虛擬局域網(wǎng)及其配置

1、13.1 虛擬局域網(wǎng)簡(jiǎn)介 虛擬局域網(wǎng)（Virtual Local Area Network）通常簡(jiǎn)稱(chēng)為VLAN。它是將局域網(wǎng)從邏輯上劃分為一個(gè)個(gè)的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種交換技術(shù)。使用集線器或交換機(jī)所構(gòu)成的一個(gè)物理局域網(wǎng)，整個(gè)網(wǎng)絡(luò)屬于同一個(gè)廣播域。網(wǎng)橋、集線器和交換機(jī)設(shè)備都會(huì)轉(zhuǎn)發(fā)廣播幀，因此任何一個(gè)廣播幀或多播幀（Multicast Frame）都將被廣播到整個(gè)局域網(wǎng)中的每一臺(tái)主機(jī)。在網(wǎng)絡(luò)通訊中，廣播信息是普遍存在的 ，這些廣播幀將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。目前，蠕蟲(chóng)病毒相當(dāng)泛濫，如果不對(duì)局域網(wǎng)進(jìn)行有效的廣播域隔離，

2、一旦病毒發(fā)起泛洪廣播攻擊，將會(huì)很快占用完網(wǎng)絡(luò)的帶寬，導(dǎo)致網(wǎng)絡(luò)的阻塞和癱瘓。 2路由器具有路由轉(zhuǎn)發(fā)、防火墻和隔離廣播的作用，路由器不會(huì)轉(zhuǎn)發(fā)廣播幀，因此，要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的分段和廣播域的隔離，應(yīng)使用路由器來(lái)實(shí)現(xiàn)。可以使用路由器上的以太網(wǎng)接口為單位來(lái)劃分網(wǎng)段，從而實(shí)現(xiàn)對(duì)廣播域的分割和隔離。路由器所能劃分出的網(wǎng)段，取決于路由器上以太網(wǎng)接口的數(shù)目，但通常情況下，路由器所帶的以太網(wǎng)接口數(shù)量很少，一般為14個(gè)，遠(yuǎn)遠(yuǎn)不能滿足對(duì)網(wǎng)絡(luò)分段的需要，而交換機(jī)則配備有較多的以太網(wǎng)端口，為了實(shí)現(xiàn)利用交換機(jī)端口來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行分段隔離，從而誕生了VLAN交換技術(shù)。 一個(gè)VLAN就是一個(gè)網(wǎng)段，通過(guò)在交換機(jī)上劃分VLAN，可將一個(gè)大的

3、局域網(wǎng)劃分成若干個(gè)網(wǎng)段，每個(gè)網(wǎng)段內(nèi)所有主機(jī)間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會(huì)被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個(gè)VLAN就是一個(gè)廣播域，VLAN間是不能進(jìn)行直接通信的，從而就實(shí)現(xiàn)了對(duì)廣播域的分割和隔離。3若要實(shí)現(xiàn)VLAN間的通訊，就必須為VLAN設(shè)置路由，這可使用路由器或三層交換機(jī)來(lái)實(shí)現(xiàn)。二層交換機(jī)可以劃分VLAN，若沒(méi)有路由器，則無(wú)法實(shí)現(xiàn)VLAN間的通訊，由于三層交換機(jī)具備路由功能，在實(shí)際應(yīng)用中，通常在三層交換機(jī)中來(lái)劃分VLAN，以支持VLAN間的相互通訊。從中可見(jiàn)，通過(guò)在局域網(wǎng)中劃分VLAN，可起到以下方面的作用： 控制網(wǎng)絡(luò)的廣播，增加廣播域的數(shù)量，減小廣播域的大小。 便于對(duì)網(wǎng)絡(luò)進(jìn)行管理和控

4、制。VLAN是對(duì)端口的邏輯分組，不受任何物理連接的限制，同一VLAN中的用戶，可以連接在不同的交換機(jī)，并且可以位于不同的物理位置，增加了網(wǎng)絡(luò)連接、組網(wǎng)和管理的靈活性。 4增加網(wǎng)絡(luò)的安全性。由于默認(rèn)情況下，VLAN間是相互隔離的，不能直接通訊，對(duì)于保密性要求較高的部門(mén)，比如財(cái)務(wù)處，可將其劃分在一個(gè)VLAN中，這樣，其他VLAN中的用戶，將不能訪問(wèn)該VLAN中的主機(jī)，從而起到了隔離作用，并提高了VLAN中用戶的安全性。VLAN間的通訊，可通過(guò)應(yīng)用VLAN的訪問(wèn)控制列表，來(lái)實(shí)現(xiàn)VLAN間的安全通訊。 53.2 靜態(tài)VLAN與動(dòng)態(tài)VLAN VLAN創(chuàng)建后，接下來(lái)就可指定端口所屬的VLAN，默認(rèn)情況下，

