跨交換機的Vlan配置與管理

對於小型企業來説，可以在一台交換機上實現多個Vlan，以滿足用户在安全與性能上的需求。下圖所示，可能需要在多台交換機上組建Vlan。此時會涉及到一個比較複雜的問題。即不同交換機上的同一個Vlan，如何進行數據的交換。在這篇文章中，小編就這個問題展開説明，談談跨交換機的Vlan配置與管理的要點解析。

　　一、幀標記在跨交換機Vlan中的關鍵作用

在談到跨交換機部署Vlan時，一定要談到幀標記。可以這麼説，如果沒有幀標記的話，那麼不同交換機之間，即使處於相同的Vlan中，數據也無法進行轉發。當幀穿越交換機和Vlan時， 需要有一種方法來讓每台交換機跟蹤所有的用户和幀。在跨交換機Vlan部署環境中，這種方法是通過幀標記來實現的。幀標記獨一無二的給每個幀分配一個用户定義的ID。

當接收到幀的交換機往往需要先查看數據幀的這個幀標記，以判斷這個幀屬於哪個Vlan。交換機系統會查看過濾表中的信息，以判斷這些幀該如何處理。如果接收到的幀的交換機有中繼鏈路的話，則幀就有可能從中繼鏈路上轉發出去。一旦幀到達了轉發過濾表決定的、與幀的幀標記相匹配的訪問鏈路或者中繼鏈路的出口，交換機就會刪除這個Vlan標識。如此的話，訪問端口就可以接收這個數據幀(注意對於訪問端口來説，如果帶有Vlan標識其會丟棄這個數據包)。

這些內容比較理論，筆者也只是抽重點內容談一下。不過這是理解後續配置與維護管理要點的基礎內容。為此筆者還是建議各位讀者，如果還不明白的話，需要再讀幾篇。一定要講幀標記對於跨交換機Vlan的作用搞清楚。只有如此，閲讀下面的內容時才會有更加深刻的理解。簡單的説，交換機就是依靠幀標記來判斷，所接收的幀是屬於哪個Vlan。是同一個交換機的其他Vlan，還是其他交換機上的相同Vlan。然後根據判斷的結果來採取正確的轉發行動。

　　二、利用交換機鏈路來識別Vlan與傳遞信息

如上圖所示，跨交換機的Vlan之間數據如何進行轉發呢?此時需要用到的技術是交換機間鏈路，英文簡稱是ISL。交換機間鏈路，簡單的説，是一種在以太網幀上顯示的標記Vlan信息的一種方法。ISL主要通過一種外部封裝方法，這種標記信息允許Vlan在中繼鏈路山實現多路複用，從而允許交換機在中繼鏈路上識別出幀的Vlan成員關係。可見 交換機鏈路其主要作用就是判斷數據幀是屬於哪個Vlan，並將其正確的轉發到對應的Vlan(目的交換機的端口)中。

網絡管理員如果運行交換機間鏈路技術的話，可以將多台交換機連接起來，當數據流在交換機之間的中繼鏈路上傳送時，將仍然保持着重要的Vlan信息。如上圖所示，這也就是説，運行從交換機A的一個端口將數據發送到另外一台交換機的端口B上面。與以前不同的是，在這個轉發的過程中，會保有Vlan信息。如此的話，交換機B才可以判斷其接收到的數據到底是屬於哪個Vlan的。然後再將數據轉發到自己交換機對應的端口之上。

對於交換機間鏈路技術來説，在實際工作中筆者認為管理員至少需要掌握以下兩點內容。一是需要注意交換機間鏈路其工作的地方。一般來説這個交換機間鏈路其主要在第2層其作用，並用新的報頭和循環宂餘校驗對數據幀進行封裝。這一點對於後續性能的優化與網絡的監控會有比較大的作用。二是需要注意交換機間鏈路的侷限性。交換機間鏈路是思科交換機專用的方法。它只適合採用與快速以太網和吉比特以太網鏈路。在其他環境中，其並不適用。另外需要注意的是，這個交換機間鏈路不僅僅適用於交換機之間的連接，還適用於交換機端口與路由器端口、交換機端口和服務器接口卡之間的連接。為此筆者提醒大家，不要被這個名字忽悠了。

　　三、將交換機端口分配到Vlan中

如上圖所是，剛開始交換機A的某個端口是Vlan3的，或者沒有指定Vlan。現在需要將這個交換機端口分配到Vlan2中，該如何設置呢?在這部分內容中，筆者將詳細的為大家介紹相關的配置。

其基本的配置原理是，通過分配特定端口所承載的流量類型的成員關係模式，就可以將端口配置到Vlan中，並加上端口所屬的Vlan號碼。在實際工作中，我們使用的命令是Switchport。通過這個命令可以將交換機的每個端口都配置到指定的Vlan中。

如要將某個端口分配給特定的Vlan，我們需要先進入到這個端口的配置模式。然後使用如下命令進行配置。

Switchport access vlan2

眾所周知，交換機的端口是屬於第二層的端口。為此可以使用swithport access命令將端口分配到某個Vlan中。不過需要注意的是，採用這個命令進行配置的話，只能夠一個個端口的加入。因為從上面這個命令中，我們看到其沒有指定端口信息。這也就是説，如果現在交換機A上有三個端口需要加入到Vlan2中，此時網絡管理員只能夠先一一的進入到特定的接口模式，然後重複上面的'命令進行配置。不過顯然這麼做的工作量會比較大。如果需要同時將多個接口加入到某個Vlan中去的話，則必須使用interface range命令，就可以同時配置多個端口。

此時如果將設備插入到剛才配置的Vlan中，則它們就只能與位於同一個Vlan中的其他設備進行通信。如上圖所示，如果交換機上A上有1與2兩個接口，如果他們不屬於同一個Vlan，那麼連接到這個兩個接口上的設備將無法通信。再如如果交換機A與交換機B上各有接口甲與接口乙。如果這兩個接口屬於同一個Vlan，那麼即使他們屬於不同的交換機上，連接在這些接口之上的設備，他們仍然可以進行通信。

　　四、配置中繼端口讓交換機之間相同的Vlan進行通信

如上圖所示，如果甲、乙兩個接口分別屬於不同的交換機，但是他們屬於同一個Vlan。他們之間可以正常進行通信，但是需要依靠中繼端口的幫助。在這部分內容中，筆者主要談談如何來配置中繼端口以實現中繼鏈路。具體的説筆者認為只需要掌握以下幾個命令即可。

第一個命令是switchport mode access。這個命令使得交換機的訪問端口成為永久性的非中繼模式，並協商將鏈路變為非中繼鏈路。注意這是強制性的。也就是説，這麼配置後可能會出現下面這種衝突的情況。鏈路的兩端，一個是中繼接口，而另外一個是非中繼接口。這就會導致通信的障礙。

第二個命令是switchport mode dynamic auto。這個命令可以將鏈路轉換為中繼鏈路。這是新一代交換機默認的工作模式。如此配置之後，如果鄰居交換機接口設置為中繼或者需要的模式，則這個接口也會變為中繼接口。與上面的命令相比，這個命令就會多一個自動協商的機制，從而避免鏈路兩端的接口類型不一致，而導致的衝突。注意，由於交換機的中繼端口與訪問端口兩者不是兼容的。為此他們之間如果發生衝突的話，最直接的後果就是導致通信的中斷。