【實戰演練】Packet Tracer玩轉CCNA實驗02-VLAN基本配置

通常教程第一課都講交換機/路由器的操做系統（IOS）的基本操做，例如介紹普通模式、特權模式，修改密碼等。
咱們反其道而行之，先動手作VLAN的劃分操做，先講實操，再說概念。

實驗1（配置vlan access）：

搭建拓撲圖

實驗需求：實驗的拓撲如上圖，PC一、PC二、PC三、PC4鏈接同一臺交換機，PC一、PC3的人屬於同一個部門（如銷售部），PC二、PC4的人屬於同一個部門（財務部），因爲安全要求，但願銷售部的員工之間能夠互訪，財務部的員工之間能夠互訪，可是跨部門員工之間不能互訪。

配置命令:

先經過拖動的方式，拖動一臺交換機，4臺PC，而且經過自動連線的方式鏈接PC與交換機。

而後經過選擇設置，顯示端口標籤，方便查看PC與交換機的鏈接端口。

點擊交換機，選擇CLI標籤，能夠輸入命令，命令以下。

Switch>en       
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)name xiaoshou
Switch(config-vlan)vlan 20
Switch(config-vlan)name caiwu
Switch(config-vlan)do show vlan brief

#enable，進入普通模式，能夠輸入en縮寫按回車，也能夠按tab鍵補全，在按回車輸入。

#configure terminal進入特權模式，tab同上。

#vlan ID，建立vlan，而且用name更名。暫時不用理解，先死記硬背。

#show vlan brief ，能夠查看vlan狀況，若是在特權模式及之後的模式，要在前面加do。返回上一級用exit

每一個vlan就是一個子網，每一個子網就是一個網段！

每一個vlan就是一個子網，每一個子網就是一個網段！

每一個vlan就是一個子網，每一個子網就是一個網段！

**重要的事情說三遍！！！**後面說到不一樣vlan、不一樣子網、不一樣網段，說的都是同一個事情。

查看結果，能夠看到此時vlan 10與20後面都沒有端口，全部端口都仍是在vlan1下面。

Switch(config-vlan)int fa0/1
Switch(config-if)sw mo access
Switch(config-if)sw access vlan 10

#interface fastethernet，進入接口模式，0/1爲對應的接口號，PC1接的交換機fa0/1端口。

#switchport mode access，將端口設置access模式。

#switchport access allow vlan，將端口劃入某個VLAN。

#所以，按照需求，咱們須要將PC一、3劃入vlan 10，PC二、4劃入vlan 20。

Switch(config-vlan)int fa0/2
Switch(config-if)sw mo access
Switch(config-if)sw access vlan 20
Switchconfig-if)int fa0/3
Switch(config-if)sw mo access
Switch(config-if)sw access vlan 10
Switchconfig-if)int fa0/4
Switch(config-if)sw mo access
Switch(config-if)sw access vlan 20

結果驗證

點擊PC一、二、三、4，分別進入「Destkop->IP Configuration」，按照拓撲圖要求配置。

配置完畢，選擇PC1，選擇「Command Prompt」，而後ping PC二、三、4的IP地址。
結果發現PC1沒法ping通PC二、PC4，能夠ping通PC3。

理論解釋

VLAN是爲了劃分網段的，不一樣的網段會有不一樣的VLAN ID，同一個子網（注意仍是剛纔說了三遍的，這裏暫時能夠認爲VLAN、網段、子網都是一個東西的三種叫法）能夠在二層（同一個子網）內直接通訊，不一樣子網是不能直接通訊的（因此ping不通），不一樣子網的通訊，是要通過網關，而後網關查找路由後才能通訊的。

日常聽到的二層內通訊，三層通訊，說的就是上面這個內容。若是同一個子網內通訊，就是二層內通訊。而若是要跨子網通訊（即實現PC1能夠與PC2\4通訊），須要配置網關與路由，不然是沒法通訊的

那麼vlan的原理是什麼呢？其實就是數據包通過交換機的端口入/出站的時候，交換機會根據端口的配置，給數據包打上標籤。例如從fa0/1過來的數據包就加上vlan10的標籤，而fa0/二、f0/4這樣的端口，配置了vlan20，那麼收到帶vlan10的標籤的包，直接就丟棄了，不會再轉發出去。

