網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第3章-局域網(wǎng)和虛擬局域網(wǎng) 華三版-04完整版

第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦?zé)鰟诖浣?/p>

同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計算機通信網(wǎng)絡(luò)通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術(shù)包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，傳輸速率從早期的10Mbps的標(biāo)準(zhǔn)以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬兆以太網(wǎng)，成為局域網(wǎng)技術(shù)的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡(luò)屬于共享式以太網(wǎng)，網(wǎng)絡(luò)中的所有終端主機都處于同一沖突域中，網(wǎng)絡(luò)的帶寬是由接入的主機共享的，接入的主機越多，每臺主機獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機組成的網(wǎng)絡(luò)則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機還是集線器，它們的端口都處在各自的同一個廣播域中。3.1.1.抓包探究沖突域如圖3-1所示，打開PacketTracer8，分別用交換機和集線器連接電腦組成兩個不同的網(wǎng)絡(luò)，即圖中5號位的“交換機網(wǎng)絡(luò)”和8號位的“集線器網(wǎng)絡(luò)”。給同一網(wǎng)絡(luò)中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址，此處兩個網(wǎng)絡(luò)都取192.168.1.0/24網(wǎng)段。下面，通過實驗抓包驗證ICMP單播包在集線器與交換機下轉(zhuǎn)發(fā)時的異同。圖3-1集線器網(wǎng)絡(luò)和交換機網(wǎng)絡(luò)的ICMP單播包1.在Realtime模式下（圖中1號位），清空并查看“交換機網(wǎng)絡(luò)”中（圖中5號位）交換機的MAC地址表。命令如下；Switch#clearmac-address-tableSwitch#showmac-address-table2.切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ICMP”抓包選項。然后在“交換機網(wǎng)絡(luò)”上（圖中5號位），點擊PC4，在PC4的命令行界面pingPC6，即在PC4上運行ping192.168.1.3命令，構(gòu)造形成和準(zhǔn)備發(fā)送第一個ICMP包。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過點擊圖中4號位的前進(jìn)和后退按鈕定位到ping命令執(zhí)行的不同階段，查看ping的詳細(xì)執(zhí)行過程。可以看到，交換機轉(zhuǎn)發(fā)第一個ICMP數(shù)據(jù)幀時，將數(shù)據(jù)幀廣播給PC5、PC6、PC7；PC6接收到PC4發(fā)來的數(shù)據(jù)幀后，發(fā)現(xiàn)是發(fā)給自己的，隨即向PC4回復(fù)ICMP單播幀；PC5和PC7發(fā)現(xiàn)數(shù)據(jù)幀不是發(fā)給自己的，將其丟棄。原因分析如下：第一個ICMP數(shù)據(jù)幀之所以通過廣播的形式轉(zhuǎn)發(fā)，是因為交換機的MAC表最初為空，無法查到目標(biāo)PC6所在的端口。隨著交換機依次學(xué)到PC4和PC6的MAC地址并記錄到MAC地址表中，從第二個ICMP數(shù)據(jù)幀開始，交換機都會根據(jù)MAC地址表選擇出端口、以單播的方式轉(zhuǎn)發(fā)。圖中7號位記錄的是PC6收到PC4發(fā)來的第二個ICMP單播幀的時刻，是點擊圖中6號位的眼睛后面的Switch0后，顯示PC6接收到PC4發(fā)來的ICMP單播幀的內(nèi)容（圖中7號位左邊）以及回復(fù)給PC4的ICMP單播幀的內(nèi)容（圖中7號位右邊）。4.按照步驟2和步驟3的方法，對“集線器網(wǎng)絡(luò)”（圖中8號位）進(jìn)行PC0pingPC2的ICMP抓包實驗。通過在PC0的命令行界面運行“ping192.168.1.3”命令并進(jìn)行抓包，可以看到，不論是第一個ICMP包，還是后續(xù)的ICMP包，所有階段集線器都是以廣播的方式轉(zhuǎn)發(fā)的。這是因為集線器屬于物理層設(shè)備，不認(rèn)識MAC地址，也不具備MAC地址表。以上實驗結(jié)果驗證了：由于集線器屬于物理層設(shè)備，不能識別MAC地址，只能通過廣播數(shù)據(jù)幀的方式轉(zhuǎn)發(fā)數(shù)據(jù)，整個集線器處于同一個沖突域中；交換機屬于數(shù)據(jù)鏈路層設(shè)備，能識別MAC地址。3.1.2抓包探究廣播域

