实验环境准备
- 模拟器:华为 eNSP
- 模拟器设备:S5700 交换机(SW1)*1,PC *4
- 拓扑规划:
- VLAN 10(研发部):PC1 (GE0/0/1, 192.168.1.1/24), PC2 (GE0/0/2, 192.168.1.2/24)
- VLAN 20(市场部):PC3 (GE0/0/3, 192.168.1.3/24), PC4 (GE0/0/4, 192.168.1.4/24)
实验一:同 VLAN 内部通信与 MAC 地址表学习
操作步骤
- 配置交换机 SW1,创建 VLAN 10,并将 GE0/0/1 和 GE0/0/2 类型设为 Access,划入 VLAN 10。
| |
- 从 PC1 命令行发起测试:
ping 192.168.1.2
- 在交换机上查看 MAC 地址表:
display mac-address
实验现象与结果
- PING 结果:双向互通成功。
- 交换机查表结果: 在 SW1 上成功看到动态学习到的 MAC 地址项,MAC 地址、VLAN ID(10)以及对应的物理接口(GE0/0/1 和 GE0/0/2)一一对应。同时这也印证了 ARP 协议在局域网中的工作方式:交换机在数据封装层面依赖 ARP 获取目标 MAC 地址来完成帧的转发。
实验二:跨 VLAN 隔离效果与边界抓包分析
操作步骤
- 配置交换机 SW1,创建 VLAN 20,并将 GE0/0/3 和 GE0/0/4 划入 VLAN 20。
| |
- 开启三个位置的 Wireshark 抓包:PC1 本地网卡、交换机 GE0/0/1(入网口)、交换机 GE0/0/3(对端出网口)。
- 从 PC1 发起跨网段/跨部门测试:
ping 192.168.1.3。
边界抓包对比分析
- PC1 本地网卡 / GE0/0/1 入接口:捕获到 PC1 发出的 ARP 广播包(
Who has 192.168.1.3? Tell 192.168.1.1)。说明终端封装正常,数据已送达交换机。
- GE0/0/3 出接口(PC3 直连线):未接收到任何 ARP 广播或 ICMP 报文。
阻断原理分析
数据包带有 VLAN 10 标签在交换机内部流转。当交换机尝试泛洪广播时,发现 GE0/0/3 属于 VLAN 20,VLAN 标签不匹配。交换机在内部强制阻断了该报文的转发,导致广播包无法跨越 VLAN 边界。更多关于 ARP 广播在二层网络中的行为分析,可参考 ARP 协议与局域网通信原理。
结论
- VLAN 隔离广播域:VLAN 的本质是在交换机内部打上标签,限制广播包的泛洪范围。不同 VLAN 在二层(数据链路层)天然隔离。
- Access 接口行为:入方向打标签,出方向剥标签。它严格限制了只有相同 VLAN 的数据才能从该接口流出。