目标
虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下,可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。
运行多个协议的网络设备不能分组到通用VLAN。非标准设备用于在不同VLAN之间传递流量,以便包括参与特定协议的设备。因此,用户无法利用VLAN的许多功能。
VLAN组用于对第2层网络上的流量进行负载均衡。数据包根据不同的分类进行分配,并分配给VLAN。存在许多不同的分类,如果定义了多个分类方案,则按以下顺序将数据包分配给VLAN:
- 标记 — 从标记中识别VLAN编号。
- 基于MAC的VLAN — 从入口接口的源介质访问控制(MAC)到VLAN映射识别VLAN。要了解如何配置此功能,请单击此处获取说明。
- 基于子网的VLAN — 从入口接口的源IP子网到VLAN映射中识别VLAN。
- 基于协议的VLAN — 从入口接口的以太网类型协议到VLAN的映射中识别VLAN。要了解如何配置此功能,请单击此处获取说明。
- PVID — 从端口默认VLAN ID识别VLAN。
基于子网的组VLAN分类使数据包能够根据其子网进行分类。然后,您可以为每个接口定义子网到VLAN的映射。您还可以定义多个基于子网的VLAN组,每个组包含不同的子网。这些组可以分配给特定端口或LAG。基于子网的VLAN组不能在同一端口上包含重叠的子网范围。
本文介绍如何在Cisco Business 350系列交换机上配置基于子网的组。
适用设备 |软件版本
在交换机上配置基于子网的VLAN组
添加基于子网的VLAN组
第 1 步
登录到基于Web的实用程序并从“显示模式”下拉列表中选择“高级”。
步骤 2
单击VLAN Management。
步骤 3
单击VLAN Groups > Subnet-Based Groups。
步骤 4
在基于子网的组表中,单击添加图标。
步骤 5
- 在IP Address字段中输入要分配给VLAN组的IP地址。这是子组的基础。
- 在前缀最大字段中输入定义子网的前缀掩码。
- 在Group ID字段中,输入ID以标识基于子网的VLAN组。用于标识基于子网的VLAN组。
步骤 6
单击“Apply(应用)” ,然后单击“Close(关闭)”。
步骤 7
单击Save将设置保存到启动配置文件。
现在,您应该已在交换机上添加基于子网的VLAN组。
删除基于子网的VLAN组
第 1 步
选择VLAN Groups > Subnet-Based Groups。
步骤 2
在基于子网的组表中,选中要删除的基于子网的VLAN组旁边的框。单击垃圾桶图标删除基于子网的VLAN组。
步骤 3
单击保存图标将设置保存到启动配置文件。
基于子网的VLAN组现在应已从您的交换机中删除。
现在,您应该已在交换机上配置了基于子网的VLAN组。若要了解如何将基于子网的组映射到VLAN,请单击此处获取说明。
有关思科业务交换机的VLAN的详细信息?有关详细信息,请查看以下任何链接。
文章框架(含内容)
目标
基于子网的组VLAN分类使数据包能够根据其子网进行分类。然后,您可以为每个接口定义子网到VLAN的映射。您还可以定义多个基于子网的VLAN组,每个组包含不同的子网。这些组可以分配给特定端口或LAG。基于子网的VLAN组不能在同一端口上包含重叠的子网范围。
根据数据包的IP子网转发数据包需要设置IP子网组,然后将这些组映射到VLAN。本文介绍如何通过CLI在交换机上配置基于子网的组。
适用设备 |软件版本
简介
虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下,可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。
要了解如何通过基于Web的实用程序在交换机上配置VLAN设置,请单击此处。有关基于CLI的说明,请单击此处。
运行多个协议的网络设备不能分组到通用VLAN。非标准设备用于在不同VLAN之间传递流量,以便包括参与特定协议的设备。因此,您无法利用VLAN的许多功能。
VLAN组用于对第2层网络上的流量进行负载均衡。数据包根据不同的分类进行分配,并分配给VLAN。存在许多不同的分类,如果定义了多个分类方案,则按以下顺序将数据包分配给VLAN:
- 标记 — 从标记中识别VLAN编号。
- 基于MAC的VLAN — 从入口接口的源介质访问控制(MAC)到VLAN映射识别VLAN。
- 基于子网的VLAN — 从入口接口的源子网到VLAN映射中识别VLAN。
- 基于协议的VLAN — 从入口接口的以太网类型协议到VLAN的映射中识别VLAN。
- PVID — 从端口默认VLAN ID识别VLAN。
要在交换机上配置基于子网的VLAN组,请遵循以下准则:
1. 创建 VLAN。要了解如何通过基于Web的实用程序在交换机上配置VLAN设置,请单击此处。有关基于CLI的说明,请单击此处。
2.配置VLAN的接口。有关如何通过交换机的基于Web的实用程序将接口分配给VLAN的说明,请单击此处。有关基于CLI的说明,请单击此处。
如果接口不属于VLAN,则基于子网的VLAN配置设置将不会生效。
3.配置基于子网的VLAN组。有关如何通过交换机的基于Web的实用程序配置基于子网的VLAN组的说明,请单击此处。
4.(可选)您还可以配置以下内容:
基于MAC的VLAN组概述 — 有关如何通过交换机的基于Web的实用程序配置基于子网的VLAN组的说明,请单击此处。有关基于CLI的说明,请单击此处。
