配置VLAN
幾乎所有可網管交換機都支持VLAN的劃分,不過,由於不同品牌交換機使用的操作系統不同,所以,劃分VLAN時使用的命令也有所不同。在這裏,我們僅以Cisco系列交換機爲例,介紹一下如何在交換機上創建VLAN,以及如何實現位於不同交換機的同一VLAN之間的通訊。
一、VLAN創建策略
爲了兼顧網絡傳輸效率和網絡安全,在配置VLAN時,應當遵循以下策略:
1. 採用基於端口的VLAN劃分方式
在各種類型的網絡中,臺式計算機佔有相當大的比例,而且位置和用戶相對固定,因此,採用基於端口的方式劃分VLAN,規劃、設置和管理都非常簡單,同時,又擁有最大限度的安全性,確保網絡管理員擁有對整個網絡各項改動的最高權力。對於移動用戶而言,一方面可以藉助信息插座連接至以太網絡,另一方面,也可以藉助無線AP連接至無線網絡,然而,無論採用哪種方式,都直接或間接地連接到交換機,因此,同樣可以以端口方式將之劃分至不同的VLAN。
2. 以區域作爲劃分VLAN爲基本策略
應當最大限度地減少中心交換機和網絡骨幹的網絡傳輸量,要使大量數據的傳輸集中在VLAN內部,而使VLAN與網絡骨幹或中心交換機的通信數據流量儘可能的少,以充分提高網絡的傳輸效率,減少不必要的網絡流量,合理利用網絡帶寬。因此,應當以區域作爲劃分VLAN的基本策略,儘量避免設置跨交換機的VLAN,以減輕中心交換機的負擔。
3. 以部門功能或應用需求作爲劃分VLAN的基礎
每個部門既具有相對的獨立性,同時又與其他某些部門有着千絲萬縷的聯繫,所以,部門內部、相關部門之間的通信量相對較大。因此,只要是用戶數量不是非常多(100個以下),就可以考慮將相關部門分配到一個VLAN之中。另外,還有一些部門的計算機擁有量非常多(如計算中心、圖書館等),或者對網絡安全的要求比較高(如財務、研發、市場等),那麼,可以將每個部門設置爲一個VLAN。即使這些部門分散於各個不同位置,也可以藉助中繼技術,將他們劃分至同一VLAN,消除地理位置上的距離感,確保各項業務和應用的進行。同時,VLAN內部相對封閉運行,有利於各專門子網的安全。
3. 確保敏感部門的網絡安全
對於一些敏感的部門,除了單獨設置VLAN外,還應當設置允許訪問該VLAN的列表,甚至在三層設備上綁定MAC地址和IP地址,以確保VLAN訪問安全。
4. 及時調整靈活配置VLAN
根據網絡拓樸結構和用戶的變化和需要,及時調整VLAN配置,通過增加、刪除、修改VLAN,設置VLAN的訪問權限,保證網絡高效、安全、穩定運行。
二、配置VLAN
創建VLAN需要2個步驟,先是創建VLAN,然後再將相關接口指定至該VLAN。這與先將公司劃分爲若干部門,然後,再將所有員工一一分配至各部門非常相似。VLAN配置即可以直接在Console口完成,也可以以Telnet或超級終端通過遠程管理實現。
1. 創建VLAN
默認狀態下,VLAN1已經被創建,而且作爲管理用VLAN,不可被刪除和修改,用於實現對網絡設備的管理。通常情況下,可創建的VLAN範圍爲2~1004。
(1)在全局配置模式下創建VLAN
第1步,進入全局配置模式。
Switch# configure terminal
第2步,鍵入VLAN ID,進入vlan-config模式。以太網VLAN ID的取值範圍爲1~1001。其中,VLAN 1爲系統默認VLAN,不能被創建,也不能被刪除。
Switch(config)# vlan vlan_id
第3步,(可選)爲VLAN命名。如果不爲VLAN命名,默認在VLAN ID前添加0作爲VLAN名稱。例如,VLAN0004是VLAN 4的默認命稱。
Switch(config-vlan)# name vlan-name
第4步,返回特權配置模式。
Switch(config-vlan)# end
第5步,查看並檢驗VLAN配置。
Switch# show vlan [id | name] vlan_name
第6步,保存VLAN配置。如果交換機處於VTP透明模式,VLAN配置被保存在運行配置文件時,也被保存至VLAN數據庫。這裏只是將當前配置保存至啓動配置。
Switch# copy running-config startup-config
(2)在VLAN Database模式下創建VLAN
第1步,進入VLAN配置模式。
Switch# vlan database
第2步,添加新的VLAN,併爲該VLAN命名。
Switch(vlan)# vlan vlan_id name vlan-name
第3步,更新VLAN數據庫,並返回特權配置模式。
Switch(vlan)# exit
第4步,查看並檢驗VLAN配置。
Switch# show vlan [id | name] vlan_name
Switch# copy running-config startup-config
2. 將端口指定至VLAN
VLAN創建完成後,該VLAN還僅僅是一個空的容器內。因此,接下來應當將相應的端口指定至該VLAN,使之成爲該VLAN的成員。
第1步,進入配置模式。
Switch# config terminal
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,爲端口(第二層訪問端口)定義VLAN成員模式。
Switch(config-if)# switchport mode access
第4步,將接口添加至指定的VLAN。
Switch(config-if)# switchport access vlan vlan_id
第5步,退出接口配置模式。
Switch(config-if)# end
第6步,顯示並校驗該接口當前的配置。
Switch# show interface interface-id
第7步,保存VLAN配置。
Switch# copy running-config startup-config
需要注意的是,若欲將某個端口指定至其他VLAN時,無需將其從原來的端口刪除,而只需執行“switchport access vlan vlan_id”命令,直接將其指定至新的VLAN即可。
3. 清除接口配置
若欲將某個端口從VLAN中刪除,可以將該接口恢復爲默認值,即可清除該接口的所有配置,使之不再屬於任何VLAN。
第1步,進入VLAN配置模式。
Switch# config terminal
第2步,清除某接口的所有配置。
Switch(config)# default interface interface-id
第3步,返回特權配置模式。
Switch(config)# end
第4步,保存對配置的修改。
Switch# copy running-config startup-config
