项目学习重点 l 掌握 VLAN 的功能、VLAN 成员资格和交换机上的 VLAN 配置。 l 掌握中继链路的安全配置。 l 掌握 VTP 和 VTP 修剪的功能、配置。
第一部分 理论知识
2.1 VLAN 和 VTP 概述
VLAN(虚拟局域网)是指在第二层交换机上,从管理角度定义的端口上连接的网络用户 和资源的逻辑分组。通过虚拟局域网的建立,可以将交换机的不同端口分配到不同的 VLAN 中,在交换机中建立更小的广播域。一个 VLAN 就是一个广播域,也是一个独立的子网,这 意味着默认情况下只有本 VLAN 中的用户才可以通信,也意味着当信息帧被广播时,它们只 在相同 VLAN 中的端口间进行交换。 利用 VLAN,我们不再局限于根据用户的物理位置来建立工作组,也就是说,无论用户 和资源在何处,VLAN 都可以通过位置、功能、部门甚至是应用程序和协议来进行组织。同 时可以在单个交换机上建立 VLAN,也可以使用 VTP(VLAN 中继协议)来传送 VLAN 消息, 将 VLAN 扩展到其他同在一个域的交换机,实现 VLAN 信息的一致性。2.2 VLAN 的优越性
任何新技术想要得到广泛支持和应用,都要有一些关键优势,VLAN 技术也一样,它的 优势主要体现在以下几个方面: 1.增加了网络连接的灵活性 借助 VLAN 技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网 络环境,就像使用本地 LAN 一样方便、灵活、有效。VLAN 可以降低移动或变更工作站地理 位置的管理费用,特别是一些业务情况有经常性变动的公司使用了 VLAN 后,这部分管理费 用大大降低。 2.控制网络上的广播 VLAN 可以提供建立防火墙的机制,防止交换网络的过量广播。使用 VLAN 可以将某个 交换端口或用户赋予某一个特定的 VLAN 组,该 VLAN 组可以在一个交换网中跨接多个交换2
VLAN、中继和 VTP
项目
机,而在一个 VLAN 中的广播不会被送到 VLAN 外。同样,相邻的端口不会收到其他 VLAN 产生的广播。这样可以减少广播流量,释放带宽给用户应用,以减少广播的产生。 3.增加网络的安全性 因为一个 VLAN 就是一个单独的广播域,VLAN 之间相互隔离,这大大提高了网络的 利用率,确保了网络的安全保密性。人们在 LAN 上经常传送一些保密的、关键性的数据。 保密的数据应提供访问控制等安全手段。 一个有效和容易实现的方法是将网络分成几个不同 的广播组,网络管理员限制了 VLAN 中用户的数量,禁止未经允许而访问 VLAN 中的应用。 交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全 的 VLAN 中。
2.3 VLAN 成员资格
2.3.1 VLAN 在交换机上的实现方法 VLAN 在交换机上的实现方法可以大致划分为 6 类。 1.基于端口划分的 VLAN(静态 VLAN) 这是最常用的一种 VLAN 划分方法,应用也最为广泛、最有效,目前绝大多数 VLAN 协 议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换 端口来划分的, 它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC (永久虚电路) 端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的 VLAN 交换机。 对于不同部门需要互访时,可通过路由器转发,并配合基于 MAC 地址的端口过滤。在某 站点的访问路径上最靠近该站点的交换机、 路由交换机或路由器的相应端口上, 设定可通过的 MAC 地址集。这样就可以防止非法入侵者从内部盗用 IP 地址并从其他可接入点入侵的可能。 从这种划分方法本身可以看出,其优点是定义 VLAN 成员时非常简单,只要将所有的端 口都定义为相应的 VLAN 组即可,适合于任何大小的网络。它的缺点是如果某用户离开了原 来的端口,到了一个新交换机的某个端口则必须重新定义。 2.基于 MAC 地址划分 VLAN(动态 VLAN) 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分的, 即对每个 MAC 地址的主 机都配置它属于哪个组,它实现的机制就是每一块网卡都对应唯一的 MAC 地址,VLAN 交换 机跟踪属于 VLAN MAC 的地址。这种方式的 VLAN 允许网络用户从一个物理位置移动到另 一个物理位置时,自动保留其所属 VLAN 的成员身份。 由该划分机制可以看出, 这种 VLAN 的划分方法的最大优点就是当用户物理位置移动时, 即从一个交换机换到其他的交换机时,VLAN 不用重新配置,因为它是基于用户,而不是基 于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚 至上千个用户的话,配置是非常复杂的,所以这种划分方法通常适用于小型局域网。而且该方 法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组 的成员,保存了许多用户的 MAC 地址,查询起来相当不容易。另外,对于使用笔记本电脑的 用户来说,他们的网卡可能需要经常更换,这样 VLAN 就必须经常配置。3.基于网络层协议划分 VLAN VLAN 按网络层协议来划分,可分为 IP、IPX、DECnet、AppleTalk、Banyan 等 VLAN 网 络。这种按网络层协议来组建的 VLAN,可使广播域跨越多个 VLAN 交换机。这对于希望针 对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 而且, 用户可以在网络 内部自由移动,但其 VLAN 成员身份仍然保留不变。 该方法的优点是改变用户的物理位置,而不需要重新配置所属的 VLAN,且可以根据协 议类型来划分 VLAN,这对网络管理者来说很重要。