第7章虛擬局域網(wǎng)

7.1VLAN概述7.2VLAN的特點(diǎn)與優(yōu)越性7.3VLAN協(xié)議7.4一臺(tái)交換機(jī)上VLAN的實(shí)現(xiàn)7.5多臺(tái)交換機(jī)上VLAN的實(shí)現(xiàn)7.6VLAN間路由器實(shí)驗(yàn)本章小結(jié)練習(xí)與思考7.1VLAN概述交換技術(shù)的發(fā)展也加快了新的交換技術(shù)VLAN的應(yīng)用速度。通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域，而在交換網(wǎng)絡(luò)中，廣播域可以由一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來(lái)劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通信就好像在獨(dú)立的集線器上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌腣LAN中去，這樣可以很好地控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有路由的話，不同VLAN之間不能相互通信，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來(lái)劃分VLAN的，所以，用戶可以自由地在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公，即不論他在何處接入交換網(wǎng)絡(luò)，都可以與VLAN內(nèi)其他用戶自由通信。

VLAN既可以是由混合的網(wǎng)絡(luò)類型設(shè)備組成的，比如10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等，也可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等。

用戶在選擇交換機(jī)時(shí)，應(yīng)當(dāng)仔細(xì)考察選購(gòu)的交換機(jī)的VLAN功能，根據(jù)自己企業(yè)的實(shí)際需要，選擇滿足要求而且管理方便的交換機(jī)。同時(shí)，應(yīng)當(dāng)特別注意現(xiàn)在不同廠商的交換機(jī)的VLAN之間大多數(shù)是不兼容的。

VLAN包括下面幾種類型。

1．基于端口的VLAN

基于端口的VLAN的劃分是最簡(jiǎn)單、最有效的VLAN劃分方法，該方法只需網(wǎng)絡(luò)管理員針對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配，組合到不同的邏輯網(wǎng)段中即可，而不用考慮該端口所連接的設(shè)備是什么。

2．基于MAC地址的VLAN

MAC地址是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案不失為一個(gè)好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)設(shè)備和用戶的增加，則會(huì)在很大程度上加大管理的難度。

3．基于路由的VLAN

基于路由的VLAN工作在網(wǎng)絡(luò)層，該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)。一般來(lái)說(shuō)，采用該方法的交換機(jī)比使用第二層信息的交換機(jī)速度要慢，因?yàn)椴樵兊谌龑拥刂匪璧臅r(shí)間比查詢MAC地址所用的時(shí)間要多。

4．基于策略的VLAN

基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。7.2VLAN的特點(diǎn)與優(yōu)越性7.2.1VLAN的特點(diǎn)

VLAN具有以下特點(diǎn)：

(1)?VLAN支持任意多個(gè)站點(diǎn)間的組合，一個(gè)站點(diǎn)或工作組可以屬于多個(gè)虛擬工作組，一般交換機(jī)可以建立多達(dá)16個(gè)虛擬工作組。

(2)一個(gè)虛擬工作組可以跨越不同的交換機(jī)，從邏輯上看，VLAN完全獨(dú)立于網(wǎng)絡(luò)物理結(jié)構(gòu)，只有同一虛擬工作組的成員才能接收到同一虛擬工作組站點(diǎn)發(fā)出的信息幀，因此不會(huì)增加其他虛擬網(wǎng)段的通信量。

(3)?VLAN可大大簡(jiǎn)化網(wǎng)絡(luò)的管理。VLAN的建立、修改和刪除都十分簡(jiǎn)便，虛擬工作組也可以方便地重新配置，而無(wú)需對(duì)實(shí)體進(jìn)行再配置。

(4)?VLAN可簡(jiǎn)化實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)，它允許管理員在交換機(jī)結(jié)點(diǎn)上配置和管理網(wǎng)絡(luò)。有域網(wǎng)絡(luò)分組比較容易，而且網(wǎng)絡(luò)用戶能夠方便、有效地訪問(wèn)中心服務(wù)器，故可以把部門級(jí)服務(wù)器放置在網(wǎng)管中心，有利于網(wǎng)絡(luò)的安全性。

(5)?VLAN為網(wǎng)絡(luò)的變更和擴(kuò)充提供了一種有效的手段。

(6)在交換式網(wǎng)絡(luò)上實(shí)現(xiàn)的VLAN功能與ATM網(wǎng)絡(luò)基本相同，不僅可以獲得ATM網(wǎng)絡(luò)的功能，還可以為今后升級(jí)為ATM網(wǎng)絡(luò)培訓(xùn)網(wǎng)絡(luò)管理人員。

(7)?VLAN的發(fā)展方向是擴(kuò)展到廣域網(wǎng)，可使用戶在世界各地都能隨時(shí)連入自己的網(wǎng)絡(luò)，并與其他工作組成員交流信息。7.2.2VLAN的優(yōu)越性

任何新技術(shù)要得到廣泛支持和應(yīng)用，肯定存在一些關(guān)鍵優(yōu)勢(shì)，VLAN技術(shù)也一樣，它的優(yōu)勢(shì)主要體現(xiàn)在以下幾個(gè)方面。

1．增加了網(wǎng)絡(luò)連接的靈活性

借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況經(jīng)常變動(dòng)的公司，使用了VLAN后，這部分管理費(fèi)用將大大降低。

2．控制網(wǎng)絡(luò)上的廣播

VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中，也可跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。

3．增加網(wǎng)絡(luò)的安全性

因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。人們?cè)赩LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)，保密的數(shù)據(jù)應(yīng)提供訪問(wèn)控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組，網(wǎng)絡(luò)管理員可以限制VLAN中用戶的數(shù)量，禁止未經(jīng)允許訪問(wèn)VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。7.3VLAN協(xié)議目前常用的VLAN協(xié)議有Cisco的ISL協(xié)議和IEEE標(biāo)準(zhǔn)802.1Q協(xié)議，這兩種協(xié)議由于幀格式的差異等原因而互不兼容。下面我們先來(lái)看看這兩種VLAN協(xié)議的幀格式有什么不同。7.3.1802.1Q幀格式以太網(wǎng)中的IEEE802.1Q標(biāo)簽幀格式是在以太網(wǎng)(802.3)幀基礎(chǔ)上修訂而成的，如表7-1所示。

