计算机网络实验教学中VLAN实验的设计研究

摘要：在计算机网络的实验教学中，VLAN实验是一个重要的实验。文章根据实验教学情况，结合VLAN在企事业单位和学校等实际场合的应用情况，考虑到学生认知和学习的规律，从教学内容的复杂性、连贯性对VLAN实验内容的设计进行探讨，让学生能够理解与掌握VLAN的原理及应用，激发学生学习网络技术的兴趣，提高教学质量。

关键词：计算机网络；实验教学；虚拟局域网；VLAN

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2023）30-0147-04

开放科学（资源服务）标识码（OSID）

0 引言

VLAN的中文名为虚拟局域网，指将一个物理的局域网在逻辑上划分成多个广播域，从而可以缩小和隔离广播域，达到预防数据流量过大和广播风暴的一种通信技术[1]。直接将局域网按网络号划分成不同的网段，虽能实现访问隔离的功能，但是后期维护不方便，更改访问控制需要用户配合。

例如某单位的人事部和财务部，初始计划是不能互访。如果仅使用不同网段进行隔离，而不使用VLAN。后期更改为人事部和财务部能够互访，则需用户配合更改IP为同一网段，这增加了后期维护的难度。反之，如果初始设计网络时使用了VLAN技术，后期访问需求变更，网络的更改维护只需网络管理员在交换机端设置为VLAN间路由互访。此更改过程不需要用户参与，简化了网络管理。

由于VLAN的作用可以简化网络管理，控制广播风暴，增强网络安全性[2]，应用比较广泛，因此VLAN实验在计算机网络的实验教学中，是一个比较重要的实验。在计算机网络实验的教学中，一般讲授完交换机的基础配置以后，就开始讲授VLAN实验。该文根据实验内容的由浅入深，实际应用场景由简单到复杂的顺序，探讨VLAN实验内容的设计。

1 接入层只需一台交换机，VLAN的划分和路由的配置

当公司的空间很小，网络规模很小，一台交换机已能够供给所有终端设备接入。此情况可以仅使用一台三层交换机实现。首先根据部门的数量，制定VLAN的划分计划表，列出部门名称、VLAN号、VLAN网段，如表1所示。

根据VLAN的划分计划表，绘出网络拓扑结构图。由于两个VLAN与多个VLAN的配置方法类似，所以该文VLAN实验的设计研究只选用两个VLAN来举例子。其中，人事部使用VLAN 10，192.168.10.0网段；财务部使用VLAN 20，192.168.20.0网段。PC1和PC3属于人事部的个人电脑，PC2和PC4属于财务部的个人电脑。如图1所示。

在交换机上划分VLAN的方法有多种，可以基于端口，也可以基于MAC地址[3]。但应用最广泛、最有效的方法是基于端口的划分方法，绝大多数支持VLAN协议的交换机都提供这种VLAN配置方法。交换机端口出厂默认归属于VLAN 1。在端口归属的配置中，可以一个VLAN对应一个端口，也可以一个VLAN拥有多个端口。由于一台三层交换机的端口数量有限，如果某一个VLAN的终端数目不多，可以直接连至此交换机；如果某一个VLAN的终端数目很多，可以在此端口下，先加入一个非网管型普通交换机，扩充可供终端设备连接的交换机端口。非网管型交换机属于即插即用的设备，不需要作任何配置。

根据VLAN的划分计划表以及网络拓扑图，在交换机上需要做以下步骤。首先创建相应数目的VLAN，接着配置端口的属性，最后将端口归属到相应的VLAN[4]，配置代码如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1]interface GigabitEthernet 0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

配置完成后，通过键入display vlan命令显示VLAN的配置情况，总的VLAN数目为3个，VLAN ID分别为VLAN 1、VLAN 10、VLAN 20。其中端口1和端口3属于VLAN 10，端口2和端口4属于VLAN 20，其余端口处于默认状态，属于VLAN 1，如图2所示。

配置完VLAN的划分后，通过在PC1使用Ping命令进行测试，发现PC1能Ping通PC3，但不能Ping通PC2和PC4。因为PC1与PC3在VLAN 10，PC2与PC4在VLAN 20。Ping测试验证了同一个VLAN的设备可以互访，不同VLAN的设备不能互访。

如果后期需求更改为不同部门也能互相访问，财务部和人事部需要互访，需要在三层交换机上配置VLAN间的路由[5]。方法是给每个VLAN配置一个IP，此IP将成为此VLAN内所有终端设备的网关。配置方法是通过interface命令进入某个VLAN的接口，给此VLAN设置一个IP，配置代码如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24

