網(wǎng)絡(luò)考試第三學(xué)期課件

交換機及其基本配置江西師范大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院本章目標(biāo)復(fù)習(xí)交換機的基本工作原理掌握交換機的CLI基本配置和圖形界面基本配置掌握交換機的安全問題和端口安全的配置以太網(wǎng)的雙工模式半雙工(CSMA/CD)單向數(shù)據(jù)流會產(chǎn)生沖突集線器連接全雙工同時發(fā)同時收連接到專用交換端口需要鏈路兩端都支持全雙工無沖突，不需要CSMA/CD在交換機端口上可配置雙工模式交換機端口的雙工模式設(shè)置交換機端口duplex三種設(shè)置auto自動協(xié)商不是自動適應(yīng)雙方都使用auto才會自動協(xié)商，使用全雙工full不協(xié)商使用全雙工half不協(xié)商使用半雙工注意：auto—full協(xié)商失敗一方使用半雙工，一方全雙工,無法正常工作auto-half協(xié)商失敗均使用半雙工，可正常通信沖突域與廣播域2-14個沖突域沖突域與廣播域2-2以太網(wǎng)802.3幀格式數(shù)據(jù)鏈路層封裝7字節(jié)6字節(jié)6字節(jié)前同步碼目的地址源地址類型/長度數(shù)據(jù)幀校驗序列46～1500字節(jié)4字節(jié)1字節(jié)2字節(jié)幀啟始定界符物理層封裝大于0600H表示類型，小于0600H表示長度以太網(wǎng)的MAC地址交換機尋址和MAC地址映射表已知幀單播未知幀和廣播幀廣播學(xué)習(xí)源地址與端口的映射到MAC地址映射表消除交換網(wǎng)絡(luò)的瓶頸交換機數(shù)據(jù)包的轉(zhuǎn)發(fā)方式存儲轉(zhuǎn)發(fā)：完全收完幀再轉(zhuǎn)發(fā)直通交換：收到幀的目標(biāo)地址后即轉(zhuǎn)發(fā)無碎片方式：收到幀的前64個字節(jié)后即轉(zhuǎn)發(fā)對稱交換與非對稱交換內(nèi)存緩沖方法：基于端口和共享內(nèi)存基于端口的內(nèi)存緩沖：幀存儲在鏈接到特定傳入端口的隊列中共享內(nèi)存：將所有幀都放入公共內(nèi)存緩沖區(qū)中，公共緩沖區(qū)由交換機上的所有端口共享。2層交換與3層交換2層交換工作在數(shù)據(jù)鏈路層，根據(jù)MAC地址轉(zhuǎn)發(fā)3層交換工作在網(wǎng)絡(luò)層，根據(jù)IP地址和MAC地址轉(zhuǎn)發(fā)三層交換機具備二層交換機的全部功能，還能進行三層交換，執(zhí)行第三層路由功能，配置動態(tài)路由協(xié)議三層交換機與路由器的區(qū)別三層交換機只能用于不同LAN網(wǎng)段的數(shù)據(jù)轉(zhuǎn)發(fā),，路由器可以連接LAN和WAN三層交換機基于硬件轉(zhuǎn)發(fā)，速度快，路由器基于軟件轉(zhuǎn)發(fā)，速度相對慢。路由器支持高級路由協(xié)議交換機的組成與路由器不同之處交換機的基本配置文件為config.text,也稱為NVRAM所有VLAN的信息存放在vlan.dat文件中清除nvram不會清除vlan信息所有配置文件均存放在flash中交換機的啟動順序執(zhí)行低級CPU初始化。啟動加載器初始化CPU寄存器，寄存器控制物理內(nèi)存的映射位置、內(nèi)存量以及內(nèi)存速度。執(zhí)行CPU子系統(tǒng)的加電自檢(POST)。啟動加載器測試CPUDRAM以及構(gòu)成閃存文件系統(tǒng)的閃存設(shè)備部分。初始化系統(tǒng)主板上的閃存文件系統(tǒng)。將默認操作系統(tǒng)軟件映像加載到內(nèi)存中，并啟動交換機。查找config.text和vlan.dat加載配置交換機配置準(zhǔn)備使用console口進行配置與路由器相同若使用telnet遠程配置則需要配置交換機的管理IP地址。交換機管理IP地址配置方法交換機默認網(wǎng)關(guān)配置配置雙工模式和帶寬使用show命令交換機MAC地址靜態(tài)映射默認mac地址與端口的映射是源地址動態(tài)學(xué)習(xí)，存放在交換機的CAM(內(nèi)容尋址內(nèi)存)可以靜態(tài)配置端口映射mac-address-tablestatic<MACaddress>vlan{1-4096,ALL}interface

