交換機(jī)與路由器的配置管理 課件 第3章虛擬局域網(wǎng)

交換機(jī)與路由器的配置管理——第3章虛擬局域網(wǎng)第三章概述3.1虛擬局域網(wǎng)概述交換機(jī)與路由器的配置管理第三章概述(續(xù))3.2VLAN的配置3.2.1VLAN成員類型3.2.2VLAN的基本配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)交換機(jī)與路由器的配置管理第三章概述(續(xù))3.3VLAN通信3.3.1同一VLAN主機(jī)間通信3.3.2利用路由器實(shí)現(xiàn)VLAN通信3.3.3利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信交換機(jī)與路由器的配置管理第三章概述(續(xù))3.4VLAN技術(shù)實(shí)訓(xùn)3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)3.4.2跨交換機(jī)相同VLAN的通信實(shí)訓(xùn)3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)3.4.4交換機(jī)不同VLAN間的通信實(shí)訓(xùn)3.4.5路由器多端口實(shí)現(xiàn)VLAN間通信實(shí)訓(xùn)3.4.6單臂路由實(shí)現(xiàn)VLAN間通信實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.1虛擬局域網(wǎng)概述交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理3.1虛擬局域網(wǎng)概述虛擬局域網(wǎng)（virtuallocalareanetwork,VLAN）是一種將物理局域網(wǎng)根據(jù)某種網(wǎng)絡(luò)特征從邏輯上劃分（注意，不是從物理上劃分）成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。劃分后的VLAN具有局域網(wǎng)的所有特征，一個(gè)VLAN內(nèi)部的廣播和單播流量不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而可以隔離網(wǎng)絡(luò)上的廣播流量、提高網(wǎng)絡(luò)的安全性。隨著VLAN技術(shù)的出現(xiàn)，網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際應(yīng)用需求，基于某個(gè)條件，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯上劃分成不同的廣播域。由于它是從邏輯上劃分的，而不是從物理上劃分的，因此同一個(gè)VLAN內(nèi)各個(gè)工作站沒有限制在同一個(gè)物理范圍中，即這些工作站可以位于不同的物理VLAN網(wǎng)段。VLAN可應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)中。不是所有交換機(jī)都具有VLAN功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書。1.劃分VALN的原因及VLAN的作用沒有劃分VLAN的傳統(tǒng)局域網(wǎng)處于同一個(gè)網(wǎng)段，是一個(gè)大的廣播域，廣播幀占用了大量的帶寬，當(dāng)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量增加時(shí)，廣播流量也隨之增大，廣播流量大到一定程度時(shí)，網(wǎng)絡(luò)效率急劇下降，所以給網(wǎng)絡(luò)分段是一個(gè)提高網(wǎng)絡(luò)效率的辦法。網(wǎng)絡(luò)分段后，不同網(wǎng)段之間的通信又是一個(gè)需要解決的問題。原先屬于一個(gè)網(wǎng)段的用戶，要調(diào)整到另一個(gè)網(wǎng)段時(shí)，需要將計(jì)算機(jī)搬離原來的網(wǎng)段而接入新的網(wǎng)段，因此又會(huì)出現(xiàn)重新布線的問題。虛擬局域網(wǎng)技術(shù)的出現(xiàn)很好地解決了上述問題。交換機(jī)與路由器的配置管理3.1虛擬局域網(wǎng)概述VLAN的作用主要有：（1）提高了網(wǎng)絡(luò)通信效率。由于縮小了廣播域，一個(gè)VLAN內(nèi)的單播、廣播不會(huì)進(jìn)入另一個(gè)VLAN，減小了整個(gè)網(wǎng)絡(luò)的流量。（2）方便了維護(hù)和管理。VLAN是邏輯劃分的，不受物理位置的限制，給網(wǎng)絡(luò)管理帶來了方便。（3）提高了網(wǎng)絡(luò)的安全性。不同VLAN之間不能直接通信，杜絕了廣播信息的不安全性。要求高安全性的部門可以單獨(dú)使用一個(gè)VLAN，可有效防止外界的訪問。2.劃分VLAN的方法VLAN目前主要是在交換機(jī)上劃分，可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN。靜態(tài)VLAN明確地指定交換機(jī)的端口分別屬于哪個(gè)VLAN，動(dòng)態(tài)VLAN是根據(jù)交換機(jī)端口上所連接的計(jì)算機(jī)的情況來決定屬于哪個(gè)VLAN。普遍使用的是基于端口的靜態(tài)VLAN。VLAN實(shí)現(xiàn)的方法很多，IP組播實(shí)際上就是一種VLAN的定義，即認(rèn)為一個(gè)IP組播就是一個(gè)VLAN。通過IP組播，VLAN可以跨越路由器延伸到廣域網(wǎng)。但VLAN主要是在交換機(jī)上定義的，通常采用以下幾種劃分方法。交換機(jī)與路由器的配置管理3.1虛擬局域網(wǎng)概述1）基于端口劃分VLAN基于端口劃分的VLAN屬于靜態(tài)VLAN，是將交換機(jī)上的物理端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)?；诙丝诘膭澐址椒ㄒ彩亲畛?yīng)用的一種VLAN劃分方法，目前絕大多數(shù)交換機(jī)都提供這種VLAN劃分方法。一臺(tái)沒有劃分VLAN的交換機(jī)，所有的端口屬于同一個(gè)VLAN。基于端口劃分VLAN時(shí)，每個(gè)端口只能屬于一個(gè)VLAN。VLAN流量可以跨越交換機(jī)，多個(gè)VLAN通過一條物理線路時(shí)，需要給數(shù)據(jù)幀打標(biāo)簽，以區(qū)分不同的VLAN流量。從這種劃分方法本身可以看出，其優(yōu)點(diǎn)是定義VLAN成員非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN組即可，適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開了原來的端口，到了一個(gè)新交換機(jī)的某個(gè)端口，就必須重新定義。2）基于MAC地址劃分VLAN基于MAC地址的VLAN是動(dòng)態(tài)VLAN，就是依據(jù)MAC地址分成若干個(gè)組，同一組的用戶構(gòu)成一個(gè)虛擬局域網(wǎng)。