Preamble(Pre)：7字節(jié)。Pre字段中1和0交互使用，接收站通過(guò)該字段知道幀的起始，并且該字段提供了同步物理接收層輸入比特流的接收部分的方法。

Start-of-FrameDelimiter(SFD)：1字節(jié)。字段中1和0交互使用，結(jié)尾是兩個(gè)連續(xù)的1，表示下一位是目的地址最左邊字節(jié)的最左邊位。

DestinationAddress(DA)：6字節(jié)。DA字段用于標(biāo)識(shí)需要接收幀的站。

SourceAddresses(SA)：6字節(jié)。SA字段用于標(biāo)識(shí)發(fā)送幀的站。

TPID：值為8100(hex)。當(dāng)幀中的EtherType也為8100時(shí)，該幀傳送標(biāo)簽IEEE802.1Q/802.1P。

TCI：標(biāo)簽控制信息字段，包括用戶優(yōu)先級(jí)(UserPriority)、規(guī)范格式指示器(CanonicalFormatIndicator)和VLANID。TCI段格式如表7-2所示。

UserPriority：定義用戶優(yōu)先級(jí)，包括8個(gè)(23)優(yōu)先級(jí)別。IEEE802.1P為這3個(gè)比特的用戶優(yōu)先級(jí)位定義了操作。

CFI：以太網(wǎng)交換機(jī)中，規(guī)范格式指示器總被設(shè)置為0。CFI用于在以太網(wǎng)類網(wǎng)絡(luò)和令牌環(huán)類網(wǎng)絡(luò)之間保持兼容，如果在以太網(wǎng)端口接收的幀的CFI設(shè)置為1，那么該幀不應(yīng)該被轉(zhuǎn)發(fā)，這是因?yàn)橐蕴W(wǎng)端口是一個(gè)無(wú)標(biāo)簽端口。

VID：VLANID是VLAN的標(biāo)識(shí)字段，在標(biāo)準(zhǔn)802.1Q中常被使用。該字段為12位，支持4096(212)個(gè)VLAN的標(biāo)識(shí)。在4096個(gè)可能的VID中，VID＝0用于識(shí)別幀優(yōu)先級(jí)。4095(FFF)作為預(yù)留值，所以VLAN配置的最大可能值為4094。

Length/Type：2字節(jié)。如果采用可選格式組成幀時(shí)該字段即表示幀類型ID，否則表示包含在幀數(shù)據(jù)字段中的MAC客戶機(jī)數(shù)據(jù)字節(jié)數(shù)。

Data：是一組n(46≤n≤1500)字節(jié)的任意值序列。幀總值最小為64字節(jié)。

FrameCheckSequence(FCS)：4字節(jié)。該序列包括32位的循環(huán)冗余校驗(yàn)(CRC)值，由發(fā)送方MAC生成，通過(guò)接收方MAC重新計(jì)算以校驗(yàn)幀是否被破壞。7.3.2ISL幀格式

交換鏈路內(nèi)協(xié)議(ISL)是Cisco私有協(xié)議，主要用于在交換機(jī)和路由器間的通信流中維護(hù)VLAN信息。

ISL標(biāo)簽(Tagging)能與802.1Q中繼執(zhí)行相同任務(wù)，只是所采用的幀格式不同。ISL中繼(Irucks)是Cisco私有的，定義了兩設(shè)備間(如交換機(jī))的一條點(diǎn)對(duì)點(diǎn)連接線路。在“交換鏈路內(nèi)協(xié)議”名稱中即包含了這層含義。ISL幀標(biāo)簽采用一種低延遲(Low-Latency)機(jī)制為單個(gè)物理路徑上的多VLAN流量提供復(fù)用技術(shù)。ISL主要用于實(shí)現(xiàn)交換機(jī)、路由器以及各結(jié)點(diǎn)(如服務(wù)器所使用的網(wǎng)絡(luò)接口卡)之間的連接操作。為支持ISL的功能特征，每臺(tái)連接設(shè)備都必須采用ISL配置。配置了ISL的路由器支持VLAN內(nèi)通信服務(wù)。通常情況下，如果沒(méi)有配置ISL的設(shè)備接收到由ISL封裝的以太幀(EthernetFrame)，會(huì)認(rèn)為這些幀由于協(xié)議差錯(cuò)，其格式或者尺寸有誤。和802.1Q一樣，ISL作用于OSI模型第二層。所不同的是，ISL協(xié)議頭和協(xié)議尾封裝了整個(gè)第二層的以太幀。正因?yàn)槿绱?，ISL是一種能在交換機(jī)間傳送第二層中任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議。ISL所封裝的幀可以是令牌環(huán)(TokenRing)或快速以太網(wǎng)(FastEthernet)，在發(fā)送端和接收端之間傳送時(shí)維持不變。ISL具有以下特征：由專用集成電路執(zhí)行(Application-SpecificIntegratedCircuits，ASIC)；不干涉客戶機(jī)站；客戶機(jī)不會(huì)看到ISL協(xié)議頭；在交換機(jī)與交換機(jī)、路由器與交換機(jī)、交換機(jī)與帶ISLNICs的服務(wù)器之間都能提供服務(wù)。7.3.3VLAN協(xié)議兼容性分析

ISL協(xié)議是Cisco專有的VLAN協(xié)議，目前只能應(yīng)用在Cisco的網(wǎng)絡(luò)設(shè)備中，而IEEE

802.1Q是建立VLAN的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)以幀標(biāo)簽機(jī)制為基礎(chǔ)，適合于以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)和FDDI，也為交換機(jī)和路由器提供一種使VLAN標(biāo)簽化的方法，保證了多廠商的VLAN兼容性。GVRP已由IEEE

802.1Q支持，它提供了VLAN成員的注冊(cè)服務(wù)，如果要在不同廠商之間的網(wǎng)絡(luò)設(shè)備上配置VLAN環(huán)境，則需要使用IEEE

