手把手教你用Packet Tracer做VLAN实验:从零开始玩转交换机配置
你有没有遇到过这样的情况——课堂上老师讲了一堆VLAN、广播域、Trunk链路的概念,听得头头是道,可一到动手配交换机就懵了?
别急,这太正常了。网络技术的魅力不在“听懂”,而在于“亲手让数据包跑起来”。
今天我们就以思科官方教学神器Packet Tracer为平台,带你一步步完成一个真实的VLAN划分实验。不讲空话,只讲你能照着做的实战流程。学完这一篇,你会真正理解:
- VLAN到底解决了什么问题?
- 为什么不同部门的电脑连在同一台交换机上却不能互访?
- Trunk口是怎么“一条线走多个VLAN”的?
- 怎么用几条命令就把混乱的局域网变得井井有条?
准备好了吗?我们直接开干。
为什么要用VLAN?一个小故事说清楚
想象一下你们公司只有10个人,都在同一个办公室里办公。你想找财务小王要个报销单,怎么办?直接喊一声:“小王,把报销单发我一下!”——全办公室都听见了。
这就是典型的广播通信。在早期的小型局域网中,这种模式没问题。但随着人数增加,每天都有人喊这喊那,整个办公室吵得不行,真正重要的信息反而被淹没了。
这就是所谓的“广播风暴”。
VLAN的作用,就是给这个大办公室装上隔断,分成几个独立的小房间:
- 销售部一间
- 财务部一间
- IT部一间
你在销售部喊话,财务部根本听不见。除非你专门走门口那个“跨部门联络通道”(比如路由器),否则各房间互不干扰。
VLAN的本质,就是逻辑上的办公室隔断。它不需要重新布线,也不需要买更多交换机,只需要在现有设备上动几下配置即可实现。
实验目标:搭建一个双VLAN的企业网络
我们要在 Packet Tracer 中构建这样一个拓扑:
PC1 ~ PC5 (Sales) PC6 ~ PC10 (HR) | | +--------SW1-----------+ | (Trunk Link) | [Router] ← 后续扩展用具体任务如下:
1. 创建两个VLAN:VLAN 10(SALES)、VLAN 20(HR)
2. 把交换机端口 Fa0/1–Fa0/5 划入 VLAN 10
3. 把 Fa0/6–Fa0/10 划入 VLAN 20
4. 配置 Gig0/1 为 Trunk 口,用于将来连接路由器或其他交换机
5. 验证:同组能通,跨组不通
✅ 提示:本实验使用 Cisco 2960 交换机模型 + PC 终端,在 Packet Tracer 最新版中均可找到。
第一步:搭好物理拓扑
打开 Packet Tracer,拖出以下设备:
- 1 台 Switch 2960
- 10 台 PC-PT 主机
用直通线(Straight-through Cable)将 PC1–PC10 分别连接到交换机的 Fa0/1 到 Fa0/10 接口。
暂时先不用接路由器——因为我们这次的重点是验证VLAN如何隔离通信,而不是打通跨VLAN访问。
第二步:规划IP地址
虽然我们现在只做二层隔离,但为了后续测试ping是否成功,必须给每台PC配上IP。
| VLAN | 子网 | 示例 |
|---|---|---|
| VLAN 10 (Sales) | 192.168.10.0/24 | PC1: 192.168.10.1, PC2: 192.168.10.2 … |
| VLAN 20 (HR) | 192.168.20.0/24 | PC6: 192.168.20.1, PC7: 192.168.20.2 … |
操作步骤(以PC1为例):
1. 点击 PC1 → Desktop 标签页
2. 选择 IP Configuration
3. 手动输入:
- IP Address:192.168.10.1
- Subnet Mask:255.255.255.0
其他PC依此类推设置。
第三步:登录交换机,开始CLI配置
点击交换机 SW1 → CLI 标签页,进入命令行界面。
1. 进入特权模式和全局配置模式
Switch> enable Switch# configure terminal顺手改个名字,方便识别:
Switch(config)# hostname SW1现在提示符变成SW1(config)#,说明你已经准备好开始配置了。
2. 创建VLAN并命名
SW1(config)# vlan 10 SW1(config-vlan)# name SALES SW1(config-vlan)# exit SW1(config)# vlan 20 SW1(config-vlan)# name HR SW1(config-vlan)# exit✅关键点提醒:
- VLAN ID 范围是 1–4094,其中 1 是默认VLAN,所有端口出厂即属于VLAN 1。
- 建议不要把业务流量放在VLAN 1上,存在安全风险。
- 名称可自定义,便于后期维护(如 SALES、HR、GUEST、IOT 等)。
3. 配置接入端口(Access Ports)
接下来要把物理端口划进对应的VLAN。
将 Fa0/1–Fa0/5 设为 Sales 部门接入口
SW1(config)# interface range fa0/1 - 5 SW1(config-if-range)# switchport mode access SW1(config-if-range)# switchport access vlan 10 SW1(config-if-range)# no shutdown SW1(config-if-range)# exit将 Fa0/6–Fa0/10 设为 HR 部门接入口
SW1(config)# interface range fa0/6 - 10 SW1(config-if-range)# switchport mode access SW1(config-if-range)# switchport access vlan 20 SW1(config-if-range)# no shutdown SW1(config-if-range)# exit🔍 解释几个关键命令:
-switchport mode access:明确指定该端口为接入模式,只能传输单一VLAN的数据。
-switchport access vlan XX:把这个端口绑定到某个VLAN。
-no shutdown:激活端口!很多初学者忘了这句,结果端口一直是 down 状态。
4. 配置Trunk链路(Gig0/1)
假设将来要在这台交换机后面接一台三层交换机或路由器来实现跨VLAN通信,我们需要提前准备好“高速公路”——也就是Trunk链路。
SW1(config)# interface gig0/1 SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk native vlan 99 SW1(config-if)# switchport allowed vlan 10,20 SW1(config-if)# no shutdown📌 深度解析:
-switchport mode trunk:启用IEEE 802.1Q标准,允许携带VLAN标签的帧通过。
-native vlan 99:设定本征VLAN(Native VLAN)。未打标的帧会被归入此VLAN。强烈建议不要使用VLAN 1作为Native VLAN,避免安全隐患。
-allowed vlan:显式声明允许哪些VLAN通过这条Trunk线,增强安全性与可控性。
第四步:验证配置是否生效
一切配置完成后,最关键的是检查结果。
查看当前VLAN信息
SW1# show vlan brief你应该看到类似输出:
VLAN Name Status Ports ---- -------------------- --------- ------------------------ 1 default active 10 SALES active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 20 HR active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10 99 MANAGEMENT active如果端口出现在正确的VLAN下,说明划分成功!
