第5章 VLAN管理

单击此处编辑母版标题样式,Dfdf,yty,*,第,5,章,VLAN,管理,VLAN,的概念,VLAN,的作用,VLAN,的实现方式,VLAN,（,Virtual Local Area Network,，虚拟局域网）是在一个物理网络上划分出来的逻辑网络。这个网络对应于,OSI,模型的第二层（数据链路层）。,VLAN,的划分不受网络端口的实际物理位置的限制，但有着与普通物理网络同样的属性，第二层的单播、组播和广播帧在同一个,VLAN,内转发、扩散，而不会直接进入其他的,VLAN,之中。,VLAN,的应用有助于控制流量、减小设备投资、简化网络管理、提高网络的安全性。,9.1 VLAN,的概念,传统的共享介质的以太网和交换式的以太网中，对广播风暴的控制和网络安全只能在第三层的路由器上实现，因为默认情况下路由器不会转发广播消息。图,9-1,显示了用路由器来隔离广播域的情况。这个例子也显示了网桥只是扩展了广播域的范围，并没有建立新的广播域。,图,9-1,通过路由器来隔离广播域,交换机也提供了一种称为虚拟局域网（,VLAN,）的广播域分段方法。在交换机中，一个,VLAN,被定义成一个广播域，处于同一个,VLAN,的站点之间可以接收彼此的广播消息。如果某个,VLAN,的成员发送广播，属于这个,VLAN,的所有成员将都会接收到这个广播。但是广播消息会被不属于同一,VLAN,的端口或设备过滤掉，图,9-2,显示了通过在交换机上划分,VLAN,来隔离广播域的情况。,图,9-2,通过在交换机上划分,VLAN,来隔离广播域,VLAN,是对连接到第二层交换机端口的网络用户的逻辑分段，它不受网络用户的物理位置限制。一个,VLAN,可以在一个交换机或者跨其他的交换机实现。,VLAN,可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组，如图,9-3,所示。,图,9-3,根据实际需要来划分,VLAN,9.2 VLAN,在网络管理中的作用,9.2.1,利用,VLAN,控制广播风暴,一个,VLAN,就是一个逻辑广播域，通过对,VLAN,的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生，如图,9-4,所示。采用,VLAN,技术，可将某个交换机端口划到某个,VLAN,中，而任意一个,VLAN,的广播风暴不会影响其它,VLAN,的性能。,图,9-4,通过,VLAN,来控制广播风暴,9.2.2,利用,VLAN,提高网络整体的安全性,通过,VLAN,访问控制列表等规则，我们可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同,VLAN,中，从而提高交换式网络的整体性能和安全性，如图,9-5,所示。,图,9-5,通过,VLAN,提高网络整体的安全性,9.2.3,利用,VLAN,方便网络管理,网络管理员能够借助于,VLAN,技术轻松管理整个网络。如图,9-6,所示，每个楼层都有科技系、管理系、法律系的人员，但是我们可以通过使用,VLAN,技术，不受地理条件的限制，把他们逻辑地划分到一起。,图,9-6,通过,VLAN,方便网络管理,9.2.4 VLAN,应用实例,如图,9-7,所示的是一个单位的网络规划示意图，其中根据用户所属部门和工作性质的不同，分别创建了不同的,VALN,，具体从,VLAN 10,到,VLAN 60,。同时，为每一个,VLAN,分配一个,IP,地址，对应关系如图,9-7,所示。每一个,VLAN,的,IP,地址即该,VLAN,中用户计算机的“网关”地址。例如，,VLAN 10,的,IP,地址（其实是,VLAN,接口,Interface VLAN,的,IP,地址）为,192.168.1.1,，那么凡是属于,VLAN10,中的用户计算机，其,IP,地址的取值范围为,192.168.1.2192.168.1.254,，网关的,IP,地址为,192.168.1.1,。,图,9-7,一个局域网规划示意图,9.3 VLAN,的实现方式,9.3.1,什么是静态,VLAN,静态,VLAN,是指网络管理员将交换机端口分配给某一个,VLAN,，所以静态,VLAN,也称为基于端口的,VLAN,（,Port-VLAN,）。静态,VLAN,是一种最经常使用的配置方式。静态,VLAN,容易实现和监视，而且比较安全。,静态,VLAN,是根据以太网交换机端口来划分的，如图,9-8,所示，我们将某台,24,口,Catalyst,交换机的,1,6,端口划给,VLAN 10,，,7,12,端口划给,VLAN 40,，,13,18,端口划给,VLAN 20,，,19,24,端口划给,VLAN 30,。,图,9-8,将一个交换机端口划分为多个,VLAN,9.3.2,什么是动态,VLAN,动态划分,VLAN,的方法是根据每个主机的,MAC,地址来划分。在这种实现方式中，我们必须先建立一个较复杂的数据库，数据库中包含了要连接的网络设备的,MAC,地址及相应的,VLAN,号。这样当网络设备接到交换机端口时，交换机会自动把这个网络设备分配给相应的,VLAN,。,其实，动态,VLAN,的配置还可以是基于网络设备,IP,地址、应用或者所使用的协议的。