交换机VLAN的配置
一、VLAN基础
中文名称VLAN(虚拟局域网)被称为虚拟局域网VLAN在逻辑上是一种新的数据交换技术,将局域网设备(注意是不分)成段,从而实现虚拟工作组的数据交换技术。该技术主要应用于交换机和路由器中,但主流应用尚在开关。但不是所有的交换机都有这个功能。只有第三层以上VLAN协议的交换机才具有这种功能,可以通过相应交换机的指令进行读取。
IEEE 1999关于VLAN的实现标准化草案对802.1Q协议,VLAN技术的出现,根据实际应用需求进行管理,分为不同的用户逻辑相同的物理网络不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,具有同样的性质,物理局域网上的形式,因为它是从逻辑上划分而不是身体上的划分,在同一个VLAN中的所有工作站不限于同一个物理范围,即这些工作站可以在不同物理LAN网段。根据VLAN的特点,在一个VLAN的广播和单播流量不会转发对于其他VLAN,它有助于控制流量,减少设备投资,简化网络管理,提高网络安全性。
交换技术的发展也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN段、网络管理和网络安全可以加强和不必要的数据广播是可以控制的。在一个共享的网络,一个物理网段就是一个广播域在交换网络中,广播域可以是一个虚拟的网络段组成的一组随机选择的二层网络地址(MAC地址),这样,网络中工作组的划分可以突破地理位置的限制在共享网络,并将其完全按照管理功能。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论他们实际上是连接到交换机,沟通,如果他们在一个独立的开关。在同一个VLAN的广播只能通过成员在VLAN听到,但不传播到其他VLAN,可以很好的控制不必要的广播风暴的产生。同时,若没有路由,不同VLAN之间不能相互交流,提高各部门之间的安全在企业网络中,网络管理员可以管理不同管理单元之间的信息交换,在企业内部配置VLAN之间的路径,根据用户工作站的MAC地址将交换机划分为VLAN,用户可以在企业网络中自由移动办公。无论何处访问交换网络,他都可以自由地与VLAN中的其他用户通信。
VLAN网络可以由混合型网络设备,如10M以太网,百兆以太网、令牌网、FDDI、接口等,可以是工作站、服务器、集线器、网络上行主干等等。
除了将网络划分为多个广播域,VLAN可以控制广播风暴的发生,使得网络的拓扑结构非常灵活,它也可以被用来控制不同部门和不同的network.vlan网站之间的访问是一个协议来解决以太网的广播问题和安全性,增加了在以太网帧头上的VLAN,VLAN ID分成更小的用户组,用户访问不同的组,每个工作组就是一个虚拟局域网,虚拟局域网的优点是它可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
二、VLAN划分方法
交换机上VLAN的实现大致可以分为六类:
1。基于端口分区的VLAN
这是VLAN划分最常用的方法,也是应用最广泛、最有效的方法。大多数的VLAN协议的交换机提供这个VLAN的配置方法。这种方法是基于VLAN交换机端口的以太网交换机来划分的分区,这是内部的物理端口和VLAN交换机的VLAN交换机的PVC(永久虚电路)端口分成若干个组,每个组由一个虚拟的网络,一个单一的VLAN开关等效。
当不同的部门需要互相访问,也可以通过路由器转发,结合港口基于MAC地址过滤,MAC地址设置,可以通过设置在开关,路由交换机或路由器的端口,这是最接近的位置对一个网站的访问路径。这可以防止非法入侵者盗用IP地址从其他接入点。
从除法方法本身,我们可以看出,这种划分方法的优点是,定义VLAN成员是非常简单的,只要所有端口都定义为相应的VLAN组,适用于任何大小的网络,其缺点是,如果用户离开原来的端口到一个新交换机的端口,就必须重新定义它。
2。基于MAC地址的分区VLAN
该方法是基于每个主机的MAC地址的VLAN划分为每个分区的主机配置,他属于组的MAC地址,它是每个卡的实现机制对应于一个唯一的MAC地址,VLAN属于VLAN的MAC地址跟踪开关。这种方式的VLAN允许网络用户自动保留自己的VLAN成员时,他们从一个物理位置到另一个。
这种分裂的机制可以看出,这种方法的最大优点是划分VLAN时的物理位置的移动用户,从一个开关,其他开关,无需重新配置VLAN,因为它是基于用户,而不是一个交换机端口的基础上的。这种方法的缺点是,所有的用户必须配置初始化时。如果有几百甚至几千个用户,配置是很累的,所以这种划分方法通常适用于小型局域网。此外,这种划分的方法也导致交换机执行效率的降低,因为有可能在每一个交换机端口存在许多VLAN组的成员,和很多用户的Mac地址保存,不易查询。此外,用户使用笔记本电脑,他们的网络卡可能经常更换,VLAN的配置必须定期。
三.基于网络层协议的分区VLAN
