網絡設備安裝與調試技術 課件 第3章-局域網和虛擬局域網 華三版-04完整版

第3章

局域網和虛擬局域網編著：

秦燊勞翠金

同一樓層、同一建筑方圓幾米到幾千米范圍之內的計算機通信網絡通常稱為局域網（LAN）。常見的局域網技術包括以太網Ethernet、令牌環(huán)TokenRing、光纖分布式數據接口FDDI等，以太網是一種基于CSMA/CD的共享通信介質的數據網絡通信技術，傳輸速率從早期的10Mbps的標準以太網，發(fā)展到了100Mbps的快速以太網、1Gbps的吉比特以太網和10Gbps的萬兆以太網，成為局域網技術的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網絡屬于共享式以太網，網絡中的所有終端主機都處于同一沖突域中，網絡的帶寬是由接入的主機共享的，接入的主機越多，每臺主機獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機組成的網絡則屬于交換式以太網，各端口處于不同沖突域中，各端口可同時轉發(fā)數據而不引發(fā)沖突，提高了轉發(fā)效率和轉發(fā)質量。交換機和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機還是集線器，它們的端口都處在各自的同一個廣播域中。3.1.1.抓包探究沖突域如圖3-1所示，打開PacketTracer8，分別用交換機和集線器連接電腦組成兩個不同的網絡，即圖中5號位的“交換機網絡”和8號位的“集線器網絡”。給同一網絡中的電腦規(guī)劃和配置同一網段的IP地址，此處兩個網絡都取192.168.1.0/24網段。下面，通過實驗抓包驗證ICMP單播包在集線器與交換機下轉發(fā)時的異同。圖3-1集線器網絡和交換機網絡的ICMP單播包1.在Realtime模式下（圖中1號位），清空并查看“交換機網絡”中（圖中5號位）交換機的MAC地址表。命令如下；Switch#clearmac-address-tableSwitch#showmac-address-table2.切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ICMP”抓包選項。然后在“交換機網絡”上（圖中5號位），點擊PC4，在PC4的命令行界面pingPC6，即在PC4上運行ping192.168.1.3命令，構造形成和準備發(fā)送第一個ICMP包。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結束后，通過點擊圖中4號位的前進和后退按鈕定位到ping命令執(zhí)行的不同階段，查看ping的詳細執(zhí)行過程?？梢钥吹?，交換機轉發(fā)第一個ICMP數據幀時，將數據幀廣播給PC5、PC6、PC7；PC6接收到PC4發(fā)來的數據幀后，發(fā)現是發(fā)給自己的，隨即向PC4回復ICMP單播幀；PC5和PC7發(fā)現數據幀不是發(fā)給自己的，將其丟棄。原因分析如下：第一個ICMP數據幀之所以通過廣播的形式轉發(fā)，是因為交換機的MAC表最初為空，無法查到目標PC6所在的端口。隨著交換機依次學到PC4和PC6的MAC地址并記錄到MAC地址表中，從第二個ICMP數據幀開始，交換機都會根據MAC地址表選擇出端口、以單播的方式轉發(fā)。圖中7號位記錄的是PC6收到PC4發(fā)來的第二個ICMP單播幀的時刻，是點擊圖中6號位的眼睛后面的Switch0后，顯示PC6接收到PC4發(fā)來的ICMP單播幀的內容（圖中7號位左邊）以及回復給PC4的ICMP單播幀的內容（圖中7號位右邊）。4.按照步驟2和步驟3的方法，對“集線器網絡”（圖中8號位）進行PC0pingPC2的ICMP抓包實驗。通過在PC0的命令行界面運行“ping192.168.1.3”命令并進行抓包，可以看到，不論是第一個ICMP包，還是后續(xù)的ICMP包，所有階段集線器都是以廣播的方式轉發(fā)的。這是因為集線器屬于物理層設備，不認識MAC地址，也不具備MAC地址表。以上實驗結果驗證了：由于集線器屬于物理層設備，不能識別MAC地址，只能通過廣播數據幀的方式轉發(fā)數據，整個集線器處于同一個沖突域中；交換機屬于數據鏈路層設備，能識別MAC地址。3.1.2抓包探究廣播域

