交換機(jī)工作原理與交換機(jī)基本配置

交換機(jī)工作原理與交換機(jī)基本配置學(xué)習(xí)目標(biāo)：1.理解交換機(jī)的工作原理2.掌握設(shè)備命名的方法3.掌握VLAN劃分方法4.實(shí)現(xiàn)VLAN之間的通信5.了解實(shí)現(xiàn)端口安全的方法沖突和廣播1、沖突及沖突域

在網(wǎng)絡(luò)中所有節(jié)點(diǎn)在任何需要的時(shí)候都可以發(fā)送數(shù)據(jù)，而共享式以太網(wǎng)卻努力確保任一時(shí)刻只有一個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)。但是，兩個(gè)節(jié)點(diǎn)卻有可能同時(shí)發(fā)送數(shù)據(jù)，例如圖中的節(jié)點(diǎn)A和節(jié)點(diǎn)C。BAC沖突（collision）

沖突是傳統(tǒng)以太網(wǎng)中的一種現(xiàn)象。如果2臺(tái)或者多臺(tái)設(shè)備試圖同時(shí)發(fā)送數(shù)據(jù)，那么就會(huì)發(fā)生沖突。一個(gè)網(wǎng)絡(luò)中沖突太多的時(shí)候，會(huì)導(dǎo)致緩慢的網(wǎng)絡(luò)響應(yīng)時(shí)間，表示網(wǎng)絡(luò)變得過于擁塞沖突域

構(gòu)成沖突的所有節(jié)點(diǎn)組成的區(qū)域就是沖突域。即一個(gè)支持共享介質(zhì)的網(wǎng)段。集線器不能隔離沖突域，因此集線器所有的端口同在一個(gè)沖突域。交換機(jī)能隔離沖突域，交換機(jī)每個(gè)端口一個(gè)沖突域。2、廣播及廣播域

