VLAN划分实践

课题

如下图，需要实现的功能如下：

• 2个交换机的2/3/4口分别对应一个PC和一个设备，要求2<->2/3<->3/4<->4完全对应，不同口之间不允许交叉访问。
• 2个交换机之间不直连，每个交换机的1口对应一个可以做WDS无线桥接的无线路由器，1口允许1/2/3/4口的所有数据流出/流入。
• 2个交换机的5/6/7口作为非管理型交换机的功能使用，不需要进行任何隔离域的设置。
• 2个交换机的8口作为设备管理口，要求可以通过8口访问到设备以及设置交换机设备的管理页面。
• 路由器需要隐藏wifi。
  

交换机设置

对应上诉需求，交换机需要做的就是设置VLAN ID。本次使用的交换机是西门子XC208系列。

• 西门子三层交换机的管理总览：
  

仅表达三层交换机的第三层设置内容，此次实验不涉及第三层的设置

• 基本设置（比如IP，设备名，恢复出厂【SELECT\SET按钮持续按12秒则恢复出厂】这一类的设置，都基于二层），在proneta中扫描到的基本信息如下：
  

• 交换机的管理页面需要做的设置（两边是完全对等的，所以此处只展示一边的设置）：
  

"-":The port is not a member of the specified VLAN.With a new definition, all ports have the identifier "-".
M:The port is a member of the VLAN. Frames sent in this VLAN are forwarded with the corresponding VLAN tag.
R:The port is a member of the VLAN. A GVRP frame is used for the registration.
U (uppercase):The port is an untagged member of the VLAN. Frames sent in this VLAN are forwarded without the VLAN tag. Frames without a VLAN tag are sent from this port.
u (lowercase):The port is an untagged member of the VLAN, but the VLAN is not configured as a port VLAN. Frames sent in this VLAN are forwarded without the VLAN tag.
F:The port is not a member of the specified VLAN and cannot become a member of this VLAN even if it is configured as a trunk port.
T:This option is only displayed and cannot be selected in the WBM.This port is a trunk port making it a member in all VLANs.

• 从Port口出的时候，为没有VLAN Tag的帧打上特定的VLAN Tag:
  

Port VID:Select the VLAN ID from the drop-down list. Only VLAN IDs defined on the "VLAN > General" page can be selected.If a received frame does not have a VLAN tag, it has a tag with the VLAN ID specified here added to it and is sent according to the rules at the port.

• 在西门子的交换机里，VlanID=1是默认的广播域，对于交换机的设置和管理，必须在这个member内才能访问,端口Port VID若不加以设置，统统默认打上Vlan1的标签。所以对于P8口而言，数据出的时候专门打上VlanID=1的标签。

• 在设置Port VID时会报错，这时候去把MRP关掉就好了：
  

取消勾选Ring Redundancy.

路由器设置

对于路由器而言，仅需要设置桥接模式就好了，另外把隐藏wifi功能打开（2.4G和5G的都隐藏）就行。

• 路由器的设置和桥接都接LAN口。
• 设置桥接模式的时候，路由器一主一副/一主多副，主路由器不用做任何设置，设置在副路由器上。
• 两个路由器都不需要做更多的其他设置，其他保持默认就可以了。
• 副路由器打开无线桥接，可以扫描搜索，也可以手动搜索，如果先打开了隐藏无线网络，就只能手动填写MAC地址和设备名来手动搜索了：
  

对于支持双频的路由器，虽然2.4G也能用，但是去设置5G无线最好。

• TP link的路由器，如果找不到这个无线桥接的功能，把那些乱七八糟的云管理关闭就好了，如下图：
  

结果

从Proneta的扫描结果中可以看出来，桥接本身是成功的：

路由器仅仅完成桥接，所以并没有被扫描出来

但是无法通过桥接的方式获取到对端设备名，最终还是把路由器方案变成了网线直连。

对于VLAN ID的详细验证方法

这里只说方法，如果想验证自己的VLAN ID（-/U/u/M/F/T/这类设置）到底是怎么工作的？最好的方法就是设置完毕后用抓包工具抓包看以太网帧，亲自看看实际的ID不是和自己预期的一致！

图片仅举例表明VLAN Tag的字段信息，不代表102这个ID是本次实验设置的真实ID。
这里使用profishark,打开span mode抓取验证而来，并没有直接使用wireshark.

update

• 对于非管理型交换机而言，没有VALN划分，即他们都处在同一个VLAN中；
• 对于非管理型交换机而言，他们也没有ARP表；
• 对于二层交换机而言，没有IP体现在：不管交换机上的设备是否是一个网段，只要在一个广播域，他们就可以相互转发链路层的帧。但是实际上不能跨网段通信是因为实际走的报文不是纯MAC的，它还包含IP，不同IP的帧被目标设备丢掉了，所以最后看起来像是靠IP网段实现了隔离。
• 为什么既然靠IP网段也能实现隔离，为什么还需要存在VLAN：因为VLAN是真实隔离了各个帧，包括链路层的帧，从而降低了网络负载。但是靠IP是不行的。靠IP的情况下，一旦交换机上挂的网络设备很多，当使用多播帧或者广播帧的时候，就很容易出现网络风暴。