802.1Q協(xié)議。7.4一臺(tái)交換機(jī)上VLAN的實(shí)現(xiàn)下面我們將介紹如何在包括Cisco1900、2900、2950型號(hào)的交換機(jī)上配置VLAN。7.4.1靜態(tài)VLAN的實(shí)現(xiàn)靜態(tài)(Static)VLAN提供基于端口的成員資格，在這里，交換機(jī)端口被分配給某些特定的VLAN。終端用戶設(shè)備根據(jù)它們所連入的物理交換機(jī)端口而成為一個(gè)VLAN中的成員。對(duì)于這些終端設(shè)備，不需要連接握手或獨(dú)特的VLAN成員關(guān)系協(xié)議；當(dāng)它們連入一個(gè)端口時(shí)，會(huì)自動(dòng)進(jìn)行VLAN互聯(lián)。正常情況下，終端設(shè)備甚至不會(huì)注意到該VLAN的存在。交換機(jī)端口和它的VLAN可以位于任何網(wǎng)段，好像和其他“本地連接”的成員連在一根網(wǎng)線上。由于交換機(jī)端口是通過(guò)網(wǎng)絡(luò)管理員的人工操作而分配給VLAN的，因而將這種VLAN稱為靜態(tài)VLAN。單一一臺(tái)交換機(jī)上的端口也可以分配和組并到許多VLAN中。即使是連在同一臺(tái)交換機(jī)上的兩臺(tái)設(shè)備，如果它們分屬于不同的VLAN端口，通信量也不會(huì)在它們之間傳送。如果我們想要在兩個(gè)VLAN之間通信，就要利用一臺(tái)第三層設(shè)備來(lái)路由分組，或使用一臺(tái)第二層設(shè)備來(lái)橋接分組。

一般而言，端口和VLAN之間的成員資格是在交換機(jī)的硬件中處理的，這種硬件有一個(gè)專用的應(yīng)用集成電路(ASIC)。由于所有的端口映像都是在硬件級(jí)上完成，無(wú)需復(fù)雜的表項(xiàng)查找，因而這種成員關(guān)系能提供性能優(yōu)良的通信功能。

1．SW1900的VLAN配置實(shí)例

下面介紹如何在1900上配置VLAN。

在1900下創(chuàng)建VLAN可以使用“vlan[vlan#]name[name][vlan#]”命令，例如：

>en

#configt

(config)#hostname1900

1900(config)#vlan2namesales

1900(config)#vlan3namemarketing

1900(config)#vlan4namemis

1900(config)#exit驗(yàn)證，使用showvlan命令，記住在沒(méi)給VLAN分配端口之前做的VLAN是不會(huì)起作用的，而且所有的端口默認(rèn)是處在VLAN1的，VLAN1管理VLAN。例如：

1900#shvlan

VLANNameStatusPorts

-----------------------------------------------------------

1defaultEnable1-12,AUI,A,B

2salesEnable

3marketingEnable

(略)創(chuàng)建VLAN后，接下來(lái)就要給VLAN分配端口。在1900下使用“vlan-membership”命令，1次只能分配1個(gè)，以static或dynamic作為參數(shù)，例如：

1900(config)#inte0/2

1900(config-if)#vlan-membershipstatic2

1900(config)#inte0/4

1900(config-if)#vlan-membershipstatic3

1900(config)#inte0/5

1900(config-if)#vlan-membershipstatic4

1900(config-if)#exit

1900(config)#exit

1900#驗(yàn)證，例如：

1900#shvlan

VLANNameStatusPorts

-----------------------------------------------------------

1defaultEnable1-12,AUI,A,B

2salesEnable2

3marketingEnable4

(略)

2．SW2900的VLAN配置實(shí)例

下面介紹如何在2900上配置VLAN。

在2900下，2900系列交換機(jī)最多支持64個(gè)激活的VLAN，VLANID號(hào)為1～1005：

Switch#vlandatabase

Switch(vlan)#vlanvlan-idnamevlan-name

將端口加入VLAN：

Switch#configureterminal

Switch(config)#interfaceinterface

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccessvlanvlan-id

3．SW2950的VLAN配置實(shí)例

在2950下創(chuàng)建VLAN，在特權(quán)模式下使用vlandatabase命令，創(chuàng)建命令和在1900下的類似，注意結(jié)尾使用“apply”命令。例如：

2950#vlandatabase

2950(vlan)#vlan2nameMarketing

VLAN2modified:

Name:Marketing

2950(vlan)#vlan3nameAccounting

VLAN3added:

Name:Accounting

2950(vlan)#apply

APPLYcomplete

2950(vlan)#^C

2950#使用“showvlan”或者“showvlanbrief”命令驗(yàn)證如下：

2950#showvlanbrief

VLANNameStatusPorts

-------------------------------------------------------------

1defaultactiveFa0/1...Fa0/12

2Marketingactive

3Accountingactive

(略)在2950下的配置，使用“switchportaccessvlan[vlan#]”命令，例如：

2950(config-if)#intf0/2

2950(config-if)#switchportaccessvlan2

2950(config-if)#intf0/3

2950(config-if)#switchportaccessvlan3

2950(config-if)#intf0/4

2950(config-if)#switchportaccessvlan4

2950(config-if)#exit

2950(config)#exit

2950#驗(yàn)證配置信息如下：

2950#shvlanbrief

VLANNameStatusPorts

-------------------------------------------------------------

1defaultactiveFa0/1Fa0/5...Fa0/12

2MarketingactiveFa0/2

3AccountingactiveFa0/3

(略)7.4.2動(dòng)態(tài)VLAN的實(shí)現(xiàn)

動(dòng)態(tài)(Dynamic)VLAN是根據(jù)終端用戶設(shè)備的MAC地址來(lái)定義成員資格的。當(dāng)設(shè)備連入一個(gè)交換機(jī)端口時(shí)，該交換機(jī)必須查詢它的一個(gè)數(shù)據(jù)庫(kù)，以建立VLAN的成員資格。因此，網(wǎng)絡(luò)管理員必須先把用戶的MAC地址分配到VLAN成員資格策略服務(wù)器(VLANMembershipPolicyServer，VMPS)的數(shù)據(jù)庫(kù)中的一個(gè)VLAN上。

