網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 （秦?zé)觯┑?章 局域網(wǎng)和虛擬局域網(wǎng)

第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦?zé)鐾粯菍?、同一建筑方圓幾米到幾千米范圍之內(nèi)的計(jì)算機(jī)通信網(wǎng)絡(luò)通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術(shù)包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，傳輸速率從早期的10Mbps的標(biāo)準(zhǔn)以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬(wàn)兆以太網(wǎng)，成為局域網(wǎng)技術(shù)的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡(luò)屬于共享式以太網(wǎng)，網(wǎng)絡(luò)中的所有終端主機(jī)都處于同一沖突域中，網(wǎng)絡(luò)的帶寬是由接入的主機(jī)共享的，接入的主機(jī)越多，每臺(tái)主機(jī)獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機(jī)組成的網(wǎng)絡(luò)則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時(shí)轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機(jī)和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機(jī)還是集線器，它們的端口都處在各自的同一個(gè)廣播域中。3.1.1.抓包探究沖突域如圖3-1所示，打開PacketTracer8，分別用交換機(jī)和集線器連接電腦組成兩個(gè)不同的網(wǎng)絡(luò)，即圖中5號(hào)位的“交換機(jī)網(wǎng)絡(luò)”和8號(hào)位的“集線器網(wǎng)絡(luò)”。給同一網(wǎng)絡(luò)中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址，此處兩個(gè)網(wǎng)絡(luò)都取192.168.1.0/24網(wǎng)段。下面，通過(guò)實(shí)驗(yàn)抓包驗(yàn)證ICMP單播包在集線器與交換機(jī)下轉(zhuǎn)發(fā)時(shí)的異同。圖3-1集線器網(wǎng)絡(luò)和交換機(jī)網(wǎng)絡(luò)的ICMP單播包1.在Realtime模式下（圖中1號(hào)位），清空并查看“交換機(jī)網(wǎng)絡(luò)”中（圖中5號(hào)位）交換機(jī)的MAC地址表。命令如下；Switch#clearmac-address-tableSwitch#showmac-address-table2.切換到simulation模式（圖中2號(hào)位），然后點(diǎn)擊“ShowAll/None”按鈕（圖中3號(hào)位）清空所有抓包選項(xiàng)，再點(diǎn)擊“EditFilters”按鈕，選中“ICMP”抓包選項(xiàng)。然后在“交換機(jī)網(wǎng)絡(luò)”上（圖中5號(hào)位），點(diǎn)擊PC4，在PC4的命令行界面pingPC6，即在PC4上運(yùn)行ping192.168.1.3命令，構(gòu)造形成和準(zhǔn)備發(fā)送第一個(gè)ICMP包。3.點(diǎn)擊圖中4號(hào)位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過(guò)點(diǎn)擊圖中4號(hào)位的前進(jìn)和后退按鈕定位到ping命令執(zhí)行的不同階段，查看ping的詳細(xì)執(zhí)行過(guò)程?？梢钥吹剑粨Q機(jī)轉(zhuǎn)發(fā)第一個(gè)ICMP數(shù)據(jù)幀時(shí)，將數(shù)據(jù)幀廣播給PC5、PC6、PC7；PC6接收到PC4發(fā)來(lái)的數(shù)據(jù)幀后，發(fā)現(xiàn)是發(fā)給自己的，隨即向PC4回復(fù)ICMP單播幀；PC5和PC7發(fā)現(xiàn)數(shù)據(jù)幀不是發(fā)給自己的，將其丟棄。原因分析如下：第一個(gè)ICMP數(shù)據(jù)幀之所以通過(guò)廣播的形式轉(zhuǎn)發(fā)，是因?yàn)榻粨Q機(jī)的MAC表最初為空，無(wú)法查到目標(biāo)PC6所在的端口。隨著交換機(jī)依次學(xué)到PC4和PC6的MAC地址并記錄到MAC地址表中，從第二個(gè)ICMP數(shù)據(jù)幀開始，交換機(jī)都會(huì)根據(jù)MAC地址表選擇出端口、以單播的方式轉(zhuǎn)發(fā)。圖中7號(hào)位記錄的是PC6收到PC4發(fā)來(lái)的第二個(gè)ICMP單播幀的時(shí)刻，是點(diǎn)擊圖中6號(hào)位的眼睛后面的Switch0后，顯示PC6接收到PC4發(fā)來(lái)的ICMP單播幀的內(nèi)容（圖中7號(hào)位左邊）以及回復(fù)給PC4的ICMP單播幀的內(nèi)容（圖中7號(hào)位右邊）。4.按照步驟2和步驟3的方法，對(duì)“集線器網(wǎng)絡(luò)”（圖中8號(hào)位）進(jìn)行PC0pingPC2的ICMP抓包實(shí)驗(yàn)。通過(guò)在PC0的命令行界面運(yùn)行“ping192.168.1.3”命令并進(jìn)行抓包，可以看到，不論是第一個(gè)ICMP包，還是后續(xù)的ICMP包，所有階段集線器都是以廣播的方式轉(zhuǎn)發(fā)的。這是因?yàn)榧€器屬于物理層設(shè)備，不認(rèn)識(shí)MAC地址，也不具備MAC地址表。以上實(shí)驗(yàn)結(jié)果驗(yàn)證了：由于集線器屬于物理層設(shè)備，不能識(shí)別MAC地址，只能通過(guò)廣播數(shù)據(jù)幀的方式轉(zhuǎn)發(fā)數(shù)據(jù)，整個(gè)集線器處于同一個(gè)沖突域中；交換機(jī)屬于數(shù)據(jù)鏈路層設(shè)備，能識(shí)別MAC地址。3.1.2抓包探究廣播域

如圖3-2所示，打開PacketTracer8，分別用集線器和交換機(jī)連接電腦組成兩個(gè)不同的網(wǎng)絡(luò),包括5號(hào)位的“集線器網(wǎng)絡(luò)”和8號(hào)位的“交換機(jī)網(wǎng)絡(luò)”。給同一網(wǎng)絡(luò)中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址（此處取192.168.1.0/24網(wǎng)段）。下面，通過(guò)實(shí)驗(yàn)抓包驗(yàn)證ping命令引發(fā)的ARP廣播包在集線器與交換機(jī)下轉(zhuǎn)發(fā)時(shí)的異同。圖3-2集線器網(wǎng)絡(luò)和交換機(jī)網(wǎng)絡(luò)的ARP廣播包

