1、二层交换机管理问题、管理 VLAN 的概念详解这个问题,困扰了许多初学者,最近也有许多同学问道,我这里做个文档,帮助大家理解一下。 本篇主要回答下列几个问题:在一个园区网中,二层交换机如何管理?什么是交换机的管理 VLAN?交换机的管理 VLAN 一般如何部署?内网 PC 如何管理交换网络?关于涉及到三层交换机的部分,稍后我会再发文补充。1.实验目的1)了解二层交换机管理 VLAN 的概念2)了解二层交换机设备管理的部署方法2.拓扑及需求拓扑描述:这个环境虽然简单,但是初学者理解起来还是有一定的困难的。交换机下联2台 PC,并且连接一台路由器,路由器作为内网 VLAN10、VLAN20用户的网
2、关。交换机增加一个 VLAN255用于设备管理,设备本身的 IP 为192.168.255.1,网关在路由器上。实验需求:1) 完成所有 PC 的配置2) 交换机创建 VLAN10、VLAN20,这是用户 VLAN,是设备直连的 PC 用户的 VLAN3) 交换机创建 VLAN255,这是本交换网络的管理 VLAN,用于本交换机被管理,该 VLAN 可以配置 IP,地址为192.168.255.1,交换机的网关指向路由器4) 路由器 F0/0口划分子接口,做单臂路由,承载 VLAN10、VLAN20及 VLAN255的流量5) 要求 VLAN10、VLAN20之间的用户能够互访,同时只允许 V
3、LAN10的用户 TELNET 交换机进行设备的管理。3.关键知识点这个实验中,涉及到的主要知识点有:VLAN 的配置、单臂路由的概念及配置,同时还有一个,交换机的管理 VLAN 及设备管理。我们知道,在一个园区网中,数量最多的设备,一般而言应该是交换机(二层及三层交换机) ,其中又以二层交换机的数量居多,二层交换机在典型的三层网络结构中处于“接入层” ,主要的任务是为终端的 PC 和用户提供接入,同时划分 VLAN 隔离广播域,再者运行 STP 来提供二层的防环机制。一个中小型的园区网,二层交换机的数量往往是上百台,这些设备在刚刚在客户现场被拆箱后,一般是由工程师现场用 Console 线缆
4、一台台的调试的(不要惊讶,笔者的记录是一个下午的时间,个人完成近100台交换机的调试任务,当然,有集成商的兄弟帮忙安放设备、加点、贴标签,这就是做好脚本管理的优势) 。这些交换机在调试好之后,就会被安装到客户现场的各个机房或者弱电间去,一切妥当后就正式上线运行了。那么这就有一个问题,在设备上线后,如果我们要变更设备的配置、要管理这些交换机怎么办?难道要拿着笔记本电脑带着 console 线下到机房去现场调试么?这种屌丝级的方法完全不可理喻嘛,对了,可以通过 telnet 或者其他方式来远程管理。路由器上的 telnet 我们已经很熟悉了,只要是三层可达,就能 telnet 到路由器,那么接下去
5、我们来看看,如何管理交换机。这里我们讲的是二层交换机,大家都知道,二层交换机是无法识别三层报文的,它压根不会去看三层的 I 头,但是这不影响二层交换机自己拥有一个 IP 地址。在路由器上,我们是给路由器的物理接口配置 IP 地址,而二层交换机,我们是在 VLAN 接口上配置 IP 地址,VLAN 接口我们也称为 SVI 交换式虚拟接口,是跟 VLAN 对应的一个逻辑的、虚拟的接口。一台二层交换机,只能够给一个 VLAN 接口分配 IP 地址。考虑一个最简单的模型:如上图左侧,PC 要想 Telnet 交换机,首先 PC 要能 ping 通交换机,其次交换机上要激活 VTY 并配置密码。那么我们
6、在二层交换机上创建一个 VLAN10,将 F0/1口划入 VLAN10,同时给二层交换机的 VLAN10的逻辑接口配置一个 IP,与 PC在同一个网段的 IP。这样一来,PC 就能访问到交换机了。可是问题来了,这样一来 PC 与交换机就在同一个网段,同一个 VLAN 了,万一下面有 PC 配置的 IP 地址与交换机有冲突那可就麻烦了,因此我们可以考虑给交换机划分一个单独的 VLAN,用于管理这些交换机,这个 VLAN 适用于整个交网络,统一的 VLAN 统一的 IP 规划,它就是管理 VLAN,因此管理 VLAN 并不是一个特定的 VLAN,更不是 VLAN1,这是许多人的误解。一般情况下,我
7、们会使用一个较为“生僻的”VLAN ID 和 IP 编制,例如本实验中的 VLAN255,以及网段192.168.255.0/24。问题又来了,给交换机弄一个单独的设备管理 VLAN 固然可以起到与用户 VLAN 隔离的作用,但是这样一来用户不就无法访问到交换机了么?这就需要借助三层设备例如路由器了。与此同时,由于二层交换机没有路由功能,无法像路由器哪样拥有一个 IP 路由表,因此,你还需给交换机配置一个默认网关,就像你用路由器模拟 PC 那样哦亲。4.配置及实现先不忙着做实验,我们来看看这个实验的拓扑:这个拓扑其实可以用一个更形象的方式来理解:这样总能看懂了吧?于是当 PC 要管理(例如要
