第4章虛擬局域網(wǎng)

虛擬局域網(wǎng)虛擬局域網(wǎng)4.2虛擬局域網(wǎng)的劃分24.4虛擬局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)4

4.1虛擬局域網(wǎng)概述

314.3虛擬局域網(wǎng)的基本配置334.5三層交換技術(shù)54.1虛擬局域網(wǎng)概述

廣播風(fēng)暴的產(chǎn)生廣播風(fēng)暴導(dǎo)致的后果虛擬局域網(wǎng)的產(chǎn)生如何解決廣播風(fēng)暴的問(wèn)題廣播風(fēng)暴的產(chǎn)生沖突域廣播域中繼器連接的兩個(gè)網(wǎng)段構(gòu)成一個(gè)沖突域構(gòu)成一個(gè)廣播域網(wǎng)橋連接的兩個(gè)網(wǎng)段構(gòu)成不同的沖突域同屬一個(gè)廣播域集線器所有接口上的主機(jī)共同構(gòu)成一個(gè)沖突域所有接口上的主機(jī)也同屬一個(gè)廣播域路由器每個(gè)接口屬于一個(gè)廣播域交換機(jī)每個(gè)接口屬于一個(gè)沖突域所有的接口屬于同一個(gè)廣播域廣播風(fēng)暴的產(chǎn)生在交換機(jī)構(gòu)成的網(wǎng)絡(luò)中，所有設(shè)備都會(huì)轉(zhuǎn)發(fā)廣播幀，因此任何一個(gè)廣播幀或多播幀（MulticastFrame）都將被廣播到整個(gè)局域網(wǎng)中的每一臺(tái)主機(jī)，如圖4-1所示，主機(jī)A向主機(jī)B通信，它首先廣播一個(gè)ARP請(qǐng)求，以獲取主機(jī)B的MAC地址；此時(shí)主機(jī)A上連的二層交換機(jī)收到ARP廣播后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding泛洪；接著，其他的收到這個(gè)廣播幀的交換機(jī)（包括三層交換機(jī)）也會(huì)作同樣的處理，最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有主機(jī)上；如果此時(shí)網(wǎng)絡(luò)中的其他主機(jī)也要和別的主機(jī)進(jìn)行通信，必然產(chǎn)生大量的廣播。廣播風(fēng)暴的產(chǎn)生圖4-1ARP廣播擴(kuò)散廣播風(fēng)暴導(dǎo)致的后果在網(wǎng)絡(luò)通信中，廣播信息是普遍存在的，這些廣播幀將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通信效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。那么如何解決廣播風(fēng)暴的問(wèn)題（在交換機(jī)上劃分vlan）路由器能實(shí)現(xiàn)對(duì)廣播域的分割和隔離。但路由器所帶的以太網(wǎng)接口數(shù)量很少，一般為1-4個(gè)，遠(yuǎn)遠(yuǎn)不能滿足對(duì)網(wǎng)絡(luò)分段的需要，而交換機(jī)配備有較多的以太網(wǎng)端口，為在交換機(jī)中實(shí)現(xiàn)不同網(wǎng)段的廣播隔離產(chǎn)生了VLAN交換技術(shù)。一個(gè)VLAN就是一個(gè)網(wǎng)段，通過(guò)在交換機(jī)上劃分VLAN（同一交換機(jī)上可劃分不同的VLAN，不同的交換機(jī)上可屬于同一個(gè)VLAN），可將一個(gè)大的局域網(wǎng)劃分成若干個(gè)網(wǎng)段，每個(gè)網(wǎng)段內(nèi)所有主機(jī)間的通信和廣播僅限于該VLAN內(nèi)，那么廣播幀不會(huì)被轉(zhuǎn)發(fā)到其他網(wǎng)段。即一個(gè)VLAN就是一個(gè)廣播域，VLAN間不能直接通信，從而實(shí)現(xiàn)了對(duì)廣播域的分割和隔離。圖4-2VLAN的廣播域4.2虛擬局域網(wǎng)的劃分

4.2.1VLAN的劃分方法在實(shí)際應(yīng)用中，通常需要跨越多臺(tái)交換機(jī)的多個(gè)端口劃分VLAN，比如，同一個(gè)部門(mén)的員工，可能會(huì)分布在不同的建筑物或不同的樓層中，此時(shí)的VLAN，將跨越多臺(tái)交換機(jī)，VLAN的劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制，如圖4-5所示。圖4-5跨交換機(jī)劃分VLANVLAN的劃分方法1.靜態(tài)靜態(tài)實(shí)現(xiàn)方式中，網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個(gè)VLAN。這種配置簡(jiǎn)單、安全、易于實(shí)現(xiàn)和監(jiān)視。虛擬局域網(wǎng)的實(shí)現(xiàn)有兩種2.動(dòng)態(tài)動(dòng)態(tài)實(shí)現(xiàn)方式中，管理員必須先建立一個(gè)較復(fù)雜的數(shù)據(jù)庫(kù)，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號(hào)，這樣，當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時(shí)交換機(jī)自動(dòng)把這個(gè)網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動(dòng)態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實(shí)現(xiàn)動(dòng)態(tài)VLAN時(shí)必須利用管理軟件來(lái)進(jìn)行管理。在CISCO交換機(jī)上可以使用VLAN管理策略服務(wù)器（VMPS）實(shí)現(xiàn)基于MAC地址的動(dòng)態(tài)VLAN配置。它建立MAC地址與VLAN的映射表。按照定義VLAN成員關(guān)系的不同，虛擬局域網(wǎng)有以下幾種：

基于端口的VLAN

基于策略的VLAN

基于協(xié)議的VLAN基于MAC地址的VLAN

基于IP組播VLAN基于IP子網(wǎng)的VLAN其中只有按端口號(hào)劃分的屬于靜態(tài)方式，其余的都屬于動(dòng)態(tài)方式。1．基于端口的VLAN