1.在Realtime模式下（圖中1號(hào)位），清空并查看“集線器網(wǎng)絡(luò)”中（圖中5號(hào)位）PC0的ARP緩存表。點(diǎn)擊PC0，在PC0的命令行界面輸入以下命令：C:\>arp-dC:\>arp-a

2.點(diǎn)擊切換到simulation模式（圖中2號(hào)位），然后點(diǎn)擊“ShowAll/None”按鈕（圖中3號(hào)位）清空所有抓包選項(xiàng)，再點(diǎn)擊“EditFilters”按鈕，選中“ARP”抓包選項(xiàng)。然后在PC0上pingPC2，即在PC0上運(yùn)行ping192.168.1.3命令，封裝形成和準(zhǔn)備發(fā)送第一個(gè)ICMP包，一旦點(diǎn)擊播放按鈕（圖中4號(hào)位），將觸發(fā)ping命令的繼續(xù)執(zhí)行，而ping命令將觸發(fā)ARP協(xié)議的執(zhí)行，即發(fā)出查詢目標(biāo)IP地址192.168.1.3對(duì)應(yīng)的MAC地址的廣播幀。Ping命令觸發(fā)廣播的原因如下：ping命令構(gòu)造的ICMP包從PC0發(fā)出前，要先在第三層（網(wǎng)絡(luò)層）套上內(nèi)層信封，寫上原始發(fā)件人的源IP地址和最終收件人的目的IP地址，再下放到第二層（數(shù)據(jù)鏈路層），套上外層信封，寫上當(dāng)前發(fā)件人的源MAC地址和下一跳收件人的目的MAC地址。但封裝第一個(gè)ICMP幀時(shí)，只知道目標(biāo)PC1的IP地址，對(duì)應(yīng)的MAC地址未知，所以會(huì)觸發(fā)ARP協(xié)議發(fā)出廣播，詢問(wèn)目標(biāo)IP地址對(duì)應(yīng)的MAC地址?？梢钥吹郊€器收到廣播幀后，將其從所有端口轉(zhuǎn)發(fā)了出去。當(dāng)然，集線器對(duì)于單播幀也會(huì)將其從所有端口轉(zhuǎn)發(fā)出去，這在“沖突域”實(shí)驗(yàn)中已經(jīng)驗(yàn)證過(guò)了。3.點(diǎn)擊圖中4號(hào)位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過(guò)點(diǎn)擊圖中4號(hào)位的前進(jìn)和后退按鈕，定位到ping命令執(zhí)行的不同階段，查看和分析執(zhí)行過(guò)程。圖中5號(hào)位和6號(hào)位展示的是“PC1、PC2、PC3同時(shí)收到廣播幀”的時(shí)刻。可以看到，PC1和PC3收到廣播幀后將其丟棄，而PC2收到廣播幀后發(fā)現(xiàn)廣播幀的內(nèi)容是在詢問(wèn)自己的MAC地址，于是將自己的MAC地址回復(fù)給PC0。圖中的7號(hào)位，是點(diǎn)擊6號(hào)位中的第3個(gè)眼睛后面的Hub0后，顯示PC3收到的ARP廣播幀的內(nèi)容。4.按照步驟1到步驟3（觀察“集線器網(wǎng)絡(luò)”廣播域）的方法，對(duì)圖中8號(hào)位的“交換機(jī)網(wǎng)絡(luò)”進(jìn)行ARP廣播幀的抓包和觀察?？梢钥吹?，當(dāng)交換機(jī)收到目的MAC地址是FFFF-FFFF-FFFF的廣播幀時(shí)，會(huì)將其從除源端口之外的其余端口轉(zhuǎn)發(fā)出去?？梢娊粨Q機(jī)和集線器的廣播域一樣，所有的端口都處于同一個(gè)廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡(luò)資源，還影響到網(wǎng)絡(luò)安全；當(dāng)有網(wǎng)絡(luò)設(shè)備發(fā)生故障，導(dǎo)致廣播幀不停發(fā)送時(shí)，更會(huì)導(dǎo)致廣播風(fēng)暴，影響正常的網(wǎng)絡(luò)通信。因此，有必要按網(wǎng)絡(luò)規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡(luò)分別連接到不同的交換機(jī)，交換機(jī)再通過(guò)路由器連接到一起，實(shí)現(xiàn)不同網(wǎng)絡(luò)的互聯(lián)。這種情況下，當(dāng)本地廣播包經(jīng)過(guò)路由器時(shí)，路由器會(huì)將其攔截，實(shí)現(xiàn)了對(duì)本地廣播的隔離。但這種通過(guò)引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們?cè)敿?xì)學(xué)習(xí)VLAN的相關(guān)知識(shí)。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術(shù)是從邏輯上將一個(gè)局域網(wǎng)（LAN）劃分為多個(gè)邏輯上獨(dú)立的虛擬局域網(wǎng)（VLAN），從而達(dá)到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實(shí)現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標(biāo)簽的數(shù)據(jù)幀上添加4個(gè)字節(jié)的802.1Q標(biāo)簽，其中的12比特用于存放VLANID，標(biāo)識(shí)不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒(méi)創(chuàng)建新VLAN之前，交換機(jī)的所有端口都默認(rèn)屬于VLAN1，VLAN1是默認(rèn)存在且不能被刪除的。下面通過(guò)案例來(lái)分析VLAN的劃分。

3.2.1思科設(shè)備配置VLAN

如圖3-3所示，學(xué)校某棟樓一樓和二樓的交換機(jī)都連接了信工學(xué)院、機(jī)電學(xué)院和財(cái)務(wù)處的電腦，兩臺(tái)交換機(jī)的f0/1-9端口劃分給信工學(xué)院、f0/10-19端口劃分給機(jī)電學(xué)院、f0/20-23劃分給財(cái)務(wù)處，樓層間兩臺(tái)交換機(jī)的f0/24端口通過(guò)交叉線連接。圖3-3樓層間兩臺(tái)思科交換機(jī)相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測(cè)試所有電腦都能互相ping通。2.為加強(qiáng)安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機(jī)電學(xué)院劃分到VLAN10、財(cái)務(wù)處劃分到VLAN100。（1）為1樓交換機(jī)劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#namejiDian//將VLAN10命名為jidianSW1(config-vlan)#exitSW1(config)#vlan100//創(chuàng)建VLAN100SW1(config-vlan)#namecaiWu//將VLAN100命名為caiwuSW1(config-vlan)#exitSW1(config)#interfacerangefastEthernet0/10-19//進(jìn)入端口配置模式SW1(config-if-range)#switchportmodeaccess//將端口f0/10-19設(shè)置為access模式SW1(config-if-range)#switchportaccessvlan10//將端口f0/10-19劃分給vlan10SW1(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/20-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan100SW1(config-if-range)#endSW1#showvlanbrief//查看VLAN信息VLANNameStatus Ports---------------------- -------------------------------1defaultactive Fa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/2410jiDianactive Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19100caiWuactive Fa0/20,Fa0/21,Fa0/22,Fa0/23可以看到，配置完成后，f0/1~f0/9保留在VLAN1，可用于連接信工學(xué)院的電腦，VLAN1的默認(rèn)名稱是default，不能更改；f0/24也保留在了VLAN1，用于將一樓的交換機(jī)連接到二樓的交換機(jī)；f0/10-19被劃分到VLAN10，命名為jiDian（機(jī)電），用于連接機(jī)電學(xué)院的電腦；f0/20-23被劃分到VLAN20，命名為caiWu（財(cái)務(wù)），用于連接財(cái)務(wù)處的電腦。通過(guò)ping測(cè)試，發(fā)現(xiàn)一樓同一部門的電腦可以互通，不同部門的電腦因?yàn)閷儆诓煌琕LAN，已無(wú)法互通。

