網(wǎng)絡(luò)規(guī)劃交換機配置課件

1、第6章 交換機配置教學目的：掌握交換機簡單配置以及VLAN配置掌握Trunk配置和VTP配置教學重點：交換機簡單配置VLAN配置Trunk配置和VTP配置交換機是第2層網(wǎng)絡(luò)設(shè)備，主要作為工作站、服務器、路由器、集線器和其他交換機的集中點。交換機是一臺多端口網(wǎng)橋，為所連接的兩臺連網(wǎng)設(shè)備提供一條獨享的點對點的虛鏈路，因此避免了沖突。也可以在一條實際的物理線路上提供干道技術(shù)綁定多條虛鏈路，以允許交換機之間的多個VLAN可以通信。交換機配置的內(nèi)容包括：6.1 交換機配置的內(nèi)容交換機的簡單配置VLAN技術(shù)Trunk技術(shù)VTP技術(shù)交換機的配置過程復雜，而且根據(jù)品牌及產(chǎn)品的不同也各不同。但是基本的配置過程是

2、大同小異的。在對交換機進行配置之前，首先應登錄連接到交換機，這可通過交換機的控制端口（Console）連接或通過Telnet登錄來實現(xiàn)。對于首次配置交換機，必須采用該方式。對交換機設(shè)置管理IP地址后，就可采用Telnet登錄方式來配置交換機。6.2 交換機的簡單配置對于可管理的交換機一般都提供有一個名為Console的控制臺端口（或稱配置口），該端口采用RJ-45接口，是一個符合EIA/TIA-232異步串行規(guī)范的配置口，通過該控制端口，可實現(xiàn)對交換機的本地配置。交換機一般都隨機配送了一根控制線，它的一端是RJ-45水晶頭，用于連接交換機的控制臺端口，另一端提供了DB-9（針）和DB-25（針

3、）串行接口插頭，用于連接PC機的COM1或COM2串行接口，華為交換機配送的是該類控制線。Cisco的控制線兩端均是RJ-45水晶頭接口，但配送有RJ-45到DB-9和RJ-45到DB-25的轉(zhuǎn)接頭。6.2 交換機的簡單配置通過該控制線將交換機與PC機相連，并在PC上運行超級終端仿真程序，即可實現(xiàn)將PC機仿真成交換機的一個終端，從而實現(xiàn)對交換機的訪問和配置。如圖所示，交換機的軟件配置分為：用戶配置模式、特權(quán)用戶配置模式、全局配置模式。6.2 交換機的簡單配置在首次通過Console控制口完成對交換機的配置，并設(shè)置交換機的管理IP地址和登錄密碼后，就可通過Telnet會話來連接登錄交換機，從而實

4、現(xiàn)對交換機的遠程配置?？稍赑C機中利用Telnet來登錄連接交換機，也可在登錄一臺交換機后，再利用Telnet命令，來登錄連接另一臺交換機，實現(xiàn)對另一臺交換機的訪問和配置。假設(shè)交換機的管理IP地址為192.168.168.3，利用網(wǎng)線將交換機接入網(wǎng)絡(luò)，然后在DOS命令行輸入并執(zhí)行命令telnet 192.168.168.3，此時將要求用戶輸入telnet登錄密碼，密碼輸入時不會回顯，校驗成功后，即可登入交換機，出現(xiàn)交換機的命令行提示符，如圖所示。6.2 交換機的簡單配置對于可管理的交換機一般都提供有一個名為Console的控制臺端口（或稱配置口），該端口采用RJ-45接口，是一個符合EIA/T

5、IA-232異步串行規(guī)范的配置口，通過該控制端口，可實現(xiàn)對交換機的本地配置。交換機一般都隨機配送了一根控制線，它的一端是RJ-45水晶頭，用于連接交換機的控制臺端口，另一端提供了DB-9（針）和DB-25（針）串行接口插頭，用于連接PC機的COM1或COM2串行接口，華為交換機配送的是該類控制線。Cisco的控制線兩端均是RJ-45水晶頭接口，但配送有RJ-45到DB-9和RJ-45到DB-25的轉(zhuǎn)接頭。6.2 交換機的簡單配置 “Switch#”：在特權(quán)用戶配置模式下，用戶可以查詢交換機配置信息、各個端口的連接情況、收發(fā)數(shù)據(jù)統(tǒng)計等。6.2.2 特權(quán)用戶配置模式 6.2.1 用戶配置模式 “S

6、witch”符號“”為一般用戶配置模式的提示符：當用戶從特權(quán)用戶配置模式使用命令exit退出時，可以回到一般用戶配置模式。用戶在一般用戶配置模式下不能對交換機進行任何配置，只能查詢交換機的時鐘和交換。 switch(Config)#全局配置模式：在全局配置模式，用戶可以對交換機進行全局性的配置，如對MAC地址表、端口鏡像、創(chuàng)建VLAN、啟動IGMP Snooping、STP 等。用戶在全局配置模式還可通過命令進入到端口對各個端口進行配置。6.2.3 全局配置模式 switch；用戶模式1. 進入特權(quán)模式 enableswitch enableswitch#2. 進入全局配置模式 configu

