項目2 構(gòu)建辦公局域網(wǎng)絡(luò)

《網(wǎng)絡(luò)互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機(jī)相關(guān)專業(yè)目錄項目二構(gòu)建辦公局域網(wǎng)絡(luò)任務(wù)2.1VLAN通信GVRP配置端口聚合配置任務(wù)二任務(wù)2.3

目錄項目二構(gòu)建辦公局域網(wǎng)絡(luò)任務(wù)2.4端口鏡像配置端口限速配置任務(wù)五教學(xué)目標(biāo)：?了解VLAN技術(shù)、VLAN的優(yōu)點、VLAN幀格式及端口類型；?理解GVRP工作原理以及注冊模式；?理解端口鏡像、端口限速的基本概念以及端口限速的常用方法；技能目標(biāo):?掌握VLAN內(nèi)通信、VLAN間通信的配置方法；?掌握GVRP的配置方法；?掌握端口聚合、端口鏡像、端口限速的配置方法。項目二構(gòu)建辦公局域網(wǎng)絡(luò)素養(yǎng)目標(biāo):?在構(gòu)建和維護(hù)辦公局域網(wǎng)絡(luò)的過程中，讓學(xué)生體驗團(tuán)隊合作的重要性，學(xué)會有效溝通和協(xié)調(diào)，形成良好的團(tuán)隊協(xié)作意識和能力；?導(dǎo)學(xué)生認(rèn)識到信息技術(shù)發(fā)展的快速性和迭代性，樹立終身學(xué)習(xí)的理念，不斷跟蹤和學(xué)習(xí)新的網(wǎng)絡(luò)技術(shù)，以適應(yīng)信息化時代的快速發(fā)展；?強(qiáng)調(diào)在使用和管理辦公局域網(wǎng)絡(luò)過程中，應(yīng)遵循公平、公正、誠實守信的原則，培養(yǎng)學(xué)生良好的網(wǎng)絡(luò)道德素質(zhì)，如尊重他人隱私，拒絕傳播不良信息，做到知法守法，誠信為本。項目二構(gòu)建辦公局域網(wǎng)絡(luò)任務(wù)2.1VLAN通信2.1.1VLAN技術(shù)概述2.1.2端口類型2.1.3VLAN內(nèi)通信2.1.4VLAN間通信任務(wù)2.1VLAN通信任務(wù)陳述

小李是公司的網(wǎng)絡(luò)工程師，現(xiàn)需要對公司的辦公網(wǎng)絡(luò)進(jìn)行組網(wǎng)，需要將幾個不同的部門的計算機(jī)連接起來，構(gòu)成一個小型的辦公局域網(wǎng)絡(luò)，并且要求同一部門的網(wǎng)絡(luò)在同一個區(qū)域內(nèi)，不同的部門之間不能相互訪問，同時要求公司的所有部門都可以訪問公司的WEB服務(wù)器，查看公司的相關(guān)信息，通過適當(dāng)?shù)呐渲?，控制廣播域的范圍，減少不必要的訪問流量，提高設(shè)備的利用率以及增強(qiáng)網(wǎng)絡(luò)的安全性，做為公司的網(wǎng)絡(luò)工程師，小李將如何配置公司的網(wǎng)絡(luò)設(shè)備呢？任務(wù)2.1VLAN通信2.1.1VLAN技術(shù)概述傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶都在同一個廣播域中，嚴(yán)重制約了網(wǎng)絡(luò)技術(shù)的發(fā)展，隨著網(wǎng)絡(luò)的發(fā)展，越來越多的用戶需要接入到網(wǎng)絡(luò)，交換機(jī)提供的大量接入端口已經(jīng)不能很好地滿足這種需求，不僅面臨沖突域和廣播域太大兩大難題，而且無法保障傳輸信息的安全，引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬，而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn)，因此，人們設(shè)想在物理局域網(wǎng)上構(gòu)建多個邏輯局域網(wǎng)。VLAN是虛擬局域網(wǎng)（VirtualLocalAreaNetwork）的簡稱，它是在一個物理網(wǎng)絡(luò)上劃分的邏輯網(wǎng)絡(luò)，在邏輯上劃分成多個廣播域的技術(shù)，可按照功能、部門及應(yīng)用等因素劃分邏輯工作組，形成不同的虛擬網(wǎng)絡(luò)，如圖2.1所示。使用VLAN技術(shù)的目的是將一個廣播域網(wǎng)絡(luò)劃分成幾個邏輯廣播域網(wǎng)絡(luò)，每個邏輯網(wǎng)絡(luò)內(nèi)的用戶形成一個組，組內(nèi)的成員間可以通信，組間的成員不允許通信。一個VLAN是一個廣播域，二層的單播、廣播和多播幀在同一VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會直接進(jìn)入其他VLAN中，廣播報文就被限制在各個相應(yīng)的VLAN內(nèi)，這提高了網(wǎng)絡(luò)安全性和交換機(jī)運(yùn)行效率。VLAN劃分方式有很多，如基于端口、基于MAC地址、基于協(xié)議、基于IP子網(wǎng)、基于策略等，目前應(yīng)用得最多的是基于端口劃分，因為基于端口劃分方式簡單實用。2.1.1VLAN技術(shù)概述2.1.1VLAN技術(shù)概述1．