（2）以機(jī)電學(xué)院的兩臺(tái)電腦PC2和PC3互相通信為例進(jìn)行VLAN流量分析。這兩臺(tái)電腦分別連接在交換機(jī)的f0/10和f0/11端口上。電腦上的數(shù)據(jù)幀是不帶VLAN標(biāo)簽的，電腦PC2發(fā)給PC3的數(shù)據(jù)幀從Access類型的端口f0/10進(jìn)入交換機(jī)時(shí)，會(huì)被打上該端口所屬VLAN的標(biāo)簽VLAN10；交換機(jī)內(nèi)帶有VLAN10標(biāo)簽的數(shù)據(jù)幀可以在端口f0/10~f0/19范圍內(nèi)進(jìn)出。帶VLAN標(biāo)簽的數(shù)據(jù)幀從Access端口離開交換機(jī)時(shí)，VLAN標(biāo)簽會(huì)被剝離，電腦是無(wú)法識(shí)別帶有VLAN標(biāo)簽的數(shù)據(jù)幀的。PC2發(fā)往PC3的數(shù)據(jù)幀從f0/11端口離開交換機(jī)去往PC3時(shí)，VLAN10的標(biāo)簽會(huì)被剝離，PC3收到的是不帶標(biāo)簽的數(shù)據(jù)幀。

（3）為2樓交換機(jī)劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#namejiDianSW2(config-vlan)#exitSW2(config)#vlan100SW2(config-vlan)#namecaiWuSW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/10-19SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangefastEthernet0/20-23SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan100SW2(config-if-range)#end

3.查看交換機(jī)SW2的VLAN信息，命令如下：SW2#showvlanbrief可以看到用于連接信工學(xué)院電腦的f0/1-9端口屬于VLAN1、用于連接一樓交換機(jī)的f0/24端口也屬于VLAN1等信息。

4.通過(guò)在電腦上執(zhí)行ping測(cè)試，檢測(cè)1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機(jī)電學(xué)院的電腦不能互通，1樓和2樓間財(cái)務(wù)處的電腦也不能互通。這是因?yàn)檫B接1樓和2樓的兩個(gè)交換機(jī)的端口都是f0/24，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.3跨交換機(jī)的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機(jī)之間通過(guò)屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過(guò)，其它VLAN的流量無(wú)法通過(guò)。若要使其它VLAN的流量也能跨越交換機(jī)在樓層間傳輸，需要為每個(gè)VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設(shè)為Access模式，并把相應(yīng)端口劃分給該VLAN。這樣的話，有幾個(gè)VLAN要跨越交換機(jī)傳輸，交換機(jī)間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實(shí)的。那么，交換機(jī)間的一根網(wǎng)線能否同時(shí)允許各VLAN通過(guò)呢？答案是肯定的。這就需要用到交換機(jī)端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個(gè)VLAN，只有該VLAN能通過(guò)該端口，其它VLAN是無(wú)法通過(guò)的，這種模式的端口通常用來(lái)連接電腦；Trunk模式的端口則可設(shè)置成允許部分VLAN或所有VLAN都通過(guò)，這種模式的端口通常用于交換機(jī)間的互連。3.3.1思科設(shè)備配置Trunk（一）Trunk的配置思科交換機(jī)Trunk模式的端口默認(rèn)允許所有VLAN通過(guò)，也可使用命令精確指定只允許哪些VLAN通過(guò)。例如在接口模式下執(zhí)行命令“switchporttrunkallowedvlan10,100”,表示只允許VLAN10和VLAN100通過(guò)。為了實(shí)現(xiàn)跨越交換機(jī)的各樓層相同VLAN的電腦互通，一樓和二樓交換機(jī)間互連的端口f0/24除了要允許VLAN1的流量通過(guò)，也要允許VLAN10和VLAN100的流量通過(guò)。方法是將交換機(jī)之間互連的端口f0/24改為trunk模式。1.一樓交換機(jī)SW1的配置命令如下：SW1#configureterminalSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk//將端口f0/24設(shè)置為trunk模式SW1(config-if-range)#endSW1#showinterfacestrunk//查看交換機(jī)的trunk信息2.二樓交換機(jī)SW2的配置命令如下：SW2#configureterminalSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if-range)#endSW2#showinterfacestrunk配置完成后，經(jīng)ping測(cè)試，可以看到各部門內(nèi)部的電腦都可以跨樓層互通了，說(shuō)明兩臺(tái)交換機(jī)互連的端口的類型改為Trunk模式后各vlan都能通過(guò)了。（二）本征VLANTrunk鏈路中的缺省VLAN也叫做本征VLAN（即NativeVLAN），其VLANID也稱為PVID（Port-baseVLANID），PVID默認(rèn)為1，可通過(guò)命令改變。例如，在接口模式下執(zhí)行命令“switchporttrunknativevlan10”可將本征VLAN改為VLAN10。數(shù)據(jù)幀準(zhǔn)備從Trunk類型的端口離開交換機(jī)時(shí)，若屬于允許的VLAN范圍，則除了本征VLAN外的所有數(shù)據(jù)幀都要帶著VLAN標(biāo)簽離開，屬于本征VLAN的數(shù)據(jù)幀則會(huì)被剝離VLAN標(biāo)簽后再離開。當(dāng)數(shù)據(jù)幀從Trunk類型的端口進(jìn)入交換機(jī)時(shí)，不帶標(biāo)簽的數(shù)據(jù)幀會(huì)被打上該端口的本征VLAN標(biāo)簽，然后和已經(jīng)帶有VLAN標(biāo)簽的數(shù)據(jù)幀一起，接受其VLANID是否屬于該端口允許通過(guò)范圍的檢查，若允許通過(guò)，則攜帶該標(biāo)簽進(jìn)入，否則丟棄。（三）VLAN數(shù)據(jù)幀的處理過(guò)程分析以信工學(xué)院一樓電腦PC0與二樓電腦PC6通信為例，分析交換機(jī)對(duì)數(shù)據(jù)幀的處理過(guò)程：PC0發(fā)給PC6的數(shù)據(jù)幀進(jìn)入一樓交換機(jī)的f0/1端口時(shí)，會(huì)被打上VLAN1的標(biāo)簽；從一樓交換機(jī)的f0/24端口出來(lái)時(shí)，由于VLAN1屬于本征VLAN，數(shù)據(jù)幀的VLAN1標(biāo)簽會(huì)被剝離。數(shù)據(jù)幀到達(dá)二樓交換機(jī)的f0/24端口時(shí)，會(huì)被打上該端口本征VLAN的標(biāo)簽VLAN1，再被檢測(cè)是否屬于允許通過(guò)的VLAN范圍,確認(rèn)后進(jìn)入。進(jìn)入后，交換機(jī)根據(jù)數(shù)據(jù)幀的目的MAC地址查詢MAC地址表，找到出端口是f0/1，于是將其從f0/1端口送出來(lái)，出來(lái)前先剝離數(shù)據(jù)幀的VLAN1標(biāo)簽，再發(fā)送給二樓信工學(xué)院的電腦PC6。3.4VLAN同步及動(dòng)態(tài)注冊(cè)

