???

交換機VLAN劃分詳細手冊 -------------------------兩年砍柴（2010.08.08） VLAN的含義... 2 VLAN的目的... 3 VLAN的優點... 3 VLAN的標準... 5 VLAN技術簡單談... 5 VLAN的定義及特點... 6 VLAN的分類及優缺點... 6 幾個相關概念... 8 VLAN的基本配置命令... 10 交換機的端口工作模式的利用... 11 交換機的配置步驟及方法... 11 公司內部進行VLAN的劃分實例... 12 案例一... 13 案例二... 16

?

VLAN的含義 VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”, 它也是一種局域網（LAN）。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。 IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。通過將企業網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。在共享網絡中，一個物理的網段就是一個廣播域。而在交換網絡中，廣播域可以是有一組任意選定的第二層網絡地址（MAC地址）組成的虛擬網段。這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限制，而完全根據管理功能來劃分。這種基于工作流的分組模式，大大提高了網絡規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網絡中不同部門之間的安全性。網絡管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網絡中移動辦公，不論他在何處接入交換網絡，他都可以與VLAN內其他用戶自如通訊。 VLAN網絡可以是有混合的網絡類型設備組成，比如：10M以太網、100M以太網、令牌網、FDDI、CDDI等等，可以是工作站、服務器、集線器、網絡上行主干等等。 VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。 VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。 VLAN的產生原因——廣播風暴 圖1

