VLAN允许您将LAN逻辑地划分到不同的广播域。在敏感数据可以在网络上广播的情况下,可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。
本文档旨在向您展示如何通过CBS250和CBS350系列托管交换机上的命令行界面(CLI)配置基本VLAN。
步骤1.登录交换机的命令行界面(CLI)。
步骤1.输入以下命令创建VLAN:
命令 | 目的 |
config | 进入配置模式。 |
VLAN 数据库 | 进入VLAN数据库模式。 |
vlan <ID> | 使用指定的ID创建新VLAN。 |
结束 | 退出配置模式。 |
以下屏幕截图显示创建ID为200的VLAN所需的步骤。
步骤2.(可选)输入以下命令以显示VLAN信息:
命令 | 目的 |
show vlan | 显示VLAN信息。 |
注意:VLAN信息表会因您使用的交换机类型而异。例如,SF类型的交换机可能具有Type和Authorization字段,而不是Creators字段。由于不同的交换机具有不同的端口类型和编号方案,Ports字段也会有所不同。
系统将显示已创建的VLAN:
注意:VLAN 1是默认VLAN,默认情况下包括交换机上所有可能的端口。使用gi编号的端口是千兆以太网(单个链路)。 使用fa编号的端口是快速以太网(单个链路)。 使用Po编号的端口是端口通道(一组以太网链路)。
创建VLAN后,您需要将端口分配到相应的VLAN。您可以使用switchport命令配置端口,并指定端口应处于访问模式还是中继模式。
端口模式定义如下:
·访问 — 接口上收到的帧被假定没有VLAN标记,并被分配给命令指示的VLAN。接入端口主要用于主机,并且只能传输单个VLAN的流量。
·中继 — 接口上收到的帧被假定具有VLAN标记。中继端口用于交换机或其他网络设备之间的链路,并且能够传输多个VLAN的流量。
注意:默认情况下,所有接口都处于中继模式,这意味着它们可以传输所有VLAN的流量。
步骤1.输入以下命令以配置接入端口:
命令 | 目的 |
conf t | 进入配置模式。 |
int <port number> | 进入指定端口号的接口配置模式。千兆以太网、快速以太网和端口通道有效。 |
switchport mode access | 将接口设置为非中继无标记单VLAN以太网接口。接入端口只能在一个VLAN中传输流量。 |
switchport access vlan <ID> | 指定此接入端口将为其传输流量的VLAN。 |
no shut | 打开(启用)端口。 |
结束 | 退出配置模式。 |
以下屏幕截图显示将千兆以太网端口(gi2)配置为接入端口并将其分配给VLAN 200所需的步骤。
步骤2.(可选)输入show vlan 命令查看分配的端口。
步骤3.输入以下命令以配置中继端口并指定指定中继上仅允许某些VLAN:
命令 | 目的 |
conf t | 进入配置模式。 |
int <port number> | 进入指定端口号的接口配置模式。千兆以太网、快速以太网和端口通道有效。 |
switchport mode trunk | 使指定的端口号感知所有VLAN。 |
switchport trunk allowed vlan add <ID> | 使端口成为指定VLAN ID中的成员,并为其提供出口规则:已标记。这意味着当数据包离开此端口到设备时,会使用VLAN ID进行标记。 |
no shut | 打开(启用)端口。 |
结束 | 退出配置模式。 |
注意:在中继模式下,默认允许所有VLAN。使用switchport trunk allowed vlan add命令可以配置中继上允许的VLAN。
以下屏幕截图显示将千兆以太网端口(gi3)设置为中继端口并将其添加到VLAN 200所需的步骤:
步骤4.(可选)输入show vlan 命令查看更改。
步骤5.(可选)输入以下命令以显示有关端口的信息:
命令 | 目的 |
show interfaces switchport <port number> | 显示指定端口的VLAN成员、出口规则和禁止的VLAN等信息。 |