另外,这种方法不需要附加的帧标签来 识别 VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据 包的网络层地址是需要消耗处理时间的(相对于前面两种方法) ,一般的交换机芯片都可以自 动检查网络上数据包的以太网帧头,但要让芯片能检查 IP 帧头则需要更高的技术,同时也更 费时。当然,这与各个厂商的实现方法有关。 4.根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个 IP 组播组就是一个 VLAN。这种划 分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路 由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个 VLAN,不适合局域网, 主要是效率不高。 5.按策略划分 VLAN 基于策略组成的 VLAN 能实现多种分配方法,包括 VLAN 交换机端口、MAC 地址、IP 地址、 网络层协议等。 网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类 型的 VLAN。 6.按用户定义、非用户授权划分 VLAN 基于用户定义、非用户授权来划分 VLAN,是指为了适应特别的 VLAN 网络,根据具体 网络用户的特别要求来定义和设计 VLAN,而且可以让非 VLAN 群体用户访问 VLAN,但是 需要提供用户密码,在得到 VLAN 管理的认证后才可以加入。 2.3.2 配置静态 VLAN
VLAN 总是使用 VLAN 编号来引用, VLAN 的取值范围为 1~1005, 而 VLAN 1 和 1002~
1005 是自动创建的,留作特殊用途(VLAN 1 用作交换机的管理,VLAN 1002~1005 保留给 令牌环和 FDDI 交换相关的功能), 不能删除。 默认情况下, 交换机的所有端口都分配到 VLAN 1。如果 VLAN 不存在,就必须在交换机上创建,然后将交换机的端口分配给 VLAN。 为与 IEEE 802.1Q 标准兼容,思科 IOS 还支持扩展的 VLAN 编号:1~4094,但是仅在 交换机为透明模式时扩展范围才被启用,不过当交换机需要参与 VTP 时,扩展 VLAN 就用 不上了。 要配置静态 VLAN,首先在全局配置模式使用如下命令来创建 VLAN: Switch(config)#vlan vlannum Switch(configvlan)#name vlanname 命令 name 是可选项,如果没有使用,默认的 VLAN 名称为 VLAN XXX,其中 XXX 是 VLAN 编号。 要从交换机配置中删除 VLAN,可以使用 no vlan vlannum 命令。
接下来需要将端口分配给相应的 VLAN,可使用如下命令: Switch(config)#interface type module/number Switch(configif)#switchport Switch(configif)#switchport mode access Switch(configif)#switchport access vlan vlannum Switch(configif)# l 命令 switchport 配置端口为两层接口。 l 命令 switchport mode access 指定端口只能分配给一个 VLAN。 l 命令 switchport access vlan vlannum 给端口指定静态 VLAN 成员资格。
2.4 VLAN 中继链路
默认情况下,交换机之间的链路是不能够传输多个 VLAN 信息的。然而,使用中继技 术可以把交换机之间的链路升级为中继链路,使得可通过单个交换机端口传输多个 VLAN 的信息。 同一条中继链路可以传输多个 VLAN 的数据流,每个不同 VLAN 的数据流就需要对其进 行标识。标识就是给通过中继链路的每个帧指定专有的 VLAN ID,并将唯一的标识符加入到 帧头中。传输路径中的交换机收到这些帧后,对标识符进行检查以判断该帧属于哪个 VLAN, 然后将标识删除。如果帧需要通过另一条中继链路再次传输,就将 VLAN 标识重新加入到帧 头中;如果帧通过非中继链路再次传输,交换机就在传输前将 VLAN 标识符删除,终端用户 根本不知道 VLAN 的存在。 可以使用两种方法来标识通过中继链路的帧: l 交换机间链路协议。 l IEEE 802.1Q 协议。 2.4.1 交换机间链路协议 交换机间链路(ISL)协议是思科专用的协议,它在第二层执行帧标识:使用帧头和帧尾 封装帧。当帧通过中继链路前往另一台交换机或者路由器时,ISL 就给帧加上一个 26B 的帧头 和一个 4B 的帧尾。在帧头中,使用一个 10 位的 VLAN ID 字段标识源 VLAN。帧尾包含一个 循环冗余校验(CRC),确保新封装的帧的数据完整性。图 2.1 显示了如何封装以太网帧并通 过中继链路进行转发。 图 2.1 ISL 帧标识2.4.2 IEEE 8.2.1Q 协议
IEEE 8.2.1Q 协议是标准化的,它让中继链路可以在不同厂商的设备之间运行。和思科的
ISL 一样, IEEE 8.2.1Q 协议也可以在以太网中继链路上标识不同的 VLAN, 但它不使用 VLAN
ID 帧头和帧尾来封装帧,而是将标识信息嵌入到第 2 层帧中。对于以太网的帧,IEEE 802.1Q 协议在源地址后面添加一个 4B 的 VLAN 标识,如图 2.2 所示。
图 2.2 IEEE 802.1Q 帧标识
4B 中的前两个字节标记 IEEE 802.1Q 标识符,其值为 0x8100,另外两个字节标记控制信息 字段,而控制信息字段中包括一个 3 位的优先级字段(实现服务类别功能)、1 位的规范格式指示 器(标识 MAC 地址是以太网还是令牌环格式)和 12 位的 VLAN 标识符(指出帧的源 VLAN)。
