CISCO交换机配置手册

CISCO 交换机配置手册 V1.0作者：乖乖猪CISCO 交换机配置手册 V1.0第 2 页 /共 213 页目录前言 .4第一章 交换机配置基础 .51.1 配置方式 .5第二章 交换机基本配置 .62.1 用户认证 .62.1.1 特权口令 .62.1.2 VTY 口令 72.2 设备名称 .72.3 SNMP 网管串 .72.4 交换机管理 IP .72.5 综合实验 .7第三章 交换机高级配置 .83.1 VLAN（虚拟局域网） .83.1.1 简介 .83.1.2 命令 .463.1.3 案例一（ VTP 方式） 493.1.4 案例二（ VTP 方式） 503.2 STP(生成树协议) .533.2.1 简介 .533.2.2 命令 .683.2.3 案例一 (PVST/PVST+ / Rapid -PVST+ 常用 ).693.2.4 案例二（ MST VLAN 数量大使用） .723.2.5 案例三（ STP 不常用） .743.3 ETHERCHANNEL 773.3.1 简介 .773.3.2 命令 .803.3.3 案例一 (强制模式 ).813.3.4 案例二 (PAGP 模式 ).833.3.5 案例三（ LACP 模式） 853.3.6 案例四（交换机与服务器） .863.3.7 案例五（三层模式） .953.4 HSRP(思科私有) 963.4.1 简介 .963.4.2 命令 .973.4.3 案例一 .983.4.4 案例二 .1133.4.5 案例三 .117CISCO 交换机配置手册 V1.0第 3 页 /共 213 页3.5 VRRP.1213.5.1 简介 .1213.5.2 命令 .1263.5.3 案例一 .1273.5.4 案例二 .1353.6 DHCP 1363.6.1 简介 .1363.6.2 命令 .1433.6.3 案例一 .1433.6.4 案例二 .1453.6.5 案例三 .1463.7 VACL(不常用) .1483.7.1 简介 .1493.7.2 命令 .1493.7.3 案例 .1513.8 端口限速 .1553.8.1 简介 .1553.8.2 案例一（三层交换机 QOS） .1553.8.3 案例二（三层交换机风暴控制） .157第四章 日常维护 1594.1 密码恢复 .1594.1.1 CatOS 交换机密码恢复 1594.1.2 CATALYST 2900,3500XL 的密码恢复 .1614.1.3 CATALYST 2940,2950L 的密码恢复 .1624.1.4 CATALYST 2955 的密码恢复 .1624.1.5 CATALYST 3550,3560,3750 的密码恢复 .1644.1.6 CATALYST 6500 密码恢复 .1654.2 ISO 备份升级 1744.2.1 TFTP 方式 1744.2.2 Xmodem 方式 1764.3 端口镜像 .1784.3.1 简介 .1784.3.2 命令 .1794.3.3 案例 .1824.4 交换机堆叠 .1904.4.1 简介 .1904.4.2 命令 .1944.4.3 案例一 (3750).196第五章 专业术语解释 .2015.1 冲突域、广播域 .2015.2 CSMA/CD .202CISCO 交换机配置手册 V1.0第 4 页 /共 213 页5.3 交换机的几种主要技术参数详解和计算 2035.4 POE.210前言本手册是作者多年学习整理汇编而成，主要目的是方便大家设备调试使用。由于水平有限难免有疏漏之处，欢迎大家批评指正。部分资料为网络收集，如侵犯版权请与我联系(QQ:77088988) 。本手册没有版权，欢迎盗版传播。CISCO 交换机配置手册 V1.0第 5 页 /共 213 页第一章 交换机基本配置1.1 配置方式1. 从 console 连接：用 Console 线和转接头将交换机的 console 口与 PC 的串口相联，图示如下：设置如下图（默认设置）：2. 远程 telnet 连接给交换机配置了管理地址，就可以直接采用远程 telnet 登陆进入交换机了，但是必须先配置 line vty 的密码和 enable 密码才能允许远程登陆。CISCO 交换机配置手册 V1.0第 6 页 /共 213 页1.2 用户认证1.2.1 特权口令telnet *.*.*.*Switch 进入用户模式Switch enable 从用户模式进入特权模式Switch # config terminal 从特权模式进入全局配置模式Switch # exit 退出所有配置模式Switch # end 退出配置模式Switch # wr 保存配置Switch(config)# enable secret cisco123 设置特权模式加密口令（机房使用方法）Switch(config)# enable password cisco123 设置特权模式不加密口令Switch(config)# service password-encryption 将所有口令进行加密1.2.2 VTY 口令Switch(config)# line vty 0 4Switch(config-line)# login 让设备回显一个要求输入口令的提示Switch(config-line)# password cisco Telnet 统一密码Switch(config-line)# exec-timeout 10 0 设备超时时间为 10 分钟 0 秒Switch(config)# line vty 0 4Switch# (config-line)# login local 设置本地认证模式Switch (config)# username zhangxy password *Switch (config)# no username zhangxy1.3 设备名称Switch(config)# hostname test-2950test-2950(config)# no hostname1.4 snmp 网管串Switch(config)# snmp-server