7、re terminalswitch enableswitchconfigure terminalswitch(conf)#3交換機命名 hostname CISCO 2950(以CISCO 2950為例) switch enableswitchconfigure terminalswitch(conf)#hostname CISCO2950CISCO2950 (conf)#6.2.4 交換機基本配置 4. 配置使能口令enable password CQUPT (CQUPT為例)switch enableswitchconfigure terminalswitch(conf)#hostname

8、 CISCO2950CISCO2950 (conf)# enable password CQUPT5配置使能密碼 enable secret ciscolab（以cicsolab為例）switch enableswitchconfigure terminalswitch(conf)#hostname CISCO2950CISCO2950 (conf)# enable secret ciscolab6.2.4 交換機基本配置VLAN（Virtual LAN），翻譯成中文是“虛擬局域網(wǎng)”。 LAN可以是由少數(shù)幾臺家用計算機構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計的計算機構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指

9、使用路由器分割的網(wǎng)絡(luò)也就是廣播域。6.3 Vlan技術(shù)6.3.1 Vlan概述什么是廣播域？ 廣播域指的是廣播幀（目標MAC地址全部為1）所能傳遞到 的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣 播幀，多播幀（Multicast Frame）和目標不明的單播幀 （Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。 二層交換機只能構(gòu)建單一的廣播域，不過使用VLAN功能后， 它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域。6.3.1 Vlan概述第三層第二層第一層銷售部人力資源部工程部一個VLAN =一個廣播域 = 邏輯網(wǎng)段 (子網(wǎng)) 分段靈活性安全性6.2 交換機的簡單配置交換機

10、 A綠色VLAN黑色VLAN 紅色VLAN每個邏輯的VLAN就象一個獨立的物理橋交換機上的每一個端口都可以分配給不同的VLAN默認的情況下，所有的端口都屬于VLAN1（Cisco）6.3.2 VLAN結(jié)構(gòu)交換機A交換機B每個邏輯的VLAN就象一個獨立的物理橋同一個VLAN可以跨越多個交換機綠色VLAN黑色VLAN 紅色VLAN綠色VLAN黑色VLAN 紅色VLAN6.3.2 VLAN結(jié)構(gòu)交換機A交換機B 干道連接主干功能支持多個VLAN的數(shù)據(jù)主干使用了特殊的封裝格式支持不同的VLAN只有快速以太網(wǎng)端口可以配置為主干端口 快速以太網(wǎng)綠色VLAN黑色VLAN 紅色VLAN綠色VLAN黑色VLAN

11、紅色VLAN6.3.2 VLAN結(jié)構(gòu)VLAN干道：對于多個VLAN交換機來說，VLAN干線就是兩個交換機之間的連接，它在兩個或兩個以上的VLAN之間傳輸通信。每個交換機必須確定它所收到的幀屬于哪個VLAN。一個交換機的任何端口都必須屬于且只能屬于一個VLAN，但當端口配置成trunk干線后，該端口就失去了它自身的VLAN標識，可以為該交換機內(nèi)的所有VLAN傳輸數(shù)據(jù)。 6.3.3 VLAN協(xié)議6.3.3 VLAN協(xié)議（ISL標識）通過硬件(ASIC)實現(xiàn)ISL標識不會出現(xiàn)在工作站，客戶端并不知道ISL的封裝信息在交換機或路由器與交換機之間，在交換機與具有ISL網(wǎng)卡的服務器之間可以實現(xiàn)ISL的主干

12、功能使得VLAN信息可以穿越主干線進入主干線前加上VLAN標識離開主干線后去掉VLAN標識ISL支持VLAN的標識為什么要分割廣播域？因為，如果僅有一個廣播域，有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。6.3.4 使用VLAN分割廣播域6.3.4 使用VLAN分割廣播域常見的廣播通信 ：ARP請求：建立IP地址和MAC地址的映射關(guān)系。RIP：一種路由協(xié)議。DHCP：用于自動設(shè)定IP地址的協(xié)議。NetBEUI：Windows下使用的網(wǎng)絡(luò)協(xié)議。IPX：Novell Netware使用的網(wǎng)絡(luò)協(xié)議。Apple Talk：蘋果公司的Macintosh計算機使用的網(wǎng)絡(luò)協(xié)議。ARP廣播：是在需要與其他主機通信時發(fā)出

13、的。DHCP廣播：當客戶機請求DHCP服務器分配IP地址時，就必須發(fā)出DHCP的廣播。RIP 廣播：RIP作為路由協(xié)議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協(xié)議使用多播傳輸路由信息，這也會被交換機轉(zhuǎn)發(fā)（Flooding）。 除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播結(jié)論：廣播幀在一個局域網(wǎng)絡(luò)里會非常頻繁地出現(xiàn)。如果整個網(wǎng)絡(luò)只處在一個局域網(wǎng)上，那么一旦發(fā)出廣播信息，就會傳遍整個網(wǎng)絡(luò)，并且對網(wǎng)絡(luò)中的主機帶來額外的負擔。6.3.4 使用VLAN分割廣播域廣播域的分割與VLAN的必要性： 分割廣播域時，一般都必須

