二、限制用户不能够访问某个特定的VLAN
在实际工作中,出于安全的需要,可能并不允许多个VLAN之间能够相互访问。当然也不是都不能能访问。如现在有A、B、C三个VLAN。用户现在想要实现,B、C两个虚拟局域网可以相互访问。而A能够访问B、C,B、C则不能够访问虚拟局域网。因为A中可能存储着比较机密的资料。遇到这种需求可以实现吗?答案当然是肯定的。
在默认状体下,Trunk端口允许所有的VLAN发送和接口传输信息。如果用户有如上的需求,则也可以调整相关的配置,来拒绝某些VLAN通过Trunk来传输。其配置主要有两个目标,一是限制其他VLAN对其访问,既限制B、C访问自A。二是限制自己对其他VLAN的访问,即限制A访问B、C。虽然两者可以达到相同的效果,但是配置的工作量是不同的。
第一步:对相关接口进行配置。首先跟前面接受的一样,需要对相关的接口进行配置。如需要先进入到全局配置模式(configure terminal);然后指定想要配置的接口(inerface inerface_id );然后将这个接口配置为Trunkd端口(switchport mode Trunk)。
第二步:配置Trunk上允许或则禁止通信的列表。这个列表跟思科网络设备的访问控制列表类似。管理员可以在这个列表中添加允许通信的虚拟局域网、或者直接选择全部;当然也可以选择禁止通信的虚拟局域网。注意这里定义的VLAN列表可以使一个VLAN,也可以是一个VLAN组。在配置时,还需要注意一点,如同同时输入多个VLAN号码的时候,中间不要使用空格。否则的话,这个列表就无法正确识别VLAN。
第三步:返回到特权配置模式,并利用命令查看刚才的配置是否准确。如果准确的就保存相关的配置,然后进行必要的测试。这里需要注意一点,即在保存相关的配置之前,要确保原有的配置已经有了备份。万一测试的时候发现配置有问题,就可以通过恢复原有配置来迅速排除故障。
在进行如上配置的时候,笔者认为关键的问题在于管理员需要了解清楚用户的需求。其到底是想允许访问呢,还是禁止访问敏感数据。如果有限制的话,那么需要考虑的是实现的途径。即是通过“A禁止其他VLAN访问”方式还是通过“B、C禁止访问A”来实现。两种方式虽然有异曲同工之妙,但是由于用户的环境不同,其配置与管理的工作量也有差异。
三、Trunk链路的快速排错建立
无论是允许虚拟网之间相互访问,还是添加某些限制。如果设置不当的话,往往不能够达到管理员想要达到的预期结果。有时候反而会将事情弄得越来越糟。当Trunk链路出现故障的时候,排错需要比较长的时间,而且也需要有比较专业的人员。为此给大家分享一个快速排错的方法。在Trunk配置完成之后或者对此进行调整之前先对相关的配置做好备份。然后当出现问题且难以发现问题原因的时候,可以将接口恢复为默认值(可以使用default inerface inerface-id来恢复接口的默认值)。或者可以使用no switchport Trunk接口配置命令让接口中所有特征恢复为默认值,等等。先恢复为默认设置,然后再根据原有的资料进行重新配置。因为交换机就那么几个相邻接口,故与查找问题原因相比起来,有时候重新配置反而更加的节省时间。
