Cisco局域網(wǎng)交換基礎(chǔ)

1、本章包括下列主題：理解傳統(tǒng)的局域網(wǎng)網(wǎng)段；虛擬局域網(wǎng)入門；鏈路聚集方法；VLAN鏈路聚集協(xié)議；配置VTP/VLAN/干道；VLAN修剪；EtherChannel；理解VLAN 1；專用VLAN。第4章第2層技術(shù)基礎(chǔ)本章研究VLAN設(shè)計(jì)和實(shí)施過(guò)程中的諸多問(wèn)題。在采用第3層通信協(xié)議（IP）之前，大部分應(yīng)用都根據(jù)第2層協(xié)議進(jìn)行通信?；谏鲜鲈?，用戶需要共享相同第2層網(wǎng)絡(luò)中的應(yīng)用和信息。盡管僅支持第2層的設(shè)計(jì)存在潛在不足，但它們?nèi)匀辉谏a(chǎn)網(wǎng)絡(luò)中得到廣泛應(yīng)用。此外，本章還將介紹第2層網(wǎng)絡(luò)的某些負(fù)面影響，并且解釋為什么應(yīng)當(dāng)改變這種結(jié)構(gòu)。因?yàn)樘鎿Q現(xiàn)有第2層網(wǎng)絡(luò)需要消耗大量時(shí)間和人力，所以替換的難度非常大。在

2、很多情況下，替換現(xiàn)有第2層硬件設(shè)備的主要原因就是設(shè)備陳舊。如果希望從第2層網(wǎng)絡(luò)進(jìn)行遷移，那么所需要投入的潛在費(fèi)用可能非常巨大。上述因素導(dǎo)致第2層網(wǎng)絡(luò)仍然繼續(xù)存在。4.1 老式局域網(wǎng)網(wǎng)段在VLAN環(huán)境中，雖然身處網(wǎng)絡(luò)中的任何物理位置，但用戶卻可以屬于某個(gè)用戶組的一部分，用戶組內(nèi)的用戶具有相同的要求，例如IP尋址和特定的網(wǎng)絡(luò)權(quán)限。在老式網(wǎng)絡(luò)中，如果希望某些主機(jī)具有類似的網(wǎng)絡(luò)要求，那么它們就必須位于相同局域網(wǎng)網(wǎng)段中。另一方面，VLAN是一種邏輯概念，并且不受任何物理位置的限制。在老式網(wǎng)絡(luò)中，用戶連接到集線器，如果需要建立廣域網(wǎng)連接（如圖4-1所示），集線器需要再連接到某類網(wǎng)橋或路由器。為了能夠在相同

3、網(wǎng)段容納更多的用戶，可能需要互連多個(gè)集線器。這類網(wǎng)絡(luò)非常適用于那些大量用戶都在相同網(wǎng)段內(nèi)的部門。因?yàn)橥ǔH需要采用一種網(wǎng)絡(luò)配置來(lái)支持該部門，所以網(wǎng)絡(luò)工程師也可以輕松地實(shí)現(xiàn)這種網(wǎng)絡(luò)。例如，部門在相同的第2層網(wǎng)段中包括本地文件服務(wù)器，并且大部分流量都屬圖4-1 連接路由器或網(wǎng)橋的多集線器環(huán)境于本地流量。通過(guò)級(jí)聯(lián)多臺(tái)集線器，將可以在相同網(wǎng)段中容納更多的用戶，但是會(huì)導(dǎo)致主機(jī)之間網(wǎng)絡(luò)訪問(wèn)的爭(zhēng)用現(xiàn)象。如果碰撞域越大，那么網(wǎng)絡(luò)中的分組碰撞也就越多，導(dǎo)致重傳和分組丟棄的情況也就越多。通過(guò)級(jí)聯(lián)多臺(tái)集線器，那么可能會(huì)超過(guò)IEEE 802.3布線標(biāo)準(zhǔn)的要求，進(jìn)而產(chǎn)生延遲碰撞，由此也會(huì)導(dǎo)致分組丟棄。對(duì)于存在問(wèn)題的網(wǎng)卡

