通過CLI在交換機上配置基於協定的VLAN組
簡介
虛擬區域網路 (VLAN) 可讓您以邏輯方式將區域網路 (LAN) 劃分為不同的廣播網域。如果是敏感資料可能會在網路上廣播的情況,可以建立 VLAN,透過指定廣播給特定 VLAN 來增強安全。只有屬於 VLAN 的使用者,才能夠存取和操作該 VLAN 上的資料。VLAN 也可以用來增強效能,方法是減少將廣播和多點傳送發送到不必要目的地的需求。
附註:若要瞭解如何透過 Web 公用程式,在交換器上設定 VLAN 設定,請按一下這裡。如需 CLI 型指示,請按一下這裡。
運行多個協定的網路裝置無法分組到通用VLAN中。非標準裝置用於在不同的VLAN之間傳遞流量,以包括參與特定協定的裝置。因此,您無法利用VLAN的許多功能。
VLAN組用於第2層網路上的流量負載均衡。封包會根據不同的分類進行分配,並指派給VLAN。存在許多不同的分類,如果定義了多個分類方案,則按以下順序將資料包分配給VLAN:
- 標籤 — 從標籤中識別VLAN編號。
- MAC型VLAN — 從輸入介面的來源媒體存取控制(MAC)到VLAN的對映中識別VLAN。
- 基於子網的VLAN — 從入口介面的源子網到VLAN對映中識別VLAN。
- 通訊協定型VLAN — 從輸入介面的乙太網路型別「通訊協定到VLAN」對應中識別VLAN。
- PVID — 從埠預設VLAN ID識別VLAN。
1.建立VLAN。若要瞭解如何透過 Web 公用程式,在交換器上設定 VLAN 設定,請按一下這裡。如需 CLI 型指示,請按一下這裡。
2.將介面配置為VLAN。如需有關如何透過交換器的 Web 公用程式,將介面指派到 VLAN 的指示,請按一下這裡。如需 CLI 型指示,請按一下這裡。
注意:如果介面不屬於該VLAN,則基於子網的VLAN組配置設定將不會生效。
3.配置基於協定的VLAN組。有關如何通過交換機的基於Web的實用程式配置基於協定的VLAN組的說明,請按一下此處。
4.(可選)您還可以配置以下內容:
- 基於MAC的VLAN組概述 — 有關如何通過交換機的基於Web的實用程式配置基於MAC的VLAN組的說明,請點選此處。如需 CLI 型指示,請按一下這裡。
- 基於子網的VLAN組概述 — 有關如何通過交換機的基於Web的實用程式配置基於子網的VLAN組的說明,請點選此處。如需 CLI 型指示,請按一下這裡。
目標
可以定義協定組,然後將其繫結到埠。在協定組繫結到埠後,來自組中協定的每個資料包都會分配一個在基於協定的組中配置的VLAN。
根據資料包的協定轉發資料包需要設定協定組,然後將這些組對映到VLAN。本文提供有關如何定義協定組以及如何將基於協定的組配置為VLAN的說明。
適用裝置
- Sx350系列
- SG350X系列
- Sx500 系列
- Sx550X系列
軟體版本
- 1.4.7.06 — Sx500
- 2.2.8.04 — Sx350、SG350X、Sx550X
通過CLI在交換機上配置基於協定的VLAN組
建立基於協定的VLAN組
步驟 1.登入交換器主控台。預設的使用者名稱和密碼是 cisco/cisco。如果您已設定新的使用者名稱或密碼,請改為輸入認證。
附註:這些命令可能會依據交換器的確切型號而有所不同。在此範例中,SG350X 交換器是透過 Telnet 存取。
步驟 2.從交換器的特權 EXEC 模式中,透過輸入以下命令來進入全域組態模式:
步驟 3.在全域性配置模式下,通過輸入以下內容來配置基於協定的分類規則:
步驟 4.要將協定對映到協定組,請輸入以下內容:
選項包括:
- protocol — 指定16位協定號或保留名稱之一。範圍從0x0600到0xFFFF。值0x8100作為乙太網封裝的協定編號無效。以下協定名稱保留用於乙太網封裝:
- IP — 具有IPv4資料包的乙太網V2幀。協定編號為0x0800。
- IPX — 具有網際網路資料包交換(IPX)的乙太網V2幀。協定編號的範圍為0x8137到0x8138。
- IPv6 — 具有IPv6資料包的乙太網V2幀。協定編號為0x86DD。
