描述
开 本: 32开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302455370丛书名: 21世纪高等学校计算机教育实用规划教材
全书以计算机网络TCP/IP体系结构为组织线索,分别为网络接口层、网络层、运输层和应用层上的重要知识点提供了配套实验,依次介绍了实验环境的安装使用、以太网交换机和路由器的基本配置方法、局域网技术(VTP、STP协议以及VLAN间路由)和广域网技术(PPP封装和PAP、CHAP认证)、路由协议(静态路由协议、路由信息协议和OSPF路由协议)、访问控制列表(ACL)、网络地址转换(NAT),以及应用层上的动态主机配置协议(DHCP)和域名系统(DNS)。
本书适合作为高等院校计算机、软件工程等专业开设了“计算机网络”课程的本科生学习“计算机网络”的配套实验教材,同时可供对计算机网络设备需进一步了解的广大开发人员和研究人员作为参考。
目录
第1章GNS3实验环境配置
1.1Dynamips和GNS3简介
1.2GNS3的安装和基本配置
1.2.1GNS3的安装
1.2.2GNS3的基本配置
1.3GNS3实验环境的使用
1.3.1GNS3创建网络拓扑
1.3.2GNS3模拟以太网交换机
1.3.3GNS3模拟PC
第2章Cisco设备基本配置实验
2.1操作模式
2.1.1理论知识与实验原理
2.1.2相关命令讲解
2.1.3实验目的
2.1.4实验环境
2.1.5实验步骤
2.2基本配置
2.2.1理论知识与实验原理
2.2.2相关命令讲解
2.2.3实验目的
2.2.4实验环境
2.2.5实验步骤
2.3密码管理
2.3.1理论知识与实验原理
2.3.2相关命令讲解
2.3.3实验目的
2.3.4实验环境
2.3.5实验步骤
2.4接口管理
2.4.1理论知识与实验原理
2.4.2相关命令讲解
2.4.3实验目的
2.4.4实验环境
2.4.5实验步骤
2.5配置信息管理
2.5.1理论知识与实验原理
2.5.2相关命令讲解
2.5.3实验目的
2.5.4实验环境
2.5.5实验步骤
第3章以太网交换机实验
3.1以太网交换机的基本工作原理和配置方法
3.1.1理论知识与实验原理
3.1.2相关命令讲解
3.1.3实验目的
3.1.4实验环境
3.1.5实验步骤
3.1.6扩展实验
3.2划分虚拟局域网
3.2.1理论知识与实验原理
3.2.2相关命令讲解
3.2.3实验目的
3.2.4实验环境
3.2.5实验步骤
3.2.6扩展实验
3.3VTP原理与配置
3.3.1理论知识与实验原理
3.3.2相关命令讲解
3.3.3实验目的
3.3.4实验环境
3.3.5实验步骤
3.3.6扩展实验
3.4STP原理与配置
3.4.1理论知识与实验原理
3.4.2相关命令讲解
3.4.3实验目的
3.4.4实验环境
3.4.5实验步骤
3.4.6扩展实验
3.5VLAN间路由
3.5.1理论知识与实验原理
3.5.2相关命令讲解
3.5.3实验目的
3.5.4实验环境
3.5.5实验步骤
第4章HDLC和PPP
4.1HDLC和PPP封装实验
4.1.1理论知识与实验原理
4.1.2相关命令讲解
4.1.3实验目的
4.1.4实验环境
4.1.5实验步骤
4.1.6扩展实验
4.2PAP认证
4.2.1理论知识与实验原理
4.2.2相关命令讲解
4.2.3实验目的
4.2.4实验环境
4.2.5实验步骤
4.2.6扩展实验
4.3CHAP认证
4.3.1理论知识与实验原理
4.3.2相关命令讲解
4.3.3实验目的
4.3.4实验环境
4.3.5实验步骤
4.3.6扩展实验
第5章路由协议
5.1路由协议概述
5.2静态路由
5.2.1理论知识与实验原理
5.2.2相关命令讲解
5.2.3实验目的
5.2.4实验环境
5.2.5实验步骤
5.2.6扩展实验
5.3RIPv1路由协议
5.3.1理论知识与实验原理
5.3.2相关命令讲解
5.3.3实验目的
5.3.4实验环境
5.3.5实验步骤
5.3.6扩展实验
5.4RIPv2路由协议
5.4.1理论知识与实验原理
5.4.2相关命令讲解
5.4.3实验目的
5.4.4实验环境
5.4.5实验步骤
5.4.6扩展实验
5.5单区域OSPF路由协议
5.5.1理论知识与实验原理
5.5.2相关命令讲解
5.5.3实验目的
5.5.4实验环境
5.5.5实验步骤
5.5.6扩展实验
5.6多区域OSPF路由协议
5.6.1理论知识与实验原理
5.6.2相关命令讲解
5.6.3实验目的
5.6.4实验环境
5.6.5实验步骤
5.6.6扩展实验
第6章ACL
6.1ACL概述
6.2标准ACL
6.2.1理论知识与实验原理
6.2.2相关命令讲解
6.2.3实验目的
6.2.4实验环境
6.2.5实验步骤
6.3扩展ACL
6.3.1理论知识与实验原理
6.3.2相关命令讲解
6.3.3实验目的
6.3.4实验环境
6.3.5实验步骤
6.3.6扩展实验
第7章NAT
7.1NAT概述
7.2静态NAT
7.2.1理论知识与实验原理
7.2.2相关命令讲解
7.2.3实验目的
7.2.4实验环境
7.2.5实验步骤
7.3动态NAT
7.3.1理论知识与实验原理
7.3.2相关命令讲解
7.3.3实验目的
7.3.4实验环境
7.3.5实验步骤
7.4静态PAT
7.4.1理论知识与实验原理
7.4.2相关命令讲解
7.4.3实验目的
7.4.4实验环境
7.4.5实验步骤
7.5动态PAT
7.5.1理论知识与实验原理
7.5.2相关命令讲解
7.5.3实验目的
7.5.4实验环境
7.5.5实验步骤
第8章DHCP
8.1理论知识与实验原理
8.2相关命令讲解
8.3实验目的
8.4实验环境
8.5实验步骤
8.6扩展实验
第9章DNS
9.1理论知识与实验原理
9.2相关命令讲解
9.3实验目的
9.4实验环境
9.5实验步骤
9.6扩展实验
参考文献
前言
“计算机网络”是一门理论与实践并重的课程,由理论指导实践,再由实践提升对理论知识的理解掌握。当前计算机网络理论教材繁多,却缺少好的配套实验教程,更缺乏理论与实践教学相得益彰的实践教材。另一方面,计算机网络实验需要大量网络硬件设备的支持,这对于目前高校以及自学的学生来说,是一个极大的难题。基于Dynamips的GNS3是一个在普通PC上模拟Cisco网络设备硬件的程序,在模拟出来的网络设备上可以装载Cisco网络操作系统,用户得以在普通PC上拥有多台思科网络设备(思科c1700、c2600、c3600、c3700和c7200系列路由器和交换机),并可以在上面组建各种网络拓扑进行网络实验,其操作与真实的思科设备操作完全相同。本书基于Cisco硬件模拟器——Dynamips和GNS3设计一系列网络实验,每一个实验都紧扣计算机网络理论知识来设计,通过这些实验帮助学生更好地理解计算机网络重要知识点。同时注重网络实验的真实性,参考了CCNA和CCNP实验内容,针对现实中对网络设备的配置需求,设计了一系列贴近实战的实验内容。每一个实验包括对应理论知识的讲解、实验相关命令的详细介绍和使用方法讲解、实验环境介绍、实验详细步骤和结果,后还有对应的扩展实验,让学生可以在理解基本实验的基础上,自行配置更复杂的实验,从而更好地掌握知识点。全书以计算机网络TCP/IP体系结构为组织线索,分别为网络接口层、网络层、运输层和应用层上的重要知识点提供了配套实验。其中,第1章为仿真平台Dynamips和GNS3的安装和使用介绍,第2章介绍Cisco网络设备的基本使用方法。通过这两章的介绍,帮助读者快速掌握Cisco硬件仿真平台的使用方法,为后续实验做好准备。第3章和第4章为网络接口层实验,包括第3章的局域网技术,主要介绍以太网交换机的工作原理、基本配置方法,交换机的VTP、STP协议以及VLAN间路由; 第4章广域网技术,主要介绍广域网上的点对点协议(PPP)和PAP、CHAP认证。第5~7章为网络层实验,包括第5章路由协议,重点介绍静态路由协议、路由信息协议和OSPF路由协议; 第6章ACL实验; 第7章NAT实验。第8章和第9章为应用层实验,包括第8章的DHCP实验和第9章DNS实验。本书既可作为高等院校计算机、软件工程等专业开设了“计算机网络”课程的本科生学习“计算机网络”的配套实验教材,也可作为对计算机网络设备感兴趣的初学者的入门教材,帮助学生更好地理解计算机网络重要知识点,增强学生的实际操作能力。全书所有实验设计和实验配置命令都由李伟键完成。本书由李伟键组织编写和统稿,其中第1章、第4章、第5.6小节、第8章和第9章由李伟键编写,第2章、第3章、第5章、第6章和第7章由张倩编写。本书在编写过程中参考了大量的计算机网络教材(尤其是谢希仁老师的《计算机网络》)、CCNA/CCNP实验教材,以及GNS3帮助文档、维基百科和百度文库等网络资料,在此一并对其作者致谢!由于时间上仓促以及作者水平的局限,书中难免有不妥和疏漏之处,恳请广大专家、老师和同学们批评指正。编者2016年10月
本章学习目标 掌握Ethernet交换机的作用、工作原理和配置方法; 掌握VLAN、VTP、STP和VLAN间路由的配置方法; 掌握对VLAN、VTP、STP和VLAN间路由配置的检查与测试; 能够使用Ethernet交换机相关技术实现网络互联。
本章首先向读者介绍Ethernet交换机的作用、工作原理和配置方法,接着分别介绍划分VLAN、VTP、STP和VLAN间路由技术的配置方法,这些技术在企业中得到了广泛的应用。3.1以太网交换机的基本工作原理和配置方法3.1.1理论知识与实验原理
Ethernet交换机(Ethernet Switch)采用以太网交换技术实现对报文的快速转发,它可以被理解为一个多接口的网桥,将以太网帧从一个交换机接口转发到另一个接口。以太网交换机的每个接口都直接与一个单个主机或另一个集线器相连,并且一般都工作在全双工方式。当主机需要通信时,交换机能同时连通许多对的接口,使每一对相互通信的主机都能像独占通信媒体那样,无碰撞地传输数据。Ethernet交换机属于数据链路层设备,可以识别数据包中的介质访问控制MAC(Media Access Control)地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的接口记录在自己内部的转发表中。1. Ethernet交换机的工作原理Ethernet交换机的工作原理可以概括为: “学习源地址,转发已知帧,广播未知帧,丢弃本网段”。具体的工作流程如下: (1) 当交换机从某个接口接收到一个数据帧,它先读取帧中的源MAC地址,从而得知源MAC地址的主机是连接在哪个接口上的。如果源MAC地址不在转发表中,就在转发表中登记该MAC地址和对应接口。(2) 再去读取帧的目的MAC地址,并在转发表中逐项查找是否存在该MAC地址。(3) 如果转发表中存在目的MAC地址,并且其对应接口与接收接口不是同一个接口,则把数据帧通过目的MAC地址对应的接口转发出去。(4) 如果转发表中目的MAC地址对应的接口与接收接口是同一个接口,则把数据帧直接丢弃不转发。(5) 如果转发表中不存在目的MAC地址,则把数据帧通过所有接口广播出去。当目的主机对源主机回应时,交换机又可以学习到一个目的MAC地址与对应接口,并写入转发表。在下次传送数据时就不再需要对所有接口进行广播了。这个过程不断循环,终全网的MAC地址的转发信息都可以学习到,交换机就是这样建立和维护它自己的转发表。2. 交换机IP地址和子网掩码这里所配置的交换机IP地址,是为了方便管理而配置的。交换机配置了IP地址以后,用户可以从网络的任何地方Telnet到交换机上对其进行管理。并且,配置了IP地址以后,用户还可以通过Web访问交换机,对其进行管理。这个IP地址仅用于管理,不属于交换机的任何接口。可以为每个VLAN提供一个管理地址,进入VLAN接口后使用“ip address ipaddress netmask”命令可以对此VLAN的IP地址和子网掩码进行配置(在没有划分VLAN之前,交换机中默认存在VLAN1)。3.1.2相关命令讲解1. ip address ipaddress netmask
命令用于配置交换机的IP地址和子网掩码。其中的ipaddress参数用来指定IP地址,netmask参数用来指定子网掩码。该命令用于接口配置模式Switch(configif)#下。命令使用示例:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.10 255.255.255.0
该命令为交换机的VLAN 1设置的IP地址为192.168.1.10,子网掩码为255.255.255.0。2. ip defaultgateway gateway命令用于配置交换机的默认网关。其中的gateway参数用来指定网关。该命令用于全局配置模式Switch(config)#下。命令使用示例:
Switch(config)#ip default-gateway 192.168.1.254
该命令为交换机设置默认网关为192.168.1.254。3. show macaddresstable命令用于查看交换机学习到的转发表。该命令用于特权模式Switch#下。命令使用示例:
Switch#show mac-address-table
该命令查看交换机学习到的转发表。4. show ip interface vlan vlanid命令用于查看交换机指定VLAN的管理地址配置信息。其中的vlanid参数用来指定VLAN ID,有效的VLAN ID范围是1~4094。该命令用于特权模式Switch#下。命令使用示例:
Switch#show ip interface vlan 1