它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于某個(gè)VLAN的MAC地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)自動(dòng)保留其所屬VLAN的成員身份。由這種劃分的機(jī)制可以看出，這種VLAN劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他交換機(jī)時(shí)，VLAN不用重新配置，因?yàn)樗腔谟脩舳皇腔诮粨Q機(jī)端口的。這種方法的缺點(diǎn)是初始化時(shí)必須添加所有用戶的MAC地址，計(jì)算機(jī)較多時(shí)工作量很大，所以這種劃分方法通常適用于小型局域網(wǎng)。交換機(jī)與路由器的配置管理3.1虛擬局域網(wǎng)概述基于MAC地址的VLAN在交換機(jī)上配置時(shí)，除了配置交換機(jī)參數(shù)，還需要配置VMPS（虛擬局域網(wǎng)管理策略服務(wù)器，一種C/S結(jié)構(gòu)的軟件，交換機(jī)一般作為客戶機(jī)），在VMPS上配置MAC地址與VLAN的映射關(guān)系。3）基于網(wǎng)絡(luò)層協(xié)議劃分VLAN基于網(wǎng)絡(luò)層協(xié)議的VLAN也是動(dòng)態(tài)VLAN的一種?？梢砸罁?jù)每個(gè)主機(jī)使用的網(wǎng)絡(luò)層地址或者協(xié)議類型劃分VLAN。這種劃分方法依據(jù)的是網(wǎng)絡(luò)地址（如IP地址），因此需要查看每個(gè)數(shù)據(jù)包的IP地址。這種劃分VLAN的優(yōu)點(diǎn)是即使用戶的物理位置發(fā)生變化，也不需要重新配置所屬VLAN。缺點(diǎn)是效率低，檢查每個(gè)數(shù)據(jù)包的IP地址需要消耗時(shí)間。其中，基于交換機(jī)端口的VLAN是企業(yè)網(wǎng)中使用最多也是最簡單的，只需要在交換機(jī)上配置，不需要另外的軟件支持。交換機(jī)與路由器的配置管理3.2VLAN的配置交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理3.2VLAN的配置3.2.1VLAN成員類型一個(gè)VLAN是以VLANID來標(biāo)識(shí)的，遵循IEEE802.1q規(guī)范，最多支持4094個(gè)VLAN（VLAN1~VLAN4094），其中VLAN1是由設(shè)備自動(dòng)創(chuàng)建，不可刪除的默認(rèn)VLAN。在設(shè)備中可以添加、刪除、修改VLAN2~VLAN4094，可以在接口配置模式下配置一個(gè)端口的VLAN成員類型或加入、移出一個(gè)VLAN。3.2.1VLAN成員類型可以通過配置一個(gè)端口的VLAN成員類型，來確定這個(gè)端口通過幀的類型，以及這個(gè)端口可以屬于多少個(gè)VLAN。VLAN成員類型見表3-1。交換機(jī)與路由器的配置管理3.2VLAN的配置3.2.2VLAN的基本配置

1.創(chuàng)建VLAN在全局配置模式下，命令格式為交換機(jī)與路由器的配置管理其中，vlan-id為1~4094中的任意一個(gè)數(shù)值，代表要?jiǎng)?chuàng)建或修改的VLAN號(hào)。由于VLAN1是設(shè)備自動(dòng)創(chuàng)建并且不可刪除的，因此創(chuàng)建VLAN，vlan-id為2~4094中的任意值。該命令是進(jìn)入VLAN配置模式的導(dǎo)航命令。如果輸入的是一個(gè)新的VLANID，則設(shè)備會(huì)創(chuàng)建一個(gè)VLAN；如果輸入的是已經(jīng)存在的VLANID，則修改相應(yīng)的VLAN。配置舉例：在交換機(jī)上創(chuàng)建VLAN30和VLAN40。3.2VLAN的配置3.2.2VLAN的基本配置2.命名VLAN在VLAN模式下，命令格式為交換機(jī)與路由器的配置管理其中，vlan-name為VLAN的名字。如果沒有這一步配置，則設(shè)備會(huì)自動(dòng)為VLAN起一個(gè)名字VLANxxxx，其中xxxx是以0開頭的四位VLANID。例如，VLAN0030就是VLAN30的默認(rèn)名字。如果想把VLAN的名字改回默認(rèn)名字，在VLAN模式下，輸入noname命令。配置舉例：為VLAN30命名student。3.2VLAN的配置3.2.2VLAN的基本配置3.查看VLAN配置信息查看VLAN配置信息的命令有以下幾種用法。1）查看所有VLAN的配置信息命令如下：交換機(jī)與路由器的配置管理其中，showvlan詳細(xì)顯示所有VLAN的配置信息；showvlanbrief簡要顯示所有VLAN的配置信息，如圖3-1所示。3.2VLAN的配置3.2.2VLAN的基本配置3.查看VLAN配置信息查看VLAN配置信息的命令有以下幾種用法。2）查看指定VLAN的配置信息命令如下：交換機(jī)與路由器的配置管理命令功能：通過VLAN號(hào)或VLAN名稱查看顯示指定VLAN的配置信息。通過VLAN名稱查看時(shí)，VLAN名稱要區(qū)分字母的大小寫。例如，如果要查看VLAN30的配置信息，則實(shí)現(xiàn)命令為showvlanid30或showvlannamestudent，如圖3-2所示。3.2VLAN的配置3.2.2VLAN的基本配置4.刪除VLAN默認(rèn)VLAN（VLAN1）不可刪在全局配置模式下，命令格式為交換機(jī)與路由器的配置管理其中，vlan-id為要?jiǎng)h除的VLAN的ID。VLAN刪除后，原屬于該VLAN的端口不能自動(dòng)劃回到VLAN1，仍屬于該VLAN。因?yàn)樗鶎賄LAN已被刪除，這些端口將由Active狀態(tài)變?yōu)镮nactive狀態(tài)，用showvlan命令時(shí)不能看到這些端口。因此刪除VLAN前要把該VLAN內(nèi)的端口劃回到VLAN1。配置舉例：在交換機(jī)上刪除VLAN30。3.2VLAN的配置3.2.2VLAN的基本配置5.Switch端口模式交換機(jī)的一個(gè)二層交換接口，可以指定為Access端口模式或者Trunk端口模式。在接口配置模式下，命令格式為交換機(jī)與路由器的配置管理其中，access表示設(shè)置一個(gè)Switch端口為Access端口；trunk表示設(shè)置一個(gè)Switch端口為Trunk端口。如果一個(gè)Switch端口模式是Access，則該端口只能是一個(gè)VLAN的成員?？梢允褂胹witchportaccessvlanvlan-id命令指定該端口屬于哪一個(gè)VLAN。如果一個(gè)Switch端口模式是Trunk，則該端口可以是多個(gè)VLAN的成員。一個(gè)端口屬于哪些VLAN，由該端口的許可VLAN列表決定。Trunk端口默認(rèn)情況下許可VLAN列表中所有VLAN成員。3.2VLAN的配置3.2.2VLAN的基本配置5.Switch端口模式1）配置封裝協(xié)議命令如下：交換機(jī)與路由器的配置管理命令功能：配置使用IEEE802.1q協(xié)議作為打標(biāo)簽的封裝協(xié)議。三層交換機(jī)配置Trunk端口時(shí)，必須配置指定封裝協(xié)議，二層交換機(jī)不用配置指定。2）配置端口工作模式對(duì)于Trunk端口，必須將端口的工作模式配置為Trunk模式，命令如下：3）配置Trunk端口允許轉(zhuǎn)發(fā)的VLAN流量配置Trunk鏈路允許哪些VLAN通過。