IEEE 8.2.1Q 协议支持在中继链路使用本征 VLAN 的概念, 对来源于本征 VLAN 的帧不使
用任何标记对信息进行封装,而 ISL 不支持本征 VLAN。IEEE 8.2.1Q 默认将 VLAN 1 设置为 本征 VLAN。
需特别强调的是,不管是 ISL 还是 IEEE 8.2.1Q 协议,都会增加以太网帧的长度,ISL 增
加了 30B, 而 IEEE 8.2.1Q 协议增加了 4B。 由于以太网帧不能够超过 1518B, 所以增加的 VLAN 标识信息可能导致帧过长,交换机将其视为错误。 2.4.3 VLAN 中继链路的配置 默认情况下,所有交换机的端口都是以非中继接入链路的,可使用如下命令创建 VLAN 中继链路: Switch(config)#interface type mod/port Switch(configif)#switchport Switch(configif)#switchport trunk encapsulation isl | dot1q|negotiate Switch(configif)#switchport trunk native vlan vlannum Switch(configif)#switchport trunk mode trunk | dynamic desirable | dynamic auto l 命令 switchport 配置端口为二层接口,使其支持中继。
l 命令 switchport trunk encapsulation isl | dot1q|negotiate 配置中继封装方法,参数
negotiate 是通过协商选择两端都支持 isl 或者 IEEE 8.2.1Q。
l 命令 switchport trunk native vlan vlannum 指定不需要做标识的本征 VLAN。 l 命令 switchport trunk mode trunk | dynamic desirable | dynamic auto 指定中继模式。
l 参数 trunk 是将端口配置成永久中继模式,如果对端交换机端口被设置成 trunk、
模式是建立无条件的中继,所以建议对端交换机端口也设置成 trunk 模式,同时手工 配置封装模式,这样两台交换机就不需要任何协商而建立中继链路。 l 参数 dynamic desirable 是交换机端口的默认设置, 它是让端口主动请求对端交换机提 出要采取的模式,如果对端交换机端口是 trunk、dynamic desirable 或 dynamic auto 模 式,中继链路就协商成功。 l 参数 dynamic auto 是仅当对端交换机请求时才转换成中继链路模式, 如果对端交换机 端口是 trunk 或 dynamic desirable,中继链路就协商成功,所以如果链路的两端都是 dynamic auto,中继链路就协商不成功。
2.5 VTP
中继链路成功建立并不意味着交换机 S9 上的 VLAN 信息就可以顺利传送到交换机 S10, 为了实现这一目标,思科开发了集中管理 VLAN 信息的方法:VLAN 中继协议(VTP),VTP 使用第 2 层帧在属于同一个域的交换机之间交换 VLAN 信息,任何参与 VTP 交换的交换机都 知道和能够使用 VTP 管理的所有 VLAN。 2.5.1 VTP 域 VTP 域是 VLAN 需求相同的一个区域,每台交换机只能属于一个 VTP 域,并与同一个域 中的其他交换机共享该域的 VTP 信息,不同域中的交换机不能共享 VTP 信息。 VTP 域中的交换机向其邻居交换机发出不同的 VTP 通告。每条 VTP 通告包含本 VTP 域 的信息、VTP 修订号、已知 VLAN 和具体参数信息。当域中交换机添加 VLAN 信息时,就产 生 VTP 通告,并将这一通告通过中继端口发给其他交换机,域中其他交换机也都能够在中继 端口上收到这一通告。 2.5.2 VTP 模式 交换机要参与 VTP 管理域,就必须配置成下列模式之一,VTP 模式也决定了交换机是怎 样处理和通告 VTP 信息的。 l 服务器模式 处于服务器模式的交换机可创建、删除和修改 VLAN 信息,并将所有 VTP 信息通告给域 中的其他交换机,与其他交换机同步收到的 VTP 信息。默认情况下,所有交换机是服务器模 式。一个 VTP 域中至少需要一台 VTP 服务器。 l 客户模式 处于客户模式的交换机不能创建、删除和修改 VLAN 信息,只是监听来自其他交换机的 VTP 通告,并相应修改本机上的 VLAN 信息,同时它还将收到的 VTP 信息通告给域中的邻居 交换机。 l 透明模式 处于透明模式的交换机可创建、删除和修改 VLAN 信息,但不通告自己的 VLAN 信息, 也不同步收到的 VTP 通告。VTP 版本 1 中,处于透明模式的交换机不转发收到的 VTP 通告, VTP 版本 2 中则可以。2.5.3 VTP 的配置 默认情况下,交换机位于域 NULL(空字符串)中,以 VTP 服务器模式运行。如果新交 换机加入到已经存在的 VTP 域中,它将在中继端口监听来自其他交换机的通告,并且自动获 得 VTP 域名、VLAN 信息和 VTP 修订号。思科交换机配置 VLAN 和 VTP 有两种方式:全局 配置模式和 VLAN 数据库模式。 本书以全局配置模式为例。可通过下列命令实现 VTP 的配置: Switch(config)#vtp mode server| client |transparent Switch(config)#vtp domain domainname l 命令 vtp mode server| client |transparent 实现 VTP 模式的配置。 l 命令 vtp domain domainname 实现 VTP 域名的配置。 2.5.4 VTP 通告及安全 每台参与 VTP 的交换机都在其中继端口上以组播的形式通告本 VTP 域的信息、 VTP 修订 号、已知 VLAN 和具体参数信息,从而通知域中的其他交换机。