实现动态,VLAN,时候，需要使用相应管理软件来对,VLAN,数据库进行管理，例如,MS SQL Server,。,在,Cisco Catalyst,交换机上可以使用,VLAN,管理策略服务器（,VMPS,）实现基于,MAC,地址的动态,VLAN,配置。,VMPS,维护着一张,MAC,地址与,VLAN,的映射表。,动态,VLAN,的最大优点就是：网络管理员只需维护管理相应的数据库，而不用关心用户使用哪一个端口，当用户物理位置移动时（例如从一个交换机换到其他的交换机），,VLAN,不用重新配置，所以可以认为这种根据,MAC,地址的划分方法是基于用户的,VLAN,。,动态,VLAN,的缺点是：在初始化时，必须对所有的用户进行配置，如果有几百个甚至上千个用户的话，这个配置是非常累的。,9.4,链路类型及管理方法,在,VLAN,管理中，有些链路主要用于用户计算机与交换机之间的连接，而有些链路主要用于交换机之间或交换机与路由器之间的连接。不同的链路类型在,VLAN,通信中对数据帧的要求也不一样。,9.4.1,什么是接入链路,接收链路是指用于连接用户计算机与交换机端口之间的链路。在静态,VLAN,中，交换机上接入链路的端口被静态地分配给某个,VLAN,，并且这个端口也仅仅属于这个,VLAN,。连接到接入链路上的终端设备并不知道存在着一个,VLAN,，它只知道自己属于某个,IP,子网，这些设备无法鉴别带有,VLAN,标识的数据帧，因此交换机必须负责在帧被发送到接入链路之前拿掉,VLAN,标识。,属于接入链路的端口不能直接对另外一个,VLAN,接收或者发送数据，,VLAN,间的通信必须通过第三层设备来实现。,9.4.2,什么干道链路（,trunk,）,干道链路用于交换机的级联以及交换机与路由器之间的连接，它可以承载多个,VLAN,的信息，属于,VLAN,通信的公共通道。当通过交换机转发数据时，交换机在干道链路上为数据帧添加,VLAN,标识，在接入链路上拿掉,VLAN,标识。,如图,9-9,所示，交换机,A,的,1,、,2,端口都被定义为属于,VLAN20,的接入链路。根据定义，它们只能属于,VLAN20,。因此当交换机,A,的端口,1,发送的数据帧到达端口,2,时，帧没有被加上,VLAN,标识。,图,9-9,在同一,VLAN,的不同端口之间传输数据,1, 干道封装,我们已经对干道链路的概念作了介绍，如何实现干道链路呢？下面我们介绍干道链路的封装方法，通过封装，我们可以为数据帧打上相应的,VLAN,标识。以太网上实现干道可使用下面两种封装类型：, ISL(Inner Switch Link), IEEE 802.1q,。,（,1,）,ISL,封装,ISL,是,Cisco,特有的标记方法，只有,Cisco,的设备才可以理解,ISL,封装的数据帧，因此当我们决定使用,ISL,进行干道封装时，必须确保网段中的交换设备全是,Cisco,的并且都支持,ISL,封装，否则会带来问题。,ISL,是一种外部封装方法，即,ISL,在不改变原始帧的基础上对以太网帧进行封装，如图,9-10,所示。,图,9-10 ISL,封装方式,（,2,）,IEEE 802.1q,封装,IEEE 802.1q,是一种标准的,VLAN,标记方法，非,Cisco,的产品也能够支持。因此,IEEE 802.1q,可以用于不同厂商设备之间的互联。,IEEE 802.1q,使用的是一种内部标记，即用,VLAN,标识修改现有的以太网数据帧，因此通过,IEEE 802.1q,封装的以太网数据帧依然保持着标准以太网数据帧的格式，如图,9-11,所示。,图,9-11 IEEE 802.1q,封装方式,2,DTP,动态干道协议,动态干道协议用于交换机之间的干道协商，协商某个链路是否成为,Trunk,（干道）。这有些类似于以太网链路的自动协商功能。交换机链路可配置为三种工作方式：, Access,（访问）,直接定义链路类型为接入链路。, Dynamic,（动态）,动态协商, Trunk,（干道）,直接定义链路类型为干道链路。,其中,Dynamic,（动态）方式又分为两种：, Auto,（自动）,使端口自动适应对方端口的工作方式，如果对方的端口被设置为,trunk,或者,desirable,的话，该链路就会变为,trunk,。, Desirable,（期望的）,顾名思义，该端口期望成为,trunk,只要对方的端口不是被直接定义为,access,（接入链路），该链路就能成为,trunk,。,通过上面的介绍，我们对干道协商进行一下总结：,如果两个端口都被设置为,dynamic auto,，那么这条链路永远不能成为,trunk,。,如果两个端口都被设置为,dynamic desirable,，那么这条链路将成为,trunk,。,关于干道协商的相关命令，在本章后面的具体配置中进行详细介绍。,9.5,实验操作,1,：,VLAN,的配置,Cisco Catalyst,交换机中的,VLAN,号,1,、,1002,、,1003,、,1004,、,1005,是自动生成的并且不能被去掉。,VLAN,号从,11005,的配置被写到文件,vlan.dat,中，可以用,show vlan,命令查,VLAN,的配置，,vlan.dat,文件存放在,flash,中。