虛擬局域網(wǎng)在防止廣播風(fēng)暴、提高網(wǎng)絡(luò)安全性、提高局域網(wǎng)性能等方面有非常好的表現(xiàn)。但是如何管理不好的話，仍然會(huì)給用戶造成一定的麻煩。如有可能用戶設(shè)置了多個(gè)虛擬局域網(wǎng)，但是卻發(fā)現(xiàn)彼此之間不能夠訪問等等。其實(shí)企業(yè)如果設(shè)置了多個(gè)虛擬局域網(wǎng)，他們之間能否相互訪問全部都是由Trunk來負(fù)責(zé)控制的。如果用戶發(fā)現(xiàn)只有同一個(gè)Vlan中的計(jì)算機(jī)能夠相互訪問，而無法實(shí)現(xiàn)與其他交換機(jī)同一Vlan的計(jì)算機(jī)的相互訪問，那么就有可能是Trunk沒有建立或者配置不當(dāng)引起的。在這篇文章中，筆者就以兩個(gè)實(shí)例，“如何允許不同Vlan之間相互通信”和“如何限制某個(gè)Vlan同其他Vlan的訪問”，來談?wù)凾runk配置的技巧以及相關(guān)注意事項(xiàng)。

一、讓不同的Vlan可以相互通信

當(dāng)企業(yè)網(wǎng)路被劃分成兩個(gè)或者兩個(gè)以上的Vlan時(shí)，通常情況下彼此之間不能夠相互訪問。而是需要建立Trunk，才能夠使得不同交換機(jī)之間的Vlan能夠借助于一條鏈路進(jìn)行通信。那么該如何配置呢?默認(rèn)情況下，第二層接口自動(dòng)處于動(dòng)態(tài)的Switchport模式，相鄰接口都處于這個(gè)動(dòng)態(tài)匹配模式或者Trunk模式時(shí)，這個(gè)鏈路就會(huì)作為Trunk。否則的話，就需要進(jìn)行手工的調(diào)整。不過具體的配置也比較簡單。通過如下幾個(gè)步驟就可以完成。

***步：對接口進(jìn)行相關(guān)的設(shè)置。

要調(diào)整接口的模式，則需要進(jìn)入到全局配置模式下進(jìn)行配置，并指定想要配置的接口。完成這些工作主要需要用到以下命令。

configure terminal --進(jìn)入到全局配置模式。

interface interface-id –指定想要配置的接口。

在調(diào)整接口模式的時(shí)候有一個(gè)技巧。通常是將接口配置為第二層的trunk.。如果接口是第二層訪問接口或者已經(jīng)被指定為trunk模式的時(shí)候，需要用到命令dynamic auto。如果相鄰接口已經(jīng)被設(shè)置為trunk或者desirable模式的時(shí)候，這需要將這個(gè)接口設(shè)置為trunk連接。如果相鄰接口已經(jīng)設(shè)置為trunk、desirable或者auto模式的時(shí)候，則可以將接口設(shè)置為trunk連接。如果管理員不知道相鄰接口的工作模式，或者想強(qiáng)制建立trunk連接，則可以使用trunk命令。這個(gè)命令將接口設(shè)置為***的turnk模式。此時(shí)即使相鄰接口不是trunk接口，系統(tǒng)也會(huì)自動(dòng)協(xié)商將連接轉(zhuǎn)換為Trunk連接。在這段文字中，筆者多次提到了相鄰接口。那么什么是相鄰接口呢?這里的相鄰接口指的是借助于雙絞線或者光纖等傳輸介質(zhì)連接在一起的兩個(gè)端口。筆者建議，為了后續(xù)配置的方便，***將相關(guān)接口工作模式都配置為auto。然后在有必要的情況下對特定的接口做出限制。即先允許相互訪問。然后再對有需要的局域網(wǎng)做出相關(guān)的限制。

第二步：指定默認(rèn)的虛擬局域網(wǎng)Vlan。即當(dāng)某個(gè)Trunk不能夠使用之后，系統(tǒng)會(huì)啟用哪一個(gè)Vlan虛擬局域網(wǎng)。在配置這個(gè)默認(rèn)虛擬局域網(wǎng)的時(shí)候主要要注意兩點(diǎn)。一是可以只指定某個(gè)特定的虛擬局域網(wǎng)，也可以指定一個(gè)范圍。具體情況要看企業(yè)的實(shí)際情況。筆者的建議是，指定一個(gè)范圍為好。二是這個(gè)設(shè)置是可選的。讓用戶不做相關(guān)的配置時(shí)，其默認(rèn)的虛擬局域網(wǎng)一般是一個(gè)單個(gè)的虛擬局域網(wǎng)。筆者認(rèn)為管理員還是要對此進(jìn)行配置，盡量不要采用默認(rèn)的設(shè)置。***需要注意訪問Vlan虛擬局域網(wǎng)不能夠作為本地Vlan使用。在這一步配置中，需要使用的命令為：switchport access vlan vlan_id。

第三步：將Vlan與Trunk鏈路進(jìn)行關(guān)聯(lián)。進(jìn)行完如上配置后，還需要將Vlan與剛才建立的Trunk鏈路進(jìn)行關(guān)聯(lián)。否則的話，系統(tǒng)怎么知道Trunk需要將哪兩個(gè)Vlan連接起來呢?故需要為Trunk指定本地的虛擬局域網(wǎng)。如果不指定本地的虛擬局域網(wǎng)，系統(tǒng)也會(huì)給其一個(gè)默認(rèn)的值。默認(rèn)情況下，將使用Vlan1。網(wǎng)絡(luò)管理員需要根據(jù)實(shí)際情況對這個(gè)參數(shù)進(jìn)行更改，以滿足用戶的實(shí)際需要。