VTP 通告有三种形式。 l 汇总通告 这是服务器模式的交换机每隔 5 分钟发送的一次通告,并在 VLAN 数据库发生变化时发 送。汇总通告包括 VTP 版本、域名、配置修订号、时间戳、MD5 加密散列码和后续子集通告 的数目。 l 子集通告 服务器模式的交换机在发送完汇总通告后发送子集通告,它包括更具体的 VLAN 配置 数据,如 VLAN 的状态、VLAN 的类型、MTU、VLAN 名称的长度、VLAN 编号和名称等 信息。 l 客户的通告请求 当客户交换机被重置、 VTP 域成员资格发生变化或者监听到修订号更高的 VTP 汇总通告, 客户就发出通告请求, 服务器模式的交换机就发送 VTP 汇总和子集通告, 使其获得最新的 VTP 和 VLAN 信息。 服务器模式和客户模式的交换机将 VTP 和 VLAN 信息以文件 vlan.dat 保存在交换机的 Flash 中,因此要将这两种模式的交换机恢复出厂设置,就需要在特权模式下使用命令 erase startupconfig 和 delete vlan.dat; 而透明模式的交换机将 VTP 和 VLAN 信息保存在 NVRAM 中, 要将这种模式的交换机恢复出厂设置,只需要使用其一个命令就可以了。 VTP 交换机使用 VTP 配置修订号的索引来跟踪最新的 VLAN 信息, VTP 服务器的配置 (如 创建、变更或删除 VLAN)修改一次生效后,其修订号就增加 1。当 VTP 服务器发送此通告 后,和它同在一个 VTP 域中的其他交换机收到此通告后,检测到此通告中的修订号比本地存 储的修订号高时,就用该通告索引的 VLAN 信息覆盖本地存储的 VLAN 信息,这将导致不可 预料的情况发生。 当一台配置修订号较高的交换机进入现有网络中时, 有可能导致其他交换机 更新现有的 VLAN 信息,从而破坏整个网络的正常通信。因此,当网络中新增交换机时,有 必要将其配置修订号设置为 0。 VTP 修订号存储在 Flash 中,使用以下方法可以将修订号设置为 0:
l 将交换机设置成透明模式。 l 将交换机加入到不存在的域。
2.6 VLAN 中继链路的流量控制
默认情况下,中继链路可以传输所有活动 VLAN 的数据流,但是有时候中继链路上不需 要传输所有 VLAN 的数据流,例如指定中继链路需要传输某个 VLAN 的数据流。又例如,由 于广播或者未知单播帧产生的泛洪,如果远端交换机没有相应的 VLAN,则通过中继链路传 输泛洪就没有任何意义,同时也可以提高中继链路的传输性能。对于上面的两种情况,有各自 的方法来解决。(1)命令 switchport trunk allowed vlan|vlanlist|all|add vlanlist|except vlanlist|remove vlanlist。 l vlanlist 是指定允许传输的 VLAN 列表。 l all 是指定允许传输所有 VALN。 l add vlanlist 是添加允许传输的 VLAN。 l except vlanlist 是传输除了列出的 VLAN 之外的其他 VLAN。 l remove vlanlist 是删除允许传输的 VLAN。 (2)VTP 修剪。 VTP 修剪通过减少不必要的泛洪数据流通过中继链路,提高了中继链路带宽的使用效率, 如图 2.3 所示。 图 2.3 修剪前网络中的泛洪 当没有启用 VTP 修剪时, VLAN 30 中的用户 C5 发送广播后, 交换机 S9 将其从所有 VLAN 30 端口转发出去,包括前往交换机 S11 和 S12 的中继链路,交换机 S11 和 S12 再将广播帧转 发给交换机 S10,而此时交换机 S10、S11 和 S12 都没有连接到 VLAN 30 的用户,将广播帧转 发给它们就会消耗中继链路的带宽和三台交换机的资源, 但是它们都会丢弃这个广播帧。 因此, 启用 VTP 修剪很有必要。如果在 VTP 服务器上启用该命令,就需要在整个 VTP 域中启用修 剪,收到该通告的其他交换机都将启用修剪。默认情况下,VLAN 2~1005 都受制于修剪。交
换机默认也是禁用 VTP 修剪的,要启用修剪,可在 VTP 服务器上使用全局配置命令: Switch(config)#vtp pruning 对于甲公司公关部的网络,可在交换机 S11 或者 S12 上启用修剪命令: S11(config)#vtp pruning 启用修剪命令后,VLAN 30 中的用户 C5 发送广播后,交换机 S9 就不会将其从前往交换 机 S11 和 S12 的中继链路转发出去,也转发不到交换机 S10,如图 2.4 所示。 图 2.4 修剪后网络中的泛洪
第二部分 典型项目
典型项目之一 项目背景 甲公司经过几年的发展,现有员工 410 人,经理 10 人,其中公关部 80 人,人事部 20 人, 后勤部 200 人,技术部 100 人。该公司的计算机网络规模也随之扩大,公司的拓扑结构如图 2.5 所示。 公关部现又分成三个公关小组,张三领导的小组有 40 人,李四和王五领导的小组分别有 20 人。为了各个小组信息的保密性和公关部各个小组之间的网络资源的安全性需要,各个小 组上的信息不让其他小组成员随便浏览。 项目实验名称 某大型公司的 VLAN、中继和 VTP 的规划。 项目实验要求与环境 利用思科模拟器软件 GNS3,构建该公司的 VLAN、中继和 VTP。 项目实验目的 充分利用 VLAN 和 VTP 的特征,构建该公司的 VLAN、中继和 VTP。图 2.5 甲公司的网络拓扑结构 项目实施步骤 (1)VLAN 的规划。 根据 VLAN 的创建原则,可以根据公司的职能部门来划分 VLAN,便于管理,因此公关 部采用了 VLAN 的方法来解决以上问题。 通过 VLAN 的划分, 可以把公关部主要网络划分为: 张三、李四、王五 3 个主要部分,对应的 VLAN 组名为 zhangsan、lisi、wangwu,各 VLAN 组所对应的网段如表 2.1 所示。 表 2.1 各 VLAN 组所对应的网段 VLAN 号 VLAN 名 端口号 10 zhangsan S9 1~40 20 lisi S9 41~44,S10 1~16 30 wangwu S10 17~36 (2)VTP 操作模式的规划和配置。 甲公司的 VTP 规划如下:S9 和 S10 为 VTP 客户模式,S11 和 S12 为 VTP 服务器模式, VTP 域名为 jia。配置命令如下: S9(config)#vtp mode client S9(config)#vtp domain ggb S10(config)# vtp mode client S10(config)# vtp domain ggb S11(config)# vtp mode server