该命令查看交换机VLAN 1的管理地址配置信息。3.1.3实验目的(1) 了解交换机的工作原理; (2) 掌握交换机的配置方法; (3) 掌握对交换机配置的检查与测试。3.1.4实验环境在图3.1所示的实验拓扑中,交换机SW采用Cisco 3640路由器模拟的“EtherSwitch router”以太网交换机(具体方法参见“1.3.2 GNS3模拟以太网交换机”),在slot1上插入一块NM16ESW的
图3.1交换机实验拓扑
16口10兆以太网卡以接入其所在的局域网。PC1和PC2采用Cisco 3640路由器模拟,分别在slot0上插入一块NM1FETX的1口100兆快速以太网卡以用于与交换机SW之间互联。
通过在交换机SW的VLAN 1上配置管理地址并提供Telnet服务,允许用户Telnet到SW上对其进行管理。要求通过适当的实验配置,使得PC1和PC2能互相Ping通; PC1和PC2能远程Telnet到SW上对其进行管理。3.1.5实验步骤(1) 主机PC1和PC2的基本配置。
PC1#configure terminal
PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.1.1 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.1.10
PC1(config)#exit
PC2#configure terminal
PC2(config)#no ip routing
PC2(config)#interface fastEthernet 0/0
PC2(config-if)#ip address 192.168.1.2 255.255.255.0
PC2(config-if)#no shutdown
PC2(config-if)#exit
PC2(config)#ip default-gateway 192.168.1.10
PC2(config)#exit
(2) 在交换机SW的VLAN 1上配置管理地址。
SW#conf t
SW(config)#int vlan 1
SW(config-if)#ip address 192.168.1.10 255.255.255.0
!—配置vlan 1的IP地址和子网掩码,该地址就是PC1和PC2的网关
SW(config-if)#no shutdown
SW(config-if)#exit
SW(config)#ip default-gateway 192.168.1.254!—配置交换机的默认网关
!—以上在交换机的VLAN 1上配置了管理地址,VLAN 1上的计算机可以直接Telnet该地址。设置默认网关是为了让其他网络的计算机也可以Telnet交换机。
SW(config)#line vty 0 4 !—多允许5个Telnet连接
SW(config-line)#password 123456 !—Telnet密码
SW(config-line)#login !—允许远程Telnet
SW(config-line)#exit
SW(config)#enable password 654321 !—Telnet时,从用户模式进入特权模式的密码
SW(config)#
(3) 利用“show ip interface vlan 1”命令查看交换机VLAN 1的管理地址配置信息。
SW#show ip interface vlan 1
Vlan1 is up, line protocol is up
Internet address is 192.168.1.10/24!—配置的IP地址和子网掩码
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
… !—以下省略
(4) 测试PC间的通信,PC1和PC2之间的互Ping。
PC1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max=20/48/164 ms
PC2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max=360/825/1284 ms
由于PC1和PC2属于VLAN 1,因此他们之间能相互Ping通。
(5) 在PC上远程登录SW。
PC1#telnet 192.168.1.10!—测试PC1远程登录SW
Trying 192.168.1.10 … Open
User Access Verification
Password:
SW>en
Password:
SW#
PC2#telnet 192.168.1.10 !—测试PC2远程登录SW
Trying 192.168.1.10 … Open
User Access Verification
Password:
SW>en
Password:
SW#
我们看到,PC可以Telnet到SW上对其进行管理。(6) 使用“show macaddresstable”命令查看交换机学习到的转发表。
SW#show mac-address-table
Destination AddressAddress TypeVLANDestination Port
———————————————
cc02.1354.0000 Dynamic 1 FastEthernet1/0
cc03.1808.0000 Dynamic 1 FastEthernet1/1
cc01.18f8.0000 Self 1 Vlan1
我们看到,以上的转发表中有交换机自动学习到的MAC条目,也有交换机自身的MAC条目。3.1.6扩展实验1. 实验环境
在图3.2所示的实验拓扑中,交换机SW和SW2采用Cisco 3640路由器模拟的EtherSwitch router以太网交换机,交换机SW和SW2的slot1上插入一块NM16ESW的16口10兆以太网卡以接入其所在的局域网。PC1、PC2、PC3和PC4采用Cisco 3640路由器模拟,分别在slot0上插入一块NM1FETX的1口100兆快速以太网卡以用于与交换机SW和SW2之间互联。
图3.2交换机扩展实验拓扑
2. 实验要求在交换机SW和SW2的VLAN 1上配置管理地址并提供Telnet服务,允许用户Telnet到SW和SW2上对其进行管理。要求通过适当的实验配置,使得PC1、PC2、PC3和PC4能互相Ping通; PC1、PC2、PC3和PC4能远程Telnet到SW和SW2上对其进行管理。3.2划分虚拟局域网3.2.1理论知识与实验原理
传统的共享介质以太网和交换式以太网中,所有的用户在同一个广播域中(广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻),会引起网络性能的下降,浪费宝贵的带宽资源,而且广播对网络性能的影响随着广播域的增大而迅速增强。此时的途径就是重新划分网络,把单一结构的大网划分成相互逻辑独立的小网。虚拟局域网(Virtual Local Area Network,VLAN),是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第三层的路由器来完成的。VLAN技术的出现,使得管理员根据实际应用需求把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围(如一个部门、一个办公室、一层/栋办公楼等)中。如图3.3所示就是一个对分布在各楼层的交换机划分不同VLAN的示例。示例中每个VLAN中的成员都是分布在不同楼层,而不像物理划分那样,仅在一个楼层或者一个部门。
图3.3VLAN划分示例
1. VLAN的优点1) 控制网络的广播问题一般交换机不能过滤局域网广播报文,因此在大型交换局域网环境中造成广播量拥塞,对网络带宽造成了极大的浪费。用户不得已用路由器分割他们的网络,此时路由器的作用是广播的“防火墙”。VLAN的主要优点之一是: 支持VLAN的交换机可以有效地控制广播流量,广播流量仅仅在VLAN内被复制,而不是整个交换机,从而提供了类似路由器的广播“防火墙”功能。2) 简化网络管理即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态地完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处。一个用户,无论他到哪里,他都能在不做任何修改的情况下接入网络,这种前景是非常美好的。当然,并不是所有的VLAN划分方法都能做到这一点。3) 提高网络的安全性由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。2. VLAN的划分方式用户可以根据自己的需要来选择不同的VLAN网段划分方式,但这并不是说用户可以不受限制地提出子网划分需求,还受到VLAN技术本身所支持的划分方式的限制。目前来说,常见的主要有下面介绍的这5种VLAN网段划分方式,用户只能选择其中的一种。1) 按接口划分这是一种从OSI/RM物理层角度进行的VLAN划分方式,也是常见的一种VLAN划分方式。它是将相同或者不同交换机中的某些接口定义为一个单独的区域,从而形成一个VLAN网段。同一VLAN网段中的计算机属于同一个VLAN组,不同VLAN组之间的用户进行通信需要通过路由器或者三层交换机进行。基于接口的划分方式是一种静态二层访问VLAN划分方式,其优点是配置起来非常方便,而且大多数品牌交换机都支持这一技术,所以实现起来成本较低,配置也非常简单。这种划分方式适用于网络环境比较固定的情况,因为它是基于接口的静态划分方式。不足之处是不够灵活,当一台计算机需要从一个接口移动到另一个新的接口,而新接口与旧接口不属于同一个VLAN时,需要修改接口的VLAN设置或在用户计算机上重新配置网络地址,这样才能加入到新的VLAN中; 否则,这台计算机将无法进行网络通信。
如图3.4所示的是在一个网络中将个交换机的2~5号接口和第二个交换机的1~4号接口划分为同一个VLAN网段(在此标记为VLAN 1); 而将个交换机的11~16号接口和第二个交换机的17~20号接口划分在另一个VLAN网段中(在此标记为VLAN 2)。
图3.4基于接口的VLAN划分示例
2) 按MAC地址划分VLAN这是从OSI/RM数据链路层角度进行的VLAN划分,是一种动态二层访问VLAN划分方式。每块网卡都有一个的硬件物理地址,即MAC地址。MAC地址是连接在网络中的每个设备网卡的物理地址,由IEEE控制。虽然说MAC地址可以在网络中虚拟修改,但在同一网络中仍不允许存在同一MAC地址号的网卡设备,否则终只允许一个正常工作,所以无论如何,在同一网络中每个正常工作的网卡MAC地址都是的。MAC地址属于数据链路层,以此作为划分VLAN的依据能很好地独立于网络层上的各种应用。按MAC地址定义的VLAN有其特有的优势,解决了前面介绍的按接口划分VLAN方式中存在的站点移动问题。因为MAC地址是捆绑在网卡上的,对于连接于交换机接口的工作站来说,在它们初始化时相应的交换机会在VLAN的管理信息库中检查MAC地址,从而动态地匹配该接口到相应的VLAN中,所以这种形式的VLAN允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种划分方式独立于网络的高层协议(如TCP/IP、IP、IPX等),因此从某种意义上讲,利用MAC地址定义VLAN网段可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确地分配一个VLAN,而且只有在完成初始化配置工作后设备才会实现对用户的自动跟踪。这样在一个拥有大量节点的大型网络中,如果要求管理员将每个用户都一一划分到某一个VLAN,并完成所有初始化配置,其工作量是可想而知的。注意: 目前Cisco设备中主要采用的就是以上两种VLAN划分方式,下面介绍的几种VLAN划分方式Cisco设备并没有相应的功能支持,而H3C(杭州华三通信技术有限公司)交换机则较好地支持了这几种VLAN划分方式。3) 基于网络层划分VLAN基于网络层来划分VLAN可以有两种方案: 一种是基于通信协议(如果网络中存在多协议)来划分; 另一种是基于网络层地址(常见的是TCP/IP中的子网段地址)来划分。如果是基于通信协议来划分,则VLAN网段可以划分为IPv4子网、IPv6子网、IPX子网、AppleTalk子网或者其他协议VLAN等,当然这通常只有大型网络中才可能存在。在这种划分方式中,同一协议的工作站被划分为一个VLAN,交换机检查广播帧的以太帧标题域,查看其协议类型,若已存在该协议的VLAN则加入源接口,否则创建一个新的VLAN。由此可以看出,这种VLAN划分方式具有非常高的智能,不但大大减少了人工配置VLAN的工作量,同时保证了用户自由地增加、移动和修改。不同网段上的站点可属于同一VLAN,在不同VLAN上的站点也可在同一网段上。如果采用基于网络层地址划分的方式,通常是根据用户计算机的IP地址、子网掩码、IPX网络号等来划分。同样它也具有以上采用网络协议划分VLAN网段的智能性,交换机会自动检查每个设备的IP地址、子网掩码或者IPX网络号,并自动划分。基于网络层划分VLAN的方式具有以下两个主要优势: 首先,网络用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户; 其次,这种类型的VLAN网络可以减少由于协议转换而造成的网络延迟。而且同一交换机接口可以被划分到多个VLAN网段中。当然也有一些自身的不足。与基于MAC地址划分VLAN方式相比,基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换,这需要消耗交换机设备较多的资源,因此在速度上稍显劣势。4) 基于IP广播组划分基于这种VLAN划分方式可将任何属于同一IP广播组的计算机划分到同一VLAN。任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而,他们的这种成员身份可根据实际需求保留一定的时间。因此,利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展规模。5) 基于策略的VLAN基于策略的VLAN是灵活的VLAN划分方式。这种方式具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),则当一个站点加入网络中时将会被发现并“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。采用这种方式,整个网络可以非常方便地通过路由器扩展规模。有的产品还支持一个接口上的主机分别属于不同的VLAN,这在交换机与共享式集线器共存的环境中显得尤为重要。自动配置VLAN时,交换机中的软件自动检查进入交换机接口的广播信息的IP源地址,然后软件自动将这个接口分配给一个由IP子网映射成的VLAN。3. Cisco IOS交换机的VLAN范围自Cisco IOS Release 12.2(25)EWA版本开始,Cisco交换机系列(如目前主流的Catalyst 3750、Catalyst 4500、Catalyst 4900和Catalyst 6500系列等)依据IEEE 802.1Q标准可以支持4096个VLAN。这些VLAN被分为三个范围: 保留(Reserved)、标准(或者常规/普通,Normal)和扩展(Extended)。这4096个VLAN的划分以及对传播的支持如表3.1所示。