如圖3-2所示，打開PacketTracer8，分別用集線器和交換機連接電腦組成兩個不同的網絡,包括5號位的“集線器網絡”和8號位的“交換機網絡”。給同一網絡中的電腦規(guī)劃和配置同一網段的IP地址（此處取192.168.1.0/24網段）。下面，通過實驗抓包驗證ping命令引發(fā)的ARP廣播包在集線器與交換機下轉發(fā)時的異同。圖3-2集線器網絡和交換機網絡的ARP廣播包

1.在Realtime模式下（圖中1號位），清空并查看“集線器網絡”中（圖中5號位）PC0的ARP緩存表。點擊PC0，在PC0的命令行界面輸入以下命令：C:\>arp-dC:\>arp-a

2.點擊切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ARP”抓包選項。然后在PC0上pingPC2，即在PC0上運行ping192.168.1.3命令，封裝形成和準備發(fā)送第一個ICMP包，一旦點擊播放按鈕（圖中4號位），將觸發(fā)ping命令的繼續(xù)執(zhí)行，而ping命令將觸發(fā)ARP協議的執(zhí)行，即發(fā)出查詢目標IP地址192.168.1.3對應的MAC地址的廣播幀。Ping命令觸發(fā)廣播的原因如下：ping命令構造的ICMP包從PC0發(fā)出前，要先在第三層（網絡層）套上內層信封，寫上原始發(fā)件人的源IP地址和最終收件人的目的IP地址，再下放到第二層（數據鏈路層），套上外層信封，寫上當前發(fā)件人的源MAC地址和下一跳收件人的目的MAC地址。但封裝第一個ICMP幀時，只知道目標PC1的IP地址，對應的MAC地址未知，所以會觸發(fā)ARP協議發(fā)出廣播，詢問目標IP地址對應的MAC地址?？梢钥吹郊€器收到廣播幀后，將其從所有端口轉發(fā)了出去。當然，集線器對于單播幀也會將其從所有端口轉發(fā)出去，這在“沖突域”實驗中已經驗證過了。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結束后，通過點擊圖中4號位的前進和后退按鈕，定位到ping命令執(zhí)行的不同階段，查看和分析執(zhí)行過程。圖中5號位和6號位展示的是“PC1、PC2、PC3同時收到廣播幀”的時刻。可以看到，PC1和PC3收到廣播幀后將其丟棄，而PC2收到廣播幀后發(fā)現廣播幀的內容是在詢問自己的MAC地址，于是將自己的MAC地址回復給PC0。圖中的7號位，是點擊6號位中的第3個眼睛后面的Hub0后，顯示PC3收到的ARP廣播幀的內容。4.按照步驟1到步驟3（觀察“集線器網絡”廣播域）的方法，對圖中8號位的“交換機網絡”進行ARP廣播幀的抓包和觀察。可以看到，當交換機收到目的MAC地址是FFFF-FFFF-FFFF的廣播幀時，會將其從除源端口之外的其余端口轉發(fā)出去。可見交換機和集線器的廣播域一樣，所有的端口都處于同一個廣播域中。一些不必要的廣播幀不但占用網絡資源，還影響到網絡安全；當有網絡設備發(fā)生故障，導致廣播幀不停發(fā)送時，更會導致廣播風暴，影響正常的網絡通信。因此，有必要按網絡規(guī)模和需求將廣播隔離在必要的范圍內。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網絡分別連接到不同的交換機，交換機再通過路由器連接到一起，實現不同網絡的互聯。這種情況下，當本地廣播包經過路由器時，路由器會將其攔截，實現了對本地廣播的隔離。但這種通過引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉發(fā)，轉發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(VLAN)。下面，我們詳細學習VLAN的相關知識。3.2虛擬局域網

虛擬局域網（VLAN）技術是從邏輯上將一個局域網（LAN）劃分為多個邏輯上獨立的虛擬局域網（VLAN），從而達到隔離廣播的目的。IEEE802.1q協議規(guī)定了VLAN的實現方法，即在傳統的不帶VLAN標簽的數據幀上添加4個字節(jié)的802.1Q標簽，其中的12比特用于存放VLANID，標識不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網的VLAN、基于協議的VLAN、基于端口的VLAN等。在還沒創(chuàng)建新VLAN之前，交換機的所有端口都默認屬于VLAN1，VLAN1是默認存在且不能被刪除的。下面通過案例來分析VLAN的劃分。