community xxxxxx ro （只读）Switch(config)# snmp-server community xxxxxx rw （读写）1.5 交换机管理 IP配置二层交换机设备的管理地址：Switch(config)# int vlan 1 （交换机 VLAN1 的网关地址就是设备的管理地CISCO 交换机配置手册 V1.0第 7 页 /共 213 页址）Switch(config-subif)# ip address 30 Switch(config-subif)#description guanli/添加接口描述信息Switch(config-subif)# no shutdown配置三层交换机的设备管理地址：Switch(config)# int loopback0 loopback 接口是一种逻辑接口，可以创建无数个Switch(config-if)# ip address 30 Switch (config)# no int loopback 01.6 综合实验实验目的：1、 设置三台交换机名称2、 设置特权模式口令、TELNET 口令3、 设置交换机管理 IP实验图：实验配置：CISCO 交换机配置手册 V1.0第 8 页 /共 213 页SW1.cfg SW2.cfg SW3.cfg SW4.cfg第二章 交换机高级配置VLAN（虚拟局域网）2.1.1 简介VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN 是一种比较新的技术，工作在 OSI 参考模型的第 2 层和第 3 层，VLAN 之间的通信是通过第 3 层的路由器来完成的。在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。 本来二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。 那么，为什么需要分割广播域呢？那是因为，如果仅有一个广播域，有可能会影响到网络整体的传输性能。具体原因，请参看附图加深理解。 CISCO 交换机配置手册 V1.0第 9 页 /共 213 页图中，是一个由5台二层交换机（交换机15 ）连接了大量客户机构成的网络。假设这时，计算机A需要与计算机 B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机 A必须先广播“ARP请求（ARP Request）信息” ，来尝试获取计算机B的MAC地址。 交换机1 收到广播帧（ ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding 了。接着，交换机 2收到广播帧后也会Flooding。交换机3 、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下，这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉了。可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播信息是那么经常发出的吗？ 读到这里，您也许会问：广播信息真是那么频繁出现的吗？ 答案是：是的！实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时，除了前面出现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播，是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ，就必须发出DHCP的广播。而使用RIP作为路由协议时，每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息，这也会被交换机转发（Flooding） 。除了 TCP/IP以外，NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机 ”时就会发出广播（多播）信息。（Windows XP除外） 总之，广播就在我们身边。下面是一些常见的广播通信： ARP请求：建立IP地址和MAC地址的映射关系。 CISCO 交换机配置手册 V1.0第 10 页 /共 213 页RIP：选路信息协议(Routing Infromation Protocol)。 DHCP：用于自动设定IP地址的协议。 NetBEUI：Windows下使用的网络协议。 IPX：Novell Netware使用的网络协议。 Apple Talk：苹果公司的Macintosh计算机使用的网络协议。 VLAN 实现机制在理解了“为什么需要VLAN”之后，接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。 首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding ） 。例如，计算机 A发送广播信息后，会被转发给端口2、3、4 。 这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口 1、2属于红色VLAN 、端口3、4属于蓝色VLAN。再从 A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。 同样，C发送广播信息时，只会被转发给其他属于蓝色 VLAN的端口，不会被转发给属于红色VLAN的端口。 CISCO 交换机配置手册 V1.0第 11 页 /共 213 页就这样，VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明，以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的。 如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN ，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。 