在多臺(tái)交換機(jī)需要配置相同VLAN信息的網(wǎng)絡(luò)環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進(jìn)行交換機(jī)間VLAN的同步、簡(jiǎn)化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機(jī)可組成一個(gè)VTP域（VTPDomain），VTP域中一臺(tái)交換機(jī)上的VLAN創(chuàng)建或修改信息可自動(dòng)同步到其它交換機(jī)上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來(lái)實(shí)現(xiàn)，VTP通告攜帶32位的修訂號(hào)（Revision）來(lái)代表修訂級(jí)別，修訂號(hào)的初始值是0，它會(huì)不斷增加，新修訂號(hào)的VLAN信息會(huì)覆蓋舊修訂號(hào)的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國(guó)際標(biāo)準(zhǔn)協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊(cè)協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊(cè)協(xié)議）的一個(gè)應(yīng)用，GARP是一個(gè)通用協(xié)議的模板，用于屬性的動(dòng)態(tài)注冊(cè)和注銷，GVRP則用于VLAN信息的動(dòng)態(tài)注冊(cè)和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動(dòng)態(tài)地劃分到VLAN，即通過(guò)VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過(guò)GVRP創(chuàng)建的VLAN是動(dòng)態(tài)VLAN。

GARP的升級(jí)版是MRP（MultipleRegistrationProtocol，多屬性注冊(cè)協(xié)議），相應(yīng)的，GVRP的升級(jí)版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊(cè)協(xié)議）。MVRP可兼容GVRP。3.4.1思科設(shè)備配置VTP如圖3-6所示，在PacketTracer8中搭建拓?fù)?，進(jìn)行配置和測(cè)試。一、配置VTPServer1.由于VTP是在Trunk鏈路上傳輸?shù)模越粨Q機(jī)之間要?jiǎng)?chuàng)建Trunk鏈路。配置命令如下：SW1(config)#interfacefastEthernet0/1//SW1的配置SW1(config-if)#switchportmodetrunkSW1(config-if)#endSW2(config)#interfacerangefastEthernet0/1-2//SW2的配置SW2(config-if-range)#switchportmodetrunkSW2(config-if)#endSW3(config)#interfacefastEthernet0/2//SW3的配置SW3(config-if)#switchportmodetrunkSW3(config-if)#end圖3-6思科交換機(jī)配置VTP的網(wǎng)絡(luò)拓?fù)?.在SW2上查看Trunk鏈路是否正常，命令如下：SW2#showinterfacestrunk3.在SW1上查看默認(rèn)的VTP狀況的命令如下：SW1#showvtpstatusVTPDomainName://VTP域名為空VTPOperatingMode:Server//VTP模式為ServerConfigurationRevision:0//修訂號(hào)為0可以看到，默認(rèn)情況下，交換機(jī)處于Server模式。交換機(jī)在VTP域中的角色可以分為服務(wù)器模式（Server）、客戶機(jī)模式（Client）和透明模式（Transparent）。4.交換機(jī)加入到相同的VTP域后，可以相互學(xué)習(xí)VLAN信息。在VTPServer上配置VTP域名的命令如下：SW1#configureterminalSW1(config)#vtpmodeserver//將VTP模式配置為Server，這是默認(rèn)值，可以省略。SW1(config)#vtpdomainVTP01//將VTP域名配置為VTP01。域名默認(rèn)為空。其它交換機(jī)域名初始時(shí)VTP域名也為空。域名為空的其它交換機(jī)將會(huì)學(xué)習(xí)到這個(gè)域名并加入這個(gè)域。5.在SW2和SW3上查看VTP狀態(tài)，觀察SW2和SW3都學(xué)到并加入到VTP01域中。以SW2為例，命令如下：SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:06.在VTPServer上創(chuàng)建VLAN，觀察其他交換機(jī)是否能學(xué)習(xí)到新建的VLAN。（1）在SW1的配置創(chuàng)建VLAN2，命令如下：SW1(config)#vlan2SW1(config-vlan)#endSW1#showvlan（2）在SW2查看是否學(xué)到了VLAN2，命令如下：SW2#showvlanb//查看SW2學(xué)習(xí)到VLAN2SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號(hào)從0變成了1（3）在SW3查看是否學(xué)到了VLAN2，命令如下：SW3#showvlanb//查看SW3學(xué)習(xí)到VLAN2SW3#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號(hào)從0變成了1二、配置VTP密碼配置VTP密碼，可以避免身份不明的交換機(jī)加入到VTP域中，從而提高安全性。1.SW1的配置命令如下：SW1(config)#vtppassword123//在SW1上配置VTP密碼為123。