表3.1VLAN范围划分及对传播的支持
VLAN ID范 围 类 型用途是否支持由VTP传播
0和4095保留(Reserved)仅用于系统,不能看到也不能使用这两个VLAN—1普通(Normal)Cisco设备接口默认的VLAN,可以看到该VLAN,但不能删除它支持2~1001普通(Normal)用于以太网VLAN,可以创建、删除这些VLAN支持1002~1005普通(Normal)Cisco默认用于FDDI和令牌环网络,不能删除这些VLAN支持1006~4094扩展(Extended)仅用于以太网VLAN不支持
4. 交换机的接口工作模式交换机的接口工作模式,一般可以分为三种: access,trunk和multi。(1) access模式: 主要用来接入终端设备,如PC、服务器、打印服务器等。(2) trunk模式: 主要用在连接其他交换机,以便在线路上承载多个VLAN。(3) multi模式: 在一个线路中承载多个VLAN,但不像trunk,它不对承载的数据打标签。主要用于接入支持多VLAN的服务器或者一些网络分析设备。现在基本不使用此类接口,在Cisco的网络设备中,也基本不支持此类接口了。3.2.2相关命令讲解1. vlan database
命令用于进入VLAN数据库配置模式。该命令用于特权模式Switch#下。命令使用示例:
Switch#vlan database
该命令进入VLAN数据库配置模式。2. vlan vlanid name vlanname命令用于通过指派一个VLAN ID和VLAN名称来创建或编辑一个VLAN。其中的vlanid参数用来指定VLAN ID,VLAN ID范围只能在1~1001范围中,即所创建的只能是普通范围VLAN; vlanname参数用来指定VLAN的名称。可用no vlan vlanid命令删除指定的VLAN。该命令用于VLAN数据库配置模式Switch(vlan)#下。命令使用示例:
Switch(vlan)#vlan 20 name test20
该命令创建了名为test20的以太网VLAN 20,并把它添加到VLAN数据库中。3. exit命令用于退出VLAN数据库模式,使创建的VLAN立即生效。该命令用于VLAN数据库配置模式Switch(vlan)#下。命令使用示例:
Switch(vlan)#exit
该命令更新VLAN数据库,并退出VLAN数据库模式。4. switchport mode access命令用于把交换机接口配置为access访问模式。该命令用于接口配置模式Switch(configif)#下。命令使用示例:
Switch(config)#interface f1/1
Switch(config-if)#switchport mode access
该命令把交换机接口f1/1配置为access访问模式。5. switchport access vlan vlanid命令用于把交换机接口划分到VLAN中。其中的vlanid参数用来指定VLAN ID,有效的VLAN ID范围是1~4094。该命令用于接口配置模式Switch(configif)#下。命令使用示例:
Switch(config)#interface f1/1
Switch(config-if)#switchport access vlan 20
该命令把交换机接口f1/1划分到VLAN 20中。6. switchport mode trunk命令用于把交换机接口配置为trunk模式。该命令用于接口配置模式Switch(configif)#下。命令使用示例:
Switch(config)#interface f1/1
Switch(config-if)#switchport mode trunk
该命令把交换机接口f1/1配置为trunk模式。7. switchport trunk encapsulation dot1q命令用于配置Trunk链路的封装协议类型,同一链路的两端封装要相同。该命令用于接口配置模式Switch(configif)#下。命令使用示例:
Switch(config-if)#switchport trunk encapsulation dot1q
该命令配置Trunk链路的封装协议类型为802.1Q。8. show vlanswitch命令用于查看VLAN的信息以及每个VLAN上有什么接口。该命令用于特权模式Switch#下。命令使用示例:
Switch#show vlan-switch
该命令查看VLAN的信息以及每个VLAN上有什么接口。9. show interface interfaceid trunk命令用于查看交换机接口的trunk状态。其中的interfaceid参数用来指定交换机接口。该命令用于特权模式Switch#下。命令使用示例:
Switch#show interface f1/12 trunk
该命令查看交换机接口f1/12的trunk状态。3.2.3实验目的(1) 了解VLAN的工作原理; (2) 掌握VLAN的划分方法; (3) 掌握对VLAN划分的检查与测试; (4) 能够使用VLAN技术实现同一VLAN内的用户可以相互通信,不同VLAN的用户不能直接通信。3.2.4实验环境
在图3.5所示的实验拓扑中,交换机SW1和SW2采用Cisco 3640路由器模拟的“EtherSwitch router”以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。4台PC采用VPCS模拟。
图3.5划分VLAN实验拓扑
通过在交换机SW1和SW2上分别创建两个虚拟局域网VLAN10和VLAN20,并将SW1的f1/1接口和SW2的f1/1接口划分到VLAN10,将SW1的f1/2接口和SW2的f1/2接口划分到VLAN20,实现基于接口的VLAN划分。要求通过适当的实验配置,使得PC1和PC3划分到VLAN10中,并且能互相Ping通; PC2和PC4划分到VLAN20中,并且能互相Ping通; PC1和PC2、PC3和PC4之间不能互相Ping通。3.2.5实验步骤(1) 主机PC1和PC2的基本配置,并从PC1 Ping PC2进行通信测试。
PC1>ip 192.168.1.1 255.255.255.0!—配置PC1的IP和子网掩码
Checking for duplicate address…
PC1 : 192.168.1.1 255.255.255.0 !—提示PC1的配置已修改成功
PC2>ip 192.168.1.2 255.255.255.0 !—配置PC2的IP和子网掩码
Checking for duplicate address…
PC2 : 192.168.1.2 255.255.255.0 !—提示PC2的配置已修改成功
PC1>ping 192.168.1.2 !—PC1 ping PC2
84 bytes from 192.168.1.2 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.1.2 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.1.2 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.1.2 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.1.2 icmp_seq=5 ttl=64 time=0.000 ms
默认时,交换机的全部接口都在VLAN1上,所以PC1可以Ping通PC2。(2) 在交换机SW1上创建VLAN。
SW1#vlan database!—进入vlan配置模式
SW1(vlan)#vlan 10 name VLAN10 !—创建VLAN10
VLAN 10 added:
Name: VLAN10
SW1(vlan)#vlan 20 name VLAN20 !—创建VLAN20
VLAN 20 added:
Name: VLAN20
SW1(vlan)exit
Apply completed.
Exiting…. !—退出VLAN模式,创建的VLAN立即生效
(3) 把接口划分到VLAN中。
SW1#conf t
SW1(config)#inter f1/1
SW1(config-if)#switch mode access!—将接口f1/1配置为access模式
SW1(config-if)#switch access vlan 10
SW1(config-if)#no shutdown
!—接口f1/1划分到了VLAN10中
SW1(config-if)exit
SW1(config)#inter f1/2
SW1(config-if)#switch mode access !—将接口f1/2配置为access模式
SW1(config-if)#switch access vlan 20
SW1(config-if)#no shutdown
!—接口f1/2划分到了VLAN20中
(4) 利用“show vlanswitch”命令查看当前VLAN的信息。
SW1#show vlan-switch
VLANNameStatusPorts
——————————– ————————-
1 defaultactiveFa1/0, Fa1/3, Fa1/4, Fa1/5
Fa1/6, Fa1/7, Fa1/8, Fa1/9
Fa1/10, Fa1/11, Fa1/13, Fa1/14
Fa1/15
10 vlan10activeFa1/1
20 vlan20activeFa1/2
1002 fddi-defaultactive
1003 token-ring-defaultactive
1004 fddinet-defaultactive
1005 trnet-defaultactive
!—在交换机上,VLAN1是默认VLAN,不能删除,也不能改名。此外,还有1002和1003等VLAN的存在
(5) 测试VLAN间的通信,PC1和PC2之间的互Ping。
PC1>ping 192.168.1.2
host (192.168.1.2) not reachable
PC2>ping 192.168.1.1
host (192.168.1.1) not reachable
由于f1/1和f1/2属于不同的VLAN,即PC1和PC2属于不同的VLAN,因此他们之间互Ping不通。(6) 在PC3、PC4和SW2上扩展上述实验,配置PC3和PC4的IP地址和子网掩码,在SW2上创建VLAN,并分别将接口f1/1和f1/2划分到相应的VLAN10和VLAN20中。
!—配置PC3和PC4的IP和子网掩码
PC3>ip 192.168.1.3 255.255.255.0!—配置PC3的IP和子网掩码
Checking for duplicate address…
PC3 : 192.168.1.3 255.255.255.0 !—提示PC3的配置已修改成功
PC4>ip 192.168.1.4 255.255.255.0 !—配置PC4的IP和子网掩码
Checking for duplicate address…
PC4 : 192.168.1.4 255.255.255.0 !—提示PC4的配置已修改成功
!—在SW2上创建VLAN
SW2#vlan database!—进入vlan配置模式
SW2(vlan)#vlan 10 name VLAN10 !—创建VLAN10
VLAN 10 added:
Name: VLAN10
SW2(vlan)#vlan 20 name VLAN20 !—创建VLAN20
VLAN 20 added:
Name: VLAN20
SW2(vlan)exit
Apply completed.