8、Telnet 交换机时)交换机时,可 telnet 192.168.255.1,这个数据包会被发送给 PC 自己的网关,该网关其实在 Router 的子接口上的,再经由 Router 转到交换机所在的网段扔回给交换机。有一点值得提醒的是,为了让数据能回来,我们还要给这台二层交换机配个默认网关,否则无法正常管理。下面来看具体的配置:1)完成 PC1及 PC2的配置这个就不再赘述了2)完成交换机的配置switch#config terminalswitch(config)#vlan 10 !创建 VLANswitch(config)#vlan 20switch(config)#vlan 255 !
9、这是管理 VLANswitch(config)#interface fast0/1switch(config-if)#swtichport access vlan 10 !将接口划入特定的 VLANswitch(config)#interface fast0/2switch(config-if)#swtichport access vlan 20switch(config)#interface fast0/15switch(config-if)# switchport trunk encapsulation dot1q !指定 trunk 封装协议switch(config-if)# swit
10、chport mode trunk !将接口模式定义为 trunkswitch(config-if)#exitswitch(config)#interface vlan 255switch(config-if)#ip address 192.168.255.1 255.255.255.0 !给 VLAN255的 SVI 口配置 IP 地址switch(config-if)#exitswitch(config)# ip default-gateway 192.168.255.254 !为交换机自身指定网关switch(config)# line vty 0 4 !配置 VTY 以便 PC 能够登
11、录switch(config-line)#password ccieteaswitch(config-line)#loginswitch(config-line)#exitswitch(config)#注意,如果是使用模拟器进行实验,若使用三层设备 IOS(例如 C3640) ,则需先在全局配置模式下 no ip routing关闭设备的路由功能,让其模拟一台二层交换机,如果不配这条命令,ip default-gateway 指定的缺省网关是无效的,在开启 ip routing 的情况下,可以使用 ip route 0.0.0.0 0.0.0.0的方式来替代 ip default-gatewa
12、y 命令。另一点需注意的是,ip defaut-gateway 这条命令,是给交换机自己用的,而不是为下联的 PC 配置网关,这点许多许多许多初学者经常进场搞混。3)完成路由器的配置hostname GWinterface FastEthernet0/0no ip addressno shutdown !注意一定要将物理接口打开interface FastEthernet0/0.10 !这个子接口作为 VLAN10的网关encapsulation dot1Q 10 !为子接口设定封装协议 dot1Q,后面的10表示的是 VLAN IDip address 192.168.10.254 255.
13、255.255.0interface FastEthernet0/0.20 !这个子接口作为 VLAN20的网关encapsulation dot1Q 20ip address 192.168.20.254 255.255.255.0interface FastEthernet0/0.255 !这个子接口作为 VLAN255的网关encapsulation dot1Q 255ip address 192.168.255.254 255.255.255.04)验证及扩展完成上述配置后,PC1 及 PC2就都能 telnet 上交换机进行管理了。这就是二层交换机的管理概念。在实际的部署中,如果直接将交换机暴露在网络中,内网所有的 PC 都能随意登录,那是存在风险的,我们还可以在交换机上增加如下配置,来限制管理交换机的网段,例如我们只让192.168.10.0/24这个网段的用户管理交换机:access-list 1 permit 192.168.10.0 0.0.0.255line vty 0 4access-class 1 in本文为原创博文,版权归属:红茶三杯(http:/