命令如下：3.2VLAN的配置3.2.2VLAN的基本配置5.Switch端口模式命令功能：配置指定Trunk端口轉(zhuǎn)發(fā)哪些VLAN的數(shù)據(jù)幀。vlanlist代表允許轉(zhuǎn)發(fā)的VLAN列表，VLAN號(hào)之間用逗號(hào)進(jìn)行分隔。如果全部允許，則vlanlist用all表示，對(duì)應(yīng)的命令如下：交換機(jī)與路由器的配置管理在Trunk鏈路上，如果需要在現(xiàn)有允許通過的VLAN中指定不允許通過的VLAN，可以采用以下命令：在Trunk鏈路上，如果需要在現(xiàn)有允許通過的VLAN的基礎(chǔ)上增加允許通過的VLAN，可以采用以下命令：3.2VLAN的配置3.2.2VLAN的基本配置5.Switch端口模式其中，“vlan-id”為具體的某個(gè)VLAN。Cisco交換機(jī)的Trunk端口默認(rèn)允許所有VLAN流量通過。當(dāng)互聯(lián)的兩臺(tái)交換機(jī)之間存在兩條或兩條以上的Trunk鏈路時(shí)，此時(shí)就需要為每條Trunk鏈路配置指定允許哪些VLAN流量通過本Trunk鏈路。配置舉例：將二層交換機(jī)的f0/5端口設(shè)置為Access端口，f0/22設(shè)置為Trunk端口。交換機(jī)與路由器的配置管理3.2VLAN的配置3.2.2VLAN的基本配置5.Switch端口模式配置舉例：在Catalyst3560的f0/16上，現(xiàn)有允許通過的VLAN1、VLAN10、VLAN20中不允許VLAN10通過，增加允許VLAN30和VLAN40通過。交換機(jī)與路由器的配置管理配置舉例：假設(shè)三層交換機(jī)的G0/1和G0/2均為Trunk端口，兩臺(tái)交換機(jī)之間存在兩條Trunk鏈路，交換機(jī)有VLAN1、VLAN5、VLAN15、VLAN25、VLAN35、VLAN45。現(xiàn)要配置允許G0/1口的Trunk鏈路通過VLAN1、VLAN25、VLAN35、VLAN45，G0/2口的Trunk鏈路僅允許VLAN15通過。3.2VLAN的配置3.2.2VLAN的基本配置6.劃分VLAN接口在接口模式下，命令格式為交換機(jī)與路由器的配置管理使用該命令可以把選中的端口劃分到一個(gè)已經(jīng)創(chuàng)建的VLAN中，如果把該端口分配給一個(gè)不存在的VLAN，那么這個(gè)VLAN將自動(dòng)被創(chuàng)建。如果選定的端口是一個(gè)Trunk端口，該操作沒有任何作用。使用

noswitchportaccessvlan命令將該端口指派到默認(rèn)的VLAN中。配置舉例：在單臺(tái)交換機(jī)中，把f0/18作為Access端口加入VLAN12中。配置舉例：在單臺(tái)交換機(jī)中，把多個(gè)物理端口劃分到VLAN15。3.2VLAN的配置3.2.2VLAN的基本配置7.配置NativeVLAN由于交換機(jī)都有VLAN1，因此交換機(jī)的默認(rèn)NativeVLAN為VLAN1。根據(jù)應(yīng)用需要，NativeVLAN可以配置修改，其配置命令如下：交換機(jī)與路由器的配置管理其中，vlan-id代表要指定的NativeVLAN的VLAN號(hào)，該項(xiàng)配置為可選配置，在中繼端口的接口配置模式下執(zhí)行該命令。3.2VLAN的配置3.2.2VLAN的基本配置8.配置VLAN接口1）VLAN接口簡介二層交換機(jī)可以創(chuàng)建和劃分VLAN接口，但無法實(shí)現(xiàn)VALN間的通信。三層交換機(jī)具備路由功能，在實(shí)際應(yīng)用中，通常在三層交換機(jī)上創(chuàng)建和劃分VLAN接口，并配置VLAN接口的IP地址。這樣就可以利用三層交換機(jī)的路由功能，通過各VLAN接口間的路由轉(zhuǎn)發(fā)，實(shí)現(xiàn)VLAN間的相互通信。在三層交換機(jī)創(chuàng)建VLAN后，每一個(gè)VLAN對(duì)應(yīng)地會(huì)有一個(gè)虛擬的VLAN接口，比如VLAN10對(duì)應(yīng)的接口名稱為VLAN10，VLAN20對(duì)應(yīng)的接口名稱為VLAN20。可為每個(gè)VLAN接口配置指定一個(gè)IP地址，該IP地址就成為本VLAN的網(wǎng)關(guān)地址。由于各VLAN接口都在交換機(jī)上，屬于直連，三層交換機(jī)會(huì)自動(dòng)添加相應(yīng)的直連路由到路由表中。在三層交換機(jī)上配置好VLAN10和VLAN20的接口IP地址之后，執(zhí)行showiproute命令查看路由表，就可以查看到對(duì)應(yīng)的直連路由。交換機(jī)與路由器的配置管理2）配置VLAN接口IP地址命令如下：VLAN接口地址將成為對(duì)應(yīng)VLAN的網(wǎng)關(guān)地址。VLAN接口地址配置后，該VLAN所屬的網(wǎng)段也就確定了。3.2VLAN的配置3.2.2VLAN的基本配置8.配置VLAN接口2）配置VLAN接口IP地址交換機(jī)與路由器的配置管理配置舉例：配置VLAN20的接口地址為198.168.0.1/24。3）配置DHCP中繼用戶主機(jī)IP地址的分配方式有兩種：一種是手工靜態(tài)分配，另一種是自動(dòng)獲得IP地址。在組建局域網(wǎng)時(shí)，如果某些網(wǎng)段或全部網(wǎng)段要求采取自動(dòng)獲得IP地址的分配方式，則在局域網(wǎng)中就必須安裝部署DHCP服務(wù)器。DHCP服務(wù)器可用WindowsServer服務(wù)器或LinuxServer來安裝部署，也可以直接利用交換機(jī)或路由器來提供DHCP服務(wù)。除了安裝部署DHCP服務(wù)器之外，要采用自動(dòng)獲得IP地址方式的網(wǎng)段，還要在其VLAN接口上配置指定DHCP中繼，即配置指定DHCP服務(wù)器的地址，其配置命令如下：3.2VLAN的配置3.2.2VLAN的基本配置8.配置VLAN接口3）配置DHCP中繼

交換機(jī)與路由器的配置管理配置舉例：假設(shè)DHCP服務(wù)器的IP地址為168.16.0.1，VLAN30和VLAN40都采用自動(dòng)獲得IP地址的分配方式，則為VLAN30和VLAN40配置指定DHCP中繼服務(wù)器的配置命令為在配置DHCP服務(wù)器時(shí)，哪些網(wǎng)段要自動(dòng)分配IP地址，就必須在DHCP服務(wù)器上為相應(yīng)網(wǎng)段配置DHCP作用域，其配置內(nèi)容包括可分配的IP地址池、IP地址租用期、默認(rèn)路由、域名服務(wù)器地址等信息。3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)