VLAN的優(yōu)點（1）限制廣播域。一個交換機(jī)組成網(wǎng)絡(luò)默認(rèn)狀態(tài)下，所有交換機(jī)端口都在一個廣播域內(nèi)。采用Vlan技術(shù)可以可以限制廣播，減少干擾，將數(shù)據(jù)幀限制在同一個VLAN內(nèi)，不會影響其他VLAN，在一定程序上節(jié)省了帶寬，每個Vlan都是一個獨立的廣播域。（2）網(wǎng)絡(luò)管理簡單，靈活劃分虛擬工作組。邏輯上將交換機(jī)劃分若干個VLAN，可以動態(tài)組建網(wǎng)絡(luò)環(huán)境，一個用戶無論在哪兒都可以不做任何修改就可以接入網(wǎng)絡(luò)，依據(jù)不同的VLAN劃分方式，可以在一臺交換機(jī)上提供多個網(wǎng)絡(luò)應(yīng)用服務(wù)，提高了設(shè)備的利用率。（3）提高網(wǎng)絡(luò)安全性。不同Vlan的用戶未經(jīng)許可是不能相互訪問的，一個VLAN內(nèi)的廣播幀，不會發(fā)送到另一個VLAN中，限制用戶訪問，不被其它VLAN竊聽，從而保證了網(wǎng)絡(luò)的安全。2.1.1VLAN技術(shù)概述2．VLAN劃分方式（1）基于端口劃分：根據(jù)交換機(jī)的端口編號來劃分VLAN。通過為交換機(jī)的每個端口配置不同的PVID，來將不同端口劃分到VLAN中。初始情況下，X7系列交換機(jī)的端口處于VLAN1中。此方法配置簡單，但是當(dāng)主機(jī)移動位置時，需要重新配置VLAN。（2）基于MAC地址劃分：根據(jù)主機(jī)網(wǎng)卡的MAC地址劃分VLAN。此劃分方法需要網(wǎng)絡(luò)管理員提前配置網(wǎng)絡(luò)中的主機(jī)MAC地址和VLANID的映射關(guān)系。如果交換機(jī)收到不帶標(biāo)簽的數(shù)據(jù)幀，會查找之前配置的MAC地址和VLAN映射表，根據(jù)數(shù)據(jù)幀中攜帶的MAC地址來添加相應(yīng)的VLAN標(biāo)簽。在使用此方法配置VLAN時，即使主機(jī)移動位置也不需要重新配置VLAN。（3）基于IP子網(wǎng)劃分：交換機(jī)在收到不帶標(biāo)簽的數(shù)據(jù)幀時，根據(jù)報文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標(biāo)簽。（4）基于協(xié)議劃分：根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議族類型）、封裝格式來分配VLANID。網(wǎng)絡(luò)管理員需要首先配置協(xié)議類型和VLANID之間的映射關(guān)系。（5）基于策略劃分：使用幾個條件的組合來分配VLAN標(biāo)簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時，交換機(jī)才為數(shù)據(jù)幀添加VLAN標(biāo)簽。另外，針對每一條策略都是需要手工配置的。2.1.1VLAN技術(shù)概述3．VLAN數(shù)據(jù)幀格式要使交換機(jī)能夠分辨不同VLAN的報文，需要在報文中添加標(biāo)識VLAN信息的字段。IEEE802.1Q協(xié)議規(guī)定，在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后、協(xié)議類型字段之前加入4個字節(jié)的VLAN標(biāo)簽（又稱VLANTag，簡稱Tag），用于標(biāo)識數(shù)據(jù)幀所屬的VLAN，傳統(tǒng)的以太網(wǎng)數(shù)據(jù)幀與VLAN數(shù)據(jù)幀格式，如圖2.2所示。在一個VLAN交換網(wǎng)絡(luò)中，以太網(wǎng)幀主要有以下兩種形式：（1）有標(biāo)記幀（Tagged幀）：加入了4字節(jié)VLAN標(biāo)簽的幀。（2）無標(biāo)記幀（Untagged幀）：原始的、未加入4字節(jié)VLAN標(biāo)簽的幀。以太網(wǎng)鏈路包括接入鏈路（AccessLink）和干道鏈路（TrunkLink）。接入鏈路用于連接換機(jī)和用戶終端（如用戶主機(jī)、服務(wù)器、交換機(jī)等），只可以承載1個VLAN的數(shù)據(jù)幀。道鏈路用于交換機(jī)間互連或連接交換機(jī)與路由器，可以承載多個不同VLAN的數(shù)據(jù)幀，在接入鏈路上傳輸?shù)膸际荱ntagged幀，在干道鏈路上傳輸?shù)臄?shù)據(jù)幀都是Tagged幀。交換機(jī)內(nèi)部處理的數(shù)據(jù)幀一律都是Tagged幀。從用戶終端接收無標(biāo)記幀后，交換機(jī)會為無標(biāo)記幀添加VLAN標(biāo)簽，重新計算幀校驗序列(FCS)，然后通過干道鏈路發(fā)送幀；向用戶終端發(fā)送幀前，交換機(jī)會去除VLAN標(biāo)簽，并通過接入鏈路向終端發(fā)送無標(biāo)記幀。2.1.1VLAN技術(shù)概述3.VLAN數(shù)據(jù)幀格式2.1.1VLAN技術(shù)概述3