4、，因?yàn)樗鼤?huì)連續(xù)發(fā)送錯(cuò)誤數(shù)據(jù)，并且不遵守第1章“局域網(wǎng)交換技術(shù)基礎(chǔ)”所介紹的 CSMA/CD規(guī)則，所以這類網(wǎng)絡(luò)中會(huì)出現(xiàn)嚴(yán)重的性能問(wèn)題。4.2 虛擬局域網(wǎng)入門在老式網(wǎng)絡(luò)中，如果希望用戶屬于相同的邏輯網(wǎng)段或具有相同的接入和訪問(wèn)權(quán)限，那么他們就必須受到物理位置的限制，伴隨著VLAN的出現(xiàn)，這種局面得到改善。通過(guò)部署VLAN，能夠增加網(wǎng)絡(luò)的靈活性，如圖4-2所示。值得注意的是，交換機(jī)3的一個(gè)端口被做出“X”圖4-2 多建筑物網(wǎng)絡(luò)環(huán)境標(biāo)記。為了防止網(wǎng)絡(luò)中出現(xiàn)環(huán)路（如本書第1章中“生成樹基礎(chǔ)”一節(jié)所討論）的情況，生成樹將使得該端口進(jìn)入阻塞狀態(tài)。在老式網(wǎng)絡(luò)中，當(dāng)主機(jī)移動(dòng)到另外一個(gè)路由器端口的不同位置的時(shí)候，就

5、必須更改主機(jī)的IP地址。為了容納該用戶，也可能需要對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整。例如，路由器訪問(wèn)控制列表需要允許該用戶訪問(wèn)部門服務(wù)器。在沒(méi)有對(duì)網(wǎng)絡(luò)或主機(jī)做出某種類型變更的條件下，如果希望在網(wǎng)絡(luò)中改變用戶的位置，那么將不容易實(shí)現(xiàn)。在支持VLAN的環(huán)境中，因?yàn)椴捎玫?層的平面網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)，所以可能不需要做出任何變更。如果將圖4-2中的主機(jī)1搬遷到建筑物B中，那么無(wú)需變更用戶計(jì)算機(jī)或網(wǎng)絡(luò)的配置。用戶只需要將連接主機(jī)網(wǎng)卡的網(wǎng)線插到信息插座中即可。注意：需要記住的是，我們到目前為止所討論的內(nèi)容都嚴(yán)格限于第2層概念，多臺(tái)交換機(jī)位于相同的VLAN中，并且采用1個(gè)生成樹實(shí)例。在最初的時(shí)候，網(wǎng)絡(luò)中采用VLAN技術(shù)得到廣泛推

6、廣。事實(shí)上，基于以下兩方面原因，大多數(shù)學(xué)校都實(shí)施了VLAN技術(shù)：首先，VLAN是一種相對(duì)比較簡(jiǎn)單的技術(shù)；其次，當(dāng)時(shí)的應(yīng)用通信協(xié)議需要工作在相同的第2層網(wǎng)絡(luò)中。網(wǎng)絡(luò)工程師只需要采用較大的IP地址空間來(lái)配置VLAN。VLAN中包括安全和網(wǎng)絡(luò)策略方面的改善。VLAN技術(shù)能夠節(jié)省時(shí)間和費(fèi)用。在采用VLAN技術(shù)不久之后，人們很快注意到與之關(guān)聯(lián)的風(fēng)險(xiǎn)。如果將VLAN擴(kuò)展到未知領(lǐng)域，那么將擴(kuò)大廣播域范圍。例如，如果某臺(tái)主機(jī)發(fā)送廣播報(bào)文，那么無(wú)論建筑物和交換機(jī)的數(shù)目多少，VLAN中的所有機(jī)器都能夠接收到該報(bào)文。上述過(guò)程就會(huì)導(dǎo)致網(wǎng)絡(luò)中存在過(guò)多的流量。當(dāng)網(wǎng)絡(luò)中的主機(jī)發(fā)送錯(cuò)誤廣播報(bào)文的時(shí)候，VLAN中的所有主機(jī)都將