針對(duì)交換機(jī)的端口進(jìn)行VLAN的劃分，它不受接在交換機(jī)端口上的主機(jī)的變化而變化，是目前最常用的一種VLAN劃分方法。實(shí)際上它是一些交換端口的集合，管理員只需管理和配置這些交換端口，而不管交換端口連接的是什么設(shè)備（PC機(jī)、交換機(jī)、路由器等），此種方法簡(jiǎn)單有效，VLAN從邏輯上把交換機(jī)端口劃分為不同的邏輯子網(wǎng)，各虛擬子網(wǎng)相對(duì)獨(dú)立。但是當(dāng)一個(gè)客戶站從一個(gè)端口移到另一個(gè)端口時(shí)，網(wǎng)管人員將不得不對(duì)VLAN成員進(jìn)行重新配置。銳捷網(wǎng)絡(luò)的交換設(shè)備上基于端口的VLAN分為Port-VLAN和Tag-VLAN兩類，其對(duì)應(yīng)用的模式為Access和Trunk，Access模式所對(duì)應(yīng)的端口只能屬于一個(gè)Port-VLAN，Trunk模式所對(duì)應(yīng)的端口可以透明地傳輸交換機(jī)上所有的VLAN幀，作為跨交換機(jī)的相同VLAN中數(shù)據(jù)傳輸之用。Trunk端口默認(rèn)是屬于交換機(jī)上所有VLAN的，并可以通過(guò)設(shè)置許可來(lái)限制某些VLAN不能通過(guò)。Trunk端口可以指定一個(gè)Native-VLAN，凡是屬于此Native-VLAN的數(shù)據(jù)包在經(jīng)過(guò)Trunk端口時(shí)，去除其Tag-VLAN的標(biāo)記。2.基于協(xié)議的VLAN在一個(gè)多類型的協(xié)議環(huán)境中，通過(guò)區(qū)分傳輸數(shù)據(jù)所用的三層協(xié)議來(lái)劃分VLAN的成員。但在一個(gè)主要以IP協(xié)議為主的網(wǎng)絡(luò)環(huán)境中，這種方法不太實(shí)用。3.基于MAC地址的VLAN基于主機(jī)的MAC地址進(jìn)行VLAN劃分，是由管理人員指定屬于同一個(gè)VLAN中的各服務(wù)器和客戶機(jī)的MAC地址，該VLAN是一些MAC地址的集合。新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)VLAN。

優(yōu)點(diǎn)：無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng)，由于其MAC地址保持不變，因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置，不需要重新劃分VLAN。因此，用MAC地址定義的VLAN可能看成是基于用戶的VLAN。

缺點(diǎn)：在站點(diǎn)入網(wǎng)時(shí)，所有的用戶都必須被配置（手工方式）到至少一個(gè)VLAN中，只有在此種手工配置之后方可實(shí)現(xiàn)對(duì)VLAN成員的自動(dòng)跟蹤。因此在大型網(wǎng)絡(luò)中采用此方法，初始配置工作會(huì)很大。常僅用此方法將服務(wù)器的MAC地址、端口、VLAN一起綁定，以提高安全性。4.基于IP子網(wǎng)的VLANIP子網(wǎng)指OSI模型的網(wǎng)絡(luò)層，是第三層協(xié)議?；诘谌龑訁f(xié)議的VLAN實(shí)現(xiàn)，在決定VLAN成員身份時(shí)主要是考慮協(xié)議類型或網(wǎng)絡(luò)層地址。根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型來(lái)劃分VLAN，此種類型的VLAN劃分需要將子網(wǎng)地址映射到VLAN，交換設(shè)備則根據(jù)子網(wǎng)地址而將各機(jī)器的MAC地址同一個(gè)VLAN聯(lián)系起來(lái)。優(yōu)點(diǎn)：新站點(diǎn)在入網(wǎng)時(shí)無(wú)需進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的VLAN，并且在第三層上定義的VLAN將不再需要報(bào)文標(biāo)識(shí)，從而可以消除在交換設(shè)備之間傳遞VLAN成員信息而花費(fèi)的開(kāi)銷(xiāo)。在三種VLAN的實(shí)現(xiàn)技術(shù)中，基于網(wǎng)絡(luò)地址的VLAN智能化程度最高，實(shí)現(xiàn)起來(lái)也最復(fù)雜。一個(gè)客戶可以屬于多個(gè)VLAN。目前按端口號(hào)劃分虛擬局域網(wǎng)應(yīng)用較廣泛。5．基于IP組播的VLAN基于組播應(yīng)用進(jìn)行用戶的劃分，即將同一個(gè)組播組劃分在同一VLAN中，這種劃分方法可以將VLAN擴(kuò)大到廣域網(wǎng)，靈活性更大，能通過(guò)路由器進(jìn)行擴(kuò)展，但不太適合于局域網(wǎng)，其效率不高。6．基于策略的VLAN基于策略的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是采用某一策略來(lái)進(jìn)行VLAN的劃分。目前，常用的策略有：按MAC地址按IP地址按以太網(wǎng)協(xié)議類型按網(wǎng)絡(luò)應(yīng)用4.2.2指定NativeVLAN所謂NativeVLAN，也叫缺省VLAN，在這個(gè)接口上收發(fā)未標(biāo)記的報(bào)文，都被認(rèn)為是屬于這個(gè)VLAN的。通常VLAN1作為缺省的NativeVLAN，最好不要?jiǎng)h除。當(dāng)一個(gè)未標(biāo)記的幀經(jīng)過(guò)trunk口時(shí)，會(huì)打上NativeVLAN的標(biāo)記；一個(gè)已標(biāo)記的幀經(jīng)過(guò)trunk口時(shí)，如果其標(biāo)記的VLAN與trunk口的NativeVLAN相同，則會(huì)剝?nèi)?biāo)記。一個(gè)交換機(jī)的端口若定義為AccessPort，在未將此端口分給任何VLAN時(shí)，缺省情況下屬于VALN1，此時(shí)其N(xiāo)ativeVLAN也就是VALN1。若將此端口劃分給某個(gè)VLAN（如VLAN10），則此VLAN即為本端口的NativeVLAN，它只能傳輸屬于這個(gè)VLAN的幀，其他幀不能傳輸。一個(gè)交換機(jī)的端口若定義為T(mén)runkport，它能傳輸多個(gè)VLAN的數(shù)據(jù)幀，在沒(méi)有特別指定的情況下，此Trunkport的NativeVLAN為VLAN1。如果此Trunkport的NativeVLAN不是VLAN1，則必須用switchporttrunknativevlan10來(lái)指定NativeVLAN為vlan