．VLAN數(shù)據(jù)幀格式2.1.2端口類型PVID即PortVLANID，代表端口的缺省VLAN，缺省情況下，交換機(jī)每個端口的PVID都是1，交換機(jī)從對端設(shè)備收到的幀有可能是Untagged的數(shù)據(jù)幀，但所有以太網(wǎng)幀在交換機(jī)中都是以Tagged的形式來被處理和轉(zhuǎn)發(fā)的，因此交換機(jī)必須給端口收到的Untagged數(shù)據(jù)幀添加上Tag。為了實現(xiàn)此目的，必須為交換機(jī)配置端口的缺省VLAN。當(dāng)該端口收到Untagged數(shù)據(jù)幀時，交換機(jī)將給它加上該缺省VLAN的VLANTag?；阪溌穼LAN標(biāo)簽的不同處理方式，因此，也對以太網(wǎng)交換機(jī)的端口做了區(qū)分，端口類型大致分為三類。1.接入端口（AccessPort）Access端口是交換機(jī)上用來連接用戶主機(jī)的端口，它只能連接接入鏈路，并且只能允許唯一的VLANID通過本端口，如圖2.3所示。Access端口收發(fā)數(shù)據(jù)幀的規(guī)則如下：（1）如果該端口收到對端設(shè)備發(fā)送的幀是untagged（不帶VLAN標(biāo)簽），交換機(jī)將強(qiáng)制加上該端口的PVID。如果該端口收到對端設(shè)備發(fā)送的幀是tagged（帶VLAN標(biāo)簽），交換機(jī)會檢查該標(biāo)簽內(nèi)的VLANID。當(dāng)VLANID與該端口的PVID相同時，接收該報文。當(dāng)VLANID與該端口的PVID不同時，丟棄該報文。2.1.2端口類型（2）Access端口發(fā)送數(shù)據(jù)幀時，總是先剝離幀的Tag，然后再發(fā)送，Access端口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是不帶標(biāo)簽的幀。交換機(jī)LSW1的G0/0/1，G0/0/2，G0/0/3和G0/0/4端口分別連接三臺主機(jī)PC1、PC2、PC3和PC4，端口類型均為Access端口。主機(jī)PC1把數(shù)據(jù)幀（未加標(biāo)簽）發(fā)送到交換機(jī)LSW1的G0/0/1端口，再由交換機(jī)發(fā)往其他目的地。收到數(shù)據(jù)幀之后，交換機(jī)LSW1根據(jù)端口的PVID給數(shù)據(jù)幀打上VLAN標(biāo)簽10，然后決定從G0/0/2端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。G0/0/2端口的PVID也是10，與VLAN標(biāo)簽中的VLANID相同，交換機(jī)移除標(biāo)簽，把數(shù)據(jù)幀發(fā)送到主機(jī)PC2。連接主機(jī)PC3和主機(jī)PC4的端口的PVID是20，與VLAN10不屬于同一個VLAN，因此，此端口不會接收到VLAN10的數(shù)據(jù)幀。接入端口收發(fā)數(shù)據(jù)幀的規(guī)則如下。（1）如果該端口收到對端設(shè)備發(fā)送的幀是Untagged數(shù)據(jù)幀，交換機(jī)將為其強(qiáng)制加上該端口的PVID。如果該端口收到對端設(shè)備發(fā)送的幀是Tagged數(shù)據(jù)幀，交換機(jī)會檢查該標(biāo)簽內(nèi)的VLANID。當(dāng)VLANID與該端口的PVID相同時，接收該報文；當(dāng)VLANID與該端口的PVID不同時，丟棄該報文。（2）接入端口發(fā)送數(shù)據(jù)幀時，總是先剝離幀的標(biāo)簽，然后發(fā)送。接入端口發(fā)往對端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是不帶標(biāo)簽的幀。交換機(jī)LSW1的GE0/0/1、GE0/0/2、GE0/0/3和GE0/0/4端口分別連接4臺主機(jī)PC1、PC2、PC3和PC4，端口類型均為接入端口。主機(jī)PC1把數(shù)據(jù)幀（未加標(biāo)簽）發(fā)送到交換機(jī)LSW1的GE0/0/1端口，再由交換機(jī)發(fā)往其他目的地。收到數(shù)據(jù)幀之后，交換機(jī)LSW1根據(jù)端口的PVID給數(shù)據(jù)幀添加VLAN標(biāo)簽10，然后決定從GE0/0/2端口轉(zhuǎn)發(fā)數(shù)據(jù)幀。GE0/0/2端口的PVID也是10，與VLAN標(biāo)簽中的VLANID相同，所以交換機(jī)移除該標(biāo)簽，把數(shù)據(jù)幀發(fā)送到主機(jī)PC2。連接主機(jī)PC3和主機(jī)PC4的端口的PVID是20，與VLAN10不屬于同一個VLAN，因此，此端口不會接收到VLAN10的數(shù)據(jù)幀。2.1.2端口類型1.接入端口（AccessPort）接入端口（AccessPort）是交換機(jī)上用來連接用戶主機(jī)的端口，它只能連接接入鏈路，并且只允許唯一的VLANID通過本端口，如圖2.3所示。2.1.2端口類型2.干道端口（TrunkPort）Trunk端口是交換機(jī)上用來和其他交換機(jī)連接的端口，它只能連接干道鏈路。