透過 CLI 在交換器上設定專用 VLAN 成員資格設定

簡介

虛擬區域網路 (VLAN) 可讓您以邏輯方式將區域網路 (LAN) 劃分為不同的廣播網域。如果是敏感資料可能會在網路上廣播的情況，可以建立 VLAN，透過指定廣播給特定 VLAN 來增強安全。只有屬於 VLAN 的使用者，才能夠存取和操作該 VLAN 上的資料。VLAN 也可以用來增強效能，方法是減少將廣播和多點傳送發送到不必要目的地的需求。

附註：若要瞭解如何透過 Web 公用程式，在交換器上設定 VLAN 設定，請按一下這裡。如需 CLI 型指示，請按一下這裡。

專用VLAN域由一對或多對VLAN組成。主要VLAN組成域；每個VLAN對組成子域。配對中的VLAN稱為主VLAN和輔助VLAN。專用VLAN內的所有VLAN對具有相同的主VLAN。輔助VLAN ID是將一個子域與另一個子域區分開來的。

專用VLAN域只有一個主VLAN。專用VLAN域中的每個埠都是主要VLAN的成員；主要VLAN是整個專用VLAN域。

輔助VLAN在同一專用VLAN域內的埠之間提供隔離。以下兩種型別是主VLAN中的輔助VLAN:

• 隔離VLAN — 隔離VLAN中的埠不能在第2層直接相互通訊。
• 社群VLAN — 社群VLAN中的連線埠可以彼此通訊，但無法與其他社群VLAN或任何隔離VLAN中的連線埠在第2層級進行通訊。

在專用VLAN域中，有三個獨立的埠標識。每個埠指定都有其自己的唯一規則集，這些規則管理一個端點與同一專用VLAN域內其他連線的端點通訊的能力。以下是三個連線埠的指定：

• 混雜 — 混雜埠可以與同一專用VLAN的所有埠通訊。這些埠連線伺服器和路由器。
• 社群（主機） — 社群埠可以定義屬於同一第2層域的一組埠。它們在第2層與其他社群和隔離埠隔離。這些埠連線主機埠。
• 隔離（主機） — 隔離埠與同一專用VLAN中的其他隔離埠和社群埠具有完全的第2層隔離。這些埠連線主機埠。

主機流量在隔離和社群VLAN上傳送，而伺服器和路由器流量在主VLAN上傳送。

目標

專用VLAN在埠之間提供第2層隔離。這表示在橋接流量級別（而不是IP路由），共用同一廣播域的埠無法相互通訊。專用VLAN中的連線埠可以位於第2層網路中的任何位置，這表示它們不必位於同一交換器上。專用VLAN旨在接收未標籤或優先順序標籤的流量並傳輸未標籤的流量。

本文提供有關如何在交換器上配置專用 VLAN 設定的指示。

注意：要使用交換機的基於Web的實用程式配置專用VLAN，請單擊此處。

適用裝置

• Sx300系列
• Sx350系列
• SG350X系列
• Sx500 系列
• Sx550X系列

軟體版本

• 1.4.7.06 — Sx300、Sx500
• 2.2.8.04 — Sx350、SG350X、Sx550X

通過CLI配置交換機上的專用VLAN設定

建立專用主VLAN

步驟 1.登入交換器主控台。預設的使用者名稱和密碼是 cisco/cisco。如果您已設定新的使用者名稱或密碼，請改為輸入認證。

附註：這些命令可能會依據交換器的確切型號而有所不同。在此範例中，SG350X 交換器是透過 Telnet 存取。

步驟 2.從交換器的特權 EXEC 模式中，透過輸入以下命令來進入全域組態模式：

步驟 3.在全域組態模式中，透過輸入以下指令來進入介面組態環境：

• vlan-id — 指定要配置的VLAN ID。

注意：本例中使用的是VLAN 2。

步驟 4.在介面配置上下文中，輸入以下命令，將VLAN介面配置為主專用VLAN:

注意：預設情況下，交換機上未配置任何專用VLAN。

重要信息：確保配置專用VLAN時記住以下准則：

• 如果VLAN中有屬於成員的專用VLAN埠，則無法更改VLAN型別。
• 如果VLAN型別與其他專用VLAN關聯，則無法更改VLAN型別。
• 刪除VLAN時，VLAN型別不會保留為VLAN的屬性。

步驟5.（可選）若要將VLAN恢復為正常的VLAN配置，請輸入以下命令：

步驟6。（可選）要返回交換機的特權執行模式，請輸入以下命令：

步驟 7. （選用）在交換器的特權 EXEC 模式下，輸入以下指令可將配置的設定儲存到啟動組態檔中：

步驟 8. （選用）一旦出現覆寫檔案 [startup-config]… 提示，請按下鍵盤上的 Y 表示是，或按 N 表示否。

現在，您應該已經通過CLI在交換機上成功建立了主VLAN。

建立輔助VLAN

步驟 1.在交換器的特殊權限 EXEC 模式下，透過輸入以下命令來進入全域組態模式：

步驟 2.在全域組態模式中，透過輸入以下指令來進入介面組態環境：

注意：在本例中使用的是VLAN 10。

步驟 3.在介面配置上下文中，通過輸入以下命令將VLAN介面配置為輔助專用VLAN:

選項包括：

• community — 將VLAN指定為社群VLAN。
• 隔離 — 將VLAN指定為隔離VLAN。

注意：在本例中，VLAN 10配置為隔離VLAN。

步驟4.（可選）重複步驟2和步驟3，為您的專用VLAN配置其他輔助VLAN。

注意：在本例中，VLAN 20和VLAN 30配置為社群VLAN。

步驟5.（可選）若要將VLAN恢復為正常的VLAN配置，請輸入以下命令：

步驟6。（可選）要返回交換機的特權執行模式，請輸入以下命令：

現在，您應該已經通過CLI在交換機上成功建立了輔助VLAN。

將輔助VLAN與主專用VLAN關聯

步驟 1.在交換器的特殊權限 EXEC 模式下，透過輸入以下命令來進入全域組態模式：

步驟 2.通過輸入以下內容，輸入主VLAN的VLAN介面配置上下文：

注意：在本例中，主要VLAN是VLAN 2。

步驟 3.要配置主要VLAN和輔助VLAN之間的關聯，請輸入以下命令：

選項包括：

• add secondary-vlan-list — 要新增到主要VLAN的輔助型VLAN ID清單。請使用逗號來分隔非連續的 VLAN ID，而且不要使用空格。請使用連字號指定 ID 範圍。這是預設操作。
• remove secondary-vlan-list — 要從主要VLAN中刪除關聯的輔助型VLAN ID清單。請使用逗號來分隔非連續的 VLAN ID，而且不要使用空格。請使用連字號指定 ID 範圍。

注意：在本例中，輔助VLAN 10、20和30被新增到主要VLAN中。

步驟 4.要返回交換機的特權執行模式，請輸入以下命令：

現在，您應該已經通過CLI成功地將輔助VLAN關聯到交換機上的主專用VLAN。

將埠配置為主要和輔助專用VLAN

步驟 1.在交換器的特殊權限 EXEC 模式下，透過輸入以下命令來進入全域組態模式：

步驟 2.在全域組態模式中，透過輸入以下指令來進入介面組態環境：

選項包括：

• interface-id — 指定要配置的介面ID。
• range vlan vlan-range — 指定VLAN清單。請使用逗號來分隔非連續的 VLAN，而且不要使用空格。請使用連字號指定 VLAN 範圍。

注意：在本示例中，輸入了介面ge1/0/10。

步驟 3.在介面組態環境中，使用 switchport mode 指令設定 VLAN 成員資格模式。

• 混雜 — 指定專用VLAN混雜埠。如果使用此選項，請跳至步驟5。
• host — 指定專用VLAN主機埠。如果使用此選項，請跳至步驟6。

注意：在此範例中，連線埠定義為混雜。

步驟4。（可選）要將埠或埠範圍恢復為預設配置，請輸入以下內容：

步驟 5.要配置混雜埠與專用VLAN的主要VLAN和輔助VLAN的關聯，請輸入以下命令：

選項包括：

• primary-vlan-id — 指定主VLAN的VLAN ID。
• secondary-vlan-id — 指定輔助VLAN的VLAN ID。

注意：在本例中，混雜介面對映到主VLAN 2並新增到輔助VLAN 30。

步驟 6.要配置主機埠與專用VLAN的主要VLAN和輔助VLAN的關聯，請輸入以下命令：

選項包括：

• primary-vlan-id — 指定主VLAN的VLAN ID。
• secondary-vlan-id — 指定輔助VLAN的VLAN ID。

注意：在本例中，主機介面範圍40到45對映到主VLAN 2，並新增到輔助VLAN 20。

步驟 7.若要退出介面組態環境，請輸入以下指令：

步驟8.（可選）重複步驟2至7，配置更多混雜埠和主機埠，並分配到相應的主和輔助專用VLAN。

注意：在本例中，主機介面範圍36到39對映到主VLAN 2，並新增到輔助VLAN 10。

步驟 9.輸入 end 指令以返回特權 EXEC 模式：

步驟10。（可選）若要確認交換器上已設定的私人VLAN，請輸入以下內容：

步驟 11. （選用）在交換器的特權 EXEC 模式下，輸入以下指令可將配置的設定儲存到啟動組態檔中：

步驟 12. （選用）一旦出現覆寫檔案 [startup-config]… 提示，請按下鍵盤上的 Y 表示是，或按 N 表示否。

現在，您應該已經通過CLI成功地將主機和混雜埠與交換機上的主專用VLAN和輔助專用VLAN關聯起來。

修訂記錄

修訂	發佈日期	意見
1.0	13-Dec-2018	初始版本