工业交换机的 VLAN 划分配置
在工业自动化现场,网络稳定性直接关系到生产安全。将所有设备连接在同一网络段中,一旦某台设备发生故障产生广播风暴,可能导致整个生产线瘫痪。VLAN(虚拟局域网)技术能够将物理上相连的网络,在逻辑上划分为多个独立的广播域。通过配置 VLAN,可以实现不同业务部门(如控制网、视频网、办公网)之间的隔离,减少网络拥堵,提升安全性。
本指南将手把手教你如何在工业交换机上完成 VLAN 的基础划分与端口分配。全程采用通用命令行界面(CLI)逻辑,适用于大多数主流工业交换机品牌。
准备工作
在开始配置之前,准备好以下工具与信息,确保配置过程顺畅。
-
硬件工具:
- 一台已通电的工业交换机。
- 一台配置好网卡的电脑。
- 一根Console 调试线(串口线)或网线。
- 串口终端软件(如
SecureCRT、Putty或Xshell)。
-
规划信息:
- 确定业务需求:哪些设备需要互通,哪些需要隔离。
- 制定VLAN 表:提前规划好 VLAN ID、名称及对应的端口。
参考以下规划表示例,填写你自己的实际需求:
| VLAN ID | VLAN 名称 | 网段规划 | 对应物理端口 | 备注 |
|---|---|---|---|---|
| 10 | Control | 192.168.10.0/24 | Port 1 - Port 8 | PLC 控制网 |
| 20 | Video | 192.168.20.0/24 | Port 9 - Port 16 | 摄像头监控 |
| 30 | Office | 192.168.30.0/24 | Port 17 - Port 24 | 办公管理 |
| 100 | Management | 192.168.1.0/24 | Port 25 (Uplink) | 管理专用 |
配置流程逻辑
配置过程遵循严格的逻辑顺序。错误的顺序可能导致网络中断或配置失效。以下流程图展示了标准操作步骤:
详细操作步骤
1. 连接交换机
连接电脑与交换机的物理链路。如果使用 Console 线,插入交换机的 Console 口和电脑的 USB 口。如果使用网线,连接电脑的网口和交换机的任意业务端口,并将电脑 IP 设置为与交换机管理地址同网段。
打开串口终端软件,设置波特率为 9600,数据位 8,停止位 1,无校验。点击连接按钮,看到命令行提示符即表示连接成功。
2. 登录系统
输入用户名和密码登录交换机。默认账号通常为 admin,密码见设备标签。
Login: admin
Password: ******
<Switch>进入系统视图模式。大多数工业交换机需要在用户视图下输入特定命令才能进行配置。
<Switch> system-view
[Switch]注意提示符的变化,从 < > 变为 [ ] 表示已进入配置模式。
3. 创建 VLAN
根据规划表,创建所需的 VLAN ID。建议同时命名VLAN 以便后续维护识别。
[Switch] vlan 10
[Switch-vlan10] description Control_Network
[Switch-vlan10] quit
[Switch] vlan 20
[Switch-vlan10] description Video_Network
[Switch-vlan10] quit
[Switch] vlan 30
[Switch-vlan30] description Office_Network
[Switch-vlan30] quit验证创建结果。输入显示命令查看当前 VLAN 列表。
[Switch] display vlan确认输出信息中包含 VLAN 10、VLAN 20 和 VLAN 30,且状态为 Active。
4. 分配接入端口
将物理端口划分到对应的 VLAN 中。这些端口通常连接终端设备(如 PLC、摄像头),配置为 Access 模式。
进入端口视图。假设将端口 GigabitEthernet 0/0/1 到 0/0/8 划入 VLAN 10。
[Switch] interface range gigabitethernet 0/0/1 to 0/0/8
[Switch-interface-range] port link-type access
[Switch-interface-range] port default vlan 10
[Switch-interface-range] quit重复上述步骤,完成其他端口的分配。
- 设置端口
0/0/9到0/0/16为Access模式,加入VLAN 20。 - 设置端口
0/0/17到0/0/24为Access模式,加入VLAN 30。
注意:不同品牌命令略有差异。若不支持 interface range 批量操作,需逐个端口进入并配置。
5. 配置上行链路
如果交换机需要与上级路由器或其他交换机通信,必须配置上行端口为 Trunk 模式,允许特定 VLAN 通过。
进入上行端口视图,假设端口为 GigabitEthernet 0/0/25。
[Switch] interface gigabitethernet 0/0/25
[Switch-GigabitEthernet0/0/25] port link-type trunk
[Switch-GigabitEthernet0/0/25] port trunk allow-pass vlan 10 20 30
[Switch-GigabitEthernet0/0/25] quit解释:trunk 模式允许端口同时传输多个 VLAN 的数据帧。allow-pass 命令指定了允许通过的 VLAN 列表。未列出的 VLAN 数据将被丢弃。
6. 保存配置
配置完成后,必须保存到启动文件中,否则重启后配置将丢失。
返回用户视图。
[Switch] quit
<Switch>执行保存命令。
<Switch> save
The current configuration will be written to the device. Are you sure? [Y/N]: y输入 y 并按下回车键。系统提示 Saved successfully 即表示保存完成。
连通性验证
配置结束后,必须测试网络是否正常。
- 修改电脑 IP 地址,使其属于
VLAN 10网段(例如192.168.10.5)。 - 连接电脑到端口
1。 - 打开命令提示符(CMD)。
- 输入
ping 192.168.10.1(假设网关为 .1)。
若显示 Reply from... 且时间 <1ms,表示 VLAN 内通信正常。
- 修改电脑 IP 地址为
VLAN 20网段(例如192.168.20.5)。 - 保持连接端口
1不变。 - 再次输入
ping 192.168.10.1。
若显示 Request timed out,表示 VLAN 隔离生效,不同 VLAN 间无法直接通信,符合预期。
常见故障排查
若验证失败,检查以下常见问题。
- 端口状态异常:输入
display interface brief查看端口状态。确保端口状态为UP。若为DOWN,检查网线是否插紧或对端设备是否通电。 - VLAN 未放行:在上行链路排查中,确认
trunk端口是否允许了相应 VLAN 通过。漏配allow-pass是常见错误。 - IP 地址错误:核对电脑 IP 地址、子网掩码与网关是否配置正确。确保电脑 IP 与所属 VLAN 的网段一致。
- 配置未保存:重启交换机后配置丢失,说明未执行
save操作。重新配置并务必执行保存命令。
安全加固建议
为防止未授权人员修改网络配置,建议启用密码保护。
进入用户界面视图。
<Switch> system-view
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode aaa
[Switch-ui-vty0-4] quit创建本地用户并设置权限。
[Switch] aaa
[Switch-aaa] local-user admin password irreversible-cipher YourStrongPassword123
[Switch-aaa] local-user admin service-type telnet ssh
[Switch-aaa] local-user admin privilege level 15
[Switch-aaa] quit替换 YourStrongPassword123 为高强度密码。完成后,远程登录必须验证身份。
暂无评论,快来抢沙发吧!