14、使用到路由器。使用路由器后，可以以路由器上的網(wǎng)絡(luò)接口（LAN Interface）為單位分割廣播域。但是，路由器分割廣播域，所能分割的個數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個數(shù)，使得用戶無法自由地根據(jù)實際需要分割廣播域。 與路由器相比，二層交換機一般帶有多個網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。用于在二層交換機上分割廣播域的技術(shù)，就是VLAN。通過利用VLAN，我們可以自由設(shè)計廣播域的構(gòu)成，提高網(wǎng)絡(luò)設(shè)計的自由度。6.3.4 使用VLAN分割廣播域如何使用VLAN分割廣播域： 在一臺未設(shè)置任何VLAN的二層交換機上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Fl

15、ooding）。例如，計算機A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口2、3、4。 6.3.4 使用VLAN分割廣播域如何使用VLAN分割廣播域： 在交換機上生成紅、藍兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。再從A發(fā)出廣播幀的話，交換機就只會把它轉(zhuǎn)發(fā)給同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍色VLAN的端口。 6.3.4 使用VLAN分割廣播域如何使用VLAN分割廣播域： 直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機。VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法

16、通信的。 6.3.4 使用VLAN分割廣播域VLAN間如何通信？ VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務，這被稱作“VLAN間路由”。 VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。6.3.4 使用VLAN分割廣播域交換機的端口 交換機的端口，可以分為以下兩種：訪問鏈接（Access Link）匯聚鏈接（Trunk Link）6.3.5 VLAN的訪問鏈接訪問鏈接 訪問鏈接：指的是“只屬于一個VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下，訪問鏈接所連的是用戶端。通

17、常設(shè)置VLAN的順序是：生成VLAN設(shè)定訪問鏈接（決定各端口屬于哪一個VLAN）設(shè)定訪問鏈接的手法：靜態(tài)VLAN、動態(tài)VLAN6.3.5 VLAN的訪問鏈接主機A主機B主機C主機D以太網(wǎng)交換機VLAN表端口所屬VLANPort 1VLAN 5Port 2VLAN 10Port 7VLAN 5Port 10VLAN 10Port 1Port 2Port 7Port 101）基于端口的靜態(tài)VLAN基于端口的靜態(tài)VLAN特點是劃分簡單，缺點是當用戶一個端口移動到另一個端口時，網(wǎng)絡(luò)管理員必對VLAN原進配置。VLAN表MAC地址所屬VLANMAC AMAC BMAC CMAC DVLAN 10VLAN

18、 5VLAN 10VLAN 5主機A主機B主機C主機D以太網(wǎng)交換機MAC AMAC BMAC CMAC DVMPS服務器通過MAC地址數(shù)據(jù)庫將MAC地址映射成相應的VLAN基于MAC地址的動態(tài)VLANVMPS服務器2）基于MAC地址的動態(tài)VLAN基于MAC地址動態(tài)VLAN的工作原理1.PC機連接到交換機的某個端口，該端口被激活。交換機緩存該PC的MAC地址2.交換機向VMPS （VLAN管理策略服務器，對于cisco設(shè)備，要使用CISCOWORK2000作為VLAN管理策略服務器）請求下載VLAN 和MAC地址映射對應表的文件3.對PC的MAC地址進行查詢比較，把該端口分配到對應的VLAN中間

19、；如果沒有該MAC地址的映射，該端口不激活源MAC地址0000.6509.a080第一個幀的源MAC地址被緩存與端口1/1連接VMPS被要求下載數(shù)據(jù)庫，并檢查源MAC地址端口1/1應分配至哪個VLAN地址00a0.24a6.fdde vlan- 名字會計地址0000.6509.a080 vlan- 名字管理地址aabb.ccdd.eeff vlan- 名字工程地址1223.5678.9abc vlan- 名字HRVLAN端口將分配給管理VLAN源MAC地址0000.6509.a080地址00a0.24a6.fdde vlan- 名字會計地址0000.6509.a080 vlan- 名字管理地址

20、aabb.ccdd.eeff vlan- 名字工程地址1223.5678.9abc vlan- 名字HR4、 VLAN間及VLAN內(nèi)的通信1234交換機廣播幀交換機收到廣播幀后，只轉(zhuǎn)發(fā)到屬于同一VLAN的其他端口。廣播域廣播幀廣播域6.3.6VLAN內(nèi)的通信我們從以下兩種情況討論在一個交換機上的同一VLAN內(nèi)通信在不同交換機上的同一VLAN內(nèi)通信同一個交換機1234交換機物理上邏輯上不同交換機交換機1交換機2ACBDA與C ,B與D通信交換機1交換機2ACBD每增加一個VLAN，都需要添加一條互聯(lián)網(wǎng)線，并且還需要額外的端口。上述措施擴展性和管理效率來看都不好 .交換機間互聯(lián)的網(wǎng)線集中到一根上，