對(duì)Cisco交換機(jī)而言，動(dòng)態(tài)VLAN是用Ciscoworks2000或CiscoworksforSwitchedInternetworks(CWSI)的網(wǎng)絡(luò)管理工具來(lái)建立和進(jìn)行管理的。動(dòng)態(tài)VLAN對(duì)終端用戶來(lái)說(shuō)具有更大的靈活性和可移動(dòng)性，但要求有更多的管理方面的開(kāi)銷。7.5多臺(tái)交換機(jī)上VLAN的實(shí)現(xiàn)前面介紹的都是在一臺(tái)交換機(jī)上來(lái)配置VLAN的，但是在實(shí)際應(yīng)用中，VLAN的配置經(jīng)常是在多臺(tái)交換機(jī)上來(lái)配置的，所以下面我們將對(duì)跨交換機(jī)的VLAN進(jìn)行介紹。7.5.1VTP協(xié)議

VTP是CiscoVLAN中繼協(xié)議(CiscoVLANTrunkingProtocol，VTP)，VLAN中繼協(xié)議(VTP)是Cisco第2層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)范圍內(nèi)VLANs的添加、刪除和重命名。VTP減少了交換網(wǎng)絡(luò)中的管理事務(wù)，當(dāng)用戶在VTP服務(wù)器上配置了新VLAN時(shí)，可以同步到域內(nèi)所有交換機(jī)上，這樣可以避免到處配置相同的VLAN。VTP是Cisco私有協(xié)議，它支持大多數(shù)的CiscoCatalyst系列產(chǎn)品。

VTP確保其域內(nèi)的所有交換機(jī)都清楚所有的VLANs的情況，但當(dāng)VTP可以產(chǎn)生不必要的流量時(shí)則例外。所有未知的單播和廣播會(huì)在整個(gè)VLAN內(nèi)進(jìn)行擴(kuò)散，即使VLAN中沒(méi)有連接用戶，網(wǎng)絡(luò)中的所有交換機(jī)也會(huì)接收到所有廣播，而VTPPruning技術(shù)正可以消除多余流量。

缺省方式下，所有CiscoCatalyst交換機(jī)都被配置為VTP服務(wù)器。這種情形適用于VLAN信息量小且易存儲(chǔ)于任意交換機(jī)(NVRAM中)上的小型網(wǎng)絡(luò)。對(duì)于大型網(wǎng)絡(luò)，如果每臺(tái)交換機(jī)都在NVRAM中存儲(chǔ)這些重復(fù)的信息，則顯得有些浪費(fèi)，所以管理員在某些點(diǎn)上必須做一個(gè)“判決呼叫”(JudgmentCall)，這些點(diǎn)應(yīng)該是一些配置較好的交換機(jī)，網(wǎng)絡(luò)管理員將它們用作VTP服務(wù)器，其他交換機(jī)則作為客戶機(jī)。此外，還需要一些VTP服務(wù)器來(lái)提供網(wǎng)絡(luò)所需的一定量的冗余。到目前為止，VTP具有三種版本，其中VTPv2與VTPv1區(qū)別不大，主要不同在于：VTPv2支持令牌環(huán)VLANs，而VTPv1不支持。通常只有在使用TokenRingVLANs時(shí)，才會(huì)使用到VTPv2，一般情況下并不使用VTPv2。

VTPv3不直接處理VLANs事務(wù)，它只負(fù)責(zé)在管理域(AdministrativeDomain)內(nèi)發(fā)布一個(gè)不透明數(shù)據(jù)庫(kù)的列表。與前兩版相比，VTPv3具有以下改進(jìn)：

·支持?jǐn)U展VLANs。

·支持專用VLANs的創(chuàng)建和廣告。

·提供服務(wù)器認(rèn)證性能。

·避免“錯(cuò)誤”數(shù)據(jù)庫(kù)進(jìn)入VTP域。

·與VTPv1和VTPv2交互作用。

·支持每端口(OnaPer-PortBasis)配置。

·支持傳播VLAN數(shù)據(jù)庫(kù)和其他數(shù)據(jù)庫(kù)類型。

VTP的優(yōu)點(diǎn)如下：

(1)保持VLAN信息的連續(xù)性。

(2)精確跟蹤和監(jiān)視VLAN。

(3)動(dòng)態(tài)報(bào)告新增加的VLAN信息給VTP域中所有交換機(jī)。

(4)可以使用即插即用的方法增加VLAN。

(5)可以在混合型網(wǎng)絡(luò)中配置trunklink，比如以太網(wǎng)到ATMLANE、FDDI等。在使用VTP管理VLAN之前，首先需要?jiǎng)?chuàng)建一個(gè)VTP服務(wù)器(VTPserver)，而且所有要共享VLAN信息的交換機(jī)必須使用相同的域名。假如把某個(gè)交換機(jī)和其他的交換機(jī)配置在1個(gè)VTP域里，這個(gè)交換機(jī)就只能和這個(gè)VTP域里的其他交換機(jī)共享VLAN信息。其實(shí)，如果只有1個(gè)VLAN，就不需要使用VTP了，因?yàn)檫@時(shí)所有的交換機(jī)共享這一個(gè)VLAN信息，而不會(huì)收到其他的VLAN信息。VTP(VLAN)信息通過(guò)trunk端口進(jìn)行發(fā)送和接收，可以給VTP配置密碼來(lái)保證只有合法的交換機(jī)才能接收到VTP(VLAN)信息，但是要記住的是，所有的交換機(jī)必須配置相同的密碼。在服務(wù)器模式下，交換機(jī)通告VTP管理域信息時(shí)，會(huì)加上版本號(hào)和已知VLAN配置參數(shù)信息。在一種叫做透明VTP模式(TransparentVTPMode)里，可以將交換機(jī)配置成通過(guò)trunk端口轉(zhuǎn)發(fā)VTP信息，但是不接收VTP更新信息來(lái)更新它自己的VTP數(shù)據(jù)庫(kù)。

在客戶機(jī)模式下，當(dāng)交換機(jī)通過(guò)VTP通告檢測(cè)到有增加的VLAN時(shí)，會(huì)把新增加的VLAN和已有的VLAN合并在一個(gè)共享信息內(nèi)，并且會(huì)讓VLAN更新后的版本號(hào)比之前的版本號(hào)增加1。在VTP域里操作的三種模式如下：

(1)服務(wù)器模式(ServerMode)：是所有CiscoCatalyst交換機(jī)的默認(rèn)設(shè)置，1個(gè)VTP域里必須至少要有1個(gè)服務(wù)器用來(lái)傳播VLAN信息，對(duì)VTP信息的改變必須在服務(wù)器模式下操作，配置保存在NVRAM里。