7、接收到該報(bào)文，并且再發(fā)送各自的廣播，更嚴(yán)重的后果就是產(chǎn)生廣播風(fēng)暴。上述過(guò)程最終會(huì)導(dǎo)致第2層平面網(wǎng)絡(luò)陷入癱瘓。當(dāng)在交換網(wǎng)絡(luò)中采用VLAN技術(shù)的時(shí)候，生成樹也能夠?qū)е戮W(wǎng)絡(luò)宕機(jī)。如果網(wǎng)絡(luò)中流量過(guò)多，或者發(fā)生部分或完全硬件故障的情況，那么也可能導(dǎo)致生成樹故障。在生成樹故障的情況下，生成樹將不能正確計(jì)算無(wú)環(huán)路拓?fù)?，并且?huì)產(chǎn)生網(wǎng)絡(luò)環(huán)路。與透明網(wǎng)橋環(huán)境中的環(huán)路相類似，除非打破網(wǎng)絡(luò)環(huán)路，否則流量將呈指數(shù)速度增加，并最終導(dǎo)致網(wǎng)絡(luò)徹底癱瘓，而打破網(wǎng)絡(luò)環(huán)路往往需要人工干涉。為了區(qū)分不同的VLAN，可以采用VLAN編號(hào)來(lái)標(biāo)記。例如，對(duì)于屬于VLAN 4的用戶，他們位于相同的子網(wǎng)中，并且擁有相同的廣播域，而VLAN 5

8、也擁有自己的用戶和廣播域。通常情況下，對(duì)于企業(yè)交換機(jī)，它所配置的VLAN數(shù)目不會(huì)超過(guò)30。根據(jù)所采用的鏈路聚集（trunking）機(jī)制，交換機(jī)所能配置的VLAN數(shù)目最大可達(dá)4096減去保留VLAN的數(shù)目。本章的“鏈路聚集方法”一節(jié)將深入討論鏈路聚集的相關(guān)內(nèi)容。表4-1列出交換機(jī)所能配置的VLAN的有效范圍。Catalyst 5500交換機(jī)不支持1025-4096范圍內(nèi)的擴(kuò)展VLAN。此外，所采用的鏈路聚集機(jī)制也可能限制可用VLAN數(shù)目。例如，ISL（Inter-Switch Link，交換機(jī)間鏈路）不支持?jǐn)U展VLAN的范圍。本章的“VLAN鏈路聚集協(xié)議”一節(jié)將深入討論VTP的相關(guān)內(nèi)容。表4-1

9、VLAN有效范圍VLAN范圍用途是否通過(guò)VTP傳播（是/否）0和4095保留范圍僅限系統(tǒng)使用，用戶不能查看或使用這兩個(gè)VLAN不適用1正常范圍Cisco產(chǎn)品的默認(rèn)VLAN范圍。用戶能夠使用VLAN 1，但不能刪除它是續(xù)表VLAN范圍用途是否通過(guò)VTP傳播（是/否）2-1000正常范圍用于以太網(wǎng)的VLAN范圍。用戶能夠創(chuàng)建、使用和刪除這些VLAN是1001正常范圍用戶不能創(chuàng)建或刪除VLAN 1001，將來(lái)可能會(huì)利用它是1002-1005保留范圍Cisco為FDDI和令牌環(huán)提供的默認(rèn)VLAN。Catalyst 6000家族交換機(jī)不支持VLAN 1002-1005。用戶不能刪除這些VLAN不適用10

10、06-1009保留范圍Cisco默認(rèn)VLAN范圍。盡管目前尚未使用，但將來(lái)可以利用，在必要的情況下，非保留VLAN能夠映射到這些保留VLAN不適用1010-1024保留范圍用戶不能查看或使用這些VLAN，但它們能夠在必要的情況下映射到非保留VLAN不適用1025-4094擴(kuò)展范圍僅限于以太網(wǎng)使用的VLAN范圍，用戶可以創(chuàng)建、使用和刪除這些VLAN，但下述情況除外：FlexWAN模塊和路由端口自動(dòng)分配VLAN 1025之后的一段范圍。如果已經(jīng)使用這些設(shè)備，那么就必須考慮需要分配的VLAN范圍否4.3 鏈路聚集方法到目前為止，本章所介紹的多交換機(jī)環(huán)境示例中只包括1個(gè)VLAN。通常情況下，在實(shí)際工作