[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN间的路由后，通过在PC1使用Ping命令进行测试，发现PC1不仅能Ping通PC3，也能Ping通PC2和PC4。此Ping测试的结果验证了在交换机上配置VLAN间的路由，能实现不同VLAN的通信，不同部门的互相访问。

2 接入层有两台或多台交换机，VLAN的划分和路由的配置

当公司的空间逐渐增大，网络规模也在逐渐增大，一台交换机已无法方便地提供给所有终端接入，公司放置了两台或者多台交换机，供终端的网络接入。从设备价格成本考虑，两层交换机的价格比三层交换机便宜，且两层交换机具备划分VLAN的功能。因此接入层交换机一般使用两层交换机。公司通过划分VLAN来隔离广播域，由于办公室分散，同一部门的员工通过不同交换机接入。VLAN的划分计划表同表1。

由于两台交换机与多台交换机的配置方法类似，所以该文VLAN实验的设计研究，只选用两台交换机来举例子。其中人事部使用VLAN 10，192.168.10.0网段；财务部使用VLAN 20，192.168.20.0网段。PC1和PC3属于人事部的个人电脑，PC2和PC4属于财务部的个人电脑。人事部和财务部的电脑都存在通过两台以上交换机接入的情况。如图3所示。

每一台交换机VLAN的划分，同前文接入层只有一台交换机的配置方法。交换机连接终端设备的端口，属性配置为Acess属性，从属于某一VLAN。但是两台交换机之间的数据传输一般不局限于某一个部门某一个VLAN，而是需要允许多个部门多个VLAN的数据通过。因此两台交换机之间连线的端口，需要将属性配置为Trunk属性，允许某些VLAN或者全部VLAN通过。典型的配置为允许全部VLAN通过。

根据VLAN的划分计划表以及网络拓扑图，在交换机上需要做以下步骤。首先每台交换机创建相应数目的VLAN，接着配置接入链路端口的属性，将端口归属到相应的VLAN，最后配置干道链路端口的属性。配置代码如下：

交换机的配置代码如下：

[LSW3]interface GigabitEthernet 0/0/1

[LSW3-GigabitEthernet0/0/1]port link-type access

[LSW3-GigabitEthernet0/0/1]port default vlan 10

[LSW3]interface GigabitEthernet 0/0/2

[LSW3-GigabitEthernet0/0/2]port link-type access

[LSW3-GigabitEthernet0/0/2]port default vlan 20

[LSW3]interface GigabitEthernet 0/0/24

[LSW3-GigabitEthernet0/0/24]port link-type trunk

[LSW3-GigabitEthernet0/0/24]port trunk allow-pass vlan all

配置完成后，通过键入display vlan命令显示VLAN的配置情况，总的VLAN数目为3个，VLAN ID分别为VLAN 1、VLAN 10、VLAN 20。其中两台交换机的端口1属于VLAN 10，端口2属于VLAN 20，端口24既属于VLAN 10，也属于VLAN 20，其余端口处于默认状态的VLAN 1。

配置完VLAN的划分后，通过在PC使用Ping命令进行测试，发现PC1与PC3能互相Ping通，PC2与PC4能互相Ping通，但两个VLAN间不能Ping通。验证了不同VLAN的设备不能互访，端口配置为Trunk属性且允许所有VLAN通过的干道链路可以通过所有的VLAN数据。

如果后期需求更改为不同部门也能互相访问，财务部和人事部需要互访，需要将其中一台二层交换机更换为三层交换机，在三层交换机上配置VLAN间的路由。方法同前文接入层只有一台交换机的情况，给每个VLAN配置一个IP，配置代码如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24

[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN间的路由后，发现PC1不仅能Ping通PC3，也能Ping通PC2和PC4，验证了在交换机上配置VLAN间的路由，能实现不同VLAN的通信，实现不同部门的互相访问。

随着网络规模的增大，接入层交换机数量越来越多，如果网络拓扑结构依旧保持为一层结构，接入层交换机两两连接，那么从一个终端设备到另一个终端设备的访问，经过的交换机节点数也会越来越多。网络的访问速度将降低，网段内的数据广播流量会增多。因此，考虑将网络结构从一层结构改为两层结构，将划分VLAN的二层交换机保留在接入层，将配置VLAN间路由的三层交换机提升一层当作核心交换机，不再连接终端设备。接入层的交换机则不再是两两连接，而是全部连接到核心交换机，那么从一个终端设备到另外一个终端设备经过的交换机数目为三个，先后为发送端所连接的接入交换机、核心交换机、接收端所连接的接入交换机。