3.2.1思科設備配置VLAN

如圖3-3所示，學校某棟樓一樓和二樓的交換機都連接了信工學院、機電學院和財務處的電腦，兩臺交換機的f0/1-9端口劃分給信工學院、f0/10-19端口劃分給機電學院、f0/20-23劃分給財務處，樓層間兩臺交換機的f0/24端口通過交叉線連接。圖3-3樓層間兩臺思科交換機相連的網絡拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。2.為加強安全，避免部門間廣播幀的干擾，決定將信工學院保留在VLAN1、機電學院劃分到VLAN10、財務處劃分到VLAN100。（1）為1樓交換機劃分VLAN，將各端口加入到相應VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#namejiDian//將VLAN10命名為jidianSW1(config-vlan)#exitSW1(config)#vlan100//創(chuàng)建VLAN100SW1(config-vlan)#namecaiWu//將VLAN100命名為caiwuSW1(config-vlan)#exitSW1(config)#interfacerangefastEthernet0/10-19//進入端口配置模式SW1(config-if-range)#switchportmodeaccess//將端口f0/10-19設置為access模式SW1(config-if-range)#switchportaccessvlan10//將端口f0/10-19劃分給vlan10SW1(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/20-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan100SW1(config-if-range)#endSW1#showvlanbrief//查看VLAN信息VLANNameStatus Ports---------------------- -------------------------------1defaultactive Fa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/2410jiDianactive Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19100caiWuactive Fa0/20,Fa0/21,Fa0/22,Fa0/23可以看到，配置完成后，f0/1~f0/9保留在VLAN1，可用于連接信工學院的電腦，VLAN1的默認名稱是default，不能更改；f0/24也保留在了VLAN1，用于將一樓的交換機連接到二樓的交換機；f0/10-19被劃分到VLAN10，命名為jiDian（機電），用于連接機電學院的電腦；f0/20-23被劃分到VLAN20，命名為caiWu（財務），用于連接財務處的電腦。通過ping測試，發(fā)現一樓同一部門的電腦可以互通，不同部門的電腦因為屬于不同VLAN，已無法互通。

（2）以機電學院的兩臺電腦PC2和PC3互相通信為例進行VLAN流量分析。這兩臺電腦分別連接在交換機的f0/10和f0/11端口上。電腦上的數據幀是不帶VLAN標簽的，電腦PC2發(fā)給PC3的數據幀從Access類型的端口f0/10進入交換機時，會被打上該端口所屬VLAN的標簽VLAN10；交換機內帶有VLAN10標簽的數據幀可以在端口f0/10~f0/19范圍內進出。帶VLAN標簽的數據幀從Access端口離開交換機時，VLAN標簽會被剝離，電腦是無法識別帶有VLAN標簽的數據幀的。PC2發(fā)往PC3的數據幀從f0/11端口離開交換機去往PC3時，VLAN10的標簽會被剝離，PC3收到的是不帶標簽的數據幀。

（3）為2樓交換機劃分VLAN，按規(guī)劃將相應端口加入到相應VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#namejiDianSW2(config-vlan)#exitSW2(config)#vlan100SW2(config-vlan)#namecaiWuSW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/10-19SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangefastEthernet0/20-23SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan100SW2(config-if-range)#end

3.查看交換機SW2的VLAN信息，命令如下：SW2#showvlanbrief可以看到用于連接信工學院電腦的f0/1-9端口屬于VLAN1、用于連接一樓交換機的f0/24端口也屬于VLAN1等信息。

4.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學院電腦能互通，1樓和2樓間機電學院的電腦不能互通，1樓和2樓間財務處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是f0/24，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.2.2華為設備配置VLAN

如圖3-4所示，學校一樓和二樓的交換機都連接了信工學院、機電學院和財務處的電腦，兩臺交換機的e0/0/1-e0/0/9端口劃分給信工學院，e0/0/10-e0/0/19端口劃分給機電學院，e0/0/20-e0/0/22劃分給財務處，樓層間兩臺交換機的g0/0/1端口通過交叉線連接。