VLAN的目的 VLAN技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。 從而保證辦公網安全，保證辦公網不被其它部門網直接訪問，實現辦公網和其它網絡之間的技術隔離。 圖1 構建安全辦公網工作拓撲 VLAN的優點 1. 限制網絡上的廣播。VLAN可以提供建立防火墻的機制，防止交換網絡的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。 2. 增強局域網的安全性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。 3. 增加了網絡連接的靈活性。借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN后，這部分管理費用大大降低。 VLAN是在數據鏈路層的，劃分子網是在網絡層的，所以不同子網之間的VLAN即使是同名也不可以相互通信。 【組建VLAN的條件】 VLAN是建立在物理網絡基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可采用路由器，也可采用三層交換機來完成。同時還嚴格限制了用戶數量. 【VLAN的劃分】 1、根據端口來劃分VLAN 許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網AAA，同一交換機的6，7，8端口組成虛擬網BBB。這樣做允許各端口之間的通訊，并允許共享型網絡的升級。但是，這種劃分模式將虛擬網限制在了一臺交換機上。 第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員，其配置過程簡單明了。因此，從目前來看，這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。 2、根據MAC地址劃分VLAN 這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。 3.根據網絡層劃分VLAN 這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型（如果支持多協議）劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。 這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。 這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的（相對于前面兩種方法），一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。 4.根據IP組播劃分VLAN IP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。 5.基于規則的VLAN 也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的用戶連成一體，在邏輯劃分上稱為“關系網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則（或屬性），那么當一個站點加入網絡中時，將會被“感知”，并被自己包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。 采用這種方法，整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬于不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網映射成的VLAN。 ? 6.按用戶定義、非用戶授權劃分VLAN 基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。 以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數據鏈路層上；網絡層和IP廣播方式建立在第三層上。 VLAN的標準 對VLAN的標準，我們只是介紹兩種比較通用的標準，當然也有一些公司具有自己的標準，比如Cisco公司的ISL標準，雖然不是一種大眾化的標準，但是由于Cisco Catalyst交換機的大量使用，ISL也成為一種不是標準的標準了。 · 802.10 VLAN標準 在1995年，Cisco公司提倡使用IEEE 802.10協議。在此之前，IEEE 802.10曾經在全球范圍內作為VLAN安全性的統一規范。Cisco公司試圖采用優化后的802.10幀格式在網絡上傳輸FrameTagging模式中所必須的VLAN標簽。然而，大多數802委員會的成員都反對推廣802.10。因為，該協議是基于FrameTagging方式的。 · 802.1Q 在1996年3月，IEEE802.1 Internet working委員會結束了對VLAN初期標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結構，統一了FrameTagging方式中不同廠商的標簽格式，并制定了VLAN標準在未來一段時間內的發展方向，形成的802.1Q的標準在業界獲得了廣泛的推廣。它成為VLAN史上的一塊里程碑。802.1Q的出現打破了虛擬網依賴于單一廠商的僵局，從一個側面推動了VLAN的迅速發展。另外，來自市場的壓力使各大網絡廠商立刻將新標準融合到他們各自的產品中。 · Cisco ISL 標簽 ISL（Inter-Switch Link)是Cisco公司的專有封裝方式，因此只能在Cisco的設備上支持。ISL是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議，通過在交換機直接的端口配置ISL封裝，即可跨越交換機進行整個網絡的VLAN分配和配置。 VLAN技術簡單談 局域網的發展是VLAN產生的基礎，所以在介紹VLAN之前，我們先來了解一下局域網的有關知識。 局域網（LAN）通常是一個單獨的廣播域，主要由Hub、網橋或交換機等網絡設備連接同一網段內的所有節點形成。