10。用noswitchporttrunknativevlan來(lái)恢復(fù)NativeVLAN為vlan

1。在配置Trunk鏈路時(shí)，必須保證連接鏈路的兩個(gè)端口的Trunk口屬于相同的nativeVLAN。4.3虛擬局域網(wǎng)的基本配置

4.3.1VLAN的基本配置和常規(guī)命令交換機(jī)端口MAC地址VLANIDF0/1AAA.AAA.AAA10F0/2BBB.BBB.BBB20F0/3CCC.CCC.CCC10表4-1交換機(jī)端口與VLAN間的對(duì)應(yīng)關(guān)系1．配置PortVLAN的基本步驟（1）創(chuàng)建VLAN10，將它命名為test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#end

（2）把接口0/10加入VLAN10Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end（3）將一組接口加入某一個(gè)VLANSwitch(config)#interfacerangefastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：連續(xù)接口0/1-8，不連續(xù)接口用逗號(hào)隔開(kāi)，但一定要寫(xiě)明模塊編號(hào)2．配置TagVLAN-Trunk的常用命令（1）把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk（2）把端口Fa0/20配置為T(mén)runk端口，但是不包含vlan2：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#end3．配置NativeVLAN

（1）將vlan20指定為nativevlanSwitch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunknativevlan20Switch(config-if)#end（2）將fastethernet0/20的nativevlan恢復(fù)到VLAN1Switch(config)#interfacefastethernet0/20Switch(config-if)#noswitchporttrunknativevlanSwitch(config-if)#end注意：每個(gè)Trunk口的缺省nativeVLAN是VLAN1在配置Trunk鏈路時(shí)，要確保連接鏈路兩端的Trunk口屬于相同的nativeVLAN4．其他VLAN配置命令

（1）顯示所有的VLANSwitch#Showvlan（2）顯示某一端口的相關(guān)信息包括VLAN，TRUNK等Switch#Showinterfacefastethernet0/20swithchport（3）將VLAN信息保存到flash中Switch#writememory（4）從flash中只清除VLAN信息Switch#deleteflash:vlan.dat（5）從RAM中刪除VLANSwitch(config)#novlanVLAN-id4.3.2跨交換機(jī)配置VLAN在同一臺(tái)交換機(jī)上可以創(chuàng)建不同的VLAN，每個(gè)VLAN是一個(gè)廣播域，因而這兩個(gè)不同VLAN的主機(jī)相互不能通信。在不同的交換機(jī)上可以創(chuàng)建相同的VLAN，要想同一VLAN內(nèi)能夠相互通信，要么兩臺(tái)交換機(jī)上僅有一個(gè)VLAN，要么兩臺(tái)交換機(jī)之間的鏈路是TRUNK。TRUNK鏈路連接的兩臺(tái)交換機(jī)，只能相同的VLAN內(nèi)部通信，不同的VLAN之間不能通信?！揪W(wǎng)絡(luò)拓?fù)洹俊緦?shí)驗(yàn)?zāi)康摹浚?）在同一臺(tái)交換機(jī)上創(chuàng)建不同的VLAN，驗(yàn)證相互不能PING通；（2）在不同的交換機(jī)上創(chuàng)建相同的VLAN；（3）配置TRUNK鏈路，驗(yàn)證不同的交換機(jī)相同的VLAN能PING通；同于圖4-74.3.2跨交換機(jī)配置VLAN4.3.2跨交換機(jī)配置VLAN【實(shí)驗(yàn)配置】書(shū)P31-32頁(yè)所示【測(cè)試結(jié)果】1）同一交換機(jī)中劃分不同的VLAN，相互不通2）不同交換機(jī)中屬于同一VLAN，通過(guò)TRUNK鏈路，相互能通【驗(yàn)證命令】S2126G#ping192.168.10.1S2126G#showvlan

S2126G#showinterfaces

FastEthernet0/24S2126G#showinterfacevlanS2126G#showinterfaceswitchportS2126G#showinterfacetrunk4.4虛擬局域網(wǎng)中數(shù)據(jù)的轉(zhuǎn)發(fā)

下面講述交換機(jī)中VLAN數(shù)據(jù)的轉(zhuǎn)發(fā)過(guò)程交換機(jī)通過(guò)MAC地址表進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)，而引入VLAN后，交換機(jī)在MAC地址表中增加VLAN信息，也就是說(shuō)交換機(jī)對(duì)每一個(gè)VLAN都維護(hù)一個(gè)本VLAN的MAC地址表。在數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，先在同一VLAN的MAC地址表中，根據(jù)數(shù)據(jù)幀中的目的MAC地址進(jìn)行查找，若找到的話，就進(jìn)行轉(zhuǎn)發(fā)；若找不到，就向此VLAN的網(wǎng)關(guān)發(fā)送，由此VLAN網(wǎng)關(guān)向其他網(wǎng)段（不同的VLAN）進(jìn)行路由表的查詢。4.4.1同一VLAN不同交換機(jī)之間的數(shù)據(jù)轉(zhuǎn)發(fā)

VLAN內(nèi)的主機(jī)彼此間可以自由通信，當(dāng)VLAN成員分布在多臺(tái)交換機(jī)的端口上時(shí)，使用TRUNK進(jìn)行通信。如圖4-7所示，PC1與PC3之間、PC2與PC4之間的數(shù)據(jù)轉(zhuǎn)發(fā)經(jīng)過(guò)TrunkLink。用于實(shí)現(xiàn)各VLAN在交換機(jī)間通信的鏈路，稱為交換機(jī)的匯聚鏈路或主干鏈路（TrunkLink）。用于提供匯聚鏈路的端口，稱為匯聚端口。匯聚端口的速率應(yīng)在100Mbps以上。引入VLAN后，交換機(jī)的端口按用途分為訪問(wèn)連接端口（AccessLink）和匯聚連接（TrunkLink）端口。訪問(wèn)連接端口連接PC機(jī)，它只屬于某一個(gè)VLAN，并僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。匯聚連接端口屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通信流量。4.4.2不同的VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)

由于二層交換機(jī)是沒(méi)有辦法使不同的vlan進(jìn)行通信的，若要實(shí)現(xiàn)VLAN間的通信，就必須為VLAN設(shè)置路由，可使用路由器或三層交換機(jī)來(lái)實(shí)現(xiàn)。

1．使用單臂路由實(shí)現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)

