俞丹

摘要：該文介紹了跨交換機實現(xiàn)VLAN間通信的工作原理；以企業(yè)銷售部和技術部為研究應用對象，根據(jù)工作中的實際情況提出一些通信方案；最后給出交換機的管理與配置方法。

關鍵詞：交換機；VLAN；通信

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)07-1532-02

The Application of Achieve the Different VLAN Communication on Multi Switches

YU Dan

(School of Changshu, Jiangsu Radio and TV University, Changshu 215500, China)

Abstract: This paper introduces the realization of achieve the different VLAN communication on multi switches, With sales and technology of the enterprise application object, according to the work of actual puts forward some communication solution, Finally given the configuration management methods of switches.

Key word: switch; VLAN; communication

隨著網(wǎng)絡應用的普及深入，企業(yè)信息化已被越來越重視，網(wǎng)絡管理也被廣泛的應用到企業(yè)日常工作、管理中。擁有高效、安全、靈活的企業(yè)網(wǎng)不僅可以讓網(wǎng)絡設備得到充分的利用，共享許多資源，提高網(wǎng)絡性能；更可以讓企業(yè)的工作效率事半功倍，提高經(jīng)濟效益。VLAN（虛擬局域網(wǎng)），它是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段的技術，具有高速、靈活、管理簡便和擴展容易的特點。

1 VLAN內(nèi)及VALN間通信

在交換機上劃分VALN后，可以隔離廣播域，減小沖突域，這不但提高了網(wǎng)絡的性能、安全，而且給網(wǎng)絡管理員帶來很大的便利。在一般的二層交換機組成的網(wǎng)絡中，VLAN實現(xiàn)了網(wǎng)絡流量的分割，不同的VLAN間是不能互相通信的。如果要實現(xiàn)VLAN間的通信必須借助路由來實現(xiàn)。

2利用三層交換機實現(xiàn)VLAN間通信

三層交換機，就是帶有路由功能的二層交換機。它把第二層交換機和第三層路由器兩者的優(yōu)勢有機而智能化地結合起來，可在各個層次提供線速性能。在一臺三層交換機內(nèi)，分別設置了交換機和路由模塊；而內(nèi)置的路由模塊與交換模塊類似。因此，與傳統(tǒng)的路由器相比，可以實現(xiàn)高速路由，來完成VLAN間通信。

3企業(yè)銷售部和技術部現(xiàn)狀分析

一、跨交換機實現(xiàn)同一部門間相互通信

因業(yè)務發(fā)展需要，企業(yè)有兩個主要部門：銷售部和技術部。兩個部門的電腦分散在兩間辦公室及兩臺交換機上（如圖1），現(xiàn)在要求同一部門之間需要相互通信，而銷售部和技術部之間需要相互隔離。結果為PC1和PC3，PC2和PC4相互可以通信，其它情況則不可以通信。解決方案：在兩臺交換機上創(chuàng)建VLAN10和VLAN20，分別將端口0/1-10劃分到VLAN10，端口0/11-20劃分到VLAN20，把兩臺交換機相連的端口均設為Tag VLAN。

Tag VLAN工作原理：Tag VLAN是基于交換機端口的另外一種類型，主要用于實現(xiàn)跨交換機的相同VLAN內(nèi)主機之間可以直接訪問，同時對于不同VLAN的主機進行隔離。交換機在從Trunk口轉發(fā)數(shù)據(jù)前會在數(shù)據(jù)上打Tag標簽，標簽中的信息可以識別它們所在的VLAN，這使得所有屬于該VLAN的數(shù)據(jù)，都將在該邏輯VLAN中傳播。Trunk端口默認是屬于交換機上所有VLAN的，但可以通過設置許可VLAN列表來加以限制。

4跨交換機實現(xiàn)不同辦公室的銷售人員不能相互通信

企業(yè)領導考慮到銷售部的特殊性，提出了新要求。希望同辦公室的銷售人員能相互通信，而不同辦公室的銷售人員由于業(yè)務需要，不能相互通信。結果為PC2和PC4不可以相互通信，但同一辦公室的銷售部電腦可以相互通信。解決方案：配置兩臺交換機，修改Trunk接口的許可VLAN列表。

