配置VLAN
几乎所有可网管交换机都支持VLAN的划分,不过,由于不同品牌交换机使用的操作系统不同,所以,划分VLAN时使用的命令也有所不同。在这里,我们仅以Cisco系列交换机为例,介绍一下如何在交换机上创建VLAN,以及如何实现位于不同交换机的同一VLAN之间的通讯。
一、VLAN创建策略
为了兼顾网络传输效率和网络安全,在配置VLAN时,应当遵循以下策略:
1. 采用基于端口的VLAN划分方式
在各种类型的网络中,台式计算机占有相当大的比例,而且位置和用户相对固定,因此,采用基于端口的方式划分VLAN,规划、设置和管理都非常简单,同时,又拥有最大限度的安全性,确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言,一方面可以借助信息插座连接至以太网络,另一方面,也可以借助无线AP连接至无线网络,然而,无论采用哪种方式,都直接或间接地连接到交换机,因此,同样可以以端口方式将之划分至不同的VLAN。
2. 以区域作为划分VLAN为基本策略
应当最大限度地减少中心交换机和网络骨干的网络传输量,要使大量数据的传输集中在VLAN内部,而使VLAN与网络骨干或中心交换机的通信数据流量尽可能的少,以充分提高网络的传输效率,减少不必要的网络流量,合理利用网络带宽。因此,应当以区域作为划分VLAN的基本策略,尽量避免设置跨交换机的VLAN,以减轻中心交换机的负担。
3. 以部门功能或应用需求作为划分VLAN的基础
每个部门既具有相对的独立性,同时又与其他某些部门有着千丝万缕的联系,所以,部门内部、相关部门之间的通信量相对较大。因此,只要是用户数量不是非常多(100个以下),就可以考虑将相关部门分配到一个VLAN之中。另外,还有一些部门的计算机拥有量非常多(如计算中心、图书馆等),或者对网络安全的要求比较高(如财务、研发、市场等),那么,可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置,也可以借助中继技术,将他们划分至同一VLAN,消除地理位置上的距离感,确保各项业务和应用的进行。同时,VLAN内部相对封闭运行,有利于各专门子网的安全。
3. 确保敏感部门的网络安全
对于一些敏感的部门,除了单独设置VLAN外,还应当设置允许访问该VLAN的列表,甚至在三层设备上绑定MAC地址和IP地址,以确保VLAN访问安全。
4. 及时调整灵活配置VLAN
根据网络拓朴结构和用户的变化和需要,及时调整VLAN配置,通过增加、删除、修改VLAN,设置VLAN的访问权限,保证网络高效、安全、稳定运行。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
二、配置VLAN
创建VLAN需要2个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门,然后,再将所有员工一一分配至各部门非常相似。VLAN配置即可以直接在Console口完成,也可以以Telnet或超级终端通过远程管理实现。
1. 创建VLAN
默认状态下,VLAN1已经被创建,而且作为管理用VLAN,不可被删除和修改,用于实现对网络设备的管理。通常情况下,可创建的VLAN范围为2~1004。
(1)在全局配置模式下创建VLAN
第1步,进入全局配置模式。
第2步,键入VLAN ID,进入vlan-config模式。以太网VLAN ID的取值范围为1~1001。其中,VLAN 1为系统默认VLAN,不能被创建,也不能被删除。
第3步,(可选)为VLAN命名。如果不为VLAN命名,默认在VLAN ID前添加0作为VLAN名称。例如,VLAN0004是VLAN 4的默认命称。
第4步,返回特权配置模式。
第5步,查看并检验VLAN配置。
第6步,保存VLAN配置。如果交换机处于VTP透明模式,VLAN配置被保存在运行配置文件时,也被保存至VLAN数据库。这里只是将当前配置保存至启动配置。
Switch# copy running-config startup-config
(2)在VLAN Database模式下创建VLAN
第1步,进入VLAN配置模式。
第2步,添加新的VLAN,并为该VLAN命名。
第3步,更新VLAN数据库,并返回特权配置模式。
第4步,查看并检验VLAN配置。
Switch# copy running-config startup-config
2. 将端口指定至VLAN
VLAN创建完成后,该VLAN还仅仅是一个空的容器内。因此,接下来应当将相应的端口指定至该VLAN,使之成为该VLAN的成员。
第1步,进入配置模式。
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,为端口(第二层访问端口)定义VLAN成员模式。
Switch(config-if)# switchport mode access
第4步,将接口添加至指定的VLAN。
Switch(config-if)# switchport access vlan vlan_id
第5步,退出接口配置模式。
Switch(config-if)# end
第6步,显示并校验该接口当前的配置。
Switch# show interface interface-id
第7步,保存VLAN配置。
Switch# copy running-config startup-config
需要注意的是,若欲将某个端口指定至其他VLAN时,无需将其从原来的端口删除,而只需执行“
switchport access vlan
vlan_id
”命令,直接将其指定至新的VLAN即可。
3. 清除接口配置
若欲将某个端口从VLAN中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何VLAN。
第1步,进入VLAN配置模式。
Switch#
config
terminal
第2步,清除某接口的所有配置。
Switch(config)# default interface interface-id
第3步,返回特权配置模式。
Switch(config)# end
第4步,保存对配置的修改。
Switch# copy running-config startup-config