5、交換機(jī)的所有端口均屬于VLAN1，VLAN1是交換機(jī)默認(rèn)創(chuàng)建和管理的VLAN。 1靜態(tài)VLAN靜態(tài)VLAN就是明確指定各端口所屬VLAN的設(shè)定方法，通常也稱(chēng)為基于端口的VLAN，其特點(diǎn)是將交換機(jī)按端口進(jìn)行分組，每一組定義為一個(gè)VLAN，屬于同一個(gè)VLAN的端口，可來(lái)自一臺(tái)交換機(jī)，也可來(lái)自多臺(tái)交換機(jī)，即可以跨越多臺(tái)交換機(jī)設(shè)置VLAN?；诙丝诘腣LAN劃分如下圖所示。 6靜態(tài)指定各端口所屬的VLAN，需要一個(gè)端口一個(gè)端口地進(jìn)行設(shè)置，當(dāng)要設(shè)定的端口數(shù)目較多時(shí)，工作量會(huì)比較大，通常適合于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不是經(jīng)常變化的情況。靜態(tài)VLAN是目前最常用的一種VLAN端口劃分方式。 2動(dòng)態(tài)VLAN動(dòng)態(tài)VLAN是

6、根據(jù)每個(gè)端口所連的計(jì)算機(jī)，動(dòng)態(tài)設(shè)置端口所屬VLAN的設(shè)定方法。動(dòng)態(tài)VLAN通?？煞譃榛贛AC地址的VLAN、基于子網(wǎng)的VLAN和基于用戶的VLAN?；贛AC地址的VLAN，就是根據(jù)端口所連計(jì)算機(jī)的網(wǎng)卡MAC地址，來(lái)決定該端口所屬的VLAN。在這種方式下，端口所屬的VLAN，不是事先固定的，而是由所連計(jì)算機(jī)的MAC地址來(lái)決定的。比如，若MAC地址為“00-0C-6E-E1-1B-36”的計(jì)算機(jī)被設(shè)置為屬于VLAN2，則該臺(tái)計(jì)算機(jī)無(wú)論接到交換機(jī)的哪個(gè)端口，其所連端口就會(huì)被自動(dòng)劃歸為VLAN2?；谧泳W(wǎng)的VLAN，是根據(jù)端口所連計(jì)算機(jī)的IP地址，來(lái)決定端口所屬的VLAN?；谟脩舻腣LAN，是根

7、據(jù)端口所連計(jì)算機(jī)的當(dāng)前登錄用戶，來(lái)決定該端口所屬的LAN。 73.3 VLAN的匯聚鏈接與封裝協(xié)議 在實(shí)際應(yīng)用中，通常需要跨越多臺(tái)交換機(jī)的多個(gè)端口劃分VLAN，比如，同一個(gè)部門(mén)的員工，可能會(huì)分布在不同的建筑物或不同的樓層中，此時(shí)的VLAN，就將跨越多臺(tái)交換機(jī) ?？缭蕉嗯_(tái)交換機(jī)的VLAN 8VLAN內(nèi)的主機(jī)彼此間應(yīng)可以自由通訊，當(dāng)VLAN成員分布在多臺(tái)交換機(jī)的端口上時(shí)，如何才能實(shí)現(xiàn)彼此間的通訊呢？解決的辦法就是在交換機(jī)上各拿出一個(gè)端口，用于將兩臺(tái)交換機(jī)級(jí)聯(lián)起來(lái)，專(zhuān)門(mén)用于提供該VLAN內(nèi)的主機(jī)跨交換機(jī)相互通訊。有多少個(gè)VLAN，就對(duì)應(yīng)地需要占用多少個(gè)端口，用來(lái)提供VLAN內(nèi)主機(jī)的跨交換機(jī)相互通訊，

8、如下圖所示。 VLAN內(nèi)的主機(jī)在交換機(jī)間的通訊 9這種方法雖然解決了VLAN內(nèi)主機(jī)間的跨交換機(jī)通訊，但每增加一個(gè)VLAN，就需要在交換機(jī)間添加一條互聯(lián)鏈路，并且還要額外占用交換機(jī)端口，這對(duì)保貴的交換機(jī)端口而言，是一種嚴(yán)重的浪費(fèi)，而且擴(kuò)展性和管理效率都很差。為了避免這種低效率的連接方式和對(duì)交換機(jī)端口的大量占用，人們想辦法讓交換機(jī)間的互聯(lián)鏈路匯集到一條鏈路上，讓該鏈路允許各個(gè)VLAN的通訊流經(jīng)過(guò)，這樣就可解決對(duì)交換機(jī)端口的額外占用，這條用于實(shí)現(xiàn)各VLAN在交換機(jī)間通訊的鏈路，稱(chēng)為交換機(jī)的匯聚鏈路或主干鏈路（Trunk Link），如下圖所示。用于提供匯聚鏈路的端口，稱(chēng)為匯聚端口。由于匯聚鏈路承載了