SW1(config)#exitSW1#showvtppasswordSW1(config)#vlan3SW1(config-vlan)#endSW1#showvlanbrief//查看SW1新增了VLAN3SW1#showvtpstatus//查看SW1的VTP修訂號(hào)從1變成了22.SW2的配置命令如下：SW2#showvlanbrief//查看設(shè)置VTP密碼前，SW2并未學(xué)到新增的VLANSW2#showvtpstatus//查看設(shè)置VTP密碼前，SW2的VTP修訂號(hào)保持為1SW2#configureterminalSW2(config)#vtppassword123//將SW2的VTP密碼配置為123SW2(config)#exitSW2#showvlanbrief//查看設(shè)置VTP密碼后，SW2學(xué)到了VLAN3SW2#showvtpstatus//查看設(shè)置VTP密碼后，SW2的VTP修訂號(hào)變成了23.SW3的配置的配置命令如下：SW3#configureterminalSW3(config)#vtppassword123SW3(config)#exitSW3#showvlanbriefSW3#showvtpstatus三、配置VTPTransparentTransparent模式的交換機(jī)不參與VTP，但可以轉(zhuǎn)發(fā)VTP通告。1.將SW2配置為VTPTransparent，并創(chuàng)建VLAN4，命令如下：SW2#configureterminalSW2(config)#vtpmodetransparent//將SW2配置為VTPTransparent。SW2(config)#doshowvtpstatusSW2(config)#doshowvlanbriefSW2(config)#vlan4//創(chuàng)建VLAN4SW2(config-vlan)#endSW2#showvlanbrief2.在SW1和SW3上查看是否學(xué)到VLAN4，命令如下：SW1#showvlanbrief//SW1沒(méi)學(xué)到VLAN4。SW3#showvlanbrief//SW3也沒(méi)有學(xué)習(xí)到VLAN4。3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief4在SW2和SW1上查看是否學(xué)到VLAN5，命令如下：SW2#showvlanbrief//SW2沒(méi)學(xué)到VLAN5SW1#showvlanbrief//SW1學(xué)習(xí)到了VLAN5四、配置VTPClientVTPClient模式的交換機(jī)不能創(chuàng)建、修改和刪除VLAN，但能偵聽、學(xué)習(xí)和轉(zhuǎn)發(fā)VTP通告。下面，配置SW2和SW3為VTPClient模式，并測(cè)試其作用。1.將SW2設(shè)置為VTPClient模式，命令如下：SW2#configureterminalSW2(config)#vtpmodeclientSW2(config)#end2.將SW3設(shè)置為VTPClient模式，命令如下：SW3#configureterminalSW3(config)#vtpmodeclientSW3(config)#end3.在SW2上創(chuàng)建VLAN6，命令如下：SW2#showvtpstatusSW2#configureterminalSW2(config)#vlan6//提示SW2是Client模式，無(wú)法創(chuàng)建VLAN4.在SW1上創(chuàng)建VLAN7，命令如下：SW1#configureterminalSW1(config)#vlan7SW1(config-vlan)#end5.在SW1、SW2、SW3上查看VLAN信息，命令如下：SW1#showvlanbriefSW2#showvlanbrief//SW2學(xué)到了VLAN7SW3#showvlanbrief//SW3也都學(xué)到了VLAN7可以看到，SW2和SW3都學(xué)到了VLAN7。五、如何在已有的網(wǎng)絡(luò)中添加交換機(jī)在已有的網(wǎng)絡(luò)中添加交換機(jī)時(shí)，為了避免新加入的交換機(jī)的修訂號(hào)大于現(xiàn)網(wǎng)交換機(jī)的修訂號(hào)、導(dǎo)致現(xiàn)網(wǎng)VLAN信息丟失、造成網(wǎng)絡(luò)中斷，一定要將準(zhǔn)備加入的交換機(jī)的配置清除干凈后再加入，即在準(zhǔn)備加入的交換機(jī)上執(zhí)行“deleteflash:vlan.dat”和“erasestartup-config”命令，重啟后，再加入。3.5Hybrid端口和PrivateVLAN技術(shù)

小區(qū)寬帶采用LAN方式接入時(shí)，為了保障接入用戶的隱私、安全和便于管理計(jì)費(fèi)，可通過(guò)劃分VLAN對(duì)各接入用戶進(jìn)行隔離，并為每個(gè)VLAN分配一個(gè)網(wǎng)段，但這樣做IP地址消耗過(guò)大；另根據(jù)IEEE802.1q協(xié)議，可用的VLAN數(shù)只有4094個(gè)，若為每個(gè)用戶劃分一個(gè)VLAN，VLAN的數(shù)量是遠(yuǎn)遠(yuǎn)不夠的。

所以需要有技術(shù)將一個(gè)VLAN再次細(xì)分成多個(gè)VLAN，對(duì)上層屏蔽下層的VLAN，讓接入層的VLAN對(duì)運(yùn)營(yíng)商屏蔽，讓運(yùn)營(yíng)商只看到匯聚層的VLAN。同時(shí)，讓上層主端口的VLANIF地址和下層各從端口所連接電腦的地址處于同一網(wǎng)段，以節(jié)省地址空間。

Hybrid端口技術(shù)、PrivateVLAN（PVLAN，專用虛擬局域網(wǎng)）技術(shù)、MultiplexVLAN（MUX，復(fù)合VLAN）技術(shù)等，都能較好的實(shí)現(xiàn)相關(guān)功能。3.5.3思科交換機(jī)配置PrivateVLAN

在EVE-NG中搭建如圖3-11所示的實(shí)驗(yàn)拓?fù)洌≒acketTracer不支持PrivateVLAN）。需求如下：VLAN10與VLAN100能互訪，VLAN20與VLAN100能互訪，但VLAN10與VLAN20之間不能互訪。VLAN10內(nèi)部不能互訪；VLAN20內(nèi)部能互訪。圖3-11思科交換機(jī)配置PrivateVLAN的網(wǎng)絡(luò)拓?fù)?/p>

思科的PrivateVLAN包含主VLAN（primaryVLAN）和輔助VLAN（SecondaryVLAN）。輔助VLAN又分為團(tuán)體VLAN（communityVLAN）和隔離VLAN（isolatedVLAN），一個(gè)主VLAN可以映射多個(gè)團(tuán)體VLAN，但只能映射一個(gè)隔離VLAN。隸屬于主VLAN的端口稱為混雜端口（PromiscuousPort），隸屬于輔助VLAN的端口稱為主機(jī)端口（HostPort）。主機(jī)端口根據(jù)所屬輔助VLAN的屬性，又分為團(tuán)體端口和隔離端口。輔助VLAN與主VLAN的主機(jī)能互訪，團(tuán)體VLAN中的主機(jī)可以互訪，隔離VLAN中的主機(jī)不能互訪。