S11(config)# vtp domain ggb S12(config)# vtp mode server S12(config)# vtp domain ggb (3)VLAN 中继链路的配置。 S9(config)#interface range fa0/45 48 S9(configifrange)#no shutdown S9(configifrange)#switchport S9(configifrange)#switchport trunk encapsulation dot1q S9(configifrange)#switchport trunk mode trunk S10(config)#interface range interface range fa0/45 48 S10(configifrange)#no shutdown S10(configifrange)#switchport S10(configifrange)#switchport trunk encapsulation dot1q S10(configifrange)#switchport trunk mode trunk S11(config)#interface range interface range fa0/45 48 S11(configifrange)#no shutdown S11(configifrange)#switchport S11(configifrange)#switchport trunk encapsulation dot1q S11(configifrange)#switchport trunk mode trunk S12(config)#interface range fa0/45 48 S12(configifrange)#no shutdown S12(configifrange)#switchport S12(configifrange)#switchport trunk encapsulation dot1q S12(configifrange)#switchport trunk mode trunk (4)创建和配置甲公司公关部的三个 VLAN。 S11(config)#vlan 10 S11(configvlan)#name zhangsan S11(configvlan)#vlan 20 S11(configvlan)#name lisi S11(configvlan)#vlan 30 S11(configvlan)#name wangwu S11(configvlan)#exit 当交换机 S11 通过中继端口向邻居 S9 和 S10 发送 VTP 通告后, 交换机 S9 和 S10 将从 S11 中获得 VTP 通告,从而修改自己的 VLAN 信息。可以通过命令 show vlan 查看交换机 S9 和 S10 是否获得最新的 VALN 信息。 (5)按照静态 VLAN,把相应的交换机端口分配给相应的 VLAN。 S9(config)#interface range fa0/1 40 S9(configifrange)#no shutdown S9(configifrange)#switchport S9(configifrange)# switchport mode access S9(configifrange)# switchport access vlan 10 S9(config)#interface range fa0/41 44 S9(configifrange)#no shutdown S9(configifrange)#switchport S9(configifrange)# switchport mode access S9(configifrange)# switchport access vlan 20 S10(config)#interface range fa0/1 16
S10(configifrange)#no shutdown S10(configifrange)#switchport S10(configifrange)# switchport mode access S10(configifrange)# switchport access vlan 20 S10(config)#interface range fa0/17 36 S10(configifrange)#no shutdown S10(configifrange)#switchport S10(configifrange)# switchport mode access S10(configifrange)# switchport access vlan 30 (6)VTP 修剪。 由于 VLAN 10 中的终端设备只连接在交换机 S9 上,VLAN 30 中的终端设备只连接在交 换机 S10 上,故而可以启用 VTP 修剪,减少中继链路上广播的流量,提高整个网络的性能。 这只需要在处于 VTP 服务器模式的交换机上执行就可以了。 S11(config)#vtp pruning 典型项目之二 项目背景 乙公司在一幢建筑物中拥有三层楼,一楼是人事部,成员有 99 人;二楼是财务部,成员 有 20 人;三楼是服务器中心,成员有 10 人。而根据公司的规定,人事部又分成 3 个小部门, 每个小部门 33 人,分别由小张、小李和小王负责,为了保证各个小部门的信息安全及网络性 能,现在人事部的总负责人规定不允许小部门之间有信息来往。公司的网络拓扑结构如图 2.6 所示。 图 2.6 乙公司的网络拓扑结构
