虚拟局域网在防止广播风暴、提高网络安全性、提高局域网性能等方面有非常好的表现。但是如何管理不好的话,仍然会给用户造成一定的麻烦。如有可能用户设置了多个虚拟局域网,但是却发现彼此之间不能够访问等等。其实企业如果设置了多个虚拟局域网,他们之间能否相互访问全部都是由Trunk来负责控制的。如果用户发现只有同一个Vlan中的计算机能够相互访问,而无法实现与其他交换机同一Vlan的计算机的相互访问,那么就有可能是Trunk没有建立或者配置不当引起的。在这篇文章中,笔者就以两个实例,“如何允许不同Vlan之间相互通信”和“如何限制某个Vlan同其他Vlan的访问”,来谈谈Trunk配置的技巧以及相关注意事项。
一、让不同的Vlan可以相互通信
当企业网路被划分成两个或者两个以上的Vlan时,通常情况下彼此之间不能够相互访问。而是需要建立Trunk,才能够使得不同交换机之间的Vlan能够借助于一条链路进行通信。那么该如何配置呢?默认情况下,第二层接口自动处于动态的Switchport模式,相邻接口都处于这个动态匹配模式或者Trunk模式时,这个链路就会作为Trunk。否则的话,就需要进行手工的调整。不过具体的配置也比较简单。通过如下几个步骤就可以完成。
***步:对接口进行相关的设置。
要调整接口的模式,则需要进入到全局配置模式下进行配置,并指定想要配置的接口。完成这些工作主要需要用到以下命令。
configure terminal --进入到全局配置模式。
interface interface-id –指定想要配置的接口。
在调整接口模式的时候有一个技巧。通常是将接口配置为第二层的trunk.。如果接口是第二层访问接口或者已经被指定为trunk模式的时候,需要用到命令dynamic auto。如果相邻接口已经被设置为trunk或者desirable模式的时候,这需要将这个接口设置为trunk连接。如果相邻接口已经设置为trunk、desirable或者auto模式的时候,则可以将接口设置为trunk连接。如果管理员不知道相邻接口的工作模式,或者想强制建立trunk连接,则可以使用trunk命令。这个命令将接口设置为***的turnk模式。此时即使相邻接口不是trunk接口,系统也会自动协商将连接转换为Trunk连接。在这段文字中,笔者多次提到了相邻接口。那么什么是相邻接口呢?这里的相邻接口指的是借助于双绞线或者光纤等传输介质连接在一起的两个端口。笔者建议,为了后续配置的方便,***将相关接口工作模式都配置为auto。然后在有必要的情况下对特定的接口做出限制。即先允许相互访问。然后再对有需要的局域网做出相关的限制。
第二步:指定默认的虚拟局域网Vlan。即当某个Trunk不能够使用之后,系统会启用哪一个Vlan虚拟局域网。在配置这个默认虚拟局域网的时候主要要注意两点。一是可以只指定某个特定的虚拟局域网,也可以指定一个范围。具体情况要看企业的实际情况。笔者的建议是,指定一个范围为好。二是这个设置是可选的。让用户不做相关的配置时,其默认的虚拟局域网一般是一个单个的虚拟局域网。笔者认为管理员还是要对此进行配置,尽量不要采用默认的设置。***需要注意访问Vlan虚拟局域网不能够作为本地Vlan使用。在这一步配置中,需要使用的命令为:switchport access vlan vlan_id。
第三步:将Vlan与Trunk链路进行关联。进行完如上配置后,还需要将Vlan与刚才建立的Trunk链路进行关联。否则的话,系统怎么知道Trunk需要将哪两个Vlan连接起来呢?故需要为Trunk指定本地的虚拟局域网。如果不指定本地的虚拟局域网,系统也会给其一个默认的值。默认情况下,将使用Vlan1。网络管理员需要根据实际情况对这个参数进行更改,以满足用户的实际需要。
第四步:进行测试。***网络管理员就需要退回到特权配置模式(利用end命令),并利用show interface switchport 或者show interface trunk等命令查看相关的配置,看其配置是否准确。配置完成后,网络管理员还需要利用ping等命令进行测试,以确定各个虚拟局域网之间能够相互访问。
二、限制用户不能够访问某个特定的Vlan
在实际工作中,出于安全的需要,可能并不允许多个Vlan之间能够相互访问。当然也不是都不能能访问。如现在有A、B、C三个Vlan。用户现在想要实现,B、C两个虚拟局域网可以相互访问。而A能够访问B、C,B、C则不能够访问虚拟局域网。因为A中可能存储着比较机密的资料。遇到这种需求可以实现吗?答案当然是肯定的。
在默认状体下,Trunk端口允许所有的Vlan发送和接口传输信息。如果用户有如上的需求,则也可以调整相关的配置,来拒绝某些Vlan通过Trunk来传输。其配置主要有两个目标,一是限制其他Vlan对其访问,既限制B、C访问自A。二是限制自己对其他Vlan的访问,即限制A访问B、C。虽然两者可以达到相同的效果,但是配置的工作量是不同的。
***步:对相关接口进行配置。首先跟前面接受的一样,需要对相关的接口进行配置。如需要先进入到全局配置模式(configure terminal);然后指定想要配置的接口(inerface inerface_id );然后将这个接口配置为trunkd端口(switchport mode trunk)。
第二步:配置trunk上允许或则禁止通信的列表。这个列表跟思科网络设备的访问控制列表类似。管理员可以在这个列表中添加允许通信的虚拟局域网、或者直接选择全部;当然也可以选择禁止通信的虚拟局域网。注意这里定义的Vlan列表可以使一个Vlan,也可以是一个Vlan组。在配置时,还需要注意一点,如同同时输入多个Vlan号码的时候,中间不要使用空格。否则的话,这个列表就无法正确识别Vlan。
第三步:返回到特权配置模式,并利用命令查看刚才的配置是否准确。如果准确的就保存相关的配置,然后进行必要的测试。这里需要注意一点,即在保存相关的配置之前,要确保原有的配置已经有了备份。万一测试的时候发现配置有问题,就可以通过恢复原有配置来迅速排除故障。
在进行如上配置的时候,笔者认为关键的问题在于管理员需要了解清楚用户的需求。其到底是想允许访问呢,还是禁止访问敏感数据。如果有限制的话,那么需要考虑的是实现的途径。即是通过“A禁止其他Vlan访问”方式还是通过“B、C禁止访问A”来实现。两种方式虽然有异曲同工之妙,但是由于用户的环境不同,其配置与管理的工作量也有差异。
三、Trunk链路的快速排错建立
无论是允许虚拟网之间相互访问,还是添加某些限制。如果设置不当的话,往往不能够达到管理员想要达到的预期结果。有时候反而会将事情弄得越来越糟。当Trunk链路出现故障的时候,排错需要比较长的时间,而且也需要有比较专业的人员。为此给大家分享一个快速排错的方法。在Trunk配置完成之后或者对此进行调整之前先对相关的配置做好备份。然后当出现问题且难以发现问题原因的时候,可以将接口恢复为默认值(可以使用default inerface inerface-id来恢复接口的默认值)。或者可以使用no switchport trunk接口配置命令让接口中所有特征恢复为默认值,等等。先恢复为默认设置,然后再根据原有的资料进行重新配置。因为交换机就那么几个相邻接口,故与查找问题原因相比起来,有时候重新配置反而更加的节省时间。
