般来说我们购买来的交换机端口都是24口或48口的,对于中小企业来说不可能公司只有24或48台员工机,要想将所有员工机甚至服务器连接到网络中肯定需要不止一台交换机。
  一般来说我们购买来的交换机端口都是24口或48口的,对于中小企业来说不可能公司只有24或48台员工机,要想将所有员工机甚至服务器连接到网络中肯定需要不止一台交换机。
  另外为了方便公司内部管理,经常要将不同的员工机赋予不同的权限,不同权限的员工机是不能互相访问的,防止隐私资料的泄露。对于网络管理员来说将连接到同一台交换机上的不同计算机隔离最好的办法就是使用虚拟局域网VLAN了。
  一、同一台交换机上设置VLAN:
  在同一台交换机上配置VLAN是非常简单的,主要有以下几步。我们以cisco设备为例。
  第一步:在交换机上通过vlan database进入VLAN设置控制台。(如图1)
中小企业交换机互连全功略_交换机互连
图1:进入VLAN设置控制台
  第二步:通过“vlan VLAN号”命令来创建相应的VLAN号。(如图2)
中小企业交换机互连全功略_中小企业_02
图2:创建VLAN号
  第三步:进入某个接口,将其设置为属于某个VLAN的ACCESS模式,命令为switchport mode access。(如图3)
中小企业交换机互连全功略_中小企业_03
图3:将VLAN设置为ACCESS模式
  第四步:设置好该VLAN为ACCESS模式后就要使用命令将该端口添加到此VLAN中了,命令为switchport access vlan 100,即将给端口添加到VLAN 100中。(如图4)
中小企业交换机互连全功略_中小企业_04
图4:添加交换机端口到VLAN中
  第五步:如果要批量设置端口到某某VLAN的话,可以使用批量添加端口命令,将多个端口快速添加到某VLAN中。
  通过上面五步我们就完成了划分VLAN的工作,将连接到同一台交换机上的不同接口进行了分隔,连接到属于不同VLAN接口的计算机将无法互相访问。

 二、多个交换机的连接:
  正如文章前言所说的,一般中小公司都不会仅仅使用一台交换机,那么如何将多个交换机连接到一起呢?
  实际上我们完全可以把交换机看成是以前的集线器,过去连接多个集线器HUB都是采取使用网线直接连接不同集线器端口的方法。如今的交换机也不例 外,我们完全可以通过一根反线将不同交换机的普通以太端口进行连接,从而实现多个交换机的连接,这样接到不同交换机上的PC机就可以互访了。
  对于大部分交换机来说各个以太端口都是支持自适应端口线序的,也就是说不管我们使用正线还是反线连接他们,都可以自动切换线序自动识别。不过为了稳妥起见还是应该使用反线连接多个交换机。

  小提示:
  如果公司购买来的交换机有堆叠线或者支持堆叠功能,那么我们也可以通过堆叠线将不同交换机连接到一起,通过堆叠线连接到一起的交换机吞吐性能更好,传输数据更稳定。不过由于涉及到购买堆叠线的问题,所以带来的开销也会增大。

  三、多个交换机上设置VLAN:
  如果我们公司即需要划分VLAN保护不同PC机的权限,又需要多个交换机互相连接到一起该如何解决呢?这时简单的使用反线将交换机连接到一起并为各个交换机的不同端口设置VLAN就行不通的。
      如果你采用了这种方法,那么你会发现连接到同一个交换机上的属于不同VLAN的PC机是无法互相访问的,连接到同一个交换机的同一个VLAN的PC机是可 以访问的。但是问题就出现在不同交换机上连接到同一个VLAN的PC机依然无法访问。这是因为没有给交换机的端口设置TRUNK协议。
  在上面我们已经见过命令switchport mode access了,他是将交换机的某个端口设置为ACCESS模式,这种传输模式将只传输该端口所属的那个VLAN数据包,例如该接口输入VLAN 10,那么只有发现VLAN 10的数据包才会从这个端口发送和接收,对于其他VLAN的数据包根本不会从此接口传输。
  既然我们用反线将不同交换机的不同接口连接到了一起,那么反线两端的接口应该设置为什么模式呢?如果依然设置为ACCESS模式,那么就应该为 其设置一个VLAN,与此同时该接口将只传输与该VLAN相关的数据包,自然无法传输其他VLAN信息,这就造成连接到不同交换机上数据同一VLAN的接 口之间无法正常通信,这时我们应该将此端口模式换为另一种传输模式——TRUNK模式。
  工作在TRUNK模式下的端口将传输所有VLAN的数据包,不丢弃任何数据包,这样才能保证交换机上发向不同VLAN的数据可以丝毫没有损失的转发到另一台交换机上,再又另一台交换机分发到正确的VLAN接口。
  我们可以采取简单的几步来将交换机上某个接口设置为TRUNK模式,一般来说建议大家选择交换机的最后一个端口,24接×××换机使用24端口,48接×××换机使用48端口来连接。
  第一步:进入交换机中,然后进入对应的要设置为TRUNK模式的接口。
  第二步:使用switchport mode trunk命令将该接口设置为工作在TRUNK模式。(如图5)
中小企业交换机互连全功略_休闲_05
图5:将接口设置为TRUNK模式
  第三步:接下来还需要为工作在TRUNK模式下的接口设置一个封装方式,有三种参数提供给我们,使用switchport trunk encapsulation isl是使用ISL TRUNK封装方式,使用switchport trunk encapsulation dot1q是使用802.1q封装方式,使用switchport trunk encapsulation negotiate是设置自动协商封装方式,采用isl还是802.1q根据另外一台交换机上设置的选择。(如图6)
中小企业交换机互连全功略_职场_06
图6:选择TRUNK工作方式
  第四步:重新按照第一步到第三步的操作在另外一台交换机上进行设置,将反线连接的另一端设置为工作在TRUNK模式,封装方式也要和上面设置的一致。
  两边交换机都设置完毕后我们就会发现网络又变得隔离和连通了,隔离的是在两台交换机上或同一交换机上属于不同VLAN的接口,连通的是在两台交换机上或同一交换机上属于同一个VLAN的接口。企业实现了真正的安全与互访。
  根据笔者多年经验,对于公司设备都是CISCO的情况,在我们设置多台交换机互联且分配VLAN时应该选择ISL TRUNK封装方式,毕竟这是CISCO公司自己独有的,在传输速度和安全等多方面存在着更大的优势,兼容性和稳定性也更好,但是如果公司内部有其他品牌 的设置,例如华为或3COM的话,设置ISL TRUNK封装方式就是大大的错误了,造成的后果就是和没有设置TRUNK一样,因为其他品牌的设置是不支持ISL这种封装方式的。所以这点一定要引起高度重视。


  四、总结:
  通过VLAN与TRUNK的完美结合,我们将公司网络在管理方面进行了更大的优化,安全系数更高,不会再出现隐私泄露与病毒大范围扩散的问题了。同样对于需要连通共享数据的员工机又可以畅通的互连。
      当然如果今后公司偶而需要不同VLAN之间数据的交流的话,可以在服务器的网卡上设置TRUNK信息,容许他和所有VLAN之间传输数据,通过服务器将不同VLAN的数据共享,另外还可以采取临时添加一个路由器的方式,为不同VLAN添加相应的路由信息。