对于小型企业来说,可以在一台交换机上实现多个Vlan,以满足用户在安全与性能上的需求。不过对于中型以上的企业来说,一台交换机不能够满足用户日常工作的需要。如下图所示,可能需要在多台交换机上组建Vlan。此时会涉及到一个比较复杂的问题。即不同交换机上的同一个Vlan,如何进行数据的交换。在这篇文章中,笔者就这个问题展开说明,谈谈跨交换机的Vlan配置与管理的要点解析。
一、帧标记在跨交换机Vlan中的关键作用
在谈到跨交换机部署Vlan时,一定要谈到帧标记。可以这么说,如果没有帧标记的话,那么不同交换机之间,即使处于相同的Vlan中,数据也无法进行转发。当帧穿越交换机和Vlan时, 需要有一种方法来让每台交换机跟踪所有的用户和帧。在跨交换机Vlan部署环境中,这种方法是通过帧标记来实现的。帧标记独一无二的给每个帧分配一个用户定义的ID。
当接收到帧的交换机往往需要先查看数据帧的这个帧标记,以判断这个帧属于哪个Vlan。交换机系统会查看过滤表中的信息,以判断这些帧该如何处理。如果接收到的帧的交换机有中继链路的话,则帧就有可能从中继链路上转发出去。一旦帧到达了转发过滤表决定的、与帧的帧标记相匹配的访问链路或者中继链路的出口,交换机就会删除这个Vlan标识。如此的话,访问端口就可以接收这个数据帧(注意对于访问端口来说,如果带有Vlan标识其会丢弃这个数据包)。
这些内容比较理论,笔者也只是抽重点内容谈一下。不过这是理解后续配置与维护管理要点的基础内容。为此笔者还是建议各位读者,如果还不明白的话,需要再读几篇。一定要讲帧标记对于跨交换机Vlan的作用搞清楚。只有如此,阅读下面的内容时才会有更加深刻的理解。简单的说,交换机就是依靠帧标记来判断,所接收的帧是属于哪个Vlan。是同一个交换机的其他Vlan,还是其他交换机上的相同Vlan。然后根据判断的结果来采取正确的转发行动。
二、利用交换机链路来识别Vlan与传递信息
如上图所示,跨交换机的Vlan之间数据如何进行转发呢?此时需要用到的技术是交换机间链路,英文简称是ISL。交换机间链路,简单的说,是一种在以太网帧上显示的标记Vlan信息的一种方法。ISL主要通过一种外部封装方法,这种标记信息允许Vlan在中继链路山实现多路复用,从而允许交换机在中继链路上识别出帧的Vlan成员关系。可见 交换机链路其主要作用就是判断数据帧是属于哪个Vlan,并将其正确的转发到对应的Vlan(目的交换机的端口)中。
网络管理员如果运行交换机间链路技术的话,可以将多台交换机连接起来,当数据流在交换机之间的中继链路上传送时,将仍然保持着重要的Vlan信息。如上图所示,这也就是说,运行从交换机A的一个端口将数据发送到另外一台交换机的端口B上面。与以前不同的是,在这个转发的过程中,会保有Vlan信息。如此的话,交换机B才可以判断其接收到的数据到底是属于哪个Vlan的。然后再将数据转发到自己交换机对应的端口之上。
对于交换机间链路技术来说,在实际工作中笔者认为管理员至少需要掌握以下两点内容。一是需要注意交换机间链路其工作的地方。一般来说这个交换机间链路其主要在第2层其作用,并用新的报头和循环冗余校验对数据帧进行封装。这一点对于后续性能的优化与网络的监控会有比较大的作用。二是需要注意交换机间链路的局限性。交换机间链路是思科交换机专用的方法。它只适合采用与快速以太网和吉比特以太网链路。在其他环境中,其并不适用。另外需要注意的是,这个交换机间链路不仅仅适用于交换机之间的连接,还适用于交换机端口与路由器端口、交换机端口和服务器接口卡之间的连接。为此笔者提醒大家,不要被这个名字忽悠了。
三、将交换机端口分配到Vlan中
如上图所是,刚开始交换机A的某个端口是Vlan3的,或者没有指定Vlan。现在需要将这个交换机端口分配到Vlan2中,该如何设置呢?在这部分内容中,笔者将详细的为大家介绍相关的配置。
其基本的配置原理是,通过分配特定端口所承载的流量类型的成员关系模式,就可以将端口配置到Vlan中,并加上端口所属的Vlan号码。在实际工作中,我们使用的命令是Switchport。通过这个命令可以将交换机的每个端口都配置到指定的Vlan中。
如要将某个端口分配给特定的Vlan,我们需要先进入到这个端口的配置模式。然后使用如下命令进行配置。
Switchport access vlan2
众所周知,交换机的端口是属于第二层的端口。为此可以使用swithport access命令将端口分配到某个Vlan中。不过需要注意的是,采用这个命令进行配置的话,只能够一个个端口的加入。因为从上面这个命令中,我们看到其没有指定端口信息。这也就是说,如果现在交换机A上有三个端口需要加入到Vlan2中,此时网络管理员只能够先一一的进入到特定的接口模式,然后重复上面的命令进行配置。不过显然这么做的工作量会比较大。如果需要同时将多个接口加入到某个Vlan中去的话,则必须使用interface range命令,就可以同时配置多个端口。
此时如果将设备插入到刚才配置的Vlan中,则它们就只能与位于同一个Vlan中的其他设备进行通信。如上图所示,如果交换机上A上有1与2两个接口,如果他们不属于同一个Vlan,那么连接到这个两个接口上的设备将无法通信。再如如果交换机A与交换机B上各有接口甲与接口乙。如果这两个接口属于同一个Vlan,那么即使他们属于不同的交换机上,连接在这些接口之上的设备,他们仍然可以进行通信。
四、配置中继端口让交换机之间相同的Vlan进行通信
如上图所示,如果甲、乙两个接口分别属于不同的交换机,但是他们属于同一个Vlan。他们之间可以正常进行通信,但是需要依靠中继端口的帮助。在这部分内容中,笔者主要谈谈如何来配置中继端口以实现中继链路。具体的说笔者认为只需要掌握以下几个命令即可。
第一个命令是switchport mode access。这个命令使得交换机的访问端口成为永久性的非中继模式,并协商将链路变为非中继链路。注意这是强制性的。也就是说,这么配置后可能会出现下面这种冲突的情况。链路的两端,一个是中继接口,而另外一个是非中继接口。这就会导致通信的障碍。
第二个命令是switchport mode dynamic auto。这个命令可以将链路转换为中继链路。这是新一代交换机默认的工作模式。如此配置之后,如果邻居交换机接口设置为中继或者需要的模式,则这个接口也会变为中继接口。与上面的命令相比,这个命令就会多一个自动协商的机制,从而避免链路两端的接口类型不一致,而导致的冲突。注意,由于交换机的中继端口与访问端口两者不是兼容的。为此他们之间如果发生冲突的话,最直接的后果就是导致通信的中断。
总的来说,跨交换机部署Vlan相对来说比较复杂一点,因为其需要用到的技术比较多。