工作單元3企業(yè)內(nèi)部網(wǎng)絡交換配置隨著企業(yè)網(wǎng)絡組網(wǎng)技術的發(fā)展，特別是快速以太網(wǎng)、千兆位以太網(wǎng)和萬兆位以太網(wǎng)等網(wǎng)絡標準的相繼問世，交換機已經(jīng)成為目前連接企業(yè)內(nèi)部網(wǎng)絡的核心設備。本單元的主要目標是能夠根據(jù)企業(yè)網(wǎng)絡需求正確選擇與安裝交換機；掌握二層交換機的基本配置方法；理解VLAN和生成樹協(xié)議的作用并掌握其基本配置方法。本單元主要內(nèi)容任務3.1選擇與安裝交換機任務3.2二層交換機基本配置任務3.3劃分虛擬局域網(wǎng)任務3.4配置生成樹協(xié)議

任務3.1選擇與安裝交換機

【任務目的】（1）了解交換機的類型和選購方法；（2）掌握使用交換機連接企業(yè)網(wǎng)絡的方法?！救蝿諏搿?/p>

企業(yè)內(nèi)部網(wǎng)絡主要采用了分層設計方法，典型的分層網(wǎng)絡模型將網(wǎng)絡分為接入層、匯聚層和核心層3個層次，交換機是企業(yè)內(nèi)部網(wǎng)絡每個層次的核心設備。由于不同層次的功能需求和組網(wǎng)技術不同，因此其對交換機的性能要求也不相同。目前市場上交換機的類型很多，請了解主流網(wǎng)絡設備廠商所生產(chǎn)的交換機產(chǎn)品，能夠根據(jù)不同網(wǎng)絡需求正確選擇交換機產(chǎn)品，并利用交換機實現(xiàn)網(wǎng)絡連接和連通性測試。【工作環(huán)境與條件】

（1）交換機（本部分以Cisco系列產(chǎn)品為例，也可選用其他品牌型號的產(chǎn)品或使用CiscoPacketTracer、BosonNetsim等網(wǎng)絡模擬和建模工具）；（2）安裝好的綜合布線系統(tǒng)。（3）雙絞線、RJ-45壓線鉗及RJ-45連接器若干；（4）安裝Windows操作系統(tǒng)的PC。3.1.1交換機的分類

計算機網(wǎng)絡使用的交換機分為兩種：廣域網(wǎng)交換機和局域網(wǎng)交換機。廣域網(wǎng)交換機主要在電信領域用于提供數(shù)據(jù)通信的基礎平臺。局域網(wǎng)交換機用于將個人計算機、共享設備和服務器等網(wǎng)絡應用設備連接成用戶計算機局域網(wǎng)。局域網(wǎng)交換機可按以下方法進行分類。1.按照網(wǎng)絡類型分類按照支持的網(wǎng)絡類型，局域網(wǎng)交換機可以分為以太網(wǎng)交換機、快速以太網(wǎng)交換機、千兆位以太網(wǎng)交換機、FDDI交換機和ATM交換機等。目前企業(yè)網(wǎng)絡中主要使用快速以太網(wǎng)交換機和千兆位以太網(wǎng)交換機。3.1.1交換機的分類

2.按照應用規(guī)模分類（1）桌面交換機桌面交換機價格便宜，被廣泛用于家庭、一般辦公室、小型機房等小型網(wǎng)絡環(huán)境。在傳輸速度上，桌面型交換機通常提供多個具有10/100Mb/s自適應能力的接口。（2）工作組級交換機工作組級交換機主要用于企業(yè)網(wǎng)絡的接入層，當使用桌面交換機不能滿足應用需求時，大多采用工作組級交換機。工作組級交換機通常具有良好的擴充能力，主要提供100Mb/s接口或10/100Mb/s自適應能力接口。3.1.1交換機的分類

（3）部門級交換機部門級交換機比工作組級交換機支持更多的用戶，提供更強的數(shù)據(jù)交換能力，通常作為小型企業(yè)網(wǎng)絡的核心交換機或用于大中型企業(yè)網(wǎng)絡的匯聚層。低端的部門級交換機通常提供8至16個接口，高端的部門級交換機可以提供多至48個接口。（4）企業(yè)級交換機企業(yè)級交換機是功能最強的交換機，在企業(yè)網(wǎng)絡中作為骨干設備使用，提供高速、高效、穩(wěn)定和可靠的中心交換服務。企業(yè)級交換機除了支持冗余電源供電外，還支持許多不同類型的功能模塊，并提供強大的數(shù)據(jù)交換能力。3.1.1交換機的分類

