如何在交換機上配置虛擬局域網VLAN

 
我們知道，傳統的局域網Ethernet使用具有沖突檢測的載波監聽多路訪問(CSMA/CD)方法。在CSMA/CD網絡中，節點可以在它們有數據需要發送的任何時候使用網絡。在節點傳輸數據之前，它進行"監聽"以了解網絡是否很繁忙。如果不是，則節點開始傳送數據。如果網絡正在使用，則節點等待。如果兩個節點進行監聽，沒有聽到任何東西，而開始同時使用線路，則會出現沖突。在發送數據時，它如果使用廣播地址，那么在此網段上的所有PC都將收到數據包，這樣一來如果該網段PC眾多，很容易引起廣播風暴。而沖突和廣播風暴是影響網絡性能的重要因素。為解決這一問題，引入了虛擬局域網（VLAN）的概念。

　　虛擬網絡是在整個網絡中通過網絡交換設備建立的虛擬工作組。虛擬網在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網及地理位置無關。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實現了網絡用戶與它們的物理位置無關。虛擬網技術把傳統的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高。我們結合下面的圖來看看講下。圖1所表示的是兩層樓中的相同性質的部門劃分到一個VLAN中，這樣，會計的數據不會向市場的機器上廣播，也不會和市場的機器發生數據沖突。所以VLAN有效的分割了沖突域和廣播域。

　　我們可以在交換機的某個端口上定義VLAN，所有連接到這個特定端口的終端都是虛擬網絡的一部分，并且整個網絡可以支持多個VLAN。VLAN通過建立網絡防火墻使不必要的數據流量減至最少，隔離各個VLAN間的傳輸和可能出現的問題，使網絡吞吐量大大增加，減少了網絡延遲。在虛擬網絡環境中，可以通過劃分不同的虛擬網絡來控制處于同一物理網段中的用戶之間的通信。這樣一來有效的實現了數據的保密工作，而且配置起來并不麻煩，網絡管理員可以邏輯上重新配置網絡，迅速、簡單、有效地平衡負載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調整網絡配置。既然VLAN有那么多的優點，我們為什么不了解它從而把VLAN技術應用到我們的現實網絡管理中去呢。好的讓我們通過實際的在Catalyst1900交換機上來配置靜態VLAN的例子來看看如何在交換機上配置VLAN。

設置好超級終端，連接上1900交換機后，會出現如下的主配置界面：
-------------------------------------------------
1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

IPConfiguration

EnterSelection:

　　我們簡單介紹下，這兒顯示了三個選項，[M]Menus是主菜單，主要是交換機的初始配置和監控交換機的運行狀況。[K]CommandLine是命令行，很象路由器里面用命令來配置和監控路由器一樣，主要是通過命令來操作。IPConfiguration是配置IP地址、子網掩碼和默認網管的一個選項。這是第一次連上交換機顯示的界面，如果你已經配置好了IPConfiguration，那么下次登陸的時候將沒有這個選項。因為用命令配置簡潔明了，清晰易懂，所以我們通過[K]CommandLine來實現VLAN的配置的。  

 
設置好超級終端，連接上1900交換機后，會出現如下的主配置界面：

-------------------------------------------------
1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

IPConfiguration

EnterSelection:

　　我們簡單介紹下，這兒顯示了三個選項，[M]Menus是主菜單，主要是交換機的初始配置和監控交換機的運行狀況。[K]CommandLine是命令行，很象路由器里面用命令來配置和監控路由器一樣，主要是通過命令來操作。IPConfiguration是配置IP地址、子網掩碼和默認網管的一個選項。這是第一次連上交換機顯示的界面，如果你已經配置好了IPConfiguration，那么下次登陸的時候將沒有這個選項。因為用命令配置簡潔明了，清晰易懂，所以我們通過[K]CommandLine來實現VLAN的配置的。

　　我們選擇[K]CommandLine，進入命令行配置：

EnterSelection:K回車

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

>

　　現在我們進入到了交換機的普通用戶模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，并且能夠使用的命令很有限。我們輸入enable，進入特權模式：

>enable
#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z
(config)#

　　為了安全和方便起見，我們給這個交換機起個名字，并且設置登陸密碼。

(config)#hostname1900Switch

1900Switch(config)#enablepasswordlevel15goodwork

1900Switch(config)# 

注意：密碼必須是4-8位的字符。交換機密碼的設置和路由器稍微不同，交換機用level級別的大小來決定密碼的權限。Level1是進入命令行界面的密碼，也就是說，設置了level1的密碼后，你下次連上交換機，并輸入K后，就會讓你輸入密碼，這個密碼就是level1設置的密碼。而level15是你輸入了enable命令后讓你輸入的特權模式密碼。路由器里面是使用enablepassword和enablescreet做此區分的。