项目实验名称 乙公司人事部的 VLAN、中继和 VTP 的规划。 项目实验要求与环境 利用思科模拟器软件 GNS3,构建乙公司人事部的 VLAN、中继和 VTP。 项目实验目的 充分利用 VLAN 和 VTP 的特征,构建乙公司人事部的 VLAN、中继和 VTP。 项目实施步骤 (1)VLAN 的规划。 由于乙公司人事部的用户主要由小张、小李和小王负责,为了确保相应部门网络资源不被盗 用或破坏,保护相应部分网络资源的安全性。公司人事部采用 VLAN 的方法来解决以上问题。通 过 VLAN 的划分,可以把乙公司人事部主要网络划分为小张、小李和小王 3 个主要部分,对应的 VLAN 组名为 xiaozhang、xiaoli 和 xiaowang,各 VLAN 组所对应的网段如表 2.2 所示。
表 2.2 各 VLAN 组对应的网段 VLAN 号 VLAN 名 端口号 40 xiaozhang S1 1~33 50 xiaoli S13 1~33 60 xiaowang S14 1~33 (2)VTP 操作模式的规划和配置。 乙公司人事部的 VTP 规划如下:S11 和 S12 为 VTP 服务器模式,S1、S13 和 S14 为 VTP 客户端。VTP 域名为 yi。配置命令如下: S1(config)#vtp mode client S13(config)#vtp mode client S14(config)#vtp mode client S1(config)#vtp domain yi S13(config)# vtp domain yi S14(config)#vtp domain yi S11(config)#vtp domain yi S12(config)# vtp domain yi 由于交换机出厂的时候默认是 VTP 服务器模式,故而交换机 S11 和 S12 不需要配置 VTP 服务器模式命令。 (3)VLAN 中继链路的配置。 S1(config)#interface range fa0/45 48 S1(configifrange)#no shutdown S1(configifrange)#switchport S1(configifrange)#switchport trunk encapsulation dot1q S1(configifrange)#switchport trunk mode trunk S11(config)#interface range fa0/45 48 S11(configifrange)#no shutdown S11(configifrange)#switchport
S11(configifrange)#switchport trunk encapsulation dot1q S11(configifrange)#switchport trunk mode trunk S12(config)#interface range fa0/45 48 S12(configifrange)#no shutdown S12(configifrange)#switchport S12(configifrange)#switchport trunk encapsulation dot1q S12(configifrange)#switchport trunk mode trunk S13(config)#interface range fa0/47 48 S13(configifrange)#no shutdown S13(configifrange)#switchport S13(configifrange)#switchport trunk encapsulation dot1q S13(configifrange)#switchport trunk mode trunk S14(config)#interface range fa0/47 48 S14(configifrange)#no shutdown S14(configifrange)#switchport S14(configifrange)#switchport trunk encapsulation dot1q S14(configifrange)#switchport trunk mode trunk (4)创建和配置乙公司人事部的三个 VLAN。 S11(config)#vlan 40 S11(configvlan)#name xiaozhang S11(configvlan)#vlan 50 S11(configvlan)#name xiaoli S11(configvlan)#vlan 60 S11(configvlan)#name xiaowang S11(configvlan)#exit 当交换机 S11 通过中继端口向邻居 S1、S13 和 S14 发送 VTP 通告后,交换机 S1、S13 和 S14 将从 S11 中获得 VTP 通告,从而修改自己的 VLAN 信息。可以通过命令 show vlan 查看 交换机 S1、S13 和 S14 是否获得最新的 VALN 信息。 (5)按照静态 VLAN 把相应的交换机的端口分配给相应的 VLAN。 