4. 删除VLAN
若欲删除网络中已经设置的VLAN,可以使用“no vlan vlan_id”命令。需要注意的是, 该VLAN一旦被删除,那么,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时止。
第1步,进入全局配置模式。
第2步,选择欲删除的VLAN。
第3步,删除指定的VLAN。
第4步,更新VLAN数据库,并返回特权配置模式。
第5步,校验VLAN的改变。
第5步,保存VLAN配置。
Switch# copy running-config startup-config
三、配置VLAN Trunk
当某台交换机同时被划分为两个或两个以上VLAN时,需要创建Trunk,使不同交换机之间的VLAN能够借助于一链路进行通讯,否则,VLAN将被限制在交换机内,无法与其他交换机进行通讯。默认状态下,第二层接口自动处于动态的Switchport模式,当相邻接口(即借助于双绞线或光纤连接在一起的两个端口)支持Trunk,并且配置为Trunk或动态匹配模式,该链接将作为Trunk。
1. 配置Trunk端口
第1步,进入全局配置模式。
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,将接口配置为第二层Trunk。只有接口是第二层访问接口,或者指定Trunk模式时,才需要使用该命令。“dynamic auto”,如果相邻接口被设置为“trunk”或“desirable”模式,将该接口置为Trunk连接。“dynamic desirable”,如果相邻接口设置为“trunk”、“desirable”或“auto”模式,将该接口置为Trunk连接。“trunk”,将接口设置为永久Trunk模式,协商将连接转换为Trunk连接,即使相邻接口不是Trunk接口。
Switch(config-if)# switchport mode {dynamic {auto | desirable} | trunk}
第4步,(可选)指定默认VLAN,即当Trunk停止后,将使用哪一个VLAN。既可指定某一个VALN,也可以指定一个VLAN范围。访问VLAN不能作为本地VLAN使用。
Switch(config-if)# switchport access vlan vlan_id
第5步,为802.1Q Trunk指定本地VLAN。不指定本地VLAN,默认将使用VLAN1。
Switch(config-if)# switchport trunk native vlan vlan_id
第6步,返回至特权配置模式。
Switch(config-if)# end
第7步,查看并校验配置。
Switch# show interface interface-id switchport
Switch# show interfaces interface-id trunk
第8步,保存VLAN配置。
Switch# copy running-config startup-config
若欲将接口恢复至默认值,可以使用“default interface interface-id”接口配置命令。若欲将Trunk接口中的所有特征恢复为默认值,可以使用“no switchport trunk”接口配置命令。若欲禁用Trunk,可以使用“switchport mode access”接口配置命令,端口将作为一个静态访问端口。
2. 定义Trunk允许的VLAN
默认状态下,Trunk端口允许所有VLAN的发送和接口传输。当然,根据需要,我们也可以将拒绝某些VLAN通过Trunk传输,从而将该VLAN限制与其他交换机的通讯,或者拒绝某些VLAN对敏感数据的访问。需要注意的是,不能从Trunk中移除默认的VLAN1。
第1步,进入全局配置模式。
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,将接口配置为VLAN Trunk端口。
(config-if)switchport mode trunk
第4步,(可选)配置Trunk上允许的VLAN列表。使用add(添加)、all(所有)、except(除外)和remove(移除)关键字,可以定义允许在Trunk上传输的VLAN。VLAN列表既可以是一个VLAN,也可以是一个VLAN组。当同时指定若干VLAN时,不要在“,”或“-”间使用空格。
(config-if)
第5步,返回至特权配置模式。
Switch(config-if)# end
第6步,查看并校验配置。
Switch# show interfaces interface-id switchport
第7步,保存VLAN配置。
Switch# copy running-config startup-config
若欲允许所有VLAN都通过该Trunk,可以使用“no switchport trunk allowed vlan”接口配置命令。
3. 配置本地VLAN的非标签传输
802.1Q Trunk端口能够接收标签和非标签传输。默认状态下,在本地VLAN中,交换机端口转发非标签传输。本地VLAN默认为VLAN 1。
第1步,进入全局配置模式。
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,在Trunk端口上,配置指定的VLAN接收和发送非标签传输。
(config-if)switchport trunk native vlan vlan-id
第4步,返回至特权配置模式。
Switch(config-if)# end
第5步,查看并校验配置。
Switch# show interfaces interface-id switchport
第6步,保存VLAN配置。
Switch# copy running-config startup-config
若欲允许恢复默认本地
VLAN
,可以使用“
no switchport trunk native vlan
”接口配置命令。
转载于:https://blog.51cto.com/liuxh/42344
2626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
