我们知道,传统的局域网Ethernet使用具有冲突检测的载波监听多路访问(CSMA/CD)方法.在CSMA/CD网络中,节点可以在他们有数据(Data)需要发送的任何时候使用网络.在节点传输数据(Data)之前,他进行"监听"以了解网络是否很繁忙.如果不能是因为,则节点开始传送数据(Data).如果网络正在使用,则节点等待.如果两个节点进行监听,没有听到任何东西,而不能是开始同时使用线路,则会出现冲突.在发送数据(Data)时,他如果使用广播地址,那么在此网段上的所有PC都将收到数据(Data)包,这样一来如果该网段PC众多,很容易引起广播风暴.而不能是冲突和广播风暴是影响网络性能的重要因素.为解决这一问题,引入了虚拟局域网(VLAN)的概念.
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作(Work)组.虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关.虚拟工作(Work)组可以包含不同位置的部门和工作(Work)组,不必在物理上重新配置任何端口(Port),真正实现了网络用户与他们的物理位置无关.虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作(Work)组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高.我们结合下面的图来看看讲下.图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中,这样,会计的数据(Data)不怎么会向市场的机器上广播,也不怎么会和市场的机器发生数据(Data)冲突.所以VLAN有效的分割了冲突域和广播域.
我们可以在交换机的某个端口(Port)上定义VLAN,所有连接到这一个特定端口(Port)的终端绝大部分的都是虚拟网络的一部分,并且整个网络可以支持多个VLAN.VLAN通过建立网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)使不必要的数据(Data)流量减至最少,隔离各个VLAN间的传输和可能会出现的基本问题,使网络吞吐量大大增加,减少了网络延迟.在虚拟网络环境中,可以通过划分不相同的虚拟网络来控制处于同一物理网段中的用户之间的通信.这样一来有效的实现了数据(Data)的保密工作(Work),而不能是且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速,简单,有效地平衡(Balance)负载流量,轻松自如地增加,彻底删除和修改用户,而不能是不必从物理上调整网络配置.既然VLAN有那么多的优点,我们为什么或者说怎么会不了解他从而不能是把VLAN技术应用到我们的现实网络管理中去呢.好的让我们通过实际的在Catalyst1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN.
设置好超级终端,连接上1900交换机后,会出现如下的主配置界面:
-------------------------------------------------
1user(s)nowactiveonManagementConsole.
UserInterfaceMenu
[M]Menus
[K]CommandLine
IPConfiguration
EnterSelection:
我们简单介绍下,这儿显示了三个选项,[M]Menus是主菜单,主要是交换机的初始配置和监控交换机的运行状况.[K]CommandLine是系统命令行,很像(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)里面用系统命令来配置和监控(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)一样,主要是通过系统命令来操作.IPConfiguration是配置IP地址,子网掩码和默认网管的一个选项.这是第一次连上交换机显示的界面,如果您已经配置好了IPConfiguration,那么下次登陆的时候将没有这一个选项.因为用系统命令配置简洁明了,清晰易懂,所以我们通过[K]CommandLine来实现VLAN的配置的.
设置好超级终端,连接上1900交换机后,会出现如下的主配置界面:
-------------------------------------------------
1user(s)nowactiveonManagementConsole.
UserInterfaceMenu
[M]Menus
[K]CommandLine
IPConfiguration
EnterSelection:
我们简单介绍下,这儿显示了三个选项,[M]Menus是主菜单,主要是交换机的初始配置和监控交换机的运行状况.[K]CommandLine是系统命令行,很像(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)里面用系统命令来配置和监控(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)一样,主要是通过系统命令来操作.IPConfiguration是配置IP地址,子网掩码和默认网管的一个选项.这是第一次连上交换机显示的界面,如果您已经配置好了IPConfiguration,那么下次登陆的时候将没有这一个选项.因为用系统命令配置简洁明了,清晰易懂,所以我们通过[K]CommandLine来实现VLAN的配置的.
我们选择(Choose)[K]CommandLine,进入系统命令行配置:
EnterSelection:K回车
CLIsessionwiththeswitchisopen.
ToendtheCLIsession,enter[Exit].
>
现在我们进入到了交换机的普通用户模式,就像(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的系统命令很有限.我们输入enable,进入特权模式:
>enable
#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z
(config)#
为了安全和方便起见,我们给这一个交换机起个名字,并且设置登陆密码.
(config)#hostname1900Switch
1900Switch(config)#enablepasswordlevel15goodwork
1900Switch(config)#
注意:密码必须是4-8位的字符.交换保密码的设置和(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)稍微不同,交换机用level级别的大小来决定密码的权限.Level1是进入系统命令行界面的密码,也就是说,设置了level1的密码后,您下次连上交换机,并输入K后,就会让您输入密码,这一个密码就是level1设置的密码.而不能是level15是您输入了enable系统命令后让您输入的特权模式密码.(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)里面是使用enablepassword和enablescreet做此区分的.