Trunk端口允許多個VLAN的幀（帶Tag標(biāo)記）通過，如圖2.4所示。Trunk端口收發(fā)數(shù)據(jù)幀的規(guī)則如下：（1）當(dāng)接收到對端設(shè)備發(fā)送的不帶Tag的數(shù)據(jù)幀時，會添加該端口的PVID，如果PVID在允許通過的VLANID列表中，則接收該報文，否則丟棄該報文。當(dāng)接收到對端設(shè)備發(fā)送的帶Tag的數(shù)據(jù)幀時，檢查VLANID是否在允許通過的VLANID列表中。如果VLANID在端口允許通過的VLANID列表中，則接收該報文。否則丟棄該報文。（2）端口發(fā)送數(shù)據(jù)幀時，當(dāng)VLANID與端口的PVID相同，且是該端口允許通過的VLANID時，去掉Tag，發(fā)送該報文。當(dāng)VLANID與端口的PVID不同，且是該端口允許通過的VLANID時，保持原有Tag，發(fā)送該報文。交換機(jī)LSW1和交換機(jī)LSW2連接主機(jī)的端口均為接入端口，交換機(jī)LSW1端口GE0/0/1和交換機(jī)LSW2端口GE0/0/1互聯(lián)的端口均為干道端口，本地PVID均為1，此干道鏈路允許所有VLAN的流量通過。當(dāng)交換機(jī)LSW1轉(zhuǎn)發(fā)VLAN1的數(shù)據(jù)幀時會去除VLAN標(biāo)簽，然后發(fā)送到干道鏈路上。而在轉(zhuǎn)發(fā)VLAN10的數(shù)據(jù)幀時，不去除VLAN標(biāo)簽，直接轉(zhuǎn)發(fā)到干道鏈路上。2.1.2端口類型2.干道端口（TrunkPort）2.1.2端口類型3.混合端口（HybridPort）Access端口發(fā)往其他設(shè)備的報文，都是Untagged數(shù)據(jù)幀，而Trunk端口僅在一種特定情況下才能發(fā)出untagged數(shù)據(jù)幀，其它情況發(fā)出的都是Tagged數(shù)據(jù)幀。Hybrid端口是交換機(jī)上既可以連接用戶主機(jī)，又可以連接其他交換機(jī)的端口。Hybrid端口既可以連接接入鏈路又可以連接干道鏈路。Hybrid端口允許多個VLAN的幀通過，并可以在出端口方向?qū)⒛承￢LAN幀的Tag剝掉，華為設(shè)備默認(rèn)的端口類型是Hybrid，如圖2.5所示。要求主機(jī)PC1和主機(jī)PC2都能訪問服務(wù)器，但是它們之間不能互相訪問。此時交換機(jī)連接主機(jī)和服務(wù)器的端口，以及交換機(jī)互連的端口都配置為Hybrid類型。交換機(jī)連接主機(jī)PC1的端口的PVID是100，連接主機(jī)PC2的端口的PVID是200，連接服務(wù)器的端口的PVID是1000。2.1.2端口類型（1）不同類型端口接收報文時的處理方式，如表2.2所示。（2）不同類型端口發(fā)送報文時的處理方式，如表2.3所示。2.1.3VLAN內(nèi)通信1.VLAN基本配置交換機(jī)設(shè)備在支持多種VLAN劃分時，一般情況下，將會按照基于策略、MAC地址、子網(wǎng)、協(xié)議、端口方式的優(yōu)先級順序選擇給數(shù)據(jù)添加VLAN的方式，基于端口劃分VLAN的優(yōu)先級最低，但也是目前定義VLAN最廣泛的方法，這種方法只要將端口定義一次就可以，缺點在于某個VLAN中的用戶離開原來的端口，移到一個新的端口時必須重新定義端口所在的VLAN區(qū)域，如圖2.6所示。2.1.3VLAN內(nèi)通信2.交換機(jī)Trunk端口實現(xiàn)VLAN內(nèi)通信（1）相同VLAN內(nèi)可以相互訪問，不同VLAN間不能相互訪問。交換機(jī)LSW1與交換機(jī)LSW2使用Trunk端口互連，相同VLAN的主機(jī)PC之間可以互訪，不同VLAN的主機(jī)PC之間不能相互訪問，如圖2.8所示。2.1.3VLAN內(nèi)通信3.配置Hybrid端口實現(xiàn)VLAN內(nèi)通信華為交換機(jī)默認(rèn)端口類型為Hybrid口，在現(xiàn)實中有很大意義，一般都希望在組內(nèi)可以相互訪問，而在組間是不可以相互訪問，通常有時候都需要訪問一臺服務(wù)器，而組與組之間是不可以相互訪問的，但都可以訪問服務(wù)器，這樣二層交換機(jī)就能很好解決這樣的問題，而不需要三層來實現(xiàn)，方便實用簡單。服務(wù)器Server1隸屬于VLAN100，連接在交換機(jī)LSW1上，主機(jī)PC1、主機(jī)PC2分別隸屬于VLAN10、VLAN20，連接在交換機(jī)LSW2上，主機(jī)IP地址、端口信息，如圖2.15所示。2.3.3VLAN間通信1．三層交換機(jī)實現(xiàn)VLAN間通信（1）三層交換機(jī)邏輯端口InterfaceVLAN簡稱VLANIF，通常這個端口地址作為VLAN下面用戶的網(wǎng)關(guān)，利用邏輯端口VLANIF可以實現(xiàn)VLAN之間的通信，為了實現(xiàn)VLAN之間通信，需要為三層交換機(jī)的VLAN創(chuàng)建邏輯端口VLANIF，配置邏輯端口VLANIF的IP地址，將VLAN中的主機(jī)的網(wǎng)關(guān)IP地址設(shè)置成為邏輯端口VLANIF的IP地址，如圖2.18所示。