VLAN划分为网络层的协议,它可以分为IP,IPX,DECnet,AppleTalk,榕树和其他VLAN网络。这个VLAN,这是由网络层协议,允许广播域跨越多个VLAN交换机。这是网络管理员要具体应用和服务来组织用户很有吸引力。此外,用户可以在网络中自由移动,但其VLAN成员身份不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置VLAN,并可分为VLAN根据协议类型是非常重要的,网络管理者也,这种方法不需要附加的VLAN识别帧标签,从而减少网络通信量。这种方法的缺点是效率低,因为每一个数据包的网络层地址的检查是处理消耗的时间(相对于前两种方法),一般的交换机芯片可以自动检测以太网帧头数据包在网络上,但要让芯片可以检查IP报头,需要更多的技术也更time-consuming.of CourSE,这与各个厂商的执行有关。
4。基于ip组播的分区VLAN
IP组播是一个定义的VLAN,即IP组播组就是一个VLAN,对VLAN的划分方法扩展到广域网,因此这种方法更灵活,但也很容易扩展,通过路由器,主要不在局域网用户相同的地理范围一个VLAN的组件是不适合局域网,主要是效率不高。
5。按策略划分VLAN
基于策略的VLAN可以实现多种分配方式,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等,网络管理员可以根据自己的管理模式和单位的需要,选择哪种VLAN。
6。用户定义的非用户授权VLAN划分
用户定义的,非授权用户基于VLAN的划分,是为了适应特定的VLAN网络,定义并根据具体的网络用户的特殊要求设计VLAN,也可以让非VLAN用户访问,但是需要提供用户密码,在VLAN管理认证才能加入一个VLAN。
三和VLAN的优越性
任何新技术必须得到广泛支持和应用,必须具备一些关键优势。VLAN技术在以下几个方面也有其优势。
1。增加网络连接的灵活性
采用VLAN技术,帮助不同的网站,网络用户可以组合成一个虚拟的网络环境,以方便、灵活、有效利用当地lan.vlan可以降低移动位置管理成本或更改工作站的位置。特别是在一些企业频繁改变业务情况的情况下,使用VLAN,这部分管理成本大大降低。
2。在控制网络上广播
VLAN可以提供防火墙机制建设,防止overbroadcasting切换网络。利用VLAN,你可以成为一个交换机端口或一个特定的VLAN组用户VLAN组可以在一个网络或跨多个交换机VLAN广播不给VLAN交换。同样,相邻的端口不接收其他广播其他VLAN的产生。这样可以减少广播流量,发布给用户的带宽和减少广播的产生。
三.提高网络的安全性
因为VLAN是一个单独的广播域,而VLAN是彼此隔离的。这大大提高了网络的利用率,保证了网络的安全性和保密性。人们经常把局域网上的机密和关键数据。机密数据应提供安全手段,如访问控制。有效和易于实施的方法是将网络分成几个不同的广播组。网络管理员限制VLAN中的用户数,禁止未经许可访问VLAN,交换端口可以根据应用程序类型和访问权限进行分组,受限应用程序和资源一般放在安全VLAN中。
四、VLAN网络配置示例
为了给您一个真正的配置、学习机会的例子,让我们以一个典型的中间LAN VLAN配置为例,向您介绍最常用的通过端口配置VLAN的方法。
一家公司有100台电脑。主要使用网络的部门包括:生产部(20)、财务部(15)、人事部(8)、信息中心(12)四,其中大部分如图1所示。
整个网络部分网络的基本结构采用3催化剂1900网络交换机(称为开关,开关和开关,根据需要连接多个集线器,交换机主要用于非VLAN的用户,如行政文件、临时用户),Cisco 2514路由器,通过思科2514路由器与外部网络连接的网络。
用户主要分布在四个部分,即:生产部、财务部、信息中心和人事部。用户的四部分分为VLAN分别以确保相应部门网络资源不被盗用或破坏。
现在的安全对公司网络资源的相应部分的需求,尤其是对敏感的部门如财务部、人事部、网络上的信息不想让太多人上下车,所以公司采用VLAN的方法来解决上述问题。通过VLAN的划分,我们可以将公司的网络主要分为四个部分:生产部、财务部、人事部和信息中心。相应的VLAN组称为刺激,最终,人和信息,和每个VLAN组相应网段如下表。
VLAN
VLAN名
端口号
二
产品
开关12-21
三
国际泳联
2 2-16
四
呼玛
开关2-9
五
信息
冲10-21
{为什么交换机的VLAN数量从2 开始是因为交换机有一个默认VLAN,即1 VLAN,其中包括连接到交换机的所有用户。
VLAN的配置过程实际上非常简单,只有两个步骤:(1)为每个VLAN组命名;(2)相应的VLAN对应于相应的交换机端口。
下面是一个特定的配置过程:
第一步是设置超级终端,连接1900个交换机,通过超级终端配置交换机的VLAN,并在成功连接后出现如下所示的主配置接口。
1个用户现在在管理控制台上活动。
用户界面菜单
{ }菜单
{命令行
{ IP配置
输入选择:
超级终端是由超级终端(hypertrm)程序,在windows系统了。
第二步:单击K按钮,在主界面菜单中选择{命令行}选项,然后输入以下命令行配置界面:
与交换机的CLI会话是开放的。
要结束CLI会话,输入{ } }。