圖3-4樓層間兩臺華為交換機相連的網絡拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學院保留在VLAN1、機電學院劃分到VLAN10、財務處劃分到VLAN100。3.為1樓交換機劃分VLAN，將各端口加入到相應VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//進入VLAN1配置視圖[SW1-vlan1]descriptionxinGong//描述VLAN1為xinGong[SW1-vlan1]quit[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10為jiDian[SW1-vlan10]quit[SW1]vlan100//創(chuàng)建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100為caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//將端口E0/0/1-E0/0/9組成端口組，以便進行統一配置[SW1-port-group]portlink-typeaccess//統一將這些端口類型設置為ACCESS模式[SW1-port-group]portdefaultvlan1//設置端口PVID為1，將這些端口劃分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應端口加入到相應VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于連接信工學院電腦的e0/0/1-e0/0/9端口屬于VLAN1、用于連接一樓交換機的g0/0/1端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學院電腦能互通，1樓和2樓間機電學院的電腦不能互通，1樓和2樓間財務處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是g0/0/1，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.2.3華三設備配置VLAN

如圖3-5所示，在HCL中拖出兩臺S5820V2交換機和9臺PC搭建拓撲。學校一樓和二樓的交換機都連接了信工學院、機電學院和財務處的電腦，兩臺交換機的g1/0/1-g1/0/9端口劃分給信工學院，g1/0/10-g1/0/19端口劃分給機電學院，g1/0/20-g1/0/29劃分給財務處，樓層間兩臺交換機的fg1/0/53端口通過交叉線連接。

圖3-5樓層間兩臺華三交換機相連的網絡拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學院保留在VLAN1、機電學院劃分到VLAN10、財務處劃分到VLAN100。