交換機(jī)與路由器的配置管理在大型企業(yè)網(wǎng)中，交換機(jī)的數(shù)量非常多，而各個(gè)交換機(jī)的VLAN配置基本相同，因此在企業(yè)交換網(wǎng)絡(luò)的配置和管理過程中存在非常多的重復(fù)勞動(dòng)，而且也會(huì)由此產(chǎn)生一些配置錯(cuò)誤，使網(wǎng)絡(luò)出現(xiàn)故障。VTP（VLANTrunkprotocol，VLANTrunk協(xié)議）實(shí)現(xiàn)了在單個(gè)控制點(diǎn)上管理整個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)VLAN的統(tǒng)一配置和管理，減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，減少了出錯(cuò)的概率。VTP協(xié)議在某個(gè)域內(nèi)工作，域內(nèi)的每臺(tái)交換機(jī)必須使用相同的VTP域名，在交換機(jī)與交換機(jī)之間不能連接其他設(shè)備，即交換機(jī)必須是相鄰的，而且要求在所有交換機(jī)中啟用Trunk。域內(nèi)的VTP服務(wù)器通過VLAN1向特定的組播地址發(fā)送VTP消息，來通告VTP服務(wù)器的VLAN配置情況，域內(nèi)的其他服務(wù)器和VTP客戶機(jī)接收通告統(tǒng)一自己的VLAN信息。要完成交換機(jī)之間的VLAN信息交換，需要完成配置Trunk口、封裝VLAN協(xié)議、指定VTP域、指定工作模式以及修剪不必要的VLAN流量等工作。VTP是VLAN中繼協(xié)議，是第二層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)上VLAN的添加、刪除和重命名。網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)組成一個(gè)VTP管理域。Cisco交換機(jī)配置VTP管理域是在全局配置模式下進(jìn)行的。命令格式為3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)

交換機(jī)與路由器的配置管理其中，“domain-name”代表要?jiǎng)?chuàng)建的VLAN管理域域名。域名是區(qū)分大小寫的，域名不會(huì)隔離廣播域，僅僅用于同步VLAN配置信息。一臺(tái)交換機(jī)只能屬于一個(gè)域，同一個(gè)域內(nèi)的交換機(jī)之間才能交換VLAN信息。VTP協(xié)議有三種工作模式：服務(wù)器模式（Server）、客戶端模式（Client）和透明模式（Transparent）。運(yùn)行VTP協(xié)議的交換機(jī)必須設(shè)置某一種模式，Cisco交換機(jī)默認(rèn)為VTP的Server模式。服務(wù)器模式：控制它所在域中所有VLAN的修改、添加與刪除。一個(gè)網(wǎng)絡(luò)最少要有一臺(tái)Server模式的交換機(jī)，Server模式的交換機(jī)在配置了VLAN后，會(huì)將VLAN信息向網(wǎng)絡(luò)上的其他交換機(jī)進(jìn)行通告，同時(shí)接收網(wǎng)絡(luò)上其他Server模式的交換機(jī)發(fā)來的通告，以統(tǒng)一VLAN數(shù)據(jù)庫?？蛻舳四Ｊ剑翰辉试S管理員修改、添加與刪除VLAN，只接收從服務(wù)器發(fā)過來的VTP通告，對(duì)自己的VLAN數(shù)據(jù)庫進(jìn)行更新。透明模式：此模式不參與VTP，其VLAN數(shù)據(jù)不會(huì)傳播到其他交換機(jī)上，只在本地有效。當(dāng)交換機(jī)處于此模式時(shí)，如果采用VTPv1，則不轉(zhuǎn)發(fā)服務(wù)器傳來的VTP通告；如果采用VTPv2，則轉(zhuǎn)發(fā)來自服務(wù)器傳來的VTP通告。到目前為止，VTP具有三種版本：VTPv1、VTPv2和VTPv3。其中，VTPv2與VTPv1區(qū)別不大，主要區(qū)別在于：VTPv2支持令牌環(huán)VLAN，而VTPv1不支持。VTPv3不能直接處理VLAN事務(wù)。在全局配置模式下，指定VTP版本的命令格式為3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)

Cisco交換機(jī)配置VTP工作模式可以在全局配置模式下進(jìn)行。在全局配置模式下的命令格式為交換機(jī)與路由器的配置管理配置舉例：由一臺(tái)Catalyst3560和兩臺(tái)Catalyst2960組成如圖3-3所示的網(wǎng)絡(luò)，Catalyst3560設(shè)置VTP的Server模式，中間一臺(tái)交換機(jī)設(shè)置VTP的Transparent模式，右邊一臺(tái)設(shè)置VTP的Client模式。三臺(tái)交換機(jī)都設(shè)置VTP域名test，就是說三臺(tái)交換機(jī)位于同一個(gè)VTP管理域。在Catalyst3560上創(chuàng)建VLAN18、VLAN28、VLAN38和VLAN58，給VLAN18分配1~8端口、VLAN28分配9~15端口、VLAN38分配16~21端口、VLAN58分配22~24端口。3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)在Catalyst3560上的配置：交換機(jī)與路由器的配置管理3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)在Catalyst2960

上的配置：交換機(jī)與路由器的配置管理在右邊的Catalyst2960上的配置：在執(zhí)行了上面的配置后，可以通過“showvlan”命令來查看兩臺(tái)Catalyst2960的VLAN配置情況，結(jié)果是中間那臺(tái)沒有VLAN18、VLAN28、VLAN38、VLAN58，而右邊那臺(tái)有了VLAN18、VLAN28、VLAN38、VLAN58。圖3-3中右邊的Catalyst2960上顯示的內(nèi)容如圖3-4所示。右邊的Catalyst2960通過VTP協(xié)議學(xué)習(xí)到了VLAN18、VLAN28、VLAN38、VLAN58，但每個(gè)VLAN里的端口成員還是需要手工添加的，這是因?yàn)閂TP協(xié)議通告里不包含端口成員。3.2VLAN的配置3.2.3通過VTP協(xié)議實(shí)現(xiàn)跨交換機(jī)的VLAN學(xué)習(xí)VTP減少了交換網(wǎng)絡(luò)中的管理工作，用戶在VTP服務(wù)器上配置新的VLAN，該VLAN信息就會(huì)分發(fā)到域內(nèi)所有的交換機(jī)，從而可以避免到處配置相同的VLAN。通過VTP其域內(nèi)的所有交換機(jī)都清楚所有的VLAN情況，然而VTP會(huì)產(chǎn)生不必要的網(wǎng)絡(luò)流量。因?yàn)橥ㄟ^Trunk，單播和廣播在整個(gè)