9、所有VLAN的通訊流量，因此要求只有通訊速度在100Mbps或以上的端口，才能作為匯聚端口使用。10在引入VLAN后，交換機(jī)的端口按用途就分為了訪問(wèn)連接端口（Access Link）和匯聚連接（Trunk Link）端口兩種。訪問(wèn)連接端口通常用于連接客戶PC機(jī)，以提供網(wǎng)絡(luò)接入服務(wù)。該種端口只屬于某一個(gè)VLAN，并且僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。端口所屬的VLAN通常也稱(chēng)作native vlan。匯聚連接端口屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通訊流量。利用匯聚鏈路實(shí)現(xiàn)各VLAN內(nèi)主機(jī)跨交換機(jī)的通訊 11由于匯聚鏈路承載了所有VLAN的通訊流量，為了標(biāo)識(shí)各數(shù)據(jù)幀屬于哪一個(gè)VLAN

10、，為此，需要對(duì)流經(jīng)匯聚鏈接的數(shù)據(jù)幀進(jìn)行打標(biāo)（tag）封裝，以附加上VLAN信息，這樣交換機(jī)就可通過(guò)VLAN標(biāo)識(shí)，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到對(duì)應(yīng)的VLAN中。 目前交換機(jī)支持的打標(biāo)封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經(jīng)過(guò)IEEE認(rèn)證的對(duì)數(shù)據(jù)幀附加VLAN識(shí)別信息的協(xié)議，屬于國(guó)際標(biāo)準(zhǔn)協(xié)議，適用于各個(gè)廠商生產(chǎn)的交換機(jī)，該協(xié)議通常也簡(jiǎn)稱(chēng)為dot1q。IEEE802.1Q所附加的VLAN識(shí)別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”和“類(lèi)別域（Type Field）”之間，所添加的內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計(jì)4個(gè)字節(jié)，其對(duì)數(shù)幀的封裝過(guò)程如下圖所示。 12IEEE802.1Q

11、協(xié)議對(duì)數(shù)據(jù)幀的打標(biāo)封裝 13ISL是Inter Switch Link的縮寫(xiě)，是Cisco系列交換機(jī)支持的一種與IEEE802.1Q類(lèi)似的，用于在匯聚鏈路上附加VLAN信息的協(xié)議，可用于以太網(wǎng)和令牌環(huán)網(wǎng)。ISL對(duì)數(shù)據(jù)幀進(jìn)行打標(biāo)封裝時(shí)，采取在數(shù)據(jù)幀的頭部附加26字節(jié)的ISL包頭（ISL Header），并且在數(shù)據(jù)幀的尾部帶上對(duì)包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4字節(jié)的CRC值，即ISL協(xié)議保留數(shù)據(jù)幀原來(lái)的CRC，然后再附加上一個(gè)新的CRC，即封裝時(shí)總共增加了30個(gè)字節(jié)的信息。當(dāng)數(shù)據(jù)幀離開(kāi)匯聚鏈路時(shí)，ISL只需簡(jiǎn)單地去除ISL包頭和新CRC就可以了，由于數(shù)據(jù)幀原來(lái)的CRC被完整保留，因

12、此無(wú)需重新計(jì)算。大多數(shù)Cisco設(shè)備都支持ISL。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨(dú)有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。143.4 VLAN間主機(jī)的通訊 同一個(gè)VLAN屬于同一個(gè)廣播域，主機(jī)彼此間可相互自由通訊。不同VLAN的主機(jī)若要相互通訊，則必須為VLAN指定路由，這可通過(guò)三層交換機(jī)的路由交換模塊或借助外部的路由器來(lái)實(shí)現(xiàn)。 對(duì)于沒(méi)有路由功能的二層交換機(jī)，若要實(shí)現(xiàn)VLAN間的相互通信，就要借助外部的路由器來(lái)為VLAN指定默認(rèn)路由，此時(shí)路由器的快速以太網(wǎng)接口與交換機(jī)的快速以太網(wǎng)端口，應(yīng)以匯聚鏈路的方式相連，并在路由器的快速以太網(wǎng)接口上，為每一個(gè)VLAN創(chuàng)

13、建一個(gè)對(duì)應(yīng)的虛擬子接口，并設(shè)置虛擬子接口的IP地址，該IP地址以后就成為該VLAN的默認(rèn)網(wǎng)關(guān)（路由）。由于這些虛擬子接口是直接連接在路由器上的，設(shè)置IP地址后，路由器會(huì)自動(dòng)在路由表中，為各VLAN添加路由，從而實(shí)現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)，如下圖所示。 15二層交換機(jī)借助外部路由器實(shí)現(xiàn)VLAN間通訊 16VLAN間的主機(jī)通訊，遵循以下通訊過(guò)程：源主機(jī)交換機(jī)路由器交換機(jī)目的主機(jī) 交換機(jī)使用ASIC（Application Specified Integrated Circuit）專(zhuān)用硬件芯片來(lái)處理數(shù)據(jù)幀的交換，從而可以實(shí)現(xiàn)以線纜速度（Wired Speed）來(lái)交換數(shù)據(jù)。三層交換機(jī)是帶有路由功能的交換