2．使用三層交換機(jī)實(shí)現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)1．使用單臂路由實(shí)現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)對(duì)于沒(méi)有路由功能的二層交換機(jī)，若要實(shí)現(xiàn)VLAN間的相互通信，就要借助外部的路由器（單臂路由）來(lái)為VLAN指定默認(rèn)路由，此時(shí)路由器的快速以太網(wǎng)接口與交換機(jī)的快速以太網(wǎng)端口，應(yīng)以匯聚鏈路的方式相連，并在路由器的快速以太網(wǎng)接口上，為每一個(gè)VLAN創(chuàng)建一個(gè)對(duì)應(yīng)的邏輯子接口，并設(shè)置邏輯子接口的IP地址，該IP地址以后就成為該VLAN的默認(rèn)網(wǎng)關(guān)（路由）。由于這些邏輯子接口是直接連接在路由器上的，一旦每個(gè)邏輯子接口設(shè)置了IP地址后，路由器就會(huì)自動(dòng)在路由表中為各VLAN添加路由，從而實(shí)現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。如圖4-8所示。當(dāng)路由器的一個(gè)接口連接的交換機(jī)有多個(gè)VLAN時(shí)，這多個(gè)VLAN通過(guò)路由器進(jìn)行不同VLAN之間的通信，產(chǎn)生一個(gè)鏈路連接多個(gè)子網(wǎng)的單臂路由結(jié)構(gòu)。因此有幾個(gè)VLAN就必須建立幾個(gè)邏輯子接口，給每個(gè)邏輯子接口配置IP地址，并與相關(guān)的VLAN建立關(guān)聯(lián)，指定交換機(jī)與路由器之間鏈路的封裝協(xié)議。圖4-8同一VLAN不同交換機(jī)之間的數(shù)據(jù)轉(zhuǎn)發(fā)2．使用三層交換機(jī)實(shí)現(xiàn)不同VLAN之間的數(shù)據(jù)轉(zhuǎn)發(fā)和物理網(wǎng)絡(luò)一樣，一個(gè)VLAN通常和一個(gè)IP子網(wǎng)聯(lián)系在一起。所有在同一個(gè)IP子網(wǎng)中的主機(jī)屬于同一個(gè)VLAN。VLAN之間的通訊可以通過(guò)三層設(shè)備（路由器或者三層交換機(jī)）。使用三層交換機(jī)來(lái)配置VLAN和提供VLAN間的通訊，比使用路由器更好，配置和使用也更方便。三層交換機(jī)與二層交換機(jī)之間的連接有多種方式，可以定義三層交換機(jī)的連接口為以下幾種情況：（1）三層路由口(routedport)：它相當(dāng)于一個(gè)路由器的物理接口，通過(guò)noswitchport命令把一個(gè)三層交換機(jī)的接口設(shè)為三層接口而非缺省時(shí)的二層接口。在三層交換機(jī)上，每個(gè)接口都可以定義為三層路由口，為其配置IP地址，連接某一個(gè)網(wǎng)絡(luò)，通常采用此方式，與二層交換機(jī)的連接，二層交換機(jī)僅屬于同一VLAN，三層交換機(jī)的三層路由口作為此VLAN的網(wǎng)關(guān)接口。（2）TRUNK口，也可以將多個(gè)二層接口聚合成一個(gè)邏輯接口，再使此聚合口為T(mén)RUNK口，這樣下連的二層交換機(jī)可以定義多個(gè)VLAN，這多個(gè)VLAN通過(guò)相互間連接的TRUNK口到達(dá)三層交換機(jī)，在三層交換機(jī)中定義虛擬交換接口(SVI)，也就是各VLAN的網(wǎng)關(guān)，從而通過(guò)三層交換機(jī)的路由模塊，使不同的VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)。銳捷的三層交換機(jī)可以通過(guò)SVI接口（switchvirtualinterfaces）來(lái)進(jìn)行VLAN之間的IP路由。通過(guò)interfacevlan接口配置命令來(lái)創(chuàng)建一個(gè)SVI接口，然后給SVI接口分配一個(gè)IP地址，此IP地址就是這個(gè)VLAN中所有主機(jī)的默認(rèn)網(wǎng)關(guān)，從而建立VLAN之間的路由。（3）三層模式下的聚合鏈路(L3AggregateLink)：它將多個(gè)三層接口進(jìn)行聚合，成為一個(gè)邏輯的三層接口，再給此聚合成的邏輯接口定義為三層口，并指定其IP地址。（4）ACCESS接口。如果將三層交換機(jī)與二層交換機(jī)之間的連接口定義為ACCESS接口，則下連的二層交換機(jī)必須屬于同一VLAN，與此ACCESS接口的VLAN相同。類似地，三層交換機(jī)與三層交換機(jī)之間的連接也有多種方式，分為以下幾種情況：（1）三層路由口(routedport)：上下均為三層接口，屬于同一網(wǎng)段，它相當(dāng)于兩個(gè)路由器互連，通常要通過(guò)三層協(xié)議達(dá)到兩臺(tái)三層交換機(jī)之間的不同網(wǎng)絡(luò)相互通信。（2）TRUNK口，也可以將多個(gè)二層接口聚合成一個(gè)邏輯接口，再使此聚合口為T(mén)RUNK口，這樣下連的三層交換機(jī)相當(dāng)于一臺(tái)二層交換機(jī)，配置簡(jiǎn)單，但如果VLAN較多，此鏈路容易堵塞。（3）三層模式下的聚合鏈路(L3AggregateLink)：它將多個(gè)三層接口進(jìn)行聚合，成為一個(gè)邏輯的三層接口，再給此聚合成的邏輯接口定義為三層口，并指定其IP地址，這種方式同于（1），相當(dāng)于兩臺(tái)路由器互連，只不過(guò)增加了鏈路的帶寬。（4）ACCESS接口。兩個(gè)三層交換機(jī)的ACCESS接口屬于同一VLAN，且下連的三層交換機(jī)都屬于此VLAN，否則，其它VLAN的數(shù)據(jù)不能到達(dá)此ACCESS接口。4.5三層交換技術(shù)