VLAN內(nèi)進(jìn)行擴(kuò)散，使得域內(nèi)的所有交換機(jī)接收到所有廣播，即使某個(gè)交換機(jī)上沒有某個(gè)VLAN的成員，情況也不例外。而VTPpruning技術(shù)正可以消除這個(gè)多余流量，pruning技術(shù)可以自動(dòng)修剪掉不需要經(jīng)過Trunk的那些流量。修剪功能只需要在VTP服務(wù)器上打開，就可以實(shí)現(xiàn)整個(gè)域內(nèi)的多余VLAN流量的修剪。在全局配置模式下，配置修剪功能的命令格式為交換機(jī)與路由器的配置管理為了提高網(wǎng)絡(luò)的安全性，還可以為VTP協(xié)議之間的通信設(shè)置密碼，域內(nèi)參與通信的交換機(jī)必須設(shè)置相同的VTP密碼才能進(jìn)行VTP協(xié)議之間的通信。在全局配置模式下設(shè)置密碼的命令格式為3.3VLAN通信交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理3.3VLAN通信交換機(jī)與路由器的配置管理VLAN通信按照主機(jī)是否處于同一VLAN分別考慮。同一VLAN的主機(jī)間通信是由二層交換機(jī)處理的。不同的VLAN屬于不同的廣播域，相當(dāng)于設(shè)備處于不同的網(wǎng)段，不同的網(wǎng)段之間的數(shù)據(jù)通信是由第三層設(shè)備來實(shí)現(xiàn)的，在OSI的分層體系中，第三層是網(wǎng)絡(luò)層，典型的網(wǎng)絡(luò)層設(shè)備有路由器和三層交換機(jī)。3.3.1同一VLAN主機(jī)間通信主機(jī)處于同一交換機(jī)同一VLAN內(nèi)，如圖3-5（a）所示，主機(jī)A向主機(jī)B發(fā)送信息。主機(jī)A根據(jù)目的IP地址，判斷主機(jī)B和自己在同一個(gè)網(wǎng)段（同一個(gè)廣播域）。主機(jī)A為了獲得主機(jī)B的MAC地址，發(fā)送了一個(gè)ARP請(qǐng)求。交換機(jī)1接收到ARP請(qǐng)求后，根據(jù)MAC地址表學(xué)習(xí)源MAC地址的規(guī)則，在MAC地址表中記錄下主機(jī)A的MAC地址及對(duì)應(yīng)的端口號(hào)1。由于ARP請(qǐng)求的目的MAC地址是廣播地址，即FF-FF-FF-FF-FF-FF，交換機(jī)1將向除端口1（主機(jī)A的連接口）以外的所有同一VLAN（同一廣播域）的端口發(fā)送該數(shù)據(jù)幀。收到廣播幀的主機(jī)會(huì)比較數(shù)據(jù)幀中的目的IP地址是否為自身IP地址，如果不是，則丟棄數(shù)據(jù)。主機(jī)B收到該廣播幀后，回復(fù)一個(gè)響應(yīng)幀，該響應(yīng)幀的源MAC地址和源IP地址都是主機(jī)B的地址，目的IP地址和目的MAC地址都是主機(jī)A的地址。交換機(jī)1收到響應(yīng)幀后，在MAC地址表中記錄下主機(jī)B的MAC地址和對(duì)應(yīng)的端口號(hào)3，并根據(jù)MAC地址表中主機(jī)A的MAC地址和端口的對(duì)應(yīng)關(guān)系，將響應(yīng)幀轉(zhuǎn)發(fā)到端口1，送往主機(jī)A接收。至此，交換機(jī)1中已保存了主機(jī)A和主機(jī)B的MAC地址表的信息，可以通信了。在整個(gè)數(shù)據(jù)流向過程中，由于交換機(jī)端口配置了VLAN，進(jìn)入交換機(jī)Access端口方向的數(shù)據(jù)幀將進(jìn)行Tag操作，即封裝VLAN標(biāo)識(shí)等信息，離開交換機(jī)Access端口方向的數(shù)據(jù)幀將進(jìn)行Untag操作，即去掉VLAN標(biāo)識(shí)信息。3.3VLAN通信交換機(jī)與路由器的配置管理VLAN通信按照主機(jī)是否處于同一VLAN分別考慮。同一VLAN的主機(jī)間通信是由二層交換機(jī)處理的。不同的VLAN屬于不同的廣播域，相當(dāng)于設(shè)備處于不同的網(wǎng)段，不同的網(wǎng)段之間的數(shù)據(jù)通信是由第三層設(shè)備來實(shí)現(xiàn)的，在OSI的分層體系中，第三層是網(wǎng)絡(luò)層，典型的網(wǎng)絡(luò)層設(shè)備有路由器和三層交換機(jī)。3.3.1同一VLAN主機(jī)間通信主機(jī)處于同一交換機(jī)同一VLAN內(nèi)，如圖3-5（a）所示，主機(jī)A向主機(jī)B發(fā)送信息。主機(jī)A根據(jù)目的IP地址，判斷主機(jī)B和自己在同一個(gè)網(wǎng)段（同一個(gè)廣播域）。主機(jī)A為了獲得主機(jī)B的MAC地址，發(fā)送了一個(gè)ARP請(qǐng)求。交換機(jī)1接收到ARP請(qǐng)求后，根據(jù)MAC地址表學(xué)習(xí)源MAC地址的規(guī)則，在MAC地址表中記錄下主機(jī)A的MAC地址及對(duì)應(yīng)的端口號(hào)1。由于ARP請(qǐng)求的目的MAC地址是廣播地址，即FF-FF-FF-FF-FF-FF，交換機(jī)1將向除端口1（主機(jī)A的連接口）以外的所有同一VLAN（同一廣播域）的端口發(fā)送該數(shù)據(jù)幀。收到廣播幀的主機(jī)會(huì)比較數(shù)據(jù)幀中的目的IP地址是否為自身IP地址，如果不是，則丟棄數(shù)據(jù)。主機(jī)B收到該廣播幀后，回復(fù)一個(gè)響應(yīng)幀，該響應(yīng)幀的源MAC地址和源IP地址都是主機(jī)B的地址，目的IP地址和目的MAC地址都是主機(jī)A的地址。交換機(jī)1收到響應(yīng)幀后，在MAC地址表中記錄下主機(jī)B的MAC地址和對(duì)應(yīng)的端口號(hào)3，并根據(jù)MAC地址表中主機(jī)A的MAC地址和端口的對(duì)應(yīng)關(guān)系，將響應(yīng)幀轉(zhuǎn)發(fā)到端口1，送往主機(jī)A接收。至此，交換機(jī)1中已保存了主機(jī)A和主機(jī)B的MAC地址表的信息，可以通信了。在整個(gè)數(shù)據(jù)流向過程中，由于交換機(jī)端口配置了VLAN，進(jìn)入交換機(jī)Access端口方向的數(shù)據(jù)幀將進(jìn)行Tag操作，即封裝VLAN標(biāo)識(shí)等信息，離開交換機(jī)Access端口方向的數(shù)據(jù)幀將進(jìn)行Untag操作，即去掉VLAN標(biāo)識(shí)信息。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.1同一VLAN主機(jī)間通信3.3VLAN通信交換機(jī)與路由器的配置管理3.3.1同一VLAN主機(jī)間通信主機(jī)處于不同交換機(jī)同一VLAN內(nèi)，如圖3-5（b）所示，主機(jī)A向主機(jī)C發(fā)送信息。主機(jī)A根據(jù)目的IP地址，判斷主機(jī)C和自己在同一個(gè)網(wǎng)段（同一個(gè)廣播域）。主機(jī)A為了獲得主機(jī)C的MAC地址，發(fā)送了一個(gè)ARP請(qǐng)求。交換機(jī)1接收到ARP請(qǐng)求后，根據(jù)MAC地址表學(xué)習(xí)源MAC地址的規(guī)則，在MAC地址表中記錄下主機(jī)A的MAC地址及對(duì)應(yīng)的端口號(hào)1，并向除端口1（主機(jī)A的連接口）以外的所有同一VLAN（同一廣播域）的端口發(fā)送該數(shù)據(jù)幀。主機(jī)C收到該廣播幀后，回復(fù)一個(gè)響應(yīng)幀，該響應(yīng)幀的源MAC地址和源IP地址都是主機(jī)C的地址，目的IP地址和目的MAC地址都是主機(jī)A的地址。交換機(jī)2收到響應(yīng)幀后，在MAC地址表中記錄下主機(jī)C的MAC地址和對(duì)應(yīng)的端口號(hào)2，并根據(jù)MAC地址表中主機(jī)A的MAC地址和端口的對(duì)應(yīng)關(guān)系，將響應(yīng)幀轉(zhuǎn)發(fā)到交換機(jī)2的端口1，送往交換機(jī)1的端口3接收。交換機(jī)1接收到響應(yīng)幀后，由于MAC地址表中已保存了主機(jī)A的MAC地址和端口號(hào)的對(duì)應(yīng)關(guān)系，直接將響應(yīng)幀轉(zhuǎn)發(fā)到端口1，送往主機(jī)A接收。