S1(config)#interface range fa0/1 33 S1(configifrange)#switchport S1(configifrange)# switchport mode access S1(configifrange)# switchport access vlan 40 S13(config)#interface range fa0/1 33 S13(configifrange)#switchport S13(configifrange)# switchport mode access S13(configifrange)# switchport access vlan 50 S14(config)#interface range fa0/1 33 S14(configifrange)#switchport S14(configifrange)# switchport mode access S14(configifrange)# switchport access vlan 60 (6)VTP 修剪。 由于 VLAN 40 中的终端设备只连接在交换机 S1 上,VLAN 50 中的终端设备只连接在交 换机 S13 上,而 VLAN 60 中的终端设备只连接在交换机 S14 上,故而可以启用 VTP 修剪, 减少中继链路上广播的流量,提高整个网络的性能。这只需要在处于 VTP 服务器模式的交换
机上执行就可以了。 S11(config)#vtp pruning 典型项目之三 项目背景 丙公司有一个总公司和两个分公司,总公司和一个分公司在武汉工业园内各自的建筑物 里面,另一个分公司在天津有自己的办公楼。 总公司和分公司部门结构:这 3 个公司都有各自的财务部(20 人) 、行政部(30 人) 、生 产部(40 人) 、研发部(30 人) 、后勤部(10 人)和业务部(45 人)。公司的网络拓扑结构如 图 2.7 所示。 图 2.7 丙公司的网络拓扑 项目实验名称 丙公司武汉分公司的 VLAN、中继和 VTP 的规划。 项目实验要求与环境 利用思科模拟器软件 GNS3,构建丙公司武汉分公司的 VLAN、中继和 VTP。 项目实验目的 充分利用 VLAN 和 VTP 的特征,构建丙公司武汉分公司的 VLAN、中继和 VTP。
项目实施步骤 (1)VLAN 的规划。 由于丙公司武汉分公司有财务部(20 人) 、行政部(30 人) 、生产部(40 人) 、研发部(30 人) 、后勤部(10 人)和业务部(45 人) ,为了确保相应部门网络资源不被盗用或破坏,保护 相应部分网络资源的安全性,丙公司武汉分公司采用 VLAN 的方法来解决以上问题。通过 VLAN 的划分,可以把丙公司武汉分公司主要网络划分为财务部、行政部、生产部、研发部、 后勤部和业务部 6 个主要部分,对应的 VLAN 组名为 caiwu、xingzheng、shengchan、yanfa、 houqin 和 yewu,各 VLAN 组所对应的网段如表 2.3 所示。 表 2.3 各 VLAN 组所对应的网段 VLAN 号 VLAN 名 端口号 70 caiwu S1 1~20 80 xingzheng S2 1~30 90 shengchan S3 1~40 100 yanfa S4 1~30 110 houqin S5 1~10 120 yewu S6 1~45 (2)VTP 操作模式的规划和配置。 丙公司武汉分公司的 VTP 规划如下:S7 和 S8 为 VTP 服务器模式,S1~S6 为 VTP 客户 端。VTP 域名为 bing。配置命令如下: S1(config)#vtp mode client S2(config)#vtp mode client S3(config)#vtp mode client S4(config)#vtp mode client S5(config)#vtp mode client S6(config)#vtp mode client S1(config)#vtp domain bing S2(config)#vtp domain bing S3(config)#vtp domain bing S4(config)#vtp domain bing S5(config)#vtp domain bing S6(config)#vtp domain bing S7(config)#vtp domain bing S8(config)#vtp domain bing 由于交换机出厂的时候默认是 VTP 服务器模式,故而交换机 S7 和 S8 不需要配置 VTP 服务器模式命令。 (3)VLAN 中继链路的配置。 S1(config)#interface range fa0/47 48 S1(configifrange)#no shutdown S1(configifrange)#switchport S1(configifrange)#switchport trunk encapsulation dot1q S1(configifrange)#switchport trunk mode trunk
S2(config)#interface range fa0/47 48 S2(configifrange)#no shutdown S2(configifrange)#switchport S2(configifrange)#switchport trunk encapsulation dot1q S2(configifrange)#switchport trunk mode trunk S3(config)#interface range fa0/47 48 S3(configifrange)#no shutdown S3(configifrange)#switchport S3(configifrange)#switchport trunk encapsulation dot1q S3(configifrange)#switchport trunk mode trunk S4(config)#interface range