LAN上的所有節(jié)點(diǎn)都應(yīng)該接收和處理送往廣播地址的幀，發(fā)往廣播地址的幀將發(fā)送到LAN上的所有節(jié)點(diǎn)。BACFFFF.FFFF.FFFFDATA目標(biāo)MAC地址廣播幀廣播（Broadcast）在網(wǎng)絡(luò)傳輸中，向所有連通的節(jié)點(diǎn)發(fā)送消息稱為廣播。廣播域廣播幀傳輸?shù)木W(wǎng)絡(luò)范圍稱廣播域，即網(wǎng)絡(luò)中能接收任何節(jié)點(diǎn)發(fā)出的廣播報(bào)文的所有節(jié)點(diǎn)的集合。交換機(jī)不能隔離廣播域，因此，一個(gè)網(wǎng)絡(luò)中的交換機(jī)的所有端口在同一廣播域。路由器能隔離廣播域，因此，一個(gè)路由器的不同端口處于不同的廣播域交換式局域網(wǎng)以交換機(jī)（switch）構(gòu)建的星形網(wǎng)絡(luò)Switch基于MAC地址轉(zhuǎn)發(fā)/過濾利用CSMA/CD機(jī)制來避免沖突利用緩存機(jī)制來解決端口沖突支持全雙工例如，圖中顯示了交換機(jī)內(nèi)數(shù)據(jù)的流動(dòng)情況。假定節(jié)點(diǎn)1向節(jié)點(diǎn)4發(fā)送數(shù)據(jù)，節(jié)點(diǎn)2和節(jié)點(diǎn)3并不知道上述數(shù)據(jù)的傳輸，因?yàn)檫@些數(shù)據(jù)并沒有傳到這兩個(gè)端口上。交換機(jī)的分段給網(wǎng)絡(luò)上每個(gè)用戶提供了專用帶寬，每個(gè)用戶即刻接入到全部帶寬，且不必和其他用戶競(jìng)爭(zhēng)可用帶寬。交換機(jī)功能功能優(yōu)點(diǎn)支持多數(shù)據(jù)流同時(shí)通過能同時(shí)傳輸更多的業(yè)務(wù)，從而增加任一指定時(shí)間段內(nèi)業(yè)務(wù)流量。支持虛擬局域網(wǎng)(VLAN)VLAN增加了網(wǎng)絡(luò)的靈活性，并取消了節(jié)點(diǎn)物理位置發(fā)生變化帶來的開銷。能升級(jí)到其他高性能交換式網(wǎng)絡(luò)交換機(jī)能接入骨干網(wǎng)，也能升級(jí)到這些更快的技術(shù)管理特性交換機(jī)能夠阻止小于64字節(jié)的幀及其他壞幀進(jìn)入網(wǎng)絡(luò)。交換機(jī)還能提供每個(gè)端口活動(dòng)情況的詳細(xì)信息。能夠從交換機(jī)獲取的信息包括流入流出特定端口的業(yè)務(wù)流量，以及超出警戒閾限的次數(shù)等。安全特性因?yàn)閿?shù)據(jù)目的地址為一個(gè)特定端口而不是整個(gè)交換機(jī)，所以僅通過插進(jìn)一個(gè)端口就想在交換機(jī)上“竊聽”是不可能的。交換機(jī)幀處理過程交換機(jī)對(duì)幀處理的5個(gè)過程包括：學(xué)習(xí)（learning）、泛洪（flooding）、轉(zhuǎn)發(fā)（forwarding）、過濾（filtering）、老化（aging）學(xué)習(xí)交換機(jī)的學(xué)習(xí)指的是地址學(xué)習(xí)過程。交換機(jī)會(huì)記錄發(fā)送源的源MAC地址和源端口，這個(gè)過程就是學(xué)習(xí)過程。交換機(jī)只學(xué)習(xí)單播源地址。假設(shè)工作站A欲傳輸單播幀到工作站D，交換機(jī)從端口E0收到這個(gè)幀并查看幀的源MAC地址，然后把這個(gè)地址和對(duì)應(yīng)端口E0放進(jìn)MAC地址表中。泛洪當(dāng)工作站A發(fā)送幀給D的時(shí)候，交換機(jī)會(huì)查看幀的目標(biāo)MAC地址并看其MAC地址表里有沒有該條目，但是此時(shí)交換機(jī)只有A的MAC地址，并沒有目標(biāo)D的MAC地址，即此時(shí)交換機(jī)收到的是未知單播幀，交換機(jī)將把未知單播幀從它的所有端口（除了源端口外）發(fā)送，這個(gè)過程就叫泛洪。除了泛洪未知單播幀，交換機(jī)還會(huì)泛洪另外兩種類型的幀：廣播幀和組播幀。轉(zhuǎn)發(fā)或過濾如果到達(dá)交換機(jī)的幀目標(biāo)地址是已知的，交換機(jī)則只會(huì)將幀轉(zhuǎn)發(fā)給連接目標(biāo)工作站的特定端口，而不是轉(zhuǎn)發(fā)給所有端口。即對(duì)該特定端口為轉(zhuǎn)發(fā)，其他端口稱為過濾。如：工作站A將幀送往工作站B的過程如下：①將發(fā)送幀的目標(biāo)MAC地址0260.8c01.2222與MAC表中的表項(xiàng)進(jìn)行比較；②查到該地址可通過E1端口到達(dá),將幀轉(zhuǎn)發(fā)到該端口；③交換機(jī)不會(huì)再將幀轉(zhuǎn)發(fā)到E2、E3端口，即過濾(framefiltering)以節(jié)省鏈路帶寬。老化（或稱計(jì)時(shí)）當(dāng)交換機(jī)學(xué)習(xí)到某個(gè)源MAC地址之后，它會(huì)給這個(gè)條目打上時(shí)間戳。每當(dāng)交換機(jī)收到來自這個(gè)源MAC地址的幀之后，這個(gè)時(shí)間戳?xí)桓隆．?dāng)老化計(jì)時(shí)器(agingtimer)超時(shí)之后還沒有收到來自該源MAC地址的幀，那么這個(gè)條目就會(huì)從橋接地址表里移除。老化計(jì)時(shí)器的默認(rèn)時(shí)間為5分鐘，可以人工對(duì)其進(jìn)行修改。