3.按照設備結構分類（1）機架式交換機機架式交換機是一種插槽式的交換機，用戶可以根據(jù)需求，選購不同的模塊插入到插槽中。這種交換機功能強大，擴展性較好，可支持不同的網(wǎng)絡類型。像企業(yè)級交換機這樣的高端產(chǎn)品大多采用機架式結構。機架式交換機使用靈活，但價格比較昂貴。（2）帶擴展槽固定配置式交換機帶擴展槽固定配置式交換機是一種配置固定端口并帶有少量擴展槽的交換機。這種交換機可以通過在擴展槽插入相應模塊來擴展網(wǎng)絡功能，為用戶提供了一定的靈活性。這類交換機的產(chǎn)品價格適中。3.1.1交換機的分類

（3）不帶擴展槽固定配置式交換機不帶擴展槽固定配置式交換機僅支持單一的網(wǎng)絡功能，產(chǎn)品價格便宜，在企業(yè)網(wǎng)絡的接入層中被廣泛使用。（4）可堆疊交換機可堆疊交換機通常是在固定配置式交換機上擴展了堆疊功能的設備。具備可堆疊功能的交換機可以類似普通交換機那樣按常規(guī)使用，當需要擴展接入能力時，可通過各自專門的堆疊端口，將若干臺同樣的物理設備“串聯(lián)”起來作為一臺邏輯設備使用。3.1.1交換機的分類

4.按照網(wǎng)絡體系結構層次分類按照網(wǎng)絡體系的分層結構，交換機可以分為第2層交換機、第3層交換機、第4層交換機和第7層交換機。3.1.2交換機的選擇

1.交換機的技術指標選擇交換機產(chǎn)品時，應主要考察以下內(nèi)容：（1）系統(tǒng)配置情況主要考察交換機所支持的最大硬件配置指標，如可以安插的最大模塊數(shù)量、可以支持的最多接口數(shù)量、背板最大帶寬、吞吐率或包轉(zhuǎn)發(fā)率、系統(tǒng)的緩沖區(qū)空間等。（2）所支持的協(xié)議和標準情況主要考察交換機對國際標準化組織所制定的聯(lián)網(wǎng)規(guī)范和設備標準支持情況，特別是對數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層各種標準和協(xié)議的支持情況。（3）所支持的路由功能主要考察路由的技術指標和功能擴展能力。3.1.2交換機的選擇

（4）對VLAN的支持主要考察交換機實現(xiàn)VLAN的方式和允許的VLAN數(shù)量。對VLAN的劃分可以基于端口、MAC地址，還可以基于第3層協(xié)議或用戶。（5）網(wǎng)管功能主要考察交換機對網(wǎng)絡管理協(xié)議的支持情況。利用網(wǎng)絡管理協(xié)議，管理員能夠?qū)W(wǎng)絡上的資源進行集中化管理操作，包括配置管理、性能管理、記帳管理、故障管理等。（6）容錯功能主要考察交換機的可靠性和抵御單點故障的能力。作為企業(yè)網(wǎng)絡主干設備的交換機，特別是核心層交換機，不允許因為單點故障而導致整個系統(tǒng)癱瘓。3.1.2交換機的選擇

2.選擇交換機的一般原則交換機的類型和品牌很多，通常在選擇時應注意遵循以下原則：盡可能選擇在國內(nèi)或國際網(wǎng)絡建設中占有一定市場份額的主流產(chǎn)品。盡可能選取同一廠家的產(chǎn)品，以便使用戶從技術支持、價格等方面獲得更多便利。在網(wǎng)絡的層次結構中，核心層設備通常應預留一定的能力，以便于將來擴展。接入層設備夠用即可。所選設備應具有較高的可靠性和性能價格比。如果是舊網(wǎng)改造項目，應盡可能保留可用設備，減少在資金投入方面的浪費。3.1.2交換機的選擇

3.核心層交換機的選擇核心層交換機是企業(yè)網(wǎng)絡核心，應滿足以下基本要求。高性能，高速率。便于升級和擴展。高可靠性。強大的網(wǎng)絡控制能力，提供QoS（服務質(zhì)量）和網(wǎng)絡安全，支持RADIUS、TACACS+等認證機制。良好的可管理性，支持通用網(wǎng)管協(xié)議，如SNMP、RMON、RMON2等。3.1.2交換機的選擇

4.匯聚層和接入層交換機的選擇匯聚層和接入層交換機通常應滿足以下要求：靈活性：提供多種類型和相應數(shù)量的固定端口，可堆疊、易擴展。高性能：作為大中型企業(yè)網(wǎng)絡的交換設備，應支持1000Mbit/s高速上連，并支持同級設備堆疊。在滿足技術性能要求的基礎上，應價格便宜，使用方便，即插即用，配置簡單。具備一定的網(wǎng)絡控制能力（如支持802.1x）以及端到端的QoS（服務質(zhì)量）。用于跨地區(qū)企業(yè)分支部門通過公網(wǎng)進行遠程連接的交換機還應支持VPN（虛擬專用網(wǎng)）標準協(xié)議。支持多級別網(wǎng)絡管理?！救蝿諏嵤?/p>