1.思科的PrivateVLAN要求交換機(jī)的VTP模式必須設(shè)置成透明模式，命令如下：Switch>enableSwitch#configureterminalSwitch(config)#vtpmodetransparent

2.將VLAN10和VLAN20設(shè)置成輔助VLAN，其中vlan10設(shè)為隔離VLAN，vlan20設(shè)為團(tuán)體VLAN。命令如下：Switch(config)#vlan10Switch(config-vlan)#private-vlanisolated//設(shè)置vlan10為隔離VLANSwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunity//設(shè)置vlan20為團(tuán)體VLANSwitch(config-vlan)#exit

3.設(shè)置vlan100為主VLAN，命令如下：Switch(config)#vlan100Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#private-vlanassociation10,20Switch(config-vlan)#exit

4.設(shè)置屬于輔助VLAN的主機(jī)端口。其中，g0/0和g0/1設(shè)置為屬于隔離VLAN10的隔離端口，g0/2和g0/3設(shè)置為屬于團(tuán)體VLAN20的團(tuán)體端口。命令如下：Switch(config)#intrangeg0/0-1//將g0/0-1設(shè)置為屬于VLAN10的隔離端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10010Switch(config-if-range)#exitSwitch(config)#intrangeg0/2-3//將g0/2-3設(shè)置為屬于VLAN20的團(tuán)體端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10020Switch(config-if-range)#exit

5.將g1/0設(shè)置為屬于主VLAN100的混雜端口，可以和輔助VLAN通信。命令如下：Switch(config)#intg1/0Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10010,20

6.測(cè)試可以看到，VPC1可以ping通VPC5，但ping不通其它VPC。VPC3可以ping通VPC4和VPC5，但ping不通其它VPC。3.6交換機(jī)端口類型的自動(dòng)協(xié)商

除了可以手動(dòng)指定交換機(jī)的端口類型外，還可以通過(guò)思科的DTP（DynamicTrunkProtocol，動(dòng)態(tài)Trunk協(xié)議）或華為的LNP（Link-typeNegotiationProtocol，鏈路類型協(xié)商協(xié)議）進(jìn)行動(dòng)態(tài)協(xié)商。DTP是思科的專有協(xié)議，端口處于協(xié)商狀態(tài)時(shí)，配置了DTP的端口通過(guò)發(fā)送DTP協(xié)商包與鄰接端口進(jìn)行協(xié)商，協(xié)商它們之間的鏈路是否形成Trunk。

華為的LNP協(xié)議也支持交換機(jī)端口類型的自動(dòng)協(xié)商。華為交換機(jī)支持的以太網(wǎng)端口的鏈路類型有Access、Hybrid、Trunk等。

因?yàn)镈TP和LNP都是私有協(xié)議，所以兩者不可以對(duì)接，只能替換。以思科的DTP為例，在PacketTracer中搭建如圖3-12所示拓?fù)?。圖3-12思科DTP配置的網(wǎng)絡(luò)拓?fù)?/p>

1.思科交換機(jī)端口的模式有access、trunk和dynamic（動(dòng)態(tài)協(xié)商）模式。思科端口默認(rèn)處于dynamic模式。dynamic模式又分為auto和desirable兩種，其中，auto是被動(dòng)的，desirable是主動(dòng)的。查看端口有哪些模式及類型，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmode?//查看端口有哪些模式accessSettrunkingmodetoACCESSunconditionally

dynamicSettrunkingmodetodynamicallynegotiateaccessortrunkmodetrunkSettrunkingmodetoTRUNKunconditionallySW1(config-if)#switchportmodedynamic?//查看dynamic模式的類型

autoSettrunkingmodedynamicnegotiationparametertoAUTOdesirableSettrunkingmodedynamicnegotiationparametertoDESIRABLE

2.當(dāng)對(duì)端設(shè)備不支持DTP幀（例如非思科設(shè)備）時(shí)，可將本端設(shè)為非協(xié)商狀態(tài)，處于非協(xié)商狀態(tài)的端口無(wú)法產(chǎn)生DTP協(xié)商包。

（1）將端口設(shè)為dynamicauto模式，命令如下：SW1(config-if)#switchportmodedynamicauto

（2）嘗試直接將dynamic模式的端口置于非協(xié)商狀態(tài)，命令如下：SW1(config-if)#switchportnonegotiateCommandrejected:Conflictbetween'nonegotiate'and'dynamic'status.提示說(shuō)不成功，dynamic模式的端口無(wú)法更改為非協(xié)商狀態(tài)。只有手動(dòng)將其配成trunk模式后，才能改為非協(xié)商狀態(tài)。

（3）先手動(dòng)將端口配置為trunk模式，再將端口置于非協(xié)商狀態(tài)，命令如下：SW1(config-if)#switchportmodetrunk//將端口配置為trunk模式SW1(config-if)#switchportnonegotiate//將端口配置為非協(xié)商此時(shí)，本端為手動(dòng)trunk模式，且處于非協(xié)商狀態(tài)，當(dāng)鄰接端口也手動(dòng)設(shè)為trunk模式時(shí)，雙方會(huì)形成trunk鏈路；若鄰接端口為動(dòng)態(tài)desirable或者auto模式，則鄰接端口最終會(huì)成為access端口。

（4）將交換機(jī)端口改回協(xié)商狀態(tài)，命令如下：SW1(config-if)#noswitchportnonegotiate

3.雙方動(dòng)態(tài)協(xié)商成為trunk的條件：（1）本端為dynamicauto模式，對(duì)端為trunk模式或dynamicdesirable模式之一；（2）本端為dynamicdesirable模式，對(duì)端為trunk模式或dynamicdesirable模式或dynamicauto模式之一。

4.觀察dynamicdesirable模式與dynamicauto模式端口之間協(xié)商的效果，方法如下：

（1）將交換機(jī)RS1的f0/1端口設(shè)為動(dòng)態(tài)協(xié)商的desirable模式，命令如下：RS1(config)#interfacefastEthernet0/1RS1(config-if)#switchportmodedynamicdesirable

（2）將交換機(jī)SW1的f0/1端口設(shè)為動(dòng)態(tài)協(xié)商的auto模式，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmodedynamicauto

（3）查看SW1和RS1端口的trunk狀態(tài)，命令如下：SW1#showinterfacestrunk//查看SW1的端口trunk狀態(tài)PortModeEncapsulationStatusNativevlanFa0/1auton-802.1qtrunking1RS1#showinterfacestrunk//查看RS1的端口trunk狀態(tài)PortModeEncapsulationStatusNativevlanFa0/1desirablen-802.1qtrunking1可以看到，RS1與SW1之間的trunk鏈路協(xié)商成功。