交換機(jī)結(jié)構(gòu)1、交換機(jī)的組成部件

交換機(jī)實(shí)際上就是一臺(tái)特殊用途的計(jì)算機(jī)，它的內(nèi)部也有CPU、內(nèi)存和主板，只不過這些部件是專門為數(shù)據(jù)交換而設(shè)計(jì)的。我們通常所說的交換機(jī)的背板帶寬有點(diǎn)類似于電腦主板上的總線，是交換機(jī)接口處理器（或接口卡）和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量。一臺(tái)交換機(jī)的背板帶寬越高，處理數(shù)據(jù)的能力就越強(qiáng)，同時(shí)價(jià)格也越高。交換機(jī)除了和我們熟知的傳統(tǒng)的PC機(jī)有類似的體系結(jié)構(gòu)外，它還和PC機(jī)一樣擁有相應(yīng)的操作系統(tǒng)。2、交換機(jī)的組成部件以Cisco交換機(jī)為例來了解交換機(jī)結(jié)構(gòu)。Cisco交換機(jī)是由CPU、RAM、NVRAM、FLASH、ROM和一些相應(yīng)的接口通過內(nèi)部總線相連而構(gòu)成。CPU（中央處理器）相當(dāng)于PC的CPU，是交換機(jī)的大腦，負(fù)責(zé)整個(gè)系統(tǒng)的計(jì)算和控制。ROM（只讀存儲(chǔ)器）相當(dāng)于PC的BIOS（基本輸入輸出系統(tǒng)），存放引導(dǎo)程序和IOS的一個(gè)最小子集。它是只讀存儲(chǔ)器，系統(tǒng)掉電程序不會(huì)丟失。Flash（閃存）相當(dāng)于PC的硬盤，它包含操作系統(tǒng)（IOS）和其他偽代碼。它是一種可擦寫、可編程的存儲(chǔ)器，系統(tǒng)掉電程序不會(huì)丟失。NVRAM（NonvolatileRAM,非易失性隨機(jī)存取存儲(chǔ)器）相當(dāng)于PC的第二塊硬盤，專門存放交換機(jī)的配置文件。系統(tǒng)掉電程序不會(huì)丟失。RAM/DRAM（隨機(jī)存儲(chǔ)器/動(dòng)態(tài)存儲(chǔ)器）相當(dāng)于PC的內(nèi)存，是交換機(jī)主要的存儲(chǔ)部件，RAM也叫做工作存儲(chǔ)器，它包含動(dòng)態(tài)的配置信息。系統(tǒng)掉電RAM的內(nèi)容會(huì)丟失。Interfaces（接口/端口）相當(dāng)于PC的網(wǎng)卡，接口（Interface）是數(shù)據(jù)分組進(jìn)出交換機(jī)的網(wǎng)絡(luò)連接。交換機(jī)的啟動(dòng)過程交換機(jī)啟動(dòng)時(shí)首先對(duì)系統(tǒng)各部分的硬件進(jìn)行檢測(cè)，然后檢查啟動(dòng)配置文件，根據(jù)配置文件指定的引導(dǎo)路徑去尋找操作系統(tǒng)，最后從NVRAM中將配置文件加載到RAM，如果沒有配置就進(jìn)入系統(tǒng)的初始配置狀態(tài)。CiscoIOS基礎(chǔ)1、CiscoIOS軟件的目的

與計(jì)算機(jī)一樣路由器或交換機(jī)需要操作系統(tǒng)才能正常工作。Cisco將自己的操作系統(tǒng)稱為Cisco互連網(wǎng)絡(luò)操作系統(tǒng)，或者CiscoIOS軟件。它內(nèi)置于Cisco路由器和Catalyst交換機(jī)上。CiscoIOS提供了下列服務(wù)：基本的路由選擇和交換功能對(duì)聯(lián)網(wǎng)資源可靠和安全的訪問網(wǎng)絡(luò)的可擴(kuò)展性2、Cisco設(shè)備用戶界面CiscoIOS軟件使用命令行界面（CLI）作為自己傳統(tǒng)的控制臺(tái)環(huán)境。CiscoIOS是一項(xiàng)核心技術(shù)，它跨越大多數(shù)Cisco產(chǎn)品線，不同設(shè)備中CiscoIOS軟件的運(yùn)行細(xì)節(jié)也有所區(qū)別。CLI環(huán)境常用下列方式訪問：通過控制臺(tái)會(huì)話