(2)客戶機(jī)模式(ClientMode)：在這種模式下，交換機(jī)從VTP服務(wù)器接收信息，而且它們也發(fā)送和接收更新，但是它們不能做任何改變。在VTP服務(wù)器通知客戶交換機(jī)說(shuō)增加了新的VLAN之前，不能在客戶交換機(jī)的端口上增加新的VLAN，配置不保存在NVRAM里。

(3)透明模式(TransparentMode)：該模式下的交換機(jī)不能增加和刪除VLAN，它們有自己的數(shù)據(jù)庫(kù)，保存在NVRAM里，不和其他交換機(jī)共享配置。7.5.2配置VLAN

跨交換機(jī)的VLAN類型如同單交換機(jī)上面的VLAN信息一樣，也分為靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種。在創(chuàng)建VLAN時(shí)，通常都是創(chuàng)建靜態(tài)VLAN，靜態(tài)VLAN是最安全的，而動(dòng)態(tài)VLAN能夠自動(dòng)決定一個(gè)結(jié)點(diǎn)的VLAN分配。通過(guò)使用智能化的管理軟件，就可以啟用MAC地址、協(xié)議甚至應(yīng)用程序來(lái)創(chuàng)建動(dòng)態(tài)VLAN。

下面我們將以1900交換機(jī)作為服務(wù)器模式，2900作為客戶模式進(jìn)行VTP模式下的VLAN配置。7.5.3創(chuàng)建并命名VLAN

在1900上VLAN的設(shè)置分為兩步：①設(shè)置VLAN名稱；②應(yīng)用到端口。

先使用命令vlanvlan-numnamevlan

name來(lái)設(shè)置VLAN的名稱，再在特權(quán)配置模式下進(jìn)行如下配置：

1900Switch(config)#vlan2nameaccounting

1900Switch(config)#vlan3namemarketing在此，新配置了2個(gè)VLAN，為什么VLAN號(hào)從2開(kāi)始呢？這是因?yàn)槟J(rèn)情況下，所有的端口都屬于VLAN1。1900系列的交換機(jī)最多可以配置1024個(gè)VLAN，但是，只能有64個(gè)同時(shí)工作，當(dāng)然這是理論上的，我們應(yīng)該根據(jù)網(wǎng)絡(luò)的實(shí)際需要來(lái)規(guī)劃VLAN的號(hào)碼。

在2900上VLAN的設(shè)置：

2900#vlandatabase

//進(jìn)入VLAN數(shù)據(jù)庫(kù)

2900(vlan)#vlanvlan-numnamename

//創(chuàng)建VLAN

2900(vlan)#exit7.5.4分配端口到VLAN

配置好了VLAN名稱后，就要進(jìn)入每一個(gè)端口來(lái)設(shè)置VLAN。在1900交換機(jī)中，要進(jìn)入某個(gè)端口，比如說(shuō)第4個(gè)端口，則要用interfaceEthernet0/4，我們讓端口2，3，4，5屬于VLAN2，端口17～22屬于VLAN3。命令是vlan-membershipstatic/dynamicvlannum。無(wú)論是靜態(tài)的還是動(dòng)態(tài)的，兩者必須選擇一個(gè)，后面是剛才配置的VLAN號(hào)。結(jié)果如下：

1900Switch(config)#interfaceethernet0/2

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/3

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/4

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/5

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/17

1900Switch(config-if)#vlan-membershipstatic3

…

1900Switch(config-if)#inte0/22

1900Switch(config-if)#vlan-membershipstatic3

1900Switch(config-if)#在2950上VLAN的設(shè)置：

2900#configureteriminal

2900(config)#interfacetypemodule/number

//進(jìn)入端口

2900(config-if)#switchportmodeaccess

//設(shè)置端口為接入模式

2900(config-if)#switchportaccessvlanvlan-num

//把端口分配給指定VLAN

2900(config-if)#end7.5.5配置Trunk(中繼)端口

1．Trunk工作過(guò)程

要傳輸多個(gè)VLAN的通信，需要用專門的協(xié)議封裝或者加上標(biāo)記，以便接收設(shè)備能區(qū)分?jǐn)?shù)據(jù)所屬的VLAN。VLAN標(biāo)識(shí)從邏輯上定義了數(shù)據(jù)包采用何種協(xié)議，最常用的方法是IEEE802.1Q和Cisco專用的協(xié)議ISL。下面簡(jiǎn)要介紹這兩種協(xié)議。

交換機(jī)間鏈路是一種Cisco專用的協(xié)議，用于連接多個(gè)交換機(jī)。ISL是當(dāng)數(shù)據(jù)在交換機(jī)之間傳遞時(shí)，負(fù)責(zé)保持VLAN信息的協(xié)議。在一個(gè)ISL中繼端口中，所有接收到的數(shù)據(jù)包被期望使用ISL頭部封裝，并且所有被傳輸和發(fā)送的包都帶有一個(gè)ISL頭。從一個(gè)ISL端口收到的本地幀被丟棄。它只用在Cisco產(chǎn)品中。

