目录

一、概述

二、组网

三、配置

四、验证

---

一、概述

以太网是一种基于CSMA/CD的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。

通过交换机可以解决LAN互连虽然可以解决冲突严重的问题，但是仍然不能隔离广播报文和提升网络质量。

所以出现VLAN技术，这种技术可以把LAN划分成多个逻辑的VLAN，每个VLAN时一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间不可以直接互通，如此广播报文就被限制在一个VLAN内。

二、组网

VLAN 10是特殊VLAN，只允许特殊的PC才可以通过VLAN10进行访问

配置基于MAC地址划分VLAN，绑定特殊PC的MAC地址

三、配置

1、配置R1和R3的IP地址

[R1]interface GE0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.2.1 24
/
[R3]interface GE0/0/2
[R3-GigabitEthernet0/0/2]ip address 10.1.10.1 24

2、 配置S3和S4的IP地址，其中物理口地址分别为10.1.3.1/24和10.1.3.2/24

[S3]interface GigabitEthernet0/0/1
[S3-GigabitEthernet0/0/1]undo portswitch
//该接口状态转变为三层模式

[S3]vlan 3
[S3-vlan3]
[S3]interface GigabitEthernet0/0/1
[S3-GigabitEthernet0/0/1]port link-type access
[S3-GigabitEthernet0/0/1]port default vlan 3
[S3-GigabitEthernet0/0/1]quit

#创建VLANIF并配置相应的IP地址

[S3] interface Vlanif 3
//创建三层逻辑VLANIF接口并进入VLANIF接口视图
[S3-Vlanif3]ip address 10.1.3.1 24

[S4] interface Vlanif 3
[S4-Vlanif3]ip address 10.1.3.2 24

3、创建VLAN

[S1]vlan batch 2 to 3 10
Info: This operation may take a few seconds. Please wait for a moment...done.
Info:此操作可能需要几秒钟。请稍等……好了。
//vlan batch { vlan-id1 [ to vlan-id2 ] }命令用来指定批量创建VLAN。
/
[S2]vlan batch 2 to 3 10

4、配置基于接口划分VLAN

[S1]interface GigabitEthernet0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
//port link-type { access | hybrid | trunk }命令用来配置接口的链路类型
[S1-GigabitEthernet0/0/1]port default vlan 2
//port default vlan vlan-id命令用来配置接口的缺省VLAN并同时加入这个VLAN
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet0/0/13
[S1-GigabitEthernet0/0/13]port link-type access
[S1-GigabitEthernet0/0/13]port default vlan 3
[S1-GigabitEthernet0/0/13]quit
///
[S2]interface GigabitEthernet0/0/14
[S2-GigabitEthernet0/0/14]port link-type access
[S2-GigabitEthernet0/0/14]port default vlan 3
[S2-GigabitEthernet0/0/14]quit

[S1]interface GigabitEthernet0/0/10
[S1-GigabitEthernet0/0/10]port link-type trunk
[S1-GigabitEthernet0/0/10]port trunk allow-pass vlan 2 3 10
//port trunk allow-pass vlan命令用来配置Trunk类型接口加入的VLAN
[S1-GigabitEthernet0/0/10]undo port trunk allow-pass vlan 1
//undo port trunk allow-pass vlan命令用来删除Trunk类型接口加入的VLAN
//
[S2]interface GigabitEthernet0/0/10
[S2-GigabitEthernet0/0/10]port link-type trunk
[S2-GigabitEthernet0/0/10]port trunk allow-pass vlan 2 3 10
[S2-GigabitEthernet0/0/10]undo port trunk allow-pass vlan 1

5、配置基于MAC地址划分VLAN

路由器R3模拟特殊业务PC，假设该PC的MAC地址为：a008-6fe1-0c46。希望该PC可以通过S2的GigabitEthernet0/0/1端口接入网络，并且通过VLAN 10进行数据传递

 配置交换机S2，让PC的MAC地址与VLAN 10关联

[S2] vlan 10
[S2-vlan10] mac-vlan mac-address a008-6fe1-0c46
//mac-vlan mac-address命令用来配置MAC地址与VLAN关联
//基于MAC划分VLAN指将MAC地址与VLAN关联
//按照报文的源MAC地址来定义VLAN成员，将指定报文添加该VLAN的Tag后发送
//用户在变换物理位置，不需要重新划分VLAN，提高了终端用户的安全性和接入的灵活性

在access和trunk口上，只有基于MAC划分的VLAN和PVID相同时，才可以正常使用。所以此时hybrid口配置更为适合。

[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]port link-type hybrid
[S2-GigabitEthernet0/0/1]port hybrid untagged vlan 10
//port hybrid untagged vlan命令用来配置Hybrid类型接口加入的VLAN
//untagged-未携带；tagged-携带
[S2-GigabitEthernet0/0/1]quit

若想使通过接口的报文按照基于MAC地址划分的VLAN转发，必须使用使能接口的MAC VLAN功能

[S2]interface GigabitEthernet0/0/1
[S2-GigabitEthernet0/0/1]mac-vlan enable
//mac-vlan enable命令用来使能接口的MAC VLAN功能

查看配置信息

[S1]display vlan
//display vlan命令用来查看VLAN的相关信息
//display vlan verbose命令用来查看指定VLAN的详细信息
[S2]display mac-vlan vlan 10
//display mac-vlan命令用来查看基于MAC地址划分VLAN的配置信息

四、验证

在S3上执行Ping命令，使得S3可以Ping通S4。

在R1上执行Ping命令，使得R1与谁都无法Ping通。

在R3上执行Ping命令，目的为R1，并在S1和S2互联链路上抓包，使得R1无法Ping通R3物理接口地址，但是可以抓到带VLAN 10标签的数据帧。

在S1和S2上通过display mac-address verbose，查看交换机的MAC地址表。