11、環(huán)境中，多交換機(jī)環(huán)境需要配置多個(gè)VLAN。圖4-3所給出的交換網(wǎng)絡(luò)包括2個(gè)VLAN。每個(gè)VLAN包括屬于自己的STP拓?fù)?、IP范圍和網(wǎng)絡(luò)要求條件等。圖4-3 多交換機(jī)環(huán)境（2個(gè)VLAN）假設(shè)增加第三個(gè)VLAN，那么就要求交換機(jī)之間增加額外的物理鏈路。伴隨著VLAN數(shù)目的增加，如果繼續(xù)采用增加物理鏈路的方法來(lái)解決問(wèn)題，那么效率將非常低，但采用鏈路聚集（trunking）機(jī)制則能夠提供完美的解決方案。我們可以在如下三種環(huán)境中配置干道（trunk）：交換機(jī)之間；路由器和交換機(jī)之間；交換機(jī)和主機(jī)（例如服務(wù)器）之間。通過(guò)查看硬件的技術(shù)參數(shù)，將能夠知道設(shè)備支持哪種類型的鏈路聚集功能。本節(jié)將主要關(guān)注Cisc

12、o交換機(jī)之間的鏈路聚集方法。干道可以在單條物理連接上復(fù)用多個(gè)VLAN。從基本概念角度出發(fā)，這種復(fù)用類似于微波利用多種頻率傳輸多路電視信號(hào)。在這種類比關(guān)系中，每個(gè)VLAN類似于不同的電視臺(tái)，它們共享相同的物理線路。在快速以太網(wǎng)、吉比特以太網(wǎng)和10吉比特以太網(wǎng)端口中，Cisco支持兩種類型的干道：Cisco ISL（Inter-Switch Link，交換機(jī)間鏈路）和IEEE 802.1Q。通過(guò)利用DTP（Dynamic Trunking Protocol，動(dòng)態(tài)鏈路聚集協(xié)議），端口能夠協(xié)商采用哪種鏈路聚集方法。首先，如果兩臺(tái)交換機(jī)都支持ISL，那么DTPS將嘗試形成ISL干道；如果兩臺(tái)交換機(jī)不都支

13、持ISL，那么DTP將嘗試形成IEEE 802.1Q干道。DTP采用一個(gè)SNAP協(xié)議類型為0x2004的組播MAC地址01-00-0C-CC-CC-CC。DTP每間隔1秒發(fā)送報(bào)文，在干道形成之后，將每間隔30秒發(fā)送報(bào)文。對(duì)于正在進(jìn)行干道協(xié)商的端口，除非協(xié)商完成，否則它們都不會(huì)加入到生成樹中。因?yàn)镮EEE 802.1Q是一種IEEE標(biāo)準(zhǔn)，所以它們?cè)诰W(wǎng)絡(luò)中的應(yīng)用也逐漸普遍。ISL是Cisco公司的一種專有協(xié)議。Cisco公司的很多路由器和老式Catalyst交換機(jī)都不支持動(dòng)態(tài)鏈路聚集。在這些情況下，網(wǎng)絡(luò)設(shè)備就要求采用靜態(tài)配置的方法。如圖4-4所示，因?yàn)榻粨Q機(jī)環(huán)境采用了鏈路聚集技術(shù)，所以能夠在相同線

14、纜之上運(yùn)行VLAN 1和VLAN 2。但對(duì)于在此之前的圖4-3中，交換機(jī)環(huán)境就必須采用額外的連接來(lái)支持多VLAN環(huán)境。圖4-4 交換機(jī)間干道鏈路聚集是連網(wǎng)技術(shù)中的重要組成部分，并且值得繼續(xù)詳細(xì)討論Cisco ISL和IEEE 802.1Q方法。此外，本節(jié)還將提供某些有助于正確配置交換機(jī)的最佳實(shí)踐。4.3.1 交換機(jī)間鏈路協(xié)議ISL對(duì)以太網(wǎng)幀進(jìn)行封裝，其中報(bào)頭封裝是26字節(jié)，F(xiàn)CS（frame check sequence，幀校驗(yàn)序列）封裝是4字節(jié)，總共增加30字節(jié)的開銷。如果計(jì)劃采用ISL封裝，那么要求設(shè)備之間至少為快速以太網(wǎng)連接。ISL報(bào)頭中包括VLAN ID字段（長(zhǎng)度為15比特），它表示單