,9.5.1 VLAN,的创建和删除,1,在全局配置模式下进行配置,在全局模式下创建,VLAN,的过程如例,15-1,所示：,例,15-1,在全局模式下创建,VLAN,Switch# configure terminal,Switch(config)# vlan,20,Switch(config-vlan)# name,test20,Switch(config-vlan)# end,Switch#,表,9-1,全局模式下创建,VLAN,的步骤说明,步骤,命 令,说 明,第,1,步,configure terminal,进入全局配置模式,第,2,步,vlan,vlan-id,如果输入的,VLAN-id,是新的,VLAN,号，则创建一个新的,VLAN,，并且进入此,VLAN,的配置模式。如果输入的是一个已经存在的,VLAN,号，则直接进入此,VLAN,的配置模式。,第,3,步,name,vlan-name,(,可选,),输入一个,VLAN,名，如果没有配置,VLAN,名，缺省的名字是,VLAN,号前面用,0,填满的,4,位数，例如：,VLAN0004,是,VLAN4,的缺省名字,第,4,步,End,退出,例,15-2 VLAN,的删除方法：,Switch# configure terminal,Switch(config)# no vlan 20,Switch(config)# end,表,9-2,对例,15-2,中的命令进行了说明。,表,9-2,全局模式下删除,VLAN,的步骤说明,步 骤,命 令,说 明,第,1,步,configure terminal,进入全局配置模式,第,2,步,No vlan vlan-id,删除,VLAN,第,3,步,End,退出,2, 在,VLAN Database,模式下进行配置,在,Database,模式下，可以通过以下的方法创建或删除,VLAN,。,例,15-3,在,Database,模式下创建,VLAN,Switch#vlan database,Switch(vlan)#vlan 20 name test20,VLAN 20 added:,Name: test20,Switch(vlan)#exit,APPLY completed.,Exiting.,Switch#,表,9-3 Database,模式下创建,VLAN,的步骤说明,步 骤,命 令,说 明,第,1,步,vlan database,进入,vlan database,配置模式,第,2,步,vlan,vlan-id,name,vlan-name,创建,VLAN,并且命名,第,3,步,Exit,更新,VLAN,数据库并且退出,在,Database,模式下，可以通过以下的方法删除,VLAN,。,例,15-4,在,Database,模式下删除,VLAN,Switch#vlan database,Switch(vlan)#no vlan 20,Deleting VLAN 20.,Switch(vlan)#exit,APPLY completed.,Exiting.,Switch#,表,9-4,对例,15-4,的每一步进行了说明。,表,9-4 Database,模式下删除,VLAN,的步骤说明,步 骤,命 令,说 明,第,1,步,vlan database,进入,vlan database,配置模式,第,2,步,No vlan,vlan-id,删除,VLAN,第,3,步,Exit,更新,VLAN,数据库并且退出,9.5.2,静态,VLAN,的划分,1, 接入链路上的定义,下面是接入链路的配置样例。,例,15-5,接入链路的配置方法,Switch# configure terminal,Switch(config)#vlan 20,Switch(config-vlan)#name cisco,Switch(config-vlan)#exit,Switch(config)# interface fastethernet0/1,Switch(config-if)# switchport mode access,Switch(config-if)# switchport access vlan 20,Switch(config-if)# end,Switch#,表,9-5,对接入链路的配置步骤进行了说明。,表,9-5,接入链路配置步骤说明,步 骤,命 令,说 明,第,1,步,创建一个,VLAN,第,2,步,interface,fastethernet0/1,进入接口配置模式,N,第,3,步,switchport mode access,定义接口类型为二层接入（访问）链路,第,4,步,switchport access vlan,vlan-id,把端口分配给某一,VLAN,第,5,步,End,退出,在将某个端口分配给某个,VLAN,之前应先定义那个,VLAN,，如果我们将某个端口分配给一个不存在的,VLAN,，交换机会自动创建那个,VLAN,。,例,15-6,交换机自动创建,VALN,Switch#conf t,Switch(config)# interface fastethernet0/2,Switch(config-if)#switchport access vlan 30,% Access VLAN does not exist. Creating vlan 30,Switch(config-if)#end,2, 干道链路上的定义,下面是干道链路的配置样例。