论文部分内容阅读
摘要:该文介绍了跨交换机实现VLAN间通信的工作原理;以企业销售部和技术部为研究应用对象,根据工作中的实际情况提出一些通信方案;最后给出交换机的管理与配置方法。
关键词:交换机;VLAN;通信
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)07-1532-02
The Application of Achieve the Different VLAN Communication on Multi Switches
YU Dan
(School of Changshu, Jiangsu Radio and TV University, Changshu 215500, China)
Abstract: This paper introduces the realization of achieve the different VLAN communication on multi switches, With sales and technology of the enterprise application object, according to the work of actual puts forward some communication solution, Finally given the configuration management methods of switches.
Key word: switch; VLAN; communication
随着网络应用的普及深入,企业信息化已被越来越重视,网络管理也被广泛的应用到企业日常工作、管理中。拥有高效、安全、灵活的企业网不仅可以让网络设备得到充分的利用,共享许多资源,提高网络性能;更可以让企业的工作效率事半功倍,提高经济效益。VLAN(虚拟局域网),它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段的技术,具有高速、灵活、管理简便和扩展容易的特点。
1 VLAN内及VALN间通信
在交换机上划分VALN后,可以隔离广播域,减小冲突域,这不但提高了网络的性能、安全,而且给网络管理员带来很大的便利。在一般的二层交换机组成的网络中,VLAN实现了网络流量的分割,不同的VLAN间是不能互相通信的。如果要实现VLAN间的通信必须借助路由来实现。
2利用三层交换机实现VLAN间通信
三层交换机,就是带有路由功能的二层交换机。它把第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。在一台三层交换机内,分别设置了交换机和路由模块;而内置的路由模块与交换模块类似。因此,与传统的路由器相比,可以实现高速路由,来完成VLAN间通信。
3企业销售部和技术部现状分析
一、跨交换机实现同一部门间相互通信
因业务发展需要,企业有两个主要部门:销售部和技术部。两个部门的电脑分散在两间办公室及两台交换机上(如图1),现在要求同一部门之间需要相互通信,而销售部和技术部之间需要相互隔离。结果为PC1和PC3,PC2和PC4相互可以通信,其它情况则不可以通信。解决方案:在两台交换机上创建VLAN10和VLAN20,分别将端口0/1-10划分到VLAN10,端口0/11-20划分到VLAN20,把两台交换机相连的端口均设为Tag VLAN。
Tag VLAN工作原理:Tag VLAN是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。交换机在从Trunk口转发数据前会在数据上打Tag标签,标签中的信息可以识别它们所在的VLAN,这使得所有属于该VLAN的数据,都将在该逻辑VLAN中传播。Trunk端口默认是属于交换机上所有VLAN的,但可以通过设置许可VLAN列表来加以限制。
4跨交换机实现不同办公室的销售人员不能相互通信
企业领导考虑到销售部的特殊性,提出了新要求。希望同办公室的销售人员能相互通信,而不同办公室的销售人员由于业务需要,不能相互通信。结果为PC2和PC4不可以相互通信,但同一办公室的销售部电脑可以相互通信。解决方案:配置两台交换机,修改Trunk接口的许可VLAN列表。
图1销售部和技术部拓扑图
5跨交换机实现两个部门间相互通信
利用三层交换机的路由功能,实现不同VLAN间的互访。采用SVI(交换虚拟接口)给接口配置IP地址的方式实现VLAN间互连,从而达到两个部门的所有主机都能相互访问,以共享数据资源。解决方案:设置三层交换机SwitchA的VLAN间通信,并修改相应的PC默认网关。
6交换机上安全配置的实现过程
步骤一:在三层交换机SwitchA和二层交换机SwitchB上创建Vlan10和Vlan20,并分别将端口0/1-10划分到VLAN10,端口0/ 11-20划分到VLAN20。
Switch# configure terminal!进入全局配置模式
Switch(config)# vlan 10!创建vlan 10
Switch(config-vlan)# name technical!将Vlan 10命名为technical
Switch(config-vlan)# exit
Switch(config)# vlan 20!创建vlan 20
Switch(config-vlan)# name sales!将Vlan 20命名为sales
Switch(config-vlan)# exit
Switch(config)# interface range fastethernet 0/1-10
Switch(config-if)# switchport access vlan 10!将0/1-10端口划分到vlan 10
Switch(config-if)# exit
