二層交換機(jī)管理問(wèn)題、管理VLAN的概念詳解這個(gè)問(wèn)題，困擾了許多初學(xué)者，最近也有許多同學(xué)問(wèn)道，我這里做個(gè)文檔，幫助大家理解一下。本篇主要回答下列幾個(gè)問(wèn)題：在一個(gè)園區(qū)網(wǎng)中，二層交換機(jī)如何管理？什么是交換機(jī)的管理VLAN？交換機(jī)的管理VLAN一般如何部署？?jī)?nèi)網(wǎng)PC如何管理交換網(wǎng)絡(luò)？關(guān)于涉及到三層交換機(jī)的部分，稍后我會(huì)再發(fā)文補(bǔ)充。.實(shí)驗(yàn)?zāi)康?）了解二層交換機(jī)管理VLAN的概念2）了解二層交換機(jī)設(shè)備管理的部署方法.拓?fù)浼靶枨骎LAN信良庫(kù)：SwitchVUVN255：192.168.255.1VU\N10VLAN信良庫(kù)：SwitchVUVN255：192.168.255.1VU\N10用戶YL鄧VLAN20用戶MLANVL>N255g頻MLANPC1VLAN10IP192.168.10.1/24PC2VLAN20IP192.168.20.1/24F皿FOyO.10192.168.10.254F0JQ.2O192.163.20.254F0；0,255192.168.255,254拓?fù)涿枋觯哼@個(gè)環(huán)境雖然簡(jiǎn)單，但是初學(xué)者理解起來(lái)還是有一定的困難的。交換機(jī)下聯(lián)2臺(tái)PC,并且連接一臺(tái)路由器，路由器作為內(nèi)網(wǎng)VLAN10、VLAN20用戶的網(wǎng)關(guān)。交換機(jī)增加一個(gè)VLAN255用于設(shè)備管理，設(shè)備本身的IP為192.168.255.1，網(wǎng)關(guān)在路由器上。實(shí)驗(yàn)需求：1）完成所有PC的配置2）交換機(jī)創(chuàng)建VLAN10、VLAN20，這是用戶VLAN，是設(shè)備直連的PC用戶的VLAN3）交換機(jī)創(chuàng)建VLAN255,這是本交換網(wǎng)絡(luò)的管理VLAN，用于本交換機(jī)被管理，該VLAN可以配置IP，地址為192.168.255.1，交換機(jī)的網(wǎng)關(guān)指向路由器4）路由器F0/0口劃分子接口，做單臂路由，承載VLAN10、VLAN20及VLAN255的流量5）要求VLAN10、VLAN20之間的用戶能夠互訪，同時(shí)只允許VLAN10的用戶TELNET交換機(jī)進(jìn)行設(shè)備的管理。.關(guān)鍵知識(shí)點(diǎn)這個(gè)實(shí)驗(yàn)中，涉及到的主要知識(shí)點(diǎn)有：VLAN的配置、單臂路由的概念及配置，同時(shí)還有一個(gè)，交換機(jī)的管理VLAN及設(shè)備管理。我們知道，在一個(gè)園區(qū)網(wǎng)中，數(shù)量最多的設(shè)備，一般而言應(yīng)該是交換機(jī)（二層及三層交換機(jī)），其中又以二層交換機(jī)的數(shù)量居多，二層交換機(jī)在典型的三層網(wǎng)絡(luò)結(jié)構(gòu)中處于接入層”，主要的任務(wù)是為終端的PC和用戶提供接入，同時(shí)劃分VLAN隔離廣播域，再者運(yùn)行STP來(lái)提供二層的防環(huán)機(jī)制。一個(gè)中小型的園區(qū)網(wǎng)，二層交換機(jī)的數(shù)量往往是上百臺(tái)，這些設(shè)備在剛剛在客戶現(xiàn)場(chǎng)被拆箱后，一般是由工程師現(xiàn)場(chǎng)用Console線纜一臺(tái)臺(tái)的調(diào)試的（不要驚訝，筆者的記錄是一個(gè)下午的時(shí)間，個(gè)人完成近100臺(tái)交換機(jī)的調(diào)試任務(wù)，當(dāng)然，有集成商的兄弟幫忙安放設(shè)備、加點(diǎn)、貼標(biāo)簽，這就是做好腳本管理的優(yōu)勢(shì)）。這些交換機(jī)在調(diào)試好之后，就會(huì)被安裝到客戶現(xiàn)場(chǎng)的各個(gè)機(jī)房或者弱電間去，一切妥當(dāng)后就正式上線運(yùn)行了。那么這就有一個(gè)問(wèn)題，在設(shè)備上線后，如果我們要變更設(shè)備的配置、要管理這些交換機(jī)怎么辦？