4.5.1三層交換技術(shù)的基本原理VLAN的默認(rèn)設(shè)置是VLAN之間不允許通訊，要實(shí)現(xiàn)VLAN之間的通訊，必須使用路由器。但是路由器要把每一個(gè)數(shù)據(jù)包的目的地址與自己的路由表項(xiàng)對(duì)比以決定數(shù)據(jù)包的去向，處理速度相對(duì)緩慢，如果在大型網(wǎng)絡(luò)核心中使用路由器來(lái)進(jìn)行VLAN間的數(shù)據(jù)交換將降低整個(gè)網(wǎng)絡(luò)的效率。更重要的是，路由器的端口數(shù)有限，從而限制了子網(wǎng)的連接個(gè)數(shù)。于是產(chǎn)生了將交換機(jī)的快速交換能力和路由器的路由尋址能力結(jié)合起來(lái)的三層交換技術(shù)。簡(jiǎn)單地說(shuō)，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題。三層交換（也稱多層交換技術(shù)，或IP交換技術(shù)）是相對(duì)于傳統(tǒng)交換概念而提出來(lái)的。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。一個(gè)具有三層交換功能的交換機(jī)，是一個(gè)帶有第三層路由功能的交換機(jī)，是交換技術(shù)和路由技術(shù)的有機(jī)結(jié)合，并不是簡(jiǎn)單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機(jī)上。硬件上，三層交換機(jī)的接口模塊同二層交換機(jī)的接口模塊一樣，是通過(guò)高速背板/總線（速率在幾十Gbps以上）交換數(shù)據(jù)的，而第三層路由硬件模塊也是插接在高速背板/總線上。這就使得路由模塊可以與需要路由的其他模塊間高速地交換數(shù)據(jù)，從而突破了傳統(tǒng)路由器接口速率的限制，實(shí)現(xiàn)高速路由交換。對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)，如IP/IPX的轉(zhuǎn)發(fā)，可通過(guò)硬件完成。軟件上，路由信息的更新、路由表的維護(hù)、路由的計(jì)算、路由的確定等，都是由軟件完成。4.5三層交換技術(shù)

下面簡(jiǎn)述兩個(gè)使用IP協(xié)議的兩臺(tái)主機(jī)通過(guò)第三層交換機(jī)進(jìn)行通信的過(guò)程。

如圖4-9所示，有4臺(tái)主機(jī)與三層交換機(jī)互聯(lián)。圖4-9三層交換機(jī)通信過(guò)程4.5三層交換技術(shù)

假設(shè)兩個(gè)使用IP協(xié)議的站點(diǎn)A、B通過(guò)第三層交換機(jī)進(jìn)行通信，發(fā)送站點(diǎn)A在開(kāi)始發(fā)送時(shí)，將自己的源IP地址192.168.10.1與B站的目標(biāo)IP地址192.168.10.2進(jìn)行比較，判斷B站是否與自己在同一子網(wǎng)內(nèi)。目的站B與發(fā)送站A在同一子網(wǎng)內(nèi)（VLAN10），則進(jìn)行二層的轉(zhuǎn)發(fā)。二層轉(zhuǎn)發(fā)的具體步驟如下：（1）站點(diǎn)A在轉(zhuǎn)發(fā)數(shù)據(jù)前，必須得到站點(diǎn)B的MAC地址在站點(diǎn)A上從應(yīng)用層到傳輸層、再到網(wǎng)絡(luò)層，封裝成了IP數(shù)據(jù)包，其目標(biāo)IP為站點(diǎn)B的IP192.168.10.2和源IP為站點(diǎn)A的192.168.10.1均放在包頭內(nèi)。從網(wǎng)絡(luò)層到數(shù)據(jù)鏈路層時(shí)，必須知道目標(biāo)的MAC地址，才能封裝從數(shù)據(jù)幀，以便由物理層完成一個(gè)個(gè)Bit的轉(zhuǎn)發(fā)。站點(diǎn)A首先查看自己的ARP表（Windows中用arp–r命令查看ARP表，將顯示IP地址InternetAddress、與MAC地址PhysicalAddress的對(duì)應(yīng)關(guān)系）。如果在ARP表中找不到目標(biāo)IP地址所對(duì)應(yīng)的MAC地址，站點(diǎn)A必須發(fā)送一個(gè)ARP廣播報(bào)文，請(qǐng)求站點(diǎn)B的MAC地址。4.5三層交換技術(shù)

該ARP請(qǐng)求報(bào)文進(jìn)入交換機(jī)后，交換機(jī)首先進(jìn)行源MAC地址學(xué)習(xí)，二層芯片自動(dòng)把站點(diǎn)A的MAC地址0011.2F06.E011以及進(jìn)入交換機(jī)的端口號(hào)1等信息填入到二層芯片的MAC地址表中（MAC地址表是MAC地址與端口之間的對(duì)應(yīng)關(guān)系）。由于此時(shí)是一個(gè)ARP廣播報(bào)文，交換機(jī)把這個(gè)廣播報(bào)文從進(jìn)入交換機(jī)端口所屬的VLAN10中進(jìn)行廣播。站點(diǎn)B收到這個(gè)ARP請(qǐng)求報(bào)文之后，會(huì)立刻發(fā)送一個(gè)ARP回復(fù)報(bào)文，這個(gè)報(bào)文是一個(gè)單播報(bào)文，源MAC地址為站點(diǎn)B的MAC地址0011.2F06.E012，目的MAC地址為站點(diǎn)A的MAC地址0011.2F06.E011。該報(bào)文進(jìn)入交換機(jī)后，交換機(jī)同樣進(jìn)行源MAC地址學(xué)習(xí)，二層芯片同樣把站點(diǎn)B的MAC地址0011.2F06.E012以及站點(diǎn)B進(jìn)入交換機(jī)的端口號(hào)2等信息填入到二層芯片的MAC地址表中，此時(shí)二層芯片就完成了站點(diǎn)A和B與端口之間的對(duì)應(yīng)關(guān)系（MAC地址與端口之間的對(duì)應(yīng)表）。根據(jù)此MAC地址表中，交換機(jī)就能把此單播報(bào)文從站點(diǎn)A對(duì)應(yīng)的端口中轉(zhuǎn)發(fā)給站點(diǎn)A。一旦站點(diǎn)A知道站點(diǎn)B的MAC地址后，就在自己的ARP表中記錄了站點(diǎn)B的IP地址和MAC地址之間的對(duì)應(yīng)關(guān)系。4.5三層交換技術(shù)

