在现代网络架构中,交换机和路由器是核心设备,通过合理配置VLAN(虚拟局域网)和路由器连接,可以实现网络隔离、安全提升和流量优化,本文将详细介绍如何在交换机上创建VLAN 10和VLAN 20,并实现与路由器的互联互通,确保网络结构清晰、管理高效。
VLAN基础概念与作用
VLAN是一种将物理网络划分为多个逻辑网络的技术,每个VLAN相当于一个独立的广播域,通过VLAN划分,可以限制广播范围、增强网络安全性,并简化网络管理,将不同部门或功能划分到不同VLAN中,可以有效隔离用户流量,避免未经授权的访问。
在本文的示例中,VLAN 10和VLAN 20将分别代表两个不同的网络区域(如办公区和访客区),通过路由器实现VLAN间的通信。
交换机VLAN配置步骤
进入全局配置模式
通过Console线或远程登录方式进入交换机的命令行界面,进入全局配置模式:
Switch> enable
Switch# configure terminal 创建VLAN并分配名称
为VLAN 10和VLAN 20分别创建并命名,便于后续管理:
Switch(config)# vlan 10
Switch(config-vlan)# name Office_LAN
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Guest_LAN
Switch(config-vlan)# exit 将端口分配到VLAN
假设交换机的1-10端口连接办公区设备(VLAN 10),11-20端口连接访客区设备(VLAN 20),配置如下:
Switch(config)# interface range fastethernet 0/1-10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit
Switch(config)# interface range fastethernet 0/11-20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit 验证VLAN配置
使用以下命令检查VLAN和端口分配状态:
Switch# show vlan brief 表1:VLAN配置验证示例
| VLAN ID | 名称 | 端口范围 | 状态 |
|———|—————|—————-|——–|
| 10 | Office_LAN | Fa0/1 – Fa0/10 | active |
| 20 | Guest_LAN | Fa0/11 – Fa0/20 | active |
路由器与交换机的连接配置
物理连接方式
路由器与交换机通常通过Trunk链路连接,以承载多个VLAN的流量,Trunk链路允许不同VLAN的标签数据通过,需在交换机和路由器端口上启用802.1Q协议。
交换机Trunk端口配置
假设交换机的GigabitEthernet 0/1端口连接路由器,配置为Trunk模式:
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit 路由器子接口配置
在路由器上,为每个VLAN创建子接口,并配置IP地址作为网关,假设路由器物理接口为GigabitEthernet 0/0:
Router(config)# interface gigabitethernet 0/0.10
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface gigabitethernet 0/0.20
Router(config-subif)# encapsulation dot1q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit 表2:路由器子接口IP规划
| 子接口 | VLAN ID | IP地址 | 子网掩码 | 功能 |
|———-|———|—————–|—————–|————|
| Gi0/0.10 | 10 | 192.168.10.1 | 255.255.255.0 | Office网关 |
| Gi0/0.20 | 20 | 192.168.20.1 | 255.255.255.0 | Guest网关 |
启用路由功能
确保路由器启用了IP路由功能(默认开启),否则需手动启用:
Router(config)# ip routing 网络连通性测试
测试VLAN内部通信
在VLAN 10和VLAN 20内分别选择两台设备,配置IP地址(如192.168.10.2/24和192.168.20.2/24),测试同VLAN内互通性。
测试VLAN间通信
通过ping命令测试跨VLAN通信,例如从VLAN 10的设备ping VLAN 20的网关地址(192.168.20.1),验证路由器子接口是否正常转发流量。
排查常见问题
- Trunk链路不通:检查交换机和路由器端口的
encapsulation dot1q配置及允许的VLAN列表。 - 子接口未激活:确认物理接口状态为
up,且VLAN标签匹配。
安全与优化建议
- 访问控制列表(ACL):在路由器上配置ACL,限制VLAN间的访问权限(如禁止访客区访问办公区)。
- 端口安全:在交换机接入端口启用端口安全功能,限制MAC地址数量,防止未授权设备接入。
- DHCP服务:在路由器或专用服务器上为各VLAN配置DHCP作用域,简化IP地址分配。
相关问答FAQs
问题1:为什么需要Trunk链路连接交换机和路由器?
解答:Trunk链路通过802.1Q协议标记多个VLAN的流量,使路由器能够识别不同VLAN的数据并转发至对应的子接口,若使用普通Access链路,只能传输单一VLAN的流量,无法实现多VLAN间通信。
问题2:如何配置VLAN间访问控制策略?
解答:可在路由器子接口上应用ACL,禁止VLAN 20访问VLAN 10的命令如下:
Router(config)# access-list 10 deny 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit any
Router(config)# interface gigabitethernet 0/0.20
Router(config-subif)# ip access-group 10 in 此ACL将阻止来自VLAN 20的流量访问VLAN 10的网络,同时允许其他通信。
通过以上配置,企业网络可实现高效、安全的VLAN划分与管理,为不同业务场景提供灵活的网络支持。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/324939.html
