本文详细介绍了二层交换机在园区网络中的管理方法,包括管理VLAN的部署与作用,以及如何通过路由器实现VLAN间的通信。文章通过实验目的、拓扑及需求、关键知识点的阐述,以及具体的配置与实现步骤,帮助读者理解如何在不直接暴露于网络的情况下管理交换机,确保网络安全性。
二层交换机在园区网络中如何被管理?管理VLAN究竟是什么概念?管理VLAN必须是VLAN1么?这个问题,困扰了许多初学者,最近也有许多同学问道,我这里做个文档,帮助大家理解一下。本篇主要回答下列几个问题:
- 在一个园区网中,二层交换机如何管理?
- 什么是交换机的管理VLAN?
- 交换机的管理VLAN一般如何部署?
- 内网PC如何管理交换网络?
关于涉及到三层交换机的部分,稍后我会再发文补充。
拓扑描述:
如上图左侧,PC要想Telnet交换机,首先PC要能ping通交换机,其次交换机上要激活VTY并配置密码。那么我们在二层交换机上创建一个VLAN10,将F0/1口划入VLAN10,同时给二层交换机的VLAN10的逻辑接口配置一个IP,与PC在同一个网段的IP。这样一来,PC就能访问到交换机了。可是问题来了,这样一来PC与交换机就在同一个网段,同一个VLAN了,万一下面有PC配置的IP地址与交换机有冲突那可就麻烦了,因此我们可以考虑给交换机划分一个单独的VLAN,用于管理这些交换机,这个VLAN适用于整个交换网络,统一的VLAN统一的IP规划,它就是管理VLAN,因此管理VLAN并不必须是一个特定的VLAN,更不一定必须是VLAN1,这是许多人的误解。一般情况下,我们会使用一个较为“生僻的”VLAN ID和IP编制,例如本实验中的VLAN255,以及网段192.168.255.0/24。
这个拓扑其实可以用一个更形象的方式来理解,见下图:
这样总能看懂了吧?于是当PC(假设是VLAN10的PC)要管理交换机时(例如要Telnet 交换机时),可telnet 192.168.255.1,这个数据包会被发送给PC自己的网关,该网关其实在Router的子接口FA0/0.10上的,路由器通过路由表的查询,发现目的网络就在本地直连(子接口FA0/0.255),于是将数据包从该子接口发送出去,最终到达交换机。有一点值得提醒的是,为了让数据能回来,我们还要给这台二层交换机配个默认网关,否则无法正常管理。
1. 实验目的
1)了解二层交换机管理VLAN的概念。
2)了解二层交换机设备管理的部署方法。
2. 拓扑及需求
这个环境虽然简单,但是初学者理解起来还是有一定的困难的。交换机下联2台PC,并且连接一台路由器,路由器作为内网VLAN10、VLAN20用户的网关。交换机增加一个VLAN255用于设备管理,设备本身的IP为192.168.255.1,网关在路由器上。
实验需求:
1)完成所有PC的配置。
2)交换机创建VLAN10、VLAN20,这是用户VLAN,是设备直连的PC用户的VLAN。
3)交换机创建VLAN255,这是本交换网络的管理VLAN,用于本交换机被管理,该VLAN对应的逻辑三层接口可以配置IP,地址为192.168.255.1,交换机的网关指向路由器。
4)路由器FA0/0口划分子接口,做单臂路由,承载VLAN10、VLAN20及VLAN255的流量。
5)要求VLAN10、VLAN20之间的用户能够互访,同时只允许VLAN10的用户Telnet到交换机进行设备的管理。
3. 关键知识点
这个实验中,涉及到的主要知识点有:VLAN的配置、单臂路由的概念及配置,同时还有一个,交换机的管理VLAN及设备管理。我们知道,在一个园区网中,数量最多的设备,一般而言应该是交换机(二层及三层交换机),其中又以二层交换机的数量居多,二层交换机在典型的三层网络结构中处于“接入层”,主要的任务是为PC、服务器等终端设备提供接入,同时划分VLAN隔离广播域,再者运行STP来提供二层链路的防环。
一个中小型的园区网,二层交换机的数量往往是上百台,这些设备在刚刚在客户现场被拆箱后,一般是由工程师现场用Console线缆一台台的调试的(不要惊讶,笔者的记录是一个下午的时间,个人完成近100台交换机的调试任务,当然,有集成商的兄弟帮忙安放设备、加点、贴标签,这就是做好脚本管理的优势)。这些交换机在调试好之后,就会被安装到客户现场的各个机房或者弱电间去,一切妥当后就正式上线运行了。那么这就有一个问题,在设备上线后,如果我们要变更设备的配置、要管理这些交换机怎么办?难道要拿着笔记本电脑带着console线下到机房去现场调试么?这种屌丝级的方法完全不可理喻嘛,对了,可以通过telnet或者其他方式来远程管理。路由器上的telnet我们已经很熟悉了,只要是三层可达,就能telnet到路由器,那么接下去我们来看看,如何管理交换机。
这里我们讲的是二层交换机,我们知道二层交换机的物理接口是不能配置IP地址的,这些接口被称为二层接口,二层接口要么是access类型,要么是trunk类型。然而二层交换机除了物理接口外,还有逻辑接口,一种非常重要的逻辑接口就是Vlan-Interface,VLAN接口我们也称为SVI交换式虚拟接口,是跟VLAN对应的一个逻辑的、虚拟的接口。一台二层交换机,只能够给一个VLAN接口分配IP地址。例如,我们在交换机上有VLAN10,然后我们为交换机的Vlan-Interface 10配置一个IP地址:
interface vlan 10
