深入了解VLAN

配置VLAN

几乎所有可网管交换机都支持 VLAN 的划分，不过，由于不同品牌交换机使用的操作系统不同，所以，划分 VLAN 时使用的命令也有所不同。在这里，我们仅以 Cisco 系列交换机为例，介绍一下如何在交换机上创建 VLAN ，以及如何实现位于不同交换机的同一 VLAN 之间的通讯。

一、VLAN创建策略

为了兼顾网络传输效率和网络安全，在配置 VLAN 时，应当遵循以下策略：

1. 采用基于端口的 VLAN 划分方式

在各种类型的网络中，台式计算机占有相当大的比例，而且位置和用户相对固定，因此，采用基于端口的方式划分 VLAN ，规划、设置和管理都非常简单，同时，又拥有最大限度的安全性，确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言，一方面可以借助信息插座连接至以太网络，另一方面，也可以借助无线 AP 连接至无线网络，然而，无论采用哪种方式，都直接或间接地连接到交换机，因此，同样可以以端口方式将之划分至不同的 VLAN 。

2. 以区域作为划分 VLAN 为基本策略

应当最大限度地减少中心交换机和网络骨干的网络传输量，要使大量数据的传输集中在 VLAN 内部，而使 VLAN 与网络骨干或中心交换机的通信数据流量尽可能的少，以充分提高网络的传输效率，减少不必要的网络流量，合理利用网络带宽。因此，应当以区域作为划分 VLAN 的基本策略，尽量避免设置跨交换机的 VLAN ，以减轻中心交换机的负担。

3. 以部门功能或应用需求作为划分 VLAN 的基础

每个部门既具有相对的独立性，同时又与其他某些部门有着千丝万缕的联系，所以，部门内部、相关部门之间的通信量相对较大。因此，只要是用户数量不是非常多（ 100 个以下），就可以考虑将相关部门分配到一个 VLAN 之中。另外，还有一些部门的计算机拥有量非常多（如计算中心、图书馆等），或者对网络安全的要求比较高（如财务、研发、市场等），那么，可以将每个部门设置为一个 VLAN 。即使这些部门分散于各个不同位置，也可以借助中继技术，将他们划分至同一 VLAN ，消除地理位置上的距离感，确保各项业务和应用的进行。同时， VLAN 内部相对封闭运行，有利于各专门子网的安全。

3. 确保敏感部门的网络安全

对于一些敏感的部门，除了单独设置 VLAN 外，还应当设置允许访问该 VLAN 的列表，甚至在三层设备上绑定 MAC 地址和 IP 地址，以确保 VLAN 访问安全。

4. 及时调整灵活配置 VLAN

根据网络拓朴结构和用户的变化和需要，及时调整 VLAN 配置，通过增加、删除、修改 VLAN ，设置 VLAN 的访问权限，保证网络高效、安全、稳定运行。

 

二、配置VLAN

创建 VLAN 需要 2 个步骤，先是创建 VLAN ，然后再将相关接口指定至该 VLAN 。这与先将公司划分为若干部门，然后，再将所有员工一一分配至各部门非常相似。 VLAN 配置即可以直接在 Console 口完成，也可以以 Telnet 或超级终端通过远程管理实现。

1. 创建VLAN

默认状态下， VLAN1 已经被创建，而且作为管理用 VLAN ，不可被删除和修改，用于实现对网络设备的管理。通常情况下，可创建的 VLAN 范围为 2~1004 。

（1）在全局配置模式下创建VLAN

第 1 步，进入全局配置模式。

Switch# configure terminal

第 2 步，键入 VLAN ID ，进入 vlan-config 模式。以太网 VLAN ID 的取值范围为 1~1001 。其中， VLAN 1 为系统默认 VLAN ，不能被创建，也不能被删除。

Switch(config)# vlan vlan_id

第 3 步，（可选）为 VLAN 命名。如果不为 VLAN 命名，默认在 VLAN ID 前添加 0 作为 VLAN 名称。例如， VLAN0004 是 VLAN 4 的默认命称。

