跨越不同交换机的相同VLAN互通实验
如图所示,把两台交换机连接的pc,分别划分进入到vlan10和vlan20中,实验目的为vlan10的主机可以跨越交换机实现通信,vlan20的主机可以跨越交换机实现通信,vlan10和vlan20的主机彼此之间无法通信,基本配置和实验1类似,正常在交换机上划分vlan和把接口划分进入到vlan中,需要注意的是交换机之间的链路需要配置成trunk,配置trunk的命令如下
Interface f0/3
Switchport mode trunk
当把交换机之间的链路配置成为trunk以后,trunk链路允许多个vlan的流量通过
所以VLAN10和vlan20的流量都可以在trunk链路上传输
在传输的过程中,vlan的流量会打上标记,所以到了另外一侧交换机,交换机可以根据数据包中的标记来确定流量来自于哪一个vlan
通过前两个实验,可以得到结论:只有一个vlan可以通过的接口为access接口,可以有多个vlan同时通过的接口为trunk接口
配置命令总结
Switchport mode access
Switchport access vlan xxx
Switchport mode trunk
单臂路由实验
在前面的实验中,我们可以得到结论:在交换机连接PC的局域网里,相同VLAN可以通信,不同VLAN不能进行通信,那么实际工作中是怎样的呢?
在实际工作中,我们确实会对不同vlan的流量进行隔离,例如vlan10无法直接访问vlan20,但是更多的情况下,不同vlan的流量还是可以进行三层通信的。
例如,我们和百度可以进行三层通信,我们可以ping的通百度,但是我们无法发送广播包到百度,我们也无法ARP欺骗攻击到百度,这就是区别。所以我们认为三层的通信是安全的,2层的直接通信是危险的
那么如何实现不同vlan的互相访问呢?这个时候就需要使用路由器作为3层中转了
配置过程如下,交换机下联PC的接口作为access接口并分别划分进入到vlan10和vlan20
交换机配置
Vlan10
Vlan 20
Interface f0/1
Switchport mode access
Switchport access vlan 10
Interface f0/2
Switchport mode access
Switchport access vlan 20
Interface f0/3 //进入到交换机上联路由器的接口
Switchport mode trunk //配置上联接口为trunk接口,trunk接口同时可以允许两个vlan通过
路由器配置
Interface f0/0 //进入路由器下联交换机的接口
No shutdown //打开接口
Exit
Interface f0/0.1 //进入路由器的虚拟子接口
Encapsulation dot1q 10 //配置子接口属于
vlan10 Ip address 192.168.1.254 255.255.255.0 //配置vlan10 PC的网关IP地址
Interface f0/0.2
Encapsulaiton dot1q 20 //配置子接口属于vlan20
Ip address 192.168.2.254 255.255.255.0 //配置vlan20 的PC的网关IP地址
此时测试PC1和PC2的通信,正常情况下可以ping通,此时实现了不同vlan的PC通过路由器实现了三层通信,因为交换机上联路由器只有一个接口,此项技术称之为:单臂路由
还有一个可以替代路由器的东西,万一路由器出现问题了呢?于是便引入三层交换机。
把三层交换机替代掉路由器,又该怎么配置呢?如图所示:
