三层交换机和二层交换机之间的VLAN透传命令

三层交换机实现VLAN间通信1. 引言1.1 三层交换机实现VLAN间通信三层交换机是现代网络中的重要设备，可以实现不同VLAN之间的通信。

在传统的二层交换机中，不同VLAN之间是无法直接通信的，需要通过路由器进行通信，这样会增加网络的复杂度和延迟。

而三层交换机则可以在同一设备内实现不同VLAN之间的通信，提高了网络的效率和性能。

三层交换机实现VLAN间通信具有重要意义，可以提高网络的灵活性和效率，简化网络管理和维护。

随着网络规模的不断扩大和复杂度的增加，三层交换机将在未来的网络中扮演更加重要的角色，成为网络架构中不可或缺的一部分。

2. 正文2.1 介绍三层交换机的基本原理三层交换机是一种网络设备，它结合了交换机和路由器的功能。

在传统的网络环境中，二层交换机只能在同一个VLAN内进行通信，无法实现不同VLAN之间的通信。

而三层交换机则可以通过具备路由功能的接口，实现不同VLAN之间的通信。

三层交换机的基本原理是利用IP地址进行数据包的转发和路由。

当数据包从一个VLAN的主机发送到另一个VLAN的主机时，三层交换机会根据数据包中的目标IP地址，将数据包进行路由转发到目标VLAN内的主机。

这样就实现了不同VLAN之间的通信。

与二层交换机相比，三层交换机具有更高级的功能和更复杂的工作原理。

它可以实现更加灵活的网络拓扑结构，并且可以支持更多的网络服务和功能。

三层交换机还可以配合路由器使用，实现更加复杂和高效的网络管理和数据传输。

三层交换机的基本原理是通过结合交换机和路由器的功能，利用IP地址进行数据包的转发和路由，实现不同VLAN之间的通信。

这种技术在现代网络环境中起着至关重要的作用，为网络管理员提供了更多的选择和灵活性。

2.2 讨论VLAN的概念和作用VLAN即虚拟局域网，是一种将局域网络虚拟化的技术。

通过VLAN，可以将同一台交换机上的不同端口分割成不同的逻辑网络，实现不同VLAN之间的隔离和通信。

Ciｓｃo三层互换机＋二层互换机VLAN配备Ｃｉscｏ旳VLAN实现一般是以端口为中心旳。

与节点相连旳端口将拟定它所驻留旳VLAN。

将端口分派给VLAN旳方式有两种,分别是静态旳和动态旳. 形成静态VLAＮ旳过程是将端口强制性地分派给VLAN旳过程。

即我们先在VTP (VLAN Trunking Pｒotｏcoｌ)Ser ｖer上建立VLAN,然后将每个端口分派给相应旳VLAN旳过程。

这是我们创立VLAN最常用旳措施。

ﻫ动态VLAN形成很简朴,由端口决定自己属于哪个VLAN。

即我们先建立一种VMPS（VＬＡＮMembershiｐPoliｃy Seｒver）VLA Ｎ管理方略服务器，里面涉及一种文本文献,文献中存有与ＶLAN映射旳MＡＣ地址表。

互换机根据这个映射表决定将端口分派给何种VLＡN。

这种措施有很大旳优势，但是创立数据库是一项非常艰苦并且非常繁琐旳工作。

ﻫ下面以实例阐明如何在一种典型旳迅速以太局域网中实现VLＡN。

所谓典型旳局域网就是指由一台具有三层互换功能旳核心互换机接几台分支互换机(不一定具有三层互换能力）。

我们假设核心互换机名称为：CＯM;分支互换机分别为:PAＲ1、PAR２、PＡR３……,分别通过Ｐｏｒt１旳光线模块与核心互换机相连；并且假设VLAN名称分别为COUNTＥＲ、ＭARKET、MＡNAGINＧ……。

1、设立VTP DOMAＩNﻫﻫ称为管理域。

互换ＶTＰ更新信息旳所有交换机必须配备为相似旳管理域。

如果所有旳互换机都以中继线相连,那么只要在核心互换机上设立一种管理域,网络上所有旳互换机都加入该域,这样管理域里所有旳互换机就可以理解彼此旳VＬAN 列表。

ﻫﻫCOM#vlaｎdatabasｅ进入VLAN配备模式ﻫCOM(vｌａn)#vｔp ｄomain ＣOM 设立VＴP管理域名称CＯＭCOM(vlan)#ｖtp ｓervｅr 设立互换机为服务器模式PAR１＃vｌan ｄatabａｓe 进入ＶＬＡN配备模式PAR1(ｖｌan)#vｔp ｄoｍａiｎCOM 设立VＴP管理域名称ＣＯMＰAR１(vｌａn)#vｔp Clieｎt 设立互换机为客户端模式ﻫPAＲ2#vlan ｄaｔａbａse 进入VＬAN配备模式ＰAR２（ｖlａn)＃vtp domaiｎCOM 设立VTP管理域名称C ＯＭﻫPＡR2(vｌan)#vtp Clｉent 设立互换机为客户端模式ﻫPAR3#vlan ｄataｂａse 进入VＬAN配备模式ＰＡＲ3（vlaｎ)#vtp domain ＣＯM 设立VTP管理域名称COM PAＲ３(vlａn)＃vtp Cｌiｅｎｔ设立互换机为客户端模式ﻫﻫ注意：这里设立互换机为Serveｒ模式是指容许在本互换机上创立、修改、删除VＬAN及其他某些对整个VTＰ域旳配备参数，同步本VTP域中其他互换机传递来旳最新旳VＬAＮ信息；Ｃｌiｅnt模式是指本互换机不能创立、删除、修改VLＡN配备，也不能在NVＲＡM 中存储ＶLAN配备,但可以同步由本ＶＴP域中其他互换机传递来旳VLAＮ信息。

一组网需求：1．Switch‎A与Swit‎c hB用tr‎u nk互连，相同VLAN‎的PC之间可‎以互访，不同VLAN‎的PC之间禁‎止互访；2．PC1与PC‎2之间在不同‎V LAN，通过设置上层‎三层交换机S‎w itchB‎的VLAN接‎口10的IP‎地址为10.1.1.254/24，VLAN接口‎20的IP地‎址为20.1.1.254/24可以实现‎V LAN间的‎互访。

二组网图：1．VLAN内互‎访，VLAN间禁‎访一、实现VLAN‎内互访VLA‎N间禁访配置‎过程Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建（进入）VLAN10‎，将E0/10加入到V‎L AN10[Switch‎B]vlan 10[Switch‎B-vlan10‎]port Ethern‎e t 0/102．创建（进入）VLAN20‎，将E0/20加入到V‎L AN20[Switch‎B]vlan 20[Switch‎B-vlan20‎]port Ethern‎e t 0/203．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎B]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎B-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎B-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20二、通过三层交换‎机实现VLA‎N间互访通过三层交换‎机实现VLA‎N间互访的配‎置Switch‎A相关配置：1．创建（进入）VLAN10‎，将E0/1加入到VL‎A N10[Switch‎A]vlan 10[Switch‎A-vlan10‎]port Ethern‎e t 0/12．创建（进入）VLAN20‎，将E0/2加入到VL‎A N20[Switch‎A]vlan 20[Switch‎A-vlan20‎]port Ethern‎e t 0/23．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20Switch‎B相关配置：1．创建VLAN‎10[Switch‎B]vlan 102．设置VLAN‎10的虚接口‎地址[Switch‎B]interf‎a ce vlan 10[Switch‎B-int-vlan10‎]ip addres‎s 10.1.1.254 255.255.255.03．创建VLAN‎20[Switch‎B]vlan 204．设置VLAN‎20的虚接口‎地址[Switch‎B]interf‎a ce vlan 20[Switch‎B-int-vlan20‎]ip addres‎s 20.1.1.254 255.255.255.05．将端口G1/1配置为Tr‎u nk端口，并允许VLA‎N10和VL‎A N20通过‎[Switch‎A]interf‎a ce Gigabi‎t Ether‎n et 1/1[Switch‎A-Gigabi‎t Ether‎n et1/1]port link-type trunk[Switch‎A-Gigabi‎t Ether‎n et1/1]port trunk permit‎vlan 10 20。

实验二跨交换机实现VLAN利用三层交换机实现VLAN间路由VLANs（虚拟局域网）是一种在物理网络上划分逻辑网络的技术，能够将一个大型的局域网划分为多个较小的逻辑网络。

在本实验中，我们将探讨如何利用三层交换机实现VLAN之间的路由。

第一步：配置实验环境首先，我们需要搭建一个包含两个交换机的实验环境。

使用两台交换机，分别为交换机A和交换机B。

将两台交换机连接起来，可以使用一根网线连接两台交换机的一个端口。

第二步：创建VLAN在交换机A上创建两个VLAN，分别为VLAN10和VLAN20。

在交换机B上同样创建两个VLAN，也为VLAN10和VLAN20。

在每个交换机上配置VLAN的名称和VLAN号码。

第三步：配置端口和VLAN间的关联在交换机 A 上，将连接交换机 B 的端口设置为 trunk 端口。

然后，在交换机 A 上将 VLAN 10 和 VLAN 20 都关联到 trunk 端口。

同样，在交换机 B 上将 VLAN 10 和 VLAN 20 都关联到 trunk 端口。

第四步：配置三层交换机在交换机A上，将其中一个接口设置为三层交换机的端口，并将此端口分配给VLAN10。

同样，在交换机B上也将一个接口设置为三层交换机的端口，并将此端口分配给VLAN20。

第五步：配置路由在交换机A上，配置路由，将VLAN10和VLAN20进行路由。

在交换机B上也需要进行同样的配置。

第六步：测试现在可以测试VLAN之间的路由是否成功。

连接两台主机至交换机A 的接口和交换机B的接口，确保每台主机都在不同的VLAN中。

在主机A上，配置IP地址为VLAN10子网的IP地址，如192.168.10.2、在主机B上，配置IP地址为VLAN20子网的IP地址，如192.168.20.2然后尝试从主机 A ping 主机 B，如果能够成功得到回应，则表示VLAN 之间的路由成功实现。

总结：在本实验中，我们使用两个交换机和一个三层交换机搭建了一个VLAN间路由的环境。

端口的trunk 属性配置（一）1 功能需求及组网说明 端口的trunk 配置『配置环境参数』1. SwitchA 端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchB端口E0/3互连2. SwitchB 端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchA端口E0/3互连『组网需求』1. 要求SwitchA 的vlan10的PC 与SwitchB 的vlan10的PC 互通2. 要求SwitchA 的vlan20的PC 与SwitchB 的vlan20的PC 互通2 数据配置步骤『vlan 透传转发流程』报文在进入交换机端口时如果没有802.1Q 标记将被打上端口的PVID （即defauld vlan ID ），之后该数据包就只能在这个vlan 域内进行转发，不同的vlan 在二层之间是隔离开的，不能实现互相访问。

【SwitchA 相关配置】1. 创建（进入）vlan10[SwitchA] vlan 102. 将E0/1加入到vlan10[SwitchA-vlan10]port Ethernet 0/13. 创建（进入）vlan20[SwitchA]vlan 204. 将E0/2加入到vlan20Vlan 10Vlan 20Vlan 10Vlan 20[SwitchA-vlan20]port Ethernet 0/25.实际当中一般将上行端口设置成trunk属性，允许vlan透传[SwitchA-Ethernet0/3]port link-type trunk6.允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值[SwitchA-Ethernet0/3]port trunk permit vlan all【SwitchB相关配置】1.创建（进入）vlan10[SwitchB] vlan 102.将E0/1加入到vlan10[SwitchB-vlan10]port Ethernet 0/13.创建（进入）vlan20[SwitchB]vlan 204.将E0/2加入到vlan20[SwitchB-vlan20]port Ethernet 0/25.实际当中一般将上行端口设置成trunk属性，允许vlan透传[SwitchB-Ethernet0/3]port link-type trunk6.允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值[SwitchB-Ethernet0/3]port trunk permit vlan all【补充说明】1.如果一个端口是trunk端口，则该端口可以属于多个vlan；2.缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令porttrunk pvid vlan vlanid 来修改端口的PVID；3.如果从trunk转发出去的数据报文的vlan id和端口的PVID一致，则该报文的VLAN信息会被剥去，这点在配置trunk端口时需要注意。

二层和三层转发二层转发的机制是什么?学习线程和报文转发线程。

二层只跟MAC地址有关与IP无关所以在二层做IP－MAC绑定是无效的。

三层以太网交换机的转发机制主要分为两个部分：二层转发和三层交换。

先讲二层转发流程。

1、MAC地址介绍MAC地址是48 bit二进制的地址，如：00-e0-fc-00-00-06。

可以分为单播地址、多播地址和广播地址。

单播地址：第一字节最低位为0，如：00-e0-fc-00-00-06多播地址：第一字节最低位为1，如：01-e0-fc-00-00-06广播地址：48位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通设备网卡或者路由器设备路由接口的MAC地址一定是单播的MAC地址才能保证其与其它设备的互通。

2）MAC地址是一个以太网络设备在网络上运行的基础，也是链路层功能实现的立足点。

----------------------------------------------------------------------------------2、二层转发介绍交换机二层的转发特性，符合802.1D网桥协议标准。

交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。

学习线程如下：1）交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC地址来建立MAC地址表；2）端口移动机制：交换机如果发现一个包文的入端口和报文中源MAC地址的所在端口不同，就产生端口移动，将MAC地址重新学习到新的端口；3）地址老化机制：如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC地址就会被删除，等下次报文来的时候会重新学习。

注意：老化也是根据源MAC地址进行老化。

报文转发线程:1）交换机在MAC地址表中查找数据帧中的目的MAC地址，如果找到，就将该数据帧发送到相应的端口，如果找不到，就向所有的端口发送；2）如果交换机收到的报文中源MAC地址和目的MAC地址所在的端口相同，则丢弃该报文；3）交换机向入端口以外的其它所有端口转发广播报文。

Cisco三层交换机+二层交换机VLAN配置Cisco的VLAN实现通常是以端口为中心的。

与节点相连的端口将确定它所驻留的VLAN。

将端口分配给VLAN的方式有两种，分别是静态的和动态的. 形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。

即我们先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然后将每个端口分配给相应的VLAN的过程。

这是我们创建VLAN最常用的方法。

动态VLAN形成很简单，由端口决定自己属于哪个VLAN。

即我们先建立一个VMPS（VLAN Membership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。

交换机根据这个映射表决定将端口分配给何种 VLAN。

这种方法有很大的优势，但是创建数据库是一项非常艰苦而且非常繁琐的工作。

下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。

所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。

我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3……，分别通过Port1的光线模块与核心交换机相连；并且假设VLAN名称分别为 COUNTER、MARKET、MANAGING……。

1、设置VTP DOMAIN称为管理域。

交换VTP更新信息的所有交换机必须配置为相同的管理域。

如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。

COM#vlan database 进入VLAN配置模式COM(vlan)#vtp domain COM 设置VTP管理域名称COMCOM(vlan)#vtp server 设置交换机为服务器模式PAR1#vlan database 进入VLAN配置模式PAR1(vlan)#vtp domain COM 设置VTP管理域名称COMPAR1(vlan)#vtp Client 设置交换机为客户端模式PAR2#vlan database 进入VLAN配置模式PAR2(vlan)#vtp domain COM 设置VTP管理域名称COMPAR2(vlan)#vtp Client 设置交换机为客户端模式PAR3#vlan database 进入VLAN配置模式PAR3(vlan)#vtp domain COM 设置VTP管理域名称COMPAR3(vlan)#vtp Client 设置交换机为客户端模式注意：这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN 配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。

跨交换机实现VLAN互通设置trunk（两个Vlan口设置相同）enable（进入特权模式）conf t（进入全局模式）int f0/1switchport mode trunk三层交换机实现路由器功能，需要主机，三个交换机，一个路由器三层交换机实现路由功能配置三层交换机：（配置）Switch>Switch>enSwitch#confSwitch(config)#int f0/1 //配置端口f0/1 为trunkSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport mode trunkSwitch(config-if)#EXITSwitch(config)#int f0/2 //配置端口 f0/2 为trunkSwitch(config-if)#switchport mode accessSwitch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#vlan 2 // 创建vlan2Switch(config-vlan)#exitSwitch(config)#vlan 1 // 创建vlan1Switch(config-vlan)#exitSwitch(config)#int vlan 1 // 配置 vlan 1 的 ip地址(网关)Switch(config-if)#no shutSwitch(config-if)#ip address 192.168.1.168 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 2 //配置 vlan 2 的 ip地址(网关)Switch(config-if)#ip address 192.168.2.168 255.255.255.0Switch(config-if)#exitSwitch(config)#int f0/3 // 配置端口f0/3 到路由器为不交换Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.10.1 255.255.255.0// 配置到路由器 ip 地址Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#ip routing // 配置路由器 IP 地址Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2静态路由假如给路由B设置静态跳转，若遇到访问计算机A（也就是192.168.1.0）这个网段的数据包，给他规定了往路由A的1/0端口（也就是192.168.3.1）跳转，再在跳转后到达的路由查询路由表，查询计算机A（也就是192.168.1.0）的这个网段再转发数据包！具体命令如下：Router(config)#iproute 192.168.1.0 255.255.255.0 192.168.3.1（在全局配置模式下）目的地址下一跳地址息了！具体命令如下：Router(config)#iproute 192.168.2.0 255.255.255.0 192.168.3.2（在全局配置模式下）默认路由这个路由将匹配所有的包. 能帮助减少路由条目配置一条默认静态路由和静态路由相似，但IP地址和子网掩码全部是零例如:ip route 0.0.0.0 0.0.0.0 [网关ip或接口]子网掩码 0.0.0.0 代表匹配所有网络交换机端口安全配置1、配置交换机端口的最大连接数限制Switch(config)#interface tange fastethernet 0/1-23 //进入一组端口配置模式Switch(config-if-range)# switchport port-security //开启交换机的端口安全功能Switch(config-if-range)# switchport port-security maximum 1 //配置端口的最大连接数为1Switch(config-if-range)# switchport port-security violation shutdown //配置违反安全的处理方式为shutdown验证测试：查看交换机端口的安全配置Switch#show port- security2.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉(端口因启用安全设置down掉后,需在特权模式下reload 重启后在端口合法连接的情况下方能开启)。

通过前面的学习，我们已经了解了为了实现局域网广播的隔离，为了更便于网络的管理，我们需要通过VLAN 划分将网络分割成更小的网络。

相同VLAN 之间可以通过级联或TRUNK 来实现通信，不同的VLAN 之间是不能直接通信的，要实现不同VLAN 之间的通信，需要通过三层交换机或路由器。

一、利用三层交换虚拟接口实现VLAN 互访1．网络拓朴图2． 连接PC1到二层交换机S2126的第10口，连接PC2到S2126的第20口，测试PC1与PC2的连通性。

（测试结果：PC1与PC2能够连通，原因：处于同一网络）3． 将S2126的1至12口划分到VLAN10；将S2126的13至24 口划分到VLAN20，测试PC1与PC2的连通性。

（测试结果：PC1与PC2不能连通，原因：处于不同VLAN 中）S2126(config)#vlan 10S2126(config-vlan)#exitS2126(config)#vlan 20S2126(config-vlan)#exitS2126(config)#vlan 10S2126(config-vlan)#exitS2126(config)#interface range fastethernet 0/1-12S2126(config-range-if)#switchport access vlan 10S2126(config-range-if)#no shutdownS2126(config-range-if)#exitS2126(config)#interface range fastethernet 0/13-24S2126(config-range-if)#switchport access vlan 20S2126(config-range-if)#no shutdownS2126(config-range-if)#exit4．在三层交换机划分VLAN10、VLAN20，并将Fa10划到VLAN10，Fa20划到VLAN20，。

华三(H3C)交换机配置跨交换机间VLAN的通信一组网需求：1．SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN 的PC 之间禁止互访；2．PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN 接口10的IP地址为10.1.1.254/24，VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。

二组网图：1．VLAN内互访，VLAN间禁访一、实现VLAN内互访VLAN间禁访配置过程SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/1 2．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20SwitchB相关配置：1．创建（进入）VLAN10，将E0/10加入到VLAN10[SwitchB]vlan 10[SwitchB-vlan10]port Ethernet 0/102．创建（进入）VLAN20，将E0/20加入到VLAN20 [SwitchB]vlan 20[SwitchB-vlan20]port Ethernet 0/203．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchB]interfaceGigabitEthernet 1/1[SwitchB-GigabitEthernet1/1]port link-type trunk[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20二、通过三层交换机实现VLAN间互访通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1．创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12．创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/23．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置：1．创建VLAN10[SwitchB]vlan 102．设置VLAN10的虚接口地址[SwitchB]interface vlan 10[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3．创建VLAN20[SwitchB]vlan 204．设置VLAN20的虚接口地址[SwitchB]interface vlan 20[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.05．将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1[SwitchA-GigabitEthernet1/1]port link-type trunk[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20。

实验 4 通过三层交换机实现VLAN之间的通信2.4.1 实验概述实现VLAN 之间的通信，在配置过程中需要同时用到二层和三层设备，在二层上创建VLAN，并将端口添加到指定的VLAN 中。

1．实验目的在本章的实验 2 和实验 3 中介绍了VLAN 的实现，这两个实验的实质都是基于端口的VLAN（Port VLAN）技术。

在基于端口的VLAN 中，不同VLAN 之间的端口是无法实现通信的。

如果要实现不同VLAN 之间的通信，一般需要使用路由器或三层交换机，在目前的应用中以三层交换机居多。

本实验将通过三层交换机来实现不同VLAN 之间的通信。

2．实验原理局域网内的通信是通过数据帧头部的目标主机的MAC 地址来完成的。

在使用TCP/IP 协议的网络中，需要通过ARP 地址解析协议来查找某一IP 地址对应的MAC 地址。

而ARP 是通过广播报文来实现的，如果广播报文无法到达目的地，那么就无法解析到MAC 地址，进而无法直接通信。

当计算机分别位于不同的VLAN 时，就意味这些计算机分别属于不同的广播域，所以不同VLAN 中的计算机由于收不到彼此的广播报文就无法直接互相通信。

3．实验内容和要求（1）继续学习tag 端口和untag 端口的功能和应用；（2）学习三层交换机的功能及配置方法；（3）结合二层和三层交换机的功能，学习两者之间的配合应用；（4）通过三层交换机的配置，实现不同VLAN 主机之间的通信。

2.4.2 实验规划1．实验设备（1）二层交换机（2 台以上），三层交换机（1 台）（2）实验用PC（4 台以上）（3）直连双绞线（4 根）（5）交叉双绞线（2 根）2．实验拓扑如图2-10 所示。

在该实验中我们分别创建VLAN 10 和VLAN 20 两个VLAN，其中将Switch-A 和Switch-B 上的端口f 0/2~f 0/6 分配给VLAN 10，而将Swithc-A 和Switch-B上的端口f 0/7~f 0/12 分配给VLAN 20。

1.第一台二层交换机Switch>enSwitch#Switch#config tEnter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW2-1SW2-1(config)#vlan 10SW2-1(config-vlan)#exitSW2-1(config)#interface range f0/1 - 10SW2-1(config-if-range)#switchport access vlan 10SW2-1(config-if-range)#exitSW2-1(config)#vlan 20SW2-1(config-vlan)#exitSW2-1(config)#interface range f0/11 - 20SW2-1(config-if-range)#switchport access vlan 20SW2-1(config-if-range)#exitSW2-1(config)#int f0/24SW2-1(config-if)#switchport mode trunkSW2-1(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to upSW2-1(config-if)#SW2-1(config-if)#SW2-1(config-if)#exitSW2-1(config)#exitSW2-1#%SYS-5-CONFIG_I: Configured from console by console SW2-1#show vlan bVLAN Name Status Ports---- -------------------------------- ----------------------------------------1 default active Fa0/21, Fa0/22, Fa0/2310 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/1020 VLAN0020 active Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/201002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default activeSW2-1#SW2-1#SW2-1#show int f0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneAdministrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: noneTrunking VLANs Enabled: ALLPruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALLProtected: falseAppliance trust: noneSW2-1#2.第二台二层交换机Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW2-2SW2-2(config)#vlan 10SW2-2(config-vlan)#vlan 20SW2-2(config-vlan)#exitSW2-2(config)#interface range f0/1 - 10SW2-2(config-if-range)#switchport access vlan 10SW2-2(config-if-range)#interface range f0/11 - 20SW2-2(config-if-range)#switchport access vlan 20SW2-2(config-if-range)#int f0/24SW2-2(config-if)#switchport mode trunkSW2-2(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to upSW2-2(config-if)#SW2-2(config-if)#exitSW2-2(config)#exitSW2-2#%SYS-5-CONFIG_I: Configured from console by consoleSW2-2#show vlan bVLAN Name Status Ports---- -------------------------------- ----------------------------------------1 default active Fa0/21, Fa0/22, Fa0/2310 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/1020 VLAN0020 active Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/201002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default activeSW2-2#show int f0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunkOperational Mode: trunkAdministrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Voice VLAN: noneAdministrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: noneTrunking VLANs Enabled: ALLPruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALLProtected: falseAppliance trust: noneSW2-2#3.三层交换机Switch>Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hoSwitch(config)#hostname SW3SW3(config)#vlan 30SW3(config-vlan)#SW3(config-vlan)#exitSW3(config)#interface range f0/1 - 10SW3(config-if-range)#switchport access vlan 30SW3(config-if-range)#exitSW3(config-if)#interface fa0/23SW3(config-if)#switchport mode trunkCommand rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.SW3(config-if)#switchport trunk encapsulation dot1qSW3(config-if)#switchport mode trunkSW3(config-if)#interface fa0/24SW3(config-if)#switchport trunk encapsulation dot1qSW3(config-if)#switchport mode trunkSW3(config-if)#从上图可以看出，同网段、同交换机、同vlan可以通信不同网段、不同交换机、不同vlan不可以通信如何实现同vlan 不同交换机之间通信在三层上做如下配置：配置虚拟端口IPSW3#conf tEnter configuration commands, one per line. End with CNTL/Z.SW3(config)#vlan 10 //创建 vlan10虚拟端口SW3(config-vlan)#%LINK-5-CHANGED: Interface Vlan10, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to upSW3(config-vlan)#vlan 20 //创建 vlan20虚拟端口SW3(config-vlan)#exit//配置vlan端口IP和子网掩码做网关SW3(config)#SW3(config)#interface vlan 10SW3(config-if)#ip address 192.168.10.254 255.255.255.0SW3(config-if)#interface vlan 20SW3(config-if)#ip address 192.168.20.254 255.255.255.0SW3(config-if)#interface vlan 30SW3(config-if)#ip address 192.168.30.254 255.255.255.0SW3(config-if)#SW3(config-if)#exitSW3#show vlan bVLAN Name Status Ports---- -------------------------------- ----------------------------------------1 default active Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Gig0/1, Gig0/210 VLAN0010 active20 VLAN0020 active30 VLAN0030 active Fa0/1, Fa0/2, Fa0/3, Fa0/4Fa0/5, Fa0/6, Fa0/7, Fa0/8Fa0/9, Fa0/101002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default activeSW3#可以看出相同vlan 不同交换机之间通信不同vlan之间不能通信如何实现不同vlan之间通信，需要在三层交换机上开启路由功能SW3#SW3#conf tEnter configuration commands, one per line. End with CNTL/Z. SW3(config)#ip routingSW3(config)#。

实验五利用三层交换机实现VLAN间路由一、实验目的1．掌握交换机Tag vlan配置方法2．掌握三层交换机基本配置方法。

3．掌握三层交换机VLAN路由的配置方法4．通过三层交换机实现VLAN间互相通信二、实验环境S2126（1台）、S3550（1台）、主机（3台）、直连线（4条）、交叉线（1条）。

三、实验背景某企业有两个主要部门，技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，技术部和销售部分处于不同的VLAN，现由于业务的需求需要销售部和技术部的主机能够互相访问，获得相应的资源，两个部门的交换机通过一台三层交换机进行了连接。

四、技术原理三层交换机具备网络层的功能，实现VLAN互相访问的原理是：利用三层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行选路转发，三层交换机利用其直接路由可以实现不同VLAN之间的互相访问。

三层交换机给接口配置IP 地址，采用SVI（交换虚拟接口）的方式实现VLAN间互联，SVI是指为交换机中的VLAN创建虚拟接口，并且配置IP地址。

五、实验步骤1、新建拓扑图2、在二层交换机上配置VLAN2、VLAN3，分别将端口2、端口3划分到VLAN2、VLAN3中。

3、将二层交换机和三层交换机相连接的端口都定义为Tag vlan模式。

4、在三层交换机上配置VLAN2、VLAN3，此时验证二层交换机（VLAN2、VLAN3）下两主机之间不能互相通信。

5、设置三层交换机VLAN间通信，创建VLAN2、VLAN3的虚拟接口，并配置虚拟接口的IP地址。

6、查看三层交换机路由表7、将二层交换机VLAN2、VLAN3下的主机默认网关分别设置为相应虚拟接口的IP地址。

8、验证二层交换机（VLAN2、VLAN3）下两主机之间可以互相通信。

六、实验过程中需要的相关知识点1、创建、修改一个VLAN在特权模式下，通过如下步骤，您可以创建或者修改一个VLAN：命令含义步骤1 configure terminal进入全局配置模式步骤2 vlan vlan-id 输入一个VLAN ID。

2层交换机和3层交换机来实现不同网段的通信技术原理：三层交换机具有网络层的功能，实现vlan相互访问的原理是：利用3层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行进行选路转发。

三层交换机利用直接路由可以实现不同vlan之间的互相访问。

三层交换机给接口配置IP地址，采用SVI (交换虚拟接口)的方式实现VLAN间互连，SVI是指为交换机中的VLAN创建虚拟接口，并且配置IP地址。

实验过程：实验拓扑图：看附图pc0.pc1分别和switch0相连，并且pc0和f0/2相连, pc1和f0/3相连，3层交换机和2层交换机通过f0/1相连，三层交换机的f0/2口和pc2的fastethernet 相连.给2个pc 机输入IP地址pc0: 192.168.1.2255.255.255.0192.168.1.1pc1: 192.168.2.2255.255.255.0192.168.2.1pc2: 192.168.1.3255.255.255.0192.168.1.1在2层交换机上划分2个vlan (vlan 2,和vlan 3)然后把f0/2 划分到vlan 2f0/3 划分到vlan 3然后把f0/24口设置为trunk 模式。

