基于eNSP的二层VLAN虚拟仿真实验

孟 祥 成

(三江学院 计算机科学与工程学院，南京 210012)

基于eNSP的二层VLAN虚拟仿真实验

孟 祥 成

(三江学院 计算机科学与工程学院，南京 210012)

基于二层VLAN的仿真实验，阐述了VLAN的概念、划分方式和接口类型。针对局域网内缺乏三层路由设备的场景下，从二层VLAN传统教学实验出发，设计了跨交换机VLAN、Mux VLAN、非对称VLAN模型3个实验。利用 eNSP软件仿真二层VLAN 3个实验，实验给出了详细的设计方法、配置过程，并对实验结果进行了验证和分析。通过实验证明，在没有三层路由设备的情况下，二层VLAN之间也可以实现不同网段之间相互通信与隔离，可以运用在特定的网络环境下，让学生能够从理论上和实践上更好地掌握VLAN技术。

虚拟局域网； 实验设计； 企业网络仿真平台； 端口隔离； 仿真实验

0 引 言

在这“大众创业，万众创新”的时代，没有创新的教育，不可能有创新的人才，计算机网络实验教学内容同样需要创新改变。普通VLAN间通信实现的方式主要是通过路由器或三层交换机，本文以计算机网络实践教学二层VLAN仿真实验为例，摒弃了三层路由设备，在传统的二层VLAN实验教学的基础上，设计了二层VLAN仿真实验，实现了同一VLAN之间隔离和不同VLAN之间通信。不仅能够满足特定网络内用户之间的隔离、互通或与部门服务器之间通信，又能够隔离广播域，提升网络的性能以及安全性，同时为虚拟仿真实验教学环境作为参考[1-3]。

1 VLAN技术基础

1.1VLAN的概念

虚拟局域网(Virtual Local Area Network，VLAN)技术是将一个二层交换机的局域网在逻辑上划分成多个广播域的数据交换技术[4-6]。在没有使用三层路由设备或其他特别配置方法的情况下，同一VLAN下的交换机端口所连接的设备是可以互相通信的，而不同VLAN间是不能通信的[6-9]。

1.2VLAN的分类

(1) VLAN的划分方式。

基于端口的VLAN：根据端口划分，是最简洁、最广泛使用的划分方式。

基于MAC的VLAN：根据MAC划分，即根据终端设备的MAC来划分VLAN。

基于IP子网的VLAN：根据IP进行划分，即根据报文源IP及掩码来确定报文所属VLAN。

基于协议的VLAN：根据协议划分，即根据端口接收到的报文所属的协议类型及封装格式来给报文分配不同的VLAN ID。

基于策略的VLAN：根据几种划分依据组合进行的划分。

(2) 接口类型。在802.1Q中定义VLAN帧后，设备的有些接口可以识别VLAN帧，有些接口则不能识别VLAN帧[10]。根据对VLAN帧的识别情况，将接口分为4类：

Access接口:Access接口是交换机上用来连接用户主机的接口，它只能连接接入链路。仅仅允许唯一的VLAN ID通过本接口，这个VLAN ID与接口的缺省VLAN ID相同，Access接口发往对端的以太网帧永远是不带标签的帧。

Trunk接口：Trunk接口是交换机上用来和其它交换机连接的接口，它只能连接干道链路，允许多个VLAN的帧(带Tag标记)通过。

Hybrid接口：Hybrid接口是交换机上连接用户主机或连接其它交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。Hybrid接口允许多个VLAN的帧通过，并可以再出接口方向将某些VLAN帧的Tag剥掉。

QinQ接口：QinQ(802.1Q-in-802.1Q)接口是使用QinQ协议的接口。QinQ接口可以给帧加上双重Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持较多的VLAN，满足网络对VLAN数量的需求。

