通过CLI在交换机上配置专用VLAN成员设置

简介

虚拟局域网(VLAN)允许您将局域网(LAN)逻辑分段到不同的广播域。在敏感数据可以在网络上广播的情况下，可以创建VLAN来通过将广播指定给特定VLAN来增强安全性。只有属于VLAN的用户才能访问和操作该VLAN上的数据。VLAN还可以通过减少向不必要目的地发送广播和组播的需求来增强性能。

注意：要了解如何通过基于Web的实用程序在交换机上配置VLAN设置，请单击此处。有关基于CLI的说明，请单击此处。

专用VLAN域由一对或多对VLAN组成。主VLAN组成域；每个VLAN对组成一个子域。一对中的VLAN称为主VLAN和辅助VLAN。专用VLAN中的所有VLAN对具有相同的主VLAN。辅助VLAN ID是区分一个子域与另一个子域的原因。

专用VLAN域只有一个主VLAN。专用VLAN域中的每个端口都是主VLAN的成员；主VLAN是整个专用VLAN域。

辅助VLAN在同一专用VLAN域内的端口之间提供隔离。以下两种类型是主VLAN中的辅助VLAN:

• 隔离VLAN — 隔离VLAN中的端口无法在第2层级直接相互通信。
• 社区VLAN — 社区VLAN中的端口可以相互通信，但无法与其他社区VLAN或第2层任何隔离VLAN中的端口通信。

在专用VLAN域中，有三个独立的端口标识。每个端口标识都有自己的一组唯一规则，这些规则规范了一个终端与同一专用VLAN域内的其他相连终端通信的能力。以下是三个端口标识：

• 混杂 — 混杂端口可以与同一专用VLAN的所有端口通信。这些端口连接服务器和路由器。
• 社区（主机） — 社区端口可以定义同一第2层域中的一组端口。它们在第2层与其他社区和隔离端口隔离。这些端口连接主机端口。
• 隔离（主机） — 隔离端口与同一专用VLAN中的其他隔离端口和社区端口具有完全的第2层隔离。这些端口连接主机端口。

主机流量在隔离VLAN和社区VLAN上发送，而服务器和路由器流量在主VLAN上发送。

目标

专用VLAN在端口之间提供第2层隔离。这意味着在桥接流量级别，与IP路由不同，共享同一广播域的端口无法相互通信。专用VLAN中的端口可以位于第2层网络的任何位置，这意味着它们不必位于同一台交换机上。专用VLAN用于接收无标记或优先级标记的流量并传输无标记流量。

本文提供有关如何在交换机上配置专用VLAN设置的说明。

注意：要使用交换机的基于Web的实用程序配置专用VLAN，请单击此处。

适用设备

• Sx300系列
• Sx350 系列
• SG350X 系列
• Sx500系列
• Sx550X 系列

软件版本

• 1.4.7.06 - Sx300、Sx500
• 2.2.8.04 — Sx350、SG350X、Sx550X

通过CLI在交换机上配置专用VLAN设置

创建专用主VLAN

步骤1.登录交换机控制台。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码，请改为输入凭证。

注意：命令可能因交换机的确切型号而异。在本例中，SG350X交换机通过Telnet访问。

步骤2.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤3.在全局配置模式下，输入以下命令进入接口配置情景：

• vlan-id — 指定要配置的VLAN ID。

注意：在本例中，使用VLAN 2。

步骤4.在接口配置情景中，输入以下命令，将VLAN接口配置为主专用VLAN:

注意：默认情况下，交换机上未配置专用VLAN。

重要信息：在配置专用VLAN时，请务必记住以下指导原则：

• 如果VLAN中有一个专用VLAN端口，则无法更改VLAN类型。
• 如果VLAN类型与其他专用VLAN关联，则无法更改该VLAN类型。
• 删除VLAN时，VLAN类型不会作为VLAN的属性保留。

步骤5.（可选）要将VLAN恢复为其正常VLAN配置，请输入以下命令：

步骤6.（可选）要返回交换机的特权执行模式，请输入以下命令：

步骤7.（可选）在交换机的特权执行模式下，输入以下命令，将配置的设置保存到启动配置文件：

第8步。（可选）出现“Overwrite file [startup-config].....”提示后，在键盘上按Y表示“Yes”或N表示“No”。

您现在应该已通过CLI在交换机上成功创建主VLAN。

创建辅助VLAN

步骤1.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤2.在全局配置模式下，输入以下命令进入接口配置情景：