命令如下：Switch>enableSwitch#config terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 2Switch(config-vlan)#name vlan2Switch(config-vlan)#exitSwitch(config)#vlan 3Switch(config-vlan)#name vlan3Switch(config-vlan)#exitSwitch(config)#i nterface f0/2Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 2Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 3Switch(config-if)#exitSwitch(config)#interface f0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#exitSwitch#%SYS-5-CONFIG_I: Configured from console by consoleSwitch#show vlanVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Fa0/23, Fa0/24, Gig1/1, Gig1/22 vlan2 active Fa0/23 vlan3 active Fa0/31002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------1 enet 100001 1500 - - - - - 0 02 enet 100002 1500 - - - - - 0 03 enet 100003 1500 - - - - - 0 01002 fddi 101002 1500 - - - - - 0 0 Switch#3层交换机进行配置：Switch>enableSwitch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#vlan 3Switch(config-vlan)#exitSwitch(config)#interface fa 0/1Switch(config-if)#switchport mode trunkCommand rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.Switch(config-if)#exitSwitch(config)#interface vlan 2%LINK-5-CHANGED: Interface Vlan2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to upSwitch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan 3%LINK-5-CHANGED: Interface Vlan3, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to upSwitch(config-if)#ip address 192.168.2.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface fa 0/2Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 2Switch(config-if)#endSwitch#%SYS-5-CONFIG_I: Configured from console by consoleSwitch#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, Vlan2 C 192.168.2.0/24 is directly connected, Vlan3 Switch#。

三层交换机怎么设置vlan间通信用到什么命令交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

三层交换机怎么设置vlan间通信?在三层交换机与二层交换机之间采用trunk链路，实现各子网的互联，但是具体该怎么设置呢?下面我们来看看三层交换机vlan 通信的设置方法，需要的朋友可以参考下方法步骤1、有三台电脑pc0、pc1、pc2和一台二层交换机相连，二层交换机再和三层交换机相连。

其中设置pc0和pc1属于vlan10，pc2属于vlan20。

2、先设置pc0和pc1、pc2的ip地址。

pc0的ip地址为192.168.10.2 255.255.255.0pc1的ip地址为192.168.10.3 255.255.255.0pc0的ip地址为192.168.20.2 255.255.255.0 以下给出pc0的ip配置。

3、在交换机Switch0上创建vlan 10和vlan 20。

4、在二层交换机上将F0/1口和f0/2口划分到VLAN 10中。

将F0/3口划分到VLAN 20中。

5、在二层交换机上与三层交换机相连的端口(此处为F0/4端口)定义为trunk模式6、对于三层交换机先开启它的路由功能。

7、在三层交换机的接口f0/1上创建虚拟接口vlan10和vlan 20。

并且配置三层交换机的配置vlan10和vlan20虚拟接口的ip地址。

8、在三层交换机与二层交换机相连的接口f0/1上配置成trunk模式。

9、在pc0上通过cmd去ping pc1和pc2都能连通。

相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

华为公司三层以太网交换机基本原理及转发流程本文简要介绍了华为公司三层以太网交换机的二三层转发机制，主要目的是帮助读者进一步了解华为交换机的基本原理及转发流程，以期有利于更好的从事设备维护工作和建立于进一步学习的索引。

三层以太网交换机的转发机制主要分为两个部分：二层转发和三层交换.1.二层转发流程1.1.MAC地址介绍MAC地址是48 bit二进制的地址，如：00—e0-fc-00—00—06。

可以分为单播地址、多播地址和广播地址。

单播地址:第一字节最低位为0，如：00-e0-fc-00—00-06多播地址：第一字节最低位为1，如：01-e0-fc-00—00-06广播地址:48位全1,如：ff-ff—ff-ff-ff—ff注意：1）普通设备网卡或者路由器设备路由接口的MAC地址一定是单播的MAC地址才能保证其与其它设备的互通。

2）MAC地址是一个以太网络设备在网络上运行的基础,也是链路层功能实现的立足点。

1.2.二层转发介绍交换机二层的转发特性,符合802.1D网桥协议标准。

交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。

学习线程如下：1）交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC地址来建立MAC地址表;2）端口移动机制：交换机如果发现一个包文的入端口和报文中源MAC 地址的所在端口不同，就产生端口移动,将MAC地址重新学习到新的端口；3）地址老化机制：如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC地址就会被删除，等下次报文来的时候会重新学习.注意：老化也是根据源MAC地址进行老化.报文转发线程：1）交换机在MAC地址表中查找数据帧中的目的MAC地址，如果找到，就将该数据帧发送到相应的端口,如果找不到，就向所有的端口发送；2）如果交换机收到的报文中源MAC地址和目的MAC地址所在的端口相同，则丢弃该报文；3）交换机向入端口以外的其它所有端口转发广播报文。