21、這時使用的就是匯聚鏈接（Trunk Link）.VLAN的訪問鏈接訪問鏈接的總結(jié) 設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動態(tài)VLAN兩種，其中動態(tài)VLAN又可以繼續(xù)細分成幾個小類。 并且，決定端口所屬VLAN時利用的信息在OSI中的層面越高，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。 如何設(shè)置跨越多臺交換機的VLAN 最關(guān)鍵的就是“交換機1和交換機2該如何連接才好呢？”6.4 Trunk技術(shù)最簡單的方法，自然是在交換機1和交換機2上各設(shè)一個紅、藍VLAN專用的接口并互聯(lián)了。 但是，這個辦法從擴展性和管理效率來看都不好。例如，在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時，為了讓這個VLAN能夠互通，就需要在交換機間連接新的網(wǎng)

22、線。于是需引入一種概念將交換機間互聯(lián)的網(wǎng)線集中到一根上，這時使用的就是匯聚鏈接（Trunk Link）。6.4 Trunk技術(shù)6.4 Trunk技術(shù)何謂匯聚鏈接？ 匯聚鏈接（Trunk Link）指的是能夠轉(zhuǎn)發(fā)多個不同VLAN的通信的端口。匯聚鏈路上流通的數(shù)據(jù)幀，都被附加了用于識別分屬于哪個VLAN的特殊信息。通過匯聚鏈路時附加的VLAN識別信息，有可能支持標準的“IEEE 802.1Q”協(xié)議，也可能是Cisco產(chǎn)品獨有的“ISL（Inter Switch Link）”。 匯聚鏈接過程 6.4 Trunk技術(shù)6.4.1 VLAN間路由VLAN間路由的必要性 根據(jù)目前為止學習的知識，我們已經(jīng)知道

23、兩臺計算機即使連接在同一臺交換機上，只要所屬的VLAN不同就無法直接通信。因為在LAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標的MAC地址。而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。也就是說，如果廣播報文無法到達，那么就無從解析MAC地址，亦即無法直接通信。不同的VLAN如何互通？ 計算機分屬不同的VLAN，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網(wǎng)絡(luò)層的信息（IP地址）來進行路由。 路由功能，一般主要由路由器提供。但

24、在今天的局域網(wǎng)里，我們也經(jīng)常利用帶有路由功能的交換機三層交換機（Layer 3 Switch）來實現(xiàn)。 6.4.1 VLAN間路由使用路由器進行VLAN間路由 在使用路由器進行VLAN間路由時，與構(gòu)建橫跨多臺交換機的VLAN時的情況類似，我們還是會遇到“該如何連接路由器與交換機”這個問題。路由器和交換機的接線方式，大致有以下兩種： 將路由器與交換機上的每個VLAN分別連接不論VLAN有多少個，路由器與交換機都只用一條網(wǎng)線連接6.4.1 VLAN間路由將路由器與交換機上的每個VLAN分別連接6.4.1 VLAN間路由匯聚鏈接6.4.1 VLAN間路由同一VLAN內(nèi)的通信 使用匯聚鏈路連接交換機與

25、路由器時，VLAN間路由是如何進行的 ？6.4.1 VLAN間路由首先考慮計算機A與同一VLAN內(nèi)的計算機B之間通信時的情形 計算機A發(fā)出ARP請求信息，請求解析B的MAC地址。交換機收到數(shù)據(jù)幀后，檢索MAC地址列表中與收信端口同屬一個VLAN的表項。結(jié)果發(fā)現(xiàn)，計算機B連接在端口2上，于是交換機將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2，最終計算機B收到該幀。收發(fā)信雙方同屬一個VLAN之內(nèi)的通信，一切處理均在交換機內(nèi)完成。6.4.1 VLAN間路由不同VLAN間通信時數(shù)據(jù)的流程 接下來是這一講的核心內(nèi)容，不同VLAN間的通信。讓我們來考慮一下計算機A與計算機C之間通信時的情況。 6.4.1 VLAN間路由不同VLA

26、N間通信時數(shù)據(jù)的流程 計算機A從通信目標的IP地址（192.168.2.1）得出C與本機不屬于同一個網(wǎng)段。因此會向設(shè)定的默認網(wǎng)關(guān)（Default Gateway，GW）轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前，需要先用ARP獲取路由器的MAC地址。得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀。的數(shù)據(jù)幀中，目標MAC地址是路由器的地址R、但內(nèi)含的目標IP地址仍是最終要通信的對象C的地址。6.4.1 VLAN間路由 交換機在端口1上收到的數(shù)據(jù)幀后，檢索MAC地址列表中與端口1同屬一個VLAN的表項。由于匯聚鏈路會被看作屬于所有的VLAN，因此這時交換機的端口6也屬于被參照對象。這樣