如圖3-2所示，打開PacketTracer8，分別用集線器和交換機連接電腦組成兩個不同的網(wǎng)絡(luò),包括5號位的“集線器網(wǎng)絡(luò)”和8號位的“交換機網(wǎng)絡(luò)”。給同一網(wǎng)絡(luò)中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址（此處取192.168.1.0/24網(wǎng)段）。下面，通過實驗抓包驗證ping命令引發(fā)的ARP廣播包在集線器與交換機下轉(zhuǎn)發(fā)時的異同。圖3-2集線器網(wǎng)絡(luò)和交換機網(wǎng)絡(luò)的ARP廣播包

1.在Realtime模式下（圖中1號位），清空并查看“集線器網(wǎng)絡(luò)”中（圖中5號位）PC0的ARP緩存表。點擊PC0，在PC0的命令行界面輸入以下命令：C:\>arp-dC:\>arp-a

2.點擊切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ARP”抓包選項。然后在PC0上pingPC2，即在PC0上運行ping192.168.1.3命令，封裝形成和準(zhǔn)備發(fā)送第一個ICMP包，一旦點擊播放按鈕（圖中4號位），將觸發(fā)ping命令的繼續(xù)執(zhí)行，而ping命令將觸發(fā)ARP協(xié)議的執(zhí)行，即發(fā)出查詢目標(biāo)IP地址192.168.1.3對應(yīng)的MAC地址的廣播幀。Ping命令觸發(fā)廣播的原因如下：ping命令構(gòu)造的ICMP包從PC0發(fā)出前，要先在第三層（網(wǎng)絡(luò)層）套上內(nèi)層信封，寫上原始發(fā)件人的源IP地址和最終收件人的目的IP地址，再下放到第二層（數(shù)據(jù)鏈路層），套上外層信封，寫上當(dāng)前發(fā)件人的源MAC地址和下一跳收件人的目的MAC地址。但封裝第一個ICMP幀時，只知道目標(biāo)PC1的IP地址，對應(yīng)的MAC地址未知，所以會觸發(fā)ARP協(xié)議發(fā)出廣播，詢問目標(biāo)IP地址對應(yīng)的MAC地址?？梢钥吹郊€器收到廣播幀后，將其從所有端口轉(zhuǎn)發(fā)了出去。當(dāng)然，集線器對于單播幀也會將其從所有端口轉(zhuǎn)發(fā)出去，這在“沖突域”實驗中已經(jīng)驗證過了。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過點擊圖中4號位的前進(jìn)和后退按鈕，定位到ping命令執(zhí)行的不同階段，查看和分析執(zhí)行過程。圖中5號位和6號位展示的是“PC1、PC2、PC3同時收到廣播幀”的時刻。可以看到，PC1和PC3收到廣播幀后將其丟棄，而PC2收到廣播幀后發(fā)現(xiàn)廣播幀的內(nèi)容是在詢問自己的MAC地址，于是將自己的MAC地址回復(fù)給PC0。圖中的7號位，是點擊6號位中的第3個眼睛后面的Hub0后，顯示PC3收到的ARP廣播幀的內(nèi)容。4.按照步驟1到步驟3（觀察“集線器網(wǎng)絡(luò)”廣播域）的方法，對圖中8號位的“交換機網(wǎng)絡(luò)”進(jìn)行ARP廣播幀的抓包和觀察?？梢钥吹?，當(dāng)交換機收到目的MAC地址是FFFF-FFFF-FFFF的廣播幀時，會將其從除源端口之外的其余端口轉(zhuǎn)發(fā)出去?？梢娊粨Q機和集線器的廣播域一樣，所有的端口都處于同一個廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡(luò)資源，還影響到網(wǎng)絡(luò)安全；當(dāng)有網(wǎng)絡(luò)設(shè)備發(fā)生故障，導(dǎo)致廣播幀不停發(fā)送時，更會導(dǎo)致廣播風(fēng)暴，影響正常的網(wǎng)絡(luò)通信。因此，有必要按網(wǎng)絡(luò)規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡(luò)分別連接到不同的交換機，交換機再通過路由器連接到一起，實現(xiàn)不同網(wǎng)絡(luò)的互聯(lián)。這種情況下，當(dāng)本地廣播包經(jīng)過路由器時，路由器會將其攔截，實現(xiàn)了對本地廣播的隔離。但這種通過引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們詳細(xì)學(xué)習(xí)VLAN的相關(guān)知識。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術(shù)是從邏輯上將一個局域網(wǎng)（LAN）劃分為多個邏輯上獨立的虛擬局域網(wǎng)（VLAN），從而達(dá)到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標(biāo)簽的數(shù)據(jù)幀上添加4個字節(jié)的802.1Q標(biāo)簽，其中的12比特用于存放VLANID，標(biāo)識不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒創(chuàng)建新VLAN之前，交換機的所有端口都默認(rèn)屬于VLAN1，VLAN1是默認(rèn)存在且不能被刪除的。下面通過案例來分析VLAN的劃分。