interface-id思考：交換機學(xué)習(xí)同一個MAC地址的不同端口映射會發(fā)生什么？交換機的MAC地址映射表映射數(shù)量有限，若端口與該映射超過限制會發(fā)生什么？交換機的備份命令copy清除交換機配置reload：重啟交換機erasenvram:清除啟動配置的內(nèi)容erasestartup-config：清除啟動配置的內(nèi)容deleteflash:filename：從閃存中刪除文件交換機與路由器類似的配置命令enable,interface,bannermodt,enablepassword，servicepassword-encryption，enablesecret,hostname控制口和vty加密碼的方法交換機的Web圖形化界面配置必須為交換機配置管理IP地址必須啟用交換機Web服務(wù)，命令iphttpserver真實環(huán)境演示交換機的安全問題欺騙攻擊CDP攻擊telnet攻擊MACFlooding攻擊欺騙攻擊之DHCP攻擊偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)，實現(xiàn)中間人攻擊效果DHCP攻擊防范1.

ipdhcpsnooping全局配置命令啟用DHCP偵聽。2.使用ipdhcpsnoopingvlannumber[number]命令對特定VLAN啟用DHCP偵聽。3.使用ipdhcpsnoopingtrust命令定義可信端口4.(可選)使用ipdhcpsnoopinglimitraterate命令限制攻擊者通過不可信端口向DHCP服務(wù)器連續(xù)發(fā)送偽造DHCP請求的速率。CDP攻擊CDP協(xié)議默認啟用，報文不加密通過抓包獲得有關(guān)設(shè)備的信息，如IP地址、軟件版本、平臺、性能和本機VLAN。根據(jù)信息執(zhí)行攻擊，如DoS攻擊Telnet攻擊telnet攻擊的類型：暴力密碼攻擊Dos攻擊抵御暴力密碼攻擊：經(jīng)常更改密碼使用強密碼限制可通過vty線路進行通信的人員（第四學(xué)期介紹）抵御暴力密碼攻擊：更新為最新版本的CiscoIOS軟件MACFlooding攻擊端口安全性-綁定交換機端口和MAC地址端口安全根據(jù)MAC地址限制主機從端口的接入綁定MAC地址的交換機端口必須是接入(access)端口（默認）Switch(config-if)#switchport

modeaccess配置接口為接入模式配置交換機的端口安全性Enableportsecurity啟用端口安全SetMACaddresslimit設(shè)置MAC地址限制SpecifyallowableMACaddresses指定端口允許的MAC地址Defineviolationactions定義違規(guī)訪問后端口的行為Switch(config-if)#switchportport-security啟動端口安全Switch(config-if)#switchportport-security

maximumvalue定義交換機端口允許的MAC地址數(shù)量Switch(config-if)#switchportport-securitymac-addressmac-address

[sticky]定義端口安全模式Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}

定義違規(guī)操作端口安全的違規(guī)模式當(dāng)端口啟用端口安全后發(fā)現(xiàn)非法的MAC地址訪問時，執(zhí)行端口違規(guī)操作。Switch(config-if)#switchportport-security

violation{protect|restrict|shutdown}

安全MAC地址類型靜態(tài)安全MAC地址switchportport-securitymac-address

mac-address管理員靜態(tài)定義允許訪問端口的MAC地址該方法配置的MAC地址存儲在地址表中，并添加到交換機的運行配置中，可保存動態(tài)安全MAC地址動態(tài)根據(jù)源地址學(xué)習(xí)可靠的MAC地址，直到達到安全端口數(shù)量的上限交換機啟動端口安全后的默認設(shè)置該地址僅存在MAC地址映射表，不能保存在啟動配置中，重啟后將重新學(xué)習(xí)粘滯安全MAC地址（見下頁）粘滯安全MAC地址一般為動態(tài)獲取MAC地址，并將其保存在運行配置文件中，可將這些可靠地址保存在啟動配置中Switch(config-if)#switchportport-securitymac-addresssticky當(dāng)交換機配置粘滯安全命令并獲得MAC地址，則自動加上一條命令：Switch(config-if)#switchportport-securitymac-addressstickyMac地址不建議使用粘滯安全靜態(tài)配置安全MAC地址端口安全配置示例switchportmodeaccessswitchportport-securityswitchportport-securitymaximum2

switchportport-securityviolationshutdown switchportport-securitymac-addressstickyswitchportport-securityagingtime120//定義安全MAC地址的老化時間Switch(config-if)#S2PCB交換機默認的端口安全性配置注意：對于某些設(shè)備某些默認的配置在showrun中無法顯示出來驗證所有端口安全性Switch#showport-securitySwitch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityViolationSecurityAction

(Count)(Count)(Count)

---------------------------------------------------------------------------

Fa5/111110Shutdown

Fa5/51550Restrict

Fa5/11540Protect

---------------------------------------------------------------------------

TotalAddressesinSystem:21

MaxAddresseslimitinSystem:128驗證單個端口安全性Switch#showport-securityinterfacefastethernet5/1

PortSecurity:Enabled

Portstatus:SecureUp

Violationmode:Shutdown

MaximumMACAddresses:11

TotalMACAddresses:11

ConfiguredMACAddresses:3

Agingtime:20mins

Agingtype:Inactivity

SecureStaticaddressaging:Enabled

SecurityViolationcount:0驗證端口安全細節(jié)Switch#showport-securityaddress

SecureMacAddressTable

-------------------------------------------------------------------

VlanMacAddressTypePortsRemainingAge

(mins)

-------------------------------------

10001.0001.0001SecureDynamicFa5/115(I)

10001.0001.0002SecureDynamicFa5/115(I)

10001.0001.1111SecureConfiguredFa5/116(I)

10001.0001.1112SecureConfiguredFa5/1-

10001.0001.1113SecureConfiguredFa5/1-

10005.0005.0001SecureConfiguredFa5/523

10005.0005.0002SecureConfiguredFa5/523

10005.0005.0003SecureConfiguredFa5/523

10011.0011.0001SecureConfiguredFa5/1125(I)

10011.0011.0002SecureConfiguredFa5/1125(I)

-------------------------------------------------------------------

TotalAddressesinSystem:10

MaxAddresseslimitinSystem:128實驗2.5.1交換機的基本配置2.4.7配置交換機的端口安全使用真實交換機進行CLI,圖形界面的基本配置和端口安全的配置虛擬局域網(wǎng)VLAN江西師范大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院本章目標(biāo)掌握vlan的相關(guān)概念掌握中繼鏈路的概念掌握交換機上vlan的配置VLAN的概述VirtualLAN（虛擬局域網(wǎng)）是交換機上連接的不受物理位置限制的主機的一個邏輯組。一個VLAN=一個廣播域=一個邏輯網(wǎng)絡(luò)（子網(wǎng)）VLAN的作用和劃分依據(jù)VLAN的作用廣播控制安全性提高性能防止廣播風(fēng)暴VLAN劃分的依據(jù)公司部門功能網(wǎng)絡(luò)流量類型網(wǎng)絡(luò)應(yīng)用安全VLAN劃分廣播域廣播域廣播VLAN1VLAN2廣播域VLAN的分類基于端口劃分的靜態(tài)VLAN：基于交換機端口劃分的VLAN,最常用

基于MAC地址劃分的動態(tài)VLAN：基于網(wǎng)卡MAC地址劃分的VLAN基于協(xié)議(IP地址)劃分的動態(tài)VLAN:因為DHCP所以基本不使用基于MAC地址劃分的動態(tài)VLANVLAN表MAC地址所屬VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主機A主機B主機C主機D以太網(wǎng)交換機MACAMACBMACCMACDVMPS(VLANManagementPolicyServer)服務(wù)器當(dāng)主機發(fā)送數(shù)據(jù)幀，交換機查看了數(shù)據(jù)幀的源MAC地址后，才能判斷主機屬于哪個VLAN基于端口劃分的靜態(tài)VLAN主機A主機B主機C主機D以太網(wǎng)交換機VLAN表端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10基于端口的VLAN進一步討論交換機根據(jù)幀的入端口確定出端口的范圍。交換機之間的VLAN通信3－1VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3如何實現(xiàn)交換機之間的VLAN通信？每個VLAN一條鏈路？如果有100個VLAN怎么辦呢？交換機之間的VLAN通信3－2VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3中繼鏈路能傳輸多個VLAN的信息只使用一條鏈路，那么來自多個VLAN的數(shù)據(jù)如何標(biāo)識？中繼鏈路（Trunk）交換機之間的VLAN通信3－3例如：三個分別來自1、2、3班級的學(xué)生，到另一個學(xué)校去，分別要參觀1、2、3班的上課情況，對方的學(xué)校怎么識別他們分別應(yīng)該去哪個班級？出發(fā)前加個標(biāo)識，再把標(biāo)識的方法告訴對方?、佗冖踁LAN標(biāo)識交換機在中繼鏈路上給每個去往其他交換機的數(shù)據(jù)幀打上VLAN標(biāo)識VLAN1VLAN2VLAN3VLAN1VLAN2VLAN3中繼鏈路（Trunk）接入鏈路（Access）VLAN1標(biāo)記VLAN3標(biāo)記VLAN標(biāo)識的種類以太網(wǎng)上實現(xiàn)中繼可用兩種封裝類型ISL（Cisco私有協(xié)議）-已不推薦使用IEEE802.1Q–標(biāo)準(zhǔn)打vlan標(biāo)記的方法802.1Q標(biāo)記標(biāo)準(zhǔn)以太網(wǎng)幀TPIDPriorityCFIVLAN