—使用低速串行連接，從PC機(jī)直接到設(shè)備的控制臺(tái)端口通過telnet作為虛擬終端連接到設(shè)備3、Cisco各種用戶界面模式CiscoCLI使用了一種分級(jí)的結(jié)構(gòu)。這種結(jié)構(gòu)要求進(jìn)入不同的模式以完成各種特定的任務(wù)。

CiscoIOS軟件提供了一種稱為命令執(zhí)行者（commandexecutive,EXEC）的命令解釋器服務(wù)，每個(gè)命令輸入后，EXEC都會(huì)驗(yàn)證并執(zhí)行該命令。

CiscoIOS軟件將EXEC會(huì)話分成了兩個(gè)訪問級(jí)別：用戶EXEC模式（使用提示符“>”）

—只查看模式，不允許對(duì)配置進(jìn)行修改特權(quán)EXEC模式（使用提示符“#”）—所有要進(jìn)行的配置都從特權(quán)模式進(jìn)入enable4、CiscoIOS命令狀態(tài)

（1）幫助命令“？”

字詞幫助：緊跟命令字符的后面輸入？，系統(tǒng)將顯示以

輸入字符開始的一系列命令。命令行格式幫助：當(dāng)你對(duì)要輸入的關(guān)鍵詞或參數(shù)沒有把

握時(shí)，可以用？來代替，記住在？的前面需要插入空格，

網(wǎng)絡(luò)設(shè)備就會(huì)顯示一系列可選的命令選項(xiàng)。在鍵入命令過程中可以使用“Tab”鍵幫助鍵入未輸入完的

命令。5、CiscoIOS常用命令

（2）改變狀態(tài)命令任

務(wù)命

令進(jìn)入特權(quán)命令狀態(tài)enable退出特權(quán)命令狀態(tài)disable或exit進(jìn)入設(shè)置對(duì)話狀態(tài)setup進(jìn)入全局設(shè)置狀態(tài)configterminal退出全局設(shè)置狀態(tài)end進(jìn)入端口設(shè)置狀態(tài)interfacetypeslot/number進(jìn)入線路設(shè)置狀態(tài)linetypeslot/number退出局部設(shè)置狀態(tài)exit

（3）顯示命令任

務(wù)命

令查看版本及引導(dǎo)信息showversion查看運(yùn)行設(shè)置showrunning-config查看開機(jī)設(shè)置（備份配置）showstartup-config顯示端口信息showinterfacetypeslot/number顯示路由信息showiprouter顯示閃存設(shè)備信息showflash顯示已經(jīng)配置的協(xié)議信息showprotocols任

務(wù)命

令查看版本及引導(dǎo)信息showversion查看運(yùn)行設(shè)置showrunning-config查看開機(jī)設(shè)置（備份配置）showstartup-config顯示端口信息showinterfacetypeslot/number顯示路由信息showiprouter顯示閃存設(shè)備信息showflash顯示已經(jīng)配置的協(xié)議信息showprotocols

（4）IOS文件管理命令任

務(wù)命

令手工配置路由器或交換機(jī)configterminal保存配置文件到NVRAMcopyrunstart將配置文件從NVRAM調(diào)入內(nèi)存copystartrun保存配置文件到tftp服務(wù)器copyruntftp將配置文件從tftp調(diào)入內(nèi)存copytftprun保存NVRAM的配置文件到tftp服務(wù)器copystarttftp將配置文件從tftp服務(wù)器拷貝到NVRAMcopytftpstart將配置文件從tftp服務(wù)器拷貝到flash中