fa0/47 48 S4(configifrange)#no shutdown S4(configifrange)#switchport S4(configifrange)#switchport trunk encapsulation dot1q S4(configifrange)#switchport trunk mode trunk S5(config)#interface range fa0/47 48 S5(configifrange)#no shutdown S5(configifrange)#switchport S5(configifrange)#switchport trunk encapsulation dot1q S5(configifrange)#switchport trunk mode trunk S6(config)#interface range fa0/47 48 S6(configifrange)#no shutdown S6(configifrange)#switchport S6(configifrange)#switchport trunk encapsulation dot1q S6(configifrange)#switchport trunk mode trunk S7(config)#interface range fa0/43 48 S7(configifrange)#no shutdown S7(configifrange)#switchport S7(configifrange)#switchport trunk encapsulation dot1q S7(configifrange)#switchport trunk mode trunk S8(config)#interface range fa0/43 48 S8(configifrange)#no shutdown S8(configifrange)#switchport S8(configifrange)#switchport trunk encapsulation dot1q S8(configifrange)#switchport trunk mode trunk (4)创建和配置丙公司武汉分公司的 6 个 VLAN。 S7(config)#vlan 70 S7(configvlan)#name caiwu S7(configvlan)#vlan 80 S7(configvlan)#name xingzheng S7(configvlan)#vlan 90 S7(configvlan)#name shengchan S7(configvlan)#vlan 100 S7(configvlan)#name yanfa S7(configvlan)#vlan 110 S7(configvlan)#name houqin S7(configvlan)#vlan 120 S7(configvlan)#name yewu S7(configvlan)#exit (5)按照静态 VLAN 把相应的交换机的端口分配给相应的 VLAN。
S1(config)#interface range fa0/1 – 20 S1(configifrange)#switchport S1(configifrange)# switchport mode access S1(configifrange)# switchport access vlan 70 S2(config)#interface range fa0/1 – 30 S2(configifrange)#switchport S2(configifrange)# switchport mode access S2(configifrange)# switchport access vlan 80 S3(config)#interface range fa0/1 – 40 S3(configifrange)#switchport S3(configifrange)# switchport mode access S3(configifrange)# switchport access vlan 90 S4(config)#interface range fa0/1 – 30 S4(configifrange)#switchport S4(configifrange)# switchport mode access S4(configifrange)# switchport access vlan 100 S5(config)#interface range fa0/1 – 10 S5(configifrange)#switchport S5(configifrange)# switchport mode access S5(configifrange)# switchport access vlan 110 S6(config)#interface range fa0/1 – 45 S6(configifrange)#switchport S6(configifrange)# switchport mode access S6(configifrange)# switchport access vlan 120 (6)VTP 修剪。 由于 VLAN 70 中的终端设备只连接在交换机 S1 上,VLAN 80 中的终端设备只连接在交 换机 S2 上,VLAN 90 中的终端设备只连接在交换机 S3 上,VLAN 100 中的终端设备只连接 在交换机 S4 上,VLAN 110 中的终端设备只连接在交换机 S5 上,VLAN 120 中的终端设备只 连接在交换机 S6 上,故而可以启用 VTP 修剪,减少中继链路上广播的流量,提高整个网络的 性能。这只需要在处于 VTP 服务器模式的交换机上执行就可以了。 S7(config)#vtp pruning (7)连通性验证。