處于同一個局域網之內的網絡節點之間可以直接通信，而處于不同局域網段的設備之間的通信則必須經過路由器才能通信。圖2所示即為使用路由器構建的典型的局域網環境。 圖2 傳統的局域網環境 隨著網絡的不斷擴展，接入設備逐漸增多，網絡結構也日趨復雜，必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網之間提供網絡互聯。 但這樣做存在兩個缺陷： 首先，隨著網絡中路由器數量的增多，網絡延時逐漸加長，從而導致網絡數據傳輸速度的下降。這主要是因為數據在從一個局域網傳遞到另一個局域網時，必須經過路由器的路由操作: 路由器根據數據包中的相應信息確定數據包的目標地址，然后再選擇合適的路徑轉發出去。 其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這種分割方式并不是根據工作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。 VLAN的定義及特點 虛擬局域網VLAN是一組邏輯上的設備和用戶，這些設備和用戶并不受物理網段的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點： ● 網絡設備的移動、添加和修改的管理開銷減少; ● 可以控制廣播活動; ● 可提高網絡的安全性。 VLAN的分類及優缺點 定義VLAN成員的方法有很多，由此也就分成了幾種不同類型的VLAN。 1. 基于端口的VLAN 基于端口的VLAN的劃分是最簡單、有效的VLAN劃分方法，它按照局域網交換機端口來定義VLAN成員。VLAN從邏輯上把局域網交換機的端口劃分開來，從而把終端系統劃分為不同的部分，各部分相對獨立，在功能上模擬了傳統的局域網。基于端口的VLAN又分為在單交換機端口和多交換機端口定義VLAN兩種情況： 圖3 多交換機端口定義 (1) 多交換機端口定義VLAN 如圖3所示，交換機1的1、2、3端口和交換機2的4、5、6端口組成VLAN1，交換機1的4、5、6、7、8端口和交換機2的1、2、3、7、8端口組成VLAN2。 (2) 單交換機端口定義VLAN 圖4 單交換機端口定義VLAN 如圖4所示，交換機的1、2、6、7、8端口組成VLAN1，3、4、5端口組成了VLAN2。這種VLAN只支持一個交換機。 基于端口的VLAN的劃分簡單、有效，但其缺點是當用戶從一個端口移動到另一個端口時，網絡管理員必須對VLAN成員進行重新配置。 2. 基于MAC地址的VLAN 基于MAC地址的VLAN是用終端系統的MAC地址定義的VLAN。MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一的。這種方法允許工作站移動到網絡的其他物理網段，而自動保持原來的VLAN成員資格。在網絡規模較小時，該方案可以說是一個好的方法，但隨著網絡規模的擴大，網絡設備、用戶的增加，則會在很大程度上加大管理的難度。 3. 基于路由的VLAN 路由協議工作在7層協議的第3層—網絡層，比如基于IP和IPX的路由協議，^[2]這類設備包括路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。在按IP劃分的VLAN中，很容易實現路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。 4. 基于策略的VLAN 基于策略的VLAN的劃分是一種比較有效而直接的方式，主要取決于在VLAN的劃分中所采用的策略。 常見的應用VLAN Port vlan與Tag vlan port vlan 基于端口的VLAN，處于同一VLAN端口之間才能相互通信。 tag vlan 基于IEEE 802.1Q（vlan標準），用VID（vlan id）來劃分不同的VLAN A、端口的虛擬局域網的優缺點 基于端口的VLAN，簡單的講就是交換機的一個端口就是一個虛擬局域網，凡是連接在這個端口上的主機屬于同個虛擬局域網之中。基于端口的VLAN的優點為： 由于一個端口就是一個獨立的局域網。所以，當數據在網絡中傳輸的時候，交換機就不會把數據包轉發給其他的端口，如果用戶需要將數據發送到其他的虛擬局域網中，就需要先由交換機發往路由器再由路由器發往其他端口；同時以端口為中心的VLAN中完全由用戶自由支配端口，無形之中就更利于管理。但是美中不足的是以端口為中心的VLAN，當用戶位置改變時，往往也伴隨著用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話，采用這一方式倒也不錯。 B、靜態虛擬局域網的優缺點 可以說靜態VLAN與基于端口的VLAN有一絲相似之處，用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的虛擬局域網。從一定意義上講靜態虛擬局域網在某些程度上彌補了基于端口的虛擬局域網的缺點。缺陷方面，靜態VLAN雖說是可以使多個端口的設置成一個虛擬局域網，假如兩個不同端口、不同虛擬局域網的人員聚到一起協商一些事情，這時候問題就出現了，因為端口及虛擬局域網的不一致往往就會直接導致某一個虛擬局域網的人員就不能正常的訪問他原先所在的VLAN之中（靜態虛擬局域網的端口在同一時間只能屬于同一個虛擬局域網），這樣就需要網絡管理人員隨時配合及時修改該線路上的端口。 C、動態的虛擬局域網的優缺點 與上面兩種虛擬局域網的組成方式相比動態的虛擬局域網的優點真的是太多了。首先它適用于當前的無線局域網技術，其次，當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬局域網與基于端口的虛擬局域網出現的一些問題在動態的虛擬局域網中出現，因為動態的虛擬局域網在建立初期已經由網絡管理員將整個網絡中的所有MAC地址全部輸入到了路由器之中，同時如何由路由器通過MAC地址來自動區分每一臺電腦屬于那一個虛擬局域網，之后將這臺電腦連接到對應的虛擬局域網之中。說起缺點，動態的虛擬局域網的缺點跟本談不上缺點，只是在VLAN建立初期，網絡管理人員需將所有機器的MAC進行登記之后劃分出MAC所對應的機器的不同權限（虛擬局域網）即可。 