難道要拿著筆記本電腦帶著console線下到機(jī)房去現(xiàn)場(chǎng)調(diào)試么？這種屈絲級(jí)的方法完全不可理喻嘛，對(duì)了，可以通過(guò)telnet或者其他方式來(lái)遠(yuǎn)程管理。路由器上的telnet我們已經(jīng)很熟悉了，只要是三層可達(dá)，就能telnet到路由器，那么接下去我們來(lái)看看，如何管理交換機(jī)。這里我們講的是二層交換機(jī)，大家都知道，二層交換機(jī)是無(wú)法識(shí)別三層報(bào)文的，它壓根不會(huì)去看三層的I頭，但是這不影響二層交換機(jī)自己擁有一個(gè)IP地址。在路由器上，我們是給路由器的物理接口配置IP地址，而二層交換機(jī)，我們是在VLAN接口上配置IP地址，VLAN接口我們也稱為SVI交換式虛擬接口，是跟VLAN對(duì)應(yīng)的一個(gè)邏輯的、虛擬的接口。一臺(tái)二層交換機(jī)，只能夠給一個(gè)VLAN接口分配IP地址?？紤]一個(gè)最簡(jiǎn)單的模型：如上圖左側(cè)，PC要想Telnet交換機(jī)，首先PC要能ping通交換機(jī)，其次交換機(jī)上要激活VTY并配置密碼。那么我們?cè)诙咏粨Q機(jī)上創(chuàng)建一個(gè)VLAN10,將F0/1口劃入VLAN10,

同時(shí)給二層交換機(jī)的VLAN10的邏輯接口配置一個(gè)IP,與PC在同一個(gè)網(wǎng)段的IP。這樣一來(lái)，PC就能訪問(wèn)到交換機(jī)了?？墒菃?wèn)題來(lái)了，這樣一來(lái)PC與交換機(jī)就在同一個(gè)網(wǎng)段，同一個(gè)VLAN了，萬(wàn)一下面有PC配置的IP地址與交換機(jī)有沖突那可就麻煩了，因此我們可以考慮給交換機(jī)劃分一個(gè)單獨(dú)的VLAN，用于管理這些交換機(jī)，這個(gè)VLAN適用于整個(gè)交網(wǎng)絡(luò)，統(tǒng)一的VLAN統(tǒng)一的IP規(guī)劃，它就是管理VLAN，因此管理VLAN并不是一個(gè)特定的VLAN，更不是VLAN1，這是許多人的誤解。一般情況下，我們會(huì)使用一個(gè)較為，生僻的”VLANID和IP編制，例如本實(shí)驗(yàn)中的VLAN255，以及網(wǎng)段192.168.255.0/24。問(wèn)題又來(lái)了，給交換機(jī)弄一個(gè)單獨(dú)的設(shè)備管理VLAN固然可以起到與用戶VLAN隔離的作用，但是這樣一來(lái)用戶不就無(wú)法訪問(wèn)到交換機(jī)了么？這就需要借助三層設(shè)備一例如路由器了。與此同時(shí)，由于二層交換機(jī)沒(méi)有路由功能，無(wú)法像路由器哪樣擁有一個(gè)IP路由表，因此，你還需給交換機(jī)配置一個(gè)默認(rèn)網(wǎng)關(guān)，就像你用路由器模擬PC那樣哦親。.配置及實(shí)現(xiàn)先不忙著做實(shí)驗(yàn)，我們來(lái)看看這個(gè)實(shí)驗(yàn)的拓?fù)?SwitchUTN255SwitchUTN255：192.168.255.1F皿FOJ0,1O192.163.10.254F0ya.20192.16S,20.254F0；0.255-192,-163.255,254VL>N10用戶MLANVU\N20VL>N10用戶MLANVU\N20用戶VLANFO/15PC1VLAN10IP192.168.10.1/24PC1VLAN10IP192.168.10.1/24PC2VLAN20IP192.168.20.1/24這個(gè)拓?fù)淦鋵?shí)可以用一個(gè)更形象的方式來(lái)理解:FD/0.20InterfaceWar255ipaddress192.168.255,1255.255.255.0RouterSwitch|FW0.1口FD/0.20InterfaceWar255ipaddress192.168.255,1255.255.255.0RouterSwitch|FW0.1口F帖VLAN10FO/2VLAN20InterfaceVLAN255,這樣總能看懂了吧？