查看MAC地址表(验证学习机制)
SW1# show mac address-table你会看到输出按VLAN分组显示:
Vlan Mac Address Port Type ---- ----------- ---- ---- 10 aabb.cc00.0100 Fa0/1 DYNAMIC 10 aabb.cc00.0200 Fa0/2 DYNAMIC 20 ddee.ff00.0600 Fa0/6 DYNAMIC ...👉 这说明交换机已经学会了每个VLAN内的MAC地址,并且只会向对应VLAN的端口转发数据帧——真正的逻辑隔离已经形成。
第五步:连通性测试(重点来了!)
回到PC端进行ping测试。
测试1:同一VLAN内通信(应成功)
打开 PC1 命令行(Command Prompt),执行:
ping 192.168.10.2结果应该是四个回复:
Reply from 192.168.10.2: bytes=32 time<1ms TTL=128 ... Ping succeeded.✅ 成功!说明VLAN 10内部通信正常。
测试2:跨VLAN通信(应失败)
再试一次:
ping 192.168.20.1结果会是:
Request timed out. Request timed out. ... Ping failed.🔴 失败!但这正是我们想要的结果。
因为没有三层设备介入,交换机不会帮你在VLAN之间路由流量。这就是VLAN的核心价值:天然隔离。
💡 小贴士:如果你想让它们互通,下一步就要配置“单臂路由器”或者使用三层交换机启用SVI接口了——那是另一个精彩的故事。
常见问题排查清单(新手必看)
| 故障现象 | 可能原因 | 解决方法 |
|---|---|---|
| 同一VLAN内ping不通 | IP配错 / 子网掩码不对 | 检查PC的IP配置是否在同一子网 |
| 端口状态为down | 忘记敲no shutdown | 进入接口模式执行no shutdown |
端口没出现在show vlan里 | 没指定access vlan | 使用switchport access vlan XX补上 |
| Trunk链路不通 | 对端没设trunk或allowed vlan不一致 | 双方统一配置,建议关闭DTP自动协商 |
| 广播泛洪严重 | 存在网络环路 | 启用STP:spanning-tree vlan 10,20 |
🔧调试技巧:
- 多用show running-config查看完整配置;
- 在模拟模式(Simulation Mode)中观察数据包流动路径;
- 如果怀疑某条命令没生效,可以先no xxx删除再重配。
一些值得养成的好习惯
- 命名规范:VLAN名尽量有意义,比如 SALES、FINANCE、CAMERAS,别叫 VLAN10/VLAN20 就完事。
- Native VLAN单独设:推荐使用 VLAN 99 或 100,且不在任何access port上使用。
- 避免滥用VLAN 1:它是默认管理VLAN,容易成为攻击入口。
- 定期保存配置:虽然Packet Tracer会自动保存.pkt文件,但在真实设备上记得
copy running-config startup-config。 - 文档化你的设计:画一张简单的表格记录VLAN分配方案,未来扩容时省心。
总结:VLAN不只是命令,更是一种思维方式
通过这个实验,你亲手完成了:
- VLAN创建
- 端口划分
- Trunk配置
- 结果验证
但比这些更重要的是,你建立了对广播域隔离的直观认知。你知道了:
- 为什么两台PC明明插在同一台交换机上却无法通信;
- 为什么企业网络要搞这么多“小圈子”;
- 如何用软件定义的方式重构物理网络结构。
这才是网络工程师真正的基本功。
📌 记住一句话:“物理连接决定能否上线,逻辑配置决定能否通信。”
而VLAN,正是那个让你掌控“能否通信”的第一把钥匙。
下一步你可以尝试:
- 添加一台路由器,配置子接口实现Inter-VLAN Routing
- 使用三层交换机启用SVI 接口
- 引入VTP 协议实现多交换机VLAN同步
- 配合ACL控制VLAN间精细访问策略
如果你正在学习《计算机网络》课程,这个实验完全可以作为你的实践报告核心内容。把它吃透,你会发现后续学生成树(STP)、链路聚合、无线VLAN都不再抽象。
如果你在评论区分享你的.pkt文件截图或遇到的问题,我很乐意帮你一起分析。毕竟,每一个成功的ping背后,都曾有过无数次request timed out 😄