14、機(jī)，其路由模塊與交換模塊共同使用ASIC硬件芯片，可實(shí)現(xiàn)高速度的路由，并且在對(duì)第一個(gè)數(shù)據(jù)幀進(jìn)行路由后，將會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)幀再次通過(guò)時(shí)，交換機(jī)會(huì)直接從二層轉(zhuǎn)發(fā)，而不用再路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。另一方面，交換機(jī)的路由模塊與交換模塊是在交換機(jī)內(nèi)部直接匯聚連接的，可以提供相當(dāng)高的帶寬，因此，使用三層交換機(jī)來(lái)配置VLAN和提供VLAN間的通訊，比使用二層交換機(jī)和路由器更好，配置和使用也更方便。 173.5 VLAN的配置方法 在進(jìn)行VLAN配置時(shí)，首先應(yīng)根據(jù)應(yīng)用需求，規(guī)劃設(shè)計(jì)好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并進(jìn)行VLAN劃分和IP地

15、址分配規(guī)劃，最后才開(kāi)始著手VLAN的配置和調(diào)試。 3.5.1 創(chuàng)建VTP管理域 1VTP簡(jiǎn)介 VTP是VLAN Trunking Protocol的縮寫(xiě)，稱(chēng)為VLAN鏈路聚集協(xié)議，它是一個(gè)在建立了匯聚鏈路的交換機(jī)之間同步和傳遞VLAN配置信息的協(xié)議，以在同一個(gè)VTP域中維持VLAN配置的一致性。在同一個(gè)VTP域中的交換機(jī)，可通過(guò)VTP協(xié)議來(lái)互相學(xué)習(xí)VTP信息。VTP協(xié)議對(duì)于運(yùn)行ISL或IEEE802.1Q封裝協(xié)議的匯聚鏈路也都適用。 在創(chuàng)建VLAN之前，應(yīng)先定義VTP管理域，VTP消息能在同一個(gè)VTP管理域內(nèi)，同步和傳遞VLAN配置信息。另外，利用VTP協(xié)議，還能實(shí)現(xiàn)從匯聚鏈路中，裁剪掉不需要

16、的VLAN流量。18VTP有server、client和transparent（透明）三種工作模式，這些工作模式?jīng)Q定了是否允許指定的交換機(jī)管理VLAN、VTP如何傳送和同步VLAN配置。 server模式server模式是交換機(jī)默認(rèn)的工作模式，運(yùn)行在該模式的交換機(jī)，允許創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫(kù)中的VLAN，并允許設(shè)置一些對(duì)整個(gè)VTP域的配置參數(shù)。在對(duì)VLAN進(jìn)行創(chuàng)建、修改或刪除之后，VLAN數(shù)據(jù)庫(kù)的變化將傳遞到VTP域內(nèi)所有處于server或client模式的其他交換機(jī)，以實(shí)現(xiàn)對(duì)VLAN信息的同步。另外，server模式的交換機(jī)也可接收同一個(gè)VTP域內(nèi)其他交換機(jī)發(fā)送來(lái)的同步信息。 c

17、lient模式處于該模式下的交換機(jī)不能創(chuàng)建、修改和刪除VLAN，也不能在NVRAM中存儲(chǔ)VLAN配置，如果掉電，將丟失所有的VLAN信息。該模式下的交換機(jī)，主要通過(guò)VTP域內(nèi)其他交換機(jī)的VLAN配置信息來(lái)同步和更新自己的VLAN配置。19 transparent模式transparent模式也可以創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫(kù)中的VLAN，但與server模式不同的是，對(duì)VLAN配置的變化，不會(huì)傳播給其他交換機(jī)，即對(duì)VLAN的配置改變，僅對(duì)處于透明模式的交換機(jī)自身有效。 2創(chuàng)建VTP管理域要在交換機(jī)上激活啟動(dòng)VTP，應(yīng)先創(chuàng)建VTP管理域，然后再設(shè)置VTP的工作模式，最后還要配置和啟動(dòng)匯聚鏈

18、路。VTP信息只通過(guò)匯聚鏈路傳送，如果交換機(jī)之間沒(méi)有配置啟動(dòng)一條匯聚鏈路，則兩臺(tái)交換機(jī)之間是無(wú)法完成VLAN配置信息的交換更新的。 20 創(chuàng)建VTP管理域 配置命令：vtp domain domain_name該配置命令在vlan配置模式下運(yùn)行，用于創(chuàng)建一個(gè)vtp管理域。只有屬于同一個(gè)vtp域的交換機(jī)彼此間才能交換VLAN信息。一個(gè)交換機(jī)只能同時(shí)屬于某一個(gè)VTP域。 domain_name代表要?jiǎng)?chuàng)建的vtp管理域。注意該域名稱(chēng)是區(qū)分大小寫(xiě)的，vtp域名不會(huì)隔斷廣播域，僅用于同步VLAN配置信息。例如，若要在Cisco Catalyst 3550交換機(jī)中創(chuàng)建一個(gè)名為cqddvtpdomain的管

19、理域，則配置命令為：S3550enableS3550#vlan databaseS3550 (vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.S3550 (vlan)#21 設(shè)置VTP模式配置命令：vtp server|client|transparent該命令在vlan數(shù)據(jù)庫(kù)配置模式下運(yùn)行，用于設(shè)置VTP的工作模式。例如，若要將Cisco Catalyst 3550交換機(jī)設(shè)置為server模式，則配置命令為：S3550 (vlan)#vtp serverS3550 (vlan)#exit 查看VTP信息若要查看V