3.2.1思科設(shè)備配置VLAN

如圖3-3所示，學(xué)校某棟樓一樓和二樓的交換機都連接了信工學(xué)院、機電學(xué)院和財務(wù)處的電腦，兩臺交換機的f0/1-9端口劃分給信工學(xué)院、f0/10-19端口劃分給機電學(xué)院、f0/20-23劃分給財務(wù)處，樓層間兩臺交換機的f0/24端口通過交叉線連接。圖3-3樓層間兩臺思科交換機相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。2.為加強安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機電學(xué)院劃分到VLAN10、財務(wù)處劃分到VLAN100。（1）為1樓交換機劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#namejiDian//將VLAN10命名為jidianSW1(config-vlan)#exitSW1(config)#vlan100//創(chuàng)建VLAN100SW1(config-vlan)#namecaiWu//將VLAN100命名為caiwuSW1(config-vlan)#exitSW1(config)#interfacerangefastEthernet0/10-19//進(jìn)入端口配置模式SW1(config-if-range)#switchportmodeaccess//將端口f0/10-19設(shè)置為access模式SW1(config-if-range)#switchportaccessvlan10//將端口f0/10-19劃分給vlan10SW1(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/20-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan100SW1(config-if-range)#endSW1#showvlanbrief//查看VLAN信息VLANNameStatus Ports---------------------- -------------------------------1defaultactive Fa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/2410jiDianactive Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19100caiWuactive Fa0/20,Fa0/21,Fa0/22,Fa0/23可以看到，配置完成后，f0/1~f0/9保留在VLAN1，可用于連接信工學(xué)院的電腦，VLAN1的默認(rèn)名稱是default，不能更改；f0/24也保留在了VLAN1，用于將一樓的交換機連接到二樓的交換機；f0/10-19被劃分到VLAN10，命名為jiDian（機電），用于連接機電學(xué)院的電腦；f0/20-23被劃分到VLAN20，命名為caiWu（財務(wù)），用于連接財務(wù)處的電腦。通過ping測試，發(fā)現(xiàn)一樓同一部門的電腦可以互通，不同部門的電腦因為屬于不同VLAN，已無法互通。

（2）以機電學(xué)院的兩臺電腦PC2和PC3互相通信為例進(jìn)行VLAN流量分析。這兩臺電腦分別連接在交換機的f0/10和f0/11端口上。電腦上的數(shù)據(jù)幀是不帶VLAN標(biāo)簽的，電腦PC2發(fā)給PC3的數(shù)據(jù)幀從Access類型的端口f0/10進(jìn)入交換機時，會被打上該端口所屬VLAN的標(biāo)簽VLAN10；交換機內(nèi)帶有VLAN10標(biāo)簽的數(shù)據(jù)幀可以在端口f0/10~f0/19范圍內(nèi)進(jìn)出。帶VLAN標(biāo)簽的數(shù)據(jù)幀從Access端口離開交換機時，VLAN標(biāo)簽會被剝離，電腦是無法識別帶有VLAN標(biāo)簽的數(shù)據(jù)幀的。PC2發(fā)往PC3的數(shù)據(jù)幀從f0/11端口離開交換機去往PC3時，VLAN10的標(biāo)簽會被剝離，PC3收到的是不帶標(biāo)簽的數(shù)據(jù)幀。

（3）為2樓交換機劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#namejiDianSW2(config-vlan)#exitSW2(config)#vlan100SW2(config-vlan)#namecaiWuSW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/10-19SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangefastEthernet0/20-23SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan100SW2(config-if-range)#end

3.查看交換機SW2的VLAN信息，命令如下：SW2#showvlanbrief可以看到用于連接信工學(xué)院電腦的f0/1-9端口屬于VLAN1、用于連接一樓交換機的f0/24端口也屬于VLAN1等信息。

4.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機電學(xué)院的電腦不能互通，1樓和2樓間財務(wù)處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是f0/24，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.2.2華為設(shè)備配置VLAN

