虛擬局域網在防止廣播風暴、提高網絡安全性、提高局域網性能等方面有非常好的表現。但是如何管理不好的話，仍然會給用戶造成一定的麻煩。如有可能用戶設置了多個虛擬局域網，但是卻發現彼此之間不能夠訪問等等。其實企業如果設置了多個虛擬局域網，他們之間能否相互訪問全部都是由Trunk來負責控制的。如果用戶發現只有同一個Vlan中的計算機能夠相互訪問，而無法實現與其他交換機同一Vlan的計算機的相互訪問，那么就有可能是Trunk沒有建立或者配置不當引起的。在這篇文章中，筆者就以兩個實例，“如何允許不同Vlan之間相互通信”和“如何限制某個Vlan同其他Vlan的訪問”，來談談Trunk配置的技巧以及相關注意事項。

一、讓不同的Vlan可以相互通信

當企業網路被劃分成兩個或者兩個以上的Vlan時，通常情況下彼此之間不能夠相互訪問。而是需要建立Trunk，才能夠使得不同交換機之間的Vlan能夠借助于一條鏈路進行通信。那么該如何配置呢?默認情況下，第二層接口自動處于動態的Switchport模式，相鄰接口都處于這個動態匹配模式或者Trunk模式時，這個鏈路就會作為Trunk。否則的話，就需要進行手工的調整。不過具體的配置也比較簡單。通過如下幾個步驟就可以完成。

***步：對接口進行相關的設置。

要調整接口的模式，則需要進入到全局配置模式下進行配置，并指定想要配置的接口。完成這些工作主要需要用到以下命令。

configure terminal --進入到全局配置模式。

interface interface-id –指定想要配置的接口。

在調整接口模式的時候有一個技巧。通常是將接口配置為第二層的trunk.。如果接口是第二層訪問接口或者已經被指定為trunk模式的時候，需要用到命令dynamic auto。如果相鄰接口已經被設置為trunk或者desirable模式的時候，這需要將這個接口設置為trunk連接。如果相鄰接口已經設置為trunk、desirable或者auto模式的時候，則可以將接口設置為trunk連接。如果管理員不知道相鄰接口的工作模式，或者想強制建立trunk連接，則可以使用trunk命令。這個命令將接口設置為***的turnk模式。此時即使相鄰接口不是trunk接口，系統也會自動協商將連接轉換為Trunk連接。在這段文字中，筆者多次提到了相鄰接口。那么什么是相鄰接口呢?這里的相鄰接口指的是借助于雙絞線或者光纖等傳輸介質連接在一起的兩個端口。筆者建議，為了后續配置的方便，***將相關接口工作模式都配置為auto。然后在有必要的情況下對特定的接口做出限制。即先允許相互訪問。然后再對有需要的局域網做出相關的限制。

第二步：指定默認的虛擬局域網Vlan。即當某個Trunk不能夠使用之后，系統會啟用哪一個Vlan虛擬局域網。在配置這個默認虛擬局域網的時候主要要注意兩點。一是可以只指定某個特定的虛擬局域網，也可以指定一個范圍。具體情況要看企業的實際情況。筆者的建議是，指定一個范圍為好。二是這個設置是可選的。讓用戶不做相關的配置時，其默認的虛擬局域網一般是一個單個的虛擬局域網。筆者認為管理員還是要對此進行配置，盡量不要采用默認的設置。***需要注意訪問Vlan虛擬局域網不能夠作為本地Vlan使用。在這一步配置中，需要使用的命令為：switchport access vlan vlan_id。

第三步：將Vlan與Trunk鏈路進行關聯。進行完如上配置后，還需要將Vlan與剛才建立的Trunk鏈路進行關聯。否則的話，系統怎么知道Trunk需要將哪兩個Vlan連接起來呢?故需要為Trunk指定本地的虛擬局域網。如果不指定本地的虛擬局域網，系統也會給其一個默認的值。默認情況下，將使用Vlan1。網絡管理員需要根據實際情況對這個參數進行更改，以滿足用戶的實際需要。

