企业VLAN配置实例
企业VLAN配置实例
实例:某某公司内部网络采用cisco交换机组建,一台具备三层交换功能Cisco3560作为核心交换机,三台Cisco2950二层交换机作为接入层交换机。现公司要求将公司所有电脑按部门划分vlan,实现广播域分割,提升网络质量和安全。现在我们假设核心交换机起名为:SW3560,三台分支交换机分别起名为:SW2960_1、SW2960_2、SW2960_3。整个公司划分5个VLAN。
Vlan10:行政部 IP地址段为192.168.10.0/24
192.168.10.1为vlan10接口IP
Vlan20:财务部 IP地址段为192.168.20.0/24
192.168.20.1为vlan20接口IP
Vlan30:预算部 IP地址段为192.168.30.0/24
192.168.30.1为vlan30接口IP
Vlan40:生产部 IP地址段为192.168.40.0/24
192.168.40.1为vlan40接口IP
Vlan50:资讯部 IP地址段为 192.168.50.0/24
192.168.50.1为vlan50接口IP
需要做的主要配置工作:
A、设置vtp domain(分别在核心、分支交换机上都设置)
B、配置中继(分别在核心、分支交换机上都设置)
C、创建vlan(在server上设置)
D、将各交换机端口划入vlan
E、配置三层交换
F、查看交换机配置和测试
A、设置vtp domain。
为什么要配置vtp domain,首先我们要了解Vtp的概念,VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。VTP模式有3种: 服务器模式(Server)客户机模式(Client)透明模式(Transparent)。
在核心交换机上配置如下:
SW3560>enable
进入特权模式
SW3560#configure terminal
进入配置模式
SW3560(config)#hostname SW3560
为交换机命名
SW3560(config)#enable secret 123456 设置特权式加密密码(
注:enable password命令设置的密码为明文)
SW3560(config)#no ip domain lookup
关闭域名查询功能
SW3560(config)#line console 0 进入conslole 0接口
SW3560(config-line)#password 123456 设置进入控制台密码
SW3560(config-line)#logging synchrono 重显被打乱控制台输入
SW3560(config-line)#exec-timeout 0 0
表示关闭控制台自动断开的机制,永不断开
SW3560(config-line)#exit
返回上一层
SW3560(config)#line vty 0 4 进入虚拟接口设置
SW3560(config-line)#password 123456 设置远程telnet密码
SW3560(config-line)#login
SW3560#vlan database 进入vlan配置模式
SW3560(vlan)#vtp domain com 设置vtp域名称 com
SW3560(vlan)#vtp server 设置交换机为VTP服务器模式
SW3560(vlan)#vtp password 123456 设置VTP密码(注意:在此处给VTP server交换机配置了密码,那么加入此域的所有VTP client 交换机都要保持与该密码一致。如不设VTP密码会自动同步,会引起一些安全问题,所以需要vtp加密来提供安全性在同步vlan的时候,会先比对密码,如果密码不同,是不会同步的!
