如何在交換機上配置虛擬局域網(wǎng)VLAN

 
我們知道，傳統的局域網(wǎng)Ethernet使用具有沖突檢測的載波監聽(tīng)多路訪(fǎng)問(wèn)(CSMA/CD)方法。在CSMA/CD網(wǎng)絡(luò )中，節點(diǎn)可以在它們有數據需要發(fā)送的任何時(shí)候使用網(wǎng)絡(luò )。在節點(diǎn)傳輸數據之前，它進(jìn)行"監聽(tīng)"以了解網(wǎng)絡(luò )是否很繁忙。如果不是，則節點(diǎn)開(kāi)始傳送數據。如果網(wǎng)絡(luò )正在使用，則節點(diǎn)等待。如果兩個(gè)節點(diǎn)進(jìn)行監聽(tīng)，沒(méi)有聽(tīng)到任何東西，而開(kāi)始同時(shí)使用線(xiàn)路，則會(huì )出現沖突。在發(fā)送數據時(shí)，它如果使用廣播地址，那么在此網(wǎng)段上的所有PC都將收到數據包，這樣一來(lái)如果該網(wǎng)段PC眾多，很容易引起廣播風(fēng)暴。而沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò )性能的重要因素。為解決這一問(wèn)題，引入了虛擬局域網(wǎng)（VLAN）的概念。

　　虛擬網(wǎng)絡(luò )是在整個(gè)網(wǎng)絡(luò )中通過(guò)網(wǎng)絡(luò )交換設備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網(wǎng)及地理位置無(wú)關(guān)。虛擬工作組可以包含不同位置的部門(mén)和工作組，不必在物理上重新配置任何端口，真正實(shí)現了網(wǎng)絡(luò )用戶(hù)與它們的物理位置無(wú)關(guān)。虛擬網(wǎng)技術(shù)把傳統的廣播域按需要分割成各個(gè)獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò )中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò )的性能得到顯著(zhù)的提高。我們結合下面的圖來(lái)看看講下。圖1所表示的是兩層樓中的相同性質(zhì)的部門(mén)劃分到一個(gè)VLAN中，這樣，會(huì )計的數據不會(huì )向市場(chǎng)的機器上廣播，也不會(huì )和市場(chǎng)的機器發(fā)生數據沖突。所以VLAN有效的分割了沖突域和廣播域。

　　我們可以在交換機的某個(gè)端口上定義VLAN，所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò )的一部分，并且整個(gè)網(wǎng)絡(luò )可以支持多個(gè)VLAN。VLAN通過(guò)建立網(wǎng)絡(luò )防火墻使不必要的數據流量減至最少，隔離各個(gè)VLAN間的傳輸和可能出現的問(wèn)題，使網(wǎng)絡(luò )吞吐量大大增加，減少了網(wǎng)絡(luò )延遲。在虛擬網(wǎng)絡(luò )環(huán)境中，可以通過(guò)劃分不同的虛擬網(wǎng)絡(luò )來(lái)控制處于同一物理網(wǎng)段中的用戶(hù)之間的通信。這樣一來(lái)有效的實(shí)現了數據的保密工作，而且配置起來(lái)并不麻煩，網(wǎng)絡(luò )管理員可以邏輯上重新配置網(wǎng)絡(luò )，迅速、簡(jiǎn)單、有效地平衡負載流量，輕松自如地增加、刪除和修改用戶(hù)，而不必從物理上調整網(wǎng)絡(luò )配置。既然VLAN有那么多的優(yōu)點(diǎn)，我們?yōu)槭裁床涣私馑鼜亩裋LAN技術(shù)應用到我們的現實(shí)網(wǎng)絡(luò )管理中去呢。好的讓我們通過(guò)實(shí)際的在Catalyst1900交換機上來(lái)配置靜態(tài)VLAN的例子來(lái)看看如何在交換機上配置VLAN。

設置好超級終端，連接上1900交換機后，會(huì )出現如下的主配置界面：
-------------------------------------------------
1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

IPConfiguration

EnterSelection:

　　我們簡(jiǎn)單介紹下，這兒顯示了三個(gè)選項，[M]Menus是主菜單，主要是交換機的初始配置和監控交換機的運行狀況。[K]CommandLine是命令行，很象路由器里面用命令來(lái)配置和監控路由器一樣，主要是通過(guò)命令來(lái)操作。IPConfiguration是配置IP地址、子網(wǎng)掩碼和默認網(wǎng)管的一個(gè)選項。這是第一次連上交換機顯示的界面，如果你已經(jīng)配置好了IPConfiguration，那么下次登陸的時(shí)候將沒(méi)有這個(gè)選項。因為用命令配置簡(jiǎn)潔明了，清晰易懂，所以我們通過(guò)[K]CommandLine來(lái)實(shí)現VLAN的配置的。  

 
設置好超級終端，連接上1900交換機后，會(huì )出現如下的主配置界面：

-------------------------------------------------
1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

IPConfiguration

EnterSelection:

　　我們簡(jiǎn)單介紹下，這兒顯示了三個(gè)選項，[M]Menus是主菜單，主要是交換機的初始配置和監控交換機的運行狀況。[K]CommandLine是命令行，很象路由器里面用命令來(lái)配置和監控路由器一樣，主要是通過(guò)命令來(lái)操作。IPConfiguration是配置IP地址、子網(wǎng)掩碼和默認網(wǎng)管的一個(gè)選項。這是第一次連上交換機顯示的界面，如果你已經(jīng)配置好了IPConfiguration，那么下次登陸的時(shí)候將沒(méi)有這個(gè)選項。因為用命令配置簡(jiǎn)潔明了，清晰易懂，所以我們通過(guò)[K]CommandLine來(lái)實(shí)現VLAN的配置的。

　　我們選擇[K]CommandLine，進(jìn)入命令行配置：

EnterSelection:K回車(chē)

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

>

　　現在我們進(jìn)入到了交換機的普通用戶(hù)模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，并且能夠使用的命令很有限。我們輸入enable，進(jìn)入特權模式：

>enable
#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z
(config)#

　　為了安全和方便起見(jiàn)，我們給這個(gè)交換機起個(gè)名字，并且設置登陸密碼。

(config)#hostname1900Switch

1900Switch(config)#enablepasswordlevel15goodwork

1900Switch(config)# 

注意：密碼必須是4-8位的字符。交換機密碼的設置和路由器稍微不同，交換機用level級別的大小來(lái)決定密碼的權限。Level1是進(jìn)入命令行界面的密碼，也就是說(shuō)，設置了level1的密碼后，你下次連上交換機，并輸入K后，就會(huì )讓你輸入密碼，這個(gè)密碼就是level1設置的密碼。而level15是你輸入了enable命令后讓你輸入的特權模式密碼。路由器里面是使用enablepassword和enablescreet做此區分的。

　　好啦，我們已經(jīng)設置好了名字和密碼這樣就足夠安全了，讓我們設置VLAN。VLAN的設置分以下2步：


設置VLAN名稱(chēng)


應用到端口

　　我們先設置VLAN的名稱(chēng)。使用vlanvlan號namevlan名稱(chēng)。在特權配置模式下進(jìn)行配置：

1900Switch(config)#vlan2nameaccounting

1900Switch(config)#vlan3namemarketing

　　我們新配置了2個(gè)VLAN，為什么VLAN號從2開(kāi)始呢？這是因為默認情況下，所有的端口否放在VLAN1上，所以要從2開(kāi)始配置。1900系列的交換機最多可以配置1024個(gè)VLAN，但是，只能有64個(gè)同時(shí)工作，當然了，這是理論上的，我們應該根據自己網(wǎng)絡(luò )的實(shí)際需要來(lái)規劃VLAN的號碼。配置好了VLAN名稱(chēng)后我們要進(jìn)入每一個(gè)端口來(lái)設置VLAN。在交換機中，要進(jìn)入某個(gè)端口比如說(shuō)第4個(gè)端口，要用interfaceEthernet0/4，好的，結合上面給出的圖我們讓端口2、3、4和5屬于VLAN2，端口17---22屬于VLAN3。命令是vlan-membershipstatic/dynamicVLAN號。靜態(tài)的或者動(dòng)態(tài)的兩者必須選擇一個(gè)，后面是剛才配置的VLAN號。好的，我們看結果：

1900Switch(config)#interfaceethernet0/2
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/3
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/4
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/5
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/17
1900Switch(config-if)#vlan-membershipstatic3
…………
1900Switch(config-if)#inte0/22
1900Switch(config-if)#vlan-membershipstatic3
1900Switch(config-if)# 

