首先,我们来了解一下802.1Q VLAN的基本概念。802.1Q是网络中的一种VLAN标记协议,它可以在交换机上对流量进行虚拟局域网划分,实现不同部门或地点的主机之间的逻辑隔离。通过配置802.1Q VLAN,我们可以实现以下目标:
1. 隔离不同部门或地点的主机,防止数据泄露。 2. 使得处于不同交换机下的同一部门成员能够相互通信。
下面,我们以财务部门和销售部门为例,讲解如何配置802.1Q VLAN来实现跨交换机互访。
首先,我们需要确定VLAN的划分。在这个例子中,我们将财务部门划分为VLAN 2,销售部门划分为VLAN 3。在交换机上,我们需要为每个VLAN分配对应的端口。以下是VLAN的划分和端口分配:
- VLAN 2:包含Switch A的端口1-8和26,Switch B的端口1-8和26。 - VLAN 3:包含Switch A的端口9-16和26,Switch B的端口9-16和26。
接下来,我们需要配置端口的类型、PVID以及在各VLAN中端口的出口规则。以下是端口配置的示例:
- Switch A和Switch B的26号端口配置为Trunk类型,PVID为1,允许所有VLAN的数据通过。 - Switch A的端口1-8配置为Access类型,PVID为2,属于VLAN 2。 - Switch A的端口9-16配置为ACCESS类型,PVID为3,属于VLAN 3。 - Switch B的端口配置与Switch A相同。
完成VLAN和端口配置后,我们还需要在交换机上配置路由协议,使得两个交换机之间能够相互通信。以下是配置步骤:
1. 进入交换机配置模式,使用命令`vlan`创建VLAN,并指定VLAN ID和名称。 2. 使用命令`interface vlan`进入VLAN接口配置模式,配置端口的类型、PVID和VLAN ID。 3. 使用命令`router`进入路由配置模式,配置路由协议,使得两个交换机之间能够通信。
通过以上步骤,我们成功实现了财务部门和销售部门跨交换机的互访。需要注意的是,实际操作中,可能还需要根据实际情况调整VLAN划分、端口配置和路由协议等参数。
应用背景
在企业中,经常有这样一种情况:同一个公司的同一个部门有多个不同的办公地点(比如在不同的楼层),但是这两个地点的同事的电脑又要求能够相互访问。如果将这两个地点的主机接在同一个交换机下,布线将是一个麻烦的事情。
TPLINK解决方案
为了解决这种问题,可以将不同地点的主机接在不同的交换机下,TP-LINK建议通过配置802.1Q VLAN来实现这两个地点的主机跨交换机互访。
1. 财务部门和销售部门之间相互隔离,不能相互通信。
2. 处于不同交换机下的相同部门的成员能相互通信。
1. VLAN的划分:
◆将财务部门划分为VLAN 2,在Switch A和Switch B上端口成员包括1-8、26;
◆将销售部门划分为VLAN 3,在Switch A和Switch B上端口成员包括9-16、26。
2. 根据VLAN划分需求,确定端口类型、PVID以及在各VLAN中端口的出口规则。
Switch A和Switch B上VLAN与各端口的包含关系如下表:
| VLAN端口 |
VLAN 2 |
VLAN 3 |
端口类型 |
PVID |
出口规则 |
| 1-8 |
√ |
|
ACCESS |
2 |
UNTAG |
| 9-16 |
|
√ |
ACCESS |
3 |
UNTAG |
| 26 |
√ |
√ |
TRUNK |
1 |
TAG |
配置步骤
以Switch A为例,Switch B的配置和Switch A一样。
1. 在“VLAN->802.1Q VLAN->端口配置”中配置端口类型。将端口1-16的端口类型均配置为ACCESS,26端口配置为TRUNK。
2. 在“VLAN->802.1Q VLAN->VLAN配置”中新建VLAN 2、VLAN 3,并且在VLAN 2中勾选1-8、26号端口,在VLAN 3中勾选9-16、26号端口。
3. 在“VLAN->802.1Q VLAN->端口配置”配置端口PVID。将端口1-8的PVID配置为2,端口9-16的PVID配置为3,端口26的PVID保持默认为1。
4. 按照上述步骤配置完Switch A后,同样的步骤配置好Switch B,配置完毕即可实现应用需求。
附注:
端口链路类型介绍:
ACCESS:该端口只能划分到一个VLAN中,端口的出口规则强制为不加Tag。
TRUNK:该端口可以划分到多个VLAN中,可以接收和发送多个VLAN的报文,端口的出口规则强制为加Tag。
GENERAL:该端口可以划分到多个VLAN中,可以接收和发送多个VLAN的报文,端口的出口规则可以根据端口连接设备的实际情况灵活配置为加Tag或不加Tag。
PVID与VLAN数据包处理关系介绍:
PVID:当交换机端口接收到的报文不带有VLAN Tag时,交换机会自动为该报文分配一个VID,这个VID就是端口的默认VLAN ID,简称PVID。
端口链路类型本质上是交换机对出入端口的VLAN Tag的处理方式,详细规则如下表。