基于协议的VLAN组概述 — 有关如何通过交换机的基于Web的实用程序配置基于协议的VLAN组的说明,请单击此处。有关基于CLI的说明,请单击此处。
通过CLI在交换机上配置基于子网的VLAN组
创建基于子网的VLAN组
第 1 步
登录到交换机控制台。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码,请改为输入凭证。
命令可能因交换机的确切型号而异。
步骤 2
在交换机的特权执行模式下,输入以下命令进入全局配置模式:
CBS350#configure
步骤 3
在全局配置模式下,输入以下命令,配置基于子网的分类规则:
CBS350(config)#vlan database
步骤 4
要将IP子网映射到一组IP子网,请输入以下命令:
CBS350(config)#map subnet [ip-address] [prefix-mask] subnets-group [group-id]
选项有:
- ip-address — 指定要映射到VLAN组的子网的IP地址。此IP地址不能分配给任何其他VLAN组。
- prefix-mask — 指定IP地址的前缀。只查看IP地址的一部分(从左到右),然后放入组中。长度数值越低,查看的位就越少。这意味着您可以一次为VLAN组分配大量IP地址。
- group-id — 指定要创建的组编号。组ID的范围可以是1到2147483647。
在本例中,创建了基于子网的VLAN组10和20。组10过滤前24位或三个二进制八位数(192.168.100.x),而组20过滤IP地址的前16位或两个二进制八位数(192.168.x.x)。
步骤 5
要退出接口配置上下文,请输入以下命令:
CBS350(config)#exit
您现在应该已通过CLI在交换机上配置基于子网的VLAN组。
将基于子网的VLAN组映射到VLAN
第 1 步
在全局配置模式下,输入以下命令,进入接口配置情景:
CBS350#[interface-id | range interface-range]
选项有:
- interface-id — 指定要配置的接口ID。
- range interface-range — 指定VLAN列表。用逗号和空格分隔非连续VLAN。使用连字符指定VLAN范围。
步骤 2
在接口配置情景中,使用switchport mode命令配置VLAN成员模式:
CBS350(config-if)#switchport mode general
- 常规 — 接口可支持IEEE 802.1q规范中定义的所有功能。接口可以是一个或多个VLAN的有标记或无标记成员。
步骤 3(可选)
要将端口恢复为默认VLAN,请输入以下命令:
CBS350(config-if)#no switchport mode general
步骤 4
要配置基于子网的分类规则,请输入以下命令:
CBS350(config-if)#switchport general map subnets-group [group] vlan [vlan-id]
选项有:
- group — 指定用于过滤通过端口的流量的基于子网的组ID。范围从1到2147483647。
- vlan-id — 指定VLAN组中的流量转发到的VLAN ID。范围为1到4094。
在本例中,接口被分配到映射到VLAN 30的基于子网的组10。
步骤 5
要退出接口配置上下文,请输入以下命令:
CBS350(config-if)#exit
步骤 6(可选)
要从端口或端口范围删除分类规则,请输入以下命令:
CBS350(config-if)#no switchport general map subnets-groups group
步骤 7(可选)
重复步骤1至6以配置更多常规端口并分配给相应的基于子网的VLAN组。
在本例中,从ge1/0/20到25的接口被分配给基于子网的组20,并分配给VLAN 30。
步骤 8
输入end命令返回特权执行模式:
CBS350(config-if-range)#end
现在,您应该已通过CLI将基于子网的VLAN组映射到交换机上的VLAN。
显示基于子网的VLAN组
第 1 步
要显示属于已定义的基于子网的分类规则的子网地址,请在特权EXEC模式下输入以下命令:
CBS350#show vlan subnets-groups
步骤 2(可选)
要显示VLAN上特定端口的分类规则,请输入以下命令:
CBS350#show interfaces switchport [interface-id]
每个端口模式都有其自己的专用配置。
show interfaces switchport命令显示所有这些配置,但只有与“管理模式”区域中显示的当前端口模式对应的端口模式配置处于活动状态。
在本例中,显示了接口ge1/0/20的管理和运行状态。分类规则表显示接口已映射到基于MAC的VLAN组2和基于子网的VLAN组20,流量将转发到VLAN 30。
步骤 3(可选)
在交换机的特权执行模式下,输入以下命令,将配置的设置保存到启动配置文件:
CBS350#copy running-config startup-config
步骤 4
出现“Overwrite file [startup-config]...(覆盖文件[启动配置]...)”提示后,在键盘上按“Y”(是)或“N(否)”(N)(否))。
现在,您应该已经在交换机上显示了基于子网的VLAN组和端口配置设置。
重要信息:要继续在交换机上配置VLAN组设置,请遵循上述指南。
有关思科业务交换机的VLAN的详细信息?有关详细信息,请查看以下任何链接。
反馈