3.為1樓交換機劃分VLAN，將各端口加入到相應VLAN中。命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan1//進入VLAN1配置視圖，VLAN1是默認存在且不能被刪除的，交換機的所有端口都默認屬于VLAN1[SW1-vlan1]namexinGong//將VLAN1命名為xinGong[SW1-vlan1]quit//返回系統視圖[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]namejiDian//將VLAN10命名為jiDian[SW1-vlan10]quit[SW1]vlan100[SW1-vlan100]namecaiWu[SW1-vlan100]quit[SW1]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/9//進入批量端口g1/0/1-g1/0/9的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/1-g1/0/9的類型配置為access，這些端口默認屬于VLAN1[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/10toGigabitEthernet1/0/19//進入批量端口g1/0/10-g1/0/19的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/10-g1/0/19的類型配置為access[SW1-if-range]portaccessvlan10//將端口g1/0/10-g1/0/19劃分給VLAN10[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/20toGigabitEthernet1/0/29[SW1-if-range]portlink-typeaccess[SW1-if-range]portaccessvlan100[SW1-if-range]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應端口加入到相應VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlanbrief可以看到用于連接信工學院電腦的g1/0/1-g1/0/9端口屬于VLAN1、用于連接一樓交換機的fg1/0/53端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學院電腦能互通，1樓和2樓間機電學院的電腦不能互通，1樓和2樓間財務處的電腦也不能互通。3.3跨交換機的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機之間通過屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過，其它VLAN的流量無法通過。若要使其它VLAN的流量也能跨越交換機在樓層間傳輸，需要為每個VLAN都增加一根網線，網線兩端的端口都設為Access模式，并把相應端口劃分給該VLAN。這樣的話，有幾個VLAN要跨越交換機傳輸，交換機間就需要有幾根連線。大量VLAN的情況下，這種做法是不現實的。那么，交換機間的一根網線能否同時允許各VLAN通過呢？答案是肯定的。這就需要用到交換機端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個VLAN，只有該VLAN能通過該端口，其它VLAN是無法通過的，這種模式的端口通常用來連接電腦；Trunk模式的端口則可設置成允許部分VLAN或所有VLAN都通過，這種模式的端口通常用于交換機間的互連。3.3.1思科設備配置Trunk（一）Trunk的配置思科交換機Trunk模式的端口默認允許所有VLAN通過，也可使用命令精確指定只允許哪些VLAN通過。例如在接口模式下執(zhí)行命令“switchporttrunkallowedvlan10,100”,表示只允許VLAN10和VLAN100通過。為了實現跨越交換機的各樓層相同VLAN的電腦互通，一樓和二樓交換機間互連的端口f0/24除了要允許VLAN1的流量通過，也要允許VLAN10和VLAN100的流量通過。方法是將交換機之間互連的端口f0/24改為trunk模式。1.一樓交換機SW1的配置命令如下：SW1#configureterminalSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk//將端口f0/24設置為trunk模式SW1(config-if-range)#endSW1#showinterfacestrunk//查看交換機的trunk信息2.二樓交換機SW2的配置命令如下：SW2#configureterminalSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if-range)#endSW2#showinterfacestrunk配置完成后，經ping測試，可以看到各部門內部的電腦都可以跨樓層互通了，說明兩臺交換機互連的端口的類型改為Trunk模式后各vlan都能通過了。（二）本征VLANTrunk鏈路中的缺省VLAN也叫做本征VLAN（即NativeVLAN），其VLANID也稱為PVID（Port-baseVLANID），PVID默認為1，可通過命令改變。例如，在接口模式下執(zhí)行命令“switchporttrunknativevlan10”可將本征VLAN改為VLAN10。數據幀準備從Trunk類型的端口離開交換機時，若屬于允許的VLAN范圍，則除了本征VLAN外的所有數據幀都要帶著VLAN標簽離開，屬于本征VLAN的數據幀則會被剝離VLAN標簽后再離開。當數據幀從Trunk類型的端口進入交換機時，不帶標簽的數據幀會被打上該端口的本征VLAN標簽，然后和已經帶有VLAN標簽的數據幀一起，接受其VLANID是否屬于該端口允許通過范圍的檢查，若允許通過，則攜帶該標簽進入，否則丟棄。（三）VLAN數據幀的處理過程分析以信工學院一樓電腦PC0與二樓電腦PC6通信為例，分析交換機對數據幀的處理過程：PC0發(fā)給PC6的數據幀進入一樓交換機的f0/1端口時，會被打上VLAN1的標簽；從一樓交換機的f0/24端口出來時，由于VLAN1屬于本征VLAN，數據幀的VLAN1標簽會被剝離。數據幀到達二樓交換機的f0/24端口時，會被打上該端口本征VLAN的標簽VLAN1，再被檢測是否屬于允許通過的VLAN范圍,確認后進入。進入后，交換機根據數據幀的目的MAC地址查詢MAC地址表，找到出端口是f0/1，于是將其從f0/1端口送出來，出來前先剝離數據幀的VLAN1標簽，再發(fā)送給二樓信工學院的電腦PC6。3.3.2華為設備配置Trunk下面介紹華為設備配置trunk的方法：1.將一樓交換機SW1的端口g0/0/1設置為trunk類型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//將端口g0/0/1設置為trunk類型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允許VLAN10、VLAN100和默認的本征VLAN1通過。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交換機各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被設置成立trunk類型，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試。與一樓交換機的配置和測試命令一樣。3.在電腦上進行ping測試，觀察各部門內部的電腦可以跨樓層互通。3.3.3華三設備配置Trunk1.將一樓交換機SW1的端口fg1/0/53設置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試與一樓交換機的配置和測試命令一樣。3.在電腦上進行ping測試，觀察各部門內部的電腦可以跨樓層互通。3.4VLAN同步及動態(tài)注冊

在多臺交換機需要配置相同VLAN信息的網絡環(huán)境中，可采用VTP、GVRP或MVRP等協議進行交換機間VLAN的同步、簡化操作步驟。VTP協議（VLANTrunkProtocol）是思科的私有協議。需要共享和同步VLAN信息的思科交換機可組成一個VTP域（VTPDomain），VTP域中一臺交換機上的VLAN創(chuàng)建或修改信息可自動同步到其它交換機上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來實現，VTP通告攜帶32位的修訂號（Revision）來代表修訂級別，修訂號的初始值是0，它會不斷增加，新修訂號的VLAN信息會覆蓋舊修訂號的VLAN信息。