Exiting…. !—退出VLAN模式,创建的VLAN立即生效
!—分别将接口f1/1和f1/2划分到相应的VLAN10和VLAN20中
SW2#conf t
SW2(config)#inter f1/1
SW2(config-if)#switch mode access !—将接口f1/1配置为access模式
SW2(config-if)#switch access vlan 10
SW2(config-if)#no shutdown
!—接口f1/1划分到了VLAN10中
SW2(config-if)exit
SW2(config)#inter f1/2
SW2(config-if)#switch mode access !—将接口f1/2配置为access模式
SW2(config-if)#switch access vlan 20
SW2(config-if)#no shutdown
!—接口f1/2划分到了VLAN20中
(7) 在SW1和SW2的接口f1/12上配置Trunk。
SW1#conf t
SW1(config)#interface f1/12
SW1(config-if)#switchport trunk encapsulation dot1q
!—配置Trunk链路的封装类型,同一链路的两端封装要相同。有的交换机例如2950只能封装dot1q。
SW1(config-if)#switch mode trunk!—将接口f1/12配置为Trunk模式
SW2#conf t
SW2(config)#interface f1/12
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switch mode trunk
(8) 检查Trunk链路的状态,测试跨交换机、同一VLAN主机间的连通性。
SW1#show int f1/12 trunk
PortModeEncapsulationStatusNative vlan
Fa1/12on802.1qtrunking1
PortVlans allowed on trunk
Fa1/121-1005
PortVlans allowed and active in management domain
Fa1/121,10,20
PortVlans in spanning tree forwarding state and not pruned
Fa1/121,10,20
PC1>ping 192.168.1.3
84 bytes from 192.168.1.3 icmp_seq=1 ttl=64 time=2.001 ms
84 bytes from 192.168.1.3 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.3 icmp_seq=3 ttl=64 time=3.000 ms
84 bytes from 192.168.1.3 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.1.3 icmp_seq=5 ttl=64 time=3.000 ms
PC3>ping 192.168.1.1
84 bytes from 192.168.1.1 icmp_seq=1 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=3 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=5 ttl=64 time=3.000 ms
PC2>ping 192.168.1.4
84 bytes from 192.168.1.4 icmp_seq=1 ttl=64 time=2.000 ms
84 bytes from 192.168.1.4 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.4 icmp_seq=3 ttl=64 time=3.000 ms
84 bytes from 192.168.1.4 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.1.4 icmp_seq=5 ttl=64 time=3.001 ms
PC4>ping 192.168.1.2
84 bytes from 192.168.1.2 icmp_seq=1 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=3 ttl=64 time=3.001 ms
84 bytes from 192.168.1.2 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=5 ttl=64 time=3.000 ms
我们看到,f1/12接口处于Trunk状态,并且封装的是802.1q,允许1~1005的VLAN数据通过。由于PC1和PC3在同一VLAN上,所以PC1和PC3能相互Ping通,PC2和PC4在同一VLAN上,所以PC2和PC4能相互Ping通。3.2.6扩展实验1. 实验环境
在图3.6所示的实验拓扑中,交换机SW1、SW2和SW3采用Cisco 3640路由器模拟的“EtherSwitch router”以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。6台PC采用VPCS模拟。
图3.6划分VLAN扩展实验拓扑
2. 实验要求扩展实验要求在交换机SW1、SW2和SW3上分别创建两个虚拟局域网VLAN10和VLAN20,并将SW1的f1/1接口、SW2的f1/1接口和SW3的f1/1接口划分到VLAN10,将SW1的f1/2接口、SW2的f1/2接口和SW3的f1/2接口划分到VLAN20,实现基于接口的VLAN划分。要求通过适当的配置,使得PC1、PC3和PC5划分到VLAN10中,并且能互相Ping通; PC2、PC4和PC6划分到VLAN20中,并且能互相Ping通; PC1和PC2、PC3和PC4、PC5和PC6之间不能互相Ping通。3.3VTP原理与配置3.3.1理论知识与实验原理
如“3.2划分虚拟局域网VLAN”所述,为网络划分多个VLAN时,需事先在每台交换机创建这些VLAN。如果网络中的交换机数量和VLAN数量较多,需要在每一台交换机上重复创建所有VLAN的操作,这样的重复操作非常烦琐且工作量让人无法忍受。VLAN中继协议(VLAN Trunk Protocol,VTP)是Cisco专用的一种用于维护和管理(如VLAN添加、删除和重命名)动态VLAN(如基于MAC地址、IP地址、网络协议、VLAN管理策略等划分方式的VLAN)的二层消息的协议。简单一点说,VTP就是用来在中继链路上自动传播、交换VLAN配置信息(它是通过VTP服务器的VTP通告进行的),使得同一个VTP域中的交换机VLAN配置保持一致的一种二层协议。使用VTP的好处是它可以实现在一台交换机(VTP服务器)上配置好VLAN后,同一VTP域中的其他交换机(VTP客户端)可以自动通过VTP协议学习,创建与VTP服务器相同ID、名称和配置的VLAN,这样就大大减轻了重复创建、配置VLAN的工作量,还可以减少多重配置和可能会引起各种问题的配置冲突,如重复的VLAN名、不正确的VLAN类型说明和安全配置。如果只是想在各交换机上手动创建基于静态访问接口类型的标准范围VLAN,则不需要启用VTP。使用VTP,就可以在一台交换机上集中进行VLAN配置操作,所做的变更会被自动传播到网络中所有其他的交换机上(前提是在同一个VTP域)。为了实现此功能,必须先建立一个VTP管理域,以使它能管理当前网络上的VLAN。在同一管理域中的交换机共享它们的VLAN信息,并且一个交换机只能参加到一个VTP管理域,不同域中的交换机不能共享VTP信息。VTP工作模式主要有三种。要使用VTP协议传播VLAN配置信息,必须为网络中的交换机配置以下VTP工作模式中的一种: 1. 服务器模式使用VTP,首先必须配置VTP服务器。VTP服务器(Server)模式是交换机的默认模式(但是初始状态下没有配置VTP域名),在没有加入具体VTP域前,每一台交换机都处于VTP服务器模式。所有需要共享VLAN信息的VTP服务器交换机必须使用相同的VTP域名。在VTP服务器模式中,可以创建、修改和删除VLAN,并且可以为整个VTP域指定其他配置参数(如VTP版本和VTP修剪)。同时,VTP服务器可以通告它们的VLAN配置到同一个VTP域中的其他网络设备,并且通过中继链路发送VTP通告消息,同步网络中的其他设备的VLAN配置。换句话说,也就是在VTP域中,只能在处于VTP服务器模式的交换机上创建、删除VLAN配置信息,而不能在处于其他VTP模式的交换机上进行VLAN创建、删除VLAN操作,否则这些VLAN配置信息的更改也不会在VTP域中通告。2. 客户端模式VTP客户机与VTP服务器一样可以通告和接收VTP更新,只是它不能创建、删除、更改VTP域中的VLAN。VTP客户端(Client)接收来自VTP服务器的通告信息,以保持与VTP服务器的VLAN配置信息同步; 同时,它也可以转发来自VTP服务器的通告消息。在VTP版本1和版本2的VTP客户端模式中,VLAN配置是不保存在NVRAM中的,而在VTP版本3中,VLAN配置则保存在NVRAM中。3. 透明模式工作于VTP透明(Transparent)模式的交换机自动忽略VTP。因为它根本不是VTP成员,这样它就不能通告它的VLAN配置,尽管可以接收,但不能基于接收到的通告与网络中的其他交换机一起同步它的VLAN配置。也就是说,实际上工作于透明模式的交换机只担当VTP通告转发的任务,本身不应用VTP通告中的配置。对VTP透明模式的交换机,用户可以创建、修改和删除本地交换机中的VLAN,但是这些VLAN的变更不会传播给网络中的其他交换机。在VTP版本1和版本2中,如果要创建扩展范围VLAN或PVLAN,必须配置交换机为VTP透明模式。而在VTP版本3中,扩展范围VLAN和PVLAN都可在VTP客户端或服务器模式下创建。但是更改不会发送到域中的其他交换机上,只能作用于本交换机。当交换机工作在VTP透明模式下时,VTP和VLAN配置保存在NVRAM中,但不通告给其他交换机。VTP模式和VTP域名保存在当前运行配置文件中,用户可以通过“copy runningconfig startupconfig”特权模式命令把它们保存到启动配置文件中。3.3.2相关命令讲解1. vtp domain domain_name
命令用于配置VTP域的名字。其中的domain_name参数用来指定VTP域的名字。该命令用于VLAN数据库配置模式Switch(vlan)#下。命令使用示例:
Switch(vlan)#vtp domain VTP-test
该命令配置VTP域名为VTPtest。2. vtp password npassword命令用于为VTP域配置密码。其中的npassword参数用来指定VTP域的密码。可用“no vtp password”命令取消所设置的VTP密码。该命令用于VLAN数据库配置模式Switch(vlan)#下。命令使用示例:
Switch(vlan)#vtp password Cisco
该命令为VTP域配置密码为Cisco。3. vtp {client | server | transparent}命令用于指定交换机的VTP模式。其中的client参数用来指定VTP模式为Client客户端模式,三选一选项; server参数用来指定VTP模式为Server服务器模式,三选一选项; transparent参数用来指定VTP模式为Transparent透明模式,三选一选项。该命令用于VLAN数据库配置模式Switch(vlan)#下。命令使用示例: 1) Switch(vlan)#vtp client该命令指定交换机的VTP模式为Client客户端模式。2) Switch(vlan)#vtp server该命令指定交换机的VTP模式为Server服务器模式。3) Switch(vlan)#vtp transparent该命令指定交换机的VTP模式为Transparent透明模式。4. show vtp status命令用于查看VTP信息。该命令用于特权模式Switch#下。命令使用示例:
Switch#show vtp status
该命令查看VTP的信息。3.3.3实验目的(1) 了解VTP的工作原理; (2) 掌握VTP的配置方法; (3) 掌握对VTP配置的检查与测试; (4) 能够使用VTP技术实现VLAN管理。3.3.4实验环境
在图3.7所示的实验拓扑中,交换机SW1、SW2和SW3采用Cisco 3640路由器模拟的“EtherSwitch router”以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。4台PC采用VPCS模拟。
图3.7VTP实验拓扑
通过在交换机SW1上配置VTP模式为Server服务器模式,来创建和管理两个虚拟局域网VLAN 10和VLAN 20,并将SW1的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。在SW2和SW3上配置VTP模式为Client客户端模式,接收来自VTP服务器SW1的通告信息,以保持与SW1的VLAN配置信息同步,同时转发此通告消息,并将SW2的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。要求通过适当的实验配置,使得PC1和PC3划分到VLAN 10中,并且能互相Ping通; PC2和PC4划分到VLAN 20中,并且能互相Ping通; PC1和PC2、PC3和PC4之间不能互相Ping通。3.3.5实验步骤(1) 查看SW1、SW2和SW3三台交换机的VLAN划分情况。
SW1#show vlan-switch
VLANNameStatusPorts
—- ———————————————-
1defaultactiveFa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
1002fddi-default active
1003token-ring-defaultactive
1004fddinet-defaultactive
1005trnet-defaultactive
!—同理用show vlan-switch可查看其他交换机的VLAN划分情况
我们看到,默认时,交换机的全部接口都在VLAN 1上。VLAN 1是默认VLAN,不能删除,也不能改名。此外,还有1002和1003等VLAN的存在。(2) 在SW1与SW2,SW2与SW3之间的链路上配置Trunk。
!—在SW1的接口f1/12和SW2的接口f1/12上配置Trunk
SW1#conf t
SW1(config)#interface f1/12
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switch mode trunk!—将接口f1/12配置为Trunk模式
SW1(config-if)#no shutdown
SW2#conf t
SW2(config)#interface f1/12
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switch mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#exit
!—在SW2的接口f1/11和SW3的接口f1/11上配置Trunk
SW2(config)#interface f1/11
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#end
SW3#conf t
SW3(config)#interface f1/11
SW3(config-if)#switchport trunk encapsulation dot1q
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shutdown
SW3(config-if)#end
(3) 配置VTP服务器和客户端,配置SW1为VTP Server,配置SW2和SW3为VTP Client。
SW1#vlan database
SW1(vlan)#vtp server!—配置SW1为VTP server,实际上这是默认值
SW1(vlan)#vtp domain vtp-test !—配置VTP域名为vtp-test
SW1(vlan)#vtp password 123456 !—配置VTP域的密码为123456
SW1(vlan)#exit
SW2#vlan database
SW2(vlan)#vtp client !—配置SW2为VTP client
SW2(vlan)#vtp domain vtp-test
SW2(vlan)#vtp password 123456
SW2(vlan)#exit
SW3#vlan database
SW3(vlan)#vtp client !—配置SW3为VTP client
SW3(vlan)#vtp domain vtp-test
SW3(vlan)#vtp password 123456
SW3(vlan)#exit
(4) 在VTP服务器SW1上创建VLAN,检查SW2和SW3上的VLAN信息。
SW1#vlan database!—进入vlan配置模式
SW1(vlan)#vlan 10 name vlan10 !—创建vlan10
VLAN 10 added:
Name: vlan10
SW1(vlan)#vlan 20 name vlan20 !—创建vlan20
VLAN 20 added:
Name: vlan20
SW1(vlan)#exit
APPLY completed.