copytftpflash將配置文件從flash拷貝到tftp服務(wù)器中copyflashtftp刪除配置文件erasestartRAMNVRAMconfigterminal控制臺(tái)或終端TFTP服務(wù)器copyrunstartcopystartruncopyruntftpcopytftpruncopytftpstartcopystarttftpFLASHcopytftpflashcopyflashtftperasestart垃圾桶IOS文件管理示意圖：交換機(jī)的配置方式控制臺(tái)：Console口接終端或運(yùn)行終端仿真軟件（如超級(jí)終端）的PC機(jī)Telnet:可以通過Telnet配置TFTP：可以通過TFTP服務(wù)器下載配置信息SNMP：可以通過一個(gè)運(yùn)行網(wǎng)管軟件的工作站來管理配置除了以上介紹的幾種方法外，有些交換機(jī)還支持通過Web方式進(jìn)行配置TelnetTFTPSNMPConsole口接口計(jì)算機(jī)Console端口RJ-45COM端口DB-9RJ-45~DB-9連接電纜第一次配置必須通過Console端口進(jìn)行，只有當(dāng)通過Console端口對(duì)交換機(jī)進(jìn)行了相應(yīng)的配置后，我們才可以通過其他的幾種方式對(duì)它進(jìn)行配置和管理。交換機(jī)基礎(chǔ)配置1）設(shè)主機(jī)名和密碼

hostnameswitch

enablepasswordcisco(注：使用showrun可查看到該密碼)

ORenablesecrethngy(注：使用showrun查看不到該密碼)若設(shè)置了enable密碼后，交換機(jī)要求用戶輸入完enable命令后，在密碼提示符后輸入使能（enable）密碼來訪問特權(quán)模式，所以特權(quán)模式也叫做使能模式。

enablesecret密碼是非常安全的，因?yàn)樗褂谩癕D5”加密，而enablepassword很容易破解。若同時(shí)配置了enablepassword和enablesecret，則交換機(jī)要求輸入enablesecret命令所定義的密碼，交換機(jī)將不接收enablepassword命令所定義的密碼。User

模式特權(quán)

模式使用模式

使能口令VTY

口令I(lǐng)P

網(wǎng)絡(luò)控制臺(tái)控制臺(tái)口令線路配

置模式IOS對(duì)于控制臺(tái)及Telnet的配置使用術(shù)語(yǔ)線路（line）。所以，控制臺(tái)、Telnet口令要使用線路配置模式進(jìn)行配置。一旦進(jìn)入到各自的線路配置模式，就需要配置兩個(gè)命令：

password

text命令定義了在交換機(jī)詢問口令時(shí)必須要輸入的字符串；

login命令告訴IOS口令是必須的。2）設(shè)置Console口、Telnet登錄參數(shù)

linecon0

passwordcisco

login

linevty04

passwordcisco

login交換機(jī)端口配置1、進(jìn)入端口

switch#

confterminal

switch(config)#int

f0/1

(指定一個(gè)端口)

switch(config)#

intrange

f0/2-5

(指定連續(xù)的一組端口)

switch(config)#

intrange

f0/6,f0/9

(指定不連接的端口)

激活端口

switch(config-if)#noshutdown2、配置二層端口交換機(jī)端口默認(rèn)都是二層端口，在支持三層交換的交換機(jī)上，我們可以將每一個(gè)端口都配置成路由端口（在進(jìn)入端口配置狀態(tài)下，輸入“noswitchport”命令），如果一個(gè)端口已經(jīng)配置為三層端口，我們可以在其端口狀態(tài)下，輸入“switchport”命令使其恢復(fù)為交換端口。示例：（若SW3550中F0/2口已配成三層端口，現(xiàn)要恢復(fù)為二層端口）

sw3550#configterminal

sw3550(config)#intf0/2

switch(config-if)#switchport

2）配置端口描述

switch(config)#intf0/6

switch(config-if)#descriptionlinktovlan2

switch(config)#intf0/7

switch(config-if)#descriptionlinktosw3560f0/24

1）配置端口速率及雙工模式

switch(config)#intf0/1

(配置一個(gè)端口)

或switch(config)#intrangef0/2-5

(配置一組端口)

switch(config-if)#speed100

switch(config-if)#duplexfullfull：全雙工

half：半雙工

auto：自動(dòng)3、配置三層端口在交換機(jī)上所說的三層端口，往往指的是VLAN的虛擬接口或三層交換中使用了“noswitchport”命令后的普通物理端口。