5.觀察dynamicauto模式端口與dynamicauto模式端口之間協(xié)商的效果，方法如下：

（1）將交換機(jī)RS1的f0/1端口改為動(dòng)態(tài)auto模式，命令如下：RS1(config)#defaultinterfacefastEthernet0/1//清除f0/1端口的配置RS1(config)#intfastEthernet0/1RS1(config-if)#switchportmodedynamicauto

（2）交換機(jī)SW1的fastEthernet0/1端口保留為動(dòng)態(tài)auto模式。

（3）觀察它們之間的trunk鏈路能否協(xié)商成功，命令如下：RS1#showinterfacestrunk

發(fā)現(xiàn)處于trunk的端口為空，表示兩端都為auto模式時(shí)，雙方無(wú)法建立trunk鏈路。3.7CDP和LLDP協(xié)議

為便于管理，讓設(shè)備在網(wǎng)絡(luò)中能互相發(fā)現(xiàn)和交互，CDP、LLDP等協(xié)議相繼推出。其中，CDP（CiscoDiscoveryProtocol，思科發(fā)現(xiàn)協(xié)議）是思科開發(fā)的專有協(xié)議，通過(guò)它，相鄰的、直連的思科設(shè)備能互相發(fā)現(xiàn)。LLDP（LinkLayerDiscoveryProtocol，鏈路層發(fā)現(xiàn)協(xié)議）則是一種國(guó)際通用的標(biāo)準(zhǔn)鏈路層發(fā)現(xiàn)協(xié)議，它是華為、華三等設(shè)備在網(wǎng)絡(luò)中互相發(fā)現(xiàn)和交互各自系統(tǒng)和配置信息的協(xié)議。3.7.1思科設(shè)備配置CDP

CDP是數(shù)據(jù)鏈路層協(xié)議，默認(rèn)是啟動(dòng)的。思科設(shè)備默認(rèn)每60秒發(fā)送一次通告，通告中包含了自身的主機(jī)名、硬件型號(hào)、軟件版本和CDP通告有效時(shí)間等信息。

搭建如圖3-13所示的拓?fù)?。圖3-13思科CDP配置的網(wǎng)絡(luò)拓?fù)?/p>

1.RS1、R1、R2的基本配置，命令如下：Switch>enable//RS1的配置Switch#configureterminalSwitch(config)#hostnameRS1RS1(config)#exitRouter>enable//R1的配置Router#configureterminalRouter(config)#hostnameR1R1(config)#interfacerangegigabitEthernet0/0-1R1(config-if-range)#noshutdownR1(config-if-range)#endRouter>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacegigabitEthernet0/0R2(config-if)#noshutdownR2(config-if)#end

2.查看CDP的默認(rèn)運(yùn)行狀態(tài)，命令如下：R1#showcdpGlobalCDPinformation:SendingCDPpacketsevery60secondsSendingaholdtimevalueof180secondsSendingCDPv2advertisementsisenabled可以查看到，默認(rèn)情況下，CDP是運(yùn)行的，思科設(shè)備每60秒發(fā)送一次CDP消息，鄰居收到后保存180秒，當(dāng)前CDP版本是v2。

3.查看R1的哪些接口在運(yùn)行CDP協(xié)議，命令如下：R1#showcdpinterfaceVlan1isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/0isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/1isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/2isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180seconds以上顯示了哪些接口在運(yùn)行CDP協(xié)議。

4.查看R1的CDP鄰居，命令如下：R1#showcdpneighborsCapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDR2Gig0/1125RC2900Gig0/0RS1Gig0/01793560Gig0/1可以看到R1兩個(gè)鄰居的信息。

5.查看CDP的詳細(xì)信息，命令如下：R1#showcdpentryRS1R1#showcdpentryR2以上命令可以查看到CDP鄰居RS1和R2的詳細(xì)信息，如鄰居的IOS版本等。

6.CDP的開啟和關(guān)閉的命令如下：R1#configureterminalR1(config)#nocdprun//在整個(gè)路由器上關(guān)閉CDPR1(config)#cdprun//在整個(gè)路由器上開啟CDPR1(config)#interfacegigabitEthernet0/0R1(config-if)#nocdpenable//在g0/0接口上關(guān)閉CDPR1(config-if)#cdpenable//在g0/0接口上打開CDP謝謝欣賞第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦?zé)?/p>

同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計(jì)算機(jī)通信網(wǎng)絡(luò)通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術(shù)包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，傳輸速率從早期的10Mbps的標(biāo)準(zhǔn)以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬(wàn)兆以太網(wǎng)，成為局域網(wǎng)技術(shù)的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡(luò)屬于共享式以太網(wǎng)，網(wǎng)絡(luò)中的所有終端主機(jī)都處于同一沖突域中，網(wǎng)絡(luò)的帶寬是由接入的主機(jī)共享的，接入的主機(jī)越多，每臺(tái)主機(jī)獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機(jī)組成的網(wǎng)絡(luò)則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時(shí)轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機(jī)和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機(jī)還是集線器，它們的端口都處在各自的同一個(gè)廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡(luò)資源，還影響到網(wǎng)絡(luò)安全；當(dāng)有網(wǎng)絡(luò)設(shè)備發(fā)生故障，導(dǎo)致廣播幀不停發(fā)送時(shí)，更會(huì)導(dǎo)致廣播風(fēng)暴，影響正常的網(wǎng)絡(luò)通信。因此，有必要按網(wǎng)絡(luò)規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡(luò)分別連接到不同的交換機(jī)，交換機(jī)再通過(guò)路由器連接到一起，實(shí)現(xiàn)不同網(wǎng)絡(luò)的互聯(lián)。這種情況下，當(dāng)本地廣播包經(jīng)過(guò)路由器時(shí)，路由器會(huì)將其攔截，實(shí)現(xiàn)了對(duì)本地廣播的隔離。但這種通過(guò)引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們?cè)敿?xì)學(xué)習(xí)VLAN的相關(guān)知識(shí)。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術(shù)是從邏輯上將一個(gè)局域網(wǎng)（LAN）劃分為多個(gè)邏輯上獨(dú)立的虛擬局域網(wǎng)（VLAN），從而達(dá)到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實(shí)現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標(biāo)簽的數(shù)據(jù)幀上添加4個(gè)字節(jié)的802.1Q標(biāo)簽，其中的12比特用于存放VLANID，標(biāo)識(shí)不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒(méi)創(chuàng)建新VLAN之前，交換機(jī)的所有端口都默認(rèn)屬于VLAN1，VLAN1是默認(rèn)存在且不能被刪除的。下面通過(guò)案例來(lái)分析VLAN的劃分。