好啦,我们已经设置好了名字和密码这样就足够安全了,让我们设置VLAN.VLAN的设置分以下2步:
设置VLAN名称
应用到端口(Port)
我们先设置VLAN的名称.使用vlanvlan号namevlan名称.在特权配置模式下进行配置:
1900Switch(config)#vlan2nameaccounting
1900Switch(config)#vlan3namemarketing
我们新配置了2个VLAN,为什么或者说怎么会VLAN号从2开始呢?这是因为默认情况下,所有的端口(Port)否放在VLAN1上,所以要从2开始配置.1900系列的交换机最多可以配置1024个VLAN,但是,只能有64个同时工作(Work),当然了,这是理论上的,我们应该根据自己网络的实际需要来规划VLAN的号码.配置好了VLAN名称后我们要进入每一个端口(Port)来设置VLAN.在交换机中,要进入某个端口(Port)譬如说第4个端口(Port),要用interfaceEthernet0/4,好的,结合上面给出的图我们让端口(Port)II.III.4和5属于VLAN2,端口(Port)17---22属于VLAN3.系统命令是vlan-membershipstatic/dynamicVLAN号.静态的或者是动态的两者必须选择(Choose)一个,后面是刚才配置的VLAN号.好的,我们看结果:
1900Switch(config)#interfaceethernet0/2
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/3
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/4
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/5
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/17
1900Switch(config-if)#vlan-membershipstatic3
…………
1900Switch(config-if)#inte0/22
1900Switch(config-if)#vlan-membershipstatic3
1900Switch(config-if)#
好的,我们已经把VLAN都定义到了交换机的端口(Port)上了.这儿,我们只是配置的静态的,关于动态的,我们在后面会有提及的.到现在为止,我们已经把交换机的VLAN配置好了,如何,没有您想像的那么复杂吧.为了验证我们的配置,我们在特权模式使用showvlan系统命令.输出如下:
1900Switch(config)#showvlan
VLANNameStatusPorts
--------------------------------------
1defaultEnabled1,6-16,22-24,AUI,A,B
2accontingEnabled2-5
3marketingEnabled17-22
1002fddi-defaultSuspended
1003token-ring-defauSuspended
1004fddinet-defaultSuspended
1005trnet-defaultSuspended
这是一个24口的交换机,并且带有AUI和两个100兆端口(Port)(A,B),可以看出来,我们的设置已经正常工作(Work)了,什么,还要不要保存runningconfigure?当然不用了,交换机是即时自动保存的,所以不用我们使用系统命令来保存设置了.当然了,您也可以使用showvlanvlan号的系统命令来查看某个VLAN,譬如showvlan2,showvlanIII.还可以使用showvlan-membership,改系统命令主要是显示交换机上的每一个端口(Port)静态或者是动态的属于哪个VLAN.
以上是给交换机配置静态VLAN的过程,下面我们看看动态的VLAN.动态的VLAN形成很简单,由端口(Port)自己决定他属于哪个VLAN时,就形成了动态的VLAN.不过,这并不意味着就一层不变了,他只是一个简单的映射,这一个映射取决于网络管理员创建的数据(Data)库.分配给动态VLAN的端口(Port)被激活后,交换机就缓存初始帧的源MAC地址,随后,交换机便向一个称为VMPS(VLAN管理策略服务器(Server))的外部服务器(Server)发出请求,VMPS中包含一个文本文件,文件中存有进行VLAN映射的MAC地址.交换机对这一个文件进行下载,然后对文件中的MAC地址进行校验.如果在文件列表中找到MAC地址,交换机就将端口(Port)分配给列表中的VLAN.如果列表中没有MAC地址,交换机就将端口(Port)分配给默认的VLAN(假设已经定义默认了VLAN).如果在列表中没有MAC地址,而不能是且也没有定义默认的VLAN,端口(Port)不怎么会被激活.这是维护网络安全一种非常好的的方法.从表面上看,动态VLAN的优势很大,但他也有致命的缺点,即创建数据(Data)库是一项非常艰苦而不能是且非常繁琐的工作(Work).如果网络上有数千个工作(Work)站,则有大量的输入工作(Work)要做.即使有人能胜任这项工作(Work),也还可能会出现与动态的VLAN有关的很多很多问题.另外,保持数据(Data)库为最新也是要随时进行的非常费时的工作(Work).所以不经常用到他,这里我们就不做详细的讲解,可以参考相关的CISCO的文档资料.
这么样,没有您想像的那么复杂吧.我们已经把VLAN配置好了,那么VLAN的另一部分不容忽视的工作(Work),就是前期的对网络的规划.就是说,哪些机器在一个VLAN中,各自的IP地址,子网掩码如何分配,以及VLAN之间互相通讯的基本问题.只有规划计划好了,才能够在配置和以后的使用维护过程当中轻松省事.
好东西,我正需要,
顶一下!
谢~我是新手正好学习了
好东西.
呵呵.不错.我的系统命令都忘得差不多了..
上上论谈,受益不少
谢阿!
var tagarray =['软件(soft)','网络','工具','操作操作系统','
网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(264935);