CISCO 交换机配置手册 V1.0第 12 页 /共 213 页在红、蓝两个VLAN之外生成新的VLAN时，可以想象成又添加了新的交换机。 但是，VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置 VLAN后，如果未做其他处理，VLAN间是无法通信的。 明明接在同一台交换机上，但却偏偏无法通信这个事实也许让人难以接受。但它既是VLAN方便易用的特征，又是使 VLAN令人难以理解的原因。 需要VLAN间通信时怎么办呢？那么，当我们需要在不同的VLAN间通信时又该如何是好呢？ 请大家再次回忆一下：VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间来往的数据包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由” 。 VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。其中的具体内容，等有机会再细说吧。在这里希望大家先记住不同VLAN间互相通信时需要用到路由功能。VLAN 划分方法 VLAN的划分可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN” 、后者自然就是“动态VLAN”了。 静态 VLAN 静态VLAN又被称为基于端口的VLAN（Port Based VLAN） 。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。 由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定这显然不适合那些需要频繁改变拓补结构的网络。 我们现在所实现的VLAN配置都是基于端口的配置，因为我们只是支持二层交换，端口数目有限一般为4和CISCO 交换机配置手册 V1.0第 13 页 /共 213 页8个端口，并且只是对于一台交换机的配置，手动配置换算较为方便。 动态 VLAN 另一方面，动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的 VLAN。这就可以避免上述的更改设定之类的操作。动态VLAN可以大致分为 3类： 基于MAC地址的VLAN（MAC Based VLAN） 基于子网的 VLAN（Subnet Based VLAN） 基于用户的 VLAN（User Based VLAN） 其间的差异，主要在于根据OSI参照模型哪一层的信息决定端口所属的VLAN 。 基于MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址 “A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A” 的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。 由于是基于MAC地址决定所属 VLAN的，因此可以理解为这是一种在OSI的第二层设定访问链接的办法。 但是，基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。 基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。 CISCO 交换机配置手册 V1.0第 14 页 /共 213 页因此，与基于MAC地址的 VLAN相比，能够更为简便地改变网络结构。IP 地址是OSI 参照模型中第三层的信息，所以我们可以理解为基于子网的VLAN 是一种在OSI的第三层设定访问链接的方法。一般路由器与三层交换机都使用基于子网的方法划分VLAN。 基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。 总的来说，决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活多变的网络。 访问链接的总结 综上所述，VLAN的划分有静态VLAN和动态VLAN两种，其中动态VLAN又可以继续细分成几个小类。 其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事先确认。 下表总结了静态VLAN和动态VLAN的相关信息。 种类 解说 静态VLAN（基于端口的VLAN） 将交换机的各端口固定指派给VLAN 基于MAC地址的 VLAN 根据各端口所连计算机的MAC地址设定 动态VLAN 基于子网的VLAN 根据各端口所连计算机的IP地CISCO 交换机配置手册 V1.0第 15 页 /共 213 页址设定基于用户的VLAN 根据端口所连计算机上登录用户设定 就目前来说，对于 VLAN 的划分主要采取上述基于端口的 VLAN 和基于子网的 VLAN 两种，而基于 MAC 地址和基于用户的 VLAN 一般作为辅助性配置使用。 VLAN 帧结构在交换机的汇聚链接上，可以通过对数据帧附加VLAN 信息，构建跨越多台交换机的VLAN。 附加VLAN信息的方法，最具有代表性的有： IEEE802.1Q ISL 现在就让我们看看这两种协议分别如何对数据帧附加VLAN 信息。 IEEE802.1Q IEEE802.1Q，俗称“Dot One Q”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。 在此，请大家先回忆一下以太网数据帧的标准格式。 IEEE802.1Q所附加的 VLAN识别信息，位于数据帧中 “发送源 MAC地址”与“ 类别域（Type Field） ”之间。具体内容为2 字节的 TPID和2字节的TCI，共计4字节。 在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC 是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。