2.3.3VLAN間通信2．單臂路由實現(xiàn)VLAN間通信解決VLAN間通信問題的第三種方法是：在交換機(jī)和路由器之間僅使用一條物理鏈路連接。在交換機(jī)上，把連接到路由器的端口配置成Trunk類型的端口，并允許相關(guān)VLAN的幀通過。在路由器上需要創(chuàng)建子端口，邏輯上把連接路由器的物理鏈路分成了多條。一個子端口代表了一條歸屬于某個VLAN的邏輯鏈路。配置子端口時，需要注意以下幾點：1必須為每個子端口分配一個IP地址。該IP地址與子端口所屬VLAN位于同一網(wǎng)段。2需在子端口上配置802.1Q封裝，來剝掉和添加VLANTag，從而實現(xiàn)VLAN間互通。3在子端口上執(zhí)行命令arpbroadcastenable使能子端口的ARP廣播功能。主機(jī)PC1發(fā)送數(shù)據(jù)給主機(jī)PC2時，路由器AR1會通過GE0/0/1.1子端口收到此數(shù)據(jù)，然后查找路由表，將數(shù)據(jù)從GE0/0/1.2子端口發(fā)送給主機(jī)PC2，這樣就實現(xiàn)了VLAN100和VLAN200之間的主機(jī)通信，如圖2.20所示。任務(wù)2.2GVRP配置2.2.1GVRP協(xié)議概述2.2.2GVRP注冊模式任務(wù)實施任務(wù)2.2GVRP配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司的業(yè)務(wù)快速增長、公司規(guī)模不斷發(fā)展擴(kuò)大，公司新增設(shè)了不同的部門，每個部門都需要創(chuàng)建一個VLAN進(jìn)行管理與維護(hù)，公司網(wǎng)絡(luò)的維護(hù)量大大增加，為了減少大量的人力消耗，小李決定使用GARP協(xié)議來提升交換機(jī)的管理效率，減少手動配置和維護(hù)每臺交換機(jī)設(shè)備，那么小李將如何配置現(xiàn)有的網(wǎng)絡(luò)設(shè)備和需要哪些知識儲備呢？2.2.1GVRP協(xié)議概述GVRP（GARPVLANRegistrationProtocol），稱為VLAN注冊協(xié)議。GVRP基于GARP的工作機(jī)制，是GARP的一種應(yīng)用。GARP（GenericAttributeRegistrationProtocol），全稱是通用屬性注冊協(xié)議。它為處于同一個交換網(wǎng)內(nèi)的交換成員之間提供了一種分發(fā)、傳播、注冊某種信息的手段，這些信息可以是VLAN信息、組播組地址等。通過GARP機(jī)制，一個GARP成員上的配置信息會迅速傳播到整個交換網(wǎng)。GARP主要用于大中型網(wǎng)絡(luò)中，用來提升交換機(jī)的管理效率。在大中型網(wǎng)絡(luò)中，如果管理員手動配置和維護(hù)每臺交換機(jī)，將會帶來巨大的工作量。使用GARP可以自動完成大量交換機(jī)的配置和部署，減少了大量的人力消耗。GARP本身僅僅是一種協(xié)議規(guī)范，并不作為一個實體在交換機(jī)中存在。2.1.1GVRP協(xié)議概述GVRP用來維護(hù)交換機(jī)中的VLAN動態(tài)注冊信息，并傳播該信息到其它的交換機(jī)中。支持GVRP特性的交換機(jī)能夠接收來自其它交換機(jī)的VLAN注冊信息，并動態(tài)更新本地的VLAN注冊信息，包括當(dāng)前的VLAN、VLAN成員等。支持GVRP特性的交換機(jī)能夠?qū)⒈镜氐腣LAN注冊信息向其它交換機(jī)傳播，以便使同一交換網(wǎng)內(nèi)所有支持GVRP特性的設(shè)備的VLAN信息達(dá)成一致。交換機(jī)可以靜態(tài)創(chuàng)建VLAN，也可以動態(tài)通過GVRP獲取VLAN信息。手動配置的VLAN是靜態(tài)VLAN，通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。GVRP傳播的VLAN注冊信息包括本地手工配置靜態(tài)注冊信息和來自其它交換機(jī)的動態(tài)注冊信息。1.GVRP單向注冊如圖2.22所示，所有交換機(jī)以及互連的端口都已經(jīng)啟用GVRP協(xié)議，各交換機(jī)之間相連的端口均為Trunk端口并配置為允許所有VLAN的數(shù)據(jù)通過。在LSW1上手動創(chuàng)建VLAN100之后，LSW1的GE0/0/23端口會注冊此VLAN并發(fā)送聲明給LSW2，LSW2的GE0/0/23端口接收到由LSW1發(fā)來的聲明后，會在此端口注冊VLAN100，然后從GE0/0/24端口發(fā)送聲明給LSW3，LSW3的GE0/0/24端口收到聲明后也會注冊VLAN100。通過此過程就完成了VLAN100從LSW1向其他交換機(jī)的單向注冊。只有注冊了VLAN100的端口才可以接收和轉(zhuǎn)發(fā)VLAN100的數(shù)據(jù)，沒有注冊VLAN10的端口會丟棄VLAN100的數(shù)據(jù)，如LSW2的GE0/0/24端口沒有收到VLAN100的Join消息，不會注冊VLAN100，就不能接收和轉(zhuǎn)發(fā)VLAN100的數(shù)據(jù)。