2 eNSP仿真软件

eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费、可扩展、图形化的网络设备仿真平台，主要对企业网路由器、交换机、WLAN等设备进行软件仿真，完美呈现真实设备部署实景，支持大型网络模拟，可以在没有真实设备的情况下也能够开展实验测试，学习网络技术[11-13]。目前最新版华为模拟器eNSP为v1.2.00.390。

3 实验设计分析

3.1实验目的

实验设计的目的是让学生灵活地掌握二层VLAN技术的相关知识点，了解VLAN划分的方式，理解VLAN的技术基础，熟悉二层VLAN技术配置，深入掌握交换机接口的类型配置，实现二层VLAN的隔离、通信。

3.2具体实训项目及指导思想

根据实验要求，选取部分具有代表性的知识点，将二层VLAN技术实验设计分为3个方面的实验，即跨交换机VLAN的划分、Mux VLAN的端口隔离与通信、非对称VLAN的端口隔离技术[14-15]。3个实验均以特定公司网络环境为背景，让学生根据具体需求进行网络规划、设计与配置，具有一定的针对性与可操作性。3个实验从由易到难、由常规到特殊，从常用的VLAN划分方式到特定环境的主从型VLAN的划分和非对称VLAN的划分使用。在学生做每个实验之前，需要对实验知识做些必要的讲解，并做简单操作演示。学生做完实验需要写实验报告，分析记录实验过程中遇到的问题及解决方法，并进行归纳总结[16]。

3.3网络拓扑结构仿真设计

(1) 基于跨交换机VLAN的划分。例如某公司有2个主要的部门：市场部与技术部。为了通信的安全性，同时为了避免广播风暴，公司希望业务相同的同一部门之间可以互相访问，而不同部门之间不能直接互相访问。对交换机做适当配置，市场部在一个VLAN里，而技术部在另外一个VLAN里。这样就可以实现市场部内的计算机只能访问本部门的，技术部内的计算机也只能访问自己部门。在eNSP工作区绘制网络拓扑结构仿真图，如图1所示。

图1 基于跨交换机VLAN的划分

(2) 基于Mux VLAN的端口隔离与通信。例如某一小型公司园区内部有2个网络区域：办公区和宿舍区，办公区的员工之间可以互相访问，职工宿舍区的住户之间不能互访，同时这2个区域内所有用户都可以访问公司园区服务器。对交换机做适当配置，采用Mux VLAN技术将公司园区服务器所在的网络加入主VLAN，办公区网络加入互通型从VLAN，宿舍区网络加入隔离型从VLAN。在eNSP工作区绘制网络拓扑结构仿真图，如图2所示。

图2 主从型VLAN端口隔离

(3) 基于非对称VLAN模型的端口隔离技术。例如某公司有2个部门：技术部和市场部。要求技术部和市场部之间不能互相访问，但他们都可以访问公司服务器。为了能够实现这两个部门之间隔离，并又都能与公司服务器之间进行二层通信，公司网络规划采取了非对称VLAN的端口隔离、通信。在eNSP工作区绘制网络拓扑结构仿真图，如图3所示。