第四步：進行測試。***網絡管理員就需要退回到特權配置模式(利用end命令)，并利用show interface switchport 或者show interface trunk等命令查看相關的配置，看其配置是否準確。配置完成后，網絡管理員還需要利用ping等命令進行測試，以確定各個虛擬局域網之間能夠相互訪問。

二、限制用戶不能夠訪問某個特定的Vlan

在實際工作中，出于安全的需要，可能并不允許多個Vlan之間能夠相互訪問。當然也不是都不能能訪問。如現在有A、B、C三個Vlan。用戶現在想要實現，B、C兩個虛擬局域網可以相互訪問。而A能夠訪問B、C，B、C則不能夠訪問虛擬局域網。因為A中可能存儲著比較機密的資料。遇到這種需求可以實現嗎?答案當然是肯定的。

在默認狀體下，Trunk端口允許所有的Vlan發送和接口傳輸信息。如果用戶有如上的需求，則也可以調整相關的配置，來拒絕某些Vlan通過Trunk來傳輸。其配置主要有兩個目標，一是限制其他Vlan對其訪問，既限制B、C訪問自A。二是限制自己對其他Vlan的訪問，即限制A訪問B、C。雖然兩者可以達到相同的效果，但是配置的工作量是不同的。

***步：對相關接口進行配置。首先跟前面接受的一樣，需要對相關的接口進行配置。如需要先進入到全局配置模式(configure terminal);然后指定想要配置的接口(inerface inerface_id );然后將這個接口配置為trunkd端口(switchport mode trunk)。

第二步：配置trunk上允許或則禁止通信的列表。這個列表跟思科網絡設備的訪問控制列表類似。管理員可以在這個列表中添加允許通信的虛擬局域網、或者直接選擇全部;當然也可以選擇禁止通信的虛擬局域網。注意這里定義的Vlan列表可以使一個Vlan，也可以是一個Vlan組。在配置時，還需要注意一點，如同同時輸入多個Vlan號碼的時候，中間不要使用空格。否則的話，這個列表就無法正確識別Vlan。

第三步：返回到特權配置模式，并利用命令查看剛才的配置是否準確。如果準確的就保存相關的配置，然后進行必要的測試。這里需要注意一點，即在保存相關的配置之前，要確保原有的配置已經有了備份。萬一測試的時候發現配置有問題，就可以通過恢復原有配置來迅速排除故障。

在進行如上配置的時候，筆者認為關鍵的問題在于管理員需要了解清楚用戶的需求。其到底是想允許訪問呢，還是禁止訪問敏感數據。如果有限制的話，那么需要考慮的是實現的途徑。即是通過“A禁止其他Vlan訪問”方式還是通過“B、C禁止訪問A”來實現。兩種方式雖然有異曲同工之妙，但是由于用戶的環境不同，其配置與管理的工作量也有差異。

三、Trunk鏈路的快速排錯建立

無論是允許虛擬網之間相互訪問，還是添加某些限制。如果設置不當的話，往往不能夠達到管理員想要達到的預期結果。有時候反而會將事情弄得越來越糟。當Trunk鏈路出現故障的時候，排錯需要比較長的時間，而且也需要有比較專業的人員。為此給大家分享一個快速排錯的方法。在Trunk配置完成之后或者對此進行調整之前先對相關的配置做好備份。然后當出現問題且難以發現問題原因的時候，可以將接口恢復為默認值(可以使用default inerface inerface-id來恢復接口的默認值)。或者可以使用no switchport trunk接口配置命令讓接口中所有特征恢復為默認值，等等。先恢復為默認設置，然后再根據原有的資料進行重新配置。因為交換機就那么幾個相鄰接口，故與查找問題原因相比起來，有時候重新配置反而更加的節省時間。