為使VLAN100流量可以雙向互通，同樣還需要進(jìn)行LSW3到LSW1方向的VLAN屬性的注冊過程。2.1.1GVRP協(xié)議概述2.GVRP單向注銷如果所有交換機(jī)都不再需要VLAN100，可以在LSW1上手動刪除VLAN100，則GVRP會通過發(fā)送Leave消息，注銷LSW2的GE0/0/23端口和LSW3的GE0/0/24端口VLAN100信息，為了徹底刪除所有設(shè)備上的VLAN100，需要進(jìn)行VLAN屬性的雙向注銷。2.2.2GVRP注冊模式GVRP的注冊模式包括：Normal、Fixed和Forbidden。1.Normal模式當(dāng)一個Trunk端口被配置為Normal注冊模式時，允許在該端口動態(tài)或手工創(chuàng)建、注冊和注銷VLAN，同時會發(fā)送靜態(tài)VLAN和動態(tài)VLAN的聲明消息。交換機(jī)在運(yùn)行GVRP協(xié)議時，端口的注冊模式都默認(rèn)為Normal。在LSW1上存在手動創(chuàng)建的VLAN100和動態(tài)學(xué)習(xí)的VLAN200的信息，三臺交換機(jī)的注冊模式都默認(rèn)為Normal，則LSW1發(fā)送的Join消息中會包含VLAN100和VLAN200的信息，LSW2的GE0/0/23端口會注冊VLAN100和VLAN200，之后會同樣發(fā)送Join消息給LSW3，LSW3的GE0/0/24端口也會注冊VLAN100和VLAN200，如圖2.23所示。2.2.2GVRP注冊模式2.Fixed模式Fixed注冊模式中，GVRP不能動態(tài)注冊或注銷VLAN，只能發(fā)送靜態(tài)VLAN注冊信息。如果一個Trunk端口的注冊模式被設(shè)置為Fixed模式，即使端口被配置為允許所有VLAN的數(shù)據(jù)通過，該端口也只允許手動配置的VLAN內(nèi)的數(shù)據(jù)通過。在LSW1上存在手動創(chuàng)建的VLAN100和動態(tài)學(xué)習(xí)的VLAN200的信息，LSW1的GE0/0/23端口的注冊模式被修改為Fixed，則LSW1發(fā)送的Join消息中會只包含靜態(tài)VLAN100的信息，LSW2的GE0/0/23端口會注冊VLAN100，如圖2.24所示。2.2.2GVRP注冊模式3.Forbidden模式Forbidden注冊模式中，GVRP端口不能動態(tài)注冊或注銷VLAN，只保留VLAN1的信息。如果一個Trunk端口的注冊模式被設(shè)置為Forbidden模式，即使端口被配置為允許所有VLAN的數(shù)據(jù)通過，該端口也只允許VLAN1的數(shù)據(jù)通過。在LSW1上存在手動創(chuàng)建的VLAN100和動態(tài)學(xué)習(xí)的VLAN200的信息，LSW1的GE0/0/23端口配置為Forbidden模式，不會發(fā)送VLAN100和VLAN200的信息，且只允許VLAN1的數(shù)據(jù)通過，如圖2.25所示。任務(wù)實施配置GVRP時必須先在系統(tǒng)視圖下使能GVRP，然后在端口視圖下使能GVRP。在系統(tǒng)視圖下執(zhí)行g(shù)vrp命令，全局使能GVRP功能。在端口視圖下執(zhí)行g(shù)vrp命令，在端口上使能GVRP功能。在交換機(jī)LSW1與交換機(jī)LSW2上，配置GVRP功能，注冊VLAN信息，如圖2.26所示。任務(wù)2.3端口聚合配置2.3.1端口聚合概述2.3.2端口聚合模式任務(wù)實施2.3.3配置手工模式的鏈路聚合2.3.4配置LACP模式的鏈路聚合任務(wù)2.3端口聚合配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司的業(yè)務(wù)快速增長，網(wǎng)絡(luò)的訪問流量也迅速增加，公司領(lǐng)導(dǎo)安排小李優(yōu)化公司網(wǎng)絡(luò)環(huán)境，提高網(wǎng)絡(luò)帶寬和可靠性，并且不增加網(wǎng)絡(luò)設(shè)備的情況下滿足現(xiàn)行網(wǎng)絡(luò)運(yùn)行要求，小李決定采用鏈路聚合技術(shù)，優(yōu)化網(wǎng)絡(luò)環(huán)境，提高網(wǎng)絡(luò)帶寬與可靠性，那么小李將如何配置現(xiàn)有的網(wǎng)絡(luò)設(shè)備呢？2.3.1端口聚合概述隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，用戶對網(wǎng)絡(luò)帶寬與可靠性的要求也越來越高，采用鏈路聚合技術(shù)可以在不進(jìn)行硬件升級的情況下，增加鏈路帶寬和可靠性。鏈路聚合是將兩個或更多數(shù)據(jù)信道結(jié)合成一個單個的信道，該信道以一個單個的更高帶寬的邏輯鏈路出現(xiàn)。鏈路聚合一般用來連接一個或多個帶寬需求大的設(shè)備，增加設(shè)備間的帶寬，并且在其中一條鏈路出現(xiàn)故障時，可以快速地將流量轉(zhuǎn)移到其他鏈路，這種切換為毫秒級，遠(yuǎn)遠(yuǎn)快于STP切換。