實訓1認識企業(yè)網(wǎng)絡中的交換機實訓2單一交換機實現(xiàn)網(wǎng)絡連接實訓3多交換機實現(xiàn)網(wǎng)絡連接實訓4判斷網(wǎng)絡的連通性【任務拓展】

企業(yè)內(nèi)部網(wǎng)絡普遍采用了綜合布線系統(tǒng)進行網(wǎng)絡布線。在綜合布線系統(tǒng)中，交換機和交換機之間、交換機和計算機之間都不是直接相連的，圖3-5所示為某企業(yè)網(wǎng)絡中的計算機與該網(wǎng)絡核心交換機間的物理鏈路（其中FD為樓層配線架、BD為建筑物配線架、CD為建筑群配線架）。請查閱相關資料了解綜合布線系統(tǒng)的基本結構，現(xiàn)場考察所在校園網(wǎng)或其他企業(yè)網(wǎng)絡中某臺計算機到達網(wǎng)絡核心交換機的物理鏈路，記錄這條鏈路經(jīng)過的纜線和設備，并與圖3-5進行比較。任務3.2二層交換機基本配置

【任務目的】（1）理解以太網(wǎng)的基本工作機制；（2）理解二層交換機的功能和工作原理；（3）掌握二層交換機的基本配置命令?！救蝿諏搿?/p>

二層交換機工作于OSI參考模型的數(shù)據(jù)鏈路層，目前一般應用于小型局域網(wǎng)或大中型企業(yè)網(wǎng)絡的接入層。在圖3-6所示的網(wǎng)絡中，兩臺交換機通過F0/24接口相連，請為網(wǎng)絡中的相關設備分配IP地址，并完成以下配置：（1）在兩臺交換機上設置容易區(qū)分的主機名。（2）在交換機Switch0上開啟Telnet功能，驗證你的設置是否生效。（3）配置交換機Switch0的MAC地址表，使PC1在連接交換機Switch0時只能連接在其F0/2接口，否則無法與其他PC進行通信，驗證你的設置是否生效。（4）設置交換機Switch0與PC1的端口通信模式為全雙工，速度為100Mb/s。（5）提高交換機的安全性，避免未授權的接入和訪問?！竟ぷ鳝h(huán)境與條件】

（1）交換機（本部分以Cisco系列產(chǎn)品為例，也可選用其他品牌型號的產(chǎn)品或使用CiscoPacketTracer、BosonNetsim等網(wǎng)絡模擬和建模工具）；（2）Console線纜和相應的適配器；（3）安裝Windows操作系統(tǒng)的PC；（4）組建網(wǎng)絡所需的其他設備。3.2.1以太網(wǎng)的沖突域

1.以太網(wǎng)的CSMA/CD工作機制在總線型、環(huán)型和星型拓撲結構的網(wǎng)絡中，都存在著在同一傳輸介質(zhì)上連接多個節(jié)點的情況，而局域網(wǎng)中任何一個節(jié)點都要求與其他節(jié)點通信，這就需要有一種仲裁方式來控制各節(jié)點使用傳輸介質(zhì)的方式，這就是所謂的介質(zhì)訪問控制。局域網(wǎng)中主要采用兩種介質(zhì)訪問控制方式：競爭方式和令牌傳送方式。在競爭方式中，允許多個節(jié)點對單個通信信道進行訪問，每個節(jié)點之間互相競爭信道的控制使用權，獲得使用權者便可傳送數(shù)據(jù)。3.2.1以太網(wǎng)的沖突域

在以太網(wǎng)中，如果一個節(jié)點要發(fā)送數(shù)據(jù)，它將以“廣播”方式把數(shù)據(jù)通過作為公共傳輸介質(zhì)的總線發(fā)送出去，連在總線上的所有節(jié)點都能“收聽”到發(fā)送節(jié)點發(fā)送的數(shù)據(jù)信號。由于網(wǎng)中所有節(jié)點都可以利用總線傳輸介質(zhì)發(fā)送數(shù)據(jù)，并且網(wǎng)中沒有控制中心，因此沖突的發(fā)生將是不可避免的。為了有效地實現(xiàn)分布式多節(jié)點訪問公共傳輸介質(zhì)的控制策略，CSMA/CD具有自身的管理機制。3.2.1以太網(wǎng)的沖突域

