备几个子网,即VLAN。
RIP路由协议配置
启动RIP,需要在配置模式下使用命令router rip,出现HammerOS(config-router)#表示系统已经进入router配置模式,可以对RIP进行配置。
network<A.B.C.D/M> 指定RIP路由进程运行网段
本实验配置专访路由
路由是三层交换机区别于二层交换机的重要概念。三层交换机实现了IP 协议及相关的整个TCP/IP 协议栈,可以提供三层路由转发功能,即跨越不同IP 网段的IP 报文转发。在这个意义上说,三层交换机的功能与IP 路由器是类似的。
IP路由是IP 协议三层转发的控制信息,它说明最终达到某个网段的“下一步”应转发到哪里。一条IP 路由的主要内容是目的地址及掩码、下一跳地址、出接口。其中目的地址及掩码描述目的地信息,下一跳地址和出接口描述在本交换机应该如何转发这类报文。
注意:设置路由器192.168.0.1时,要去掉代理服务,并且是自动获取IP地址(已改为192.168.1.1)。
