返回首页
当前位置: 主页 > 精通Office > 其他教程 >

Cisco 网络配置方案

时间:2011-09-03 16:38来源:知行网www.zhixing123.cn 编辑:麦田守望者

VLAN方案

几乎所有可网管交换机都支持VLAN的划分,不过,由于不同品牌交换机使用的操作系统不同,划分VLAN时使用的命令也有所不同。在这里,我们仅以Cisco系列交换机为例,介绍一下如何在交换机上创建 VLAN,以及如何实现位于不同交换机的同一VLAN之间的通讯。

1.VLAN创建策略

为了兼顾网络传输效率和网络安全,在配置VLAN时,应当遵循以下策略:

☆ 采用基于端口的VLAN划分方式。在各种类型的网络中,台式计算机占有相当大的比例,而且位置和用户相对固定,因此,采用基于端口的方式划分VLAN,规划、设置和管理都非常简单,同时,又拥有最大限度的安全性,确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言,一方面可以借助信息插座连接至以太网络,另一方面,也可以借助无线AP连接至无线网络,然而,无论采用哪种方式,都直接或间接地连接到交换机,因此,同样可以以端口方式将之划分至不同的VLAN。

☆以区域作为划分VLAN为基本策略。应当最大限度地减少中心交换机和网络骨干的网络传输量,要使大量数据的传输集中在VLAN内部,而使VLAN与网络骨干或中心交换机的通信数据流量尽可能地少,以充分提高网络的传输效率,减少不必要的网络流量,合理利用网络带宽。因此,应当以区域作为划分VLAN的基本策略,尽量避免设置跨交换机的VLAN,以减轻中心交换机的负担。

☆以部门功能或应用需求作为划分 VLAN的基础。每个部门既具有相对的独立性,同时又与其他某些部门有着千丝万缕的联系,所以,部门内部、相关部门之间的通信量相对较大。因此,只要是用户数量不是非常多(100个以下),就可以考虑将相关部门分配到一个VLAN之中。另外,还有一些部门的计算机拥有量非常多(如计算中心、图书馆等),或者对网络安全的要求比较高(如财务、研发、市场等),那么,可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置,也可以借助中继技术,将它们划分至同一VLAN,消除地理位置上的距离感,确保各项业务和应用的进行。同时,VLAN内部相对封闭运行,有利于各专门子网的安全。

☆确保敏感部门的网络安全。对于一些敏感的部门,除了单独设置VLAN外,还应当设置允许访问该VLAN的列表,甚至在三层设备上绑定MAC地址和IP地址,以确保VLAN访问安全。

☆及时调整灵活配置VLAN。根据网络拓扑结构和用户的变化和需要,及时调整VLAN配置,通过增加、删除、修改VLAN,设置VLAN的访问权限,保证网络高效、安全、稳定运行。

2.配置VLAN

创建VLAN需要两个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门,然后,再将所有员工一一分配至各部门非常相似。VLAN配置既可以直接在Console口完成,也可以以Telnet或超级终端通过远程管理实现。

