VLAN的原理、静态VLAN与配置方法(理论与实践）

环境准备：一台安装GNS3-1.3.10、Wireshark、SecureCRT8.0的计算机。并在GNS 3中添加路由映像。（GNS3-1.3.10、Wireshark、SecureCRT8.0安装连接：
https://blog.51cto.com/14473285/2426223 ）（GNS 3添加路由映像连接：
https://blog.51cto.com/14473285/2426262 ）

在传统的交换式以太网中，所有的用户都在同一个广播域中，当网络规模较大时，广播域中的广播包数量会急剧增加，当广播包数量占用到总量30%时，网络的传输率将会明显下降，使我们的网络访问十分延迟，而当某个网络设备出现故障时，就会不停的向网络发送广播，从而导致广播风暴的产生，使整个网络环境瘫痪。这个时候我们就要通过分隔广播域的方式来解决这个问题，从而使我们的网络环境得到提升。

分割广播域的方法有两种：

1、 物理分隔，使用能够隔离广播的路由设备来分隔广播域，将网络划分成若干个小网络，再通过路由将不同的网络连接起来实现通信，这就是物理分割。
2、 逻辑分隔，将网络从逻辑上划分为若干个小的虚拟网络，就是我们本篇文章要将的VLAN（虚拟局域网）。

物理分隔存在着许多缺点，它会使我们配置网络时缺乏灵活性，它是通过路由设备进行的分隔，连接在同一台交换设备上的用户只能划分在同一个网络，不能划分多个网络，受限于用户的物理位置，同时对设备的要求过高，不适合使用。
逻辑分隔，也就是VLAN，它是工作在OSI参考模型中的数据链路层，一个VLAN的设置就是一个交换机网络，其中的所有用户都在同一个广播域中，各VLAN通过连接路由设备实现通信。
VLAN的产生给我们配置网络时增加了灵活性，我们在划分网络时，不再受限于用户的物理位置，VLAN可以在一个交换机上实现，也可跨交换机实现，它根基用户的位置、作用和部门等进行划分网络，实现广播域的分隔。使用VLAN分隔广播域具有灵活性和可扩展性等特点。

VLAN技术的优点：

1、 控制广播，通过VLAN 划分广播域，每个ALAN都是一个独立的广播域，这样减少了广播对网络带宽的占用，提高了网络传输效率，并且一个VLAN出现广播风暴不会影响到其他VLAN。
2、 增强了网络安全性，由于只能在同一VLAN内的端口之间交换数据，不同VLAN的端口之间不能直接访问，因此通过划分VLAN可以限制个别主机访问服务器资源，提高了网络的安全性。
3、 简化了网络管理，对于交换式以太网，如果用户要从新分配网段，需要我们对网络物理结构进行调整，甚至需要添加网络设备，这样就会增加我们的工作量，而我们采取VLAN技术，就可以通过一个VLAN根据部门职能、用户组或者将不同地理位置的用户划分为一个逻辑网段，在不改动网络物理连接的情况下可以将用户在用户组或子网之间移动，利用VLAN大大减轻了我们管理网络和维护网络的工作负担，同时也降低了网络维护的费用。

静态VLAN也称基于端口的VLAN，是目前最常见的VLAN实现方式，也是我们最常用的VLAN形式。静态VLAN就是明确指定交换机端口属于哪个VLAN，这需要我们手动进行配置，当用户主机连接到交换机端口上时，就被分配到对应的VLAN中，这种端口和VLAN的分配只有用户主机有效，而交换机之间不能共享这一信息。如图所示：

1、 VLAN的范围
Cisco Catalyst交换机设备最多支持4096个（0~4095）VLAN，如下图表中列出了Catalyst交换机中VLAN的分配情况：

从表中我们可看出我们可以使用的VLAN ID范围有1、2-1001和1025-4094，我们设置的VLAN ID 也要在这个范围之内才能够使用，而我们通常使用的VLAN ID范围在2-1001，这个范围一般就够我们使用了。所有的Catalyst交换机都支持VLAN，不同的交换机型号支持的VLAN数目是不同的，具体要查看交换机型号。这里就不在举例说明。

2、VLAN的基本配置
在交换机上配置静态VLAN时，步骤如下：
1）、创建VLAN
2）、将交换机的端口加入到相应的VLAN中
3）、验证VLAN的配置

下面我们通过在GNS 3中实验操作来完成静态VLAN的配置。

（1）、打开GNS 3配置交换机，首先在打开的GNS 3中添加路由设备，并更改路由设备配置，给路由设备添加交换机业务单板，设定交换机磁盘空间（如果没有磁盘空间是无法添加VLAN的，这里我设定的磁盘空间是128MiB，磁盘空间可以自己设置，真实交换机设备中自带磁盘空间），并更改路由图标、名称为交换机图标、名称（方便我们识别）如图：

点击关闭新建项目弹窗，开始使用GNS 3。

点击路由图标，将添加好的路由拖入拓扑操作区域。

右击拓扑区域路由图标，点击Configure，进行磁盘空间、交换机业务单板配置。

设置磁盘空间。

设置交换机业务单板，点击OK确认配置。

右击拓扑区域路由图标，点击Change symbol进入更改路由图标。

选择交换机图标，点击OK确认配更改。

右击拓扑区域路由图标，点击Change hostname进入更改路由名称。

更改路由名称为SW，点击OK，确认更改。

（2）、添加PC机并与交换机相连，这里我们添加三台PC机，方便我们划分VLAN，添加的PC1主机E0接口连接交换机F1/0接口，PC2主机E0接口连接交换机F1/1接口，PC3主机E0接口连接交换机F1/2接口，连接好后点击显示接口图标在拓扑操作区显示图标，如图：