幾個相關概念 VLAN：每一個VLAN對應一個廣播域；二層交換機之間沒有路由功能，不能在VLAN之間轉發幀，因而處于不同VLAN之間的主機不能進行通信（三層交換機支持VLAN間的路由，可以實現VLAN間的通信） Trunking技術：所謂的Trunking是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為Trunk端口。trunk這個詞是干線或者樹干的意思，不過一般不翻譯，直接用原文。 假設沒有Trunking技術，如果你在2個交換機上分別劃分了多個VLAN（VLAN也是基于Layer2的），那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯，端口效率就太低了。 當交換機支持Trunking的時候，事情就簡單了，只需要2個交換機之間有一條級聯線，并將對應的端口設置為Trunk，這條線路就可以承載交換機上所有VLAN的信息。這樣的話，就算交換機上設了1024個VLAN也只用1個端口就解決了。 ? VTP：VLAN中繼協議，用于維護全網的一致性；VTP能夠提供三種工作模式：其中模式有三種工作模式——服務器模式（server mode）、客戶模式（client mode）和透明模式（transparent mode）。交換機同時只能處于一種模式。 VTP信息宣告以多點傳送的方式來進行。 VTP服務器和客戶模式下會同步最新版本的宣告信息。 VTP信息宣告每隔5分鐘或者有變化時發生（30s）。 VLAN trunk：在交換機之間或交換機與路由器之間，互相連接的端口上配置中繼模式，使得屬于不同VLAN的數據幀都可以通過這條中繼鏈路進行傳輸。 幀的格式分為兩種。 ISL：Inter-switch link，是CISCO交換機獨有的協議。 IEEE802.1Q：是國際標準協議，被幾乎所有的網絡設備生產商所共同支持。 STP：生成樹協議，在實現交換機之間的備份鏈路，避免網絡環路的出現，實現網絡的高可用性。其功能是允許在網絡中存在容錯的交換路徑，并且不產生回路。即在之中有多個鏈路，但是只有一條是激活的，其他的備份線路都于備用狀態以防止主鏈路出現故障。也可避免在兩臺已有的交換機中偶然地連接了一條鏈路。 VLAN發展趨勢 目前在寬帶網絡中實現的VLAN基本上能滿足廣大網絡用戶的需求，但其網絡性能、網絡流量控制、網絡通信優先級控制等還有待提高。前面所提到的VTP技術、STP技術，基于三層交換的VLAN技術等在VLAN使用中存在網絡效率的瓶頸問題，這主要是IEEE802.1Q、IEEE802.1D協議的不完善所致，IEEE正在制定和完善IEEE802.1S（Multiple Spanning Trees）和IEEE802.1W（Rapid Reconfiguration of Spanning Tree）來改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab協議，并結合使用RISC（精簡指令集計算）處理器或者網絡處理器而研制的吉位VLAN交換機在網絡流量等方面采取了相應的措施，大大提高了VLAN網絡的性能。IEEE802.1P協議提出了COS（Class of Service）標準，這使網絡通信優先級控制機制有了參考。 VLAN的基本配置命令 1、 創建vlan方法一 Switch#vlan database switch(vlan)#vlan 10 name mahaobin switch(vlan)#exit 2、 創建vlan方法二 switch(config)#vlan 10 switch(config-vlan)#name mahaobin 3、 刪除vlan方法一 switch(vlan)#no vlan 10 switch(vlan)#exit 4、 刪除vlan方法二 switch(config)#no vlan 10 5、 刪除vlan方法三 switch#delete vlan.dat 6、 將端口加入到vlan中 switch(config)#interface fastethernet 0/3 switch(config-if)#switchport access vlan 10 switch(config-if)#exit 7、 將一組連續的端口加入到vlan中可用關鍵字range switch(config)# interface range fastethernet 0/1-5 switch(config-if-range)#switchport access vlan 10 switch(config-if)#exit 8、 將端口從vlan中刪除 switch(config-if)#no switchport access vlan 10 switch(config-if)#switchport access vlan 1 switch(config-if-range)#no switchport access vlan 10 switch(config-if-range)#switchport access vlan 1 9、 查看所有vlan的摘要信息 switch#show vlan brief 10、 查看指定vlan的信息 switch#show vlan id 10 11、 指定端口成為trunk switch(config-if)#switchport mode trunk 12、Trunk的自動協商 switch(config-if)#switchport mode dynamic desirable switch(config-if)#switchport mode dynamic auto 注意：如果中繼鏈路兩端都設置成auto將不能成為trunk 13、 查看端口狀態 switch#show interface f0/2 switchport 14、 在trunk上移出vlan switch(config-if)#switchport trunk allowed vlan remove 20 15、 在trunk上添加vlan switch(config-if)#switchport trunk allowed vlan add 20 交換機的端口工作模式的利用 交換機的端口工作模式通常可以分為三種,它們分別為Access模式、Multi模式、Trunk模式。