如圖3-4所示，學(xué)校一樓和二樓的交換機都連接了信工學(xué)院、機電學(xué)院和財務(wù)處的電腦，兩臺交換機的e0/0/1-e0/0/9端口劃分給信工學(xué)院，e0/0/10-e0/0/19端口劃分給機電學(xué)院，e0/0/20-e0/0/22劃分給財務(wù)處，樓層間兩臺交換機的g0/0/1端口通過交叉線連接。

圖3-4樓層間兩臺華為交換機相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機電學(xué)院劃分到VLAN10、財務(wù)處劃分到VLAN100。3.為1樓交換機劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//進(jìn)入VLAN1配置視圖[SW1-vlan1]descriptionxinGong//描述VLAN1為xinGong[SW1-vlan1]quit[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10為jiDian[SW1-vlan10]quit[SW1]vlan100//創(chuàng)建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100為caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//將端口E0/0/1-E0/0/9組成端口組，以便進(jìn)行統(tǒng)一配置[SW1-port-group]portlink-typeaccess//統(tǒng)一將這些端口類型設(shè)置為ACCESS模式[SW1-port-group]portdefaultvlan1//設(shè)置端口PVID為1，將這些端口劃分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于連接信工學(xué)院電腦的e0/0/1-e0/0/9端口屬于VLAN1、用于連接一樓交換機的g0/0/1端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機電學(xué)院的電腦不能互通，1樓和2樓間財務(wù)處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是g0/0/1，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.2.3華三設(shè)備配置VLAN

如圖3-5所示，在HCL中拖出兩臺S5820V2交換機和9臺PC搭建拓?fù)?。學(xué)校一樓和二樓的交換機都連接了信工學(xué)院、機電學(xué)院和財務(wù)處的電腦，兩臺交換機的g1/0/1-g1/0/9端口劃分給信工學(xué)院，g1/0/10-g1/0/19端口劃分給機電學(xué)院，g1/0/20-g1/0/29劃分給財務(wù)處，樓層間兩臺交換機的fg1/0/53端口通過交叉線連接。

圖3-5樓層間兩臺華三交換機相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機電學(xué)院劃分到VLAN10、財務(wù)處劃分到VLAN100。