IEEE802.1Q正式名稱是虛擬橋接局域網(wǎng)標(biāo)準(zhǔn)，用在不同的廠家生產(chǎn)的交換機(jī)之間。一個(gè)IEEE802.1Q中繼端口同時(shí)支持加標(biāo)簽和未加標(biāo)簽的流量。一個(gè)802.1Q中繼端口被指派了一個(gè)缺省的端口VLANID(PVID)，所有未加標(biāo)簽的流量在該端口的缺省PVID上傳輸。一個(gè)帶有和中繼端口的缺省PVID相等的VLANID的包發(fā)送時(shí)不被加標(biāo)簽。所有其他的流量發(fā)送時(shí)被加上VLAN標(biāo)簽。在設(shè)置Trunk后，Trunk鏈路不屬于任何一個(gè)VLAN。Trunk鏈路在交換機(jī)之間起著VLAN管道的作用，交換機(jī)會(huì)將該Trunk以外并且和Trunk中的端口處于一個(gè)VLAN中的其他端口的負(fù)載自動(dòng)分配到該Trunk中的各個(gè)端口。因?yàn)橥粋€(gè)VLAN中的端口之間會(huì)相互轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)，而位于Trunk中的Trunk端口被當(dāng)作一個(gè)端口來(lái)看待，如果VLAN中的其他非Trunk端口的負(fù)載不分配到各個(gè)Trunk端口，則有些數(shù)據(jù)報(bào)可能隨機(jī)的發(fā)往Trunk而導(dǎo)致幀順序混亂。由于Trunk口作為1個(gè)邏輯端口看待，因此在設(shè)置了Trunk后，該Trunk將自動(dòng)加入到這些VLAN的成員端口所屬的VLAN中，而其成員端口則自動(dòng)從VLAN中刪除。在Trunk線路上傳輸不同的VLAN數(shù)據(jù)時(shí)，可使用兩種方法識(shí)別不同的VLAN數(shù)據(jù)：幀過(guò)濾和幀標(biāo)記。幀過(guò)濾法根據(jù)交換機(jī)的過(guò)濾表檢查幀的詳細(xì)信息。每一個(gè)交換機(jī)要維護(hù)復(fù)雜的過(guò)濾表，同時(shí)對(duì)通過(guò)中繼的每一個(gè)幀進(jìn)行詳細(xì)檢查，這會(huì)增加網(wǎng)絡(luò)延遲時(shí)間。目前在VLAN中這種方法已經(jīng)不使用了。現(xiàn)在使用的是幀標(biāo)記法。數(shù)據(jù)幀在中繼線上傳輸?shù)臅r(shí)候，交換機(jī)在幀頭的信息中加標(biāo)記來(lái)指明相應(yīng)的VLANID。當(dāng)幀通過(guò)中繼以后，在去掉標(biāo)記的同時(shí)把幀交換到相應(yīng)的VLAN端口。幀標(biāo)記法被IEEE選定為標(biāo)準(zhǔn)化的中繼機(jī)制，它有如下三種處理方法：

1)靜態(tài)中繼配置

靜態(tài)中繼配置最容易理解。干線上每一個(gè)交換機(jī)都可由程序設(shè)定發(fā)送及接收使用特定中繼連接協(xié)議的幀。在這種設(shè)置下，端口通常專用于中繼連接，而不能用于連接端結(jié)點(diǎn)，至少不能連接那些不使用中繼連接協(xié)議的端結(jié)點(diǎn)。當(dāng)自動(dòng)協(xié)商機(jī)制不能正常工作或不可用時(shí)，靜態(tài)配置是非常有用的。靜態(tài)中繼配置的缺點(diǎn)是必須手工維護(hù)。

2)中繼功能通告

交換機(jī)可以周期性地發(fā)送通告幀，表明它們能夠?qū)崿F(xiàn)某種中繼連接功能。例如，交換機(jī)可以通告自己能夠支持某種類型的幀標(biāo)記VLAN，因此按這個(gè)交換機(jī)通告的幀格式向其發(fā)送幀是不會(huì)有錯(cuò)的。交換機(jī)的功能還不止這些，它還可以通告它現(xiàn)在想為哪個(gè)VLAN提供中繼連接服務(wù)。這類中繼設(shè)置對(duì)于一個(gè)由端結(jié)點(diǎn)和中繼混合組成的網(wǎng)段可能會(huì)很有用。

3)中繼自動(dòng)協(xié)商

中繼也能通過(guò)協(xié)商過(guò)程自動(dòng)設(shè)置。在這種情況下，交換機(jī)周期性地發(fā)送指示幀，表明它們希望轉(zhuǎn)到中繼連接模式。如果另一端的交換機(jī)收到并識(shí)別這些幀，并自動(dòng)進(jìn)行配置，那么這兩部交換機(jī)就會(huì)將這些端口設(shè)成中繼連接模式。這種自動(dòng)協(xié)商通常依賴于兩部交換機(jī)(在同一網(wǎng)段上)之間已有的鏈路，并且與這條鏈路相連的端口要專用于中繼連接，這與靜態(tài)中繼設(shè)置非常相似。

2．Trunk的優(yōu)點(diǎn)

Trunk的優(yōu)點(diǎn)主要體現(xiàn)在以下幾方面：

(1)可以在不同的交換機(jī)之間連接多個(gè)VLAN，可以將VLAN擴(kuò)展到整個(gè)網(wǎng)絡(luò)中。

(2)?Trunk可以捆綁任何相關(guān)的端口，也可以隨時(shí)取消設(shè)置，這樣提供了很高的靈活性。

(3)?Trunk可以提供負(fù)載均衡能力以及系統(tǒng)容錯(cuò)。由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量，一旦某個(gè)端口出現(xiàn)故障，它會(huì)自動(dòng)把故障端口從Trunk組中撤消，進(jìn)而重新分配各個(gè)Trunk端口的流量，從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。

3．實(shí)例應(yīng)用

VLAN交換機(jī)的主要特點(diǎn)是能夠在單個(gè)交換機(jī)內(nèi)部或多個(gè)交換機(jī)之間支持多個(gè)獨(dú)立的VLAN。對(duì)于多個(gè)VLAN交換機(jī)來(lái)說(shuō)，一條中繼就是兩個(gè)交換機(jī)之間的連接，它在兩個(gè)或兩個(gè)以上的VLAN之間傳輸數(shù)據(jù)流。這與兩個(gè)普通網(wǎng)橋之間的一條鏈路不同，因?yàn)槊總€(gè)交換機(jī)必須確定它所收到的幀屬于哪個(gè)VLAN。雖然這增加了某種復(fù)雜性，但同時(shí)也帶來(lái)了很大的靈活性。本例解釋了如何在3550交換機(jī)和2950交換機(jī)之間的一條鏈路上創(chuàng)建承載不同交換機(jī)之間VLAN通信的ISLTrunk。在Catalyst3550交換機(jī)和Catalyst2950交換機(jī)之間配置一條Trunk線路相聯(lián)，在這個(gè)應(yīng)用中劃分了4個(gè)VLAN，其中配置的3個(gè)VLAN命名分別為A2、A3、A4。VLAN1采用默認(rèn)的配置，并將2950和3550交換機(jī)的各端口分配到適當(dāng)?shù)腣LAN中，如圖7-1所示。圖7-1配置Trunk端口下面以3550交換機(jī)為例，簡(jiǎn)要介紹一下重要的配置。