3.2.1以太網(wǎng)的沖突域

2.沖突域在以太網(wǎng)中，如果一個CSMA/CD網(wǎng)絡上的兩臺計算機在同時通信時會發(fā)生沖突，那么這個CSMA/CD網(wǎng)絡就是一個沖突域。連接在一條總線上的計算機構成的以太網(wǎng)屬于同一個沖突域，如果以太網(wǎng)中的各個網(wǎng)段以中繼器或者集線器連接，由于中繼器和集線器不具有路由選擇功能，只是將接收到的數(shù)據(jù)以廣播的形式發(fā)出，所以仍然是一個沖突域。

3.2.2以太網(wǎng)的MAC幀

1.以太網(wǎng)的MAC地址在CSMA/CD的工作機制中，接收數(shù)據(jù)的計算機必須通過數(shù)據(jù)幀中的地址來判斷此數(shù)據(jù)幀是否發(fā)給自己，因此為了保證網(wǎng)絡正常運行，每臺計算機必須有一個與其他計算機不同的硬件地址，即網(wǎng)絡中不能有重復地址。MAC地址也稱為物理地址，是IEEE802標準為局域網(wǎng)規(guī)定的一種48bit的全球唯一地址，用在MAC幀中。MAC地址被嵌入到以太網(wǎng)網(wǎng)卡中，網(wǎng)卡在生產(chǎn)時，MAC地址被固化在網(wǎng)卡的ROM中，計算機在安裝網(wǎng)卡后，就是可以利用該網(wǎng)卡固化的MAC地址進行數(shù)據(jù)通信。對于計算機來說，只要其網(wǎng)卡不換，則它的MAC地址就不會改變。

3.2.2以太網(wǎng)的MAC幀

IEEE802規(guī)定網(wǎng)卡地址為6字節(jié)，即48bit，計算機和網(wǎng)絡設備中一般以12個16進制數(shù)表示，如：00-05-5D-6B-29-F5。MAC地址中前3個字節(jié)由網(wǎng)卡生產(chǎn)廠商向IEEE的注冊管理委員會申請購買，稱為機構唯一標志號，又稱公司標志符。例如D-Link網(wǎng)卡的MAC地址前3個字節(jié)為00-05-5D。MAC地址中后3個字節(jié)由廠商指定，不能有重復。3.2.2以太網(wǎng)的MAC幀

2.以太網(wǎng)的MAC幀格式實際上以太網(wǎng)有兩種幀格式，目前普遍采用的是DIXEthernetV2格式

3.2.3二層交換機的功能和工作原理

二層交換機工作于OSI參考模型的數(shù)據(jù)鏈路層，它可以識別數(shù)據(jù)幀中的MAC地址信息，并將MAC地址與其對應的接口記錄在自己內(nèi)部的MAC地址表中。二層交換機擁有一條很高帶寬的背板總線和內(nèi)部交換矩陣，所有接口都掛接在背板總線上?？刂齐娐吩谑盏綌?shù)據(jù)幀后，會查找內(nèi)存中的MAC地址表，并通過內(nèi)部交換矩陣迅速將數(shù)據(jù)幀傳送到目的接口。3.2.3二層交換機的功能和工作原理

當二層交換機從某個接口收到一個數(shù)據(jù)幀，將先讀取數(shù)據(jù)幀頭中的源MAC地址，這樣就可知道源MAC地址的計算機連接在哪個接口。二層交換機讀取數(shù)據(jù)幀頭中的目的MAC地址，并在MAC地址表中查找該MAC地址對應的接口。若MAC地址表中有對應的接口，則交換機將把數(shù)據(jù)幀轉(zhuǎn)發(fā)到該接口。若MAC地址表中找不到相應的接口，則交換機將把數(shù)據(jù)幀廣播到所有接口，當目的計算機對源計算機回應時，交換機就可以知道其對應的接口，在下次傳送數(shù)據(jù)時就不需要對所有接口進行廣播了。通過不斷地循環(huán)上述過程，交換機就可以建立和維護自己的MAC地址表，并將其作為數(shù)據(jù)交換的依據(jù)。3.2.3二層交換機的功能和工作原理

通過對二層交換機工作流程的分析不難看出，二層交換機的每一個接口是一個沖突域，不同的接口屬于不同的沖突域。因此二層交換機在同一時刻可進行多個接口對之間的數(shù)據(jù)傳輸，連接在每一接口上的設備獨自享有全部的帶寬，無須同其他設備競爭使用，同時由于交換機連接的每個沖突域的數(shù)據(jù)信息不會在其它接口上廣播，也提高了數(shù)據(jù)的安全性。3.2.4交換機的交換方式