IDTCI12bit，可標(biāo)識的VLANID為4096個DataDASATypeCRCDataDASATypeCRCTag帶有IEEE802.1Q標(biāo)記的以太網(wǎng)幀0x8100,表示使用802.1Q打標(biāo)記了優(yōu)先級：用于802.1p標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)指出如何加速第2層幀的傳輸。例如語音vlanCFI:用于令牌環(huán)網(wǎng)中繼的模式和協(xié)商使用cisco專用協(xié)議DTP進行協(xié)商模式說明開啟（on）將端口設(shè)置為永久中繼模式關(guān)閉（off）將端口設(shè)置為永久非中繼模式企望（desirable）讓端口主動試圖將鏈路轉(zhuǎn)變成中繼端口自動（auto）使該端口愿意將鏈路變成中繼鏈路模式為Access動態(tài)auto：可以成為Trunk動態(tài)desirable：希望成為Trunk模式為Trunk本征VLAN(nativevlan)某個幀在中繼鏈路上傳輸前若屬于本征vlan,則中繼出口不打標(biāo)簽?zāi)承┰O(shè)備在中繼鏈路上若收到和本征vlan一樣的標(biāo)簽(即PVID=本征vlan號)的幀時，會丟棄該幀常見的vlan術(shù)語數(shù)據(jù)vlan:用于傳輸數(shù)據(jù)管理vlan:需配置IP地址，用于交換機的管理本征vlan:中繼鏈路上不打標(biāo)記的vlan默認vlan:vlan1,默認交換機所有端口都屬于vlan1語音vlan:用于傳輸voip信息，優(yōu)先級高，延遲低。Cisco交換機上靜態(tài)VLAN的配置配置VLAN的步驟創(chuàng)建VLAN將端口加入到相應(yīng)的VLAN中驗證創(chuàng)建VLAN創(chuàng)建VLAN有以下2種方法在全局配置模式下創(chuàng)建VLANSwitch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name進入VLAN數(shù)據(jù)庫中創(chuàng)建VLANSwitch#vlandatabaseSwitch(vlan)#vlan2VLAN2added:Name:VLAN0002Switch(vlan)#exit APPLYcompleted. Exiting....添加一個VLAN給VLAN命名，此命令可選進入VLANdatabase添加VLAN2如果不給VLAN指定名稱，交換機自動添加VLAN2的名稱為默認的VLAN0002保存退出刪除已創(chuàng)建的VLAN如果配置錯誤，或配置修改，需要刪除VLAN時Switch(config)#novlan2或：Switch#vlandatabaseSwitch(vlan)#novlan2 DeletingVLAN2...注意:刪除某個VLAN前必須確定該VLAN中不包含任何的端口，刪除VLAN后所包含的端口將不屬于任何VLAN（包括VLAN1）。將端口加入VLANSwitch(config)#interfacef0/1Switch(config-if)#switchportaccessvlanvlan-idSwitch(config-if)#noswitchportaccessvlanvlan-id也可以同時將多個端口添加到某個VLAN中：Switch(config)#interfacerangef0/1–10Switch(config-if-range)#switchportaccessvlanvlan-id進入接口配置模式將接口添加到某個VLAN中將接口從某個VLAN中刪除驗證VLAN的配置演示：VLAN配置配置接口為Trunk模式Switch(config)#interfaceinterface-idSwitch(config-if)#switchportmode?