3.為1樓交換機劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan1//進(jìn)入VLAN1配置視圖，VLAN1是默認(rèn)存在且不能被刪除的，交換機的所有端口都默認(rèn)屬于VLAN1[SW1-vlan1]namexinGong//將VLAN1命名為xinGong[SW1-vlan1]quit//返回系統(tǒng)視圖[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]namejiDian//將VLAN10命名為jiDian[SW1-vlan10]quit[SW1]vlan100[SW1-vlan100]namecaiWu[SW1-vlan100]quit[SW1]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/9//進(jìn)入批量端口g1/0/1-g1/0/9的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/1-g1/0/9的類型配置為access，這些端口默認(rèn)屬于VLAN1[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/10toGigabitEthernet1/0/19//進(jìn)入批量端口g1/0/10-g1/0/19的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/10-g1/0/19的類型配置為access[SW1-if-range]portaccessvlan10//將端口g1/0/10-g1/0/19劃分給VLAN10[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/20toGigabitEthernet1/0/29[SW1-if-range]portlink-typeaccess[SW1-if-range]portaccessvlan100[SW1-if-range]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlanbrief可以看到用于連接信工學(xué)院電腦的g1/0/1-g1/0/9端口屬于VLAN1、用于連接一樓交換機的fg1/0/53端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機電學(xué)院的電腦不能互通，1樓和2樓間財務(wù)處的電腦也不能互通。3.3跨交換機的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機之間通過屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過，其它VLAN的流量無法通過。若要使其它VLAN的流量也能跨越交換機在樓層間傳輸，需要為每個VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設(shè)為Access模式，并把相應(yīng)端口劃分給該VLAN。這樣的話，有幾個VLAN要跨越交換機傳輸，交換機間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實的。那么，交換機間的一根網(wǎng)線能否同時允許各VLAN通過呢？答案是肯定的。這就需要用到交換機端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個VLAN，只有該VLAN能通過該端口，其它VLAN是無法通過的，這種模式的端口通常用來連接電腦；Trunk模式的端口則可設(shè)置成允許部分VLAN或所有VLAN都通過，這種模式的端口通常用于交換機間的互連。3.3.1思科設(shè)備配置Trunk（一）Trunk的配置思科交換機Trunk模式的端口默認(rèn)允許所有VLAN通過，也可使用命令精確指定只允許哪些VLAN通過。例如在接口模式下執(zhí)行命令“switchporttrunkallowedvlan10,100”,表示只允許VLAN10和VLAN100通過。為了實現(xiàn)跨越交換機的各樓層相同VLAN的電腦互通，一樓和二樓交換機間互連的端口f0/24除了要允許VLAN1的流量通過，也要允許VLAN10和VLAN100的流量通過。方法是將交換機之間互連的端口f0/24改為trunk模式。1.一樓交換機SW1的配置命令如下：SW1#configureterminalSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk//將端口f0/24設(shè)置為trunk模式SW1(config-if-range)#endSW1#showinterfacestrunk//查看交換機的trunk信息2.二樓交換機SW2的配置命令如下：SW2#configureterminalSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if-range)#endSW2#showinterfacestrunk配置完成后，經(jīng)ping測試，可以看到各部門內(nèi)部的電腦都可以跨樓層互通了，說明兩臺交換機互連的端口的類型改為Trunk模式后各vlan都能通過了。（二）本征VLANTrunk鏈路中的缺省VLAN也叫做本征VLAN（即NativeVLAN），其VLANID也稱為PVID（Port-baseVLANID），PVID默認(rèn)為1，可通過命令改變。例如，在接口模式下執(zhí)行命令“switchporttrunknativevlan10”可將本征VLAN改為VLAN10。數(shù)據(jù)幀準(zhǔn)備從Trunk類型的端口離開交換機時，若屬于允許的VLAN范圍，則除了本征VLAN外的所有數(shù)據(jù)幀都要帶著VLAN標(biāo)簽離開，屬于本征VLAN的數(shù)據(jù)幀則會被剝離VLAN標(biāo)簽后再離開。當(dāng)數(shù)據(jù)幀從Trunk類型的端口進(jìn)入交換機時，不帶標(biāo)簽的數(shù)據(jù)幀會被打上該端口的本征VLAN標(biāo)簽，然后和已經(jīng)帶有VLAN標(biāo)簽的數(shù)據(jù)幀一起，接受其VLANID是否屬于該端口允許通過范圍的檢查，若允許通過，則攜帶該標(biāo)簽進(jìn)入，否則丟棄。（三）VLAN數(shù)據(jù)幀的處理過程分析以信工學(xué)院一樓電腦PC0與二樓電腦PC6通信為例，分析交換機對數(shù)據(jù)幀的處理過程：PC0發(fā)給PC6的數(shù)據(jù)幀進(jìn)入一樓交換機的f0/1端口時，會被打上VLAN1的標(biāo)簽；從一樓交換機的f0/24端口出來時，由于VLAN1屬于本征VLAN，數(shù)據(jù)幀的VLAN1標(biāo)簽會被剝離。數(shù)據(jù)幀到達(dá)二樓交換機的f0/24端口時，會被打上該端口本征VLAN的標(biāo)簽VLAN1，再被檢測是否屬于允許通過的VLAN范圍,確認(rèn)后進(jìn)入。進(jìn)入后，交換機根據(jù)數(shù)據(jù)幀的目的MAC地址查詢MAC地址表，找到出端口是f0/1，于是將其從f0/1端口送出來，出來前先剝離數(shù)據(jù)幀的VLAN1標(biāo)簽，再發(fā)送給二樓信工學(xué)院的電腦PC6。3.3.2華為設(shè)備配置Trunk下面介紹華為設(shè)備配置trunk的方法：1.將一樓交換機SW1的端口g0/0/1設(shè)置為trunk類型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//將端口g0/0/1設(shè)置為trunk類型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允許VLAN10、VLAN100和默認(rèn)的本征VLAN1通過。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交換機各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被設(shè)置成立trunk類型，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試。與一樓交換機的配置和測試命令一樣。3.在電腦上進(jìn)行ping測試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.3.3華三設(shè)備配置Trunk1.將一樓交換機SW1的端口fg1/0/53設(shè)置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進(jìn)入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設(shè)置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試與一樓交換機的配置和測試命令一樣。3.在電腦上進(jìn)行ping測試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.4VLAN同步及動態(tài)注冊

