VLAN(虚拟局域网)是一种将物理局域网逻辑上划分为多个独立广播域的技术,通过命令行配置VLAN可以实现网络隔离、提升安全性及优化流量管理,以下将详细介绍基于Cisco IOS设备的VLAN命令行配置步骤、常用命令及注意事项,涵盖VLAN创建、端口分配、中继配置等内容,并结合表格对比关键命令的功能与语法。
VLAN基础配置
在命令行界面(CLI)中,首先需要进入全局配置模式,通过vlan [vlan_id]命令创建VLAN并进入VLAN配置模式,创建VLAN 10并命名为“Sales”的命令序列为:
Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Sales 若需删除VLAN,可在全局配置模式下使用no vlan [vlan_id]命令,但需注意该VLAN必须未关联任何端口,否则需先清除端口配置。
端口VLAN分配
交换机端口分为接入端口(Access Port)和中继端口(Trunk Port),接入端口仅属于单一VLAN,通常用于连接终端设备;中继端口可承载多个VLAN流量,常用于连接交换机或路由器。
配置接入端口
将端口F0/1划入VLAN 10的步骤如下:
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10 若需将端口恢复为默认状态(VLAN 1),可使用no switchport access vlan命令。
配置中继端口
配置端口F0/24为802.1Q中继,并允许VLAN 10、20通过的命令为:
Switch(config)# interface gigabitethernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20 若需允许所有VLAN通过,可使用switchport trunk allowed vlan all;若需移除特定VLAN,则使用switchport trunk allowed vlan remove [vlan_list]。
VLAN验证与故障排查
配置完成后,需通过命令验证VLAN状态,常用命令及输出示例如下:
show vlan brief:显示所有VLAN及其关联端口
| VLAN ID | Name | Status | Ports |
|---------|--------------|--------|---------------------|
| 1 | default | active | Fa0/2, Fa0/3 |
| 10 | Sales | active | Fa0/1 |
| 20 | Marketing | active | Fa0/24 (Trunk) |show interfaces trunk:查看中继端口允许的VLAN列表及封装协议(默认为802.1Q)show interfaces [interface_id] switchport:检查端口的VLAN模式及PVID(默认VLAN 1)
若中继端口无法传输特定VLAN流量,需检查:
- 两端端口的
switchport mode是否均为trunk; switchport trunk allowed vlan列表是否包含目标VLAN;- 是否存在
switchport trunk native vlan配置不匹配问题(建议将native VLAN设为 unused 或专用管理VLAN)。
高级配置:VLAN间路由
若需实现不同VLAN间的通信,可通过单臂路由(Router-on-a-Stick)或三层交换机配置,以单臂路由为例:
- 在路由器子接口配置IP地址,
Router(config)# interface fastethernet 0/0.10 Router(config-subif)# encapsulation dot1q 10 Router(config-subif)# ip address 192.168.10.1 255.255.255.0 - 交换机中继端口需允许对应VLAN通过。
注意事项
- VLAN 1的特殊性:所有端口默认属于VLAN 1,建议禁用VLAN 1的接入端口以避免安全风险。
- 中继链路协商:使用
switchport trunk negotiation desirable(主动协商)或auto(被动协商),但需确保对端设备支持DTP协议。 - 私有VLAN:对于需要进一步隔离的场景(如同一VLAN内的端口隔离),可配置PVLAN,需先通过
vlan private-vlan命令定义主VLAN与辅助VLAN。
相关问答FAQs
Q1: 如何批量将多个端口划入同一VLAN?
A1: 可使用range关键字批量选择端口,例如将F0/1至F0/10划入VLAN 10:
Switch(config)# interface range fastethernet 0/1 - 10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10 注意:若端口已存在其他VLAN配置,需先使用no switchport access vlan清除。
Q2: 中继端口的native VLAN不匹配会导致什么问题?
A2: Native VLAN是用于传输未标记流量的VLAN,若两端设备的native VLAN不同,可能导致:
- 未标记流量被错误划分至不同VLAN,引发通信故障;
- 存在安全风险(如VLAN跳转攻击)。
解决方法:统一配置native VLAN,例如switchport trunk native vlan 99,并建议将native VLAN设为未使用或专用管理VLAN。