Exiting….
!—用show vlan-switch命令查看到SW2上的VLAN信息
SW2#show vlan-switch
VLANNameStatusPorts
—————————————————-
1defaultactiveFa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/13
Fa1/14, Fa1/15
10vlan10active
20vlan20active
1002fddi-defaultactive
1003token-ring-defaultactive
1004fddinet-defaultactive
1005trnet-defaultactive
!—用show vlan-switch命令查看到SW3上的VLAN信息
SW3#show vlan-switch
VLANNameStatusPorts
—————————————————-
1defaultactiveFa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/12
Fa1/13, Fa1/14, Fa1/15
10vlan10active
20vlan20active
1002fddi-defaultactive
1003token-ring-defaultactive
1004fddinet-defaultactive
1005trnet-defaultactive
我们看到,SW2和SW3已经学习到了在SW1上创建的VLAN 10和VLAN 20。(5) 主机PC1、PC2、PC3以及PC4的基本配置。
PC1>ip 192.168.1.1 255.255.255.0!—配置PC1的IP和子网掩码
Checking for duplicate address…
PC1 : 192.168.1.1 255.255.255.0 !—提示PC1的配置已修改成功
PC2>ip 192.168.2.1 255.255.255.0!—配置PC2的IP和子网掩码
Checking for duplicate address…
PC2 : 192.168.2.1 255.255.255.0 !—提示PC2的配置已修改成功
PC3>ip 192.168.1.2 255.255.255.0 !—配置PC3的IP和子网掩码
Checking for duplicate address…
PC3 : 192.168.1.2 255.255.255.0 !—提示PC3的配置已修改成功
PC4>ip 192.168.2.2 255.255.255.0 !—配置PC4的IP和子网掩码
Checking for duplicate address…
PC4 : 192.168.2.2 255.255.255.0 !—提示PC4的配置已修改成功
(6) 在SW1、SW2上,分别将接口f1/1和f1/2划分到相应的VLAN 10和VLAN 20中,并测试PC间的连通性。
SW1#configure terminal
SW1(config)#interface f1/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10!—接口f1/1划分到了vlan10中
SW1(config-if)#no shutdown
SW1(config-if)#interface f1/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20 !—接口f1/2划分到了vlan20中
SW1(config-if)#no shutdown
SW2#configure terminal
SW2(config)#interface f1/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10 !—接口f1/1划分到了vlan10中
SW2(config-if)#no shutdown
SW2(config-if)#interface f1/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 20 !—接口f1/2划分到了vlan20中
SW2(config-if)#no shutdown
!—测试VLAN间的通信,PC1和PC2之间的互ping,PC3和PC4之间的互ping。
PC1>ping 192.168.2.1
host (192.168.2.1) not reachable
PC2>ping 192.168.1.1
host (192.168.1.1) not reachable
PC3>ping 192.168.2.2
host (192.168.2.2) not reachable
PC4>ping 192.168.1.2
host (192.168.1.2) not reachable
!—测试跨交换机、同一VLAN主机间的通信,PC1和PC3之间的互ping,PC2和PC4之间的互ping。
PC1>ping 192.168.1.2
84 bytes from 192.168.1.2 icmp_seq=1 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=3 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.1.2 icmp_seq=5 ttl=64 time=3.000 ms
PC3>ping 192.168.1.1
84 bytes from 192.168.1.1 icmp_seq=1 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=3 ttl=64 time=3.000 ms
84 bytes from 192.168.1.1 icmp_seq=4 ttl=64 time=3.001 ms
84 bytes from 192.168.1.1 icmp_seq=5 ttl=64 time=3.000 ms
PC2>ping 192.168.2.2
84 bytes from 192.168.2.2 icmp_seq=1 ttl=64 time=2.000 ms
84 bytes from 192.168.2.2 icmp_seq=2 ttl=64 time=3.000 ms
84 bytes from 192.168.2.2 icmp_seq=3 ttl=64 time=3.001 ms
84 bytes from 192.168.2.2 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.2.2 icmp_seq=5 ttl=64 time=1.000 ms
PC4>ping 192.168.2.1
84 bytes from 192.168.2.1 icmp_seq=1 ttl=64 time=3.000 ms
84 bytes from 192.168.2.1 icmp_seq=2 ttl=64 time=2.000 ms
84 bytes from 192.168.2.1 icmp_seq=3 ttl=64 time=1.000 ms
84 bytes from 192.168.2.1 icmp_seq=4 ttl=64 time=3.000 ms
84 bytes from 192.168.2.1 icmp_seq=5 ttl=64 time=3.001 ms
由于PC1和PC2属于不同的VLAN,所以他们之间互Ping不通,PC3和PC4属于不同的VLAN,所以他们之间互Ping不通。由于PC1和PC3在同一VLAN上,所以PC1和PC3能相互Ping通,PC2和PC4在同一VLAN上,所以PC2和PC4能相互Ping通。(7) 用“show vtp status”命令查看VTP信息。
SW1#show vtp status
VTP Version: 2 !—该VTP支持版本 2
Configuration Revision : 1 !—修订号为1,该数值非常重要
Maximum VLANs supported locally : 256
Number of existing VLANs : 7 !—VLAN数量
VTP Operating Mode : Server !—VTP模式
VTP Domain Name : vtp-test !—VTP域名
VTP Pruning Mode : Disabled !—VTP修剪没有启用
VTP V2 Mode : Disabled !—VTP版本2没有启动,现在是版本1
VTP Traps Generation : Disabled
MD5 digest : 0x41 0xF7 0x9B 0x43 0x7A 0x64 0xEB 0x8B
Configuration last modified by 0.0.0.0 at 3-1-02 02:20:53
Local updater ID is 0.0.0.0 (no valid interface found)
!—同理用show vtp status可查看其他交换机的VTP信息。
3.3.6扩展实验1. 实验环境
在图3.8所示的实验拓扑中,交换机SW1、SW2和SW3采用Cisco 3640路由器模拟的EtherSwitch router以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。6台PC采用VPCS模拟。
图3.8VTP扩展实验拓扑
2. 实验要求扩展实验要求在交换机SW1上配置VTP模式为Server服务器模式,来创建和管理两个虚拟局域网VLAN 10和VLAN 20,并将SW1的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。在SW2和SW3上配置VTP模式为Client客户端模式,接收来自VTP服务器SW1的通告信息,以保持与SW1的VLAN配置信息同步,同时转发此通告消息,并将SW2的f1/1接口和SW3的f1/1接口划分到VLAN 10,将SW2的f1/2接口和SW3的f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。要求通过适当的配置,使得PC1、PC3和PC5划分到VLAN 10中,并且能互相Ping通; PC2、PC4和PC6划分到VLAN 20中,并且能互相Ping通; PC1和PC2、PC3和PC4、PC5和PC6之间不能互相Ping通。3.4STP原理与配置3.4.1理论知识与实验原理
为了增加局域网的冗余性,我们常常会在网络中引入冗余链路,然而这样却会引起交换环路。交换环路会带来三个问题: 广播风暴、同一帧的多个拷贝以及交换机的MAC地址与端口的映射表(Context Address Map,CAM)表不稳定。生成树协议(Spanning Tree Protocol,STP)是用来在冗余网络中阻止环路出现的一种与VLAN密切相关的技术。通过它,可以在需要时确保网络中的冗余链路立即激活使用,接替失效的主链路,而在正常工作时,冗余链路又处于阻塞状态,不产生网络环路的“树”型数据转发路径。STP是通过把网络中的交换机(也称为网桥,网桥是交换机的前身,以前的网桥多有8个端口,后来被交换机替代,但我们仍然沿用网桥这个名词)指定为不同角色,然后又把交换机上的各端口指定为不同状态; 同时定义了活动链路中所必需的端口状态、端口状态转换条件以及数据转发路径来实现以上功能的。IEEE 802.1d是早关于STP的标准,它提供了网络的动态冗余切换机制。STP使用户能在网络设计中部署备份线路,并且保证: (1) 在主线路正常工作时,备份线路是关闭的。(2) 在主线路出现故障时能自动备份线路,切换数据流。1. STP基本思想在网桥之间传递特殊的消息(配置消息),包含足够的信息以完成如下工作: (1) 从网络中的所有网桥中,选出一个作为根网桥; (2) 计算本网桥到根网桥的短路径; (3) 对每个LAN,选出离根桥近的那个网桥作为指定网桥,负责所在LAN上的数据转发; (4) 网桥选择一个根端口,通过该端口网桥到达根桥的路径; (5) 选择除根端口之外的包含于生成树上的端口为指定端口; (6) 堵塞所有其他端口。2. STP相关概念(1) 根网桥(Root Bridge,RB): 从网络中所有的网桥中选择一个根网桥作为属性拓扑的树根(一个交换网络中有且只有一个根桥交换机)。(2) 根端口(Root Port,RP): 在非根网桥中距离根网桥路径开销小的端口(每一台非根桥交换机有且只有一个根端口)。(3) 指定端口(Designated Port,DP): 在一个网段中连接到该网段的网桥端口,它在该段网上向根交换机发送流量并从根交换机上接收流量(每一个网段有且只有一个指定端口)。(4) 阻塞端口: 每个非指定端口将成为阻塞端口。(5) 短路径开销: 本网桥到根网桥的短路径。 (6) 网段: 星型网络对应于一个交换机端口,总线型网络对应于一条总线。(7) 指定网桥(Designated Bridge,DB): 距离根网桥近的网桥,它负责处理所在网段到根网桥的数据转发。(8) 网桥协议数据单元(Bridge Protocol Data Unit,BPDU): STP要在交换机之间运行,交换配置信息,靠的就是BPDU。在STP中,有两种类型的BPDU: 一种是配置BPDU,用于交换机配置信息,它是由根网桥始发的,其类型值为0x00; 另一种是拓扑结构改变通告(TCN)BPDU,专用于在STP拓扑结构发生改变时发送。TCN BPDU是由非根网桥始发的,其类型值为0x80。(9) 网桥ID: 网桥ID由两部分组成: 网桥优先级(2字节)和网桥MAC地址(6字节)。网桥优先级默认为32768,可指定优先级为4096的倍数,优先级值越小优先级越高。如果两个交换机有相同的优先级,那么较低的MAC地址就决定有较低的网桥ID。(10) 网桥端口ID: 网桥端口ID有16位,它是由端口优先级(8位)和端口编号(8位)组成的,其中端口优先级的取值范围是0~240,默认值是128,可以修改,但必须是16的倍数。(11) 路径开销cost: 非根网桥到根网桥的路径上所有链路的成本之和。表3.2为不同带宽链路的链路开销。
