通过CLI在交换机上配置基于子网的VLAN组

简介

利用虚拟局域网 (VLAN)，您可以将局域网 (LAN) 逻辑划分为不同的广播域。在敏感数据可能会在网络中广播的情况下，可以创建 VLAN 以通过指定广播到特定 VLAN 来增强安全性。只有属于某个 VLAN 的用户才能访问和操作该 VLAN 中的数据。利用 VLAN，还可在一定程度上免于将广播和组播发送到不必要的目标，从而提高性能。

运行多个协议的网络设备无法分组到一个公用VLAN中。非标准设备用于在不同VLAN之间传递流量，以便将参与特定协议的设备包括在内。因此，您无法利用VLAN的许多功能。

VLAN组用于第2层网络上的流量负载均衡。数据包按照不同的分类进行分配，并分配给VLAN。存在许多不同的分类，如果定义了多个分类方案，则按以下顺序将数据包分配给VLAN:

• Tag — 从标记中识别VLAN编号。
• 基于MAC的VLAN — 从入口接口的源媒体访问控制(MAC)到VLAN的映射中识别VLAN。
• 基于子网的VLAN — 从入口接口的源子网到VLAN映射识别VLAN。
• 基于协议的VLAN — 从入口接口的以太网类型协议到VLAN映射中识别VLAN。
• PVID — 从端口默认VLAN ID识别VLAN。

要在交换机上配置基于子网的VLAN组，请遵循以下指南：

1. 创建 VLAN。要了解如何通过基于 Web 的实用程序配置交换机的 VLAN 设置，请点击此处。有关基于 CLI 的说明，请点击此处。

2.配置VLAN接口。有关如何通过交换机基于 Web 的实用程序将接口分配给 VLAN 的说明，请点击此处。有关基于 CLI 的说明，请点击此处。

注意：如果接口不属于该VLAN，则基于子网的VLAN组配置设置不会生效。

3.配置基于子网的VLAN组。有关如何通过交换机的基于Web的实用程序配置基于子网的VLAN组的说明，请单击此处。

4.（可选）您还可以配置以下内容：

基于MAC的VLAN组概述 — 有关如何通过交换机的基于Web的实用程序配置基于子网的VLAN组的说明，请单击此处。有关基于 CLI 的说明，请点击此处。

基于协议的 VLAN 组概述 - 有关如何通过交换机基于 Web 的实用程序配置基于协议的 VLAN 组的说明，请点击此处。有关基于 CLI 的说明，请点击此处。

目标

基于子网的组VLAN分类允许根据数据包的子网对其进行分类。然后，您可以为每个接口定义子网到VLAN的映射。您还可以定义多个基于子网的VLAN组，每个组包含不同的子网。这些组可分配给特定端口或LAG。基于子网的VLAN组不能在同一端口上包含重叠的子网范围。

根据IP子网转发数据包需要设置IP子网组，然后将这些组映射到VLAN。本文提供有关如何通过CLI在交换机上配置基于子网的组的说明。

适用设备 | 软件版本

• CBS250(产品手册) |3.0.0
• CBS350(产品手册) |3.0.0
• CBS350-2X(产品手册) |3.0.0
• CBS350-4X(产品手册) |3.0.0

通过CLI在交换机上配置基于子网的VLAN组

创建基于子网的VLAN组

步骤 1： 登录到交换机控制台。默认用户名和密码为 cisco/cisco。如果已配置新的用户名或密码，请输入相应凭证。

注意：根据交换机的具体型号，命令可能会有所不同。在本示例中，通过Telnet访问CBS350X交换机。

步骤 2： 在交换机的特权 EXEC 模式下，输入以下命令进入全局配置模式：

CBS350#configure

步骤3.在全局配置模式下，通过输入以下内容配置基于子网的分类规则：

CBS350(config)#vlan数据库

步骤4.要将IP子网映射到一组IP子网，请输入以下命令：

CBS350(config-vlan)#map subnet [ip-address][prefix-mask]subnets-group[group-id]

选项有：

• ip-address — 指定要映射到VLAN组的子网的IP地址。此IP地址不能分配给任何其他VLAN组。
• prefix-mask — 指定IP地址的前缀。仅查看IP地址的一部分（从左到右），然后将其放入组中。长度数字越小，查看的位数就越少。这意味着您可以一次为VLAN组分配大量IP地址。
• group-id — 指定要创建的组编号。组ID的范围从1到2147483647。

注意：例如，在映射子网192.168.100.1 24子网 — 组10中，组10过滤前24位或三个二进制八位数(192.168.100.x)。 在映射子网192.168.1.1 16子网 — 组20中，组20过滤IP地址的前16位或两个八位组(192.168.x.x)。

步骤 5： 要退出接口配置情景，请输入以下命令：CBS350(config-vlan)#exit

现在，您应该已经通过CLI在交换机上配置了基于子网的VLAN组。

将基于子网的VLAN组映射到VLAN

步骤 1： 在全局配置模式下，输入以下命令进入接口配置情景：

CBS350#interface [interface-id | range interface-range]

选项有：

• interface-id - 指定要配置的接口 ID。
• range interface-range — 指定VLAN列表。以逗号分隔不连续的 VLAN，中间不带空格。使用连字符指定 VLAN 的范围。

注意：例如，可以使用接口ge1/0/11。

步骤2.在接口配置上下文中，使用switchport mode命令配置VLAN成员资格模式：

CBS350(config-if)#switchport mode general

• 常规 — 接口可支持IEEE 802.1q规范中定义的所有功能。该接口可以是一个或多个VLAN的已标记或未标记成员。

步骤 3： （可选）要将端口返回到默认 VLAN，请输入以下命令：

CBS350(config-if)#no switchport mode general

步骤4.要配置基于子网的分类规则，请输入以下内容：

CBS350(config-if)#switchport general map subnets-group [group] vlan[vlan-id]

选项有：

• group — 指定基于子网的组ID以过滤通过端口的流量。范围为1至2147483647。
• vlan-id — 指定将来自VLAN组的流量转发到的VLAN ID。范围为1至4094。

步骤 5： 要退出接口配置情景，请输入以下命令：

CBS350(config-if)#exit

步骤6.（可选）要从端口或端口范围删除分类规则，请输入以下内容：

CBS350(config-if)#no switchport general map subnets-groups group

步骤7.（可选）重复步骤1至6，配置更通用的端口并分配到相应的基于子网的VLAN组。

步骤 8： 输入 end 命令返回到特权 EXEC 模式：

CBS350(config-if-range)#end

现在，您应该已经通过CLI将基于子网的VLAN组映射到交换机上的VLAN。

显示基于子网的VLAN组

步骤1.要显示属于定义的基于子网的分类规则的子网地址，请在特权EXEC模式下输入以下命令：

CBS350#show vlan subnets-groups

步骤2.（可选）要显示VLAN上特定端口的分类规则，请输入以下命令：

CBS350#show interfaces switchport [interface-id]

• interface-id — 指定接口ID。

注意：每个端口模式都有自己的专用配置。show interfaces switchport命令可显示所有这些配置，但只有与“管理模式”区域中显示的当前端口模式对应的端口模式配置处于活动状态。

步骤 3： （可选）在交换机的特权 EXEC 模式下，输入以下命令，将已配置的设置保存到启动配置文件：

CBS350#copy running-config startup-config

步骤 4： （可选）出现 Overwrite file [startup-config]… 提示后，按键盘上的 Y（表示“是”）或 N（表示“否”）。

现在，您应该已经显示了交换机上基于子网的VLAN组和端口配置设置。

重要信息：要继续配置交换机的 VLAN 组设置，请遵循上述准则。