图3 非对称VLAN模型网络拓扑图

4 二层VLAN技术仿真实现

4.1基于跨交换机VLAN划分的仿真实现

(1) 在仿真软件eNSP中，根据图1进行搭建。

(2) 配置用户客户端CLIENT的网络参数，见表1所示。

(3) 配置交换机LSW1的VLAN。

system-view //进入系统视图

[Huawei]sysname LSW1 //修改设备名称

表1 客户端IP地址参数

[LSW1]interface Ethernet 0/0/1 //进入接口视图

[LSW1-Ethernet0/0/1]port link-type access //配置端口类型为access

[LSW1-Ethernet0/0/1]quit //退出

[LSW1]vlan 2 //创建vlan2

[LSW1-vlan2]port Ethernet 0/0/1 //将access端口加入到vlan2

[LSW1-vlan2] quit //退出

[LSW1]interface Ethernet 0/0/2 //进入接口视图

[LSW1-Ethernet0/0/2]port link-type access //配置端口类型为access

[LSW1-Ethernet0/0/2]quit //退出

[LSW1]vlan 3 //创建vlan3

[LSW1-vlan3]port Ethernet 0/0/2 //将access端口加入到vlan3

(4) 配置交换机LSW1的VLAN的汇聚链接。

[LSW1]interface Ethernet0/0/3 //进入接口视图

[LSW1-Ethernet0/0/3]port link-type trunk //配置端口类型为trunk

[LSW1-Ethernet0/0/3]port trunk allow-pass vlan 2 to 3 //配置trun所允许通过的vlan

(5) 配置交换机LSW2的VLAN。

[LSW2]interface Ethernet0/0/1 //进入接口视图

[LSW2-Ethernet0/0/1]port link-type access //配置端口类型为access

[LSW2-Ethernet0/0/1]vlan 3 //创建vlan3，仿真软件支持此操作方式创建vlan

[LSW2-vlan3]port Ethernet 0/0/1 //将access端口加入到vlan3

[LSW2-vlan3]quit //退出

[LSW2]interface Ethernet0/0/2 //进入接口视图

[LSW2-Ethernet0/0/2]port link-type access //配置端口类型为access

[LSW2-Ethernet0/0/2]vlan 2 //创建vlan2

[LSW2-vlan2]port Ethernet 0/0/2 //将access端口加入到vlan2

(6) 配置交换机LSW2的VLAN的汇聚链接。

[LSW1]interface Ethernet0/0/3 //进入接口视图

[LSW1-Ethernet0/0/3]port link-type trunk //配置端口类型为trunk

[LSW1-Ethernet0/0/3]port trunk permit vlan 2 //配置trunk允许vlan2通过

[LSW1-Ethernet0/0/3]port trunk permit vlan 3 //配置trunk允许vlan3通过

4.2基于MuxVLAN端口隔离与通信

(1) 在仿真软件eNSP中，根据图2进行搭建。

(2) 配置用户客户端CLIENT的网络参数，见表2所示。

表2 客户端IP地址参数

(3) 配置Mux VLAN。

[LSW3]vlan batch 4 to 6 //创建vlan4、vlan5、vlan6

[LSW3]vlan 6 //进入vlan管理视图

[LSW3-vlan6]mux-vlan //配置主vlan

[LSW3-vlan6]subordinate group 4 //配置vlan4为互通型从vlan

[LSW3-vlan6]subordinate separate 5 //配置vlan5为隔离型从vlan

(4) 配置交换机LSW3的VLAN。

LSW3]interface Ethernet 0/0/2 //进入接口视图

[LSW3-Ethernet0/0/2]port link-type access //配置端口类型为access

[LSW3-Ethernet0/0/2]port default vlan 4 //将端口加入到vlan4

[LSW3-Ethernet0/0/2]port mux-vlan enable //开启接口的mux-vlan功能

[LSW3-Ethernet0/0/2]interface Ethernet 0/0/3 //仿真软件eNSP支持此方式进入接口视图

[LSW3-Ethernet0/0/3]port link-type access //配置端口类型为access

[LSW3-Ethernet0/0/3]port default vlan 4 //将端口加入到vlan4

[LSW3-Ethernet0/0/3]port mux-vlan enable //开启接口的mux-vlan功能

[LSW3-Ethernet0/0/3]interface Ethernet 0/0/4 //进入接口视图

[LSW3-Ethernet0/0/4]port link-type access //配置端口类型为access