accessSettrunkingmodetoACCESSunconditionallydynamicSettrunkingmodetodynamicallynegotiateaccessortrunkmodetrunkSettrunkingmodetoTRUNKunconditionallySwitch(config-if)#switchportmodetrunkSwitch(config-if)#switchportmodedynamic?設(shè)置協(xié)商模式

autoSettrunkingmodedynamicnegotiationparametertoAUTO

desirableSettrunkingmodedynamicnegotiationparametertoDESIRABLE接口為接入模式接口為動態(tài)協(xié)商模式接口為中繼模式從Trunk中添加、刪除Vlan默認中繼鏈路可傳輸所有vlan數(shù)據(jù)包去除VLAN

Switch(config-if)#switchporttrunkallowedvlanremove

vlan-list添加VLANSwitch(config-if)#switchporttrunkallowedvlanadd

vlan-list設(shè)置本征VLANSwitch(config-if)#switchporttrunk

nativevlannum

檢查中繼端口允許VLAN的列表Switch#showinterfaceinterface-idswitchport查看端口狀態(tài)SW1#showinterfacef0/24switchportName:Fa0/24Switchport:EnabledAdministrativeMode:trunkOperationalMode:trunkAdministrativeTrunkingEncapsulation:dot1qOperationalTrunkingEncapsulation:dot1qNegotiationofTrunking:OnAccessModeVLAN:1(default)TrunkingNativeModeVLAN:1(default)VoiceVLAN:noneAdministrativeprivate-vlanhost-association:noneAdministrativeprivate-vlanmapping:noneOperationalprivate-vlan:noneTrunkingVLANsEnabled:ALLPruningVLANsEnabled:2-1001CaptureModeDisabledCaptureVLANsAllowed:ALL接口模式配置為Trunk接口工作模式為TrunkTrunk協(xié)議類型為802.1qTrunk可以承載所有的VLANVlanTrunk配置演示

排除故障排除故障的步驟了解故障情況分析故障可能的原因通過檢測定位故障分段檢測分層檢測不斷縮小故障范圍排除故障檢查點查看交換機的指示燈狀態(tài)線纜的問題？接口的問題？查看trunk接口的模式是否為trunk配置問題？協(xié)商問題？查看Trunk端口可以承載的VLAN是否包含了所有需要轉(zhuǎn)發(fā)的VLAN查看VLANID是否正確查看各接口是否屬于應(yīng)該在的VLAN...使用show命令檢查配置查看端口狀態(tài)SW1#showinterfaceinterface-idswitchport查看VLAN信息SW1#showvlanbrief查看配置SW1#showrun

私有VLAN(cisco專用)pVLAN(privateVLAN)：屬于同一子網(wǎng)的相同VLAN內(nèi)的不同端口之間的主機互相不能訪問使用pvlan后相同子網(wǎng)的主機只能和默認網(wǎng)關(guān)或其它網(wǎng)絡(luò)通信，主機之間不能通信pVLAN的作用：提高安全性能控制流量減少IP地址的子網(wǎng)pVLAN的案例ABCD四個客戶，其中A兩臺服務(wù)器，B兩臺服務(wù)器，C和D各一臺服務(wù)器，為節(jié)省IP地址，四個客戶處于同一網(wǎng)段．但ABCD屬于不同組織，應(yīng)相互隔離．pVLAN的相關(guān)概念混雜端口：能與pVLAN的全部設(shè)備通信的端口主vlan:有多個輔助vlan組成，屬于同一主vlan的設(shè)備屬于同一IP子網(wǎng)輔助vlan:必須映射到同一主vlan，每臺設(shè)備都連一個輔助vlan,包含兩種類型團體vlan:屬于同一團體vlan的端口之間可以互相通信隔離vlan:屬于同一隔離vlan的端口之間不能互相通信pVLAN的案例配置要求要求：A客戶兩臺服務(wù)器可以互訪，且可通過網(wǎng)關(guān)與外部通信．B客戶兩臺服務(wù)器可以互訪，且可通過網(wǎng)關(guān)與外部通信．C和D可通過網(wǎng)關(guān)與外部通信．ABCD四個客戶之間的服務(wù)器不能互訪，而且相互間的廣播流量也需要被隔解決辦法：私有VLAN.主VLANVLAN100所有用戶都處于該VLAN/24輔助VLANVLAN10團體VLAN用戶AVLAN20團體VLAN用戶BVLAN30隔離VLAN用戶C和D配置步驟2-1注意：cisco2950不能配置私有vlan步驟一：配置私有VLAN,并將主VLAN100和輔助VLAN10,30相關(guān)聯(lián)．S3560(config)#vlan10S3560(config-vlan)#private-vlancommunity建立團體VLAN10S3560(config)#vlan30S3560(config-vlan)#private-vlanisolated建立隔離VLAN30S3560(config)#vlan100S3560(config-vlan)#private-vlanprimary建立主VLAN100S3560(config-vlan)#private-vlanassociation10,30將主VLAN100與子VLAN1030相關(guān)聯(lián)配置步驟2-2步驟2：將端口同私有VLAN相關(guān)聯(lián)．S3560(config)#