與思科VTP協議類似的有IEEE定義的國際標準協議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協議）、華為的私有協議VCMP（VLANCentralManagementProtocol，VLAN集中管理協議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊協議）的一個應用，GARP是一個通用協議的模板，用于屬性的動態(tài)注冊和注銷，GVRP則用于VLAN信息的動態(tài)注冊和注銷。

與GVRP協議相比，VCMP只能同步VLAN配置，而不能將端口動態(tài)地劃分到VLAN，即通過VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。

GARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協議），相應的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協議）。MVRP可兼容GVRP。3.4.1思科設備配置VTP如圖3-6所示，在PacketTracer8中搭建拓撲，進行配置和測試。一、配置VTPServer1.由于VTP是在Trunk鏈路上傳輸的，所以交換機之間要創(chuàng)建Trunk鏈路。配置命令如下：SW1(config)#interfacefastEthernet0/1//SW1的配置SW1(config-if)#switchportmodetrunkSW1(config-if)#endSW2(config)#interfacerangefastEthernet0/1-2//SW2的配置SW2(config-if-range)#switchportmodetrunkSW2(config-if)#endSW3(config)#interfacefastEthernet0/2//SW3的配置SW3(config-if)#switchportmodetrunkSW3(config-if)#end圖3-6思科交換機配置VTP的網絡拓撲2.在SW2上查看Trunk鏈路是否正常，命令如下：SW2#showinterfacestrunk3.在SW1上查看默認的VTP狀況的命令如下：SW1#showvtpstatusVTPDomainName://VTP域名為空VTPOperatingMode:Server//VTP模式為ServerConfigurationRevision:0//修訂號為0可以看到，默認情況下，交換機處于Server模式。交換機在VTP域中的角色可以分為服務器模式（Server）、客戶機模式（Client）和透明模式（Transparent）。4.交換機加入到相同的VTP域后，可以相互學習VLAN信息。在VTPServer上配置VTP域名的命令如下：SW1#configureterminalSW1(config)#vtpmodeserver//將VTP模式配置為Server，這是默認值，可以省略。SW1(config)#vtpdomainVTP01//將VTP域名配置為VTP01。域名默認為空。其它交換機域名初始時VTP域名也為空。域名為空的其它交換機將會學習到這個域名并加入這個域。5.在SW2和SW3上查看VTP狀態(tài)，觀察SW2和SW3都學到并加入到VTP01域中。以SW2為例，命令如下：SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:06.在VTPServer上創(chuàng)建VLAN，觀察其他交換機是否能學習到新建的VLAN。（1）在SW1的配置創(chuàng)建VLAN2，命令如下：SW1(config)#vlan2SW1(config-vlan)#endSW1#showvlan（2）在SW2查看是否學到了VLAN2，命令如下：SW2#showvlanb//查看SW2學習到VLAN2SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1（3）在SW3查看是否學到了VLAN2，命令如下：SW3#showvlanb//查看SW3學習到VLAN2SW3#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1二、配置VTP密碼配置VTP密碼，可以避免身份不明的交換機加入到VTP域中，從而提高安全性。1.SW1的配置命令如下：SW1(config)#vtppassword123//在SW1上配置VTP密碼為123。