27、交換機就知道往MAC地址R發(fā)送數(shù)據(jù)幀，需要經(jīng)過端口6轉(zhuǎn)發(fā)。 從端口6發(fā)送數(shù)據(jù)幀時，由于它是匯聚鏈接，因此會被附加上VLAN識別信息。由于原先是來自紅色VLAN的數(shù)據(jù)幀，因此如圖中所示，會被加上紅色VLAN的識別信息后進入?yún)R聚鏈路。路由器收到的數(shù)據(jù)幀后，確認其VLAN識別信息，由于它是屬于紅色VLAN的數(shù)據(jù)幀，因此交由負責紅色VLAN的子接口接收。不同VLAN間通信時交換機處理過程6.4.1 VLAN間路由 接著，根據(jù)路由器內(nèi)部的路由表，判斷該向哪里中繼。 由于目標網(wǎng)絡(luò)192.168.2.0/24是藍色VLAN，且該網(wǎng)絡(luò)通過子接口與 路由器直連，因此只要從負責藍色VLAN的子接口轉(zhuǎn)發(fā)就可以了。這

28、時，數(shù)據(jù)幀的目標MAC地址被改寫成計算機C的目標地址；并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)，因此被附加了屬于藍色VLAN的識別信息。這就是圖中的數(shù)據(jù)幀。 交換機收到的數(shù)據(jù)幀后，根據(jù)VLAN標識信息從MAC地址列表中檢索屬于藍色VLAN的表項。由于通信目標計算機C連接在端口3上、且端口3為普通的訪問鏈接，因此交換機會將數(shù)據(jù)幀除去VLAN識別信息后（數(shù)據(jù)幀）轉(zhuǎn)發(fā)給端口3，最終計算機C才能成功地收到這個數(shù)據(jù)幀。 進行VLAN間通信時，即使通信雙方都連接在同一臺交換機上，也必須經(jīng)過： 發(fā)送方交換機路由器交換機接收方不同VLAN間通信時交換機處理過程6.4.1 VLAN間路由6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)

29、絡(luò)構(gòu)成的變化使用VLAN設(shè)計局域網(wǎng)的特點 通過使用VLAN構(gòu)建局域網(wǎng)，用戶能夠不受物理鏈路的限制而自由地分割廣播域。另外，通過先前提到的路由器與三層交換機提供的VLAN間路由，能夠適應靈活多變的網(wǎng)絡(luò)構(gòu)成。但是，由于利用VLAN容易導致網(wǎng)絡(luò)構(gòu)成復雜化，因此也會造成整個網(wǎng)絡(luò)的組成難以把握?？梢赃@樣說，在利用VLAN時，除了有：網(wǎng)絡(luò)構(gòu)成靈活多變這個優(yōu)點外，還搭配著：網(wǎng)絡(luò)構(gòu)成復雜化這個缺點。不使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變 現(xiàn)在如果想將192.168.1.0/24這個網(wǎng)絡(luò)上的計算機A轉(zhuǎn)移到192.168.2.0/24上去，就需要改變物理連接、將A接到右側(cè)的交換機上。并且，當需要新增一個地址為19

30、2.168.3.0/24的網(wǎng)絡(luò)時，還要在路由器上再占用一個LAN接口并添置一臺交換機。而由于這臺路由器上只帶了2個LAN接口，因此為了新增網(wǎng)絡(luò)還必須將路由器升級為帶有3個以上LAN接口的產(chǎn)品。 圖中的路由器，只帶有2個LAN接口6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變 需要將連接在交換機1上192.168.1.0/24這個網(wǎng)段的計算機A轉(zhuǎn)屬192.168.2.0/24時，無需更改物理布線。只要在交換機上生成藍色VLAN，然后將計算機A所連的端口1加入到藍色VLAN中去，使它成為訪問鏈接即可。 6.4.2

31、 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變利用VLAN后，我們可以在免于改動任何物理布線的前提下，自由進行網(wǎng)絡(luò)的邏輯設(shè)計。如果所處的工作環(huán)境恰恰需要經(jīng)常改變網(wǎng)絡(luò)布局，那么利用VLAN的優(yōu)勢就非常明顯了。并且，當需要新增一個地址為192.168.3.0/24的網(wǎng)段時，也只需要在交換機上新建一個對應192.168.3.0/24的VLAN，并將所需的端口加入它的訪問鏈路就可以了。如果網(wǎng)絡(luò)環(huán)境中還需要利用外部路由器，則只要在路由器的匯聚端口上新增一個子接口的設(shè)定就可以完成全部操作，而不需要消耗更多的物理接口（LAN接口）。6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化

32、利用VLAN而導致的網(wǎng)絡(luò)結(jié)構(gòu)復雜化 雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò)，但是同時，它也帶來了網(wǎng)絡(luò)結(jié)構(gòu)復雜化的問題。 特別是由于數(shù)據(jù)流縱橫交錯，一旦發(fā)生故障時，準確定位并排除故障會比較困難。 6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化 為了便于理解數(shù)據(jù)流向的復雜化，假設(shè)有下圖所示的網(wǎng)絡(luò)。計算機A向計算機C發(fā)送數(shù)據(jù)時，數(shù)據(jù)流的整體走向如下： 計算機A交換機1路由器交換機1交換機2計算機C利用VLAN而導致的網(wǎng)絡(luò)結(jié)構(gòu)復雜化 6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化網(wǎng)絡(luò)的邏輯結(jié)構(gòu)與物理結(jié)構(gòu) 為了對應日漸復雜化的數(shù)據(jù)流，排查故障需要從“邏輯結(jié)構(gòu)”與“物理結(jié)構(gòu)”兩方面入手，把握好網(wǎng)絡(luò)的現(xiàn)狀。