intrange

f0/1,f0/12

進入端口 #swmodeprivate-vlanhost

將端口設(shè)為主機模式

#swprivate-vlanhost-association10010關(guān)聯(lián)到主100和子10S3560(config)#

intrangef0/14–16#swmodeprivate-vlanhost將端口設(shè)為主機模式#swprivate-vlanhost-association10030關(guān)聯(lián)到主100和子30

S3560(config)#

intrangef0/23-24接路由器的接口

#swmodeprivate-vlanpromiscuous

將端口設(shè)為混雜模式#swprivate-vlanmapping10010,30映射到主100,子10和30

實驗3.5.1基本vlan的配置3.5.3vlan故障診斷使用真實環(huán)境配置3.5.1實驗VTP協(xié)議江西師范大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院本章目標(biāo)掌握VTP的工作原理掌握VTP的運作、包括域、模式、通告和修剪掌握VTP的配置

VTP協(xié)議VLANTrunkProtocol從一個控制點，維護整個企業(yè)網(wǎng)上VLAN的添加、刪除和重命名工作VLAN2nameabcVLAN3namedefVTP域VTP通告VTP域VTP域的組成相同域名的，通過Trunk相互連接的，一組交換機域名：abcVTP域的服務(wù)器使用Trunk連接VTP的運行模式4-1VTP模式有3種服務(wù)器模式（Server）客戶機模式（Client）透明模式（Transparent）VTP的運行模式4-2Server模式VTP域：test模式：Server提供VTP消息：包括VLANID和名字信息學(xué)習(xí)相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息可以添加、刪除和更改VLANVTP域：test模式：ServerVTP域：abc模式：Server不同域名：不學(xué)習(xí)不轉(zhuǎn)發(fā)VLAN2nameAAVLAN2nameAAVLAN2nameAAVLAN2nameAAVTP的運行模式4-3Client模式VTP域：test模式：ServerVTP域：test模式：Client請求VTP消息學(xué)習(xí)相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息不可以添加、刪除和更改VLANVTP域：test模式：ClientVLAN2nameAAVLAN2nameAAVLAN2nameAAVLAN3nameBB不能配置不同域名：不學(xué)習(xí)不轉(zhuǎn)發(fā)VTP的運行模式4-4Transparent模式VTP域：test模式：ServerVTP域：test模式：TransparentVTP域：test模式：Client不提供VTP消息不學(xué)習(xí)VTP消息轉(zhuǎn)發(fā)VTP消息可以添加、刪除和更改VLAN，只在本地有效VLAN2nameAAVLAN2nameAAVLAN3nameBB只在本地生效VTP的配置修訂編號配置修訂編號代表VTP幀的修訂級別，它是一個32位的數(shù)字交換機只會更新修訂編號比自身修訂編號更大的vlan信息對vlan的添加、刪除操作會使修訂編號加1改變vtp的域名會將修訂編號重置為0交換機的默認配置修訂編號為零修訂可能引發(fā)的問題VTP通告：使用組播發(fā)送，地址為01-00-0c-cc-cc-cc只通過中繼端口傳遞VTP消息通過VLAN1傳送VTP通告4-1VTP通告客戶機的通告請求－獲取VLAN信息交換機重新啟動后