Switch(config)# interface range fastethernet 0/11-20
Switch(config-if)# switchport access vlan 20!将0/11-20端口划分到vlan 20 Switch(config-if)# exit
步骤二:把两台交换机相连的端口定义为tag vlan模式。
Switch(config)# interface fastethernet 0/24
Switch(config-if)# switchport mode trunk!将f 0/24端口设置为tag vlan模式。
步骤三:設置IP地址为192.168.10.x,
验证同一部门的主机可以相互通信,不同部门的主机则不能通信(即PC1和PC3、PC2和PC4可相互ping通)。
步骤四:配置两台交换机,修改Trunk口的许可Vlan列表。
Switch(config)# interface fastethernet 0/24!将Vlan20从端口0/24中移出。
Switch(config)# switchport trunk allowed vlan remove 20
步骤五:验证办公室一中销售部主机(PC2)不能和办公室二中销售部主机(PC4)通信,而办公室二中销售部主机间可以相互通信。
使用no switchport trunk allowed vlan命令可以把Trunk的许可VLAN改为默认。
利用三层交换机的路由功能实现两个部门的主机都能相互访问。
步骤一:设置三层交换机SwitchA的VLAN间通信。
Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.254 255.255.255.0
!配置虚拟接口Vlan 10的地址为:192.168.10.254
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface vlan 20
Switch(config-if)# ip address 192.168.20.254 255.255.255.0
!配置虚拟接口Vlan 20的地址为:192.168.20.254
Switch(config-if)# no shutdown
步骤二:将PC1和PC3的默认网关设置为192.168.10.254,将PC2和PC4的默认网关设置为192.168.20.254,并修改相应主机的IP地址。验证不同部门间的主机可以相互PING通。
7总结
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层的交换相结合使用为网络提供较好的安全措施。利用VLAN实现网络的安全隔离,实现企业部门网络的高效管理,从而实现信息的安全共享。
参考文献:
[1]梁广民,王隆杰.思科网络实验室路由、交换实验指南[ M] .北京:电子工业出版社, 2007.
[2]高峡.网络设备互联学习指南[M ].北京:科学出版社,2009, 4.
关键词:交换机;VLAN;通信
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)07-1532-02
The Application of Achieve the Different VLAN Communication on Multi Switches
YU Dan
(School of Changshu, Jiangsu Radio and TV University, Changshu 215500, China)
Abstract: This paper introduces the realization of achieve the different VLAN communication on multi switches, With sales and technology of the enterprise application object, according to the work of actual puts forward some communication solution, Finally given the configuration management methods of switches.
Key word: switch; VLAN; communication
随着网络应用的普及深入,企业信息化已被越来越重视,网络管理也被广泛的应用到企业日常工作、管理中。拥有高效、安全、灵活的企业网不仅可以让网络设备得到充分的利用,共享许多资源,提高网络性能;更可以让企业的工作效率事半功倍,提高经济效益。VLAN(虚拟局域网),它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段的技术,具有高速、灵活、管理简便和扩展容易的特点。
1 VLAN内及VALN间通信
在交换机上划分VALN后,可以隔离广播域,减小冲突域,这不但提高了网络的性能、安全,而且给网络管理员带来很大的便利。在一般的二层交换机组成的网络中,VLAN实现了网络流量的分割,不同的VLAN间是不能互相通信的。如果要实现VLAN间的通信必须借助路由来实现。
2利用三层交换机实现VLAN间通信
三层交换机,就是带有路由功能的二层交换机。它把第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。在一台三层交换机内,分别设置了交换机和路由模块;而内置的路由模块与交换模块类似。因此,与传统的路由器相比,可以实现高速路由,来完成VLAN间通信。
3企业销售部和技术部现状分析
一、跨交换机实现同一部门间相互通信