（2）站點(diǎn)A產(chǎn)生數(shù)據(jù)幀（幀1），并在物理層發(fā)送此數(shù)據(jù)幀。（3）交換機(jī)收到站點(diǎn)A發(fā)來(lái)的幀1后，首先在此數(shù)據(jù)幀上加上VLAN10的標(biāo)記，變成幀2，然后交換機(jī)通過(guò)查找MAC地址表（交換機(jī)上的命令為showmac-address-table），發(fā)現(xiàn)站點(diǎn)B連在交換機(jī)的端口2上；因此第二層交換模塊將數(shù)據(jù)幀2去除VLAN10標(biāo)記后，又變成了幀1，從端口2發(fā)送給站點(diǎn)B。（4）以后A、B之間進(jìn)行通信或者同一網(wǎng)段的其他站點(diǎn)想要與A或與B通信，交換機(jī)只要通過(guò)查找MAC地址表就知道該把報(bào)文從哪個(gè)端口送出了。如果在查找MAC地址表時(shí)找不到匹配表項(xiàng)，交換機(jī)就會(huì)在進(jìn)入端口所屬的VLAN中廣播，從而得到目標(biāo)MAC地址與端口的對(duì)應(yīng)關(guān)系。這些都是由二層交換模塊完成的。4.5三層交換技術(shù)

下面我們看一下兩個(gè)站點(diǎn)通過(guò)三層模塊實(shí)現(xiàn)跨VLAN的通信是怎樣一個(gè)過(guò)程。（1）站點(diǎn)A向站點(diǎn)C發(fā)送數(shù)據(jù)時(shí)，站點(diǎn)A檢查出自己與站點(diǎn)C不在同一子網(wǎng)內(nèi)（分屬VLAN10，VLAN20），因此站點(diǎn)A將把數(shù)據(jù)發(fā)送給自己的默認(rèn)網(wǎng)關(guān)（默認(rèn)網(wǎng)關(guān)通過(guò)TCP/IP協(xié)議中已指定）。站點(diǎn)A同樣把數(shù)據(jù)從應(yīng)用層到傳輸層，到網(wǎng)絡(luò)層，封裝成了IP數(shù)據(jù)包，其目標(biāo)IP為站點(diǎn)C的IP192.168.20.1和源IP為站點(diǎn)A的192.168.10.1均放在包頭內(nèi)。從網(wǎng)絡(luò)層到數(shù)據(jù)鏈路層時(shí)，必須得到默認(rèn)網(wǎng)關(guān)的MAC地址。站點(diǎn)A先查自己的ARP表，找到默認(rèn)網(wǎng)關(guān)的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。如果ARP表中沒(méi)有這一項(xiàng)，同樣要向此“默認(rèn)網(wǎng)關(guān)”發(fā)出ARP請(qǐng)求報(bào)文，而“默認(rèn)網(wǎng)關(guān)”的IP地址其實(shí)就是三層交換機(jī)上站點(diǎn)A所屬VLAN的IP地址（SVI地址）。當(dāng)發(fā)送站A對(duì)“默認(rèn)網(wǎng)關(guān)”的IP地址廣播出一個(gè)ARP請(qǐng)求時(shí)，交換機(jī)就向發(fā)送站A回一個(gè)ARP回復(fù)報(bào)文，告訴站點(diǎn)A交換機(jī)此VLAN10的MAC地址，同時(shí)通過(guò)軟件把站點(diǎn)A的IP地址、MAC地址、與交換機(jī)直接相連的端口號(hào)等信息記錄到三層模塊相關(guān)表項(xiàng)中。站點(diǎn)A收到這個(gè)ARP回復(fù)報(bào)文之后，產(chǎn)生數(shù)據(jù)幀（幀3），并向交換機(jī)的第三層模塊發(fā)送此數(shù)據(jù)幀3。4.5三層交換技術(shù)

（2）交換機(jī)收到此數(shù)據(jù)幀3后，加上VLAN10的標(biāo)記，形成數(shù)據(jù)幀4，交給交換機(jī)的第三層模塊，第三層模塊像路由器一樣處理數(shù)據(jù)包。首先第三層模塊打開(kāi)此數(shù)據(jù)幀4，取出其中的IP包，根據(jù)目標(biāo)IP地址192.168.20.1，查找路由表，在三層交換機(jī)上用showiproute命令，效果如下：C192.168.10.0/24isdirectlyconnected,Vlan10C192.168.20.0/24isdirectlyconnected,Vlan20從而找到了目標(biāo)路由為直連網(wǎng)段之一（VLAN20）。如果路由表中沒(méi)有找到匹配的表項(xiàng)，則第三層模塊會(huì)把IP包送給CPU處理，進(jìn)行軟路由，或報(bào)出錯(cuò)。（3）交換機(jī)第三層模塊再將此IP包從VLAN10轉(zhuǎn)到VLAN20的SVI接口上，準(zhǔn)備重新封裝成新的數(shù)據(jù)幀。在三層交換機(jī)中找ARP表（showarp），查找站點(diǎn)C的IP地址所對(duì)應(yīng)的MAC地址，如果沒(méi)有找到，則在VLAN20范圍內(nèi)進(jìn)行ARP廣播。從下列表中可知，三層交換機(jī)的多個(gè)VLAN的SVI的MAC地址都是其三層模塊的MAC地址（HardwareAddr：00E0.F90E.ACE0）。ProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet192.168.10.110011.2f06.e011 ARPAVlan10Internet192.168.10.254-00E0.F90E.ACE0ARPAVlan10Internet192.168.20.110011.2f06.e021 ARPAVlan20Internet192.168.20.254-00E0.F90E.ACE0ARPAVlan20然后，將源MAC地址為VLAN20的HardwareAddr：00E0.F90E.ACE0，目標(biāo)MAC地址為站點(diǎn)C的MAC地址0011.2f06.e021，形成新的數(shù)據(jù)幀5（含有VLAN20的標(biāo)記）。交換機(jī)的第二層模塊收到數(shù)據(jù)幀5后，再根據(jù)站點(diǎn)C的MAC地址0011.2f06.e021，在二層模塊中查找VLAN20中的MAC地址表，找出站點(diǎn)C所在的端口f0/3。4.5三層交換技術(shù)

（4）交換機(jī)第三層模塊把此數(shù)據(jù)幀5去除VLAN20標(biāo)記，產(chǎn)生數(shù)據(jù)幀6從站點(diǎn)C所在的端口f0/3轉(zhuǎn)發(fā)出去。（5）經(jīng)過(guò)一次路由后，交換機(jī)的二層模塊中已經(jīng)保留了不同VLAN兩站點(diǎn)的MAC地址，如下所示：VlanMacAddressTypePorts1000d0.97d1.3e61DYNAMICFa0/120000d.bde9.227eDYNAMICFa0/2因此，下一次站點(diǎn)A、C之間再通信時(shí)，交換機(jī)直接把數(shù)據(jù)幀從指定的端口轉(zhuǎn)發(fā)出去。而不必再將數(shù)據(jù)交三層模塊進(jìn)行拆幀、查路由表、封幀的過(guò)程。這就是所謂的“一次路由，多次交換”的工作模式，大大提高了轉(zhuǎn)發(fā)速度。4.5.2三層交換技術(shù)的基本配置