1.存儲轉(zhuǎn)發(fā)交換在存儲轉(zhuǎn)發(fā)交換方式中，當交換機收到數(shù)據(jù)幀時，會將其存儲在緩沖區(qū)中，直到收到完整的數(shù)據(jù)幀。在存儲過程中，交換機將分析數(shù)據(jù)幀以獲得其目的主機信息，同時還將利用MAC幀的循環(huán)冗余校驗部分來進行錯誤檢查。如果查到錯誤，該數(shù)據(jù)幀將被交換機丟棄。在確認數(shù)據(jù)幀的完整性之后，交換機會將其從相應接口轉(zhuǎn)發(fā)出去。

3.2.4交換機的交換方式

2.直通交換在直通交換方式中，交換機只要緩存并讀取數(shù)據(jù)幀的目的地址，即可確定其轉(zhuǎn)發(fā)接口并進行轉(zhuǎn)發(fā)。直通交換比存儲轉(zhuǎn)發(fā)交換要快，由于不進行錯誤檢查，因此交換機會轉(zhuǎn)發(fā)損壞的數(shù)據(jù)幀，導致網(wǎng)絡帶寬的浪費。3.免分片交換免分片交換是存儲轉(zhuǎn)發(fā)交換與直通交換之間的折衷。由于大部分的數(shù)據(jù)幀錯誤都發(fā)生在其前64個字節(jié)，因此在免分片交換中，交換機將首先存儲所收到數(shù)據(jù)幀的前64個字節(jié)并對其進進行檢查以確保未發(fā)生沖突，然后再確定其轉(zhuǎn)發(fā)接口并進行轉(zhuǎn)發(fā)?！救蝿諏嵤?/p>

實訓1配置交換機的基本信息實訓2配置MAC地址表實訓3配置交換機接口實訓4保證接口安全【任務拓展】

在圖3-9所示的某公司網(wǎng)絡中，辦公室1、辦公室2和公共辦公區(qū)的計算機通過二層交換機Switch0進行連接，該網(wǎng)絡的基本配置要求如下：管理員可以對交換機Switch0進行遠程配置，若使用本地控制臺登錄時需輸入安全口令。交換機Switch0的F0/23接口為辦公室1中的用戶提供接入，辦公室1中的用戶利用交換機Switch1接入公司網(wǎng)絡。要求交換機Switch1與Switch0之間通信模式為全雙工，速度為100Mb/s。辦公室1中的用戶可以自帶計算機接入公司網(wǎng)絡，但同時接入的計算機數(shù)量不能超過6臺。交換機Switch0的F0/0~F0/22接口為公共辦公區(qū)域的用戶提供接入，要求每個接口只能夠連接一臺計算機，且該計算機必須是公司指定的，用戶不能隨意更換。

【任務拓展】

交換機Switch0的F0/24接口為辦公室2中的用戶提供接入，辦公室2中的用戶可以利用交換機自行組建小型網(wǎng)絡，并最多可選擇3臺計算機接入公司網(wǎng)絡，但這3臺計算機一旦選定，用戶將不能隨意更換。請構建圖3-9所示網(wǎng)絡的網(wǎng)絡運行模型，為網(wǎng)絡中的設備分配IP地址實現(xiàn)網(wǎng)絡的連通。對交換機Switch0進行相關配置實現(xiàn)相應配置要求并進行驗證。任務3.3劃分虛擬局域網(wǎng)

【任務目的】（1）理解VLAN的作用；（2）掌握在交換機上劃分VLAN的方法?！救蝿諏搿?/p>

在圖3-10所示的某公司網(wǎng)絡中，建筑物A中的所有計算機都連接到了交換機Switch0上，建筑物B中的所有計算機都連接到了交換機Switch1上，公司的研發(fā)部和銷售部在兩棟建筑物中各有一個辦公室。其中，兩臺交換機之間通過F0/24接口相連。研發(fā)部辦公室1的計算機連接在交換機Switch0的F0/1~F0/5接口，銷售部辦公室1的計算機連接在交換機Switch0的F0/6~F0/10接口，研發(fā)部辦公室2的計算機連接在交換機Switch1的F0/1~F0/10接口，銷售部辦公室2的計算機連接在交換機Switch1的F0/11~F0/15接口。隨著各部門業(yè)務的增長及對安全要求的提高，公司希望以部門為單位對網(wǎng)絡中的計算機進行邏輯分組，以實現(xiàn)各部門計算機間的相對隔離并便于進行安全設置及帶寬控制?！竟ぷ鳝h(huán)境與條件】