,例,15-7,道链路的配置,Switch# configure terminal,Switch(config)# interface fastethernet0/12,Switch(config-if)# switchport mode trunk,Switch(config-if)# switchport trunk encapsulation dot1q,Switch(config-if)# switchport trunk allowed vlan all,Switch(config-if)# end,表,9-6,对例,15-7,的操作步骤进行了说明,表,9-6,干道链路配置步骤说明,步 骤,命 令,说 明,第,1,步,configure terminal,进入全局配置模式,第,2,步,interface,fastethernet0/12,进入接口配置模式,第,3,步,switchport mode,dynamic,auto,|,desirable, |,trunk,配置二层,trunk,模式。,dynamic auto,：让端口自动协商是否成为,trunk,。, dynamic desirable,：把端口设置为期望是,trunk,，如果对方端口是,trunk,、,desirable,或者自动模式，则此端口成为,trunk,。, trunk,：设置端口为强制,trunk,方式，不理会对方端口是否为,trunk,。,第,4,步,switchport trunk encapsulation,isl,|,dot1q,|,negotiate,配置,trunk,封装类型：,ISL,或,802.1Q,或自动协商。,第,5,步,（可选）,switchport trunk allowed vlan,add,|,all,|,except,|,remove,vlan-list,定义,trunk,链路上允许通过的,VLAN,列表。默认情况下为,all,，即允许所有,VLAN,通过,add,：向现有列表中加入,VLAN,号。,all,：允许所有的,VLAN,通过。,except,：在列表中过滤相应的,VLAN,号。,remove,：删除现有列表中的某个,VLAN,号。,vlan-list,：,vlan,列表，用逗号隔开,。,第,6,步,End,退出,对于,switchport trunk allowed vlan add | all | except | remove vlan-list,命令我们举个例子，假如我们在交换机上进行了如下配置：,Switch(config)#interface fastethernet 0/1,Switch(config-if)#switchport mode trunk,Switch(config-if)#switchport trunk allowed vlan all,Switch(config-if)#switchport trunk allowed vlan remove 2,3,5,9,然后我们使用,show running-config,命令查看接口,fastethernet 0/1,上的配置：,Switch#show running-config,Building configuration.,interface FastEthernet0/1,switchport trunk allowed vlan 1,4,6-8,10-4094,switchport mode trunk,在配置文件中我们可以看到我们输入的两条命令：,switchport trunk allowed vlan all,switchport trunk allowed vlan remove 2,3,5,9,相当于：,switchport trunk allowed vlan 1,4,6-8,10-4094,。,注意：由于,Catalyst 2950,只支持,802.1q,的,trunk,封装类型，所以在对,Catalyst 2950,进行配置时，不需要特别指定,trunk,的封装类型。,9.5.3,动态,VLAN,配置简述,动态,VLAN,由三大部分组成：动态,VLAN,数据库文件、动态,VLAN,服务器、动态,VLAN,客户机，我们只介绍动态,VLAN,中客户机的配置方法。,在客户机上设置,VMPS,服务器地址，命令格式为：,vmps,server,ip-address,primary,，其中,primary,参数可以将服务器指定为主,VMPS,服务器，我们最多可以为客户机指定四台,VMPS,服务器。,例,15-8,利用,vmps server,命令在客户机上设置,VMPS,服务器地址,Switch(config)# vmps server ip-address primary,接下来的工作就是将交换机的端口配置为动态,VLAN,，可以在接口配置模式下使用命令：,switchport access dynamic,进行配置。