跨交換機(jī)實(shí)現(xiàn)VLAN間通信的應(yīng)用研究

俞丹

摘要：該文介紹了跨交換機(jī)實(shí)現(xiàn)VLAN間通信的工作原理；以企業(yè)銷(xiāo)售部和技術(shù)部為研究應(yīng)用對(duì)象，根據(jù)工作中的實(shí)際情況提出一些通信方案；最后給出交換機(jī)的管理與配置方法。

關(guān)鍵詞：交換機(jī)；VLAN；通信

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)07-1532-02

The Application of Achieve the Different VLAN Communication on Multi Switches

YU Dan

(School of Changshu, Jiangsu Radio and TV University, Changshu 215500, China)

Abstract: This paper introduces the realization of achieve the different VLAN communication on multi switches, With sales and technology of the enterprise application object, according to the work of actual puts forward some communication solution, Finally given the configuration management methods of switches.

Key word: switch; VLAN; communication

隨著網(wǎng)絡(luò)應(yīng)用的普及深入，企業(yè)信息化已被越來(lái)越重視，網(wǎng)絡(luò)管理也被廣泛的應(yīng)用到企業(yè)日常工作、管理中。擁有高效、安全、靈活的企業(yè)網(wǎng)不僅可以讓網(wǎng)絡(luò)設(shè)備得到充分的利用，共享許多資源，提高網(wǎng)絡(luò)性能；更可以讓企業(yè)的工作效率事半功倍，提高經(jīng)濟(jì)效益。VLAN（虛擬局域網(wǎng)），它是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段的技術(shù)，具有高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易的特點(diǎn)。

1 VLAN內(nèi)及VALN間通信

在交換機(jī)上劃分VALN后，可以隔離廣播域，減小沖突域，這不但提高了網(wǎng)絡(luò)的性能、安全，而且給網(wǎng)絡(luò)管理員帶來(lái)很大的便利。在一般的二層交換機(jī)組成的網(wǎng)絡(luò)中，VLAN實(shí)現(xiàn)了網(wǎng)絡(luò)流量的分割，不同的VLAN間是不能互相通信的。如果要實(shí)現(xiàn)VLAN間的通信必須借助路由來(lái)實(shí)現(xiàn)。

2利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信

三層交換機(jī)，就是帶有路由功能的二層交換機(jī)。它把第二層交換機(jī)和第三層路由器兩者的優(yōu)勢(shì)有機(jī)而智能化地結(jié)合起來(lái)，可在各個(gè)層次提供線速性能。在一臺(tái)三層交換機(jī)內(nèi)，分別設(shè)置了交換機(jī)和路由模塊；而內(nèi)置的路由模塊與交換模塊類似。因此，與傳統(tǒng)的路由器相比，可以實(shí)現(xiàn)高速路由，來(lái)完成VLAN間通信。

3企業(yè)銷(xiāo)售部和技術(shù)部現(xiàn)狀分析

一、跨交換機(jī)實(shí)現(xiàn)同一部門(mén)間相互通信

因業(yè)務(wù)發(fā)展需要，企業(yè)有兩個(gè)主要部門(mén)：銷(xiāo)售部和技術(shù)部。兩個(gè)部門(mén)的電腦分散在兩間辦公室及兩臺(tái)交換機(jī)上（如圖1），現(xiàn)在要求同一部門(mén)之間需要相互通信，而銷(xiāo)售部和技術(shù)部之間需要相互隔離。結(jié)果為PC1和PC3，PC2和PC4相互可以通信，其它情況則不可以通信。解決方案：在兩臺(tái)交換機(jī)上創(chuàng)建VLAN10和VLAN20，分別將端口0/1-10劃分到VLAN10，端口0/11-20劃分到VLAN20，把兩臺(tái)交換機(jī)相連的端口均設(shè)為T(mén)ag VLAN。

Tag VLAN工作原理：Tag VLAN是基于交換機(jī)端口的另外一種類型，主要用于實(shí)現(xiàn)跨交換機(jī)的相同VLAN內(nèi)主機(jī)之間可以直接訪問(wèn)，同時(shí)對(duì)于不同VLAN的主機(jī)進(jìn)行隔離。交換機(jī)在從Trunk口轉(zhuǎn)發(fā)數(shù)據(jù)前會(huì)在數(shù)據(jù)上打Tag標(biāo)簽，標(biāo)簽中的信息可以識(shí)別它們所在的VLAN，這使得所有屬于該VLAN的數(shù)據(jù)，都將在該邏輯VLAN中傳播。Trunk端口默認(rèn)是屬于交換機(jī)上所有VLAN的，但可以通過(guò)設(shè)置許可VLAN列表來(lái)加以限制。

4跨交換機(jī)實(shí)現(xiàn)不同辦公室的銷(xiāo)售人員不能相互通信

企業(yè)領(lǐng)導(dǎo)考慮到銷(xiāo)售部的特殊性，提出了新要求。希望同辦公室的銷(xiāo)售人員能相互通信，而不同辦公室的銷(xiāo)售人員由于業(yè)務(wù)需要，不能相互通信。結(jié)果為PC2和PC4不可以相互通信，但同一辦公室的銷(xiāo)售部電腦可以相互通信。解決方案：配置兩臺(tái)交換機(jī)，修改Trunk接口的許可VLAN列表。