1）配置三層交換機(jī)端口IP地址示例：

sw3560(config)#

int

f0/1

sw3560(config-if)#ipadd

sw3560(config-if)#noshut

2）配置二層交換機(jī)VLAN地址示例：

sw2950(config)#

int

vlan2

sw2950(config-if)#ipadd

sw2950(config-if)#noshut

switch(config)#interface

f0/1

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportport-security

switch(config-if)#switchportport-securitymac-address5、端口安全配置showinterface[interface-id]showinterface[interface-id]statusshowinterface[interface-id]switchportshowinterface[interface-id]descriptionshowipinterface[interface-id]showipinterface[interface-id]briefshowrunning-configinterface[interface-id]4、監(jiān)控及維護(hù)端口交換機(jī)基本管理2)保存配置

現(xiàn)做的配置都記入在RAM中(running-config文件)若需要保存所作的配置，需寫入啟動(dòng)配置文件(startup-config文件)中：

switch#copyrunstart1)為交換機(jī)管理配置地址

默認(rèn)情況下所有端口都在VLAN1下，對(duì)VLAN1設(shè)置一個(gè)IP地址以方便管理

switch#conft

switch(config)#interfacevlan1

switch(config-if)#ipadd54

1、虛擬局域網(wǎng)（VLAN）的概念VLAN是一種邏輯上的局域網(wǎng)，它可以不考慮用戶的物理位置而根據(jù)功能、應(yīng)用等因素將用戶邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的虛擬網(wǎng)絡(luò)，每個(gè)用戶主機(jī)都連接在一個(gè)支持VLAN的交換機(jī)端口上并屬于一個(gè)VLAN。同一個(gè)VLAN中的成員都共享廣播，而不同VLAN之間的廣播信息是相互隔離的。這樣，就將整個(gè)網(wǎng)絡(luò)分割成多個(gè)不同的廣播域。每一個(gè)VLAN均可看成是一個(gè)邏輯網(wǎng)絡(luò)，發(fā)往另一個(gè)VLAN的數(shù)據(jù)包必須由路由器或具有路由功能的交換機(jī)轉(zhuǎn)發(fā)。虛擬局域網(wǎng)VLAN及配置Switch劃分VLAN后分割成兩個(gè)廣播域財(cái)務(wù)室VLAN開發(fā)部VLAN劃分VLANVLAN的物理結(jié)構(gòu)與邏輯結(jié)構(gòu)一個(gè)VLAN就是一個(gè)廣播域，包含了一組連接具有相同屬性且物理位置無(wú)關(guān)的接口一個(gè)VLAN對(duì)應(yīng)一個(gè)IP子網(wǎng)段VLAN內(nèi)部的單播、組播、廣播數(shù)據(jù)只在VLAN內(nèi)部傳輸實(shí)現(xiàn)VLAN間通信必須借助于路由器(或具有三層交換功能的交換機(jī)）VLAN的優(yōu)點(diǎn)隔離廣播域減少網(wǎng)絡(luò)管理開銷；增強(qiáng)網(wǎng)絡(luò)的安全性；實(shí)現(xiàn)組網(wǎng)的靈活性。VLAN在交換機(jī)上的實(shí)現(xiàn)方法，適用于局域網(wǎng)的主要有三類:2、VLAN的劃分方法

1）基于端口劃分的VLAN這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。2）基于MAC地址劃分VLAN

即對(duì)每個(gè)MAC地址的主機(jī)都配置屬于哪個(gè)VLAN，VLAN交換機(jī)跟蹤屬于VLANMAC的地址。3）基于網(wǎng)絡(luò)層IP地址劃分VLAN

這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然保留不變。1）VLAN范圍

VLAN的范圍為1~4096。Vlan1是基本VLAN，所有未被劃分的接口都屬于Vlan1。Vlan0、Vlan4095：保留Vlan1：基本VLANVlan2~~1001：用于以太網(wǎng)Vlan1002：FDDI-DefaultVlan1003：Token-Ring-DefaultVlan1004：FDDInet-DefaultVlan1005：TRnet-defaultVlan1024~~4094：用于擴(kuò)展的以太網(wǎng)ISL封裝只支持到1005；802.1Q支持全部3、VLAN的配置2）創(chuàng)建VLAN