15、條線路中能夠復(fù)用多個(gè)VLAN。因?yàn)镃isco交換機(jī)只使用VLAN ID字段（長(zhǎng)度為15比特）中的最低10個(gè)比特，所以ISL最多支持1024個(gè)VLAN。在對(duì)以太網(wǎng)幀進(jìn)行ISL封裝之后，分組的最小長(zhǎng)度是94字節(jié)（最小以太網(wǎng)幀64字節(jié)+ISL封裝30字節(jié)），而最大長(zhǎng)度是1548字節(jié)（最大以太網(wǎng)幀1518字節(jié)+ISL封裝30字節(jié)）。在采用ISL配置的環(huán)境中，每個(gè)VLAN都擁有屬于自己的生成樹拓?fù)洹＠?，如果ISL干道上配置2個(gè)VLAN，那么每個(gè)VLAN就擁有屬于字節(jié)的根和生成樹拓?fù)洳季?。圖4-5給出ISL封裝的幀格式，下面將分別描述各字段的含義：圖4-5 ISL幀封裝格式DA目標(biāo)地址采用組播MAC地址

16、01-00-0c-00-00-00；Type被封裝幀的類型：以太網(wǎng)（0000）、令牌環(huán)（0001）、FDDI（0010）和ATM（0011）；User用于描述Type字段的擴(kuò)展，還可以定義幀的優(yōu)先級(jí)。對(duì)于低優(yōu)先級(jí)的以太網(wǎng)幀，取值是0000；SA發(fā)送ISL幀的交換機(jī)的源地址；Len用于描述除DA、User、SA、Len和CRC之外的幀長(zhǎng)度；AAAA03標(biāo)準(zhǔn)的SNAP 802.2 LLC報(bào)頭，其取值為常數(shù)；HASSA的最高3個(gè)字節(jié)（代表制造商或特定組織的ID）；VLAN ID虛擬局域網(wǎng)ID，其長(zhǎng)度是15比特。只有最低10個(gè)比特用于描述VLAN，最多能夠表示1024個(gè)VLAN；BPDU用于控制流量的

17、STP BPDU/CDP（Bridge Protocol Data Unit/Cisco Discovery Protocol，橋接協(xié)議數(shù)據(jù)單元/Cisco發(fā)現(xiàn)協(xié)議）；Index分組源端口的索引；Res用于描述其他信息的保留字段，例如令牌環(huán)或FDDI的幀校驗(yàn)序列。對(duì)于以太網(wǎng)，該字段的取值應(yīng)當(dāng)為0；Encap Frame真實(shí)的以太網(wǎng)幀；FCSFCS字段的長(zhǎng)度是4字節(jié)，F(xiàn)CS用于檢查ISL分組是否受到破壞。4.3.2 IEEE 802.1QISL通過(guò)增加30字節(jié)報(bào)頭的方式來(lái)封裝以太網(wǎng)幀，但I(xiàn)EEE 802.1Q只是向以太網(wǎng)幀（以太網(wǎng)幀類型是0x8100）中增加4字節(jié)的標(biāo)記字段。除了EtherTyp

18、e字段之外，IEEE 802.1Q的標(biāo)記字段還包括如下3個(gè)部分：Priority（PRI）為了實(shí)現(xiàn)第2層的QoS，802.1p使用優(yōu)先級(jí)字段，其長(zhǎng)度是3比特；CFI（Canonical Format Identifier，規(guī)范格式標(biāo)識(shí)符）CFI字段用于以太網(wǎng)和令牌環(huán)之間的兼容，其長(zhǎng)度為1比特；VLAN ID（VID）VID字段用于區(qū)分鏈路上的不同VLAN，其長(zhǎng)度為12比特。在插入4字節(jié)的標(biāo)記之后，IEEE 802.1Q將重新計(jì)算FCS。因?yàn)閂LAN ID字段的長(zhǎng)度為12比特，所以IEEE 802.1Q最多能夠支持4096個(gè)VLAN。Native VLAN（在成為干道端口之前，端口都屬于Nati