第四步：進(jìn)行測試。***網(wǎng)絡(luò)管理員就需要退回到特權(quán)配置模式(利用end命令)，并利用show interface switchport 或者show interface trunk等命令查看相關(guān)的配置，看其配置是否準(zhǔn)確。配置完成后，網(wǎng)絡(luò)管理員還需要利用ping等命令進(jìn)行測試，以確定各個(gè)虛擬局域網(wǎng)之間能夠相互訪問。

二、限制用戶不能夠訪問某個(gè)特定的Vlan

在實(shí)際工作中，出于安全的需要，可能并不允許多個(gè)Vlan之間能夠相互訪問。當(dāng)然也不是都不能能訪問。如現(xiàn)在有A、B、C三個(gè)Vlan。用戶現(xiàn)在想要實(shí)現(xiàn)，B、C兩個(gè)虛擬局域網(wǎng)可以相互訪問。而A能夠訪問B、C，B、C則不能夠訪問虛擬局域網(wǎng)。因?yàn)锳中可能存儲(chǔ)著比較機(jī)密的資料。遇到這種需求可以實(shí)現(xiàn)嗎?答案當(dāng)然是肯定的。

在默認(rèn)狀體下，Trunk端口允許所有的Vlan發(fā)送和接口傳輸信息。如果用戶有如上的需求，則也可以調(diào)整相關(guān)的配置，來拒絕某些Vlan通過Trunk來傳輸。其配置主要有兩個(gè)目標(biāo)，一是限制其他Vlan對其訪問，既限制B、C訪問自A。二是限制自己對其他Vlan的訪問，即限制A訪問B、C。雖然兩者可以達(dá)到相同的效果，但是配置的工作量是不同的。

***步：對相關(guān)接口進(jìn)行配置。首先跟前面接受的一樣，需要對相關(guān)的接口進(jìn)行配置。如需要先進(jìn)入到全局配置模式(configure terminal);然后指定想要配置的接口(inerface inerface_id );然后將這個(gè)接口配置為trunkd端口(switchport mode trunk)。

第二步：配置trunk上允許或則禁止通信的列表。這個(gè)列表跟思科網(wǎng)絡(luò)設(shè)備的訪問控制列表類似。管理員可以在這個(gè)列表中添加允許通信的虛擬局域網(wǎng)、或者直接選擇全部;當(dāng)然也可以選擇禁止通信的虛擬局域網(wǎng)。注意這里定義的Vlan列表可以使一個(gè)Vlan，也可以是一個(gè)Vlan組。在配置時(shí)，還需要注意一點(diǎn)，如同同時(shí)輸入多個(gè)Vlan號碼的時(shí)候，中間不要使用空格。否則的話，這個(gè)列表就無法正確識別Vlan。

第三步：返回到特權(quán)配置模式，并利用命令查看剛才的配置是否準(zhǔn)確。如果準(zhǔn)確的就保存相關(guān)的配置，然后進(jìn)行必要的測試。這里需要注意一點(diǎn)，即在保存相關(guān)的配置之前，要確保原有的配置已經(jīng)有了備份。萬一測試的時(shí)候發(fā)現(xiàn)配置有問題，就可以通過恢復(fù)原有配置來迅速排除故障。

在進(jìn)行如上配置的時(shí)候，筆者認(rèn)為關(guān)鍵的問題在于管理員需要了解清楚用戶的需求。其到底是想允許訪問呢，還是禁止訪問敏感數(shù)據(jù)。如果有限制的話，那么需要考慮的是實(shí)現(xiàn)的途徑。即是通過“A禁止其他Vlan訪問”方式還是通過“B、C禁止訪問A”來實(shí)現(xiàn)。兩種方式雖然有異曲同工之妙，但是由于用戶的環(huán)境不同，其配置與管理的工作量也有差異。

三、Trunk鏈路的快速排錯(cuò)建立

無論是允許虛擬網(wǎng)之間相互訪問，還是添加某些限制。如果設(shè)置不當(dāng)?shù)脑?，往往不能夠達(dá)到管理員想要達(dá)到的預(yù)期結(jié)果。有時(shí)候反而會(huì)將事情弄得越來越糟。當(dāng)Trunk鏈路出現(xiàn)故障的時(shí)候，排錯(cuò)需要比較長的時(shí)間，而且也需要有比較專業(yè)的人員。為此給大家分享一個(gè)快速排錯(cuò)的方法。在Trunk配置完成之后或者對此進(jìn)行調(diào)整之前先對相關(guān)的配置做好備份。然后當(dāng)出現(xiàn)問題且難以發(fā)現(xiàn)問題原因的時(shí)候，可以將接口恢復(fù)為默認(rèn)值(可以使用default inerface inerface-id來恢復(fù)接口的默認(rèn)值)?；蛘呖梢允褂胣o switchport trunk接口配置命令讓接口中所有特征恢復(fù)為默認(rèn)值，等等。先恢復(fù)為默認(rèn)設(shè)置，然后再根據(jù)原有的資料進(jìn)行重新配置。因?yàn)榻粨Q機(jī)就那么幾個(gè)相鄰接口，故與查找問題原因相比起來，有時(shí)候重新配置反而更加的節(jié)省時(shí)間。