>
在这一点上,我们输入了普通的用户交换机模式。像路由器一样,这种模式只能查看当前配置,不改变配置,并且命令有限。因此我们必须输入特权模式。
第三步是在最后一个提示符下输入特权模式命令启用,输入特权模式,命令格式为>。此时,它将进入交换机配置的特权模式提示符。
# config t
输入配置命令,每行一个。最终控制键/ z
(config)#
第四:为了安全和方便起见,我们称这3个Catalyst 1900交换机设置特权模式登录密码。以下介绍仅作为开关的一个例子。配置代码如下:
# Switch1(config)主机名
Switch1(config)#启用密码15级xxxxxx
Switch1(config)#
{特权模式密码必须为4~8位字符。我们应该注意,这里输入的密码是直接以明文形式显示的,我们应该注意保密性。交换机使用级别级别的大小来确定密码的权限。第1级是输入命令行接口的密码。也就是说,在设置1级密码之后,下次连接到交换机并输入K时,您将输入密码,这是级别1设置的密码。第15级是输入命令后输入的特权模式密码。
第五步:设置VLAN名称。因为四个VLAN属于不同的交换机,由VLAN命名的命令是VLAN VLAN名称VLAN名称。2, 3, 4码,5个VLAN Switch1和Switch2,开关,开关:
Switch1(config)# VLAN 2名产品
2(config)# VLAN 3名国际泳联
Switch3 (config) #vlan 4 name Huma
冲(config)5名# VLAN信息
上述配置是按照表1规则进行的。
第六步:在最后一步中,我们配置VLAN组的每一个开关,现在我们必须符合表1中指定的交换机的端口号,端口号对应的命令是VLAN静态/动态VLAN。在这个命令,既静(静态)和动态(动态)的分配必须被选择,但通常是静态(静态)选择模式。VLAN端口号的应用配置如下:
(1)。一个开关叫开关的配置VLAN的端口号如下:
Switch1(config)# int E0 / 2
Switch1(config-if)# VLAN静态2
Switch1(config-if)# int E0 / 3
Switch1(config-if)# VLAN静态2
Switch1(config-if)# int E0 / 4
Switch1(config-if)# VLAN静态2
…
Switch1(config-if)# int E0 / 20
开关(config-if)# VLAN静态2
Switch1(config-if)# int E0 / 21
Switch1(config-if)# VLAN静态2
Switch1(config-if)#
int是界面命令的缩写,这是界面的意思。E0 / 3 的缩写以太网0 / 2
(2)。一个开关叫开关的配置VLAN的端口号如下:
2(config)# int E0 / 2
2(config-if)# VLAN静态3
2(config-if)# int E0 / 3
2(config-if)# VLAN静态3
2(config-if)# int E0 / 4
2(config-if)# VLAN静态3
…
2(config-if)# int E0 / 15
2(config-if)# VLAN静态3
2(config-if)# int E0 / 16
2(config-if)# VLAN静态3
2(config-if)#
(3)。开关的命名为冲的配置VLAN的端口号如下(包括两个VLAN组的配置),第一次看VLAN 4的配置代码(呼玛):
冲(config)# int E0 / 2
冲(config-if)# VLAN静态4
冲(config-if)# int E0 / 3
冲(config-if)# VLAN静态4
冲(config-if)# int E0 / 4
冲(config-if)# VLAN静态4
…
冲(config-if)# int E0 / 8
冲(config-if)# VLAN静态4
冲(config-if)# int E0 / 9
冲(config-if)# VLAN静态4
(如果)#冲
以下是虚拟局域网五配置代码(信息):
冲(config)# int E0 / 10
冲(config-if)# VLAN静态5
冲(config-if)# int E0 / 11
冲(config-if)# VLAN静态5
冲(config-if)# int E0 / 12
冲(config-if)# VLAN静态5
…
冲(config-if)# int E0 / 20
冲(config-if)# VLAN静态5
冲(config-if)# int E0 / 21
冲(config-if)# VLAN静态5
(如果)#冲
我们已经按照表1的要求在相应的交换机端口上定义了VLAN。为了验证我们的配置,您可以在特权模式下使用显示VLAN命令来显示刚才完成的配置,并检查它是否正确。
以上是Cisco催化剂1900交换机VLAN配置的介绍。其他交换机的VLAN配置方法基本上是类似的,参考交换机的说明。