（1）交換機（本部分以Cisco系列產(chǎn)品為例，也可選用其他品牌型號的產(chǎn)品或使用CiscoPacketTracer、BosonNetsim等網(wǎng)絡模擬和建模工具）；（2）Console線纜和相應的適配器；（3）安裝Windows操作系統(tǒng)的PC；（4）組建網(wǎng)絡所需的其他設備。3.3.1廣播域

為了讓網(wǎng)絡中的每一臺主機都收到某個數(shù)據(jù)幀，主機必須采用廣播的方式發(fā)送該數(shù)據(jù)幀，這個數(shù)據(jù)幀被稱為廣播幀。網(wǎng)絡中能接收廣播幀的所有設備的集合稱為廣播域。由于廣播域內(nèi)的所有設備都必須監(jiān)聽所有廣播幀，因此如果廣播域太大，包含的設備過多，就需要處理太多的廣播幀，從而延長網(wǎng)絡響應時間。當網(wǎng)絡中充斥著大量廣播幀時，網(wǎng)絡帶寬將被耗盡，會導致網(wǎng)絡正常業(yè)務不能運行，甚至徹底癱瘓，這就發(fā)生了廣播風暴。3.3.1廣播域

二層交換機可以通過自己的MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀，但每臺二層交換機的接口都只支持一定數(shù)目的MAC地址。當二層交換機接收到一個數(shù)據(jù)幀，只要其目的MAC地址不存在于該交換機的MAC地址表中，那么該數(shù)據(jù)幀會以廣播方式發(fā)向交換機的每個接口。另外當二層交換機收到的數(shù)據(jù)幀其目的MAC地址為全“1”時，二層交換機也會把該數(shù)據(jù)幀以廣播方式發(fā)向每個接口。雖然二層交換機的每一個接口是一個沖突域，但在默認情況下，其所有的接口都在同一個廣播域，不具有隔離廣播幀的能力。因此使用二層交換機連接的網(wǎng)絡規(guī)模不能太大，否則會大大降低二層交換機的效率，甚至導致廣播風暴。為了克服這種廣播域的限制，目前很多二層交換機都支持VLAN功能，以實現(xiàn)廣播幀的隔離。3.3.2VLAN的作用

VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是將局域網(wǎng)從邏輯上劃分為一個個的網(wǎng)段（廣播域），從而實現(xiàn)虛擬工作組的一種交換技術。通過在局域網(wǎng)中劃分VLAN，可起到以下方面的作用：控制網(wǎng)絡的廣播，增加廣播域數(shù)量，減小廣播域大小。便于對網(wǎng)絡進行管理和控制。VLAN是對端口的邏輯分組，不受任何物理連接的限制，同一VLAN中的用戶，可以連接在不同的交換機，并且可以位于不同的物理位置，增加了網(wǎng)絡連接、組網(wǎng)和管理的靈活性。增加網(wǎng)絡的安全性。默認情況下，VLAN間是相互隔離的，不能直接通信。管理員可以通過應用VLAN的訪問控制列表，來實現(xiàn)VLAN間的安全通信。3.3.3VLAN的實現(xiàn)

1.靜態(tài)VLAN靜態(tài)VLAN就是明確指定各端口所屬VLAN的設定方法，通常也稱為基于端口的VLAN，其特點是將交換機的接口進行分組，每一組定義為一個VLAN，屬于同一個VLAN的接口，可來自一臺交換機，也可來自多臺交換機，即可以跨越多臺交換機設置VLAN。靜態(tài)VLAN是目前最常用的VLAN劃分方式，配置簡單，網(wǎng)絡的可監(jiān)控性較強。但該種方式需要逐個接口進行設置，當要設定的接口數(shù)目較多時，工作量會比較大。另外當用戶在網(wǎng)絡中的位置發(fā)生變化時，必須由管理員重新配置交換機的接口。因此，靜態(tài)VLAN通常適合于用戶或設備位置相對穩(wěn)定的網(wǎng)絡環(huán)境。3.3.3VLAN的實現(xiàn)

2.動態(tài)VLAN動態(tài)VLAN是根據(jù)每個接口所連的計算機的情況，動態(tài)設置接口所屬VLAN的方法。動態(tài)VLAN通常有以下幾種實現(xiàn)方式。基于MAC地址的VLAN：根據(jù)接口所連計算機的網(wǎng)卡MAC地址決定其所屬的VLAN。基于子網(wǎng)的VLAN：根據(jù)接口所連計算機的IP地址決定其所屬的VLAN。基于用戶的VLAN：根據(jù)接口所連計算機的登錄用戶決定其所屬的VLAN。3.3.4Trunk