創(chuàng)建VLAN如下：

3550switch#vlandatabase

3550switch(vlan)#vlan2nameA2

3550switch(vlan)#vlan3nameA3

3550switch(vlan)#vlan4nameA4把各個(gè)端口分配到適當(dāng)?shù)腣LAN中：

3550switch(config)#interfacerangefastEthernet0/5-8

3550swutcg(config-if)#switchportaccessvlan2

(5～8端口放入VLAN2中)

3550switch(config)#interfacerangefastEthernet0/9～11

3550swutcg(config-if)#switchportaccessvlan3

(9～11端口放入VLAN3中)

3550switch(config)#interfacerangefastEthernet0/12～15

3550swutcg(config-if)#switchportaccessvlan4

(12～15端口放入VLAN4中)

…應(yīng)該注意，interfacerangefastEthernetX/X-X

應(yīng)用在CiscoIOS12.1以上的版本，如果使用的是CiscoIOS12.1以前的版本，應(yīng)該用命令switchportaccessvlanvlanID把端口加入VLAN。

在特權(quán)模式下使用命令showvlan來(lái)檢查是否將端口分配給正確的VLAN。

可以看出其他的端口默認(rèn)全在VLAN1中。在這個(gè)應(yīng)用中，把3550的fastE0/2和2950的fastE0/1端口分別設(shè)置為Trunk口，并在每一個(gè)端口都采用802.1Q中繼封裝：

3550switch(config)#interfascefa0/2

3550switch(config-if)#switchportmodetrunk

3550switch(config-if)#switchporttrunkencapsulationdot1q

需要注意的是，Trunk端口缺省情況下會(huì)傳送所有的VLAN的通信。要查看trunk端口的信息和允許的VLAN，可以使用命令showinterfacesinterface-idswitchport：

Name:Fa0/1

Switchport:Enabled

AdministrativeMode:trunk

OperationalMode:trunk

AdministrativeTrunkingEncapsulation:dot1q

OperationalTrunkingEncapsulation:dot1q

NegotiationofTrunking:On

AccessModeVLAN:1(default)

TrunkingNativeModeVLAN:1(default)

TrunkingVLANsEnabled:ALL

PruningVLANsEnabled:2-1001

Protected:false

Unknownunicastblocked:disabled

Unknownmulticastblocked:disabled

VoiceVLAN:none(Inactive)

Appliancetrust:none要限制Trunk傳送的VLAN，從允許的VLAN列表中刪除某些VLAN，可以使用接口配置命令：

3550switch(config-if)#switchporttrunkallowedvlanremovevlan-list

對(duì)于2950的設(shè)置，與上面的3500交換機(jī)的配置一樣，這里不再贅述。只是把端口3～6分配到VLAN2中，7～10分配到VLAN3中，11～13分配到VLAN4中，其他端口在默認(rèn)的VLAN1中。重要的是在2950交換機(jī)封裝Trunk的協(xié)議要與3500相同。如果在這個(gè)例子中，在Catalyst3550交換機(jī)的VLAN2中有一主機(jī)hostA，其IP地址設(shè)置為192.168.0.2/24，在Catalyst2950交換機(jī)的VLAN2中也有一主機(jī)hostB，其IP地址設(shè)置為192.168.0.6/24。如果讓2950交換機(jī)的hostAPinghostB，則可以看到，交換機(jī)2950用標(biāo)識(shí)為VLAN2的802.1Q頭封裝數(shù)據(jù)幀，并通過(guò)Trunk鏈路發(fā)送到3550的交換機(jī)中。而3550接收到其數(shù)據(jù)幀后，首先除去ISL頭，然后封裝自已的信息，重復(fù)2950的過(guò)程，并轉(zhuǎn)發(fā)給2950。但是如果在這兩臺(tái)交換機(jī)之中，這兩個(gè)工作站分別在不同的VLAN之中，則相互Ping對(duì)方是不會(huì)通的。從而說(shuō)明，不同交換機(jī)之間的工作站通過(guò)Trunk相連接，只有這些工作站在同一個(gè)VLAN之中才可以相互通信，而不同VLAN中的工作站是不能通過(guò)Trunk來(lái)通信的。7.5.6配置ISL和802.1Q路由

1．配置ISL路由

當(dāng)路由器連接1900時(shí)，配置Trunk端口連接1900，在路由器子接口使用encapsulation

isl

[vlan#]命令：

2600Router(config)#int

f0/0.1

2600Router(config-subif)#encapsulation

isl

[vlan#]

2600Router(config-subif)#ip

add

ip

add

submask

2．配置802.1Q路由

當(dāng)路由器連接2950時(shí)，配置trunk端口連接2950，在路由器子接口使用encapsulation

dot1q[vlan#]命令：

2600Router(config)#int

f0/0.1

2600Router(config-subif)#encapsulation

dot1q

[vlan#]

2600Router(config-subif)#ip

add

ip

add

submask7.5.7配置VTP

1．配置VTP管理域

在交換機(jī)加入網(wǎng)絡(luò)中之前，應(yīng)當(dāng)確定VTP的管理域。如果這臺(tái)交換機(jī)是該網(wǎng)絡(luò)中的第一臺(tái)交換機(jī)，那么必須創(chuàng)建管理域。否則，交換機(jī)就得加入到已有的管理域(含有其他交換機(jī))中。