表3.2不同带宽链路的链路开销
Link SpeedCost(Revised IEEE Spec)Cost(Previous IEEE Spec)
10 Gbps211 Gbps41100 Mbps191010 Mbps100100
3. STP角色选举生成树(Spanning Tree,ST)的工作方式是为交换机和端口分配角色,以确保在任何时刻交换网络中点与点之间只有一条路径。它所分配的端口角色包括根网桥、指定网桥、根端口、指定端口和非指定端口。当交换机次启动时就开始了根交换机的选举过程。每个交换机基于每VLAN方式传递一个BPDU到直接连接的交换机上。因为BPDU是通过网络传递的,所以每个交换机会把自己的BPDU与接收到的BPDU进行比较,然后交换机对哪台机成为根交换机达成一致意见。在网络中具有更低网桥ID的交换机将成为根交换机,赢得选举。上述STP角色选举的基本过程如下: (1) 根网桥。在整个交换网络中选举一个根网桥,即选举一个根交换机。每个交换网络中只能有一个网桥担当根网桥。它是通过比较网桥的BPDU信息来选举的。在BPDU中包括了网桥ID,具有更低网桥ID的交换机将成为根网桥。(2) 根端口。确定了根网桥后,网络中其他交换机就成为非根网桥了。此时再为所有非根网桥选举根端口。根端口可以发送和接收配置BPDU,或者接收BPDU消息包。选择根端口的依据: ① 到达根网桥的路径开销cost小。② 直连网桥的网桥ID值小。如果有多条等价路径,那么非根网桥先根据所直接连接的网桥的网桥ID来选择,选择连接网桥ID值小的网桥的端口作为根端口。③ 直连网桥的端口ID值小。如果所连接的网桥的网桥ID都一样(也就是一台交换机与另一台交换机之间有两个或以上端口直接连接),则再根据所连网桥的端口ID值小的那个端口作为根端口。(3) 指定端口,指定网桥。在各个网段中选举一个指定端口。指定端口所在的交换机就是指定网桥,亦即指定交换机。指定端口是相应网段所有端口中到达根网桥的路径开销的端口。在根网桥上,所有的端口都为指定端口,因为他们各自所代表的网段中到达根网桥的路径为0。非根网桥上选择指定端口的依据: ① 到达根网桥的路径开销cost小。② 端口所在网桥的网桥ID值小。如果有多条等价路径,那么先根据端口所在网桥的网桥ID来选择,选择所在网桥ID值小的端口作为指定端口。③ 直连网桥的端口ID值小。根据所连网桥的端口ID值小的那个端口作为指定端口。(4) 非指定端口(阻塞端口)。在STP中,除了根端口和指定端口外的交换端口都属于非指定端口,非指定端口是处于阻塞状态的,不能接收和发送配置信息和BPDU。4. STP端口状态在STP中,各种类型的端口都有与其对应的工作状态。STP中端口存在以下5种状态: (1) 阻塞(Blocking): 不接收或转发数据,接收但不发送BPDUs,不进行地址学习; (2) 侦听(Listening): 这是端口自阻塞状态后的个过渡状态。不接收或转发数据,接收并发送BPDUs,不进行地址学习; (3) 学习(learning): 不接收或转发数据,接收并发送BPDUs,开始地址学习; (4) 转发(Forwarding): 接收并转发数据,接收并发送BPDUs,进行地址学习; (5) 禁止(Disabled): 不收发任何报文,不参与STP。以上状态的端口在数据通信中可进行以下5个状态转变过程: (1) 从初始化到阻塞状态; (2) 从阻塞到侦听或者禁用状态; (3) 从侦听到学习或者禁用状态; (4) 从学习到转发或者禁用状态; (5) 从转发到禁用状态。5. STP默认配置STP是初的生成树技术,通常是指单生成树,也就是一个VLAN对应一个生成树实例,配置的STP属性只在对应的VLAN中应用。默认时,Cisco交换机会为每个VLAN都生成一个单独的STP树,称为PVST(Per VLAN Spanning Tree)。支持STP的交换机都有一个默认配置,实际应用的配置都是基于这个默认配置进行修改的。表3.3为交换机的默认STP配置。
表3.3STP默认配置
特征默认值
启用状态所有VLAN都启用STP,可开启128个生成树实例桥优先值32768STP端口优先级128STP端口开销千兆以太网为4,快速以太网为19,以太网为100STP VLAN端口优先级128STP VLAN端口开销千兆以太网为4,快速以太网为19,以太网为100发送Hello消息的时间间隔2秒转发时延15秒生存时间20秒模式PVST
3.4.2相关命令讲解1. spanningtree vlan vlanid priority npriority
命令用于配置交换机中指定VLAN的网桥优先级。其中的vlanid参数用于指定VLAN ID,可以用连接号或逗号隔开多个,VLAN ID范围为1~4094; npriority参数用于指定网桥优先级,范围为0~61440,步长为4096(非4096的步长值,不接受),默认为32768,数值越小将被优先选为根桥。该命令用于全局配置模式Switch(config)#下。命令使用示例:
Switch(config)#spanningtree vlan 1 priority 4096
该命令配置交换机VLAN 1的网桥优先级值为4096。2. show spanningtree命令用于查看交换机中所有VLAN的STP树配置信息。该命令用于特权模式Switch#下。命令使用示例:
Switch#show spanning-tree
该命令查看交换机中所有VLAN的STP树配置信息。3. show spanningtree vlan vlanid命令用于查看交换机中指定VLAN的STP树配置信息。其中的vlanid参数用来指定VLAN ID,VLAN ID范围为1~4094。该命令用于特权模式Switch#下。命令使用示例:
Switch#show spanning-tree vlan 1
该命令查看交换机中VLAN 1的STP树配置信息。3.4.3实验目的(1) 了解STP的工作原理; (2) 掌握STP的配置方法; (3) 掌握对STP配置的检查与测试; (4) 掌握STP角色选举过程的分析。3.4.4实验环境
在图3.9所示的实验拓扑中,交换机SW1、SW2和SW3采用Cisco 3640路由器模拟的“EtherSwitch router”以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。4台PC采用VPCS模拟。
图3.9STP实验拓扑
通过在交换机SW1上配置VTP模式为Server服务器模式,来创建和管理两个虚拟局域网VLAN 10和VLAN 20,并将SW1的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。在SW2和SW3上配置VTP模式为Client客户端模式,接收来自VTP服务器SW1的通告信息,以保持与SW1的VLAN配置信息同步,同时转发此通告消息,并将SW2的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。要求通过适当的实验配置,分析STP角色选举过程并画出STP树,并且使用“show spanningtree vlan vlanid”命令进行确认。3.4.5实验步骤(1) 在SW1、SW2和SW3上进行VTP配置,利用VTP在交换机上创建VLAN 10和VLAN 20,三台交换机之间的链路配置为Trunk。
!—SW1的配置
!—vtp设置
SW1#vlan database
SW1(vlan)#vtp server
SW1(vlan)#vtp domain vtp-test
SW1(vlan)#vtp password 123456
SW1(vlan)#exit
!—创建vlan
SW1#vlan database
SW1(vlan)#vlan 10 name vlan10
VLAN 10 added:
Name: vlan10
SW1(vlan)#vlan 20 name vlan20
VLAN 20 added:
Name: vlan20
SW1(vlan)#exit
APPLY completed.
Exiting….
!—配置trunk
SW1#conf t
SW1(config)#interface f1/11
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface f1/12
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown
SW1(config-if)#exit
!—SW2的配置
!—vtp设置
SW2#vlan database
SW2(vlan)#vtp client
SW2(vlan)#vtp domain vtp-test
SW2(vlan)#vtp password 123456
SW2(vlan)#exit
!—配置trunk
SW2#conf t
SW2(config)#interface f1/12
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#exit
SW2(config)#interface f1/11
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#exit
!—SW3的配置
!—vtp设置
SW3#vlan database
SW3(vlan)#vtp client
SW3(vlan)#vtp domain vtp-test
SW3(vlan)#vtp password 123456
SW3(vlan)#exit
!—配置trunk
SW3#conf t
SW3(config)#interface f1/12
SW3(config-if)#switchport trunk encapsulation dot1q
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shutdown
SW3(config-if)#exit
SW3(config)#interface f1/11
SW3(config-if)#switchport trunk encapsulation dot1q
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shutdown
SW3(config-if)#exit
(2) 分析STP选举过程(根网桥、根接口、指定端口、阻塞端口)。① 选择根网桥。在默认情况下,网桥优先级均为32768。因此,网桥ID的大小由Mac地址决定。在本拓扑中,SW1的Mac地址小,故SW1作为根网桥。 ② 选择根端口(RP)。除了根网桥SW1以外,SW2、SW3都需要选择RP。对于SW2: f1/11到根网桥SW1的路径累加成本cost是19 19=38(需经SW3); f1/12到根网桥SW1的路径累加成本cost是19; 因此选择f1/12作为根端口。对于SW3: f1/11到根网桥SW1的路径累加成本cost是19 19=38(需经SW2); f1/12到根网桥SW1的路径累加成本cost是19; 因此选择f1/12作为根端口。③ 选择指定端口(DP)。每一个网段均需要选定DP。 因为交换机SW1上的端口到根网桥的路径累加成本cost都是0,比其他交换机端口到根网桥的cost都要小,所以SW1的两个端口都是指定端口DP; 对于SW2和SW3的连接网段,比较从SW2的f1/11发出的BDPU的cost和从SW3的f1/11发出的BDPU的cost,选取拥有较小的cost的端口为DP。在此,cost均为19,因此要根据网桥ID和端口ID来决定,在此网桥ID较小者为DP。因此SW2的f1/11为DP。④ 选择需要阻塞的端口。在一个交换网络中,所有非指定端口DP都将被阻塞,所以SW3的f1/11被阻塞,如图3.10所示。
图3.10STP阻塞的端口
⑤ STP生成一棵没有环路的树,如图3.11所示。
图3.11生成的STP
(3) 检查初始的STP树。使用show spanningtree vlan vlanid命令查看交换机中指定VLAN的STP树配置。
!—查看交换机中VLAN 1的STP树配置信息
SW1#show spanning-tree vlan 1
VLAN1 is executing the ieee compatible Spanning Tree protocol
!—表明运行的STP协议是IEEE的802.1D
Bridge Identifier has priority 32768, address cc03.0100.0000
!—根网桥ID优先级为32768 默认值; MAC地址为cc03.0100.0000
Configured hello time 2, max age 20, forward delay 15
We are the root of the spanning tree!—SW1为根网桥
Topology change flag not set, detected flag not set
Number of topology changes 1 last change occurred 00:02:27 ago
from FastEthernet1/12
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Timers: hello 0, topology change 0, notification 0, aging 300
Port 52 (FastEthernet1/11) of VLAN1 is forwarding !—f1/11处于转发状态
Port path cost 19, Port priority 128, Port Identifier 128.52.