- ARP — 具有位址解析通訊協定(ARP)封包的乙太網路V2訊框。協定編號為0x0806。
— 使用者定義 — 可以十六進位制輸入協定值,長度為四位。
- encapsulation-value — (可選)指定以下值之一:
-ethernet — 此引數是指乙太網鏈路上的資料包。這是預設封裝。如果未定義封裝值,則乙太網將用作封裝型別。
- rfc1042 — 此引數是指使用子網路存取通訊協定(LLC-SNAP)的邏輯連結控制。這些協定結合使用,可確保資料在網路中有效傳輸。
- llcother — 此引數是指邏輯鏈路控制(LLC)。它是資料鏈路層的子層,充當介質訪問控制子層和網路層之間的介面。
- group-id — 指定要建立的組編號。組ID的範圍從1到2147483647。
注意:在本例中,建立了基於協定的VLAN組100和200。組100過濾IP乙太網協定,組200過濾IPv6乙太網協定。
步驟 5.若要退出介面組態環境,請輸入以下指令:
現在,您應該已經通過CLI在交換機上配置基於協定的VLAN組。
將基於協定的VLAN組對映到VLAN
步驟 1.在全域組態模式中,透過輸入以下指令來進入介面組態環境:
選項包括:
- interface-id — 指定要配置的介面ID。
- range interface-range — 指定VLAN清單。請使用逗號來分隔非連續的 VLAN,而且不要使用空格。請使用連字號指定 VLAN 範圍。
附註:在此範例中,使用的是介面 ge1/0/20。
步驟 2.在介面配置上下文中,使用switchport mode命令配置VLAN成員模式:
- 常規 — 介面可支援IEEE 802.1q規範中定義的所有功能。該介面可以是一個或多個VLAN的已標籤或未標籤成員。
步驟3.(可選)若要將連線埠還原為預設的VLAN,請輸入以下內容:
步驟 4.要配置基於協定的分類規則,請輸入以下內容:
選項包括:
- group-id — 指定用於過濾通過埠的流量的基於協定的組ID。範圍是從1到2147483647。
- vlan-id — 指定將來自VLAN組的流量轉發到的VLAN ID。範圍為1至4094。
注意:在本例中,介面被分配給對映到VLAN 20的基於協定的組100。
步驟 5.若要退出介面組態環境,請輸入以下指令:
步驟6。(可選)要從埠或埠範圍刪除分類規則,請輸入以下內容:
步驟7。(可選)重複步驟1到6,配置更通用的埠並分配給相應的基於協定的VLAN組。
注意:在本示例中,範圍從ge1/0/31到35的介面被分配到基於協定的組200並分配到VLAN 30。
步驟 8.輸入 end 指令以返回特權 EXEC 模式:
現在,您應該已經通過CLI將基於協定的VLAN組對映到交換機上的VLAN。
顯示基於協定的VLAN組
步驟 1.要顯示屬於定義的基於協定的分類規則的協定,請在特權EXEC模式下輸入以下命令:
步驟2.(可選)要顯示VLAN上特定埠的分類規則,請輸入以下內容:
- interface-id — 指定介面ID。
注意:每個埠模式都有自己的專用配置。show interfaces switchport 命令會顯示所有這些設定,但只有與顯示在管理模式區域中的當前連線埠模式對應的連線埠模式設定會處於使用中狀態。
注意:在本示例中,將顯示介面ge1/0/20的管理和操作狀態。Classification rules表顯示介面已對映到基於協定的VLAN組100,流量將轉發到VLAN 20。
步驟3.(可選)在交換機的特權EXEC模式下,輸入以下命令,將配置的設定儲存到啟動配置檔案中:
步驟4.(可選)出現Overwrite file [startup-config]...提示後,在鍵盤上按Y選擇「Yes」,或按N選擇「No」。
現在,您應該已經顯示了交換機上基於協定的VLAN組和埠配置設定。
重要事項:若要繼續在交換器上設定 VLAN 群組設定,請遵循上述準則。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
13-Dec-2018 |
初始版本 |
意見