在多臺交換機需要配置相同VLAN信息的網(wǎng)絡(luò)環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進(jìn)行交換機間VLAN的同步、簡化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機可組成一個VTP域（VTPDomain），VTP域中一臺交換機上的VLAN創(chuàng)建或修改信息可自動同步到其它交換機上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來實現(xiàn)，VTP通告攜帶32位的修訂號（Revision）來代表修訂級別，修訂號的初始值是0，它會不斷增加，新修訂號的VLAN信息會覆蓋舊修訂號的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國際標(biāo)準(zhǔn)協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊協(xié)議）的一個應(yīng)用，GARP是一個通用協(xié)議的模板，用于屬性的動態(tài)注冊和注銷，GVRP則用于VLAN信息的動態(tài)注冊和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動態(tài)地劃分到VLAN，即通過VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。

GARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相應(yīng)的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協(xié)議）。MVRP可兼容GVRP。3.4.1思科設(shè)備配置VTP如圖3-6所示，在PacketTracer8中搭建拓?fù)洌M(jìn)行配置和測試。一、配置VTPServer1.由于VTP是在Trunk鏈路上傳輸?shù)模越粨Q機之間要創(chuàng)建Trunk鏈路。配置命令如下：SW1(config)#interfacefastEthernet0/1//SW1的配置SW1(config-if)#switchportmodetrunkSW1(config-if)#endSW2(config)#interfacerangefastEthernet0/1-2//SW2的配置SW2(config-if-range)#switchportmodetrunkSW2(config-if)#endSW3(config)#interfacefastEthernet0/2//SW3的配置SW3(config-if)#switchportmodetrunkSW3(config-if)#end圖3-6思科交換機配置VTP的網(wǎng)絡(luò)拓?fù)?.在SW2上查看Trunk鏈路是否正常，命令如下：SW2#showinterfacestrunk3.在SW1上查看默認(rèn)的VTP狀況的命令如下：SW1#showvtpstatusVTPDomainName://VTP域名為空VTPOperatingMode:Server//VTP模式為ServerConfigurationRevision:0//修訂號為0可以看到，默認(rèn)情況下，交換機處于Server模式。交換機在VTP域中的角色可以分為服務(wù)器模式（Server）、客戶機模式（Client）和透明模式（Transparent）。4.交換機加入到相同的VTP域后，可以相互學(xué)習(xí)VLAN信息。在VTPServer上配置VTP域名的命令如下：SW1#configureterminalSW1(config)#vtpmodeserver//將VTP模式配置為Server，這是默認(rèn)值，可以省略。SW1(config)#vtpdomainVTP01//將VTP域名配置為VTP01。域名默認(rèn)為空。其它交換機域名初始時VTP域名也為空。域名為空的其它交換機將會學(xué)習(xí)到這個域名并加入這個域。5.在SW2和SW3上查看VTP狀態(tài)，觀察SW2和SW3都學(xué)到并加入到VTP01域中。以SW2為例，命令如下：SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:06.在VTPServer上創(chuàng)建VLAN，觀察其他交換機是否能學(xué)習(xí)到新建的VLAN。（1）在SW1的配置創(chuàng)建VLAN2，命令如下：SW1(config)#vlan2SW1(config-vlan)#endSW1#showvlan（2）在SW2查看是否學(xué)到了VLAN2，命令如下：SW2#showvlanb//查看SW2學(xué)習(xí)到VLAN2SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1（3）在SW3查看是否學(xué)到了VLAN2，命令如下：SW3#showvlanb//查看SW3學(xué)習(xí)到VLAN2SW3#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1二、配置VTP密碼配置VTP密碼，可以避免身份不明的交換機加入到VTP域中，從而提高安全性。1.SW1的配置命令如下：SW1(config)#vtppassword123//在SW1上配置VTP密碼為123。