33、物理結(jié)構(gòu)：指的是從物理層和數(shù)據(jù)鏈路層觀察到的網(wǎng)絡(luò)的現(xiàn)狀，表示了網(wǎng)絡(luò)的物理布線形態(tài)和VLAN的設(shè)定等等。邏輯結(jié)構(gòu)：表示從網(wǎng)絡(luò)層以上的層面觀察到的網(wǎng)絡(luò)結(jié)構(gòu)。下面我們就試著以路由器為中心分析一個IP網(wǎng)絡(luò)的邏輯結(jié)構(gòu)6.4.2 使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的變化網(wǎng)絡(luò)的邏輯結(jié)構(gòu)與物理結(jié)構(gòu) 分析這個物理結(jié)構(gòu)并轉(zhuǎn)換成以路由器為中心的邏輯結(jié)構(gòu)。當我們需要進行路由或是數(shù)據(jù)包過濾的設(shè)定時，都必須在邏輯結(jié)構(gòu)的基礎(chǔ)上進行。補充：802.1Q和ISL交換機之間傳輸多個vlan信息的。舉個例子:假如這個時候Sw1上銷售部的一個名員工與Sw2上的銷售部員工發(fā)了個消息hello.而同一時間Sw1上研發(fā)部的一個名員工與Sw2上

34、的研發(fā)部員工也發(fā)了個消息hello.交換機1和交換機2怎么區(qū)分哪句hello是銷售部,哪句是研發(fā)部的呢?在中間鏈路上默認是不能支持傳輸多個vlan信息的.現(xiàn)在啟用了Trunk或者ISL封裝,就相當于打了個標記.比如vlan10| hello或者vlan20 |hello就可以區(qū)分了.802.1Q和ISL就是做這個操作.1.ISL是Cisco的一個私有協(xié)議，與EIGRP一樣，只有Cisco的設(shè)備才能夠使用，與其他廠商不兼容。802.1Q是工業(yè)標準。所有的廠商都能夠使用，比如H3C，Cisco，Juniper，愛立信等。2.他們的封裝方式不一樣。802.1Q是在不破壞原數(shù)據(jù)幀的情況下在中間插入了區(qū)

35、分Vlan的信息；而ISL相當于在外面再打了一層包.在原數(shù)據(jù)幀的頭尾都加了東西。3.因為封裝的形式不同，導致ISL與沒有做ISL封裝的普通數(shù)據(jù)幀無法識別，無法通信；而802.1Q沒有破壞原數(shù)據(jù)幀結(jié)構(gòu)，所以802.1Q可以與沒有做Trunk封裝的標準數(shù)據(jù)幀兼容，正常通信。結(jié)論：802.1Q比ISL好用。所以盡可能的使用802.1Q封裝。而且ISL的私有性也決定了它使用的會比標準少。6.5 VTP協(xié)議VLAN Trunk Protocol從一個控制點，維護整個企業(yè)網(wǎng)上VLAN的添加、刪除和重命名工作VLAN 2 name abcVLAN 3 name defVTP域VTP通告6.5.1 VTP域V

36、TP域的組成相同域名的，通過Trunk相互連接的，一組交換機域名：abcVTP域的服務器使用Trunk連接6.5.2 VTP的運行模式4-1VTP模式有3種服務器模式（Server）客戶機模式（Client）透明模式（Transparent）6.5.2 VTP的運行模式4-2Server模式VTP域：test模式：Server提供VTP消息：包括VLAN ID和名字信息學習相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息可以添加、刪除和更改VLANVTP域：test模式：ServerVTP域：abc模式：Server不同域名： 不學習 不轉(zhuǎn)發(fā)VLAN 2 name AAVLAN 2 name AA

37、VLAN 2 name AAVLAN 2 name AA6.5.2 VTP的運行模式4-3Client模式VTP域：test模式：ServerVTP域：test模式：Client請求VTP消息學習相同域名的VTP消息轉(zhuǎn)發(fā)相同域名的VTP消息不可以添加、刪除和更改VLANVTP域：test模式：ClientVLAN 2 name AAVLAN 2 name AAVLAN 2 name AAVLAN 3 name BB不生效不同域名： 不學習 不轉(zhuǎn)發(fā)6.5.2 VTP的運行模式4-4Transparent模式VTP域：test模式：ServerVTP域：test模式：TransparentVTP域

38、：test模式：Client不提供VTP消息不學習VTP消息轉(zhuǎn)發(fā)VTP消息可以添加、刪除和更改VLAN，只在本地有效VLAN 2 name AAVLAN 2 name AAVLAN 3 name BB只在本地生效6.5.3 VTP通告4-1VTP通告客戶機的通告請求獲取VLAN信息交換機重新啟動后 VTP域名變更后 交換機接收到了配置修訂號大的匯總通告服務器的通告響應發(fā)送VLAN信息匯總通告 用于通知鄰接的Catalyst交換機目前的VTP域名和 配置修訂編號；每隔300秒一次，或配置改變的時候發(fā)送通告子集通告 包含VLAN的詳細信息 VTP通告： 使用組播發(fā)送，地址為01-00-0c-cc-