至此，交換機(jī)1和交換機(jī)2中均保存了主機(jī)A和主機(jī)B的MAC地址表的信息，可以通信了。交換機(jī)1的端口3和交換機(jī)2的端口1被設(shè)置成Trunk端口。在這里，可以表述成兩個(gè)端口都屬于VLAN20。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.2利用路由器實(shí)現(xiàn)VLAN通信利用路由器實(shí)現(xiàn)VLAN間通信時(shí)，最基本的解決思路是每個(gè)VLAN預(yù)留一個(gè)交換機(jī)端口，用以連接路由器的一個(gè)以太網(wǎng)端口。這種解決方法，有多少個(gè)VLAN，就需要多少個(gè)路由器以太網(wǎng)端口，并且每個(gè)VLAN都需要一個(gè)連接路由器的端口，如圖3-6所示，當(dāng)有多個(gè)VLAN被劃分時(shí)，這種連接方式既浪費(fèi)了多個(gè)交換機(jī)端口，又需要路由器能提供更多的以太網(wǎng)端口，因此這種解決方案并不具有現(xiàn)實(shí)意義。在一個(gè)交換機(jī)上，不論劃分了多少個(gè)VLAN，路由器與交換機(jī)的連接都只占用一個(gè)端口，用一條線路連接，如圖3-7所示。在這種連接方式中，交換機(jī)的端口設(shè)置為Trunk端口，在路由器端的以太網(wǎng)端口上，要為每一個(gè)VLAN創(chuàng)建一個(gè)對(duì)應(yīng)的交換虛擬接口（switchvirtualinterface,SVI），每個(gè)虛擬接口都是建立在所連接的物理接口之下的子接口，并且為虛擬子接口配置IP地址，該IP地址與對(duì)應(yīng)的VLAN應(yīng)在一個(gè)網(wǎng)段內(nèi)，該IP地址是該VLAN的默認(rèn)網(wǎng)關(guān)地址。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.2利用路由器實(shí)現(xiàn)VLAN通信圖3-8中，主機(jī)A與主機(jī)C之間通信，根據(jù)目的IP地址，判斷目的主機(jī)與本機(jī)不在同一網(wǎng)段中，因此主機(jī)A向本機(jī)的默認(rèn)網(wǎng)關(guān)地址發(fā)送數(shù)據(jù)幀，在發(fā)送之前，先通過ARP廣播信息，獲得默認(rèn)網(wǎng)關(guān)的MAC地址（圖3-8中，兩個(gè)VLAN的默認(rèn)網(wǎng)關(guān)是路由器以太網(wǎng)端口f0/1的虛擬子接口地址，兩個(gè)子接口屬于同一個(gè)物理接口，因此兩個(gè)子接口的MAC地址相同，都是端口f0/1的MAC地址）。然后根據(jù)交換機(jī)中的MAC表，得到此MAC地址在交換機(jī)上的對(duì)應(yīng)端口是端口4，然后向端口4發(fā)送數(shù)據(jù)幀。該數(shù)據(jù)幀的源MAC地址是主機(jī)A的MAC地址，目的MAC地址是路由器端口f0/1的MAC地址，源IP地址是主機(jī)A的地址，目的IP地址是主機(jī)C的地址。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.2利用路由器實(shí)現(xiàn)VLAN通信端口4是Trunk端口，根據(jù)IEEE802.1q協(xié)議，將對(duì)接收到的數(shù)據(jù)幀進(jìn)行Tag封裝，即在原始以太網(wǎng)數(shù)據(jù)幀基礎(chǔ)上增加4B的Tag信息，以標(biāo)識(shí)VLAN10信息，然后通過匯聚鏈路發(fā)送信息到路由器的端口，路由器端口接收到數(shù)據(jù)幀后，根據(jù)Tag信息，識(shí)別為VLAN10的數(shù)據(jù)，將此數(shù)據(jù)幀轉(zhuǎn)交處理VLAN10數(shù)據(jù)的虛擬子接口f0/1.1。路由器是三層設(shè)備，接收數(shù)據(jù)幀后，在網(wǎng)絡(luò)層解析數(shù)據(jù)包，獲取目的IP地址，根據(jù)目的IP地址及路由器內(nèi)的路由表信息（端口直連路由，不需另外配置），將數(shù)據(jù)包轉(zhuǎn)發(fā)到VLAN20的子接口。然后通過ARP發(fā)送廣播信息，根據(jù)目的IP地址，獲取目的MAC地址，得到目的主機(jī)C的MAC地址。此時(shí)數(shù)據(jù)包的源IP地址為主機(jī)A的IP地址，目的IP地址為主機(jī)C的IP地址，目的MAC地址為主機(jī)C的MAC地址，源MAC地址為路由器端口f0/1的MAC地址，通過匯聚鏈路從路由器端口傳送到交換機(jī)的Trunk端口。交換機(jī)的Trunk端口接收數(shù)據(jù)幀后，根據(jù)交換機(jī)的MAC地址表，找到目的MAC地址與端口的對(duì)應(yīng)關(guān)系，去掉數(shù)據(jù)幀內(nèi)的Tag信息，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到端口5，傳送到主機(jī)C，完成了VLAN10到VLAN20之間的信息傳送，實(shí)現(xiàn)了不同VLAN間的數(shù)據(jù)通信。處于不同交換機(jī)的不同VLAN，如果用路由器實(shí)現(xiàn)通信，連接方式如圖3-9所示。與圖3-7不同的是，交換機(jī)與路由器的連接端口設(shè)置成Access端口，并且和終端設(shè)備屬于同一個(gè)VLAN，路由器側(cè)的端口是物理端口，直接設(shè)置IP地址。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.3利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信路由器的功能是在三層處理數(shù)據(jù)包的轉(zhuǎn)發(fā)，如果用來處理VLAN間的大量數(shù)據(jù)通信，將會(huì)形成網(wǎng)絡(luò)瓶頸。因此在局域網(wǎng)內(nèi)部，通常用具有三層功能的交換機(jī)，即三層交換機(jī)來實(shí)現(xiàn)VLAN間通信。同一交換機(jī)不同VLAN間通信，用三層交換機(jī)實(shí)現(xiàn)的連接方式如圖3-10所示。這種方式與單臂路由器實(shí)現(xiàn)VLAN間通信類似。不同的是，三層交換機(jī)的連接端口也要設(shè)置成Trunk端口，在三層交換機(jī)端，為每一個(gè)VLAN創(chuàng)建對(duì)應(yīng)的虛擬接口，并不是配置在某一個(gè)物理接口上，而是以VLAN接口方式配置的，即交換虛擬接口（SVI）。SVI是用來實(shí)現(xiàn)三層交換的邏輯接口。創(chuàng)建SVI為一個(gè)網(wǎng)關(guān)接口，就相當(dāng)于對(duì)應(yīng)各個(gè)VLAN的虛擬子接口，用于三層設(shè)備中跨VLAN之間的路由?？赏ㄟ^InterfaceVlan接口配置命令來創(chuàng)建SVI，然后給SVI分配IP地址來建立VLAN之間的路由。如圖3-10所示，VLAN10的主機(jī)可直接互相通信，無須通過三層設(shè)備的路由，若VLAN10的主機(jī)A想和VLAN20內(nèi)的主機(jī)C通信，必須通過VLAN10對(duì)應(yīng)的SVI10和VLAN20對(duì)應(yīng)的SVI20才能實(shí)現(xiàn)。