本章介绍了 VLAN。 VLAN 基于逻辑连接,而不是物理连接。 VLAN 机制允许网络管理员创建可跨单个或多个交换机的逻辑广播域,而无需考虑物理接近度。 此功能可用于减小广播域的大小,或用于对组或用户进行逻辑分组,不必位于相同物理位置。

VLAN 分为几类:

在思科交换机上,VLAN 1 是默认的以太网 VLAN、默认的本征 VLAN 和默认的管理 VLAN。 最佳实践建议,本征 VLAN 和管理 VLAN 移动到另一个不同的 VLAN,并且未使用的交换机端口移动到“黑洞”VLAN,从而增强安全性。

switchport access vlan 命令用于在交换机上创建 VLAN。 在创建 VLAN 后,下一步是为 VLAN 分配端口。 show vlan brief 命令显示所有交换机端口的 VLAN 分配和成员类型。 每个 VLAN 必须对应唯一的 IP 子网。

使用 show vlan 命令检查端口是否属于期望的 VLAN。 如果端口被分配到错误的 VLAN,请使用 switchport access vlan 命令纠正 VLAN 成员关系。 使用 show mac address-table 命令检查交换机的特定端口上获知了哪些地址,以及该端口分配到哪个 VLAN。

交换机上的端口既是接入端口,又是 TRUNK 端口。 接入端口传输来自分配给该端口的特定 VLAN 的流量。 TRUNK 端口默认为所有 VLAN 的成员;因此,它传输所有 VLAN 的流量。

VLAN TRUNK 传递与多个 VLAN 关联的流量,非常有利于交换机间的通信。 与不同 VLAN 关联的以太网帧在经过公共的 TRUNK 链路时,IEEE 802.1Q 帧标记功能可以区分这些帧。 要启用 TRUNK 链路,请使用 switchport mode trunk 命令。 使用 show interfaces trunk 命令检查是否已在交换机之间建立 TRUNK。

TRUNK 协商由动态中继协议 (DTP) 管理,它仅在网络设备之间点对点地进行操作。 DTP 是 Catalyst 2960 和 Catalyst 3560 系列交换机上自动启用的思科专有协议。

要将交换机恢复为带 1 个默认 VLAN 的出厂默认状态,请使用命令 delete flash:vlan.dat erase startup-config

本章还研究了使用 Cisco IOS CLI 对 VLAN 和 TRUNK 进行配置、检验和故障排除的方法,并探讨了 VLAN 中的基本安全和设计注意事项。