【網(wǎng)絡(luò)拓?fù)洹咳鐖D4-9【實(shí)驗(yàn)環(huán)境】如圖4-9【實(shí)驗(yàn)?zāi)康摹浚?）在一臺(tái)三層交換機(jī)上創(chuàng)建不同的VLAN；（2）驗(yàn)證不同的VLAN相互PING通；圖4-9三層交換機(jī)通信過(guò)程4.5.2三層交換技術(shù)的基本配置【實(shí)驗(yàn)配置】(重要步驟如下)交換機(jī)S3550-24:Switch(config)#intvlan20

注：創(chuàng)建虛擬接口vlan20Switch(config-if)#ipaddress192.168.20.254255.255.255.0注：配置虛擬接口vlan20的地址為192.168.20.254Switch(config-if)#noshutdown注：手工打開(kāi)虛擬接口vlan20Switch(config-if)#exit

注：返回到全局配置模式4.5.2三層交換技術(shù)的基本配置

【驗(yàn)證命令】Switch#showipint【測(cè)試結(jié)果】將PCA、PCB、PCC、PCD分別插到端口1、端口2、端口3、端口4上，將PCA、PCB、PCC、PCD的地址分別為192.168.10.1、192.168.10.2、192.168.20.1、192.168.20.2；PCA和PCB的默認(rèn)網(wǎng)關(guān)設(shè)置為192.168.10.254，PCC和PCD的默認(rèn)網(wǎng)關(guān)設(shè)置為192.168.20.254。在PCA上PING192.168.10.2、192.168.20.1、192.168.20.2，都能PING通；4.6單臂路由在虛擬局域網(wǎng)中的應(yīng)用

【網(wǎng)絡(luò)拓?fù)洹客趫D4-8【實(shí)驗(yàn)環(huán)境】（1）把幾臺(tái)主機(jī)與一臺(tái)二層交換機(jī)相連，建立兩個(gè)VLAN：2和3（2）將二層交換機(jī)的24號(hào)端口與一臺(tái)路由器相連【實(shí)驗(yàn)?zāi)康摹空莆諉伪勐酚傻呐渲梅椒?，使不同VLAN的兩臺(tái)主機(jī)能夠ping通對(duì)方圖4-8同一VLAN不同交換機(jī)之間的數(shù)據(jù)轉(zhuǎn)發(fā)4.6單臂路由在虛擬局域網(wǎng)中的應(yīng)用

【實(shí)驗(yàn)配置】書(shū)p41-42頁(yè)（重點(diǎn)關(guān)注路由器的配置）/*配置子端口，子端口號(hào)10自定，但不能與VLAN號(hào)相同*/R2632(config)#intf1/0.10/*封裝命令為encdot1qVLAN號(hào)，2為VLAN號(hào)*/R2632(config-subif)#encdot1q2/*設(shè)置子端口的IP地址為192.168.2.1*/R2632(config-subif)#ipadd192.168.2.1255.255.255.0R2632(config-subif)#noshutR2632(config-subif)#exit/*配置子端口，子端口號(hào)這20自定*/R2632(config)#intf1/0.20/*封裝命令為encdot1qVLAN號(hào)，3為VLAN號(hào)*/R2632(config-subif)#encdot1q3R2632(config-subif)#ipadd192.168.3.1255.255.255.0R2632(config-subif)#noshutR2632(config-subif)#exit4.6單臂路由在虛擬局域網(wǎng)中的應(yīng)用

【測(cè)試結(jié)果】（1）將VLAN2中的計(jì)算機(jī)PC1和PC2的IP地址設(shè)置在192.168.2.0/24的網(wǎng)段，網(wǎng)關(guān)為為192.168.2.1，將VLAN3中的計(jì)算機(jī)PC3等的IP地址設(shè)置在192.168.3.0/24的網(wǎng)段，網(wǎng)關(guān)為192.168.3.1，VLAN2中的計(jì)算機(jī)PINGVLAN3中的計(jì)算機(jī)，能通?！掘?yàn)證命令】在PC1上ping192.168.2.1ping192.168.2.10ping192.168.3.1ping192.168.3.10在二層交換機(jī)上S2126G#showvlan

S2126G#showinterfaces

FastEthernet0/24S2126G#showinterfacevlanS2126G#showinterfaceswitchportS2126G#showinterfacetrunk4.7虛擬局域網(wǎng)的綜合配置