●创建VLAN

默认状态下,VLAN1已经被创建,而且作为管理用VLAN,不可被删除和修改,用于实现对网络设备的管理。通常情况下,可创建的VLAN范围为2~1004。

第1步 进入全局配置模式。

Switch# configure terminal

第2步 键入VLAN ID,进入vlan-config模式。

以太网VLAN ID的取值范围为1~1001。其中,VLAN1为系统默认VLAN,不能被创建,也不能被删除。

Switch(config)# vlan vlan_id

第3步 (可选)为VLAN命名。如果不为VLAN命名,默认在VLAN ID前添加0作为VLAN名称。例

如,VLAN0004是VLAN4的默认命称。

Switch(config-vlan)# name vlan-name

第4步 返回特权配置模式。

Switch(config-vlan)# end

第5步 查看并检验VLAN配置。

Switch# show vlan [id | name] vlan_name

第6步 保存VLAN配置。如果交换机处于VTP透明模式,VLAN配置被保存在运行配置文件时,也

被保存至VLAN数据库。这里只是将当前配置保存至启动配置。

Switch# copy running-config startup-config

●将端口指定至VLAN

VLAN创建完成后,该VLAN还仅仅是一个空的容器。因此,接下来应当将相应的端口指定至该VLAN,使之成为该 VLAN的成员。

第1步 进入配置模式。

Switch# config terminal

第2步 指定欲配置的接口。

Switch(config)# interface interface-id

第3步 为端口(第二层访问端口)定义VLAN成员模式。

Switch(config-if)# switchport mode access

第4步 将接口添加至指定的VLAN。

Switch(config-if)# switchport access vlan vlan_id

第5步 退出接口配置模式。

Switch(config-if)# end

第6步 显示并校验该接口当前的配置。

Switch# show interface interface-id

第7步 保存VLAN配置。

Switch# copy running-config startup-config

需要注意的是,若欲将某个端口指定至其他VLAN时,无需将其从原来的端口删除,而只需执行

“switchport access vlan vlan_id”命令,直接将其指定至新的VLAN即可。

●清除接口配置

若欲将某个端口从VLAN中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何VLAN。

第1步 进入VLAN配置模式。

Switch# config terminal

第2步 清除某接口的所有配置。

Switch(config)# default interface interface-id

第3步 返回特权配置模式。

Switch(config)# end

第4步 保存对配置的修改。

Switch# copy running-config startup-config

●删除VLAN

若欲删除网络中已经设置的 VLAN,可以使用“no vlan vlan_id”命令。需要注意的是, 该VLAN一旦被删除,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时止。

第1步 进入全局配置模式。

Switch# configure terminal

第2步 选择欲删除的VLAN。

Switch(config)# vlan vlan_id

第3步 删除指定的VLAN。

Switch(config-vlan)# no vlan vlan_id

第4步 更新VLAN数据库,并返回特权配置模式。

Switch(config-vlan)# end

第5步 校验VLAN的改变。

Switch(config-vlan)# show vlan brief

第6步 保存VLAN配置。

Switch# copy running-config startup-config

3.配置VLAN Trunk

当某台交换机同时被划分为两个或两个以上VLAN时,需要创建Trunk,使不同交换机之间的VLAN能够借助于一链路进行通讯,否则,VLAN将被限制在交换机内,无法与其他交换机进行通讯。默认状态下,第二层接口自动处于动态的Switchport模式,当相邻接口(即借助于双绞线或光纤连接在一起的两个端口)支持Trunk,并且配置为Trunk或动态匹配模式,该链接将作为Trunk。

●配置Trunk端口

第1步 进入全局配置模式。

Switch# configure terminal

第2步 指定欲配置的接口。

Switch(config)# interface interface-id

第3 步 将接口配置为第二层Trunk。只有接口是第二层访问接口,或指定Trunk模式时,才需要使用该命令。“dynamic auto”,如果相邻接口被设置为“trunk”或“desirable”模式,将该接口置为Trunk连接。“dynamic desirable”,如果相邻接口设置为“trunk”、“desirable”或“auto”模式,将该接口置为Trunk连接。“trunk”,将接口设置为永久Trunk模式,协商将连接转换为 Trunk 连接,即使相邻接口不是Trunk接口。Switch(config-if)# switchport mode {dynamic{auto | desirable} | trunk}

第 4 步 (可选)指定默认 VLAN,即当 Trunk停止后,将使用哪一个 VLAN。既可指定某一个VALN,也可以指定一个VLAN范围。访问VLAN不能作为本地VLAN使用。

Switch(config-if)# switchport access vlan vlan_id

第5步 为802.1Q Trunk指定本地VLAN。不指定本地VLAN,默认将使用VLAN1。

Switch(config-if)# switchport trunk native vlan vlan_id

第6步 返回至特权配置模式。

Switch(config-if)# end

第7步 查看并校验配置。

Switch# show interface interface-id switchport

Switch# show interfaces interface-id trunk

第8步 保存VLAN配置。

Switch# copy running-config startup-config

若欲将接口恢复至默认值,可以使用“default interface interface-id”接口配置命令。若欲将Trunk接口中的所有特征恢复为默认值,可以使用“no switchport trunk”接口配置命令。若欲禁用 Trunk,可以使用“switchport mode access”接口配置命令,端口将作为一个静态访问端口。

●定义Trunk允许的VLAN

默认状态下,Trunk端口允许所有VLAN的发送和接口传输。当然,根据需要,我们也可以将拒绝某些VLAN通过Trunk传输,从而将该VLAN限制与其他交换机的通讯,或者拒绝某些VLAN对敏感数据的访问。需要注意的是,不能从 Trunk 中移除默认的VLAN1。

第1步 进入全局配置模式。

Switch# configure terminal

第2步 指定欲配置的接口。

Switch(config)# interface interface-id

第3步 将接口配置为VLAN Trunk端口。

Switch(config-if)# switchport mode trunk

第4 步 (可选)配置Trunk上允许的VLAN列表。使用 add(添加)、all(所有)、except(除外)和remove(移除)关键字,可以定义允许在Trunk上传输的VLAN。VLAN列表既可以是一个VLAN,也可以是一个VLAN组。当同时指定若干VLAN时,不要在“,”或“-”间使用空格。

Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list

第5步 返回至特权配置模式。

Switch(config-if)# end

第6步 查看并校验配置。

Switch# show interfaces interface-id switchport

------分隔线----------------------------
标签(Tag):网络配置方案
------分隔线----------------------------
推荐内容
猜你感兴趣