般來說我們購買來的交換機端口都是24口或48口的,對於中小企業來說不可能公司只有24或48臺員工機,要想將所有員工機甚至服務器連接到網絡中肯定需要不止一臺交換機。
一般來說我們購買來的交換機端口都是24口或48口的,對於中小企業來說不可能公司只有24或48臺員工機,要想將所有員工機甚至服務器連接到網絡中肯定需要不止一臺交換機。
另外爲了方便公司內部管理,經常要將不同的員工機賦予不同的權限,不同權限的員工機是不能互相訪問的,防止隱私資料的泄露。對於網絡管理員來說將連接到同一臺交換機上的不同計算機隔離最好的辦法就是使用虛擬局域網VLAN了。
一、同一臺交換機上設置VLAN:
在同一臺交換機上配置VLAN是非常簡單的,主要有以下幾步。我們以cisco設備爲例。
第一步:在交換機上通過vlan database進入VLAN設置控制檯。(如圖1)
圖1:進入VLAN設置控制檯
第二步:通過“vlan VLAN號”命令來創建相應的VLAN號。(如圖2)
圖2:創建VLAN號
第三步:進入某個接口,將其設置爲屬於某個VLAN的ACCESS模式,命令爲switchport mode access。(如圖3)
圖3:將VLAN設置爲ACCESS模式
第四步:設置好該VLAN爲ACCESS模式後就要使用命令將該端口添加到此VLAN中了,命令爲switchport access vlan 100,即將給端口添加到VLAN 100中。(如圖4)
圖4:添加交換機端口到VLAN中
第五步:如果要批量設置端口到某某VLAN的話,可以使用批量添加端口命令,將多個端口快速添加到某VLAN中。
通過上面五步我們就完成了劃分VLAN的工作,將連接到同一臺交換機上的不同接口進行了分隔,連接到屬於不同VLAN接口的計算機將無法互相訪問。
二、多個交換機的連接:
三、多個交換機上設置VLAN:![]()
![]()
二、多個交換機的連接:
正如文章前言所說的,一般中小公司都不會僅僅使用一臺交換機,那麼如何將多個交換機連接到一起呢?
實際上我們完全可以把交換機看成是以前的集線器,過去連接多個集線器HUB都是採取使用網線直接連接不同集線器端口的方法。如今的交換機也不例
外,我們完全可以通過一根反線將不同交換機的普通以太端口進行連接,從而實現多個交換機的連接,這樣接到不同交換機上的PC機就可以互訪了。
對於大部分交換機來說各個以太端口都是支持自適應端口線序的,也就是說不管我們使用正線還是反線連接他們,都可以自動切換線序自動識別。不過爲了穩妥起見還是應該使用反線連接多個交換機。
小提示:
如果公司購買來的交換機有堆疊線或者支持堆疊功能,那麼我們也可以通過堆疊線將不同交換機連接到一起,通過堆疊線連接到一起的交換機吞吐性能更好,傳輸數據更穩定。不過由於涉及到購買堆疊線的問題,所以帶來的開銷也會增大。
三、多個交換機上設置VLAN:
如果我們公司即需要劃分VLAN保護不同PC機的權限,又需要多個交換機互相連接到一起該如何解決呢?這時簡單的使用反線將交換機連接到一起併爲各個交換機的不同端口設置VLAN就行不通的。
如果你採用了這種方法,那麼你會發現連接到同一個交換機上的屬於不同VLAN的PC機是無法互相訪問的,連接到同一個交換機的同一個VLAN的PC機是可
以訪問的。但是問題就出現在不同交換機上連接到同一個VLAN的PC機依然無法訪問。這是因爲沒有給交換機的端口設置TRUNK協議。
在上面我們已經見過命令switchport mode
access了,他是將交換機的某個端口設置爲ACCESS模式,這種傳輸模式將只傳輸該端口所屬的那個VLAN數據包,例如該接口輸入VLAN
10,那麼只有發現VLAN 10的數據包纔會從這個端口發送和接收,對於其他VLAN的數據包根本不會從此接口傳輸。
既然我們用反線將不同交換機的不同接口連接到了一起,那麼反線兩端的接口應該設置爲什麼模式呢?如果依然設置爲ACCESS模式,那麼就應該爲
其設置一個VLAN,與此同時該接口將只傳輸與該VLAN相關的數據包,自然無法傳輸其他VLAN信息,這就造成連接到不同交換機上數據同一VLAN的接
口之間無法正常通信,這時我們應該將此端口模式換爲另一種傳輸模式——TRUNK模式。
工作在TRUNK模式下的端口將傳輸所有VLAN的數據包,不丟棄任何數據包,這樣才能保證交換機上發向不同VLAN的數據可以絲毫沒有損失的轉發到另一臺交換機上,再又另一臺交換機分發到正確的VLAN接口。
我們可以採取簡單的幾步來將交換機上某個接口設置爲TRUNK模式,一般來說建議大家選擇交換機的最後一個端口,24接口交換機使用24端口,48接口交換機使用48端口來連接。
第一步:進入交換機中,然後進入對應的要設置爲TRUNK模式的接口。
第二步:使用switchport mode trunk命令將該接口設置爲工作在TRUNK模式。(如圖5)
圖5:將接口設置爲TRUNK模式
第三步:接下來還需要爲工作在TRUNK模式下的接口設置一個封裝方式,有三種參數提供給我們,使用switchport trunk
encapsulation isl是使用ISL TRUNK封裝方式,使用switchport trunk encapsulation
dot1q是使用802.1q封裝方式,使用switchport trunk encapsulation
negotiate是設置自動協商封裝方式,採用isl還是802.1q根據另外一臺交換機上設置的選擇。(如圖6)
圖6:選擇TRUNK工作方式
第四步:重新按照第一步到第三步的操作在另外一臺交換機上進行設置,將反線連接的另一端設置爲工作在TRUNK模式,封裝方式也要和上面設置的一致。
兩邊交換機都設置完畢後我們就會發現網絡又變得隔離和連通了,隔離的是在兩臺交換機上或同一交換機上屬於不同VLAN的接口,連通的是在兩臺交換機上或同一交換機上屬於同一個VLAN的接口。企業實現了真正的安全與互訪。
根據筆者多年經驗,對於公司設備都是CISCO的情況,在我們設置多臺交換機互聯且分配VLAN時應該選擇ISL
TRUNK封裝方式,畢竟這是CISCO公司自己獨有的,在傳輸速度和安全等多方面存在着更大的優勢,兼容性和穩定性也更好,但是如果公司內部有其他品牌
的設置,例如華爲或3COM的話,設置ISL TRUNK封裝方式就是大大的錯誤了,造成的後果就是和沒有設置TRUNK一樣,因爲其他品牌的設置是不支持ISL這種封裝方式的。所以這點一定要引起高度重視。
四、總結:
通過VLAN與TRUNK的完美結合,我們將公司網絡在管理方面進行了更大的優化,安全係數更高,不會再出現隱私泄露與病毒大範圍擴散的問題了。同樣對於需要連通共享數據的員工機又可以暢通的互連。
當然如果今後公司偶而需要不同VLAN之間數據的交流的話,可以在服務器的網卡上設置TRUNK信息,容許他和所有VLAN之間傳輸數據,通過服務器將不同VLAN的數據共享,另外還可以採取臨時添加一個路由器的方式,爲不同VLAN添加相應的路由信息。