交换机、路由器的配置与管理讲义

（一）VLAN的汇聚链路
方法2：让交换机间的互连链路汇集到一条链路上，让该链路允许各 个VLAN的通信流经过。这条链路，称为交换机的汇聚链路或主干链 路（Trunk Link）。如图所示。
（一）VLAN的汇聚链路
1. 提供汇聚链路的端口，称为汇聚端口，由于汇聚链路承载 了所有VLAN的通信流量，因此要求只有通信速度在 100Mb/s或以上的端口，才能作为汇聚端口使用。
2. 在引入VLAN后，交换机的端口按用途就分为了访问连接 端口（Access Port）和汇聚连接端口（Trunk Port）两种。 Access Port通常用于连接客户PC，以提供网络接入服务。 该种端口只属于某一个VLAN，并且仅向该VLAN发送或 接收数据帧。端口所属的VLAN通常也称作Native VLAN。 Trunk Port属于多个VLAN，可以透明传输交换机上所有 VLAN的帧，作为跨交换机传输数据用。
任务描述： 在交换机上为不同部门建立VLAN，并把相应的接口
加入VLAN，同时实现跨交换机的VLAN间通信。
施工场景
如图所示是某教学楼内在不同的楼层有两台接入交换机，这个教学楼内有 三个部门，三个部门在不同的楼层都有办公室，现在仅拿出每部门不同楼层的2 台计算机做VLAN的接入测试。具体配置要求如下：
删除VLAN40的命令为： S2126-1(config)#no vlan-40
VLAN的配置
4．向VLAN分配Access端口
在接口模式下可利用如下命令将选中的端口划分到一个已经创
建的VLAN中。如果把一个接口分配给一个不存在的VLAN，那 么这个VLAN将自动被创建。
S2126-1(config)#vlan 10
//进入VLAN10的配置模式
S2126-1(config-vlan)#name VLAN-10
//给VLAN10命名
VLAN20和VLAN30的命名同样配置，另外还要对S2126-2 的三个新建VLAN命名。
VLAN的配置
3．删除VLAN 要删除已经创建的VLAN的配置命令为：no vlan vlan-id 其中，vlan-id是要删除的VLAN，VLAN删除后，原来属于 该VLAN的交换机端口将仍然属于该VLAN，不会自动划归 到VLAN 1。由于所属的VLAN已被删除，此时这些端口将 处于非活动状态，在查看VLAN时看不到这些端口。因此， 在删除VLAN之前，最好先将属于该VLAN的端口划归到 VLAN 1，然后再删除该VLAN。 VLAN 1是系统默认的，不能由用户删除。
3. 由于汇聚链路承载了所有VLAN的通信流量，为了标识各 数据帧属于哪一个VLAN，为此，需要对流经汇聚链接的 数据帧进行打标（Tag）封装，以附加上VLAN信息，这 样交换机就可通过VLAN标识，将数据帧转发到对应的 VLAN中。
（二）VLAN封装协议
• 在原来的以太网帧的基础上增加了4个字节的Tag信息就是802.1Q VLAN 标准帧，其中包括2个字节的TPID和2个字节的TCI。TPID是一个固定值： 0X8100，而TCI中又包含3位的优先级，一位的CFI,其默认值为0，其余 的12位作为VID。
任务一 认识虚拟局域网
任务描述： 校园网不同部门的人员数量、网络业务和网络安全需
求是不同的，比如财务部、人事等部门在接入网络的时候， 不但要防范来自Internet的攻击，还要防止内网的随意访 问。而对于教务处，学工处等部门，则需要和各系部之间 进行交流通信。但是在架设的时候，可能所有的计算机都 从外围的一个或几个交换机连入网络，这种情况下，既要 实现网络隔离，又要实现部分部门的相互通信，对接入层 交换机来说，是一个需要迫切解决的问题。
端口的VLAN。
任务二 VLAN汇聚链接与封装协议
任务描述： 掌握VLAN的汇聚链路以及封装的协议。
施工场景
在实际应用中，VLAN中的端口有可能在同一个交换 机上，也有可能跨越多台交换机，比如，同一个部门的员 工，可能会分布在不同的建筑物或不同的楼层中，此时的 VLAN，就将跨越多台交换机。如图所示，需要实现不同 交换机上相同VLAN间的通信。
每个Access Port只能属于一个VLAN，Access Port只传输属于这个 VLAN的帧。Access port只接收以下3种帧：untagged帧、vid为0的 tagged帧和vid为access port所属VLAN的帧；只发送untagged帧。配置 某接口类型为access port的命令为：
（三）交换机端口类型
交换机端口是由交换机上的单个物理端口构成，只有二层交换功能， 从功能上分为Access Port和Trunk Port。Access Port和Trunk Port的配 置必须通过手动配置。通过Switchport接口配置命令可对Switch port模式 进行配置。 1．Access Port
VLAN的配置
2．命名VLAN
为区分不同的VLAN，应对VLAN取一个名字。VLAN的名字 默认为“VLAN+用0开头的4位VLAN ID号”。比如，VLAN 0004就是VLAN 4的默认名字。给VLAN命名的配置命令：
name vlan-name
其中，vlan-name为VLAN的名字。
给VLAN10命名的命令为：
• IEEE 802.1Q标准用于跨交换机实现Tag VLAN。最多支持250个VLAN， 其VID范围是1～4094，其中VLAN1是不可删除的默认VLAN。在应用 IEEE 802.1Q标准的交换机上，计算机发出的数据帧到达交换机时会在 原来的帧上增加Tag标记，标识上VID，当802.1Q帧通过Trunk端口到达 另一个交换机时，就会按VID找到相应的VLAN，数据帧离开交换机时会 拆除Tag标记，再查找MAC地址表转发到相应端口。
Switch(config-if)#Switchport mode access