SW1(config)#exitSW1#showvtppasswordSW1(config)#vlan3SW1(config-vlan)#endSW1#showvlanbrief//查看SW1新增了VLAN3SW1#showvtpstatus//查看SW1的VTP修訂號從1變成了22.SW2的配置命令如下：SW2#showvlanbrief//查看設(shè)置VTP密碼前，SW2并未學(xué)到新增的VLANSW2#showvtpstatus//查看設(shè)置VTP密碼前，SW2的VTP修訂號保持為1SW2#configureterminalSW2(config)#vtppassword123//將SW2的VTP密碼配置為123SW2(config)#exitSW2#showvlanbrief//查看設(shè)置VTP密碼后，SW2學(xué)到了VLAN3SW2#showvtpstatus//查看設(shè)置VTP密碼后，SW2的VTP修訂號變成了23.SW3的配置的配置命令如下：SW3#configureterminalSW3(config)#vtppassword123SW3(config)#exitSW3#showvlanbriefSW3#showvtpstatus三、配置VTPTransparentTransparent模式的交換機不參與VTP，但可以轉(zhuǎn)發(fā)VTP通告。1.將SW2配置為VTPTransparent，并創(chuàng)建VLAN4，命令如下：SW2#configureterminalSW2(config)#vtpmodetransparent//將SW2配置為VTPTransparent。SW2(config)#doshowvtpstatusSW2(config)#doshowvlanbriefSW2(config)#vlan4//創(chuàng)建VLAN4SW2(config-vlan)#endSW2#showvlanbrief2.在SW1和SW3上查看是否學(xué)到VLAN4，命令如下：SW1#showvlanbrief//SW1沒學(xué)到VLAN4。SW3#showvlanbrief//SW3也沒有學(xué)習(xí)到VLAN4。3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief4在SW2和SW1上查看是否學(xué)到VLAN5，命令如下：SW2#showvlanbrief//SW2沒學(xué)到VLAN5SW1#showvlanbrief//SW1學(xué)習(xí)到了VLAN5四、配置VTPClientVTPClient模式的交換機不能創(chuàng)建、修改和刪除VLAN，但能偵聽、學(xué)習(xí)和轉(zhuǎn)發(fā)VTP通告。下面，配置SW2和SW3為VTPClient模式，并測試其作用。1.將SW2設(shè)置為VTPClient模式，命令如下：SW2#configureterminalSW2(config)#vtpmodeclientSW2(config)#end2.將SW3設(shè)置為VTPClient模式，命令如下：SW3#configureterminalSW3(config)#vtpmodeclientSW3(config)#end3.在SW2上創(chuàng)建VLAN6，命令如下：SW2#showvtpstatusSW2#configureterminalSW2(config)#vlan6//提示SW2是Client模式，無法創(chuàng)建VLAN4.在SW1上創(chuàng)建VLAN7，命令如下：SW1#configureterminalSW1(config)#vlan7SW1(config-vlan)#end5.在SW1、SW2、SW3上查看VLAN信息，命令如下：SW1#showvlanbriefSW2#showvlanbrief//SW2學(xué)到了VLAN7SW3#showvlanbrief//SW3也都學(xué)到了VLAN7可以看到，SW2和SW3都學(xué)到了VLAN7。五、如何在已有的網(wǎng)絡(luò)中添加交換機在已有的網(wǎng)絡(luò)中添加交換機時，為了避免新加入的交換機的修訂號大于現(xiàn)網(wǎng)交換機的修訂號、導(dǎo)致現(xiàn)網(wǎng)VLAN信息丟失、造成網(wǎng)絡(luò)中斷，一定要將準(zhǔn)備加入的交換機的配置清除干凈后再加入，即在準(zhǔn)備加入的交換機上執(zhí)行“deleteflash:vlan.dat”和“erasestartup-config”命令，重啟后，再加入。3.4.2華為設(shè)備配置GVRPGVRP可用于交換機間端口VLAN信息的動態(tài)注冊和注銷。GVRP通過trunk口交互。如圖3-7所示，在eNSP中搭建拓?fù)?。圖3-7華為交換機配置GVRP的網(wǎng)絡(luò)拓?fù)湟?、基本配?.各PC的地址按拓?fù)渲械囊?guī)劃進(jìn)行配置。2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機間的鏈路設(shè)置為trunk鏈路，允許所有vlan通過。（1）交換機的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）進(jìn)行跨交換機的屬于VLAN10的PC互ping測試，在PC1上ping192.168.1.20，發(fā)現(xiàn)無法ping通。（3）查看交換機的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:1VIDTypePorts1common