点击设备图标，拖入拓扑操作区三台PC主机。

点击连接线图标，点击PC1主机，选择连接E0接口。

点击交换机图标，选择交换机接口F1/0接口连接。

PC2、PC3以PC1连接交换机方式分别连接交换机F1/1、F1/2接口。

三台PC连接好交换机后点击接口显示图标，显示接口。
（3）、通过GNS 3书写工具、标记划分工具在拓扑操作区标记出三台PC机VLAN区域、IP地址的设定，方便我们区分识别与配置，PC1设定VLAN 10区域，PC2、PC3设定VLAN 20区域，PC1设定IP地址192.168.10.10，PC2设定IP地址192.168.10.20，PC3设定IP地址192.168.10.30，如图：

在拓扑操作区做出标记，方便我们区分识别与配置。
（4）、配置好GNS 3后开启交换机与PC机，然后打开交换机与PC机进入配置交换机与PC机，给交换机配置两个VLAN、在VLAN中添加端口，给PC机配置IP地址，如图：


双击设备图标，打开交换机配置模式。

选择交换机，输入dir查询磁盘空间，会出现磁盘空间容量，如果没有磁盘空间容量就要输入erase flash：清除交换机硬盘。

输入erase flash：（注意冒号要自己输入）清除交换机硬盘，输入后点击两次回车，等待清楚，清除成功，清除成功后在查看磁盘空间，这时候就会显示磁盘空间容量，下面就可以配置VLSN。

清除成功后，收入configure terminal进入全局模式，进行交换机配置，在用户模式只能查看交换机信息，只能在全局模式或者接口模式才能对交换机进行配置，这里我们进入全局模式输入no ip routing关闭路由功能（因为我们是用路由设备该的交换设备，所以我们需要先关闭路由功能）。然后我们给PC端设置IP地址，来验证交换机是否可以正常使用。

配置PC1 IP地址。

配置PC2 IP地址。

配置PC3 IP地址。配置成功后，验证三台PC是否可以互通。

用ping验证PC1与PC2、PC3成功通信。

用ping验证PC2与PC3成功通讯，这样三台PC就正常通信，交换机环境搭建成功，下面我们来配置VLAN。

选择交换机设备，直接在全局模式输入VLAN 10创建VLAN，会直接进入VLAN，然后输入exit退出vlan，回到全局模式，输入do show vlan-switch brief查看vlan，就能看到我们设置的vlan 10，然后继续配置vlan 20 并给这个vlan 20设置一个名字caiwu。

全局模式输入vlan 20配置vlan，输入name caiwu给vlan 20添加caiwu名字，退出，查看vlan，下面就会出现成功配置的vlan。Vlan配置好后我们就要把接口添加进vlan。

输入infigface fastethernet1/0进入接口f1/0接口然后输入switchport mode access命令进入接入链路，继续输入switchport access vlan 10添加VLAN 10，exit退出，do show vlan-switch briet查看vlan,下面我们就能看到f1/0接口成功添加进vlan 10，f1/0接口连接的就是我们的PC1主机，这样我们的PC1主机就成功添加进vlan 10。下面就来把PC2、PC3主机添加进vlan 20。

输入interface range f1/1 -2进入集体模式中（这里注意f1/1 -2在-2前面输入空格，标识连续的意思，如果输入的是-5则表示进入f1/1、f1/2、f1/3、f1/4、f1/5集体模式），输入命令switchport mode access进入接入链路，输入命令switch access vlan 20把接口f1/1、f1/2添加进vlan 20，输入do show vlan-switch brief(当我们在命令前面加入do时就表示可以在全模式下面查看信息，如果不输入do就只能在用户模式和特权模式输入命令查看，所以这里我在全局模式和接口模式输入查看命令前面都加了do)，命令查看vlan，我们就能在下面看看到接口f1/1、f1/2成功添加进vlan 20，f1/1和f1/2连接的就是PC2和PC3,这样我们就成功把PC2和PC3加入vlan 20。下面我们就来验证是否成功。

选择PC1设备，用ping命令验证PC1与PC2、PC3是否可以通信这个时候我们在ping PC2、PC3时就发现不能连接了，这就证明我们成功将PC1加入vlan 10，利用vlan把PC1与PC2、PC3分隔开来，我们在来实验PC2是否能与PC3通信。

选择PC2设备，用ping命令验证与PC3正常通信，与PC1无法通信，这就证明我们把PC2与PC3成功划分进vlan 20与PC1分隔开来。

通过这个实验我们得出经过VLAN的划分配置，三台PC机处于同一网段同一交换设备，实现广播域的分隔，处于同一vlan的设备可以正常通信，不在同一vlan的设备无法通信。通过vlan的技术来分隔广播域，避免广播太多出先占用带宽的后果，同样避免了广播风暴的产生，使我们的网络环境得到提升，同样也减少了我们的工作负担，节省了人力物力。

原文地址：https://blog.51cto.com/14473285/2427648