VTP域名變更后交換機接收到了配置修訂號大的匯總通告服務(wù)器的通告響應(yīng)－發(fā)送VLAN信息匯總通告－用于通知鄰接的Catalyst交換機目前的VTP域名和配置修訂編號；每隔300秒一次，或配置改變的時候發(fā)送通告子集通告－包含VLAN的詳細信息VTP通告4-2匯總通告版本（1字節(jié)）編碼（1字節(jié)）后續(xù)通告數(shù)（1字節(jié)）管理域名長度（1字節(jié)）管理域名（32字節(jié)）配置修改編號（4字節(jié)）更新者標(biāo)識（4字節(jié)）更新時間戳（12字節(jié)）MD5摘要（16字節(jié)）VTP有2個版本，版本1的透明模式的交換機只轉(zhuǎn)發(fā)相同域名和版本的VTP信息，而版本2的都轉(zhuǎn)發(fā)表明消息類型是匯總通告還是子集表明VTP匯總通告后面跟著多少個子集通告標(biāo)識域名的長度指出VTP域名從0開始，當(dāng)配置更新時，向外發(fā)送的VTP通告修訂號加1，接收通告的交換機看到比原有的配置修訂號更大的通告，就用新的配置覆蓋已有的VLAN信息發(fā)送更新的交換機的管理IP地址更新的時間VTP口令和VTP首部的哈希值，如果口令不匹配，更新將被忽略；在交換機上配置VTP口令，用于保證交換網(wǎng)絡(luò)VLAN配置的安全性VTP通告4-3子集通告版本（1字節(jié)）編碼（1字節(jié)）序號（1字節(jié)）管理域名長度（1字節(jié)）管理域名（32字節(jié)）配置修改編號（4字節(jié)）VLAN信息字段1……VLAN信息字段nVTP通告4-4通告請求版本（1字節(jié)）編碼（1字節(jié)）Rsvd管理域名長度（1字節(jié)）管理域名（32字節(jié)）起始值（1字節(jié)）在有多個子集通告的情況下，如果從第n個子集通告沒有收到，則起始值為n，表示請求發(fā)送從n開始的所有子集通告；如果起始值為0，表示請求所有子集通告采用VTP修剪后，只有交換機B通告了它使用VLAN3的接口后，A才把VLAN3的廣播轉(zhuǎn)發(fā)到B，否則不會轉(zhuǎn)發(fā)廣播交換機B上沒有VLAN3的端口，交換機B丟棄這個廣播包；浪費中繼鏈路的帶寬和交換機的處理資源VTP修剪減少中繼鏈路上的不必要的廣播信息VLAN1VLAN3VLAN3VLAN4ABCD廣播TrunkTrunkTrunk丟棄階段總結(jié)VTP的功能可以在單個交換機上管理整個交換網(wǎng)絡(luò)內(nèi)的的VLANVTP的工作原理VTP域VTP域成員的3種模式VTP通告VTP裁剪VTP配置3-1創(chuàng)建VTP域

switch(config)#vtpdomaindomain_name配置交換機的VTP模式

switch(config)#vtpmodeserver|client|transparentVTP配置3-2配置VTP口令

switch(config)#vtppasswordpassword

配置VTP修剪

switch(config)#vtppruningVTP版本的配置switch(config)#vtpversion2VTP配置3-3查看VTP的配置

switch#showvtpstatusSwA#showvtpstatusVTPVersion:2ConfigurationRevision:2MaximumVLANssupportedlocally:64NumberofexistingVLANs:7VTPOperatingMode:ServerVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0x340x9D0xE10x180x500x4C0xC10xD0Configurationlastmodifiedbyat7-27-0611:27:16LocalupdaterIDisoninterfaceVl1(lowestnumberedVLANinterfacefound)