Switch(config-vlan)# name vlan-name

第 4 步，返回特权配置模式。

Switch(config-vlan)# end

第 5 步，查看并检验 VLAN 配置。

Switch# show vlan [id | name] vlan_name

第 6 步，保存 VLAN 配置。如果交换机处于 VTP 透明模式， VLAN 配置被保存在运行配置文件时，也被保存至 VLAN 数据库。这里只是将当前配置保存至启动配置。

Switch# copy running-config startup-config

（2）在VLAN Database模式下创建VLAN

第 1 步，进入 VLAN 配置模式。

Switch# vlan database 

第 2 步，添加新的 VLAN ，并为该 VLAN 命名。

Switch(vlan)# vlan vlan_id name vlan-name

第 3 步，更新 VLAN 数据库，并返回特权配置模式。

Switch(vlan)# exit

第 4 步，查看并检验 VLAN 配置。

Switch# show vlan [id | name] vlan_name

第 5 步，保存 VLAN 配置。

Switch# copy running-config startup-config

2. 将端口指定至VLAN

VLAN 创建完成后，该 VLAN 还仅仅是一个空的容器内。因此，接下来应当将相应的端口指定至该 VLAN ，使之成为该 VLAN 的成员。

第 1 步，进入配置模式。

Switch# config terminal

第 2 步，指定欲配置的接口。

Switch(config)# interface interface-id

第 3 步，为端口（第二层访问端口）定义 VLAN 成员模式。

Switch(config-if)# switchport mode access

第 4 步，将接口添加至指定的 VLAN 。

Switch(config-if)# switchport access vlan vlan_id

第 5 步，退出接口配置模式。

Switch(config-if)# end

第 6 步，显示并校验该接口当前的配置。

Switch# show interface interface-id

第 7 步，保存 VLAN 配置。

Switch# copy running-config startup-config

需要注意的是，若欲将某个端口指定至其他 VLAN 时，无需将其从原来的端口删除，而只需执行“ switchport access vlan vlan_id ”命令，直接将其指定至新的 VLAN 即可。

3. 清除接口配置

若欲将某个端口从 VLAN 中删除，可以将该接口恢复为默认值，即可清除该接口的所有配置，使之不再属于任何 VLAN 。

第 1 步，进入 VLAN 配置模式。

Switch # config terminal

第 2 步，清除某接口的所有配置。

Switch(config)# default interface interface-id

第 3 步，返回特权配置模式。

Switch(config)# end

第 4 步，保存对配置的修改。

Switch# copy running-config startup-config

4. 删除VLAN

若欲删除网络中已经设置的 VLAN ，可以使用“ no vlan vlan_id ”命令。需要注意的是， 该 VLAN 一旦被删除，那么，所有指定至 VLAN 的端口将不再可用，直到将其指定至新 VLAN 时止。

第 1 步，进入全局配置模式。

Switch# configure terminal

第 2 步，选择欲删除的 VLAN 。

Switch(config)# vlan vlan_id

第 3 步，删除指定的 VLAN 。

Switch(config-vlan)# no vlan vlan_id

第 4 步，更新 VLAN 数据库，并返回特权配置模式。

Switch(config-vlan)# end 

第 5 步，校验 VLAN 的改变。

Switch(config-vlan)# show vlan brief
     

第 5 步，保存 VLAN 配置。

Switch# copy running-config startup-config

 

三、配置VLAN Trunk

当某台交换机同时被划分为两个或两个以上 VLAN 时，需要创建 Trunk ，使不同交换机之间的 VLAN 能够借助于一链路进行通讯，否则， VLAN 将被限制在交换机内，无法与其他交换机进行通讯。默认状态下，第二层接口自动处于动态的 Switchport 模式，当相邻接口（即借助于双绞线或光纤连接在一起的两个端口）支持 Trunk ，并且配置为 Trunk 或动态匹配模式，该链接将作为 Trunk 。