,例,15-9,在接口配置模式下使用,switchport access dynamic,命令将交换机端口配置为动态,VLAN,Switch(config)# interface fa 0/1,Switch(config-if)# switchport access dynamic,9.5.4,验证,VLAN,的配置,1,Show VLAN,id,vlan-id,Show VLAN,命令显示了我们所定义的,VLAN,，以及为每个,VLAN,所分配的端口和每个,VLAN,的详细配置（如,MTU,），该命令的格式为：,Show VLAN id vlan-id,。,例,15-10,利用,show vlan,命令显示已定义的,VLAN,Switch#,sh vlan,VLAN Name Status Ports,- - - -,1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6,Fa0/11, Fa0/12, Gi0/1, Gi0/2,20 cisco active Fa0/1, Fa0/2,30 3com active Fa0/7, Fa0/8, Fa0/9, Fa0/10,1002 fddi-default active,1003 token-ring-default active,1004 fddinet-default active,1005 trnet-default active,VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2,- - - - - - - - - - -,1 enet 100001 1500 - - - - - 0 0,20 enet 100020 1500 - - - - - 0 0,30 enet 100030 1500 - - - - - 0 0,1002 fddi 101002 1500 - - - - - 0 0,1003 tr 101003 1500 - - - - - 0 0,1004 fdnet 101004 1500 - - - ieee - 0 0,1005 trnet 101005 1500 - - - ibm - 0 0,Remote SPAN VLANs,-,Primary Secondary Type Ports,- - - -,Switch#,例,15-11,利用,Show vlan,命令只显示某个,VALN,的信息,Switch#sh vlan id 20,VLAN Name Status Ports,- - - -,20 cisco active Fa0/1, Fa0/2,VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2,- - - - - - - - - - -,20 enet 100020 1500 - - - - - 0 0,Remote SPAN VLAN,-,Disabled,Primary Secondary Type Ports,- - - -,2,Show VLAN brief,Show vlan brief,输出了,show vlan,命令的前半部分，简洁明了的显示了,VLAN,的配置和端口的分配情况。,例,15-12,利用,Show vlan brief,命令显示,VLAN,的前半部分信息,Switch#sh vlan brief,VLAN Name Status Ports,- - -,1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6,Fa0/11, Fa0/12, Gi0/1, Gi0/2,20 cisco active Fa0/1, Fa0/2,30 3com active Fa0/7, Fa0/8, Fa0/9, Fa0/10,1002 fddi-default active,1003 token-ring-default active,1004 fddinet-default active,1005 trnet-default active,3,show VLAN summary,Show vlan summary,命令简要的输出了,VLAN,配置的总结信息。,例,15-13,利用,Show vlan summary,命令简单显示,VLAN,的配置信息,Switch#sh vlan summary,Number of existing VLANs : 7,Number of existing VTP VLANs : 7,Number of existing extended VLANs : 0,9.6 VTP,（,VLAN,干道协议）的应用和管理,VTP,信息的作用有些类似前面所讲的网桥冗余链路管理时用到的,BPDU,，它们都是用于保证所有交换机中某个数据库的一致性。总的说来,VTP,具有以下优点：,保持整个网络,VLAN,配置的一致性,对,VLAN,进行跟踪和监管,方便地添加、删除以及重命名,VLAN,9.6.1 VTP,通告信息,1. VTP,管理域,一个,VTP,域由一台或多台被配置为同一,VTP,域名的交换设备组成。每台交换机只能属于一个,VTP,管理域。默认情况下，,VTP,管理域被设置为没有口令的非安全模式。因此，在用户创建,VTP,域时，最好为,VTP,域添加一个口令以使之进入安全模式。我们强烈建议为,VTP,设置密码，这样可以防止非授权的交换机加入到,VTP,域内。