20、TP的狀態(tài)信息，可使用命令：show vtp statusS3550#show vtp status223.5.2 配置trunking和封裝方法 在兩個(gè)交換機(jī)上，用于實(shí)現(xiàn)匯聚鏈路的那個(gè)端口，都必須配置成具有trunking（鏈路聚集）功能的端口。Cisco交換機(jī)支持兩種以太網(wǎng)鏈路聚集機(jī)制，即打標(biāo)封裝協(xié)議ISL和IEEE 802.1Q。要配置交換機(jī)的匯聚鏈路，應(yīng)先選擇要配置的交換機(jī)端口，并設(shè)置所用的封裝協(xié)議，然后再通過(guò)switchport mode trunk配置命令來(lái)啟用該端口的trunking功能，其配置命令為： （global）interface type mod/port （inter

21、face）switchport （interface）switchport trunk encapsulation isl|dot1q （interface）switchport mode trunk 配置命令說(shuō)明：（global）和（interface）分別代表該命令在全局配置模式和接口配置模式下運(yùn)行。 switchport用于設(shè)置交換機(jī)的端口為2層端口。對(duì)于2層交換機(jī)不需要運(yùn)行該命令，若是3層交換機(jī)，并且若端口處于3層端口，則應(yīng)執(zhí)行該命令，將端口設(shè)置為2層交換端口。 23switchport trunk encapsulation用于設(shè)置匯聚鏈路采用的打標(biāo)封裝協(xié)議，isl代表ISL協(xié)議，d

22、ot1q代表IEEE 802.1Q協(xié)議。 switchport mode trunk命令用于激活啟用端口的鏈路聚集功能。若要在該端口上禁用trunking功能，則使用no switchport mode trunk配置命令。 例3.1 現(xiàn)有2臺(tái)Cisco Catalyst 3550-24交換機(jī)，每臺(tái)交換機(jī)均配有2個(gè)千兆的光纖模塊，2臺(tái)交換機(jī)通過(guò)長(zhǎng)距離單模光纖相連在第1個(gè)光纖模塊端口上，用于實(shí)現(xiàn)2個(gè)校區(qū)間的通訊。這2臺(tái)交換機(jī)的主機(jī)名分別為benbu和fenxiao，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示?，F(xiàn)要求將這2臺(tái)交換機(jī)的第1個(gè)光纖模塊端口，配置為匯聚鏈路端口，打標(biāo)封裝協(xié)議采用IEEE 802.1Q。24

23、分析： Cisco Catalyst 3550-24擁有24個(gè)100M以太網(wǎng)端口，同時(shí)可選配2個(gè)千兆位的光纖模塊。所有端口均在模塊0中，這2個(gè)千兆位的光纖模塊端口的編號(hào)分別為1和2。要實(shí)現(xiàn)兩個(gè)交換機(jī)間的匯聚連接，只需分別在這2個(gè)交換機(jī)的千兆位端口1上啟用trunking功能即可。其配置步驟如下： 配置位于校本部的Cisco Catalyst 3550-24交換機(jī)，并設(shè)置為VTP Server工作模式。 25benbuenable benbu#vlan databasebenbu(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain mod

24、ified.benbu(vlan)#vtp serverbenbu(vlan)#exitbenbu#config tbenbu(config-if)#interface GigabitEthernet 0/1benbu(config-if)#switchportbenbu(config-if)#switchport trunk encapsulation dot1qbenbu(config-if)#switchport mode trunkbenbu(config-if)#endbenbu#show interface trunk benbu#write 26 配置位于分校區(qū)的Cisco 35

25、50交換機(jī)，將其加入到名為cqddvtpdomain的VTP管理域中，并設(shè)置為vtp client工作模式。 fenxiaoenablefenxiao#vlan databasefenxiao(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.fenxiao(vlan)#vtp clientfenxiao(vlan)#exitfenxiao#config tfenxiao(config)#interface GigabitEthernet 0/1fenxiao(config-if)#switchportfenxiao

26、(config-if)#switchport trunk encapsulation dot1qfenxiao(config-if)#switchport mode trunkfenxiao(config-if)#endfenxiao#show interface trunkfenxiao#write273.5.3 創(chuàng)建VLAN 配置好VTP管理域、VTP模式和trunking鏈路后，接下來(lái)就可以在VTP Server工作模式的交換機(jī)上創(chuàng)建VLAN。創(chuàng)建后，就會(huì)通過(guò)VTP消息通告給整個(gè)管理域中的所有其他交換機(jī)，以讓其他交換機(jī)同步和更新VLAN配置信息。 創(chuàng)建VLAN的配置命令在VLAN數(shù)據(jù)庫(kù)配