用三層交換機(jī)實(shí)現(xiàn)不同交換機(jī)不同VLAN間通信的連接方式如圖3-11所示。交換機(jī)間的連接端口均設(shè)置成Trunk端口，在三層交換機(jī)上創(chuàng)建各個(gè)VLAN的SVI，并為各個(gè)SVI配置IP地址，此IP地址是每個(gè)VLAN內(nèi)主機(jī)的默認(rèn)網(wǎng)關(guān)地址。3.3VLAN通信交換機(jī)與路由器的配置管理3.3.3利用三層交換機(jī)實(shí)現(xiàn)VLAN間通信3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）掌握交換機(jī)VLAN的劃分方法，理解VLAN網(wǎng)絡(luò)隔離的作用。（2）掌握將交換機(jī)端口分配到VLAN中的操作技能。2.實(shí)訓(xùn)任務(wù)你是某公司網(wǎng)絡(luò)管理員，公司有技術(shù)部、業(yè)務(wù)部等部門。為了安全、便捷地實(shí)行管理，公司領(lǐng)導(dǎo)要求你組建公司局域網(wǎng)，使相同部門內(nèi)主機(jī)可以相互訪問，但為了安全，部門之間禁止互訪。3.任務(wù)分析將交換機(jī)劃分成兩個(gè)VLAN，使每個(gè)部門的主機(jī)在相同VLAN中，兩個(gè)部門VLAN劃分：技術(shù)部在VLAN10中，VLAN10包含f0/1~f0/10端口；業(yè)務(wù)部在VLAN20中，VLAN20包含f0/11~f0/20端口。這樣在同一VLAN內(nèi)的主機(jī)能夠相互訪問，不同VLAN之間主機(jī)不能相互訪問，達(dá)到了公司要求。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-12所示。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“IP地址配置”選項(xiàng)，出現(xiàn)如圖3-13所示的對(duì)話框，然后設(shè)置PC1的IP地址和子網(wǎng)掩碼，按照同樣方法設(shè)置其他PC的IP地址和子網(wǎng)掩碼。由于所有計(jì)算機(jī)在同一網(wǎng)段，因此不需要配置網(wǎng)關(guān)配置PC2主機(jī)的IP地址和子網(wǎng)掩碼如圖3-14所示。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“IP地址配置”選項(xiàng)，出現(xiàn)如圖3-13所示的對(duì)話框，然后設(shè)置PC1的IP地址和子網(wǎng)掩碼，按照同樣方法設(shè)置其他PC的IP地址和子網(wǎng)掩碼。由于所有計(jì)算機(jī)在同一網(wǎng)段，因此不需要配置網(wǎng)關(guān)配置PC2主機(jī)的IP地址和子網(wǎng)掩碼如圖3-14所示。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)4.任務(wù)實(shí)施配置PC3主機(jī)的IP地址和子網(wǎng)掩碼如圖3-15所示。配置PC4主機(jī)的IP地址和子網(wǎng)掩碼如圖3-16所示。2）創(chuàng)建VLAN和分配端口（1）創(chuàng)建vlan10。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.1交換機(jī)VLAN的建立與端口分配實(shí)訓(xùn)4.任務(wù)實(shí)施3）測試在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“命令提示符”選項(xiàng)，輸入ping198.168.1.16和ping198.168.1.25，測試結(jié)果如圖3-18所示，其中PC1和PC2在同一個(gè)VLAN內(nèi)，能ping通；PC1和PC3不在同一個(gè)VLAN內(nèi)，不能ping通。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.2跨交換機(jī)相同VLAN的通信實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）理解交換機(jī)TagVLAN工作原理。（2）掌握TagVLAN配置方法（3）理解NativeVLAN概念并掌握其特點(diǎn)。2.實(shí)訓(xùn)任務(wù)你是某公司網(wǎng)絡(luò)管理員，公司有技術(shù)部、業(yè)務(wù)部等部門，其中業(yè)務(wù)部門的計(jì)算機(jī)分布在幾座樓內(nèi)，為了安全、便捷地實(shí)行管理，公司領(lǐng)導(dǎo)要求你組建公司局域網(wǎng)，使相同部門內(nèi)部主機(jī)的業(yè)務(wù)可以相互訪問，但為了安全，部門之間禁止互訪。3.任務(wù)分析為了完成公司交給的任務(wù)，實(shí)現(xiàn)各部門安全有效訪問，將業(yè)務(wù)部的部分計(jì)算機(jī)分配到不同交換機(jī)的相同VLAN內(nèi)，即將VLAN10分配到業(yè)務(wù)部，VLAN20分配到技術(shù)部門使用。VLAN10包含f0/1~f0/10端口，VLAN20包含f0/11~f0/20端口，級(jí)聯(lián)口為f0/24端口。使兩交換機(jī)相連接口設(shè)置為Trunk類型，所有VLAN數(shù)據(jù)都通過Trunk端口從一臺(tái)交換機(jī)某一VLAN到達(dá)另一臺(tái)交換機(jī)同一VLAN中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-19所示。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.2跨交換機(jī)相同VLAN的通信實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“IP地址配置”選項(xiàng)，出現(xiàn)如圖3-20所示的對(duì)話框，然后設(shè)置PC1的IP地址和子網(wǎng)掩碼，按照同樣方法設(shè)置其他PC的IP地址和子網(wǎng)掩碼。由于所有計(jì)算機(jī)在同一網(wǎng)段，因此不需要配置網(wǎng)關(guān)。2）創(chuàng)建VLAN和分配端口（1）在第一臺(tái)交換機(jī)SwitchA上做如下配置：①創(chuàng)建vlan10。②命名為test10。③創(chuàng)建vlan20并命名。④分配端口到vlan10。⑤分配端口到vlan203.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.2跨交換機(jī)相同VLAN的通信實(shí)訓(xùn)4.任務(wù)實(shí)施（2）在第二臺(tái)交換機(jī)SwitchB上做如下配置：（3）查看VLAN配置情況。（4）配置級(jí)聯(lián)端口為Trunk模式。3）測試在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“命令提示符”選項(xiàng)，輸入ping192.168.1.35，測試結(jié)果如圖3-21所示，其中PC1和PC5在同一個(gè)VLAN內(nèi)，能夠ping通。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.2跨交換機(jī)相同VLAN的通信實(shí)訓(xùn)4.