[LSW3-Ethernet0/0/4]port default vlan 5 //将端口加入到vlan5

[LSW3-Ethernet0/0/4]port mux-vlan enable //开启接口的mux-vlan功能

[LSW3-Ethernet0/0/4]interface Ethernet 0/0/5 //进入接口视图

[LSW3-Ethernet0/0/5]port link-type access //配置端口类型为access

[LSW3-Ethernet0/0/5]port default vlan 5 //将端口加入到vlan5

[LSW3-Ethernet0/0/5]port mux-vlan enable //开启接口的mux-vlan功能

[LSW3-Ethernet0/0/5]interface Ethernet 0/0/1 //进入接口视图

[LSW3-Ethernet0/0/1]port link-type access //配置端口类型为access

[LSW3-Ethernet0/0/1]port default vlan 6 //将端口加入到vlan6

[LSW3-Ethernet0/0/1]port mux-vlan enable //开启接口的mux-vlan功能

4.3基于非对称VLAN模型的端口隔离技术的实现

(1) 在仿真软件eNSP中，根据图3进行搭建。

(2) 配置用户客户端CLIENT的网络参数，见表2所示。

表3 客户端IP地址参数

(3) 配置LSW4的VLAN。

[LSW4]vlan batch 7 to 9 //创建vlan7、vlan8、vlan9

[LSW4]interface Ethernet 0/0/1 //进入接口视图

[LSW4-Ethernet0/0/1]port link-type hybrid //配置端口类型为Hybrid

[LSW4-Ethernet0/0/1]port hybrid pvid vlan 7 //配置端口e0/0/1 PVID为7

[LSW4-Ethernet0/0/1]port hybrid untagged vlan 7 9 //允许vlan7、vlan9的数据帧以untagged方式通过

[LSW4-Ethernet0/0/1]interface Ethernet 0/0/2 //进入接口视图

[LSW4-Ethernet0/0/2]port link-type hybrid //配置端口类型为Hybrid

[LSW4-Ethernet0/0/2]port hybrid pvid vlan 8 //配置端口e0/0/2 PVID为8

[LSW4-Ethernet0/0/2]port hybrid untagged vlan 8 9 //允许vlan8、vlan9的数据帧以untagged方式通过

[LSW4-Ethernet0/0/2]interface Ethernet 0/0/3 //进入接口视图

[LSW4-Ethernet0/0/3]port link-type hybrid //配置端口类型为Hybrid

[LSW4-Ethernet0/0/3]port hybrid tagged vlan 7 to 9 //允许vlan7、vlan8、vlan9的数据帧以tagged方式通过

(4) 配置LSW5的VLAN。

[LSW5]vlan batch 7 to 9 //创建vlan7、vlan8、vlan9

[LSW5]interface Ethernet 0/0/1 //进入接口视图

[LSW5-Ethernet0/0/1]port link-type hybrid //配置端口类型为Hybrid

[LSW5-Ethernet0/0/1]port hybrid pvid vlan 9 //配置端口e0/0/1 PVID为9

[LSW5-Ethernet0/0/1]port hybrid untagged vlan 7 to 9

[LSW5-Ethernet0/0/1]interface Ethernet 0/0/3 //进入接口视图

[LSW5-Ethernet0/0/3]port link-type hybrid //配置端口类型为Hybrid

[LSW5-Ethernet0/0/3]port hybrid tagged vlan 7 to 9 //允许vlan7、vlan8、vlan9的数据帧以tagged方式通过

5 实验结果验证

(1) 通过4.1节实验操作，同一VLAN的CLIENT1与CLIENT3、CLIENT2与CLIENT4能够通信，属于不同VLAN的CLIENT1与CLIENT2、CLIENT1与CLIENT4无法通信。实现了不同VLAN下的端口隔离。

(2) 通过4.2节实验操作，由于办公区网络使用了互通型从VLAN技术，CLIENT5与CLIENT6可以互相通信；宿舍区网络使用了隔离型从VLAN技术， CLIENT7与CLIENT8之间是无法通信；办公区与宿舍区之间也无法通信，但是它们与服务器都可以通信。

(3) 通过4.3节实验操作，技术部CLIENT10与市场部CLIENT11之间不能通信，但它们与公司服务器CLIENT12之间可以相互通信。

6 结 语

本文设计了二层VLAN虚拟仿真实验，所有数据到达二层交换机后，直接被转发，不被送达CPU，从而提高了设备的运行性能、降低了通信的成本、也减少了设备的收到恶意数据的攻击。同时，在传统的VLAN基础实验上，增加了MUX VLAN和非对称VLAN实验，让学生对VLAN知识有了更加清楚的认识。

[1] 陈建锐.软件仿真下的VLAN配置实验探讨[J].实验室研究与探索，2011，30(2):78-81.

