公司小型企业网VLAN配置

     传统小型企业网络规划不合理,所有部门电脑划分在同一个网段,既没做好物理隔离,也没做好逻辑隔离。这个样做有两个缺点:

    1、数据的安全性,例如财务部的计算机发送的数据可以轻松的被其他计算机截获,技术部的代码服务器也可以被其他部门访问,带来很大的安全隐患。

    2、数据传输效率,在公司计算机数量小的时候没什么太大问题,但是当交换机连接的计算机一多,每个计算机发出的包会广播到每台计算机,长此以往会发生网络风暴(现象通常为网络丢包、响应迟缓、时断时通等),带来很大的隐患。小型企业网对于这种问题最好的解决方案,就是划分VLAN。

     什么是VLAN?

    VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。

     配置方法:

    1、按IP组播划分,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,PASS。、

    2、按MAC地址划分VLAN,这种方式要将MAC地址统计并且一个一个写进交换机,工作量大,且非常复杂,并且不利于以后的维护,例如以后去看交换机配置根本不知道MAC地址对应的那台计算机,并且如果计算机更换了网卡需要重新配置交换机,而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。PASS。

    3、按端口划分VLAN,这种方法通过配置交换机的端口来实现VLAN划分,比较简单,并且第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。这是现在VLAN划分最常用的方法。

    开始配置:

    我们公司办公网络共有29台计算机,分别为财务部(3台)、研发部(12台)、市场部(6台)、后勤部(5台)、人力资源部(3台)。

    网络基本结构为:整个网络中干部分采用2台cisco Catalyst系列网管型交换机(分别命名为:Switch1、Switch2,各交换机根据需要下接若干个集线器,主要用于非VLAN用户,如行政文书、临时用户等)、一台Cisco路由器,整个网络都通过路由器Cisco与外部互联网进行连接。所连的用户主要分布于五个部分,即:财务部、研发部、市场部、后勤部和人力资源部。主要对这五个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。对应的VLAN组名为:Fina、Deve、Mark、Logi、Huma,各VLAN组所对应的网段如下表所示。

      VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。

      下面是具体的配置过程:

      第1步:设置好超级终端,连接上思科交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):

1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:

      第2步:单击"K"按键,选择主界面菜单中"[K] Command Line"选项 ,进入如下命令行配置界面:

CLI session with the switch is open.
To end the CLI session,enter [Exit ].

      此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入"特权模式"。

      第3步:在上一步">"提示符下输入进入特权模式命令"enable",进入特权模式,命令格式为">enable",此时就进入了交换机配置的特权模式提示符:

#config t
Enter configuration commands,one per line.End with CNTL/Z
(config)#

      第4步:为了安全和方便起见,我们分别给这3个Catalyst交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:

(config)#hostname Switch1
Switch1(config)# enable password level 15 XXXXXX
Switch1(config)#

      XXXXXX 表示密码

      第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为" vlan vlan号 name vlan名称 ,在Switch1、Switch2交换机上配置2、3、4、5、6号VLAN的代码为:

Switch1 (config)#vlan 2 name Fina
Switch1 (config)#vlan 3 name Deve
Switch2 (config)#vlan 4 name Mark
Switch2 (config)#vlan 5 name Logi
Switch2 (config)#vlan 6 name Huma

      第6步:上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是"vlan-membership static/ dynamic VLAN号 "。在这个命令中"static"(静态)和"dynamic"(动态)分配方式两者必须选择一个,不过通常都是选择"static"(静态)方式。VLAN端口号应用配置如下:

Switch1(config)#int e0/2
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/3
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/4 
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/5
Switch(config-if)#vlan-membership static 2
 
Switch1(config-if)#

      int e0/2表示交换机端口号,static 2 表示第几个VLAN,这里只贴上VLAN2的代码,其他VLAN配置方式是一样的。"int"是"interface"命令缩写,是接口的意思。"e0/2"是"ethernet 0/2"的缩写,代表交换机的0号模块2号端口。

      好了,我们已经按要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置,可以在特权模式使用"show vlan"命令显示出刚才所做的配置,检查一下是否正确。使用的时候只需要把计算机的网线接入特定的端口就能使用了,可以在网线头上贴上标签,方便以后的管理和配置。