4.7.1多層交換結(jié)構(gòu)中三層交換機(jī)的配置在多層交換結(jié)構(gòu)中三層交換機(jī)下連多臺(tái)二層交換機(jī)，采用最常用的配置方式，在三層交換機(jī)中定義SVI，完成三層轉(zhuǎn)發(fā)；在三層交換機(jī)與二層交換機(jī)之間采用TRUNK鏈路，并限制此TRUNK鏈路上的VLAN，實(shí)現(xiàn)各子網(wǎng)的互聯(lián)。多層交換結(jié)構(gòu)中三層交換機(jī)的配置【網(wǎng)絡(luò)拓?fù)洹俊緦?shí)驗(yàn)環(huán)境】（1）在三層交換機(jī)端口1上接一臺(tái)二層交換機(jī)，端口24上接另一臺(tái)二層交換機(jī)，作為T(mén)RUNK鏈路，如圖4-10所示（2）在二個(gè)二層交換機(jī)上分別劃分二個(gè)不同的虛擬局域網(wǎng)（3）在三層交換機(jī)上其他的端口劃分二個(gè)不同的虛擬局域網(wǎng)（4）在VLAN10的虛擬局域網(wǎng)中的計(jì)算機(jī)在IP地址在192.168.10.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.10.254；在VLAN20的虛擬局域網(wǎng)中的計(jì)算機(jī)在IP地址在192.168.20.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.20.254圖4-10三層交換機(jī)連接的多層結(jié)構(gòu)多層交換結(jié)構(gòu)中三層交換機(jī)的配置【實(shí)驗(yàn)?zāi)康摹浚?）熟悉二層交換機(jī)和三層交換機(jī)VLAN的配置方法（2）掌握不同的VLAN之間通信的方法【實(shí)驗(yàn)配置】書(shū)上P39-41頁(yè)【測(cè)試結(jié)果】（1）不僅同在一個(gè)VLAN中的計(jì)算機(jī)能PNG通，而且屬不同VLAN的計(jì)算機(jī)也能PING通。（2）要想不同VLAN之間能相互通信，其中一種方法是在三層交換機(jī)上創(chuàng)建VLAN的虛擬接口SVI，并設(shè)置對(duì)應(yīng)VLAN中的計(jì)算機(jī)的網(wǎng)關(guān)為VLAN的虛擬接口IP地址。多層交換結(jié)構(gòu)中路由器的配置用一臺(tái)路由器，其兩個(gè)以太網(wǎng)口分別連接兩臺(tái)二層交換機(jī)，每個(gè)二層交換機(jī)劃分了不同的VLAN，對(duì)路由器和交換機(jī)進(jìn)行配置，使全網(wǎng)互通?！揪W(wǎng)絡(luò)拓?fù)洹繄D4-11路由器連接的多層結(jié)構(gòu)多層交換結(jié)構(gòu)中路由器的配置【實(shí)驗(yàn)環(huán)境】（1）在路由器端口f1/0上接一臺(tái)二層交換機(jī)，端f1/1上接另一臺(tái)二層交換機(jī)。二層交換機(jī)與路由器之間建立TRUNK鏈路，如圖4-11所示。（2）在兩個(gè)二層交換機(jī)上分別劃分兩個(gè)不同的虛擬局域網(wǎng)VLAN2、3、4、5。（3）在路由器上的兩個(gè)以太網(wǎng)端口上建立等量的邏輯子接口，f1/0.2、f1/0.3、f1/1.4、f1/1.5。（4）VLAN2：192.168.2.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.2.1；VLAN3：192.168.3.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.3.1。VLAN4：192.168.4.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.4.254，VLAN5：192.168.5.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.5.254?！緦?shí)驗(yàn)?zāi)康摹浚?）熟悉二層交換機(jī)和路由器的綜合配置方法（2）掌握不同VLAN之間通信的方法【實(shí)驗(yàn)配置】這里只給出路由器的配置：R2632-1：R2632-1(config)#intf1/1.4R2632-1(config-subif)#encdot1q4R2632-1(config-subif)#ipaddress192.168.4.1255.255.255.0R2632-1(config-subif)#noshutR2632-1(config-subif)#exitR2632-1(config)#intf1/1.5R2632-1(config-subif)#encdot1q5R2632-1(config-subif)#ipaddress192.168.5.1255.255.255.0R2632-1(config-subif)#noshutR2632-1(config-subif)#exitR2632-1(config)#intf1/0.2R2632-1(config-subif)#encdot1q2R2632-1(config-subif)#ipaddress192.168.2.1255.255.255.0R2632-1(config-subif)#noshutR2632-1(config-subif)#exitR2632-1(config)#intf1/0.3R2632-1(config-subif)#encdot1q3R2632-1(config-subif)#ipaddress192.168.3.1255.255.255.0多層網(wǎng)絡(luò)結(jié)構(gòu)中三層交換機(jī)與路由器的綜合配置用一臺(tái)路由器的一個(gè)以太網(wǎng)接口與三層交換機(jī)相連，在三層交換機(jī)上連接了不同的子網(wǎng)，使各個(gè)子網(wǎng)能夠訪問(wèn)路由器所連接的外網(wǎng)?！揪W(wǎng)絡(luò)拓?fù)洹繄D4-12路由器連接的多層結(jié)構(gòu)多層網(wǎng)絡(luò)結(jié)構(gòu)中三層交換機(jī)與路由器的綜合配置【實(shí)驗(yàn)環(huán)境】（1）如圖4-12所示。在路由器端口f1/1上連接一臺(tái)三層交換機(jī)，在三層交換機(jī)上劃分兩個(gè)不同的虛擬局域網(wǎng)VLAN4、5，代表不同的局域網(wǎng)內(nèi)網(wǎng)的各個(gè)子網(wǎng)。VLAN4：192.168.4.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.4.254，其計(jì)算機(jī)的IP地址為：192.168.4.4。VLAN5：192.168.5.0/24網(wǎng)段，網(wǎng)關(guān)為192.168.5.254，其計(jì)算機(jī)的IP地址為：192.168.5.5。（2）在路由器另一端口f1/1上連接一臺(tái)了PC機(jī)，IP地址為192.168.0.2，代表外部的網(wǎng)絡(luò)。（3）三層交換機(jī)與路由器之間的連接，可以定義三層交換機(jī)f0/23口為：屬于VLAN1的ACCESS口，使路由器的f1/1與VLAN1在同一網(wǎng)段，在三層交換機(jī)上設(shè)置默認(rèn)路由到下一跳的地址（f1/1的口地址），并定義每一個(gè)VLAN的SVI，使各子網(wǎng)通過(guò)三層交換機(jī)互訪。這種設(shè)置的優(yōu)勢(shì)是三層交換機(jī)內(nèi)網(wǎng)之間的訪問(wèn)全部限制在三層交換機(jī)內(nèi)部，由于園區(qū)網(wǎng)中內(nèi)網(wǎng)的帶寬很高，大都在千兆，有的甚至在萬(wàn)兆以上，從而減少了訪問(wèn)外網(wǎng)的壓力。TRUNK口，在三層交換機(jī)上定義的TRUNK口，能使每一個(gè)VLAN都能通過(guò)，因而無(wú)論是VLAN4，還是VLAN5都會(huì)將自己的數(shù)據(jù)包發(fā)給此TRUNK口，從而增加了路由器處理這些僅需內(nèi)部交換的數(shù)據(jù)包的負(fù)擔(dān)。但是如果內(nèi)網(wǎng)之間相互訪問(wèn)很少，大都是訪問(wèn)外網(wǎng)，且即使內(nèi)網(wǎng)相互訪問(wèn)也要受到限制時(shí)，就可以通過(guò)路由器來(lái)轉(zhuǎn)發(fā)各子網(wǎng)間的數(shù)據(jù)，并定義訪問(wèn)控制列表（目前有些三層交換機(jī)不支持子