好的，我們已經(jīng)把VLAN都定義到了交換機的端口上了。這兒，我們只是配置的靜態(tài)的，關(guān)于動(dòng)態(tài)的，我們在后面會(huì )有提及的。到現在為止，我們已經(jīng)把交換機的VLAN配置好了，怎么樣，沒(méi)有你想象的那么復雜吧。為了驗證我們的配置，我們在特權模式使用showvlan命令。輸出如下：

1900Switch(config)#showvlan

VLANNameStatusPorts
--------------------------------------
1defaultEnabled1,6-16,22-24,AUI,A,B
2accontingEnabled2-5
3marketingEnabled17-22
1002fddi-defaultSuspended
1003token-ring-defauSuspended
1004fddinet-defaultSuspended
1005trnet-defaultSuspended

　　這是一個(gè)24口的交換機，并且帶有AUI和兩個(gè)100兆端口（A、B），可以看出來(lái)，我們的設置已經(jīng)正常工作了，什么，還要不要保存runningconfigure？當然不用了，交換機是即時(shí)自動(dòng)保存的，所以不用我們使用命令來(lái)保存設置了。當然了，你也可以使用showvlanvlan號的命令來(lái)查看某個(gè)VLAN，比如showvlan2,showvlan3.還可以使用showvlan-membership，改命令主要是顯示交換機上的每一個(gè)端口靜態(tài)或動(dòng)態(tài)的屬于哪個(gè)VLAN。

　　以上是給交換機配置靜態(tài)VLAN的過(guò)程，下面我們看看動(dòng)態(tài)的VLAN。動(dòng)態(tài)的VLAN形成很簡(jiǎn)單，由端口自己決定它屬于哪個(gè)VLAN時(shí)，就形成了動(dòng)態(tài)的VLAN。不過(guò)，這并不意味著(zhù)就一層不變了，它只是一個(gè)簡(jiǎn)單的映射，這個(gè)映射取決于網(wǎng)絡(luò )管理員創(chuàng )建的數據庫。分配給動(dòng)態(tài)VLAN的端口被激活后，交換機就緩存初始幀的源MAC地址，隨后，交換機便向一個(gè)稱(chēng)為VMPS（VLAN管理策略服務(wù)器）的外部服務(wù)器發(fā)出請求，VMPS中包含一個(gè)文本文件，文件中存有進(jìn)行VLAN映射的MAC地址。交換機對這個(gè)文件進(jìn)行下載，然后對文件中的MAC地址進(jìn)行校驗。如果在文件列表中找到MAC地址，交換機就將端口分配給列表中的VLAN。如果列表中沒(méi)有MAC地址，交換機就將端口分配給默認的VLAN（假設已經(jīng)定義默認了VLAN）。如果在列表中沒(méi)有MAC地址，而且也沒(méi)有定義默認的VLAN，端口不會(huì )被激活。這是維護網(wǎng)絡(luò )安全一種非常好的的方法。從表面上看，動(dòng)態(tài)VLAN的優(yōu)勢很大，但它也有致命的缺點(diǎn)，即創(chuàng )建數據庫是一項非常艱苦而且非常繁瑣的工作。如果網(wǎng)絡(luò )上有數千個(gè)工作站，則有大量的輸入工作要做。即使有人能勝任這項工作，也還會(huì )出現與動(dòng)態(tài)的VLAN有關(guān)的很多問(wèn)題。另外，保持數據庫為最新也是要隨時(shí)進(jìn)行的非常費時(shí)的工作。所以不經(jīng)常用到它，這里我們就不做詳細的講解，可以參考相關(guān)的CISCO的文檔資料。

　　這么樣，沒(méi)有你想象的那么復雜吧。我們已經(jīng)把VLAN配置好了，那么VLAN的另一部分不容忽視的工作，就是前期的對網(wǎng)絡(luò )的規劃。就是說(shuō)，哪些機器在一個(gè)VLAN中，各自的IP地址、子網(wǎng)掩碼如何分配，以及VLAN之間互相通訊的問(wèn)題。只有規劃計劃好了，才能夠在配置和以后的使用維護過(guò)程中輕松省事。 

交換機相關(guān)文章:交換機工作原理