于是當(dāng)PC要管理(例如要Telnet交換機(jī)時(shí))交換機(jī)時(shí)，可telnet192.168.255.1,這個(gè)數(shù)據(jù)包會(huì)被發(fā)送給PC自己的網(wǎng)關(guān)，該網(wǎng)關(guān)其實(shí)在Router的子接口上的，再經(jīng)由Router轉(zhuǎn)到交換機(jī)所在的網(wǎng)段扔回給交換機(jī)。有一點(diǎn)值得提醒的是，為了讓數(shù)據(jù)能回來(lái)，我們還要給這臺(tái)二層交換機(jī)配個(gè)默認(rèn)網(wǎng)關(guān)，否則無(wú)法正常管理。下面來(lái)看具體的配置：1)完成PC1及PC2的配置這個(gè)就不再贅述了2)完成交換機(jī)的配置switch#configterminalswitch(config)#vlan10 !!創(chuàng)建VLANswitch(config)#vlan20switch(config)#vlan255 !!這是管理VLANswitch(config)#interfacefast0/1switch(config-if)#swtichportaccessvlan10 !!將接口劃入特定的VLANswitch(config)#interfacefast0/2switch(config-if)#swtichportaccessvlan20

!!指定!!指定trunk封裝協(xié)議!!將接口模式定義為trunkswitch(config-if)#switchporttrunkencapsulationdot1qswitch(config-if)#switchportmodetrunkswitch(config-if)#exitswitch(config)#interfacevlan255switch(config-if)#ipaddress192.168.255.1255.255.255.0 !!給VLAN255的SVI口配置IP地址switch(config-if)#exitswitch(config)#ipdefault-gateway192.168.255.254 !!為交換機(jī)自身指定網(wǎng)關(guān)switch(config)#linevty04 !!配置VTY以便PC能夠登錄switch(config-line)#passwordccieteaswitch(config-line)#loginswitch(config-line)#exitswitch(config)#注意，如果是使用模擬器進(jìn)行實(shí)驗(yàn)，若使用三層設(shè)備IOS(例如C3640)，則需先在全局配置模式下noiprouting關(guān)閉設(shè)備的路由功能，讓其模擬一臺(tái)二層交換機(jī)，如果不配這條命令，ipdefault-gateway指定的缺省網(wǎng)關(guān)是無(wú)效的，在開啟iprouting的情況下，可以使用iproute0.0.0.00.0.0.0的方式來(lái)替代ipdefault-gateway命令。另一點(diǎn)需注意的是，ipdefaut-gateway這條命令，是給交換機(jī)自己用的，而不是為下聯(lián)的PC配置網(wǎng)關(guān)，這點(diǎn)許多許多許多初學(xué)者經(jīng)常進(jìn)場(chǎng)搞混。3)完成路由器的配置hostnameGWinterfaceFastEthernet0/0!!注意一定要將物理接口打開!!注意一定要將物理接口打開!!這個(gè)子接口作為VLAN10的網(wǎng)關(guān)!!為子接口設(shè)定封裝協(xié)議dot1Q，后面的10表示的noshutdowninterfaceFastEthernet0/0.10encapsulationdot1Q10是VLANIDipaddress192.168.10.254255.255.255.0interfaceFastEthernet0/0.20 !!這個(gè)子接口作為VLAN20的網(wǎng)關(guān)encapsulationdot1Q20ipaddress192.168.20.254255.255.255.0interfaceFastEthernet0/0.255 !!這個(gè)子接口作為VLAN255的網(wǎng)關(guān)encapsulationdot1Q255ipaddress192.168.255.254255.255.255.04）驗(yàn)證及擴(kuò)展