39、cc-cc 只通過中繼端口傳遞 VTP消息通過VLAN 1傳送6.5.3 VTP通告4-2匯總通告版本（1字節(jié)）編碼（1字節(jié)）后續(xù)通告數(shù)（1字節(jié)）管理域名長度（1字節(jié)）管理域名（32字節(jié)）配置修改編號（4字節(jié)）更新者標識（4字節(jié)）更新時間戳（12字節(jié)）MD5摘要（16字節(jié)）VTP有2個版本，之間的區(qū)別是版本1的透明模式的交換機只轉(zhuǎn)發(fā)相同域名的VTP信息，而版本2的都轉(zhuǎn)發(fā)表明消息類型是匯總通告還是子集表明VTP匯總通告后面跟著多少個子集通告標識域名的長度指出VTP域名從0開始，當配置更新時，向外發(fā)送的VTP通告修訂號加1，接收通告的交換機看到比原有的配置修訂號更大的通告，就用新的配置覆蓋已有的V

40、LAN信息發(fā)送更新的交換機的管理IP地址更新的時間VTP口令和VTP首部的哈希值，如果口令不匹配，更新將被忽略；在交換機上配置VTP口令，用于保證交換網(wǎng)絡(luò)VLAN配置的安全性6.5.3 VTP通告4-3子集通告版本（1字節(jié)）編碼（1字節(jié)）序號（1字節(jié)）管理域名長度（1字節(jié)）管理域名（32字節(jié)）配置修改編號（4字節(jié)）VLAN信息字段1 VLAN信息字段n6.5.3 VTP通告4-4通告請求版本（1字節(jié)）編碼（1字節(jié)）Rsvd管理域名長度（1字節(jié)）管理域名（32字節(jié)）起始值（1字節(jié)）在有多個子集通告的情況下，如果從第n個子集通告沒有收到，則起始值為n，表示請求發(fā)送從n開始的所有子集通告；如果起始值

41、為0，表示請求所有子集通告VTP 的作用方式802.1Q TrunksVTP 裁剪-修剪功能默認為禁用-啟動vtp 修剪 使用命令： vtp pruning 6.5.4 VTP 裁剪VTP 修剪的作用方式-沒有使用VTP 修剪前6.5.4 VTP 裁剪VTP 修剪的作用方式-使用VTP 修剪后6.5.4 VTP 裁剪啟動VTP 修剪 案例拓撲：6.5.4 VTP 裁剪階段總結(jié)VTP的功能可以在單個交換機上管理整個交換網(wǎng)絡(luò)內(nèi)的的VLANVTP的工作原理VTP域VTP域成員的3種模式VTP通告VTP裁剪6.6 VTP綜合實例VTP 配置3-1創(chuàng)建VTP 域 switch(config)# vtp

42、domian domain_name配置交換機的VTP模式 switch(config)# vtp mode server | client | transparentVTP配置3-2配置VTP口令 switch(config)# vtp password password 配置VTP修剪 switch(config)# vtp pruningVTP版本的配置 switch(config)# vtp version 2 VTP配置3-3查看VTP的配置 switch# show vtp status VTP配置實例 20-1ABCf0/23f0/23f0/22f0/22VLAN 2VLAN 3

43、VLAN 2VLAN 3VLAN 2VLAN 3Port 2-3Port 4-5VTP域名：testVTP模式：ServerVlan 1:192.168.1.1/24VTP配置實例 20-2在SwA上配置VTPSwA(config)# vtp domain testChanging VTP domain name from null to testSwA(config)# vtp mode serverDevice mode already VTP SERVER.SwA(config)#interface fastEthernet 0/23SwA(config-if)#switchport m

44、ode trunk 配置交換機的VTP域名為test配置交換機的VTP運行模式為服務器模式配置交換機之間連接的端口為trunkVTP配置實例 20-3ABCf0/23f0/23f0/22f0/22VLAN 2VLAN 3VLAN 2VLAN 3VLAN 2VLAN 3Port 2-3Port 4-5VTP域名：testVTP模式：ClientVTP配置實例 20-4在SwB上配置VTPSwB(config)# vtp domain testChanging VTP domain name from null to testSwB(config)# vtp mode clientDevice m

45、ode already VTP CLIENT mode.SwB(config)#interface fastEthernet 0/22SwB(config-if)#switchport mode trunkSwB(config)#interface fastEthernet 0/23SwB(config-if)#switchport mode trunkVTP配置實例 20-5在SwA上添加VLANSwA#vlan database SwA(vlan)#vlan 2 name salesVLAN 2 added: Name: salesSwA(vlan)#vlan 3 name develop

46、VLAN 3 added: Name: developSwA(vlan)#exitAPPLY completed.Exiting.VTP配置實例 20-6在SwA的VLAN中添加端口SwA(config)#interface range fastEthernet 0/2 - 3SwA(config-if-range)#switchport access vlan 2SwA(config)#interface range fastEthernet 0/4 - 5SwA(config-if-range)#switchport access vlan 3VTP配置實例 20-7配置SwA的管理IP地