3.2.2華為設(shè)備配置VLAN

如圖3-4所示，學(xué)校一樓和二樓的交換機(jī)都連接了信工學(xué)院、機(jī)電學(xué)院和財(cái)務(wù)處的電腦，兩臺(tái)交換機(jī)的e0/0/1-e0/0/9端口劃分給信工學(xué)院，e0/0/10-e0/0/19端口劃分給機(jī)電學(xué)院，e0/0/20-e0/0/22劃分給財(cái)務(wù)處，樓層間兩臺(tái)交換機(jī)的g0/0/1端口通過(guò)交叉線連接。

圖3-4樓層間兩臺(tái)華為交換機(jī)相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測(cè)試所有電腦都能互相ping通。

2.為加強(qiáng)安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機(jī)電學(xué)院劃分到VLAN10、財(cái)務(wù)處劃分到VLAN100。3.為1樓交換機(jī)劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//進(jìn)入VLAN1配置視圖[SW1-vlan1]descriptionxinGong//描述VLAN1為xinGong[SW1-vlan1]quit[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10為jiDian[SW1-vlan10]quit[SW1]vlan100//創(chuàng)建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100為caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//將端口E0/0/1-E0/0/9組成端口組，以便進(jìn)行統(tǒng)一配置[SW1-port-group]portlink-typeaccess//統(tǒng)一將這些端口類型設(shè)置為ACCESS模式[SW1-port-group]portdefaultvlan1//設(shè)置端口PVID為1，將這些端口劃分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.為2樓交換機(jī)劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。配置命令與1樓交換機(jī)配置命令相同。

5.查看交換機(jī)SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于連接信工學(xué)院電腦的e0/0/1-e0/0/9端口屬于VLAN1、用于連接一樓交換機(jī)的g0/0/1端口也屬于VLAN1等信息。

6.通過(guò)在電腦上執(zhí)行ping測(cè)試，檢測(cè)1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機(jī)電學(xué)院的電腦不能互通，1樓和2樓間財(cái)務(wù)處的電腦也不能互通。這是因?yàn)檫B接1樓和2樓的兩個(gè)交換機(jī)的端口都是g0/0/1，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.3跨交換機(jī)的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機(jī)之間通過(guò)屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過(guò)，其它VLAN的流量無(wú)法通過(guò)。若要使其它VLAN的流量也能跨越交換機(jī)在樓層間傳輸，需要為每個(gè)VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設(shè)為Access模式，并把相應(yīng)端口劃分給該VLAN。這樣的話，有幾個(gè)VLAN要跨越交換機(jī)傳輸，交換機(jī)間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實(shí)的。那么，交換機(jī)間的一根網(wǎng)線能否同時(shí)允許各VLAN通過(guò)呢？答案是肯定的。這就需要用到交換機(jī)端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個(gè)VLAN，只有該VLAN能通過(guò)該端口，其它VLAN是無(wú)法通過(guò)的，這種模式的端口通常用來(lái)連接電腦；Trunk模式的端口則可設(shè)置成允許部分VLAN或所有VLAN都通過(guò)，這種模式的端口通常用于交換機(jī)間的互連。3.3.2華為設(shè)備配置Trunk下面介紹華為設(shè)備配置trunk的方法：1.將一樓交換機(jī)SW1的端口g0/0/1設(shè)置為trunk類型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//將端口g0/0/1設(shè)置為trunk類型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允許VLAN10、VLAN100和默認(rèn)的本征VLAN1通過(guò)。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交換機(jī)各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被設(shè)置成立trunk類型，VLAN1是本征VLAN，允許通過(guò)的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機(jī)的配置和測(cè)試。與一樓交換機(jī)的配置和測(cè)試命令一樣。3.在電腦上進(jìn)行ping測(cè)試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.3.3華三設(shè)備配置Trunk1.將一樓交換機(jī)SW1的端口fg1/0/53設(shè)置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進(jìn)入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設(shè)置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過(guò)[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過(guò)的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機(jī)的配置和測(cè)試與一樓交換機(jī)的配置和測(cè)試命令一樣。3.在電腦上進(jìn)行ping測(cè)試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.4VLAN同步及動(dòng)態(tài)注冊(cè)

在多臺(tái)交換機(jī)需要配置相同VLAN信息的網(wǎng)絡(luò)環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進(jìn)行交換機(jī)間VLAN的同步、簡(jiǎn)化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機(jī)可組成一個(gè)VTP域（VTPDomain），VTP域中一臺(tái)交換機(jī)上的VLAN創(chuàng)建或修改信息可自動(dòng)同步到其它交換機(jī)上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來(lái)實(shí)現(xiàn)，VTP通告攜帶32位的修訂號(hào)（Revision）來(lái)代表修訂級(jí)別，修訂號(hào)的初始值是0，它會(huì)不斷增加，新修訂號(hào)的VLAN信息會(huì)覆蓋舊修訂號(hào)的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國(guó)際標(biāo)準(zhǔn)協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊(cè)協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊(cè)協(xié)議）的一個(gè)應(yīng)用，GARP是一個(gè)通用協(xié)議的模板，用于屬性的動(dòng)態(tài)注冊(cè)和注銷，GVRP則用于VLAN信息的動(dòng)態(tài)注冊(cè)和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動(dòng)態(tài)地劃分到VLAN，即通過(guò)VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過(guò)GVRP創(chuàng)建的VLAN是動(dòng)態(tài)VLAN。

GARP的升級(jí)版是MRP（MultipleRegistrationProtocol，多屬性注冊(cè)協(xié)議），相應(yīng)的，GVRP的升級(jí)版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊(cè)協(xié)議）。MVRP可兼容GVRP。3.4.2華為設(shè)備配置GVRPGVRP可用于交換機(jī)間端口VLAN信息的動(dòng)態(tài)注冊(cè)和注銷。GVRP通過(guò)trunk口交互。如圖3-7所示，在eNSP中搭建拓?fù)?。圖3-7華為交換機(jī)配置GVRP的網(wǎng)絡(luò)拓?fù)湟?、基本配?.各PC的地址按拓?fù)渲械囊?guī)劃進(jìn)行配置。2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機(jī)間的鏈路設(shè)置為trunk鏈路，允許所有vlan通過(guò)。（1）交換機(jī)的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）進(jìn)行跨交換機(jī)的屬于VLAN10的PC互ping測(cè)試，在PC1上ping192.168.1.20，發(fā)現(xiàn)無(wú)法ping通。（3）查看交換機(jī)的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)