方法一：特權(quán)模式下進(jìn)入VLAN數(shù)據(jù)庫(kù)模式

switch#vlandatabase

switch(vlan)#vlan2

namezw

switch(vlan)#vlan3

方法二：全局模式下

switch#configt

switch(config)#vlan4

switch(config)#

name

v4

3、VLAN的配置3）刪除VLAN

方法一：VLAN數(shù)據(jù)庫(kù)模式下

switch#vlandatabase

switch(vlan)#novlan2

方法二：全局模式下

switch#configt

switch(config)#novlan43、VLAN的配置4）與接口的綁定

（若沒有綁定接口，接口默認(rèn)都在VLAN1下）

switch(config)#intf0/2

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportaccessvlan2

或switch(config-if)#intrangef0/3-8

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportaccessvlan35）顯示VLAN

顯示整個(gè)VLAN信息:

switch#showvlan

顯示某個(gè)VLAN信息:

switch#showvlanbrief

查看端口的詳細(xì)信息和所屬的VLAN信息:

switch#showintf0/2switchport

3、VLAN的配置交換機(jī)的端口，可以分為以下兩種：訪問鏈接（AccessLink）指的是“只屬于一個(gè)VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下，訪問鏈接所連的是客戶機(jī)。匯聚鏈接（TrunkLink）交換機(jī)之間要傳遞VLAN信息時(shí)，所鏈接的端口要設(shè)置成指“Trunk”模式。

VLAN中繼協(xié)議及配置中繼(Trunk)主要用來傳遞多個(gè)VLAN的信息1、中繼(Trunk)的概念中繼（Trunk）獨(dú)立于VLAN，能夠連接不同的VLAN，能夠跨越多個(gè)交換機(jī)的相同VLAN。網(wǎng)絡(luò)設(shè)備間的級(jí)連采用Trunk方式，級(jí)連端口不屬于任何設(shè)備，即該端口所建立的網(wǎng)絡(luò)設(shè)備間的級(jí)連鏈路是所有VLAN進(jìn)行通信的公用通道。當(dāng)在由多個(gè)交換機(jī)互聯(lián)的網(wǎng)絡(luò)中使用VLAN時(shí)，需要在交換機(jī)之間使用VLAN中繼。使用VLAN中繼時(shí)，交換機(jī)標(biāo)記發(fā)往中繼線的每個(gè)幀，以便接收幀的交換機(jī)知道幀屬于哪個(gè)VLAN。1）ISL(Inter-SwitchLink):Cisco私有封裝，支持1024個(gè)Vlan

2）802.1q:國(guó)際標(biāo)準(zhǔn)封裝，可支持4096個(gè)Vlan

ISL頭部

（26字節(jié)）以太網(wǎng)幀

(1518字節(jié))CRC

(4字節(jié))DMACSMACTag類型DataFCS4字節(jié)，VlanID字段2、Trunk的封裝中繼是連網(wǎng)技術(shù)中的重要組成部分，Cisco交換機(jī)支持兩種不同的中繼協(xié)議----ISL和IEEE802.1Q。

（Cisco的1900只支持ISL，2950只支持802.1q，2970及以上兩種都支持）

int

f0/24switchporttrunkencapsulation

{ISL/802.1q}switchportmodetrunk

showinttrunk3、Trunk的配置VTP是一種通過Trunk來進(jìn)行VLAN管理的協(xié)議，屬于Client/Server方式。首先，VTP包含域的概念，只有處在同一個(gè)域內(nèi)的交換機(jī)才構(gòu)成一個(gè)管理體系。其次，對(duì)于整個(gè)域內(nèi)VLAN的添加和刪除都是在服務(wù)器端完成的。修改的結(jié)果通過Trunk發(fā)給客戶端，客戶端的VLAN數(shù)據(jù)庫(kù)也會(huì)發(fā)生相應(yīng)的變化。4、VLAN中繼協(xié)議VTP(Vlantrunkprotocol)1）VTP作用