UT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)

[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)

10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)

可以看到，SW1和SW3都有VLAN10，但中間的SW2上沒有VLAN10，SW2收到VLAN10的數(shù)據(jù)幀時，無法找到轉(zhuǎn)發(fā)的出端口，故將其丟棄，導(dǎo)致兩臺PC無法ping通。解決方法是在SW2上增加VLAN10。二、開啟GVRP

1.在各交換機上開啟GVRP功能，在Trunk端口上啟用GVRP協(xié)議，命令如下：[SW1]gvrp//SW1的配置[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrp[SW1-GigabitEthernet0/0/1]quit[SW2]gvrp//SW2的配置[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]gvrp[SW2-port-group]quit[SW3]gvrp//SW3的配置[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]gvrp[SW3-GigabitEthernet0/0/1]quit

2.查看SW2上的VLAN信息，命令如下：[SW2]displayvlanThetotalnumberofvlansis:2VIDTypePorts11commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)可以看到，SW2學(xué)到了VLAN10，其上的trunk端口g0/0/1和g0/0/2也都將VLAN10列入了允許通行的列表。

3.在PC1上ping192.168.1.20，可以ping通了。原因是SW2上學(xué)到了VLAN10，其上的trunk端口g0/0/1和g0/0/2都可以對VLAN10進(jìn)行轉(zhuǎn)發(fā)了。

三、GVRP端口的Nomal注冊模式GVRP端口注冊模式分為Normal、Fixed和Forbidden三種。其中Normal模式是缺省模式，Normal模式允許該端口動態(tài)注冊或注銷VLAN、傳播動態(tài)VLAN和靜態(tài)VLAN信息。下面觀察Nomal模式的注冊過程。

1.查看SW1的GVRP注冊模式，命令如下：[SW1]displaygvrpstatisticsGVRPstatisticsonportGigabitEthernet0/0/1GVRPstatus :EnabledGVRPregistrationsfailed :0GVRPlastPDUorigin :4c1f-cc01-25c9GVRPregistrationtype :Normal可以看到，默認(rèn)情況下，SW1的g0/0/1端口的GVRP注冊模式是Normal模式。

2.在SW1上創(chuàng)建VLAN20，命令如下：[SW1]vlan20[SW1-vlan20]quit

3.在各交換機上查看VLAN信息，命令如下：[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20dynamicTG:GE0/0/1(U)

可以看到：SW1的g0/0/1、SW2的g0/0/1，SW3的g0/0/1都將VLAN20列入了允許通行VLAN；SW2的g0/0/2沒有將VLAN20作為允許通行VLAN。

4.在SW3上創(chuàng)建VLAN20,SW2的g0/0/2作為VLAN聲明沿途交換機的入端口，將注冊VLAN20，并將該VLAN加入該端口允許通行的VLAN列表中，下面加以驗證：

（1）SW3的配置如下：[SW3]vlan20//在SW3上創(chuàng)建VLAN20[SW3-vlan20]quit[SW3]interfaceEthernet0/0/2[SW3-Ethernet0/0/2]portlink-typeaccess[SW3-Ethernet0/0/2]portdefaultvlan20

（2）在SW3和SW2上查看VLAN信息，命令如下：[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)

Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)

可以看到，在SW3上創(chuàng)建VLAN20后,SW2的g0/0/2端口學(xué)到和注冊了該VLAN、并將其加入到了該端口允許通行的VLAN列表中。

四、GVRP端口的fixed注冊模式Fixed模式的端口禁止該端口動態(tài)注冊或注銷VLAN，只傳播靜態(tài)VLAN信息，不傳播動態(tài)VLAN信息。下面加以驗證：

1.將SW1的Trunk端口g0/0/1修改為Fixed注冊模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationfixed[SW1-GigabitEthernet0/0/1]quit

2.在SW3上添加VLAN30，命令如下：[SW3]vlan30[SW3-vlan30]quit

3.在SW3、SW2、SW1上查看VLAN信息，命令如下：[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)30commonTG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)30dynamicTG:GE0/0/2(U)[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)

Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)

GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)

可以看到，SW2學(xué)到了VLAN30，SW1沒有學(xué)到VLAN30。這是因為Fixed模式只傳播靜態(tài)VLAN，不傳播動態(tài)VLAN。

五、GVRP端口的Forbidden注冊模式Forbidden模式的端口禁止該端口動態(tài)注冊或注銷VLAN，不傳播VLAN1以外的任何的VLAN信息。下面加以驗證：

1.將SW1的g0/0/1改為Forbidden模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationforbidden[SW1-GigabitEthernet0/0/1]quit

2.查看SW1、SW2的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)20commonUT:Eth0/0/2(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:4VIDTypePorts---------------------------------------------------------------------------1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(U)10dynamicTG:GE0/0/2(U)20dynamicTG:GE0/0/2(U)30dynamicTG:GE0/0/2(U)

可以看到，將SW1的g0/0/1改為Forbidden模式后，只有VLAN1還允許g0/0/1通行，其它vlan都將g0/0/1從允許通行列表中刪除了。SW2的g0/0/1端口也將之前學(xué)到的VLAN10和VLAN20注銷了，只有g(shù)0/0/2端口還保留著從SW3學(xué)到和注冊的VLAN10和VLAN20。3.4.3華三設(shè)備配置MVRPGARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相