,VTP,存在三种操作模式：,服务器模式：在,VTP,服务器模式中，我们可以创建、删除、修改,VLAN,，也可以为整个,VTP,域配置其他全局参数（如：,VTP,版本、允许,VTP,修剪等）。,VTP,服务器向整个,VTP,域内的交换机通告它的,VLAN,配置，使其他交换机的,VLAN,配置（如：,VLAN,名等）和它同步。,VTP,服务器模式是,Catalyst,交换机的缺省模式。,VTP,服务器在,VTP,域中扮演的角色类似于根网桥在整个网段内所扮演的角色。,客户机模式：,VTP,客户机接收来自,VTP,服务器的,VLAN,配置，并且应用到自身，客户机不能创建、删除和修改,VLAN,。,透明模式：处于透明模式的交换机不参与,VTP,，它不通告自己的,VLAN,配置也不接收和应用来自其他,VTP,服务器的配置。但是处于,VTP,透明模式的交换机可以在干道链路上转发自己收到的,VTP,通告，以保证其他交换机能够接收到,VLAN,的更新信息。,2,VTP,配置版本号,VTP,通告中最重要的就是配置版本号。每当,VTP,服务器修改其,VTP,数据库时，它将配置版本号加,1,，然后服务器用新的配置版本号向,VTP,域内的其他设备发送,VTP,通告。如果所通告的配置版本号比,VTP,域中其他设备所存储的配置版本号高，那么那些接收到通告的交换机（客户机模式）将向服务器发出请求，请求收到,VLAN,的详细配置。,有相同配置版本号的两个,VLAN,数据库不会互相产生影响，因为交换机认为只要配置版本号一致则数据库一致。,VTP,域中交换机的,VLAN,配置始终和拥有最高配置版本号的配置一致。,例如，在图,9-12,中，管理员在,VTP,服务器上添加了某个,VLAN,，,VTP,服务器自动将配置版本号加,1,，然后向这个,VTP,域内的其他交换机发送,VTP,通告，并且在,VTP,通告中使用新的配置版本号。当,VTP,客户机收到这个通告时，它会向服务器发出请求，请求收到新的,VTP,配置；当被设置为透明模式的交换机收到通告时，它不会对自己的,VTP,数据库进行更新。,图,9-12 VTP,服务器自动将配置版本号加,1,9.6.2 VTP,的修剪功能及应用,干道链路为所有的,VLAN,传输通信量，如果某个交换机上没有处于某个,VLAN,的端口，在这台交换机的干道链路上依然会泛洪这个,VLAN,的广播。也就是说，这个交换机的干道链路会传输最终可能被丢弃的数据流。,VTP,修剪可以提高带宽利用率，限制干道链路的泛洪通信量。,例如，在图,9-13,中只有交换机,Cat-1,和,Cat-4,的端口被划分给,VLAN2,，当站点,B,发送广播时，没有必要将这个广播流量泛洪给交换机,Cat-3,、,Cat-5,和,Cat-6,。因此，,VLAN2,的通信流量将在交换机,Cat-4,和,Cat-2,的链路上被修剪。,图,9-13 VLAN2,的通信流量在交换机,Cat-4,和,Cat-2,的链路上被修剪,试想一下，假如交换机,Cat-6,上也连接着属于,VLAN2,的主机，那么交换机,Cat-4,将不能对,VLAN2,的数据流进行修剪，因为它必须将,VLAN2,的广播泛洪给交换机,Cat-6,，如图,9-14,所示。,图,9-14,交换机,Cat-4,不能对,VLAN2,的数据流进行修剪,9.7,实验操作,2,：,VTP,的相关配置,9.7.1 VTP,的基本配置,VTP,的基本配置主要分以下几步：,配置,VTP,操作模式,创建,VTP,域并命名,配置,VTP,域密码,选择,VTP,版本,例,15-14 VTP,的基本配置过程,Switch#,conf t,Enter configuration commands, one per line. End with CNTL/Z.,Switch(config)#,vtp mode server,Device mode already VTP SERVER.,Switch(config)#,vtp domain,cisco,Changing VTP domain name from NULL to cisco,Switch(config)#,vtp password,cisco,Setting device VLAN database password to cisco.,Switch(config)#,vtp version,2,Switch(config)#,end,表,9-7,对例,15-14,中的配置步骤进行了说明,表,9-7,对,VTP,基本配置步骤的说明,步 骤,命 令,说 明,第,1,步,vtp mode,client|server|transparent,设置,VTP,操作模式,第,2,步,vtp domain,domain-name,创建,VTP,域并且命名,第,3,步,vtp password,password,设置,VTP,密码,第,4,步,vtp version 2,启用,VTP,版本,2,9.7.2,配置,VTP,修剪的配置,我们可以使用,vtp pruning,命令在交换机上启动,VTP,修剪功能。,例,15-15,利用,vtp pruning,命令启动,VTP,修剪功能,Switch(config)#,vtp pruning,Pruning switched on,9.7.3,校检,VTP,的配置,（,1,）,show vtp status,show vtp status,显示了,VTP,的版本号、配置版本号、域名、操作模式等信息。