27、置模式下運(yùn)行，其用法為： vlan vlan-id name vlan-name 其中vlan-id代表要?jiǎng)?chuàng)建的VLAN的id號(hào)，vlan-name代表該VLAN的名字，為可選項(xiàng)。默認(rèn)情況下，交換機(jī)會(huì)自動(dòng)創(chuàng)建和管理VLAN 1，所有交換機(jī)端口默認(rèn)均屬于VLAN 1，用戶不能刪除該VLAN。 查看交換機(jī)的VLAN配置信息，可在特權(quán)EXEC模式下，執(zhí)行show vlan命令，采用show vlan vlan-id命令用法，來(lái)顯示指定VLAN的信息。 28 例3.2 在例3.1的基礎(chǔ)上，在名為benbu的Cisco 3550交換機(jī)上創(chuàng)建id號(hào)為2、3、4的3個(gè)VLAN，VLAN的名稱(chēng)分別為stude

28、nt、teacher和office。benbuenable benbu#vlan database benbu(vlan)#vlan 2 name studentVLAN 2 added: Name: student benbu(vlan)#vlan 3 name teacherVLAN 3 added: Name: teacher benbu(vlan)#vlan 4 name officeVLAN 4 added:Name: office benbu(vlan)#exit293.5.4 劃分VLAN端口 VLAN的創(chuàng)建可在任意一臺(tái)工作在VTP Server模式的交換機(jī)上進(jìn)行，但要將端口指派

29、給某個(gè)VLAN，則必須在該端口所在的交換機(jī)上進(jìn)行。要將一個(gè)端口設(shè)置為某個(gè)VLAN的成員，首先應(yīng)選擇該端口，然后在接口配置模式，通過(guò)以下配置命令來(lái)實(shí)現(xiàn)： switchport access vlan vlan-id 其中，vlan-id為VLAN的id號(hào)，表示將端口劃入哪一個(gè)VLAN。以上配置命令，將當(dāng)前選擇的端口劃歸為vlan-id指定的VLAN。 例3.3 試將benbu交換機(jī)的26號(hào)端口以及fenxiao交換機(jī)的24號(hào)端口劃入student VLAN，將benbu交換機(jī)的7-9端口和fenxiao交換機(jī)的5-9號(hào)端口劃入teacher VLAN，將benbu交換機(jī)的10-12號(hào)端口和fen

30、xiao交換機(jī)的10-12號(hào)端口劃入office VLAN。 30 配置步驟： 分配benbu交換機(jī)各端口所屬的VLAN。 benbu#config t !選擇端口benbu(config)#interface fa0/2!設(shè)置為訪問(wèn)連接端口benbu(config-if)#switchport mode access!設(shè)置端口使用portfast模式，以禁止運(yùn)行生成樹(shù)協(xié)議STPbenbu(config-if)#spanning-tree portfast !將端口劃歸到VLAN 2benbu(config-if)#switchport access vlan 231benbu(config-

31、if)#interface fa0/3benbu(config-if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 2benbu(config-if)#interface fa0/12benbu(config-if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 4 benbu(c

32、onfig-if)#end benbu#write benbu#show vlan32 benbu交換機(jī)的端口分配 以上配置方法，采用的是逐個(gè)端口逐個(gè)端口地進(jìn)行VLAN指定，對(duì)于Cisco 3550交換機(jī)，可通過(guò)使用range關(guān)鍵字來(lái)選擇一個(gè)端口范圍，以簡(jiǎn)化對(duì)VLAN端口的指定，其配置命令為： 33benbu#config t benbu(config)#interface range fa0/2 - 6 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast ben

33、bu(config-if-range)#switchport access vlan 2 benbu(config-if-range)#interface range fa0/7 - 9 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 3 benbu(config-if-range)#interface range fa0/10 - 12 benbu(config-if

34、-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 4 benbu(config-if-range)#end benbu#copy run start 34 配置fenxiao交換機(jī)各端口所屬的VLAN。 fenxiao#config t fenxiao(config)#interface range fa0/2 - 4fenxiao(config-if-range)#switchport mode a

35、ccessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 2 fenxiao(config-if-range)#interface range fa0/5 - 9fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 3fen

36、xiao(config-if-range)#interface range fa0/10 - 12fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 435fenxiao(config-if-range)#end fenxiao#copy run start fenxiao#show vlanfenxiao交換機(jī)的端口分配 36VLAN間要實(shí)現(xiàn)3層交換和相互通訊，

37、就必須在3層交換機(jī)上為每個(gè)VLAN創(chuàng)建一個(gè)虛擬的子接口，并設(shè)置接口的IP地址或同時(shí)設(shè)置DHCP服務(wù)器的地址，這樣就可實(shí)現(xiàn)虛擬子接口之間的路由，從而實(shí)現(xiàn)VLAN間的通訊。各VLAN對(duì)應(yīng)的虛擬子接口的IP地址，就成為該VLAN的默認(rèn)網(wǎng)關(guān)地址。為虛擬子接口設(shè)置DHCP服務(wù)器的地址后，VLAN中的成員主機(jī)就可利用指定的DHCP服務(wù)器，自動(dòng)獲得IP地址，從而實(shí)現(xiàn)IP地址的動(dòng)態(tài)分配。 1設(shè)置VLAN虛擬子接口IP地址 創(chuàng)建VLAN的虛擬子接口，并為其設(shè)置IP地址的配置命令為： interface vlan vlan-id ip address adress netmask no shutdown3.5.5