總之，鏈路聚合是目標(biāo)是擴(kuò)展鏈路帶寬，提高鏈路可靠性。2.1.1端口聚合概述1.鏈路聚合目的在整個網(wǎng)絡(luò)數(shù)據(jù)交換中，所有設(shè)備的流量在轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)前都會聚合到核心層，再由核心區(qū)設(shè)備轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)，或者轉(zhuǎn)發(fā)到外網(wǎng)。因此，在核心層設(shè)備負(fù)責(zé)數(shù)據(jù)的高速交換時，容易發(fā)生擁塞。在核心層部署鏈路聚合，可以提升整個網(wǎng)絡(luò)的數(shù)據(jù)吞吐量，解決擁塞問題。（1）增加邏輯鏈路的帶寬。鏈路聚合是把兩臺設(shè)備之間的多條物理鏈路聚合在一起，當(dāng)作一條邏輯鏈路來使用。這兩臺設(shè)備可以是一對路由器，一對交換機(jī)，或者是一臺路由器和一臺交換機(jī)。一條聚合鏈路可以包含多條成員鏈路，在華為X7系列交換機(jī)上默認(rèn)最多為8條。鏈路聚合能夠提高鏈路帶寬。理論上，通過聚合幾條鏈路，一個聚合口的帶寬可以擴(kuò)展為所有成員口帶寬的總和，這樣就有效地增加了邏輯鏈路的帶寬。（2）提高網(wǎng)絡(luò)的高可靠性。配置了鏈路聚合之后，如果一個成員端口發(fā)生故障，該成員口的物理鏈路會把流量切換到另一條成員鏈路上。鏈路聚合還可以在一個聚合口上實現(xiàn)負(fù)載均衡，一個聚合口可以把流量分散到多個不同的成員口上，通過成員鏈路把流量發(fā)送到同一個目的地，將網(wǎng)絡(luò)產(chǎn)生擁塞的可能性降到最低。2.3.1端口聚合概述2.鏈路聚合條件通過執(zhí)行interfaceEth-trunk<trunk-id>命令配置鏈路聚合。這條命令創(chuàng)建了一個Eth-Trunk口，并且進(jìn)入該Eth-Trunk口視圖。trunk-id用來唯一標(biāo)識一個Eth-Trunk口，該參數(shù)的取值可以是0到63之間的任何一個整數(shù)。如果指定的Eth-Trunk口已經(jīng)存在，執(zhí)行interfaceeth-trunk命令會直接進(jìn)入該Eth-Trunk口視圖。配置Eth-Trunk口和成員口，需要注意以下規(guī)則：（1）把端口加入Eth-Trunk口時，二層Eth-Trunk口的成員口必須是二層端口，三層Eth-Trunk口的成員口必須是三層端口。（2）一個Eth-Trunk口最多可以加入8個成員口，加入Eth-Trunk口的端口必須是Hybrid端口（默認(rèn)的端口類型）。（3）一個以太端口只能加入一個Eth-Trunk口。如果把一個以太端口加入另一個Eth-Trunk口，必須先把該以太端口從當(dāng)前所屬的Eth-Trunk口中刪除。（4）一個Eth-Trunk口的成員口類型必須相同。例如，一個快速以太口（FE口）和一個千兆以太口（GE口）不能加入同一個Eth-Trunk。（5）成員口的速率必須相同，如都為100Mb/s或都為1000Mb/s。2.3.2端口聚合模式以太網(wǎng)鏈路聚合是指將多條以太網(wǎng)物理鏈路捆綁在一起成為一條邏輯鏈路，從而實現(xiàn)增加鏈路帶寬的目的，一般交換機(jī)一個負(fù)荷分擔(dān)組最多可以支持8個端口進(jìn)行聚合，鏈路聚合分為手工模式和LACP模式。1.手工模式手工負(fù)載分擔(dān)模式是一種最基本的鏈路聚合方式，在該模式下，Eth-Trunk端口的建立，成員端口的加入完全由手工來配置，沒有鏈路聚合控制協(xié)議的參與。該模式下所有成員端口（selected）都參與數(shù)據(jù)的轉(zhuǎn)發(fā)，分擔(dān)負(fù)載流量，因此稱為手工負(fù)載分擔(dān)模式。手工聚合端口的LACP協(xié)議為關(guān)閉狀態(tài)，禁止用戶使能手工聚合端口的LACP協(xié)議。在手工聚合組中，端口可能處于兩種狀態(tài)：Selected或Standby。處于Selected狀態(tài)且端口號最小的端口為聚合組的主端口，其他處于Selected狀態(tài)的端口為聚合組的成員端口。由于設(shè)備所能支持的聚合組中的最大端口數(shù)有限制，如果處于Selected狀態(tài)的端口數(shù)超過設(shè)備所能支持的聚合組中的最大端口數(shù)，系統(tǒng)將按照端口號從小到大的順序選擇一些端口為Selected端口，其他則為Standby端口。一般情況下，手工合聚對聚合前的端口速率和雙工模式不作限制。但對于以下情況，系統(tǒng)會作特殊處理：對于初始就處于DOWN狀態(tài)的端口，在聚合時對端口的速率和雙工模式?jīng)]有限制；對于曾經(jīng)處于UP狀態(tài)，并協(xié)商或強(qiáng)制指定過端口速率和雙工模式，而當(dāng)前處于DOWN狀態(tài)的端口，在聚合時要求速率和雙工模式一致；對于一個聚合組，當(dāng)聚合組中某個端口的速率和雙工模式發(fā)生改變時，系統(tǒng)不進(jìn)行解聚合，聚合組中的端口也都處于正常工作狀態(tài)。但如果是主端口出現(xiàn)速率降低和雙工模式變化，則該端口的轉(zhuǎn)發(fā)可能出現(xiàn)丟包現(xiàn)象。