SW1(config)#exitSW1#showvtppasswordSW1(config)#vlan3SW1(config-vlan)#endSW1#showvlanbrief//查看SW1新增了VLAN3SW1#showvtpstatus//查看SW1的VTP修訂號從1變成了22.SW2的配置命令如下：SW2#showvlanbrief//查看設置VTP密碼前，SW2并未學到新增的VLANSW2#showvtpstatus//查看設置VTP密碼前，SW2的VTP修訂號保持為1SW2#configureterminalSW2(config)#vtppassword123//將SW2的VTP密碼配置為123SW2(config)#exitSW2#showvlanbrief//查看設置VTP密碼后，SW2學到了VLAN3SW2#showvtpstatus//查看設置VTP密碼后，SW2的VTP修訂號變成了23.SW3的配置的配置命令如下：SW3#configureterminalSW3(config)#vtppassword123SW3(config)#exitSW3#showvlanbriefSW3#showvtpstatus三、配置VTPTransparentTransparent模式的交換機不參與VTP，但可以轉發(fā)VTP通告。1.將SW2配置為VTPTransparent，并創(chuàng)建VLAN4，命令如下：SW2#configureterminalSW2(config)#vtpmodetransparent//將SW2配置為VTPTransparent。SW2(config)#doshowvtpstatusSW2(config)#doshowvlanbriefSW2(config)#vlan4//創(chuàng)建VLAN4SW2(config-vlan)#endSW2#showvlanbrief2.在SW1和SW3上查看是否學到VLAN4，命令如下：SW1#showvlanbrief//SW1沒學到VLAN4。SW3#showvlanbrief//SW3也沒有學習到VLAN4。3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief4在SW2和SW1上查看是否學到VLAN5，命令如下：SW2#showvlanbrief//SW2沒學到VLAN5SW1#showvlanbrief//SW1學習到了VLAN5四、配置VTPClientVTPClient模式的交換機不能創(chuàng)建、修改和刪除VLAN，但能偵聽、學習和轉發(fā)VTP通告。下面，配置SW2和SW3為VTPClient模式，并測試其作用。1.將SW2設置為VTPClient模式，命令如下：SW2#configureterminalSW2(config)#vtpmodeclientSW2(config)#end2.將SW3設置為VTPClient模式，命令如下：SW3#configureterminalSW3(config)#vtpmodeclientSW3(config)#end3.在SW2上創(chuàng)建VLAN6，命令如下：SW2#showvtpstatusSW2#configureterminalSW2(config)#vlan6//提示SW2是Client模式，無法創(chuàng)建VLAN4.在SW1上創(chuàng)建VLAN7，命令如下：SW1#configureterminalSW1(config)#vlan7SW1(config-vlan)#end5.在SW1、SW2、SW3上查看VLAN信息，命令如下：SW1#showvlanbriefSW2#showvlanbrief//SW2學到了VLAN7SW3#showvlanbrief//SW3也都學到了VLAN7可以看到，SW2和SW3都學到了VLAN7。五、如何在已有的網絡中添加交換機在已有的網絡中添加交換機時，為了避免新加入的交換機的修訂號大于現網交換機的修訂號、導致現網VLAN信息丟失、造成網絡中斷，一定要將準備加入的交換機的配置清除干凈后再加入，即在準備加入的交換機上執(zhí)行“deleteflash:vlan.dat”和“erasestartup-config”命令，重啟后，再加入。3.4.2華為設備配置GVRPGVRP可用于交換機間端口VLAN信息的動態(tài)注冊和注銷。GVRP通過trunk口交互。如圖3-7所示，在eNSP中搭建拓撲。圖3-7華為交換機配置GVRP的網絡拓撲一、基本配置1.各PC的地址按拓撲中的規(guī)劃進行配置。2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機間的鏈路設置為trunk鏈路，允許所有vlan通過。（1）交換機的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）進行跨交換機的屬于VLAN10的PC互ping測試，在PC1上ping192.168.1.20，發(fā)現無法ping通。（3）查看交換機的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:1VIDTypePorts1common