允許多個vlan的是multi模式，而不是trunk模式。Access模式的交換端口往往只能屬于1個VLAN，通常用于連接普通計算機的端口；Trunk模式的交換端口可以屬于多個VLAN，能夠發送和接受多個VLAN的數據報文，通常使用在交換機之間的級聯端口上；multi模式的交換端口可以屬于多個VLAN，能夠發送和接受多個VLAN的數據報文，可以用于交換機之間的連接，也可以用于連接普通計算機的端口，所以access和trunk沒有可比性。三種模式的交換端口能夠共同使用在相同的一臺交換機中，不過Trunk模式的交換端口和multi模式的交換端口相互之間不能直接切換，往往只能先將交換端口設置為Access模式，之后再設置為其他模式。 交換機的配置步驟及方法 配置過程如下： 一、基本配置 交換機1命令 交換機2命令 1 、Switch>enable ?????????????????進入特權模式 2 、Seitch#config terminal ????????進入全局配置模式 3 、Switch(config)#hostname SW1 ?????給交換機命令 4 、SW1(config)#enable secret 123 ???配置enable密碼 5 、SW1(config)#line console 0 ??????進入line模式 6 、SW1(config-line)#password 123 ???配置進入用戶模式密碼 7 、SW1(config-line)#login ??????????配置login登陸 8 、SW1(config-line)#exit ???????????退出到全局模式 二、配置vlan，兩種方法 步驟 交換機1命令 交換機2命令 作用 1 、SW1#vlan database ?????????????進入vlan database 2 、SW1(vlan)#vlan 2 name vlan2 ???配置vlan2 3 、SW1(vlan)#vlan 3 name vlan3 ???配置vlan3 4 、SW1(vlan)exit ?????????????????返回特權模式 Or 1 、SW1#config terminal ???????????進入全局配置模式 2 、SW1(config)#vlan 2 ????????????配置VLAN 2 3 、SW1(config-vlan)#name vlan2 ???將VLAN 2命名 4 、SW1(config-vlan)#vlan 3 ???????配置VLAN 3 5 、SW1(config-vlan)#name vlan3 ???將VLAN3命名 6 、SW1(config-vlan)#end ??????????退出到特權模式 7 、SW1#show vlan brief ??????????查看VLAN情況 三、配置中繼 步驟 交換機1命令 交換機2命令 作用 1 、SW1#config terminal ??????????????????進入特權模式 2 、SW1(config)#interface f0/24 ??????????進入接口配置模式 3 、SW1(config-if)#switchport mode trunk ?將F0/24口配置為中繼 4 、SW1(config-if)#end ??????? ??? ???????返回特權模式 5 、SW1#show interface f0/24 switchport ??查看F0/24的中繼狀態 四、將接口加入vlan 步驟 交換機1命令 交換機2命令 作用 1 、SW1#config terminal ????????????????????????????進入特權模式 2 、SW1(config)#interface range f0/1-10 ????????????進入接口配置模式 3 、SW1(config-if-range)#switchport access vlan 2 ??將f0/1-10分配給valn2 4 、SW1(config-if-range)#interface range f0/11-20 ??進入f0/11-20的接口配置模式 5 、SW1(config-if-range)#switchport access vlan 3 ??將接口分配vlan 3 6 、SW1(config-if-range)#end??????????????? ????????返回特權模式 7 、SW1#show vlan brief ????????????????????????????查看vlan 情況 公司內部進行VLAN的劃分實例 對于每個公司而言都有自己不同的需求，下面我們給出一個典型的公司的VLAN的實例，這樣也可以成為我們以后為公司劃分VLAN的依據。 某公司現在有工程部、銷售部、財務部。VLAN的劃分：工程部VLAN10，銷售部VLAN20，財務部VLAN30，并且各部門還可以相互通訊。現有設備如下:Cisco 3640路由器，Cisco Catalyst 2924交換機一臺，二層交換機若干臺。 交換機配置文件中的部分代碼如下： ...... ! interface vlan10 ip address 192.168.0.1 ! interface vlan20 ip address 192.168.1.1 ! interface vlan30 ip address 192.168.2.1 ! ...... 路由器配置文件中的部分代碼如下： ...... interface FastEthernet 1/0.1 Encapsulation isl 10 ip address 192.168.0.2 ! interface FastEthernet 1/0.2 Encapsulation isl 20 ip address 192.168.1.2 ! interface FastEthernet 1/0.3 Encapsulation isl 30 ip address 192.168.2.2 ! ...... ! router rip network 192.168.0.0 ！ ? 案例一 技術實驗報告——地址表