2.3.2端口聚合模式2.LACP模式LACP（LinkAggregstionControlProtocol，鏈路聚合控制協(xié)議）是一種實現(xiàn)鏈路動態(tài)聚合與解聚合的協(xié)議。LACP協(xié)議通過LACPDU（LinkAggregationControlProtocolDataUnit），鏈路聚合控制協(xié)議數(shù)據(jù)單元與對端交互信息。使能某端口的LACP協(xié)議后，該端口將通過發(fā)送LACPDU向?qū)Χ送ǜ孀约旱南到y(tǒng)優(yōu)先級、系統(tǒng)MAC、端口優(yōu)先級、端口號和操作Key。對端接收到這些信息后，將這些信息與其它端口所保存的信息比較以選擇能夠聚合的端口，從而雙方可以對端口加入或退出某個動態(tài)聚合組達(dá)成一致。LACP模式需要有鏈路聚合控制協(xié)議LACP的參與。當(dāng)需要在兩個直連設(shè)備間提供一個較大的鏈路帶寬而設(shè)備支持LACP協(xié)議時，建議使用LACP模式。LACP模式不僅可以實現(xiàn)增加帶寬、提高可靠性、負(fù)載分擔(dān)目的，而且可以提高Eth-Trunk的容錯性、提供備份功能。LACP模式下，部分鏈路是活動鏈路，所有活動鏈路均參與數(shù)據(jù)轉(zhuǎn)發(fā)。如果某條活動鏈路故障，鏈路聚合組自動在非活動鏈路中選擇一條鏈路作為活動鏈路，參與數(shù)據(jù)轉(zhuǎn)發(fā)的鏈路數(shù)目不變，系統(tǒng)內(nèi)的LACP優(yōu)先級取值范圍為0～65535，該數(shù)值越小，優(yōu)先級越高，默認(rèn)優(yōu)先級數(shù)值為32768。任務(wù)實施2.3.3配置手工模式的鏈路聚合交換機(jī)LSW1與交換機(jī)LSW2端口GE0/0/23與GE0/0/24進(jìn)行手工模式的鏈路聚合，如圖2.28所示。2.3.4配置LACP模式的鏈路聚合（1）配置交換機(jī)LSW1相關(guān)配置，在交換機(jī)LSW1上創(chuàng)建Eth-Trunk端口，并加入成員端口，交換機(jī)LSW2與交換機(jī)LSW1配置類似，不再贅述，GE0/0/23端口與GE0/0/24端口做鏈路聚合，同時GE0/0/22端口為備份鏈路，如圖2.31所示。任務(wù)2.4端口鏡像配置任務(wù)陳述知識準(zhǔn)備任務(wù)實施任務(wù)2.4端口鏡像配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司的業(yè)務(wù)快速增長，公司網(wǎng)絡(luò)的訪問流量也迅速增加，為了提高網(wǎng)絡(luò)的安全性，小李需要對公司的整個網(wǎng)絡(luò)情況進(jìn)行監(jiān)控，那么小李將如何配置現(xiàn)有的網(wǎng)絡(luò)設(shè)備呢？知識準(zhǔn)備端口鏡像（portMirroring）功能通過在交換機(jī)或路由器上，將一個或多個源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個指定端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽，指定端口稱之為“鏡像端口”或“目的端口”，在不嚴(yán)重影響源端口正常吞吐流量的情況下，可以通過鏡像端口對網(wǎng)絡(luò)的流量進(jìn)行監(jiān)控分析。在公司中用鏡像功能，可以很好地對公司內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理，在網(wǎng)絡(luò)出故障的時候，可以快速地定位故障。鏡像端口可以連接一臺主機(jī)，也可以連接交換機(jī)，每個連接都有兩個方向的數(shù)據(jù)流，對于交換機(jī)來說這兩個數(shù)據(jù)流是要分開鏡像的，鏡像端口按照一定的數(shù)據(jù)流分類規(guī)則對數(shù)據(jù)進(jìn)行分流，然后將屬于指定流的所有數(shù)據(jù)映射到監(jiān)控端口，以便進(jìn)行數(shù)據(jù)分析，如圖2.34所示。任務(wù)2.4端口鏡像配置知識準(zhǔn)備任務(wù)實施在交換機(jī)LSW1端口GE0/0/24配置為監(jiān)控端口（觀察端口），其它端口配置為被監(jiān)控端口（鏡像端口），如圖2.35所示。任務(wù)2.5端口限速配置任務(wù)陳述知識準(zhǔn)備2.5.1端口限速基本概念2.5.2端口限速兩種常用方法任務(wù)實施任務(wù)2.5端口限速配置任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司的業(yè)務(wù)快速增長，公司網(wǎng)絡(luò)的訪問流量也迅速增加，為了保證主營業(yè)務(wù)的帶寬和訪問速度，小李需要對公司的網(wǎng)絡(luò)進(jìn)行流速限制，以保證主營業(yè)務(wù)不受影響，那么小李將如何配置現(xiàn)有的網(wǎng)絡(luò)設(shè)備呢？2.5.1端口限速基本概念端口限速就將超過限速值的包丟棄，然后返回發(fā)送方一個信