實驗2（配置vlan trunk）：

上面實驗是工做在1臺交換機的，那麼若是變爲兩臺交換機，怎麼作呢？
先修改上面的拓撲爲以下拓撲，而且交換機之間添加鏈接線（交換機之間是交叉線）：

類比實驗1，交換機2也應該建立VLAN 10，20，以及將PC三、PC4鏈接交換機2的端口（fa0/1，fa0/2）劃入對應的vlan。

Switch>en       
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)name xiaoshou
Switch(config-vlan)vlan 20
Switch(config-vlan)name caiwu
Switch(config-vlan)do show vlan brief 
Switch(config-vlan)int fa0/1
Switch(config-vlan)sw mo access
Switch(config-vlan)sw access vlan 10
Switch(config-vlan)int fa0/2
Switch(config-vlan)sw mo access
Switch(coinnfig-vlan)sw access vlan 20

可是按照上面講述，每一個端口只能access劃入1個vlan，而且只能接收與發送帶這個vlan標籤的數據包，那麼2臺交換機之間的中間連線的端口fa0/24，不管劃入哪一個vlan，都無可避免的沒法傳輸另一個vlan的包，怎麼實現PC1能夠ping通PC3呢。

這裏就要引入switchport的trunk模式，trunk模式通常用於交換機之間的互聯口，或者上行的端口（鏈接更上一層的交換機/路由器）。將端口劃入trunk模式，就能夠設置能夠容許在這條鏈路傳輸的vlan標籤，而後讓不一樣vlan的包同時經過這條鏈路傳輸。（注意只是帶不一樣vlan標籤的包共用這條鏈路傳輸，vlan間仍是不能通訊。）

兩臺交換機都配置：

Switch(config)#int fa0/24
Switch(config-if)sw mo trunk
Switch(config-vlan)sw trunk allow vlan 10,20

#packet tracer能夠直接sw mo trunk，真實生產須要加sw encapsulation dot1q，才能設置模式爲trunk

#allow vlan all，能夠容許全部vlan ID，也能夠只容許某些vlan ID。

結果驗證

PC1 ping PC二、PC三、PC4。

實驗結果PC1能夠ping通PC3，不能ping PC2\4。

理論解釋（選修）

須要補充解釋一下二層通訊。（能夠參考閱讀前面《【理論研究】漫談傳統IT基礎設施06-網絡（下）》的最底下的兩個圖）

PC1發送一個數據包，會根據包裏面的源IP地址與目的IP地址進行計算，判斷是否在同一個子網。（根據IP地址與子網掩碼進行與運算，而後算出的結果看看是否相等，相等就是同一個子網，不等就是不一樣子網）

A、當計算結果相等，那麼就認爲是二層子網內的通訊，這個時候會作以下動做：

一、PC1發送ARP包給SW1，SW1在整個二層域裏面泛洪發送ARP報文。（即向全部端口發送一個問目的IP地址對應什麼MAC地址的詢問包，等別人答覆。）

二、每一個設備收到該ARP報文，會查詢本身的IP地址是否就是詢問的地址，不是，就忽略，是，就會將本身的MAC地址寫進去回包。

三、各個二層域內的交換機收到回包轉發，直接SW1收到，而後就知道了目的IP地址翻譯成什麼MAC地址了。

四、SW1拆掉三層的包頭信息，而後查詢本身的MAC地址表，看看去往目的MAC地址的數據幀應該從哪一個端口轉發出去，而後將拆包後的二層幀發送往對應端口。

五、幀到達目的設備。

這裏有一個概念叫廣播風暴，就是二層域不易劃分太大，由於每次二層域內的通訊，都會有一個泛洪整個二層域發送的ARP報文。若是每臺設備，每次通訊都在泛洪，極可能整個網絡的帶寬都被這些泛洪的報文侵佔了，會致使網絡不可用。

另外二層網絡很怕有環路（後面會介紹STP技術，就是爲了自動阻斷二層環路的）。

當存在環路，這些ARP報文就會不斷在環路之間往返，以及不斷的泛洪，最後致使網絡帶寬所有被佔用，這裏就暫時不展開說了。

B、當計算結果不相等，那麼就認爲是跨三層的通訊，這個時候會作以下動做：

一、PC1會將包的目的MAC地址改成網關的MAC地址，可是目的IP地址仍是保持原樣。

二、交換機從物理層開始收到比特流，而後拆二層幀頭，而後看到目的MAC地址是到網關的，而後查找MAC地址表，查找對應的MAC地址應該往哪一個端口轉發，而後報幀往對應端口扔。

三、最後逐臺交換機轉發幀，到達三層網關（例如路由器），繼續拆IP包頭，而後看到目的IP地址是另一個網段的，查找路由表，而後找到目的IP地址網段應該往哪一個端口轉發，而後把包扔出去。

四、同理，到達最後的路由器（目的IP地址網關所在），封IP包頭，而後幀頭修改，將源MAC地址改成目的網段的路由器MAC地址，而後經過二層幀來轉發數據給目的PC。