配置很简单对吧?这样一来交换机自身就拥有了一个IP地址192.168.10.100/24,而且这个IP地址与VLAN10捆绑,这样,如果在VLAN10内有其他PC或路由器,他们只要使用相同的IP网段,即可与交换机进行IP通信。
考虑一个最简单的模型:
如上图左侧,PC要想Telnet交换机,首先PC要能ping通交换机,其次交换机上要激活VTY并配置密码。那么我们在二层交换机上创建一个VLAN10,将F0/1口划入VLAN10,同时给二层交换机的VLAN10的逻辑接口配置一个IP,与PC在同一个网段的IP。这样一来,PC就能访问到交换机了。可是问题来了,这样一来PC与交换机就在同一个网段,同一个VLAN了,万一下面有PC配置的IP地址与交换机有冲突那可就麻烦了,因此我们可以考虑给交换机划分一个单独的VLAN,用于管理这些交换机,这个VLAN适用于整个交换网络,统一的VLAN统一的IP规划,它就是管理VLAN,因此管理VLAN并不必须是一个特定的VLAN,更不一定必须是VLAN1,这是许多人的误解。一般情况下,我们会使用一个较为“生僻的”VLAN ID和IP编制,例如本实验中的VLAN255,以及网段192.168.255.0/24。
问题又来了,给交换机弄一个单独的设备管理VLAN固然可以起到与用户VLAN隔离的作用,但是这样一来用户不就无法访问到交换机了么(PC与交换机无法进行二层通信)?这就需要借助三层设备—例如路由器了。与此同时,由于二层交换机没有路由功能,无法像路由器哪样拥有一个IP路由表,因此,你还需给交换机配置一个默认网关,就像你用路由器模拟PC那样哦亲。
4. 配置及实现
先不忙着做实验,我们来看看这个实验的拓扑:
这个拓扑其实可以用一个更形象的方式来理解,见下图:
这样总能看懂了吧?于是当PC(假设是VLAN10的PC)要管理交换机时(例如要Telnet 交换机时),可telnet 192.168.255.1,这个数据包会被发送给PC自己的网关,该网关其实在Router的子接口FA0/0.10上的,路由器通过路由表的查询,发现目的网络就在本地直连(子接口FA0/0.255),于是将数据包从该子接口发送出去,最终到达交换机。有一点值得提醒的是,为了让数据能回来,我们还要给这台二层交换机配个默认网关,否则无法正常管理。
下面来看具体的配置:
1)完成PC1及PC2的配置
这个就不再赘述了。
2)完成交换机的配置
vlan 10
vlan 20
vlan 255
interface fast0/1
interface fast0/2
interface fast0/15
!
interface vlan 255
ip address 192.168.255.1 255.255.255.0
!
ip default-gateway 192.168.255.254
!
line vty 0 4
注意,如果是使用模拟器进行实验,若拓扑中的交换机使用三层设备IOS(例如C3640)模拟,则需先在全局配置模式下no ip routing关闭设备的路由功能,让其模拟一台二层交换机,如果不配这条命令,则ip default-gateway指定的缺省网关是无效的,在开启ip routing的情况下,可以使用ip route 0.0.0.0 0.0.0.0的方式来替代ip default-gateway命令。另一点需注意的是,ip defaut-gateway这条命令,是给交换机自己用的,而不是为下联的PC配置网关,这点许多许多许多初学者经常进场搞混。
3)完成路由器的配置
interface FastEthernet0/0
interface FastEthernet0/0.10
interface FastEthernet0/0.20
interface FastEthernet0/0.255
4)验证及扩展
完成上述配置后,PC1 及PC2就都能telnet上交换机进行管理了。这就是二层交换机的管理概念。
在实际的部署中,如果直接将交换机暴露在网络中,内网所有的PC都能随意登录,那是存在风险的,我们还可以在交换机上增加如下配置,来限制管理交换机的网段,例如我们只让192.168.10.0/24这个网段的用户管理交换机:
access-list 1 permit 192.168.10.0 0.0.0.255
line vty 0 4
5. 多层交换网络中的交换机管理
在上面的例子中,我们通过路由器(部署子接口)来实现VLAN之间的通信,然而在园区网中,主要使用的是三层交换机的SVI来实现VLAN间的通信。
以上图为例,二层交换机下挂着用户PC,并且上联到核心交换机。全网存在着4个VLAN,其中VLAN10、20及30是用户VLAN,而VLAN255则是交换机的管理VLAN。核心交换机上创建了这4个VLAN并且都为VLAN的Vlan-Interface配置了IP地址,这些IP地址就是相应VLAN的网关,其中interface vlan 255作为所有二层交换机的默认网关。
本文为原创博文,版权归属红茶三杯(http://blog.sina.com.cn/vinsoney),转载请注明出处。
红茶三杯
网络工程 | 数据通信 | 项目管理
学习 沉淀 成长 分享
扫一扫
1180
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
