跨越不同交换机的相同VLAN互通实验

网络基本认识,思科模拟器基础实验(二)-ZAERA

如图所示,把两台交换机连接的pc,分别划分进入到vlan10和vlan20中,实验目的为vlan10的主机可以跨越交换机实现通信,vlan20的主机可以跨越交换机实现通信,vlan10和vlan20的主机彼此之间无法通信,基本配置和实验1类似,正常在交换机上划分vlan和把接口划分进入到vlan中,需要注意的是交换机之间的链路需要配置成trunk,配置trunk的命令如下

Interface f0/3

Switchport mode trunk

当把交换机之间的链路配置成为trunk以后,trunk链路允许多个vlan的流量通过

所以VLAN10和vlan20的流量都可以在trunk链路上传输

在传输的过程中,vlan的流量会打上标记,所以到了另外一侧交换机,交换机可以根据数据包中的标记来确定流量来自于哪一个vlan

通过前两个实验,可以得到结论:只有一个vlan可以通过的接口为access接口,可以有多个vlan同时通过的接口为trunk接口

配置命令总结

Switchport mode access

Switchport access vlan xxx

Switchport mode trunk

单臂路由实验

网络基本认识,思科模拟器基础实验(二)-ZAERA

在前面的实验中,我们可以得到结论:在交换机连接PC的局域网里,相同VLAN可以通信,不同VLAN不能进行通信,那么实际工作中是怎样的呢?

在实际工作中,我们确实会对不同vlan的流量进行隔离,例如vlan10无法直接访问vlan20,但是更多的情况下,不同vlan的流量还是可以进行三层通信的。

例如,我们和百度可以进行三层通信,我们可以ping的通百度,但是我们无法发送广播包到百度,我们也无法ARP欺骗攻击到百度,这就是区别。所以我们认为三层的通信是安全的,2层的直接通信是危险的

那么如何实现不同vlan的互相访问呢?这个时候就需要使用路由器作为3层中转了

配置过程如下,交换机下联PC的接口作为access接口并分别划分进入到vlan10和vlan20

交换机配置

Vlan10

Vlan 20

Interface f0/1

Switchport mode access

Switchport access vlan 10

Interface f0/2

Switchport mode access

Switchport access vlan 20

Interface f0/3   //进入到交换机上联路由器的接口

Switchport mode trunk  //配置上联接口为trunk接口,trunk接口同时可以允许两个vlan通过

路由器配置

Interface f0/0   //进入路由器下联交换机的接口

No shutdown  //打开接口

Exit

Interface f0/0.1   //进入路由器的虚拟子接口

Encapsulation dot1q 10              //配置子接口属于

vlan10 Ip address 192.168.1.254 255.255.255.0    //配置vlan10 PC的网关IP地址

Interface f0/0.2

Encapsulaiton dot1q 20          //配置子接口属于vlan20

Ip address 192.168.2.254 255.255.255.0  //配置vlan20 的PC的网关IP地址

此时测试PC1和PC2的通信,正常情况下可以ping通,此时实现了不同vlan的PC通过路由器实现了三层通信,因为交换机上联路由器只有一个接口,此项技术称之为:单臂路由

还有一个可以替代路由器的东西,万一路由器出现问题了呢?于是便引入三层交换机。

把三层交换机替代掉路由器,又该怎么配置呢?如图所示:

网络基本认识,思科模拟器基础实验(二)-ZAERA