将S2126-1的fastethernet 0/2设为access port的命令为： S2126-1#configure terminal S2126-1(config)#interface f0/10 S2126-1(config-if)#Switchport mode access
交换网络中的问题
广播域
在交换机组成的校园网络里所有主机都在同一个广播域内
交换网络中的问题
VLAN 20
VLAN 30
VLAN Байду номын сангаас0
VLAN 40
通过VLAN技术可以对网络进行一个安全的隔离、分割广播域
VLAN技术
交换机
1234
广播帧
广播帧
广播域
广播域
• VLAN 概述（Virtual Local Area Network）
参数 VLAN ID VLAN name VLAN state
默认值 1
VLAN x active
范围 1～4094 其中x是VLAN Name，无范围 active、inactive
VLAN的配置
1．创建VLAN
其配置命令为：S2126-1(config)# vlan vlan-id
其中vlan-id代表要创建的VLAN号。默认情况下，交换机 会自动创建和管理VLAN 1，所有交换机端口默认均属于 VLAN 1，用户不能删除该VLAN。用户可创建的VLAN的 ID范围是2～4094，但最多只能建立250个VLAN。
(一）VLAN的默认配置
VLAN是以VLANID来标识的，遵循IEEE 802.1Q标准，最多支 持250个VLAN（VLAN ID范围是1～4094）。在交换机上可以添加、 删除、修改VLAN 2～VLAN 4094，而VLAN 1则是由交换机自动创 建，并且不可被删除。下表列出了VLAN的默认配置。
（三）交换机端口类型
2．Trunk Port Trunk Port传输属于多个VLAN的帧，默认情况下Trunk Port将传输所 有VLAN的帧，可通过设置VLAN许可列表来限制Trunk Port 传输哪些 VLAN的帧。每个接口都属于一个Native VLAN，所谓Native VLAN， 就是指在这个接口上收发的UNTAG（非标记）报文，都被认为是属 于这个VLAN的。Trunk Port可接收 tagged（标记）和untagged（非 标记）帧。 配置某接口类型为Trunk Port的命令为： Switch(config-if)#Switchport mode trunk
（一）VLAN的汇聚链路
当VLAN成员分布在多台交换机的端口上时，如何才能实现彼此间的通信 方法1：就是在交换机上各提供一个端口，用于将两台交换机级联起来，专门 用于提供该VLAN内的主机跨交换机相互通信。如图所示：
缺点：有多少个VLAN，就对应地需要占用多少个端口；这对宝贵的交换机端 口而言，是一种严重的浪费，而且扩展性和管理效率都很差 。
– 安全性：通过在二层网络划分VLAN，可以实现在二层网络中不同VLAN 间的数据隔离，。
– 故障隔离：通过VLAN的划分，由于将设备划分到不同的广播域当中，可 以减小网络故障的影响。
（二）VLAN的分类
根据定义VLAN成员关系的不同，VLAN可以分为以下6种。 （1）基于端口的VLAN（Port-Based）。 （2）基于协议的VLAN（Protocol-Based）。 （3）基于MAC层分组的VLAN（MAC-Layer Grouping）。 （4）基于网络层分组的VLAN（Network-Layer Grouping）。 （5）基于IP组播分组的VLAN（IP Multicast Grouping）。 （6）基于策略的VLAN（Policy-Based）。 不同种类的VLAN适用于不同的场合,但目前应用最广泛的是基于
PC
IP
PC
PC1
192.168.10.2/24
PC4
PC2
192.168.20.2/24
PC5
PC3
192.168.30.2/24
PC6
IP 192.168.10.3/24 192.168.20.3/24 192.168.30.3/24
施工分析
在进行VLAN配置时，首先应根据应用需求，规划设 计网络拓扑结构，并进行VLAN划分和IP地址分配规划， 最后才开始着手VLAN的配置和调试。配置VLAN大致有以 下几个步骤。 （1）VLAN配置分析规划，解决配置什么的问题。 （2）VLAN的具体配置，实现在交换机上配置VLAN。 （3）VLAN配置信息的查看、修改，确保配置合理正确。 （4）VLAN配置信息的保存。
交换机/路由器的配置与管理
项目四 虚拟局域网及其配置
学习目标
熟悉虚拟局域网的概念、作用及分类 掌握跨交换机VLAN的配置管理
重、难点
跨交换机VLAN的配置管理
项目分析
对于校园网，不同部门之间的人员数量、网络业务和 网络安全需求也是不同的，但是在架设的时候，可能所有 的计算机都从外围的一个或者几个接入交换机连入网络， 在这种情况下，如何实现逻辑上的部门隔离，并在需要的 时候实现不同部门间的通信，是交换机所要实现的一个功 能。
– VLAN是划分出来的逻辑网络，是第二层网络。 – VLAN端口不受物理位置的限制。 – VLAN 隔离广播域。
VLAN技术的好处
• 通过在交换网络中的VLAN技术的实施，可 以为网络带来很多诸如隔离广播、安全、 负载分担等好处。
– 隔离广播：在交换网络中，通过广播域的隔离，可以大大减少网络中泛 洪的广播包，从而提高网络中的带宽利用率。
创建VLAN10的命令是：
S2126-1(config)#vlan 10
//创建VLAN10
同样可以在S2126-1创建VLAN20、VLAN30和VLAN40，由于 是在整个网络中创建VLAN10、VLAN20和VLAN30，则还要在 S2126-2上使用相同的命令创建VLAN10、VLAN20和VLAN30。
例如将S2126-1的fastethernet 0/10设为Trunk port的命令为： S2126-1#configure terminal S2126-1(config)#interface f0/10 S2126-1(config-if)#Switchport mode trunk
任务三 VLAN的配置