圖1銷售部和技術部拓撲圖

5跨交換機實現(xiàn)兩個部門間相互通信

利用三層交換機的路由功能，實現(xiàn)不同VLAN間的互訪。采用SVI（交換虛擬接口）給接口配置IP地址的方式實現(xiàn)VLAN間互連，從而達到兩個部門的所有主機都能相互訪問，以共享數(shù)據(jù)資源。解決方案：設置三層交換機SwitchA的VLAN間通信，并修改相應的PC默認網(wǎng)關。

6交換機上安全配置的實現(xiàn)過程

步驟一：在三層交換機SwitchA和二層交換機SwitchB上創(chuàng)建Vlan10和Vlan20，并分別將端口0/1-10劃分到VLAN10，端口0/ 11-20劃分到VLAN20。

Switch# configure terminal!進入全局配置模式

Switch(config)# vlan 10!創(chuàng)建vlan 10

Switch(config-vlan)# name technical!將Vlan 10命名為technical

Switch(config-vlan)# exit

Switch(config)# vlan 20!創(chuàng)建vlan 20

Switch(config-vlan)# name sales!將Vlan 20命名為sales

Switch(config-vlan)# exit

Switch(config)# interface range fastethernet 0/1-10

Switch(config-if)# switchport access vlan 10!將0/1-10端口劃分到vlan 10

Switch(config-if)# exit

Switch(config)# interface range fastethernet 0/11-20

Switch(config-if)# switchport access vlan 20!將0/11-20端口劃分到vlan 20 Switch(config-if)# exit

步驟二：把兩臺交換機相連的端口定義為tag vlan模式。

Switch(config)# interface fastethernet 0/24

Switch(config-if)# switchport mode trunk!將f 0/24端口設置為tag vlan模式。

步驟三：設置IP地址為192.168.10.x，

驗證同一部門的主機可以相互通信,不同部門的主機則不能通信（即PC1和PC3、PC2和PC4可相互ping通）。

步驟四：配置兩臺交換機，修改Trunk口的許可Vlan列表。

Switch(config)# interface fastethernet 0/24!將Vlan20從端口0/24中移出。

Switch(config)# switchport trunk allowed vlan remove 20

步驟五：驗證辦公室一中銷售部主機（PC2）不能和辦公室二中銷售部主機（PC4）通信，而辦公室二中銷售部主機間可以相互通信。

使用no switchport trunk allowed vlan命令可以把Trunk的許可VLAN改為默認。

利用三層交換機的路由功能實現(xiàn)兩個部門的主機都能相互訪問。

步驟一：設置三層交換機SwitchA的VLAN間通信。

Switch(config)# interface vlan 10

Switch(config-if)# ip address 192.168.10.254 255.255.255.0

!配置虛擬接口Vlan 10的地址為：192.168.10.254

Switch(config-if)# no shutdown

Switch(config-if)# exit

Switch(config)# interface vlan 20

Switch(config-if)# ip address 192.168.20.254 255.255.255.0

!配置虛擬接口Vlan 20的地址為：192.168.20.254

Switch(config-if)# no shutdown

步驟二：將PC1和PC3的默認網(wǎng)關設置為192.168.10.254，將PC2和PC4的默認網(wǎng)關設置為192.168.20.254，并修改相應主機的IP地址。驗證不同部門間的主機可以相互PING通。

7總結

網(wǎng)絡管理員通過控制交換機的每一個端口來控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，同時VLAN和第三層的交換相結合使用為網(wǎng)絡提供較好的安全措施。利用VLAN實現(xiàn)網(wǎng)絡的安全隔離，實現(xiàn)企業(yè)部門網(wǎng)絡的高效管理，從而實現(xiàn)信息的安全共享。

參考文獻:

[1]梁廣民,王隆杰.思科網(wǎng)絡實驗室路由、交換實驗指南[ M] .北京:電子工業(yè)出版社, 2007.

[2]高峽.網(wǎng)絡設備互聯(lián)學習指南[M ].北京:科學出版社,2009, 4.