設備名稱	設備地址	接口連接
SW-L3	VLAN2:192.168.2.1/24	F0/1連接S2126G1 F0/1
	VLAN3:192.168.3.1/24	F0/2連接S2126G1 F0/2
	VLAN10:192.168.10.1/24	F0/23連接S2126G2 F0/23
		F0/24連接S2126G2 F0/24
	VLAN11:192.168.11.1/24	F0/11(VLAN11)連接S2126G3 F0/1
	VLAN99:192.168.99.1/24	F0/9(VLAN99)連接總經理PC
S2126G1	VLAN3:192.168.3.2/24	F0/1連接SW-L3 F0/1
		F0/2連接SW-L3 F0/2
S2126G2	VLAN11:192.168.5.2/24	F0/23連接SW-L3 F0/23
		F0/24連接SW-L3 F0/24
S2126G3	VLAN11:192.168.11.2/24	F0/1連接SW-L3 F0/11接口
S2126G4		S2126G4與S2126G3堆疊
總經理PC	IP:192.168.99.99/24	網卡與SW-L3 F0/9連接

技術實驗報告——VLAN分配表

設備名稱	VLAN ID	接口分配
SW-L3	VLAN11	F0/11(VLAN11)
	VLAN99	F0/9(VLAN99)
S2126G1	VLAN2	F0/3-F0/11
	VLAN3	F0/12-F0/24
S2126G2	VLAN11	F0/1-F0/22
S2126G3	VLAN11	全部接口分配到VLAN11
S2126G4