47、址SwA(config)#interface vlan 1SwA(config-if)#ip address 192.168.1.1 255.255.255.0SwA(config-if)#no shutdown為了查看方便，為SwA配置管理IP地址，否則顯示的更新者標識中的地址為0.0.0.0VTP配置實例 20-8在SwA上查看VLAN信息SwA#show vlan briefVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/1

48、3, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/242 sales active Fa0/2, Fa0/33 develop active Fa0/4, Fa0/51002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default activeVTP配置實例 20-9在SwA上查看VTP狀態(tài)信息SwA#show vtp status VTP Versio

49、n : 2Configuration Revision : 2Maximum VLANs supported locally : 64Number of existing VLANs : 7VTP Operating Mode : ServerVTP Domain Name : testVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0 x34 0 x9D 0 xE1 0 x18 0 x50 0 x4C 0 xC1 0 xD0 Configuration l

50、ast modified by 192.168.1.1 at 7-27-06 11:27:16Local updater ID is 192.168.1.1 on interface Vl1 (lowest numbered VLAN interface found)可以支持VTP版本2VTP的配置修訂號沒有使用VTP版本2MD5摘要信息更新者信息VTP的運行模式是ServerVTP域名為test沒有啟用VTP修剪共支持64個VLANVTP配置實例 20-10在SwB上查看VLAN信息SwB#show vlan briefVLAN Name Status Ports- - - -1 defau

51、lt active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/242 sales active 3 develop active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005

52、trnet-default act/unsup已經(jīng)通過VTP協(xié)議學習到了VLAN的信息，但是不學習VLAN中添加的端口VTP配置實例 20-11在SwB上查看VTP信息SwB#show vtp statusVTP Version : 2Configuration Revision : 2Maximum VLANs supported locally : 64Number of existing VLANs : 7VTP Operating Mode : ClientVTP Domain Name : testVTP Pruning Mode : DisabledVTP V2 Mode : Di

53、sabledVTP Traps Generation : DisabledMD5 digest : 0 x34 0 x9D 0 xE1 0 x18 0 x50 0 x4C 0 xC1 0 xD0 Configuration last modified by 192.168.1.1 at 7-27-06 11:27:16VTP配置實例 20-12ABCf0/23f0/23f0/22f0/22VLAN 2VLAN 3VLAN 2VLAN 3VLAN 2VLAN 3Port 2-3Port 4-5請完成VTP域名：testVTP模式：ClientVTP配置實例 20-13配置SwA的VTP口令SwA

54、(config)#vtp password ciscoSetting device VLAN database password to cisco修改SwA的VLAN配置，添加VLAN 4SwA#vlan databaseSwA(vlan)#vlan 4 name marketVLAN 4 added: Name: marketSwA(vlan)#exitVTP配置實例 20-14查看SwA的VTP信息SwA#show vtp statusVTP Version : 2Configuration Revision : 3Maximum VLANs supported locally : 64N

55、umber of existing VLANs : 8VTP Operating Mode : ServerVTP Domain Name : testVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0 xBE 0 x93 0 x37 0 xDD 0 xE5 0 x27 0 x30 0 x9D Configuration last modified by 192.168.1.1 at 7-27-06 13:42:38Local updater ID is 1

56、92.168.1.1 on interface Vl1 (lowest numbered VLAN interface found)配置修訂號增加1VTP配置實例 20-15在SwB沒有配置VTP口令的情況下查看VTP信息SwB#show vtp statusVTP Version : 2Configuration Revision : 2Maximum VLANs supported locally : 64Number of existing VLANs : 7VTP Operating Mode : ClientVTP Domain Name : testVTP Pruning Mode

57、 : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0 x34 0 x9D 0 xE1 0 x18 0 x50 0 x4C 0 xC1 0 xD0 Configuration last modified by 192.168.1.1 at 7-27-06 11:27:16配置修訂號沒變VTP配置實例 20-16查看VLAN信息SwB#show vlan brief VLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3

58、, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/242 sales active 3 develop active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 新的VLA

59、N信息也沒有學到VTP配置實例 20-17配置SwB的VTP密碼SwB(config)#vtp password ciscoSetting device VLAN database password to ciscoVTP配置實例 20-18查看SwB的VTP信息SwB#show vtp statusVTP Version : 2Configuration Revision : 3Maximum VLANs supported locally : 64Number of existing VLANs : 8VTP Operating Mode : ClientVTP Domain Name :

60、 testVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0 xBE 0 x93 0 x37 0 xDD 0 xE5 0 x27 0 x30 0 x9D Configuration last modified by 192.168.1.1 at 7-27-06 13:42:38等到SwA發(fā)送匯總通告時，SwB發(fā)現(xiàn)配置修訂號發(fā)生了變更，會發(fā)送通告請求，SwA會發(fā)送攜帶VLAN信息的子集通告VTP配置實例 20-19查看SwB的VLAN信息SwB#show vl