下面是一个输出样例。,例,15-16,利用,show vtp status,命令显示,VTP,的配置信息,Switch#sh vtp status,VTP Version : 2,Configuration Revision : 16,Maximum VLANs supported locally : 250,Number of existing VLANs : 7,VTP Operating Mode : Server,VTP Domain Name : cisco,VTP Pruning Mode : Enabled,VTP V2 Mode : Enabled,VTP Traps Generation : Disabled,MD5 digest : 0x22 0xA2 0xE8 0x00 0xD4 0xCE 0x79 0x5E,Configuration last modified by 10.21.9.99 at 3-1-93 05:02:08,Local updater ID is 10.21.9.99 on interface Vl1 (lowest numbered VLAN interface,found),Switch#,（,2,）,show vtp counters,利用,show vtp counters,命令可以显示,VTP,通告数据流的汇总信息。,例,15-17,利用,show vtp counters,命令显示,VTP,通告数据流的汇总信息,Switch#sh vtp counters,VTP statistics:,Summary advertisements received : 0,Subset advertisements received : 0,Request advertisements received : 0,Summary advertisements transmitted : 0,Subset advertisements transmitted : 0,Request advertisements transmitted : 0,Number of config revision errors : 0,Number of config digest errors : 0,Number of V1 summary errors : 0,VTP pruning statistics:,Trunk Join Transmitted Join Received Summary advts received from,non-pruning-capable device,- - - -,Switch#,9.8,实验操作,3,：,VLAN,应用综合实验,该实验是一个综合实验，包括了创建,VLAN,、将交换机端口添加到指定的,VLAN,，并利用三层交换机实验,VLAN,之间的通信等。在划分了,VLAN,后，位于同一,VLAN,内的不同端口之间是可以通信的，而不同,VLAN,的端口之间却无法直接通信，即系统默认不同,VLAN,之间是无法进行通信的。如果要实现不同,VLAN,之间的通信，需要路由器或三层交换机实现不同,VLAN,之间的数据转发,9.8.1,实验概述,实现,VLAN,之间的通信，在配置过程中需要同时用到二层和三层设备，在二层上创建,VLAN,，并将端口添加到指定的,VLAN,中。在三层设备上创建,VLAN,后，设置,VLAN,的,IP,地址，该,IP,地址即为该,VLAN,中所有主机的网关地址。,1, 实验目的,在本章的实验,2,和实验,3,中介绍了,VLAN,的实现，这两个实验的实质都是基于端口的,VLAN,（,Port VLAN,）技术。在基于端口的,VLAN,中，不同,VLAN,之间的端口是无法实现通信的。如果要实现不同,VLAN,之间的通信，一般需要使用路由器或三层交换机，在目前的应用中以三层交换机居多。本实验将通过三层交换机来实现不同,VLAN,之间的通信。,2, 实验原理,局域网内的通信是通过数据帧头部的目标主机的,MAC,地址来完成的。在使用,TCP/IP,协议的网络中，需要通过,ARP,地址解析协议来查找某一,IP,地址对应的,MAC,地址。而,ARP,是通过广播报文来实现的，如果广播报文无法到达目的地，那么就无法解析到,MAC,地址，进而无法直接通信。当计算机分别位于不同的,VLAN,时，就意味这些计算机分别属于不同的广播域，所以不同,VLAN,中的计算机由于收不到彼此的广播报文就无法直接互相通信。,为了能够实现,VLAN,之间通信，需要利用网络层的信息（,IP,地址）来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机，在实际应用中以三层交换机最为广泛。三层交换机是在二层交换机的基础上集成了三层的路由功能。三层交换机基于“一次路由，多次交换”的特征，在局域网环境中数据转发性能远远高于路由器。而且三层交换机同时具备二层的功能，能够和二层的交换机进行很好的数据转发。三层交换机的以太网接口要比一般的路由器多，更加适合多个局域网段之间的互联。