可以支持VTP版本2VTP的配置修訂號沒有使用VTP版本2MD5摘要信息更新者信息VTP的運行模式是ServerVTP域名為test沒有啟用VTP修剪共支持64個VLANVTP配置實例20-1ABCf0/23f0/23f0/22f0/22VLAN2VLAN3VLAN2VLAN3VLAN2VLAN3Port2-3Port4-5VTP域名：testVTP模式：ServerVlan1:/24VTP配置實例20-2在SwA上配置VTPSwA(config)#vtpdomaintestChangingVTPdomainnamefromnulltotestSwA(config)#vtpmodeserverDevicemodealreadyVTPSERVER.SwA(config)#interfacefastEthernet0/23SwA(config-if)#switchportmodetrunk配置交換機的VTP域名為test配置交換機的VTP運行模式為服務(wù)器模式配置交換機之間連接的端口為trunkVTP配置實例20-3ABCf0/23f0/23f0/22f0/22VLAN2VLAN3VLAN2VLAN3VLAN2VLAN3Port2-3Port4-5VTP域名：testVTP模式：ClientVTP配置實例20-4在SwB上配置VTPSwB(config)#vtpdomaintestChangingVTPdomainnamefromnulltotestSwB(config)#vtpmodeclientDevicemodealreadyVTPCLIENTmode.SwB(config)#interfacefastEthernet0/22SwB(config-if)#switchportmodetrunkSwB(config)#interfacefastEthernet0/23SwB(config-if)#switchportmodetrunkVTP配置實例20-5在SwA上添加VLANSwA#vlandatabaseSwA(vlan)#vlan2namesalesVLAN2added:Name:salesSwA(vlan)#vlan3namedevelopVLAN3added:Name:developSwA(vlan)#exitAPPLYcompleted.Exiting....VTP配置實例20-6在SwA的VLAN中添加端口SwA(config)#interfacerangefastEthernet0/2-3SwA(config-if-range)#switchportaccessvlan2SwA(config)#interfacerangefastEthernet0/4-5SwA(config-if-range)#switchportaccessvlan3VTP配置實例20-7配置SwA的管理IP地址SwA(config)#interfacevlan1SwA(config-if)#ipaddressSwA(config-if)#noshutdown為了查看方便，為SwA配置管理IP地址，否則顯示的更新者標(biāo)識中的地址為VTP配置實例20-8在SwA上查看VLAN信息SwA#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/242salesactiveFa0/2,Fa0/33developactiveFa0/4,Fa0/51002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactiveVTP配置實例20-9在SwA上查看VTP狀態(tài)信息SwA#showvtpstatusVTPVersion:2ConfigurationRevision:2MaximumVLANssupportedlocally:64NumberofexistingVLANs:7VTPOperatingMode:ServerVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0x340x9D0xE10x180x500x4C0xC10xD0Configurationlastmodifiedbyat7-27-0611:27:16LocalupdaterIDisoninterfaceVl1(lowestnumberedVLANinterfacefound)VTP配置實例20-10在SwB上查看VLAN信息SwB#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/242salesactive3developactive1002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup已經(jīng)通過VTP協(xié)議學(xué)習(xí)到了VLAN的信息，但是不學(xué)習(xí)VLAN中添加的端口VTP配置實例20-11在SwB上查看VTP信息SwB#showvtpstatusVTPVersion:2ConfigurationRevision:2MaximumVLANssupportedlocally:64NumberofexistingVLANs:7VTPOperatingMode:ClientVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0x340x9D0xE10x180x500x4C0xC10xD0Configurationlastmodifiedbyat7-27-0611:27:16VTP配置實例20-12ABCf0/23f0/23f0/22f0/22VLAN2VLAN3VLAN2VLAN3VLAN2VLAN3Port2-3Port4-5請學(xué)員完成VTP域名：testVTP模式：ClientVTP配置實例20-13配置SwA的VTP口令SwA(config)#vtppasswordciscoSettingdeviceVLANdatabasepasswordtocisco修改SwA的VLAN配置，添加VLAN4SwA#vlandatabaseSwA(vlan)#vlan4namemarketVLAN4added:Name:marketSwA(vlan)#exitVTP配置實例20-14查看SwA的VTP信息SwA#showvtpstatusVTPVersion:2ConfigurationRevision:3MaximumVLANssupportedlocally:64NumberofexistingVLANs:8VTPOperatingMode:ServerVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0xBE0x930x370xDD0xE50x270x300x9DConfigurationlastmodifiedbyat7-27-0613:42:38LocalupdaterIDisoninterfaceVl1(lowestnumberedVLANinterfacefound)配置修訂號增加1VTP配置實例20-15在SwB沒有配置VTP口令的情況下查看VTP信息SwB#showvtpstatusVTPVersion:2ConfigurationRevision:2MaximumVLANssupportedlocally:64NumberofexistingVLANs:7VTPOperatingMode:ClientVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0x340x9D0xE10x180x500x4C0xC10xD0Configurationlastmodifiedbyat7-27-0611:27:16配置修訂號沒變VTP配置實例20-16查看VLAN信息SwB#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/242salesactive3developactive1002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup新的VLAN信息也沒有學(xué)到VTP配置實例20-17配置SwB的VTP密碼SwB(config)#vtppasswordciscoSettingdeviceVLANdatabasepasswordtociscoVTP配置實例20-18查看SwB的VTP信息SwB#showvtpstatusVTPVersion

:2ConfigurationRevision:3MaximumVLANssupportedlocally:64NumberofexistingVLANs:8VTPOperatingMode:ClientVTPDomainName:testVTPPruningMode:DisabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0xBE0x930x370xDD0xE50x270x300x9DConfigurationlastmodifiedbyat7-27-0613:42:38等到SwA發(fā)送匯總通告時，SwB發(fā)現(xiàn)配置修訂號發(fā)生了變更，會發(fā)送通告請求，SwA會發(fā)送攜帶VLAN信息的子集通告VTP配置實例20-19查看SwB的VLAN信息SwB#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/242salesactive3developactive4marketactive1002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsupVTP配置實例20-20在SwA上配置VTP修剪SwA(config)#vtppruningPruningswit