圖1銷(xiāo)售部和技術(shù)部拓?fù)鋱D

5跨交換機(jī)實(shí)現(xiàn)兩個(gè)部門(mén)間相互通信

利用三層交換機(jī)的路由功能，實(shí)現(xiàn)不同VLAN間的互訪。采用SVI（交換虛擬接口）給接口配置IP地址的方式實(shí)現(xiàn)VLAN間互連，從而達(dá)到兩個(gè)部門(mén)的所有主機(jī)都能相互訪問(wèn)，以共享數(shù)據(jù)資源。解決方案：設(shè)置三層交換機(jī)SwitchA的VLAN間通信，并修改相應(yīng)的PC默認(rèn)網(wǎng)關(guān)。

6交換機(jī)上安全配置的實(shí)現(xiàn)過(guò)程

步驟一：在三層交換機(jī)SwitchA和二層交換機(jī)SwitchB上創(chuàng)建Vlan10和Vlan20，并分別將端口0/1-10劃分到VLAN10，端口0/ 11-20劃分到VLAN20。

Switch# configure terminal!進(jìn)入全局配置模式

Switch(config)# vlan 10!創(chuàng)建vlan 10

Switch(config-vlan)# name technical!將Vlan 10命名為technical

Switch(config-vlan)# exit

Switch(config)# vlan 20!創(chuàng)建vlan 20

Switch(config-vlan)# name sales!將Vlan 20命名為sales

Switch(config-vlan)# exit

Switch(config)# interface range fastethernet 0/1-10

Switch(config-if)# switchport access vlan 10!將0/1-10端口劃分到vlan 10

Switch(config-if)# exit

Switch(config)# interface range fastethernet 0/11-20

Switch(config-if)# switchport access vlan 20!將0/11-20端口劃分到vlan 20 Switch(config-if)# exit

步驟二：把兩臺(tái)交換機(jī)相連的端口定義為tag vlan模式。

Switch(config)# interface fastethernet 0/24

Switch(config-if)# switchport mode trunk!將f 0/24端口設(shè)置為tag vlan模式。

步驟三：設(shè)置IP地址為192.168.10.x，

驗(yàn)證同一部門(mén)的主機(jī)可以相互通信,不同部門(mén)的主機(jī)則不能通信（即PC1和PC3、PC2和PC4可相互ping通）。

步驟四：配置兩臺(tái)交換機(jī)，修改Trunk口的許可Vlan列表。

Switch(config)# interface fastethernet 0/24!將Vlan20從端口0/24中移出。

Switch(config)# switchport trunk allowed vlan remove 20

步驟五：驗(yàn)證辦公室一中銷(xiāo)售部主機(jī)（PC2）不能和辦公室二中銷(xiāo)售部主機(jī)（PC4）通信，而辦公室二中銷(xiāo)售部主機(jī)間可以相互通信。

使用no switchport trunk allowed vlan命令可以把Trunk的許可VLAN改為默認(rèn)。

利用三層交換機(jī)的路由功能實(shí)現(xiàn)兩個(gè)部門(mén)的主機(jī)都能相互訪問(wèn)。

步驟一：設(shè)置三層交換機(jī)SwitchA的VLAN間通信。

Switch(config)# interface vlan 10

Switch(config-if)# ip address 192.168.10.254 255.255.255.0

!配置虛擬接口Vlan 10的地址為：192.168.10.254

Switch(config-if)# no shutdown

Switch(config-if)# exit

Switch(config)# interface vlan 20

Switch(config-if)# ip address 192.168.20.254 255.255.255.0

!配置虛擬接口Vlan 20的地址為：192.168.20.254

Switch(config-if)# no shutdown

步驟二：將PC1和PC3的默認(rèn)網(wǎng)關(guān)設(shè)置為192.168.10.254，將PC2和PC4的默認(rèn)網(wǎng)關(guān)設(shè)置為192.168.20.254，并修改相應(yīng)主機(jī)的IP地址。驗(yàn)證不同部門(mén)間的主機(jī)可以相互PING通。

7總結(jié)

網(wǎng)絡(luò)管理員通過(guò)控制交換機(jī)的每一個(gè)端口來(lái)控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，同時(shí)VLAN和第三層的交換相結(jié)合使用為網(wǎng)絡(luò)提供較好的安全措施。利用VLAN實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離，實(shí)現(xiàn)企業(yè)部門(mén)網(wǎng)絡(luò)的高效管理，從而實(shí)現(xiàn)信息的安全共享。

參考文獻(xiàn):

[1]梁廣民,王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室路由、交換實(shí)驗(yàn)指南[ M] .北京:電子工業(yè)出版社, 2007.

[2]高峽.網(wǎng)絡(luò)設(shè)備互聯(lián)學(xué)習(xí)指南[M ].北京:科學(xué)出版社,2009, 4.