在實際應用中，通常需要跨越多臺交換機劃分VLAN。VLAN內(nèi)的主機彼此間應可以自由通信，當VLAN成員分布在多臺交換機上時，可以在交換機上各拿出一個接口，專門用于提供該VLAN內(nèi)主機跨交換機的相互通信。有多少個VLAN，就對應地需要占用多少個接口3.3.4Trunk

為了避免這種低效率的連接方式，人們想辦法讓交換機間的互聯(lián)鏈路匯集到一條鏈路上，讓該鏈路允許各個VLAN的數(shù)據(jù)流經(jīng)過。這條用于實現(xiàn)各VLAN在交換機間通信的鏈路，稱為匯聚鏈路或主干鏈路（TrunkLink）。用于提供匯聚鏈路的接口，稱為匯聚端口。由于匯聚鏈路承載了所有VLAN的通信流量，因此要求只有通信速度在100Mb/s或以上的接口，才能作為匯聚端口使用。3.3.4Trunk

引入?yún)R聚鏈路后，交換機的接口就分為訪問連接（AccessLink）端口和匯聚連接端口。訪問連接端口只屬于某一個VLAN，用于連接客戶機，以提供網(wǎng)絡接入服務。匯聚連接端口為所有VLAN或部分VLAN共有，承載多個VLAN在交換機間的通信流量。由于匯聚鏈路承載了多個VLAN的通信流量，為了標識各數(shù)據(jù)幀屬于哪個VLAN，需要對流經(jīng)匯聚鏈路的數(shù)據(jù)幀進行打標（tag）封裝，以附加上VLAN信息，這樣交換機就可通過VLAN標識，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到對應的VLAN中。目前交換機支持的打標封裝協(xié)議主要有IEEE802.1Q和ISL。ISL與IEEE802.1Q協(xié)議互不兼容，如果使用了多個廠商的交換機，則應使用IEEE802.1Q協(xié)議。3.3.5VLAN的類型

1.數(shù)據(jù)VLAN數(shù)據(jù)VLAN只用于傳送用戶的數(shù)據(jù)。實際上，VLAN既可以傳送用戶的數(shù)據(jù)也可以傳送語音或管理交換機的流量，從網(wǎng)絡管理和安全角度出發(fā)，一般會要求將語音流量、管理流量與用戶數(shù)據(jù)流量分開，由不同的VLAN傳送。2.默認VLAN在交換機初始啟動時，交換機的所有接口會屬于同一個默認VLAN，因此默認情況下，連接在交換機上的所有設備可以直接通信。Cisco交換機的默認VLAN是VLAN1。VLAN1具有VLAN的所有功能，但是不能被重命名，也不能被刪除，因為交換機的數(shù)據(jù)鏈路層控制流量（如CDP和生成樹協(xié)議流量）將始終在VLAN1傳送。

3.3.5VLAN的類型

3.管理VLAN管理VLAN是用于訪問交換機管理功能的VLAN。通過為管理VLAN分配IP地址、子網(wǎng)掩碼和默認網(wǎng)關，從而使得交換機可以通過HTTP、Telnet、SSH或SNMP等進行帶內(nèi)管理。4.語音VLAN交換機端口可通過語音VLAN功能傳送來自IP電話的IP語音流量。由于語音通信要求要有足夠的帶寬來保證質(zhì)量，因此交換機需要單獨的VLAN來專門支持語音傳送。3.3.5VLAN的類型

5.本征VLAN本征VLAN是分配給802.1Q匯聚連接端口的。Trunk端口可以傳輸來自多個VLAN的流量（有標記流量），也可以傳輸來自VLAN以外的流量（無標記流量），當Trunk端口收到無標記數(shù)據(jù)幀時，它會將這些幀轉(zhuǎn)發(fā)給本征VLAN。

3.3.6VTP

隨著企業(yè)網(wǎng)絡中交換機數(shù)量的增加，全局統(tǒng)籌管理網(wǎng)絡中的多個VLAN成為一個難題。VTP（VLANTrunkingProtocol，VLAN鏈路聚集協(xié)議）是在建立了Trunk鏈路的交換機之間同步和傳遞VLAN配置信息的協(xié)議，以在同一個VTP域中維持VLAN配置的一致性。通過VTP，可以將一臺交換機的VLAN配置傳播到網(wǎng)絡中的其它交換機。在使用VTP創(chuàng)建和管理VLAN之前，應先定義VTP管理域，VTP消息能在同一個VTP管理域內(nèi)同步和傳遞VLAN配置信息。3.3.6VTP