与二层交换机不同，我们可以在三层交换机的端口上设置,IP,地址。但多数三层交换机的端口在默认情况都属于二层端口，只有开启了路由功能后才能够给该端口配置,IP,地址。,在三层交换机上实现不同,VLAN,之间的通信要用到直连路由的概念。所谓直连路由是指在三层设备（包括三层交换机和路由器）的端口配置,IP,地址，并且激活该端口，使三层设备自动产生该端口,IP,所有网段的直连路由信息。三层交换机实现,VLAN,互访的原理是，利用三层交换机的路由功能，通过识别数据包（分组）的,IP,地址，查找路由表进行路由选择。具体方法是在三层交换机上创建虚拟端口（,interface vlan id,），接着给虚拟端口设置,IP,地址，作为该,VLAN,中所有主机的默认网关，然后由三层交换机完成不同,VLAN,（其实是不同子网）之间的路由。,3, 实验内容和要求,（,1,） 继续学习,tag,端口和,untag,（,access,）端口的功能和应用；,（,2,） 学习三层交换机的功能及配置方法；,（,3,） 结合二层和三层交换机的功能，学习两者之间的配合应用；,（,4,） 通过三层交换机的配置，实现不同,VLAN,主机之间的通信。,9.8.2,实验规划,1, 实验设备,（,1,） 二层交换机（,2,台以上），三层交换机（,1,台）,（,2,） 实验用,PC,（,4,台以上）,（,3,） 直连双绞线（,4,根）,（,5,） 交叉双绞线（,2,根）,2, 实验拓扑,如图,9-15,所示，假设三台交换机分别提供了,12,个,fastethernet,快速以太网端口（分别为,fastethernet 0/1fastethernet 0/12,，简写为,f 0/1f 0/12,）。在该实验中我们分别创建,VLAN 10,和,VLAN 20,两个,VLAN,，其中将,Switch-A,和,Switch-B,上的端口,f 0/2f 0/6,分配给,VLAN 10,，而将,Swithc-A,和,Switch-B,上的端口,f 0/7f 0/12,分配给,VLAN 20,。其中，,Switch-A,和,Switch-B,上的端口,f0/1,用于上联三层交换机,Switch-C,的,f0/1,和,f0/2,端口，交换机之间的级联全部采用交叉双绞线。,图,9-15,交换机之间的连接及,VLAN,的划分方式,9.8.3,实验步骤,（,1,）实验前测试。在对交换机未进行,VLAN,划分时，分别位于同一台二层交换机上的,PC,之间（,PC1,与,PC2,，,PC3,与,PC4,）是可以进行通信的，如果使用,Ping,命令测试，主机之间是可以,Ping,通的。但连接不同交换机的主机之间（如,PC1,与,PC3,，,PC2,与,PC4,）是无法进行通信的，如果使用,Ping,命令进行测试，主机之间无法,Ping,通。,（,2,）在,Switch-A,上创建,VLAN 10,，并将,f 0/2f 0/6,端口分配添加到,VLAN 10,中。,Switchenable (,进入“特权模式”,),Password:,（输入密码）,Switch# (,显示：已进入“特权模式”,),Switch#configure terminal (,进入“全局配置”模式,),Switch,（,config,）,# (,显示：已进入“全局配置”模式,),Switch,（,config,）,#hostname,Switch-A,（将交换机的名称更改为,Switch-A,）,Switch-A,（,config,）,#VLAN,10,（创建,VLAN 10,）,Switch-A,（,config-vlan,）,#,（显示：已自动进入,VLAN 10,的配置模式）,Switch-A,（,config-vlan,）,#name,test10,（给,VLAN 10,命名为,test 10,）,Switch-A,（,config-vlan,）,#end,（退出配置模式，返回到特权模式）,Switch-A#configure terminal (,进入“全局配置”模式,),Switch-A,（,config,）,# interface fastethernet,0/2,（进入,fastEthernet 0/2,的端口配置模式）,Switch-A,（,config-if,）,#,（显示：已进入,fastEthernet 0/2,的端口配置模式）,Switch-A,（,config-if,）,# switchport access,vlan 10,（将,fastEthernet 0/2,端口添加到,VLAN 10,中）,重复以上的命令，分别将,fastEthernet 0/3 fastEthernet 0/6,同时添加到,VLAN 10,中。,（,3,）在,Switch-A,上创建,VLAN 20,，并将,f 0/7f 0/12,端口分配添加到,VLAN 20,中。,Switch-A#configure terminal (,进入“全局配置”模式,),Switch-A,（,config,）,# (,显示：已进入“全局配置”模式,),Switch-A,（,config,）,#VLAN 20,（创建,VLAN 20,）,Switch-A,（,config-vlan,）,#,（显示：已自动进入,VLAN 20,的