38、 實(shí)現(xiàn)VLAN間的通訊 37其中interface vlan配置命令在全局配置模式下運(yùn)行，用于選擇指定VLAN的虛擬子接口。ip address配置命令用于為接口設(shè)置IP地址。 例如，若要給VLAN 2設(shè)置IP地址為192.168.2.1，子網(wǎng)掩碼為255.255.255.0，則配置命令為： benbu#config t benbu(config)#interface vlan 2 benbu(config-if)#ip address 192.168.2.1 255.255.255.0 benbu(config-if)#no shutdown 設(shè)置好VLAN虛擬子接口的IP地址后，路由模塊會(huì)

39、自動(dòng)在路由表中添加相應(yīng)的路由。 382為虛擬子接口指定DHCP服務(wù)器地址 若VLAN中的主機(jī)要采用自動(dòng)獲得IP地址，則要為該VLAN的虛擬子接口設(shè)置指定DHCP服務(wù)器的地址，然后在DHCP服務(wù)器中，為該網(wǎng)段添加作用域，并設(shè)置可分配的IP地址池、IP地址的租用期、默認(rèn)路由（設(shè)置為虛擬子接口的IP地址）和DNS服務(wù)器的地址等信息，這樣VLAN中的主機(jī)在獲得IP地址的同時(shí)，就可獲得默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址信息。 為VLAN虛擬子接口設(shè)置指定DHCP服務(wù)器的地址，使用以下配置命令： ip helper-address dhcp-server其中的dhcp-server代表DHCP服務(wù)器的IP地址。

40、若DHCP服務(wù)器與DHCP客戶機(jī)不在同一個(gè)VLAN內(nèi)，則必須使用ip helper-address配置命令為其指定DHCP服務(wù)器的地址。 例如，若DHCP服務(wù)器的IP地址為192.168.252.253，則配置命令為： benbu(config-if)#ip helper-address 192.168.252.253 39 例3.4假設(shè)VLAN 2網(wǎng)段的IP地址為192.168.2.0/24，默認(rèn)網(wǎng)關(guān)為192.168.2.1，VLAN中的主機(jī)采用自動(dòng)獲得IP地址方式，DHCP服務(wù)器的IP地址為192.168.2.254；VLAN 3的網(wǎng)段地址為192.168.3.0/24，默認(rèn)網(wǎng)關(guān)為192.

41、168.3.1，采用靜態(tài)IP地址分配方式；VLAN 4的網(wǎng)段地址為192.168.4.0/24，默認(rèn)網(wǎng)關(guān)為192.168.4.1，采用自動(dòng)獲得IP地址方式，DHCP服務(wù)器的IP地址為192.168.2.254。 配置步驟： 在主機(jī)名為benbu的三層交換機(jī)中進(jìn)行配置。 benbu#config t benbu(config)#interface vlan 2 benbu(config-if)#ip address 192.168.2.1 255.255.255.0 benbu(config-if)#ip helper-address 192.168.2.254benbu(config-if)#

42、no shutdown benbu(config-if)#interface vlan 3 benbu(connfig-if)#ip address 192.168.3.1 255.255.255.0benbu(config-if)#no shutdown40benbu(connfig-if)#interface vlan 4 benbu(connfig-if)#ip address 192.168.4.1 255.255.255.0 benbu(config-if)#ip helper-address 192.168.2.254benbu(config-if)#no shutdown ben

43、bu(config-if)#end benbu#write benbu#exit 配置DHCP服務(wù)器，分別為192.168.2.0/24和192.168.3.0/24網(wǎng)段添加作用域。DHCP服務(wù)器IP地址靜態(tài)設(shè)置為192.168.2.254。在設(shè)置192.168.2.0/24網(wǎng)段可分配的IP地址池時(shí)，注意不要將192.168.2.254地址添加到地址池中了，在設(shè)置IP地址池時(shí)，通?？杀Ａ粢徊糠值刂芬詡潇o態(tài)分配使用。 配置好DHCP服務(wù)器之后，VLAN 2和VLAN 4中的用戶，開(kāi)機(jī)之后就可訪問(wèn)本網(wǎng)段和其他網(wǎng)段的主機(jī)。對(duì)于采用靜態(tài)IP地址分配的VLAN 3中的用戶，必須手工設(shè)置主機(jī)的IP地址、默