因业务发展需要,企业有两个主要部门:销售部和技术部。两个部门的电脑分散在两间办公室及两台交换机上(如图1),现在要求同一部门之间需要相互通信,而销售部和技术部之间需要相互隔离。结果为PC1和PC3,PC2和PC4相互可以通信,其它情况则不可以通信。解决方案:在两台交换机上创建VLAN10和VLAN20,分别将端口0/1-10划分到VLAN10,端口0/11-20划分到VLAN20,把两台交换机相连的端口均设为Tag VLAN。
Tag VLAN工作原理:Tag VLAN是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。交换机在从Trunk口转发数据前会在数据上打Tag标签,标签中的信息可以识别它们所在的VLAN,这使得所有属于该VLAN的数据,都将在该逻辑VLAN中传播。Trunk端口默认是属于交换机上所有VLAN的,但可以通过设置许可VLAN列表来加以限制。
4跨交换机实现不同办公室的销售人员不能相互通信
企业领导考虑到销售部的特殊性,提出了新要求。希望同办公室的销售人员能相互通信,而不同办公室的销售人员由于业务需要,不能相互通信。结果为PC2和PC4不可以相互通信,但同一办公室的销售部电脑可以相互通信。解决方案:配置两台交换机,修改Trunk接口的许可VLAN列表。
图1销售部和技术部拓扑图
5跨交换机实现两个部门间相互通信
利用三层交换机的路由功能,实现不同VLAN间的互访。采用SVI(交换虚拟接口)给接口配置IP地址的方式实现VLAN间互连,从而达到两个部门的所有主机都能相互访问,以共享数据资源。解决方案:设置三层交换机SwitchA的VLAN间通信,并修改相应的PC默认网关。
6交换机上安全配置的实现过程
步骤一:在三层交换机SwitchA和二层交换机SwitchB上创建Vlan10和Vlan20,并分别将端口0/1-10划分到VLAN10,端口0/ 11-20划分到VLAN20。
Switch# configure terminal!进入全局配置模式
Switch(config)# vlan 10!创建vlan 10
Switch(config-vlan)# name technical!将Vlan 10命名为technical
Switch(config-vlan)# exit
Switch(config)# vlan 20!创建vlan 20
Switch(config-vlan)# name sales!将Vlan 20命名为sales
Switch(config-vlan)# exit
Switch(config)# interface range fastethernet 0/1-10
Switch(config-if)# switchport access vlan 10!将0/1-10端口划分到vlan 10
Switch(config-if)# exit
Switch(config)# interface range fastethernet 0/11-20
Switch(config-if)# switchport access vlan 20!将0/11-20端口划分到vlan 20 Switch(config-if)# exit
步骤二:把两台交换机相连的端口定义为tag vlan模式。
Switch(config)# interface fastethernet 0/24
Switch(config-if)# switchport mode trunk!将f 0/24端口设置为tag vlan模式。
步骤三:設置IP地址为192.168.10.x,
验证同一部门的主机可以相互通信,不同部门的主机则不能通信(即PC1和PC3、PC2和PC4可相互ping通)。
步骤四:配置两台交换机,修改Trunk口的许可Vlan列表。
Switch(config)# interface fastethernet 0/24!将Vlan20从端口0/24中移出。
Switch(config)# switchport trunk allowed vlan remove 20
步骤五:验证办公室一中销售部主机(PC2)不能和办公室二中销售部主机(PC4)通信,而办公室二中销售部主机间可以相互通信。
使用no switchport trunk allowed vlan命令可以把Trunk的许可VLAN改为默认。
利用三层交换机的路由功能实现两个部门的主机都能相互访问。
步骤一:设置三层交换机SwitchA的VLAN间通信。
Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.254 255.255.255.0
!配置虚拟接口Vlan 10的地址为:192.168.10.254
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface vlan 20
Switch(config-if)# ip address 192.168.20.254 255.255.255.0
!配置虚拟接口Vlan 20的地址为:192.168.20.254
Switch(config-if)# no shutdown
步骤二:将PC1和PC3的默认网关设置为192.168.10.254,将PC2和PC4的默认网关设置为192.168.20.254,并修改相应主机的IP地址。验证不同部门间的主机可以相互PING通。
7总结
网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层的交换相结合使用为网络提供较好的安全措施。利用VLAN实现网络的安全隔离,实现企业部门网络的高效管理,从而实现信息的安全共享。
参考文献:
[1]梁广民,王隆杰.思科网络实验室路由、交换实验指南[ M] .北京:电子工业出版社, 2007.
[2]高峡.网络设备互联学习指南[M ].北京:科学出版社,2009, 4.