这就是vtp密码的作用)
在接入层交换机上配置如下:
SW2960-1#vlan database 进入vlan配置模式
SW2960-1(vlan)#vtp domain com 设置vtp管理域名称com
SW2960-1(vlan)#vtp client 设置交换机为客户端模式
SW2960-1(vlan)#vtp password 123456 设置vtp密码
SW2960-2#vlan database 进入vlan配置模式
SW2960-2(vlan)#vtp domain com 设置vtp管理域名称com
SW2960-2(vlan)#vtp client 设置交换机为客户端模式
SW2960_2(vlan)#vtp password 123456 设置vtp密码
SW2960-3#vlan database 进入vlan配置模式
SW2960-3(vlan)#vtp domain com 设置vtp管理域名称com
SW2960-3(vlan)#vtp client 设置交换机为客户端模式
SW2960-3(vlan)#vtp password 123456 设置vtp密码
注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。
透明模式(Transparent): Transparent模式相当于是一台独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,但可传递其它交换机传来的VLAN配置信息。而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息。
B、配置中继为了保证管理域的vlan配置信息能够覆盖所有的分支交换机,必须配置中继传递信息。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签或IEEE802.1Q。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl或IEEE802.1Q封装,即可跨越交换机进行整个网络的vlan分配和进行配置。
在核心交换机端配置如下:
SW3560(config)#interface fastEternet 1/1
进入要配置的端口
SW3560 (config-if)#switchport
将端口配置为交换口
SW3560 (config-if)#switchport trunk encapsulation dot1q 配置中继协议为IEEE802.1Q来封装
SW3560config-if)#switchport mode trunk
将端口配置为干道模式
SW3560 (config)#interface fastEternet 1/2
SW3560 (config-if)#switchport
SW3560 (config-if)#switchport trunk encapsulation dot1q
SW3560 (config-if)#switchport mode trunk
SW3560 (config)#interface fastEternet 1/3
SW3560 (config-if)#switchport
SW3560 (config-if)#switchport trunk encapsulation dot1q
SW3560 (config-if)#switchport mode trunk
在分支交换机端配置如下:
SW2960-1(config)#interface
fastEternet 1/0进入要配置的端口
SW2960-1 (config-if)#switchport mode trunk 将端口配置为干道模式
SW2960-2(config)#interface fastEternet 1/0
SW2960-2(config-if)#switchport mode trunk
SW2960-3(config)#interface fastEternet 1/0
SW2960-3(config-if)#switchport mode trunk
……
此时,管理域算是设置完毕了
注:ISL是思科公司的私有格式,而802.1Q是IEEE的标准格式。802.1Q 标准允许VLAN 标记帧可以在不同厂家的交换机之间传递。802.1Q 标签比ISL 标签包含更少的域,是插入帧而不是放入帧头。
C、创建vlan一旦建立了管理域,就可以创建vlan了。
SW3560#vlan database 从特权模式下进入VLAN配置模式
SW3560(vlan)#vlan 10 name vlan10 创建了一个编号为10 名字为vlan10的 vlan
SW3560(vlan)#vlan 20 name vlan20
SW3560(vlan)#vlan 30 name vlan30
SW3560(vlan)#vlan 40 name vlan40
SW3560(vlan)#vlan 50 name vlan50
注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。
D、将交换机端口划入vlan
将SW2960_1、SW2960_2、SW2960_3……各分支交换机的端口fastethernet 1/1-4划入vlan10,端口fastethernet 1/4-8划入vlan20,端口fastethernet 1/9-12划入vlan30,端口fastethernet 1/13-16划入vlan40. 将核心交换机SW3560上的fastethernet 1/5-16端口分配给vlan50,作为企业服务器区域。
各交换机配置如下:
SW3560(config)#interface range fastethernet 1/5 -16 进入配置5至16号端口
SW3660 (config-if)#switchport access vlan 50 归属vlan50,资讯部服务器接入
SW2960_1(config)#interface range fastethernet 1/1 -4 进入配置1至4号端口
SW2960_1 (config-if)#switchport access vlan 10 归属vlan10
SW2960_1(config)#interface range fastethernet 1/5 -8 进入配置5至8号端口
SW2960_1 (config-if)#switchport access vlan 20 归属vlan20
SW2960_1(config)#interface range fastethernet 1/8 -12 进入配置8至12号端口
SW2960_1 (config-if)#switchport access vlan 30 归属vlan30
SW2960_1(config)#interface range fastethernet 1/ 13-16 进入配置13至16号端口
SW2960_1 (config-if)#switchport access vlan 40 归属vlan40
SW2960_2(config)#interface range fastethernet 1/1 -4 进入配置1至4号端口
SW2960_2 (config-if)#switchport access vlan 10 归属vlan10
SW2960_2(config)#interface range fastethernet 1/5 -8 进入配置5至8号端口