通過VTP協(xié)議來動(dòng)態(tài)管理Vlan，同步VTP域中Vlan的信息2）VTP相關(guān)概念

VTP協(xié)議的參數(shù)：VTP版本VTP配置修訂號(hào)VTP域名VTP修剪VTP密碼VLAN信息要一致修訂號(hào)高的同步配置低的要相同Vlan號(hào)、Vlan名可進(jìn)行VTP修剪Pruning3）VTP的工作模式：Server服務(wù)器模式Client客戶機(jī)模式Transparent透明模式可在本地創(chuàng)建、刪除、修改vlan可以產(chǎn)生、發(fā)送、接收、處理VTP信息可以保存vlan信息不能創(chuàng)建、刪除、修改vlan可以發(fā)送、接收、處理VTP信息只接收轉(zhuǎn)發(fā)，不處理、不產(chǎn)生VTP信息可在本地創(chuàng)建、刪除、修改vlanVTP配置修訂號(hào)始終為04）VTP的同步原則：VTP域名不能為空VTP域名必須一致配置修訂號(hào)高的同步配置修訂號(hào)低的只同步Vlan信息，不同步Vlan與接口綁定信息只在trunk傳輸VTP信息5）VTP的配置：配VTP域名：switch(config)#vtpdomain

hngy設(shè)VTP模式：switch(config)#vtpmode

{server/client/transparent}查看VTP狀態(tài)：switch#showvtpstatus6）VTP的修剪（Pruning）：switch(config)#vtppruningVTP修剪是在trunk鏈路上自動(dòng)修剪vlan流量的制度。VTP修剪阻止掉廣播和未知目標(biāo)單播流向在vlan中沒有任何端口的交換機(jī)。VTP修剪是使用VTP最重要的兩個(gè)原因之一，另一個(gè)原因是使vlan配置更容易、更靈活。VLAN間路由VLAN在第2層執(zhí)行網(wǎng)絡(luò)分區(qū)和通信量分離。所以，如果沒有具有路由功能的第3層設(shè)備，VLAN間就不能通信，因?yàn)榫W(wǎng)絡(luò)層（第3層）設(shè)備負(fù)責(zé)在多個(gè)廣播域間通信。要在VLAN間提供路由選擇必須具有3個(gè)條件：1）一個(gè)具有VLAN能力的交換機(jī)2）一個(gè)路由器或具有路由功能的交換機(jī)3）在交換機(jī)和路由器之間配置特定的連接方式

V2V3VLAN間路由發(fā)展過程:早期每個(gè)VLAN接到路由器的端口上，通過路由器進(jìn)行轉(zhuǎn)發(fā)。中期路由器支持Trunk鏈路后，采用Trunk和子接口的模式，實(shí)現(xiàn)單臂路由。后期交換機(jī)中整合了路由功能，可直接通過帶路由功能的交換機(jī)進(jìn)行VLAN間路由。1、三層及以上交換機(jī)VLAN間路由配置：步驟說明命令第一步進(jìn)入各個(gè)VLANinterfacevlanvlan-id第二步配置各VLAN的IP地址及掩碼ipaddressip-addresssubnet第三步激活各VLANnoshutdown第四步啟動(dòng)交換機(jī)的IP路由功能iprouting第五步查看路由配置showiproute2、單臂路由器進(jìn)行VLAN間路由配置：園區(qū)網(wǎng)典型布署1）交換機(jī)基礎(chǔ)性配置2）設(shè)置VTPDOMAIN、VTPMODE3）配置中繼（中心、分支交換機(jī)上都設(shè)置）4）創(chuàng)建VLAN（在VTPServer上設(shè)置）5）將交換機(jī)端口劃入VLAN6）配置VLAN間路由1、布署方案2、案例拓樸F0/23F0/24trunktrunk1樓2950-12樓2950-2大樓交換機(jī)3560F0/1-5F0/24F0/24F0/6-10F0/1-5F0/6-10Vlan10Vlan20Vlan10Vlan203、命名及VLAN和IP地址分配部門Vlan名VlanID網(wǎng)關(guān)地址網(wǎng)段地址財(cái)務(wù)部finance1054/24技術(shù)部techniqy2054/24大樓交換機(jī)1樓交換機(jī)2樓交換機(jī)命名SW_3560SW_2950_fl1SW_2950_fl2VTPdomainCiscoCiscociscoVTPmodeServerClientclient二、配置實(shí)現(xiàn)1）交換機(jī)基礎(chǔ)性配置SW3560：switch#configtswitch(config)#hostnamesw_3560SW2950-1：switch#configtswitch(config)#hostnamesw_2950_fl1SW2950-2：switch#configt