4. 刪除VLAN
若欲刪除網絡中已經設置的VLAN,可以使用“no vlan vlan_id”命令。需要注意的是, 該VLAN一旦被刪除,那麼,所有指定至VLAN的端口將不再可用,直到將其指定至新VLAN時止。
第1步,進入全局配置模式。
Switch# configure terminal
第2步,選擇欲刪除的VLAN。
Switch(config)# vlan vlan_id
第3步,刪除指定的VLAN。
Switch(config-vlan)# no vlan vlan_id
第4步,更新VLAN數據庫,並返回特權配置模式。
Switch(config-vlan)# end
第5步,校驗VLAN的改變。
Switch(config-vlan)# show vlan brief
第5步,保存VLAN配置。
Switch# copy running-config startup-config
三、配置VLAN Trunk
當某臺交換機同時被劃分爲兩個或兩個以上VLAN時,需要創建Trunk,使不同交換機之間的VLAN能夠藉助於一鏈路進行通訊,否則,VLAN將被限制在交換機內,無法與其他交換機進行通訊。默認狀態下,第二層接口自動處於動態的Switchport模式,當相鄰接口(即藉助於雙絞線或光纖連接在一起的兩個端口)支持Trunk,並且配置爲Trunk或動態匹配模式,該鏈接將作爲Trunk。
1. 配置Trunk端口
第1步,進入全局配置模式。
Switch# configure terminal
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,將接口配置爲第二層Trunk。只有接口是第二層訪問接口,或者指定Trunk模式時,才需要使用該命令。“dynamic auto”,如果相鄰接口被設置爲“trunk”或“desirable”模式,將該接口置爲Trunk連接。“dynamic desirable”,如果相鄰接口設置爲“trunk”、“desirable”或“auto”模式,將該接口置爲Trunk連接。“trunk”,將接口設置爲永久Trunk模式,協商將連接轉換爲Trunk連接,即使相鄰接口不是Trunk接口。
Switch(config-if)# switchport mode {dynamic {auto | desirable} | trunk}
第4步,(可選)指定默認VLAN,即當Trunk停止後,將使用哪一個VLAN。既可指定某一個VALN,也可以指定一個VLAN範圍。訪問VLAN不能作爲本地VLAN使用。
Switch(config-if)# switchport access vlan vlan_id
第5步,爲802.1Q Trunk指定本地VLAN。不指定本地VLAN,默認將使用VLAN1。
Switch(config-if)# switchport trunk native vlan vlan_id
第6步,返回至特權配置模式。
Switch(config-if)# end
第7步,查看並校驗配置。
Switch# show interface interface-id switchport
Switch# show interfaces interface-id trunk
第8步,保存VLAN配置。
Switch# copy running-config startup-config
若欲將接口恢復至默認值,可以使用“default interface interface-id”接口配置命令。若欲將Trunk接口中的所有特徵恢復爲默認值,可以使用“no switchport trunk”接口配置命令。若欲禁用Trunk,可以使用“switchport mode access”接口配置命令,端口將作爲一個靜態訪問端口。
2. 定義Trunk允許的VLAN
默認狀態下,Trunk端口允許所有VLAN的發送和接口傳輸。當然,根據需要,我們也可以將拒絕某些VLAN通過Trunk傳輸,從而將該VLAN限制與其他交換機的通訊,或者拒絕某些VLAN對敏感數據的訪問。需要注意的是,不能從Trunk中移除默認的VLAN1。
第1步,進入全局配置模式。
Switch# configure terminal
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,將接口配置爲VLAN Trunk端口。
Switch(config-if)# switchport mode trunk
第4步,(可選)配置Trunk上允許的VLAN列表。使用add(添加)、all(所有)、except(除外)和remove(移除)關鍵字,可以定義允許在Trunk上傳輸的VLAN。VLAN列表既可以是一個VLAN,也可以是一個VLAN組。當同時指定若干VLAN時,不要在“,”或“-”間使用空格。
Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list
第5步,返回至特權配置模式。
Switch(config-if)# end
第6步,查看並校驗配置。
Switch# show interfaces interface-id switchport
第7步,保存VLAN配置。
Switch# copy running-config startup-config
若欲允許所有VLAN都通過該Trunk,可以使用“no switchport trunk allowed vlan”接口配置命令。
3. 配置本地VLAN的非標籤傳輸
802.1Q Trunk端口能夠接收標籤和非標籤傳輸。默認狀態下,在本地VLAN中,交換機端口轉發非標籤傳輸。本地VLAN默認爲VLAN 1。
第1步,進入全局配置模式。
Switch# configure terminal
第2步,指定欲配置的接口。
Switch(config)# interface interface-id
第3步,在Trunk端口上,配置指定的VLAN接收和發送非標籤傳輸。
Switch(config-if)# switchport trunk native vlan vlan-id
第4步,返回至特權配置模式。
Switch(config-if)# end
第5步,查看並校驗配置。
Switch# show interfaces interface-id switchport
第6步,保存VLAN配置。
Switch# copy running-config startup-config
若欲允許恢復默認本地VLAN,可以使用“no switchport trunk native vlan”接口配置命令。