? 技術實驗報告——需求1 需求1：公司內部員工可以互相通過網絡互相交流。 第1步：在相關交換機上創建VLAN，并將接口劃分到相關VLAN中。 S2126G1 (config)#vlan 2 S2126G1 (config-vlan)#exit S2126G1 (config)#vlan 3 S2126G1 (config-vlan)#exit S2126G1 (config)#interface range fastethernet 0/3-11 S2126G1 (config-if-range)#switchport access vlan 2 S2126G1 (config-if-range)#exit S2126G1 (config)#interface range fastethernet 0/12-24 S2126G1 (config-if-range)#switchport access vlan 3 注：連續接口0/3-11，中間使用空格分離； 不連續多個接口，中間用逗號隔開； 如果使用模塊，一定要寫明模塊編號。 其他交換機配置略 …… 第2步:在核心交換機上開啟VLAN間路由。 在此步驟之前應完成SW-L3上相關VLAN的建立，并將相應接口加入到相應VLAN SW-L3(config)#interface vlan 2 SW-L3(config-if)#ip address 192.168.2.1 255.255.255.0 SW-L3(config-if)#no shutdown SW-L3(config-if)#exit SW-L3(config)#interface vlan 3 SW-L3(config-if)#ip address 192.168.3.1 255.255.255.0 SW-L3(config-if)#no shutdown SW-L3(config-if)#exit SW-L3(config)#interface vlan 10 SW-L3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-L3(config-if)#no shutdown SW-L3(config-if)#exit SW-L3(config)#interface vlan 11 SW-L3(config-if)#ip address 192.168.11.1 255.255.255.0 SW-L3(config-if)#no shutdown SW-L3(config-if)#exit SW-L3(config)#interface vlan 99 SW-L3(config-if)#ip address 192.168.99.1 255.255.255.0 SW-L3(config-if)#no shutdown SW-L3(config-if)#exit 技術實驗報告——需求2 需求2:?保證銷售部門的員工能夠全部接入網絡，并且要保障接入交換機的工作效率。 將S2126G3與S2126G4上的堆疊模塊用堆疊線纜連接起來。 連接方式為S2126G3 ?UP ---?S2126G4 DOWN S2126G3 DOWN ---?S2126G4 UP 技術實驗報告——需求3 需求3:保證財務部門接入網絡時不因線路問題出現不能訪問的情況。 第1步:建立S2126G1與SW-L3之間的雙鏈路 S2126G1(config)#interface range fastethernet 0/1-2 S2126G1(config-if-range)#switchport mode trunk SW-L3(config)#interface range fastethernet 0/1-2 SW-L3(config-if-range)#switchport mode trunk 第2步:S2126G1與SW-L3運行快速生成樹協議RSTP S2126G1(config)#spannning-tree S2126G1(config)#spanning-tree mode rstp SW-L3(config)#spannning-tree SW-L3(config)#spanning-tree mode rstp 技術實驗報告-需求4 需求4:保證市場推廣部高速利用網絡傳輸文件。 第1步：建立S2126G2與SW-L3之間的雙鏈路 將S2126G2的F0/23、F0/24與SW-L3的F0/23、F0/24級聯。 第2步：建立S2126G2與SW-L3之間的聚合鏈路 S2126G2(config)#interface range fastethernet 0/23-24 S2126G1(config-if-range)#port-group 1 SW-L3(config)#interface range fastethernet 0/23-24 SW-L3(config-if-range)# port-group 1 技術實驗報告——相關結果查看 #show spanning-tree生成樹協議查看 #show aggregateport summary聚合端口查看 #show vlan VLAN查看 #show ip route路由表查看 案例二 跨交換機實現vlan 【背景描述】 你是企業的網管，企業有兩個主要部門：銷售部和技術部，其中銷售部門的個人計算機系統分散連接，他們之間需要相互進行通信，但為了數據安全起見，銷售部和技術部需要進行相互隔離。 【實現功能】 掌握交換機Tag VLAN的配置，理解相同VLAN主機通訊，不同VLAN主機隔離的特點。 【使用設備】 S2126G（2臺），PC（3臺）、直通線（4條） 【網絡拓撲圖】 【實現步驟】 1、根據拓撲圖將主機和交換機進行連接 2、測試主機之間可以相互ping通 3、配置交換機Port VLAN 4、配置Trunk接口 5、測試 6、配置Native vlan為VLAN 10 配置步驟如下： 1、在交換機SwitchA 上創建 Vlan 10，并將 0/5 端口劃分到 Vlan 10 中。 SwitchA#configure terminal SwitchA(config)# vlan 10 SwitchA(config-vlan)# name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet0/5 SwitchA(config-if)#switchport access vlan 10 驗證測試：驗證已創建了Vlan 10，并將 0/5 端口已劃分到 Vlan 10 中。 SwitchA#show vlan id 10 !查看某一個VLAN10 的信息 ? 2、在交換機switchA 上創建 Vlan 20，并將 0/8 端口劃分到 Vlan 20 中。 SwitchA(config)# vlan 20 SwitchA(config-vlan)# name technical SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet0/8 SwitchA(config-if)#switchport access vlan 20 驗證測試：驗證已創建了Vlan 20，并將 0/8 端口已劃分到 Vlan 20 中。 SwitchA#show vlan id 20 !查看某一個VLAN20 的信息 3、把交換機SwitchA 與交換機 SwitchB 相連的端口（假設為 0/24 端口）定義為 tag vlan 模式。 SwitchA#configure terminal SwitchA(config)#interface fastethernet0/24 SwitchA(config-if)#switchport mode trunk !將fastethernet 0/24 端口設為 tag vlan 模式 驗證測試：驗證fastethernet 0/24 端口已被設置為 tag vlan 模式。 SwitchA#show interfaces fastEthernet0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists Fa0/24 Enabled Trunk 1 1 Disabled All 4、在交換機SwitchB 上創建 Vlan 10，并將 0/5 端口劃分到 Vlan 10 中。 SwitchB # configure terminal SwitchB(config)# vlan 10 SwitchB(config-vlan)# name sales SwitchB(config-vlan)#exit SwitchB(config)#interface fastethernet0/5 SwitchB(config-if)#switchport access vlan 10 驗證測試：驗證已在SwitchB 上創建了 Vlan 10，并將 0/5 端口已劃分到 Vlan 10 中。 SwitchB#show vlan id 10 ?!查看某一個VLAN10 的信息 ? 5、把交換機SwitchB 與交換機 SwitchA 相連的端口（假設為 0/24 端口）定義為 tag vlan 模式。 SwitchB # configure terminal SwitchB(config)#interface fastethernet0/24 SwitchB(config-if)#switchport mode trunk 驗證測試：驗證fastethernet 0/24 端口已被設置為 tag vlan 模式。 SwitchB#show interfaces fastEthernet 0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists ------------------------------------------------------------------- Fa0/24 Enabled Trunk 1 1 Disabled All 驗證PC1 與 PC3 能互相通信，但 PC2 與 PC3 不能互相通信。 C:\>ping 192.168.10.30 !在PC1 的命令行方式下驗證能 Ping 通 PC3 Pinging 192.168.10.30 with 32 bytes of data: Reply from 192.168.10.30: bytes=32 time Reply from 192.168.10.30: bytes=32 time Reply from 192.168.10.30: bytes=32 time Reply from 192.168.10.30: bytes=32 time Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>ping 192.168.10.30 ! 在PC2 的命令行方式下驗證不能 Ping 通 PC3 Pinging 192.168.10.30 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.10.30: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms ? 注意事項： §???????? 兩臺交換機之間的端口應該設置為tag vlan的傳輸。 §???????? Trunk接口在默認情況下支持所有vlan的傳輸。

?

???

轉載于:https://blog.51cto.com/xuhaili100love/392532

總結

以上是生活随笔為你收集整理的交换机VLAN划分详细手册的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。