配置VLAN
几乎所有可网管交换机都支持VLAN的划分,不过,由于不同品牌交换机使用的操作系统不同,所以,划分VLAN时使用的命令也有所不同。在这里,我们仅以Cisco系列交换机为例,介绍一下如何在交换机上创建VLAN,以及如何实现位于不同交换机的同一VLAN之间的通讯。
一、VLAN创建策略
为了兼顾网络传输效率和网络安全,在配置VLAN时,应当遵循以下策略:
1. 采用基于端口的VLAN划分方式
在各种类型的网络中,台式计算机占有相当大的比例,而且位置和用户相对固定,因此,采用基于端口的方式划分VLAN,规划、设置和管理都非常简单,同时,又拥有最大限度的安全性,确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言,一方面可以借助信息插座连接至以太网络,另一方面,也可以借助无线AP连接至无线网络,然而,无论采用哪种方式,都直接或间接地连接到交换机,因此,同样可以以端口方式将之划分至不同的VLAN。
2. 以区域作为划分VLAN为基本策略
应当最大限度地减少中心交换机和网络骨干的网络传输量,要使大量数据的传输集中在VLAN内部,而使VLAN与网络骨干或中心交换机的通信数据流量尽可能的少,以充分提高网络的传输效率,减少不必要的网络流量,合理利用网络带宽。因此,应当以区域作为划分VLAN的基本策略,尽量避免设置跨交换机的VLAN,以减轻中心交换机的负担。
3. 以部门功能或应用需求作为划分VLAN的基础
每个部门既具有相对的独立性,同时又与其他某些部门有着千丝万缕的联系,所以,部门内部、相关部门之间的通信量相对较大。因此,只要是用户数量不是非常多(100个以下),就可以考虑将相关部门分配到一个VLAN之中。另外,还有一些部门的计算机拥有量非常多(如计算中心、图书馆等),或者对网络安全的要求比较高(如财务、研发、市场等),那么,可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置,也可以借助中继技术,将他们划分至同一VLAN,消除地理位置上的距离感,确保各项业务和应用的进行。同时,VLAN内部相对封闭运行,有利于各专门子网的安全。
3. 确保敏感部门的网络安全
对于一些敏感的部门,除了单独设置VLAN外,还应当设置允许访问该VLAN的列表,甚至在三层设备上绑定MAC地址和IP地址,以确保VLAN访问安全。
4. 及时调整灵活配置VLAN
根据网络拓朴结构和用户的变化和需要,及时调整VLAN配置,通过增加、删除、修改VLAN,设置VLAN的访问权限,保证网络高效、安全、稳定运行。
二、配置VLAN
创建VLAN需要2个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门,然后,再将所有员工一一分配至各部门非常相似。VLAN配置即可以直接在Console口完成,也可以以Telnet或超级终端通过远程管理实现。
1. 创建VLAN
默认状态下,VLAN1已经被创建,而且作为管理用VLAN,不可被删除和修改,用于实现对网络设备的管理。通常情况下,可创建的VLAN范围为2~1004。
(1)在全局配置模式下创建VLAN
第1步,进入全局配置模式。
第2步,键入VLAN ID,进入vlan-config模式。以太网VLAN ID的取值范围为1~1001。其中,VLAN 1为系统默认VLAN,不能被创建,也不能被删除。
(2)在VLAN Database模式下创建VLAN
Switch# vlan database
Switch(vlan)#
2. 将端口指定至VLAN
3. 清除接口配置
4. 删除VLAN
Switch(config-vlan)# show vlan brief
三、配置VLAN Trunk
1. 配置Trunk端口
2. 定义Trunk允许的VLAN
Switch(config-if)# switchport mode trunk
(config-if)
3. 配置本地VLAN的非标签传输
Switch(config-if)# switchport trunk native vlan vlan-id
若欲允许恢复默认本地VLAN,可以使用“no switchport trunk native vlan”接口配置命令。
本文转自
刘晓辉 51CTO博客,原文链接:http://blog.51cto.com/liuxh/42344 ,如需转载请自行联系原作者
![[ 网络协议篇 ] vlan 详解之 vlan if 详解](https://ucc.alicdn.com/pic/developer-ecology/a745d8d30f304858ac820e691ac0aa15.png?x-oss-process=image/resize,h_160,m_lfit)