19、ve VLAN）中不能插入IEEE 802.1Q標(biāo)記。圖4-6圖例說(shuō)明IEEE 802.1Q標(biāo)記的幀格式。圖4-6 IEEE 802.1Q標(biāo)記格式如果相鄰干道端口的Native VLAN與交換機(jī)的本地端口配置不同，那么就會(huì)發(fā)生Native VLAN不匹配的情況，進(jìn)而需要橋接VLAN STP信息，它將轉(zhuǎn)換為單個(gè)STP，而不是為每個(gè)VLAN提供1個(gè)STP。例4-1在遠(yuǎn)端交換機(jī)的端口1/1之后標(biāo)記“*”，它代表Native VLAN不匹配的情況。例4-1 檢測(cè)Native VLAN不匹配4.3.3 配置最佳實(shí)踐鏈路聚集支持如下5種工作模式：開啟（On）；關(guān)閉（Off）；期望（Desirable）；自

20、動(dòng)（Auto）；非協(xié)商（Nonegotiate）。在非協(xié)商模式中，交換機(jī)將形成干道，并且將不發(fā)送DTP幀。為了保證非協(xié)商模式能夠正常工作，另外一端的交換機(jī)必須工作在“開啟”或“非協(xié)商”模式中。通常情況下，如果準(zhǔn)備連接到不支持DTP的第三方交換機(jī)，那么就可以采用這種設(shè)置。表4-2詳細(xì)解釋了不同的鏈路聚集模式。表4-2鏈路聚集模式鏈路聚集模式描述開啟將端口強(qiáng)制設(shè)定為干道端口，并且勸說(shuō)鄰接端口成為干道端口。即使鄰接接口不同意成為干道端口，此端口也將成為干道端口關(guān)閉將端口強(qiáng)制設(shè)定為非干道端口，并且勸說(shuō)鄰接端口成為非干道端口。即使鄰接接口不同意成為非干道端口，此端口也將成為非干道端口期望使得端口主動(dòng)地與

21、鄰接端口協(xié)商成為干道鏈路自動(dòng)如果鄰接端口嘗試協(xié)商成為干道鏈路，那么端口將成為干道端口鏈路非協(xié)商將端口強(qiáng)制設(shè)定為干道端口，并且可以禁止端口向鄰接端口發(fā)送DTP幀Cisco推薦在所有干道端口中使用“期望-期望”模式。4.4 VLAN鏈路聚集協(xié)議在圖4-4中，通過(guò)采用鏈路聚集的方法，交換機(jī)之間能夠傳遞2個(gè)VLAN。為了使得干道能夠正常地工作，對(duì)于共享干道的每臺(tái)交換機(jī)，它們都必須支持共同的VLAN信息。為了便于創(chuàng)建和管理VLAN信息，Cisco創(chuàng)建了VTP（VLAN Trunking Protocol，VLAN鏈路聚集協(xié)議）。值得注意的是，除非配置VTP，否則交換機(jī)中所創(chuàng)建的任何VLAN都處于非工作狀

22、態(tài)。對(duì)于在相同管理控制之下并且支持相同VLAN范圍的一組交換機(jī)，它們工作在相同的VTP域中。VTP域名用于標(biāo)識(shí)共享相同VTP信息的交換機(jī)，域名的最大長(zhǎng)度可達(dá)32個(gè)字符。此外，域名對(duì)于大小寫敏感。VTP分組被發(fā)送到SNAP類型為0x2003的MAC地址01-00-0C-CC-CC-CC。交換機(jī)能夠工作在如下三種模式之一：服務(wù)器（默認(rèn)）；客戶端；透明。在服務(wù)器模式中，交換機(jī)能夠列出管理域內(nèi)的所有VLAN，并且能夠增加、刪除或重命名任何VLAN，配置信息將保存到NVRAM（Nonvolatile random-access memory，非易失性隨機(jī)訪問(wèn)內(nèi)存）中。在客戶端模式中，交換機(jī)將從VTP服務(wù)