44、認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。 41根據(jù)需要，可通過(guò)定義訪問(wèn)控制列表（Access Control List，簡(jiǎn)稱(chēng)ACL），來(lái)實(shí)現(xiàn)VLAN間通訊的Ip包過(guò)濾，從而實(shí)現(xiàn)訪問(wèn)策略的控制ACL配置的基本步驟和方法為： 1配置訪問(wèn)列表 Cisco交換機(jī)與路由器配置訪問(wèn)列表的命令和方法均相同。IP訪問(wèn)列表分為標(biāo)準(zhǔn)的IP訪問(wèn)列表和擴(kuò)展的IP訪問(wèn)列表，擴(kuò)展IP訪問(wèn)列表允許使用更多的匹配項(xiàng)，即允許表達(dá)更多的過(guò)濾條件，實(shí)際應(yīng)用中，通常采用擴(kuò)展IP訪問(wèn)列表。配置定義的每個(gè)IP訪問(wèn)列表都有一個(gè)編號(hào)，標(biāo)準(zhǔn)的IP訪問(wèn)列表編號(hào)范圍為199，擴(kuò)展的IP訪問(wèn)列表編號(hào)范圍為100199。配置訪問(wèn)列表在交換機(jī)的全局配置模式下，使用

45、access-list配置命令來(lái)創(chuàng)建，允許創(chuàng)建多個(gè)訪問(wèn)列表編號(hào)不同的訪問(wèn)列表 。3.5.6 在VLAN上應(yīng)用訪問(wèn)列表 422應(yīng)用訪問(wèn)列表到端口 訪問(wèn)列表配置定義后，必須應(yīng)用到指定的端口，才能實(shí)現(xiàn)對(duì)ip數(shù)據(jù)包的過(guò)濾功能。選擇應(yīng)用的端口后，然后再用以下配置命令應(yīng)用指定的訪問(wèn)列表到該端口。ip access-group access-list-number in|out其中的access-list-number為前面定義的訪問(wèn)列表的編號(hào)。in|out二者任選其一，代表IP數(shù)據(jù)包的方向。in代表對(duì)通過(guò)接口進(jìn)入的數(shù)據(jù)包應(yīng)用包過(guò)濾規(guī)則，即僅對(duì)通過(guò)該端口流入的數(shù)據(jù)進(jìn)行過(guò)濾。Out則相反，指對(duì)通過(guò)該端口流出的

46、數(shù)據(jù)利用該規(guī)則進(jìn)行過(guò)濾。若要取消應(yīng)用訪問(wèn)列表，可執(zhí)行配置命令：no ip access-group access-list-number in|out 43例3.6 假設(shè)在Cisco 3550交換機(jī)上的第5、第6和第7端口屬于VLAN 10，第5號(hào)端口用于連接局域網(wǎng)內(nèi)網(wǎng)，第6號(hào)端口用于連接代理服務(wù)器的內(nèi)網(wǎng)卡?，F(xiàn)要求全部過(guò)濾掉從局域網(wǎng)內(nèi)網(wǎng)，向代理服務(wù)器發(fā)起的對(duì)任何主機(jī)的135-145端口和對(duì)445端口的連接請(qǐng)求。 配置步驟： 創(chuàng)建VLAN，并劃分VLAN端口。S3550#vlan databaseS3550(vlan)#vlan 10 name lanfirewallS3550(vlan)#ex

47、itS3550#config tS3550(config)#interface range fa0/5 - 7S3550(config-if-config)#switchport access vlan 10S3550(config-if-config)#exitS3550(config)# 44 配置訪問(wèn)列表。S3550(config)#access-list 101 deny tcp any any range 135 145S3550(config)#access-list 101 deny tcp any any eq 445S3550(config)#access-list 101

48、deny udp any any range 135 145S3550(config)#access-list 101 deny udp any any eq 445S3550(config)#access-list 101 permit ip any any 在端口5的進(jìn)入方向應(yīng)用訪問(wèn)列表。S3550(config)#interface fa0/5S3550(config-if)#ip access-group 101 inS3550(config-if)#endS3550#copy run startS3550#exit利用ACL的IP包過(guò)濾功能，可起到防火墻的功能。因此，也可直接利用一臺(tái)

49、三層交換機(jī)的3個(gè)端口，通過(guò)配置ACL來(lái)實(shí)現(xiàn)防火墻。453.6 指定trunk鏈路中的VLAN 默認(rèn)情況下，trunk鏈路允許所有VLAN的流量通過(guò)，但可采用手工靜態(tài)指定或動(dòng)態(tài)自動(dòng)判斷兩種方式，來(lái)設(shè)置允許通過(guò)trunk鏈路的VLAN流量。 3.6.1 靜態(tài)指定trunk鏈路中的VLAN 用戶自定義的VLAN號(hào)范圍一般為2-1001，1002-1005和VALN 1為系統(tǒng)保留使用?？梢允止れo態(tài)地從trunk鏈路中刪除或添加允許通過(guò)的VLAN。 1設(shè)置不允許通過(guò)trunk鏈路的VLAN 配置命令： interface type mod/port switchport trunk allowed vlan remove vlanlist 46配置說(shuō)明： 在配置前，首先應(yīng)使用interface配置命令，選中trunk鏈路端口，然后再使用第2條配置命令從trunk鏈路中刪除指定的VLAN，即不允許這些VLAN的通訊流量通過(guò)trunk鏈路。 vlanlist代表要?jiǎng)h除的VLAN號(hào)列表，各VLAN之間用逗號(hào)進(jìn)行分隔。 例如，假設(shè)Cisco 3550的快速