UT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)

[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)

10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)

可以看到，SW1和SW3都有VLAN10，但中間的SW2上沒有VLAN10，SW2收到VLAN10的數據幀時，無法找到轉發(fā)的出端口，故將其丟棄，導致兩臺PC無法ping通。解決方法是在SW2上增加VLAN10。二、開啟GVRP

1.在各交換機上開啟GVRP功能，在Trunk端口上啟用GVRP協議，命令如下：[SW1]gvrp//SW1的配置[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrp[SW1-GigabitEthernet0/0/1]quit[SW2]gvrp//SW2的配置[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]gvrp[SW2-port-group]quit[SW3]gvrp//SW3的配置[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]gvrp[SW3-GigabitEthernet0/0/1]quit

2.查看SW2上的VLAN信息，命令如下：[SW2]displayvlanThetotalnumberofvlansis:2VIDTypePorts11commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)可以看到，SW2學到了VLAN10，其上的trunk端口g0/0/1和g0/0/2也都將VLAN10列入了允許通行的列表。

3.在PC1上ping192.168.1.20，可以ping通了。原因是SW2上學到了VLAN10，其上的trunk端口g0/0/1和g0/0/2都可以對VLAN10進行轉發(fā)了。

三、GVRP端口的Nomal注冊模式GVRP端口注冊模式分為Normal、Fixed和Forbidden三種。其中Normal模式是缺省模式，Normal模式允許該端口動態(tài)注冊或注銷VLAN、傳播動態(tài)VLAN和靜態(tài)VLAN信息。下面觀察Nomal模式的注冊過程。

1.查看SW1的GVRP注冊模式，命令如下：[SW1]displaygvrpstatisticsGVRPstatisticsonportGigabitEthernet0/0/1GVRPstatus :EnabledGVRPregistrationsfailed :0GVRPlastPDUorigin :4c1f-cc01-25c9GVRPregistrationtype :Normal可以看到，默認情況下，SW1的g0/0/1端口的GVRP注冊模式是Normal模式。

2.在SW1上創(chuàng)建VLAN20，命令如下：[SW1]vlan20[SW1-vlan20]quit

3.在各交換機上查看VLAN信息，命令如下：[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20dynamicTG:GE0/0/1(U)

可以看到：SW1的g0/0/1、SW2的g0/0/1，SW3的g0/0/1都將VLAN20列入了允許通行VLAN；SW2的g0/0/2沒有將VLAN20作為允許通行VLAN。

4.在SW3上創(chuàng)建VLAN20,SW2的g0/0/2作為VLAN聲明沿途交換機的入端口，將注冊VLAN20，并將該VLAN加入該端口允許通行的VLAN列表中，下面加以驗證：

（1）SW3的配置如下：[SW3]vlan20//在SW3上創(chuàng)建VLAN20[SW3-vlan20]quit[SW3]interfaceEthernet0/0/2[SW3-Ethernet0/0/2]portlink-typeaccess[SW3-Ethernet0/0/2]portdefaultvlan20

（2）在SW3和SW2上查看VLAN信息，命令如下：[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)

Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)

可以看到，在SW3上創(chuàng)建VLAN20后,SW2的g0/0/2端口學到和注冊了該VLAN、并將其加入到了該端口允許通行的VLAN列表中。

四、GVRP端口的fixed注冊模式Fixed模式的端口禁止該端口動態(tài)注冊或注銷VLAN，只傳播靜態(tài)VLAN信息，不傳播動態(tài)VLAN信息。下面加以驗證：

1.將SW1的Trunk端口g0/0/1修改為Fixed注冊模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationfixed[SW1-GigabitEthernet0/0/1]quit

2.在SW3上添加VLAN30，命令如下：[SW3]vlan30[SW3-vlan30]quit

3.在SW3、SW2、SW1上查看VLAN信息，命令如下：[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)30commonTG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)30dynamicTG:GE0/0/2(U)[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)

Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)

GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)

可以看到，SW2學到了VLAN30，SW1沒有學到VLAN30。這是因為Fixed模式只傳播靜態(tài)VLAN，不傳播動態(tài)VLAN。

五、GVRP端口的Forbidden注冊模式Forbidden模式的端口禁止該端口動態(tài)注冊或注銷VLAN，不傳播VLAN1以外的任何的VLAN信息。下面加以驗證：

1.將SW1的g0/0/1改為Forbidden模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationforbidden[SW1-GigabitEthernet0/0/1]quit

2.查看SW1、SW2的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)20commonUT:Eth0/0/2(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:4VIDTypePorts---------------------------------------------------------------------------1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(U)10dynamicTG:GE0/0/2(U)20dynamicTG:GE0/0/2(U)30dynamicTG:GE0/0/2(U)

可以看到，將SW1的g0/0/1改為Forbidden模式后，只有VLAN1還允許g0/0/1通行，其它vlan都將g0/0/1從允許通行列表中刪除了。SW2的g0/0/1端口也將之前學到的VLAN10和VLAN20注銷了，只有g0/0/2端口還保留著從SW3學到和注冊的VLAN10和VLAN20。3.4.3華三設備配置MVRPGARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協議），相