23、器獲取VLAN數(shù)據(jù)庫(kù)的信息，但它不能修改任何信息?？蛻舳私粨Q機(jī)所學(xué)習(xí)到的信息不能保存到NVRAM中。如果重新啟動(dòng)客戶端交換機(jī)，那么該交換機(jī)必須重新向VTP服務(wù)器動(dòng)態(tài)地學(xué)習(xí)所有VLAN信息。在透明模式中，交換機(jī)不參與VTP，它們只是向其他交換機(jī)傳遞VTP通告。在透明模式中，交換機(jī)能夠在本地增加、刪除、修改VLAN信息，并且這些信息能夠保存到NVRAM中。在能夠使用VTP來(lái)管理域和分發(fā)VLAN信息之前，網(wǎng)絡(luò)必須滿足如下要求：每臺(tái)交換機(jī)必須已經(jīng)配置干道端口；使用相同的管理域；交換機(jī)之間直接互連。如前所述，干道端口用于向鄰接交換機(jī)發(fā)送VTP信息。通過(guò)利用干道端口，VTP能夠向相同VTP域中的其他交換機(jī)

24、分發(fā)VLAN信息。通過(guò)手工配置，還可以限定只允許某些交換機(jī)才能夠分發(fā)VLAN信息。因?yàn)橐子诓渴?，所以這種采用服務(wù)器/客戶端模式的動(dòng)態(tài)過(guò)程易于管理。通過(guò)在服務(wù)器交換機(jī)中配置VLAN，管理域中的其他交換機(jī)將接收到VLAN配置信息。另外一方面，服務(wù)器/客戶端模式也會(huì)給網(wǎng)絡(luò)帶來(lái)某些潛在風(fēng)險(xiǎn)，本章稍后將簡(jiǎn)要討論這些風(fēng)險(xiǎn)。透明模式要求手工配置每臺(tái)交換機(jī)。VTP支持4種類型的消息：匯總通告（0x01）；子集通告（0x02）；通告請(qǐng)求（0x03）；加入（0x04）。VTP的兩種版本類型（VTP版本1和VTP版本2）存在某些主要區(qū)別。版本2支持令牌環(huán)。在VTP版本2中，如果交換機(jī)工作在透明模式，那么無(wú)論所接收到

25、的VTP的版本或域名如何，交換機(jī)都將轉(zhuǎn)發(fā)所接收到的VTP通告。在VTP版本1中，如果交換機(jī)工作在透明模式，那么對(duì)于來(lái)自不同VTP域名的VTP通告，交換機(jī)將忽略這些通告。默認(rèn)情況下，Cisco交換機(jī)支持VTP版本1。4.4.1 匯總通告為了向所連接的交換機(jī)告知域名和配置版本號(hào)，VTP服務(wù)器交換機(jī)將每隔5分鐘發(fā)送一次匯總通告。配置版本號(hào)與VLAN信息的變更緊密相關(guān)，每當(dāng)VTP服務(wù)器交換機(jī)進(jìn)行一次修改的時(shí)候，配置版本號(hào)都將遞增1。當(dāng)交換機(jī)接收到配置版本號(hào)的時(shí)候，它將與自己的配置版本號(hào)進(jìn)行對(duì)比。如果所接收到的配置版本號(hào)不超過(guò)自己的配置版本號(hào)，那么交換機(jī)將忽略匯總通告。在例4-2中，與交換機(jī)當(dāng)前的配置版