1. 配置Trunk端口

第 1 步，进入全局配置模式。

Switch# configure terminal

第 2 步，指定欲配置的接口。

Switch(config)# interface interface-id

第 3 步，将接口配置为第二层 Trunk 。只有接口是第二层访问接口，或者指定 Trunk 模式时，才需要使用该命令。“ dynamic auto ”，如果相邻接口被设置为“ trunk ”或“ desirable ”模式，将该接口置为 Trunk 连接。“ dynamic desirable ”，如果相邻接口设置为“ trunk ”、“ desirable ”或“ auto ”模式，将该接口置为 Trunk 连接。“ trunk ”，将接口设置为永久 Trunk 模式，协商将连接转换为 Trunk 连接，即使相邻接口不是 Trunk 接口。

Switch(config-if)# switchport mode { dynamic { auto | desirable} | trunk}

第 4 步，（可选）指定默认 VLAN ，即当 Trunk 停止后，将使用哪一个 VLAN 。既可指定某一个 VALN ，也可以指定一个 VLAN 范围。访问 VLAN 不能作为本地 VLAN 使用。

Switch(config-if)# switchport access vlan vlan_id

第 5 步，为 802.1Q Trunk 指定本地 VLAN 。不指定本地 VLAN ，默认将使用 VLAN1 。

Switch(config-if)# switchport trunk native vlan vlan_id

第 6 步，返回至特权配置模式。

Switch(config-if)# end

第 7 步，查看并校验配置。

Switch# show interface interface-id switchport

Switch# show interfaces interface-id trunk

第 8 步，保存 VLAN 配置。

Switch# copy running-config startup-config

若欲将接口恢复至默认值，可以使用“ default interface interface-id ”接口配置命令。若欲将 Trunk 接口中的所有特征恢复为默认值，可以使用“ no switchport trunk ”接口配置命令。若欲禁用 Trunk ，可以使用“ switchport mode access ”接口配置命令，端口将作为一个静态访问端口。

2. 定义Trunk允许的VLAN

默认状态下， Trunk 端口允许所有 VLAN 的发送和接口传输。当然，根据需要，我们也可以将拒绝某些 VLAN 通过 Trunk 传输，从而将该 VLAN 限制与其他交换机的通讯，或者拒绝某些 VLAN 对敏感数据的访问。需要注意的是，不能从 Trunk 中移除默认的 VLAN1 。

第 1 步，进入全局配置模式。

Switch# configure terminal

第 2 步，指定欲配置的接口。

Switch(config)# interface interface-id

第 3 步，将接口配置为 VLAN Trunk 端口。

Switch(config-if)# switchport mode trunk

第 4 步，（可选）配置 Trunk 上允许的 VLAN 列表。使用 add （添加）、 all （所有）、 except （除外）和 remove （移除）关键字，可以定义允许在 Trunk 上传输的 VLAN 。 VLAN 列表既可以是一个 VLAN ，也可以是一个 VLAN 组。当同时指定若干 VLAN 时，不要在“ , ”或“ - ”间使用空格。

Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list
     

第 5 步，返回至特权配置模式。

Switch(config-if)# end

第 6 步，查看并校验配置。

Switch# show interfaces interface-id switchport

第 7 步，保存 VLAN 配置。

Switch# copy running-config startup-config

若欲允许所有 VLAN 都通过该 Trunk ，可以使用“ no switchport trunk allowed vlan ”接口配置命令。

3. 配置本地VLAN的非标签传输

802.1Q Trunk 端口能够接收标签和非标签传输。默认状态下，在本地 VLAN 中，交换机端口转发非标签传输。本地 VLAN 默认为 VLAN 1 。

第 1 步，进入全局配置模式。

Switch# configure terminal

第 2 步，指定欲配置的接口。

Switch(config)# interface interface-id

第 3 步，在 Trunk 端口上，配置指定的 VLAN 接收和发送非标签传输。

Switch(config-if)# switchport trunk native vlan vlan-id 

第 4 步，返回至特权配置模式。

Switch(config-if)# end

第 5 步，查看并校验配置。

Switch# show interfaces interface-id switchport

第 6 步，保存 VLAN 配置。

Switch# copy running-config startup-config

若欲允许恢复默认本地 VLAN ，可以使用“ no switchport trunk native vlan ”接口配置命令。

本文出自 “刘晓辉” 博客，谢绝转载！