1.Server模式Server模式是交換機默認的工作模式，運行在該模式的交換機，允許創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫中的VLAN，并允許設置一些對整個VTP域的配置參數(shù)。在對VLAN進行創(chuàng)建、修改或刪除之后，VLAN數(shù)據(jù)庫的變化將傳遞到VTP域內(nèi)所有處于Server或Client模式的其他交換機，以實現(xiàn)對VLAN信息的同步。2.Client模式處于該模式的交換機不能創(chuàng)建、修改和刪除VLAN，也不能在NVRAM中存儲VLAN配置，如果掉電，將丟失所有的VLAN信息。該模式下的交換機，主要通過VTP域內(nèi)其他交換機的VLAN配置信息來同步和更新自己的VLAN配置。3.3.6VTP

3.Transparent模式Transparent模式可以創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫中的VLAN。與Server模式不同，Transparent模式的交換機對VLAN配置的修改，僅對自身有效，不會傳播給其他交換機。【任務實施】

實訓1劃分VLAN實訓2利用VTP劃分VLAN【任務拓展】

在圖3-14所示的網(wǎng)絡中，交換機Switch1和Switch2分別通過其F0/24接口與交換機Switch0的F0/23與F0/24接口相連；計算機PC0~PC2分別連接在交換機Switch1的F0/1~F0/3接口；PC3~PC5分別連接在交換機Switch2的F0/1~F0/3接口；PC6連接在交換機Switch0的F0/22接口。請構建該網(wǎng)絡并完成以下配置：在交換機Switch0上開啟Telnet，只允許PC6對其進行遠程配置。使計算機PC0和PC2屬于一個VLAN；PC1和PC3屬于一個VLAN；PC4和PC5屬于一個VLAN。交換機Switch1和Switch2的所有空余接口接入計算機時，這些計算機將屬于另一個VLAN。在該網(wǎng)絡中創(chuàng)建ID為99的VLAN，將該VLAN設置為本征VLAN。任務3.4配置生成樹協(xié)議

【任務目的】（1）理解生成樹協(xié)議的原理和作用；（2）掌握生成樹協(xié)議的配置方法。【任務導入】

在企業(yè)網(wǎng)絡通信中，為了確保網(wǎng)絡連接的可靠性和穩(wěn)定性，常常需要網(wǎng)絡提供冗余鏈路和故障的快速恢復功能，因此會采用多條鏈路連接交換設備形成備份鏈接的方式。在圖3-15所示的網(wǎng)絡中，計算機PC0和PC3之間存在著兩條鏈路，當交換機Switch0與Switch1之間的鏈路發(fā)生故障時，PC0和PC3之間仍然能夠通信。但是由于在二層交換機不能使用路由協(xié)議，無法進行路由選擇，因此這兩條鏈路并不能同時工作，否則會形成交換回路，從而導致多幀復制、MAC地址表不穩(wěn)定和廣播風暴?！救蝿諏搿?/p>

生成樹協(xié)議（SpanningTreeProtocol，STP）是在網(wǎng)絡有環(huán)路時，通過一定的算法將交換機的某些接口進行阻塞，從軟件層面修改網(wǎng)絡物理拓撲結構來構建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓撲結構，從而不但提供了物理線路的冗余連接，而且消除了網(wǎng)絡風暴，提高了網(wǎng)絡的穩(wěn)定性，減少網(wǎng)絡故障的發(fā)生率。請將圖3-15所示網(wǎng)絡中的計算機劃分到2個VLAN中，其中PC0、PC1和PC3屬于一個VLAN，PC2、PC4和PC5屬于另一個VLAN，并在交換機上進行適當設置，使網(wǎng)絡避免環(huán)路且實現(xiàn)負載均衡?！竟ぷ鳝h(huán)境與條件】

（1）交換機（本部分以Cisco系列產(chǎn)品為例，也可選用其他品牌型號的產(chǎn)品或使用CiscoPacketTracer、BosonNetsim等網(wǎng)絡模擬和建模工具）；（2）Console線纜和相應的適配器；（3）安裝Windows操作系統(tǒng)的PC；（4）組建網(wǎng)絡所需的其他設備。3.4.1STP的基本工作機制

STP的基本思路是阻塞交換機的某些接口，從軟件層面修改網(wǎng)絡物理拓撲結構來構建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓撲結構。當交換機運行STP時，其將利用BPDU（BridgeProtocolDataUnit，橋協(xié)議數(shù)據(jù)單元）與其他交換機進行通信，BPDU中包含了根ID、路徑開銷、端口ID、網(wǎng)橋ID等信息，從而可以確定哪個交換機應該阻塞哪個接口。3.4.1STP的基本工作機制

1.選擇根交換機網(wǎng)絡中所有的交換機都被分配了一個優(yōu)先級（默認32768），具有最小優(yōu)先級的交換機將成為根交換機，如果所有交換機的優(yōu)先級都相同，則具有最小MAC地址的交換機將成為根交換機。2.選擇根端口除根交換機外，