!—端口路径开销为19,端口优先级为128,端口ID值为128.52
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc03.0100.0000
Designated port id is 128.52, designated path cost 0
!—本身就是根网桥的指定端口,cost值为0
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 307, received 20
Port 53 (FastEthernet1/12) of VLAN1 is forwarding!—f1/12处于转发状态
Port path cost 19, Port priority 128, Port Identifier 128.53.
!—端口路径开销为19,端口优先级为128,端口ID值为128.53
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc03.0100.0000
Designated port id is 128.53, designated path cost 0
!—本身就是根网桥的指定端口,cost值为0
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 324, received 16
SW2#show spanning-tree vlan 1
VLAN1 is executing the ieee compatible Spanning Tree protocol
!—表明运行的STP协议是IEEE的802.1D
Bridge Identifier has priority 32768, address cc04.1700.0000
!—网桥ID优先级为32768 默认值; MAC地址为cc04.1700.0000
Configured hello time 2, max age 20, forward delay 15
Current root has priority 32768, address cc03.0100.0000 !—SW1为根网桥
Root port is 53 (FastEthernet1/12), cost of root path is 19
!—f1/12为根端口,到根网桥SW1的路径累加成本cost值为19
Topology change flag not set, detected flag not set
Number of topology changes 4 last change occurred 00:09:13 ago
from FastEthernet1/12
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Timers: hello 0, topology change 0, notification 0, aging 300
Port 52 (FastEthernet1/11) of VLAN1 is forwarding!—f1/11处于转发状态
Port path cost 19, Port priority 128, Port Identifier 128.52.
!—端口路径开销为19,端口优先级为128,端口ID值为128.52
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc04.1700.0000
Designated port id is 128.52, designated path cost 19
!—穿越了本身的根端口,cost值为19
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 513, received 14
Port 53 (FastEthernet1/12) of VLAN1 is forwarding !—f1/12处于转发状态
Port path cost 19, Port priority 128, Port Identifier 128.53.
!—端口路径开销为19,端口优先级为128,端口ID值为128.53
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc03.0100.0000
Designated port id is 128.53, designated path cost 0
!—与SW1的指定端口直连,cost值为0
Timers: message age 1, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 2, received 258
SW3#show spanning-tree vlan 1
VLAN1 is executing the ieee compatible Spanning Tree protocol
!—表明运行的STP协议是IEEE的802.1D
Bridge Identifier has priority 32768, address cc05.15d4.0000
!—网桥ID优先级为32768 默认值; MAC地址为cc05.04e0.0000
Configured hello time 2, max age 20, forward delay 15
Current root has priority 32768, address cc03.0100.0000!—SW1为根网桥
Root port is 53 (FastEthernet1/12), cost of root path is 19
!—f1/12为根端口,到根网桥SW1的路径累加成本cost值为19
Topology change flag not set, detected flag not set
Number of topology changes 2 last change occurred 00:52:38 ago
from FastEthernet1/11
Times: hold 1, topology change 35, notification 2
hello 2, max age 20, forward delay 15
Timers: hello 0, topology change 0, notification 0, aging 300
Port 52 (FastEthernet1/11) of VLAN1 is blocking !—f1/11处于阻塞状态
Port path cost 19, Port priority 128, Port Identifier 128.52.
!—端口路径开销为19,端口优先级为128,端口ID值为128.52
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc04.1700.0000
Designated port id is 128.52, designated path cost 19
!—穿越了本身的根端口,cost值为19
Timers: message age 2, forward delay 0, hold 0
Number of transitions to forwarding state: 0
BPDU: sent 2, received 1580
Port 53 (FastEthernet1/12) of VLAN1 is forwarding !—f1/12处于转发状态
Port path cost 19, Port priority 128, Port Identifier 128.53.
!—端口路径开销为19,端口优先级为128,端口ID值为128.53
Designated root has priority 32768, address cc03.0100.0000
Designated bridge has priority 32768, address cc03.0100.0000
Designated port id is 128.52, designated path cost 0
!—与SW1的指定端口直连,cost值为0
Timers: message age 9, forward delay 0, hold 0
Number of transitions to forwarding state: 1
BPDU: sent 1, received 1580
!—可在SW1、SW2和SW3上分别使用show spanning-tree vlan 10和show spanning-tree vlan 20命令查看VLAN 10和VLAN 20的STP树配置信息。
3.4.6扩展实验1. 实验环境
在图3.12所示的实验拓扑中,交换机SW1、SW2和SW3采用Cisco 3640路由器模拟的EtherSwitch router以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。6台PC采用VPCS模拟。
图3.12STP扩展实验拓扑
2. 实验要求扩展实验要求在交换机SW1上配置VTP模式为Server服务器模式,来创建和管理两个虚拟局域网VLAN 10和VLAN 20,并将SW1的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。在SW2和SW3上配置VTP模式为Client客户端模式,接收来自VTP服务器SW1的通告信息,以保持与SW1的VLAN配置信息同步,同时转发此通告消息,并将SW2的f1/1接口划分到VLAN 10,将f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。针对VLAN 1指定SW3作为根网桥,通过改变交换机SW3的VLAN 1的网桥优先级来改变根桥。要求通过适当的配置,分析STP角色选举过程并画出STP树,并且使用show spanningtree命令进行确认。3.5VLAN间路由3.5.1理论知识与实验原理
不同局域网LAN之间物理上隔绝,而不同的虚拟局域网VLAN之间逻辑上隔绝。不同VLAN之间虽然物理上连接在一起,但是交换机自动丢弃不同VLAN之间的交换数据。因此,分属不同LAN或VLAN的计算机之间无法直接通信,需要借助于第三层设备(一般是路由器)在两个局域网之间转发数据,从而实现不同局域网的计算机之间的通信。实现VLAN间通信要借助第三层设备,一般采用单臂路由模式或三层交换机。1. 单臂路由处于不同VLAN的计算机即使连接在同一交换机上,它们之间的通信也必须使用路由器转发。常见的方法是在每个VLAN上使用一个以太网口和路由器连接。采用这种方法,如果要实现N个VLAN间的通信,则路由器需要N个以太网接口,同时也需占用N个交换机接口。单臂路由提供了另外一种解决方案: 路由器只需要一个以太网接口和其中
图3.13单臂路由示意图
一台交换机连接,交换机的这个接口设置为Trunk接口。在路由器上创建多个子接口和不同的VLAN连接,子接口是路由器物理接口上的逻辑接口。如图3.13,当交换机收到VLAN 1的计算机发送给VLAN 2的计算机的数据帧后,通过Trunk接口转发给路由器。由于该链路是Trunk链路,帧中带有VLAN 1的标签,帧到达路由器
后,路由器将把数据帧中的VLAN 1标签修改成为VLAN 2的标签并通过Trunk链路发回交换机继续转发; 当与目的计算机相连的交换机收到该帧,去掉VLAN 2标签,发送给VLAN 2上的计算机,从而实现了VLAN间的通信。由于路由器与交换机之间使用单条链路相连,所有的数据包从F0/0进去,又从F0/0出来,不像传统网络拓扑中数据包从某个接口进入,从另一个接口离开路由器,所以大家给这种拓扑方式起了一个形象的名字——单臂路由。
当然,节省物理端口也为单臂路由带来一定的弊端: (1) VLAN之间的通信需要路由器来完成; (2) 数据量增大,路由器与交换机之间的通道会成为整个网络的瓶颈。2. 子接口子接口(subinterface)是通过一定的协议和技术从一个物理接口(interface)虚拟出来的多个逻辑接口,它的出现打破了每个设备存在物理接口数量有限的局限性。相对子接口而言,这个物理接口称为父接口。一个父接口可以配置多个子接口,而且各子接口之间是互相独立的,子接口只支持三层转发,不支持二层转发,同一个父接口下的不同子接口按照802.1q值进行区分。在路由器中,一个子接口的取值范围是0~4096,当然受父接口物理性能限制,实际中并无法完全达到4096个,数量越多,各子接口性能越差。子接口号的标识是在父接口号后面接一个小圆点(.),然后带一个子接口号,如FastEthernet 0/1.10、serial 0/1.1等。这些虚拟子接口只是共享物理接口的物理层参数,但数据链路层和网络层的参数可以各自配置,所以它可以封装不同的802.1q的标记(同一个物理接口上的不同子接口的802.1q标记必须不同),可以配置不同的IP地址和子网掩码。子接口与物理接口的配置过程基本类似,只是在接口号标记上有所不同,另外还需要以不同的802.1q tag进行二层封装。3. 三层交换采用单臂路由实现VLAN间的路由时转发速率较慢,在实际工作中多在局域网内部采用三层交换的方式实现VLAN间路由。由于三层交换机采用硬件来实现路由,所以其路由数据包的速率是普通路由器的几十倍。从使用者的角度可以把三层交换机看成是二层交换机和路由器的组合,如图3.14所示,这个虚拟的路由器和每个VLAN都有一个接口进行连接,不过这些接口的名称是VLAN 1或VLAN 2。Cisco主要采用特快交换(Cisco Express Forwarding,CEF)的三层交换技术。在CEF技
图3.14三层交换示意图
术中,交换机利用路由表形成转发信息库(Forwording Information Base,FIB),FIB和路由表是同步的,关键的是它的查询是硬件化,查询速度快得多。除了FIB,还有邻接表(Adjacency Table),该表和ARP表有些类似,主要放置了第二层的封装信息。FIB和邻接表都是在数据转发之前就已经建立准备好了,这样一有数据要转发,交换机就能直接利用它们进行数据转发和封装,不需要查询路由表和发送ARP请求,所以VLAN间的路由速率大大提高。
3.5.2相关命令讲解1. interface subinterface
命令用于定义子接口,进入子接口配置模式。其中的subinterface参数用来指定子接口。该命令用于接口配置模式Router(configif)#下。命令使用示例:
Router(config-if)#interface f0/0.10
该命令定义子接口f0/0.10,进入子接口配置模式。2. encapsulation dot1q tag命令用于把子接口以802.1q协议进行封装,并分配标记号。其中的tag参数用来指定标记号。该命令用于子接口配置模式Router(configsubif)#下。命令使用示例:
Router(config)#interface f0/0.10
Router(config-subif)#encapsulation dot1Q 10
该命令把子接口f0/0.10以802.1q协议进行封装,并承载vlan 10的流量。3. ip routing命令用于在三层交换机上启动路由功能,否则三层交换机不具备路由功能。该命令用于全局配置模式Switch(config)#下。命令使用示例:
Switch(config)#ip routing
该命令启动三层交换机的路由功能。4. interface vlan vlanid命令用于进入指定的VLAN逻辑接口。其中的vlanid参数用来指定VLAN ID,有效的VLAN ID范围是1~4094。该命令用于全局配置模式Switch(config)#下。命令使用示例:
Switch(config)#interface vlan 10
该命令进入VLAN10逻辑接口。5. show ip route命令用于查看路由表。该命令用于特权模式Switch#下。命令使用示例:
Switch#show ip route
该命令查看路由表。3.5.3实验目的(1) 了解VLAN间路由的工作原理; (2) 掌握单臂路由实现VLAN路由的配置方法; (3) 掌握三层交换实现VLAN路由的配置方法; (4) 掌握对VLAN间路由配置的检查与测试; (5) 能够使用单臂路由或三层交换技术实现不同VLAN间用户的通信。3.5.4实验环境1. 单臂路由实验环境