26、本號(hào)相比較，它所接收到匯總通告的配置版本號(hào)更低，所以交換機(jī)將忽略這個(gè)VTP消息。例4-2 匯總通告的調(diào)試輸出結(jié)果如果所接到匯總通告的配置版本號(hào)更高，那么交換機(jī)將利用所接收到的信息更新VLAN數(shù)據(jù)庫(kù)。因?yàn)榕渲冒姹咎?hào)的高低能夠決定交換機(jī)是否更新VLAN數(shù)據(jù)庫(kù)，所以配置版本號(hào)是非常重要的參數(shù)。假定發(fā)生如下情況：測(cè)試交換機(jī)意外連接到生產(chǎn)網(wǎng)絡(luò)中，如果測(cè)試交換機(jī)與生產(chǎn)網(wǎng)絡(luò)具有相同的VTP域名，并且測(cè)試交換機(jī)的配置版本號(hào)更高，那么該域中的所有生產(chǎn)交換機(jī)都將與這臺(tái)測(cè)試交換機(jī)進(jìn)行同步。對(duì)于生產(chǎn)交換機(jī)中原先所使用的VLAN信息，它們將被測(cè)試交換機(jī)VLAN數(shù)據(jù)庫(kù)的信息所覆蓋。如果測(cè)試交換機(jī)沒(méi)有配置與生產(chǎn)環(huán)境相同的V

27、LAN，那么交換端口將恢復(fù)為VLAN 1的成員，從而導(dǎo)致連接丟失?；谏鲜鲈颍谙蚓W(wǎng)絡(luò)中增加新交換機(jī)的時(shí)候，無(wú)論交換機(jī)工作在客戶端或服務(wù)器模式，都應(yīng)當(dāng)事先檢查交換機(jī)的配置版本號(hào)，并且保證交換機(jī)的配置版本號(hào)低于生產(chǎn)網(wǎng)絡(luò)中服務(wù)器交換機(jī)的配置版本號(hào)。為了確保新增交換機(jī)不會(huì)影響到現(xiàn)有VTP域中其他交換機(jī)的工作，一種簡(jiǎn)便的方法就是將新增交換機(jī)的VTP域名更改為某個(gè)虛構(gòu)名稱，之后再將其改回有效的域名。此時(shí)，因?yàn)楦腣TP域名會(huì)導(dǎo)致配置版本號(hào)重置，所以新增交換機(jī)就可以安全地轉(zhuǎn)移到生產(chǎn)網(wǎng)絡(luò)中。此外，重新啟動(dòng)交換機(jī)也能對(duì)配置版本號(hào)進(jìn)行重置。4.4.2 子集通告子集通告能夠向客戶端和服務(wù)器交換機(jī)發(fā)送VLAN列表

28、。該列表是向交換機(jī)發(fā)送的真實(shí)數(shù)據(jù)庫(kù)。子集通告提供關(guān)于VLAN名稱、狀態(tài)和類型等信息。在真實(shí)網(wǎng)絡(luò)中，可能將多臺(tái)交換機(jī)配置為VTP服務(wù)器，在各臺(tái)服務(wù)器交換機(jī)的數(shù)據(jù)庫(kù)同步之前，它們將利用子集通告信息協(xié)商VLAN信息。在例4-3中，交換機(jī)不僅接收到VLAN 12、30、34和100的信息，而且還接收到新增VLAN 111的通告信息。通過(guò)在交換機(jī)上執(zhí)行set trace vtp命令，將能夠獲得上述信息。因?yàn)樵撁顣?huì)消耗大量的交換機(jī)資源，所以只應(yīng)在網(wǎng)絡(luò)排錯(cuò)的時(shí)候使用set trace命令，并且通常僅作為最后的措施。例4-3 子集通告的調(diào)試輸出結(jié)果4.4.3 通告請(qǐng)求當(dāng)發(fā)生如下3種情況之一的時(shí)候，交換機(jī)會(huì)發(fā)送通告請(qǐng)求：交換機(jī)重新啟動(dòng)；更改域名；VTP匯總配置版本號(hào)高于本地交換機(jī)的配置版本號(hào)。如例4-4所示，交換機(jī)正向它所連接的交換機(jī)請(qǐng)求VTP數(shù)據(jù)庫(kù)信息。例4-4 VTP通告請(qǐng)求4.4.4 加入VTP加入消息能夠防止上行交換機(jī)修剪干道上的VLAN。本章“VTP修剪”一節(jié)將展開討論這種消息類型。4.4.5 VTP示例1圖4-7給出VTP域中包括兩臺(tái)交換機(jī)的情況。服務(wù)器交換機(jī)將向客戶端交換機(jī)擴(kuò)散VLAN信息。任何