[2] 廉佐政，王海珍.大型局域网中VLAN间可靠通信的仿真设计[J]. 计算机仿真，2015，32(7):296-302.

[3] 罗 彬，贾树生.虚拟局域网的构建与安全方法措施初探[J]. 煤炭技术，2011，30(3):237-239.

[4] 刘 群，李 坚.组建局域网综合实验的设计[J].实验室研究与探索，2016，35(7):96-101.

[5] 杨 姝. VLAN技术实验的设计与仿真实现研究[J].实验技术与管理，2014，31(3):114-117.

[6] 李 永，甘新玲，王海燕.不同VLAN之间通信实验设计与实现[J].实验技术与管理，2013，32(4):106-130.

[7] 廉佐政，王海珍.大型局域网中VLAN间可靠通信实验设计与实现[J].实验室研究与探索，2015，34(12):119-123.

[8] 胡 云.基于VLAN间不同互连方式的ACL配置[J].成都大学学报，2015，34(1):41-43，51.

[9] 陈 潮，靳慧云，黄安安. VLAN间路由实验在仿真器中的设计与实现[J].实验技术与管理，2016，33(8):129-132.

[10] 刘向东，李志洁，焉德军,等. IEEE802. 1QVLAN原理实验的设计与实现[J].实验室研究与探索，2011，30(4):46-48，77.

[11] 孟祥成.基于eNSP的防火墙仿真实验[J].实验室研究与探索，2016，35(4):95-100.

[12] 张梁斌，高 昆，梁世斌.基于Packet Tracer的小型企业网络应用架构的仿真实验[J].实验室研究与探索，2012，31(10):372-376.

[13] 薛 琴.基于Packet Tracer的计算机网络仿真实验教学[J].实验室研究与探索，2010，29(2):57-59.

[14] 唐灯平.利用Packet Tracer模拟组建大型单核心网络的研究[J].实验室研究与探索， 2011，30(1):186-189.

[15] 林初建，张四海，王海英,等.基于非对称VLAN的端口隔离技术研究与应用[J].华东师范大学学报，2015(3):232-239.

[16] 曹腾飞，孟永伟，黄建强.西部高校计算机网络实验[J].实验室研究与探索，2014，33(4):129-131.

Two-layerVLANSimulationExperimentBasedoneNSP

MENGXiangcheng

(Department of Computer Science and Technology， Sanjiang College, Nanjing 210012， China)

This article is based on the two-layer VLAN simulation experiment, expounds the concept, the division method and the interface type of VLAN. In view of the lack of three-layer routing devices in the LAN, starting from two-layer VLAN on the traditional teaching experiment, the article designs three experiments i.e., the across switches VLAN, Mux VLAN, asymmetric VLAN. Using the eNSP software, simulation is used to achieve the three experiments on the two-layer VLAN. The article shows the detailed design method and the configuration process, and makes the validation and analysis the result of the experiment. Experiments show that in the absence of three-layer routing devices, the two-layer VLAN can also realize the communication and isolation between different network segments, can be used on a specific network environment. The experiment lets the student better grasp the VLAN technology from theory and practice.

virtual local area network(VLAN)； experimental design； enterprise network simulation platform(eNSP)； port isolation； simulation experiment

TP 393

A

1006-7167(2017)09-0102-05

2016-11-22

孟祥成(1981-)，男，江苏灌南人，硕士，实验师，研究方向计算机网络技术。Tel.：15345185087;E-mail：mxiang5087@qq.com