注意：在本例中，使用VLAN 10。

步骤3.在接口配置情景中，输入以下命令，将VLAN接口配置为辅助专用VLAN:

选项有：

• 社区 — 将VLAN指定为社区VLAN。
• isolated — 将VLAN指定为隔离VLAN。

注意：在本例中，VLAN 10配置为隔离VLAN。

步骤4.（可选）重复步骤2和3，为专用VLAN配置其他辅助VLAN。

注意：在本例中，VLAN 20和VLAN 30配置为社区VLAN。

步骤5.（可选）要将VLAN恢复为其正常VLAN配置，请输入以下命令：

步骤6.（可选）要返回交换机的特权执行模式，请输入以下命令：

您现在应该已通过CLI在交换机上成功创建辅助VLAN。

将辅助VLAN与主专用VLAN关联

步骤1.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤2.输入以下命令，输入主VLAN的VLAN接口配置情景：

注意：在本例中，主VLAN是VLAN 2。

步骤3.要配置主VLAN和辅助VLAN之间的关联，请输入以下命令：

选项有：

• add secondary-vlan-list — 要添加到主VLAN的辅助类型VLAN ID的列表。用逗号和空格分隔非连续VLAN ID。使用连字符指定ID范围。这是默认操作。
• remove secondary-vlan-list — 从主VLAN中删除关联的辅助类型VLAN ID列表。用逗号和空格分隔非连续VLAN ID。使用连字符指定ID范围。

注意：在本例中，辅助VLAN 10、20和30添加到主VLAN。

步骤4.要返回交换机的特权执行模式，请输入以下命令：

现在，您应该已通过CLI将辅助VLAN成功关联到交换机上的主专用VLAN。

配置主专用VLAN和辅助专用VLAN的端口

步骤1.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤2.在全局配置模式下，输入以下命令进入接口配置情景：

选项有：

• interface-id — 指定要配置的接口ID。
• range vlan vlan-range — 指定VLAN列表。用逗号和空格分隔非连续VLAN。使用连字符指定VLAN范围。

注意：在本例中，输入接口ge1/0/10。

步骤3.在接口配置情景中，使用switchport mode命令配置VLAN成员模式。

• promiscuous — 指定专用VLAN混杂端口。如果使用此选项，请跳至步骤5。
• host — 指定专用VLAN主机端口。如果使用此选项，请跳至步骤6。

注意：在本例中，端口定义为混杂。

步骤4.（可选）要将端口或端口范围恢复为默认配置，请输入以下命令：

步骤5.要配置混杂端口与专用VLAN的主VLAN和辅助VLAN的关联，请输入以下命令：

选项有：

• primary-vlan-id — 指定主VLAN的VLAN ID。
• secondary-vlan-id — 指定辅助VLAN的VLAN ID。

注意：在本例中，混杂接口映射到主VLAN 2并添加到辅助VLAN 30。

步骤6.要配置主机端口与专用VLAN的主VLAN和辅助VLAN的关联，请输入以下命令：

选项有：

• primary-vlan-id — 指定主VLAN的VLAN ID。
• secondary-vlan-id — 指定辅助VLAN的VLAN ID。

注意：在本例中，主机接口范围40到45映射到主VLAN 2并添加到辅助VLAN 20。

步骤7.要退出接口配置上下文，请输入以下命令：

步骤8.（可选）重复步骤2至7以配置更多混杂和主机端口，并分配给相应的主专用VLAN和辅助专用VLAN。

注意：在本例中，主机接口范围36到39映射到主VLAN 2并添加到辅助VLAN 10。

步骤9.输入end命令返回特权执行模式：

步骤10.（可选）要验证交换机上已配置的专用VLAN，请输入以下命令：

步骤11.（可选）在交换机的特权执行模式下，输入以下命令，将配置的设置保存到启动配置文件：

第12步。（可选）出现“Overwrite file [startup-config].....”提示后，在键盘上按Y表示“Yes”或N表示“No”。

现在，您应该已通过CLI成功配置主机和混杂端口与交换机上的主专用VLAN和辅助专用VLAN的关联。

修订历史记录

版本	发布日期	备注
1.0	13-Dec-2018	初始版本