　　好啦，我們已經設置好了名字和密碼這樣就足夠安全了，讓我們設置VLAN。VLAN的設置分以下2步：


設置VLAN名稱


應用到端口

　　我們先設置VLAN的名稱。使用vlanvlan號namevlan名稱。在特權配置模式下進行配置：

1900Switch(config)#vlan2nameaccounting

1900Switch(config)#vlan3namemarketing

　　我們新配置了2個VLAN，為什么VLAN號從2開始呢？這是因為默認情況下，所有的端口否放在VLAN1上，所以要從2開始配置。1900系列的交換機最多可以配置1024個VLAN，但是，只能有64個同時工作，當然了，這是理論上的，我們應該根據自己網絡的實際需要來規劃VLAN的號碼。配置好了VLAN名稱后我們要進入每一個端口來設置VLAN。在交換機中，要進入某個端口比如說第4個端口，要用interfaceEthernet0/4，好的，結合上面給出的圖我們讓端口2、3、4和5屬于VLAN2，端口17---22屬于VLAN3。命令是vlan-membershipstatic/dynamicVLAN號。靜態的或者動態的兩者必須選擇一個，后面是剛才配置的VLAN號。好的，我們看結果：

1900Switch(config)#interfaceethernet0/2
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/3
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/4
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/5
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/17
1900Switch(config-if)#vlan-membershipstatic3
…………
1900Switch(config-if)#inte0/22
1900Switch(config-if)#vlan-membershipstatic3
1900Switch(config-if)# 

好的，我們已經把VLAN都定義到了交換機的端口上了。這兒，我們只是配置的靜態的，關于動態的，我們在后面會有提及的。到現在為止，我們已經把交換機的VLAN配置好了，怎么樣，沒有你想象的那么復雜吧。為了驗證我們的配置，我們在特權模式使用showvlan命令。輸出如下：

1900Switch(config)#showvlan

VLANNameStatusPorts
--------------------------------------
1defaultEnabled1,6-16,22-24,AUI,A,B
2accontingEnabled2-5
3marketingEnabled17-22
1002fddi-defaultSuspended
1003token-ring-defauSuspended
1004fddinet-defaultSuspended
1005trnet-defaultSuspended

　　這是一個24口的交換機，并且帶有AUI和兩個100兆端口（A、B），可以看出來，我們的設置已經正常工作了，什么，還要不要保存runningconfigure？當然不用了，交換機是即時自動保存的，所以不用我們使用命令來保存設置了。當然了，你也可以使用showvlanvlan號的命令來查看某個VLAN，比如showvlan2,showvlan3.還可以使用showvlan-membership，改命令主要是顯示交換機上的每一個端口靜態或動態的屬于哪個VLAN。

　　以上是給交換機配置靜態VLAN的過程，下面我們看看動態的VLAN。動態的VLAN形成很簡單，由端口自己決定它屬于哪個VLAN時，就形成了動態的VLAN。不過，這并不意味著就一層不變了，它只是一個簡單的映射，這個映射取決于網絡管理員創建的數據庫。分配給動態VLAN的端口被激活后，交換機就緩存初始幀的源MAC地址，隨后，交換機便向一個稱為VMPS（VLAN管理策略服務器）的外部服務器發出請求，VMPS中包含一個文本文件，文件中存有進行VLAN映射的MAC地址。交換機對這個文件進行下載，然后對文件中的MAC地址進行校驗。如果在文件列表中找到MAC地址，交換機就將端口分配給列表中的VLAN。如果列表中沒有MAC地址，交換機就將端口分配給默認的VLAN（假設已經定義默認了VLAN）。如果在列表中沒有MAC地址，而且也沒有定義默認的VLAN，端口不會被激活。這是維護網絡安全一種非常好的的方法。從表面上看，動態VLAN的優勢很大，但它也有致命的缺點，即創建數據庫是一項非常艱苦而且非常繁瑣的工作。如果網絡上有數千個工作站，則有大量的輸入工作要做。即使有人能勝任這項工作，也還會出現與動態的VLAN有關的很多問題。另外，保持數據庫為最新也是要隨時進行的非常費時的工作。所以不經常用到它，這里我們就不做詳細的講解，可以參考相關的CISCO的文檔資料。

　　這么樣，沒有你想象的那么復雜吧。我們已經把VLAN配置好了，那么VLAN的另一部分不容忽視的工作，就是前期的對網絡的規劃。就是說，哪些機器在一個VLAN中，各自的IP地址、子網掩碼如何分配，以及VLAN之間互相通訊的問題。只有規劃計劃好了，才能夠在配置和以后的使用維護過程中輕松省事。 

交換機相關文章:交換機工作原理