在图3.15所示的实验拓扑中,交换机SW1和SW2采用Cisco 3640路由器模拟的EtherSwitch router以太网交换机,分别在slot1上插入一块NM16ESW的16口10兆以太网卡以接入各自所在的局域网和用于交换机之间互联。Cisco 3640路由器R1,在slot1上插入一块NM1FETX的1口100兆快速以太网卡以用于与交换机SW1之间互联。4台PC采用VPCS模拟。
图3.15单臂路由实验拓扑
通过在交换机SW1和SW2上分别创建两个虚拟局域网VLAN 10和VLAN 20,并将SW1的f1/1接口和SW2的f1/1接口划分到VLAN 10,将SW1的f1/2接口和SW2的f1/2接口划分到VLAN 20,实现基于接口的VLAN划分。在R1的物理以太网接口下创建子接口,并定义封装类型。要求通过适当的实验配置,使得PC1和PC3划分到VLAN 10中,并且能互相Ping通; PC2和PC4划分到VLAN 20中,并且能互相Ping通; PC1和PC2、PC3和PC4之间也能互相Ping通。2. 三层交换实验环境
在图3.16“三层交换实验拓扑”所示的实验拓扑中,交换机SW采用Cisco 3640路由器模拟的EtherSwitch router以太网交换机,在slot1上插入一块NM16ESW的16口10兆以太网卡以接入其所在的局域网。两台PC采用VPCS模拟。
图3.16三层交换实验拓扑
通过在交换机SW上创建两个虚拟局域网VLAN 10和VLAN 20,并将SW的f1/0接口划分到VLAN 10,将SW的f1/1接口划分到VLAN 20,实现基于接口的VLAN划分。在SW上开启路由功能,并在其VLAN接口上配置IP地址。要求通过适当的实验配置,使得PC1划分到VLAN 10中,PC2划分到VLAN 20中,PC1和PC2之间能互相Ping通。3.5.5实验步骤1. 单臂路由实验步骤
(1) 主机PC1、PC2、PC3和PC4的基本配置。
PC1>ip 192.168.1.1 192.168.1.10 24!—配置PC1的IP、网关和子网掩码
Checking for duplicate address…
PC1 : 192.168.1.1 255.255.255.0 gateway 192.168.1.10 !—提示PC1的配置已修改成功
PC2>ip 192.168.2.1 192.168.2.20 24
Checking for duplicate address…
PC2 : 192.168.2.1 255.255.255.0 gateway 192.168.2.20
PC3>ip 192.168.1.2 192.168.1.10 24
Checking for duplicate address…
PC3 : 192.168.1.2 255.255.255.0 gateway 192.168.1.10
PC4>ip 192.168.2.2 192.168.2.20 24
Checking for duplicate address…
PC4 : 192.168.2.2 255.255.255.0 gateway 192.168.2.20
(2) 在SW1、SW2上分别创建VLAN,把接口划分到实验拓扑图中指定的VLAN中,并把连接SW1和SW2的f1/12接口配置成Trunk口。
SW1#vlan database!—进入vlan配置模式
SW1(vlan)#vlan 10 name vlan10 !—创建vlan10
VLAN 10 added:
Name: vlan10
SW1(vlan)#vlan 20 name vlan20 !—创建vlan20
VLAN 20 added:
Name: vlan20
SW1(vlan)#exit
APPLY completed.
Exiting….!—退出VLAN模式,创建的VLAN立即生效
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#interface f1/1
SW1(config-if)#switchport mode access !—将接口f1/1配置为access模式
SW1(config-if)#switchport access vlan 10 !—接口f1/1划分到vlan10中
SW1(config-if)#no shutdown
SW1(config-if)#interface f1/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20 !—接口f1/2划分到vlan20中
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface f1/12
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk !—将接口f1/12配置为Trunk模式
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW2#vlan database
SW2(vlan)#vlan 10 name vlan10
VLAN 10 added:
Name: vlan10
SW2(vlan)#vlan 20 name vlan20
VLAN 20 added:
Name: vlan20
SW2(vlan)#exit
APPLY completed.
Exiting….
SW2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW2(config)#interface f1/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10
SW2(config-if)#no shutdown
SW2(config-if)#exit
SW2(config)#interface f1/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 20
SW2(config-if)#no shutdown
SW2(config-if)#exit
SW2(config)#interface f1/12
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#end
(3) 把交换机SW1连接路由器R1的接口f1/0配置成Trunk接口。
SW1(config)#interface f1/0
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown
SW1(config-if)#end
(4) 在路由器R1的物理以太网接口下创建子接口,并定义封装类型。
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface f1/0!—进入子模式,配置f1/0接口
R1(config-if)#no shutdown !—打开接口
R1(config-if)#interface f1/0.10 !—创建子接口
R1(config-subif)#encapsulation dot1Q 10 !—封装802.1q Tag,承载vlan 10流量
R1(config-subif)#ip address 192.168.1.10 255.255.255.0
!—设置子接口IP地址,该地址就是PC1和PC3的网关
R1(config-subif)#interface f1/0.20
R1(config-subif)#encapsulation dot1Q 20 !—封装802.1q Tag,承载vlan 20流量
R1(config-subif)#ip address 192.168.2.20 255.255.255.0
!—设置子接口IP地址,该地址就是PC2和PC4的网关
R1(config-subif)#end
(5) 测试VLAN间的通信,PC1和PC2之间的互Ping,PC3和PC4之间的互Ping。
PC1>ping 192.168.2.1
84 bytes from 192.168.2.1 icmp_seq=1 ttl=63 time=16.001 ms
84 bytes from 192.168.2.1 icmp_seq=2 ttl=63 time=19.001 ms
84 bytes from 192.168.2.1 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.2.1 icmp_seq=4 ttl=63 time=20.001 ms
84 bytes from 192.168.2.1 icmp_seq=5 ttl=63 time=20.001 ms
PC2>ping 192.168.1.1
84 bytes from 192.168.1.1 icmp_seq=1 ttl=63 time=20.002 ms
84 bytes from 192.168.1.1 icmp_seq=2 ttl=63 time=20.001 ms
84 bytes from 192.168.1.1 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.1.1 icmp_seq=4 ttl=63 time=19.002 ms
84 bytes from 192.168.1.1 icmp_seq=5 ttl=63 time=19.001 ms
PC3>ping 192.168.2.2
84 bytes from 192.168.2.2 icmp_seq=1 ttl=63 time=21.001 ms
84 bytes from 192.168.2.2 icmp_seq=2 ttl=63 time=19.001 ms
84 bytes from 192.168.2.2 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.2.2 icmp_seq=4 ttl=63 time=19.001 ms
84 bytes from 192.168.2.2 icmp_seq=5 ttl=63 time=20.001 ms
PC4>ping 192.168.1.2
84 bytes from 192.168.1.2 icmp_seq=1 ttl=63 time=21.002 ms
84 bytes from 192.168.1.2 icmp_seq=2 ttl=63 time=19.001 ms
84 bytes from 192.168.1.2 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.1.2 icmp_seq=4 ttl=63 time=19.001 ms
84 bytes from 192.168.1.2 icmp_seq=5 ttl=63 time=19.001 ms
我们看到,PC1和PC2能相互Ping通,PC3和PC4能相互Ping通,可见,不同VLAN间的主机可以通过单臂路由实现通信。2. 三层交换实验步骤(1) 主机PC1和PC2的基本配置。
PC1>ip 192.168.1.1 192.168.1.10 24!—配置PC1的IP、网关和子网掩码
Checking for duplicate address…
PC1 : 192.168.1.1 255.255.255.0 gateway 192.168.1.10 !—提示PC1的配置已修改成功
PC2>ip 192.168.2.1 192.168.2.20 24
Checking for duplicate address…
PC2 : 192.168.2.1 255.255.255.0 gateway 192.168.2.20
(2) 在SW上创建VLAN,把接口划分到实验拓扑图中指定的VLAN中。
SW#vlan database!—进入vlan配置模式
SW(vlan)#vlan 10 name vlan10 !—创建vlan10
VLAN 10 added:
Name: vlan10
SW(vlan)#vlan 20 name vlan20 !—创建vlan20
VLAN 20 added:
Name: vlan20
SW(vlan)#exit
APPLY completed.
Exiting…. !—退出VLAN模式,创建的VLAN立即生效
SW#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW(config)#interface f1/0
SW(config-if)#switchport mode access !—将接口f1/0配置为access模式
SW(config-if)#switchport access vlan 10 !—接口f1/0划分到vlan10中
SW(config-if)#no shutdown
SW(config-if)#interface f1/1
SW(config-if)#switchport mode access
SW(config-if)#switchport access vlan 20 !—接口f1/1划分到vlan20中
SW(config-if)#no shutdown
SW(config-if)#exit
(3) 配置三层交换。
SW(config)#ip routing
!—开启SW的路由功能,这时SW就启用了三层功能
SW(config)#int vlan 10
SW(config-if)#no shutdown
SW(config-if)#ip address 192.168.1.10 255.255.255.0
SW(config)#int vlan 20
SW(config-if)#no shutdown
SW(config-if)#ip address 192.168.2.20 255.255.255.0
!—在VLAN接口上配置IP地址,vlan10接口上的地址就是PC1的网关,vlan20接口上的地址就是PC2的网关
!—在三层交换机上启用交换功能,还需要启用CEF(命令为: ip cef),不过这是默认值。
(4) 用show ip route命令查看SW上的路由表。
SW#show ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route
!—在上面的输出中,显示的是路由条目各种类型的简写,如”C”为直连网络,”S”为静态路由,”R”表示RIP协议,默认路由用”*”标志。
Gateway of last resort is not set
C192.168.1.0/24 is directly connected, Vlan10
C192.168.2.0/24 is directly connected, Vlan20
!—C表示此路由是直连网络学到的
(5) 测试VLAN间的通信,PC1和PC2之间的互Ping。
PC1>ping 192.168.2.1
84 bytes from 192.168.2.1 icmp_seq=1 ttl=63 time=11.001 ms
84 bytes from 192.168.2.1 icmp_seq=2 ttl=63 time=29.001 ms
84 bytes from 192.168.2.1 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.2.1 icmp_seq=4 ttl=63 time=19.001 ms
84 bytes from 192.168.2.1 icmp_seq=5 ttl=63 time=19.001 ms
PC2>ping 192.168.1.1
84 bytes from 192.168.1.1 icmp_seq=1 ttl=63 time=20.001 ms
84 bytes from 192.168.1.1 icmp_seq=2 ttl=63 time=19.001 ms
84 bytes from 192.168.1.1 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 192.168.1.1 icmp_seq=4 ttl=63 time=19.001 ms
84 bytes from 192.168.1.1 icmp_seq=5 ttl=63 time=19.002 ms
我们看到,PC1和PC2能相互Ping通,可见,不同VLAN间的主机可以通过三层交换实现通信。
评论
还没有评论。