任務(wù)實(shí)施PC1和PC3不在同一VLAN內(nèi)，無法ping通，測試結(jié)果如圖3-22所示3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)4.任務(wù)實(shí)施1.實(shí)訓(xùn)目標(biāo)（1）掌握VTP協(xié)議的配置方法和VTP的三種模式之間的區(qū)別。（2）掌握Trunk端口的配置方法。（3）掌握VTP參數(shù)的查看方法。2.實(shí)訓(xùn)任務(wù)企業(yè)網(wǎng)絡(luò)中交換機(jī)的數(shù)量很多，而交換機(jī)中的VLAN設(shè)置卻差不多，如果給每臺(tái)交換機(jī)配置VLAN，不僅工作量大，而且都是一些重復(fù)的工作。利用VTP協(xié)議，可以只在一臺(tái)交換機(jī)上配置，然后通告給其他交換機(jī)，這樣可以減少網(wǎng)絡(luò)管理員的工作量。3.任務(wù)分析本任務(wù)需要兩臺(tái)Catalyst2960交換機(jī)，六根直通線，一根交叉線，按如圖3-23所示的方式連接好線路。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)4.任務(wù)實(shí)施1）配置各PC的IP地址在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項(xiàng)卡下的“IP地址配置”選項(xiàng)，出現(xiàn)如圖3-24所示的對(duì)話框，然后設(shè)置PC1的IP地址和子網(wǎng)掩碼，按照同樣方法設(shè)置其他PC的IP地址和子網(wǎng)掩碼。2）在左邊的交換機(jī)Catalyst2960上做如下配置3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)4.任務(wù)實(shí)施3）在右邊的交換機(jī)Catalyst2960上做如下配置4）驗(yàn)證在SwitchB上所獲得的VLAN信息如圖3-25所示，可以看出在SwitchA上創(chuàng)建的VLAN在SwitchB上全部學(xué)習(xí)到了3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)4.任務(wù)實(shí)施5）用“showvtpstatus”命令查看VTP的版本、工作模式、域和修剪等相關(guān)信息具體如圖3-26所示。6）用“showvtpcounters”命令查看交換機(jī)收發(fā)VTP通告的統(tǒng)計(jì)信息具體如圖3-27所示。7）驗(yàn)證在同一VLAN計(jì)算機(jī)上的連通性同一VLAN中的計(jì)算機(jī)彼此可以相互通信。圖3-28所示為主機(jī)PC1和主機(jī)PC5連通情況，圖3-29所示為主機(jī)PC3和主機(jī)PC6連通情況。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.3交換機(jī)VTP的配置實(shí)訓(xùn)4.任務(wù)實(shí)施如果此時(shí)將交換機(jī)SwitchB的VTP模式改為transparent，在SwitchB的f0/1端口上再連接另一臺(tái)2960交換機(jī)（SwitchC）的f0/1端口，并將SwitchC的f0/1端口設(shè)置為Trunk，并將SwitchC的VTP設(shè)置為Client。此時(shí)，無論在SwitchA上添加VLAN還是刪除VLAN，SwitchB上的VLAN數(shù)量都不會(huì)改變，而SwitchC上的VLAN數(shù)量會(huì)跟著SwitchA而改變，此時(shí)SwitchB只是起到了透明傳輸VLAN信息的作用3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.4交換機(jī)不同VLAN間的通信實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）理解三層交換機(jī)的工作原理。（2）掌握三層交換機(jī)VLAN間的路由建立方法。2.實(shí)訓(xùn)任務(wù)某公司有兩個(gè)主要部門——技術(shù)部和業(yè)務(wù)部，分別處于不同的辦公室，為了安全和便于管理，對(duì)兩個(gè)部門的主機(jī)進(jìn)行了VLAN劃分，技術(shù)部和業(yè)務(wù)部分別處于不同VLAN。現(xiàn)由于業(yè)務(wù)要求，需要技術(shù)部和業(yè)務(wù)部的主機(jī)能夠相互訪問，獲得相應(yīng)資源，將兩個(gè)部門的交換機(jī)通過一臺(tái)三層交換機(jī)進(jìn)行連接。3.任務(wù)分析在交換機(jī)上建立兩個(gè)VLAN：VLAN10分配給技術(shù)部，VLAN20分配給業(yè)務(wù)部。為了實(shí)現(xiàn)兩部門的主機(jī)能夠相互訪問，在三層交換機(jī)上開啟路由功能，并在VLAN10中設(shè)置IP地址為198.168.10.1，在VLAN20中設(shè)置IP地址為198.168.20.1。查看三層交換機(jī)路由表，會(huì)發(fā)現(xiàn)在三層交換機(jī)路由表內(nèi)有兩條直連路由信息，可以實(shí)現(xiàn)在不同網(wǎng)絡(luò)之間路由數(shù)據(jù)包，從而實(shí)現(xiàn)兩個(gè)部門的主機(jī)可以相互訪問，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-30所示。4.任務(wù)實(shí)施1）配置各PC的IP地址配置主機(jī)PC1的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)如圖3-31所示。3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.4交換機(jī)不同VLAN間的通信實(shí)訓(xùn)3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.4交換機(jī)不同VLAN間的通信實(shí)訓(xùn)配置主機(jī)PC2的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)如圖3-32所示2）開啟三層交換機(jī)路由功能3）建立VLAN，并分配端口4）配置三層交換機(jī)端口的路由功能3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.4交換機(jī)不同VLAN間的通信實(shí)訓(xùn)5）查看交換機(jī)路由表使用S3560#showiproute命令查看交換機(jī)路由表，如圖3-33所示。6）測試三層交換機(jī)VLAN間的路由功能主機(jī)PC1能夠ping通主機(jī)PC2，如圖3-34所示3.4VLAN技術(shù)實(shí)訓(xùn)交換機(jī)與路由器的配置管理3.4.5路由器多端口實(shí)現(xiàn)VLAN間通信實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)通過路由器多端口實(shí)現(xiàn)VLAN間通信。2.實(shí)訓(xùn)任務(wù)實(shí)現(xiàn)VLAN之間通信，最簡單的