SW2960_2 (config-if)#switchport access vlan 20 归属vlan20
SW2960_2(config)#interface range fastethernet 1/8 -12 进入配置8至12号端口
SW2960_2 (config-if)#switchport access vlan 30 归属vlan30
SW2960_2(config)#interface range fastethernet 1/ 13-16进入配置13至16号端口
SW2960_2 (config-if)#switchport access vlan 40 归属vlan40
SW2960_3(config)#interface range fastethernet 1/1 -4
进入配置1至4号端口
SW2960_3 (config-if)#switchport access vlan 10 归属vlan10
SW2960_3(config)#interface range fastethernet 1/5 -8 进入配置5至8号端口
SW2960_3 (config-if)#switchport access vlan 20 归属vlan20
SW2960_3(config)#interface range fastethernet 1/8 -12 进入配置8至12号端口
SW2960_3 (config-if)#switchport access vlan 30 归属vlan30
SW2960_3(config)#interface range fastethernet 1/ 13-16进入配置13至416号端口
SW2960_3 (config-if)#switchport access vlan 40 归属vlan40
E、配置三层交换
配置到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就需要给各vlan分配网络(ip)地址了。配置各个
VLAN的IP地址。用于各个VLAN的网关,相当于单臂路由子接口的IP地址的作用,给vlan分配ip地址分两种情况,其一,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。
给vlan10 分配的接口ip地址为192.168.10.1/24,网络地址为: 192.168.10.0
给vlan20分配的接口ip地址为192.168.20.1/24, 网络地址为: 192.168.20.0
给v lan30分配的接口ip地址为192.168.30.1/24,网络地址为192.168.30.0
给v lan40分配的接口ip地址为192.168.40.1/24,网络地址为192.168.40.0
给v lan50分配的接口ip地址为192.168.50.1/24,网络地址为192.168.50.0
……
如果动态分配ip地址,设网络上的dhcp服务器ip地址为192.168.50.254
(1)给vlan所有的节点分配静态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:
SW3560(config)#interface vlan 10
SW3560 (config-if)#ip address 192.168.10.1 255.255.255.0
vlan10接口ip
SW3560 (config)#interface vlan 20
SW3560 (config-if)#ip address 192.168.20.1 255.255.255.0
vlan20接口ip
SW3560 (config)#interface vlan 30
SW3560 (config-if)#ip address 192.168.30.1 255.255.255.0
vlan30接口ip
SW3560 (config)#interface vlan 40
SW3560 (config-if)#ip address 192.168.40.1 255.255.255.0
vlan40接口ip
SW3560 (config)#interface vlan 50
SW3560 (config-if)#ip address 192.168.50.1 255.255.255.0
vlan50接口ip
……
再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。
(2)给vlan所有的节点分配动态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址,如下所示:
SW3560(config)#interface vlan 10
SW3560(config-if)#ip address 192.168.10.1 255.255.255.0
vlan10接口ip
SW3560(config-if)#ip helper-address192.168.50.254 dhcp server ip
SW3560(config)#interface vlan 20
SW3560(config-if)#ip address 192.168.20.1 255.255.255.0
vlan20接口ip
SW3560(config-if)#ip helper-address192.168.50.254 dhcp server ip
SW3560(config)#interface vlan 30
SW3560(config-if)#ip address 192.168.30.1 255.255.255.0
vlan30接口ip
SW3560(config-if)#ip helper-address192.168.50.254 dhcp server ip
SW3560(config)#interface vlan 40
SW3560(config-if)#ip address 192.168.40.1 255.255.255.0
vlan40接口ip
SW3560(config-if)#ip helper-address192.168.50.254 dhcp server ip
SW3560(config)#interface vlan 50
SW3560(config-if)#ip address 192.168.50.1 255.255.255.0
vlan50接口ip
Vlan50作为资讯部服务器用,所以IP都用手动指定,在此不设动态分配了!
再在dhcp服务器上设置网络地址分别为192.168.10.0,192.168.20.0,192.168.30.0,192.168.40.0的作用域,并将这些作用域的“路由器”选项设置为对应vlan的接口ip地址。这样,可以保证所有的vlan也可以互访了。
最后在各接入vlan的计算机进行网络设置,将ip地址选项设置为自动获得ip地址即可。
F、查看配置和测试
(1)查看VTP配置命令:
SW3560#show vtp status
(2)查看各交换机上配置的valn信息命令
SW3560#show vlan
(3)查看整个交换机的配置
SW3560#show running-config
(4)查看各交换机上TRUNK配置
SW3560#show interface trunk
(5)查看各交换机的接口状态
SW3560#show ip interface brief
(6)查看所有连接到交换机的用户
SW3560#show user
SW3560#show user