使用下列通用的配置命令將交換機(jī)分配給某個(gè)管理域，其中domain-name是一個(gè)不長(zhǎng)于32字符的文本串：

Switch(config)#vtpdomaindomain-name

2．配置VTP模式

使用下面的通用配置命令序列配置VTP模式：

Switch(config)#vtpmode{server|client|transparent}

Switch(config)#vtppasswordpassword

3．配置VTP版本

可以使用下列通用配置命令配置VTP版本號(hào)：

Switch(config)#vtpversion{1|2}

4．配置VTP實(shí)例

默認(rèn)下，1900和2900都處于VTP服務(wù)器模式。

要配置VTP，首先需要配置VTP域名，然后配置密碼，看是否匹配。

我們將1900配置為客戶端模式，2900配置為服務(wù)器模式，1900的配置如下：

1900(config)#vtpclient

1900(config)#vtpdomainoa

1900(config)#vtppasswordecho

2900的配置如下：

2900(config)#vtpmodeserver

2900(config)#vtpdomainoa

2900(config)#vtppasswordecho7.6VLAN間路由器實(shí)驗(yàn)7.6.1單臂路由實(shí)現(xiàn)法

1．實(shí)驗(yàn)拓?fù)鋱D實(shí)驗(yàn)拓?fù)鋱D如圖7-2所示。圖7-2實(shí)驗(yàn)拓?fù)鋱D

2．實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境說(shuō)明如下：

(1)利用路由器R1、R2模擬PC，關(guān)閉其路由功能。

(2)將路由器R1的Fa0/0端口的IP設(shè)為192.168.1.2/24，默認(rèn)網(wǎng)關(guān)設(shè)為192.168.1.1。

(3)將路由器R2的Fa0/0端口的IP設(shè)為192.168.0.2/24，默認(rèn)網(wǎng)關(guān)設(shè)為192.168.0.1。

(4)將交換機(jī)SW1關(guān)閉路由功能，作為二層交換機(jī)使用，并劃分VLAN14、VLAN15兩個(gè)VLAN。

(5)將交換機(jī)SW1的Fa1/14端口加入到VLAN14中，將Fa1/15端口加入到VLAN15中。

(6)在路由器R3的Fa0/0接口啟用子接口Fa0/0.14(IP設(shè)為192.168.0.1/

24)和Fa0/0.15(IP設(shè)為192.168.1.1/24)，并封裝相應(yīng)的VLAN號(hào)。

3．實(shí)驗(yàn)結(jié)果要求

實(shí)驗(yàn)結(jié)果要求R1、R2能夠互相ping通對(duì)方。

4．交換機(jī)SW1的配置清單

(1)劃分VLAN：

SW1#vlandata

SW1(vlan)#vlan14

SW1(vlan)#vlan15

SW1(vlan)#exit

(3)為Fa1/13端口配置中繼：

SW1(config)#intfa1/13

SW1(config-if)#switchportmodtrunk

SW1(config-if)#switchporttrunkencapsulationdot1q

SW1(config-if)#noshut

SW1(config-if)#exit

(4)關(guān)閉交換機(jī)的路由功能：

SW1(config)#noiprouting

5．路由器R3的配置清單

(1)開(kāi)啟路由器R3的路由功能：

R3(config)#iprouting

(2)啟用子接口，封裝VLAN，并設(shè)置IP：

R3(config)#intfa0/0.14

R3(config-subif)#encapsulationdot1q14

R3(config-subif)#ipadd192.168.0.1255.255.255.0

R3(config-subif)#noshut

R3(config-subif)#exit

R3(config)#intfa0/0.15

R3(config-subif)#encapsulationdot1q15

R3(config-subif)#ipadd192.168.1.1255.255.255.0

R3(config-subif)#noshut

R3(config-subif)#exit

(3)配置Fa0/0端口，并啟動(dòng)該端口：

R3(config)#intfa0/0

R3(config-if)#speed100

R3(config-if)#duplexfull

R3(config-if)#noshut

6．路由器R2的配置清單

R2(config)#noiprouting

R2(config)#ipdefault-gateway192.168.0.1

R2(config)#intfa0/0

R2(config-if)#speed100

R2(config-if)#duplexfull

R2(config-if)#ipadd192.168.0.2255.255.255.0

R2(config-if)#noshut

7．路由器R1的配置清單

R1(config)#noiprouting

R1(config)#ipdefault-gateway192.168.1.1

R1(config)#intfa0/0

R1(config-if)#speed100

R1(config-if)#duplexfull

R1(config-if)#ipadd192.168.1.2255.255.255.0

R1(config-if)#noshut

R1(config-if)#exit7.6.2三層交換機(jī)實(shí)現(xiàn)法

1．實(shí)驗(yàn)拓?fù)鋱D

實(shí)驗(yàn)拓?fù)鋱D如圖7-3所示。圖7-3實(shí)驗(yàn)拓?fù)鋱D

2．實(shí)驗(yàn)環(huán)境說(shuō)明

(1)分別啟用路由器R1、R2和交換機(jī)SW1。

(2)將路由器R1的Fa0/0端口的IP設(shè)為192.168.1.2/24，關(guān)閉路由功能，用來(lái)模擬PC1，同時(shí)默認(rèn)網(wǎng)關(guān)設(shè)為192.168.1.1。

(3)將路由器R2的Fa0/0端口的IP設(shè)為192.168.0.2/24，關(guān)閉路由功能，用來(lái)模擬PC2，同時(shí)將默認(rèn)網(wǎng)關(guān)設(shè)為192.168.0.1。

(4)在交換機(jī)SW1上分別劃分VLAN14、VLAN15兩個(gè)VLAN，啟用路由功能，用來(lái)充當(dāng)三層交換機(jī)。

(5)將交換機(jī)SW1的Fa1/14端口的IP設(shè)為192.168.0.1/24，并將該端口加入到VLAN14中。

(6)將交換機(jī)SW1的Fa1/15端口的IP設(shè)為192.168.1.1/24，并將該端口加入到VLAN15中。

3．實(shí)驗(yàn)結(jié)果要求

實(shí)驗(yàn)結(jié)果要求兩臺(tái)路由器可以相互ping通對(duì)方。

4．交換機(jī)SW1的配置清單

開(kāi)啟交換機(jī)的路由功能，充當(dāng)三層交換機(jī)使用：

SW1(config)#iprouting

SW1(config)#exit

在交換機(jī)SW1上劃分VLAN：

SW1#vlandata

SW1(vlan)#vlan14

SW1(vlan)#vlan15

SW1(vlan)#exit將交換機(jī)SW1的兩個(gè)端口分別劃入相應(yīng)的VLAN：

SW1(config)#intfa1/14

SW1(config-if)#speed100

SW1(config-if)#duplexfull

SW1(config-if)#switchportmodacc

SW1(config-if)#switchportaccvlan14

SW1(config-if)#exit

SW1(config)#intfa1/15

SW1(config-if)#speed100

SW1(config-if)#duplexfull

S