基于IEEE802.1Q 附加的VLAN 信息，就像在传递物品时附加的标签。因此，它也被称作“标签型 VLAN（Tagging VLAN） ”。 CISCO 交换机配置手册 V1.0第 16 页 /共 213 页U s e r p r i o r i t yC F IV L A N I D3 b i t s 1 b i t s 1 2 b i t s1. TPID (Tag Protocol Identifier，也就是EtherType)是IEEE 定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。2. TCI (Tag Control Information) 包括用户优先级(User Priority)、规范格式指示器(Canonical Format Indicator)和 VLAN ID。 User Priority：该字段为3-bit ，用于定义用户优先级，总共有8 个(2的3次方) 优先级别。IEEE 802.1P 为3比特的用户优先级位定义了操作。最高优先级为 7，应用于关键性网络流量，如路由选择信息协议（RIP）和开放最短路径优先（OSPF）协议的路由表更新。优先级6和5主要用于延迟敏感（delay-sensitive）应用程序，如交互式视频和语音。优先级4到1主要用于受控负载（controlled-load）应用程序，如流式多媒体（streaming multimedia）和关键性业务流量（business-critical traffic） 例如，SAP 数据 以及“loss eligible”流量。优先级0是缺省值，并在没有设置其它优先级值的情况下自动启用。CFI：CFI 值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。VID：该字段为12-bit， VLAN ID 是对 VLAN 的识别字段，在标准 802.1Q 中常被使用。支持4096(2的12次方) VLAN 的识别。在4096可能的VID 中，VID0 用于识别帧优先级。 4095(FFF)作为预留值，所以 VLAN 配置的最大可能值为4094。 所以有效的CISCO 交换机配置手册 V1.0第 17 页 /共 213 页VLAN ID范围一般为1-4094。ISL（ Inter Switch Link） ISL，是Cisco 产品支持的一种与IEEE802.1Q 类似的、用于在汇聚链路上附加VLAN信息的协议。 使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header） ”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC 值。换而言之，就是总共增加了30字节的信息。 在使用ISL 的环境下，当数据帧离开汇聚链路时，只要简单地去除ISL 包头和新CRC就可以了。由于原先的数据帧及其CRC 都被完整保留，因此无需重新计算4 0 4 4 4 8 1 6 8 2 4 1 5 1 1 6 1 6D A T y p e U s e r S A L e n A A A 0 3 H S A V L A N B P D U i n d e x R e s v DA 40位组播目的地址。包括一个广播地址 0X01000C0000或者是0X03000C0000。 Type 各种封装帧（Ethernet (0000)、Token Ring (0001)、FDDI (0010) 和 ATM (0011)）的4 位描述符。 User Type 字段使用的 4位描述符扩展或定义 Ethernet 优先级。该二进制值从最低优先级开始0到最高优先级3。 SA 传输 Catalyst 交换机中使用的48位源 MAC 地址。 LEN 16位帧长描述符减去 DA、type、user、SA、LEN 和 CRC 字段。 AAAA03 标准 SNAP 802.2 LLC 头。 HAS SA 的前3 字节（厂商的 ID 或组织唯一 ID） 。 VLAN 15位 VLAN ID。低10位用于1024 VLAN。 BPDU 1位描述符，识别帧是否是生成树网桥协议数据单元（BPDU） 。如果封CISCO 交换机配置手册 V1.0第 18 页 /共 213 页装帧为思科发现协议（CDP）帧，也需设置该字段。 INDEX 16位描述符，识别传输端口 ID。用于诊断差错。 RES 16位预留字段，应用于其它信息，如令牌环和分布式光纤数据接口帧（FDDI） ，帧校验（FC）字段。 ISL 帧最大为 1548bytes,iSL 包头26+1518+4=1548ISL有如用 ISL包头和新CRC 将原数据帧整个包裹起来，因此也被称为“封装型VLAN（Encapsulated VLAN） ”。 需要注意的是，不论是IEEE802.1Q的“Tagging VLAN”，还是ISL 的“Encapsulated VLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。 并且由于ISL是Cisco 独有的协议，因此只能用于Cisco网络设备之间的互联。 IEEE 802.Q 和 ISL 的异同：相同点：都是显式标记，即帧被显式标记了 VLAN 的信息。不同点：IEEE 802.1Q 是公有的标记方式，ISL 是 Cisco 私有的，ISL 采用外部标记的方法，802.1Q 采用内部标记的方法，ISL 标记的长度为30字节，802.1Q 标记的长度为4字节。VTP（思科私有）1、VTP 概述VLAN 中继协议（VTP，VLAN TRUNKING PROTOCOL）是 CISCO 专用协议，大多数交换机都支持该协议。VTP 负责在 VTP 域内同步 VLAN 信息，这样就不必在每个交换上配置相同的 VLAN 信息。VTP 还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP 最重要的作用是，将进行变动时可能会出现在的配置不一致性降至最低。VTP 也有一些缺点，这些缺点通常都与生成树协议有关。1、VTP 协议的作用VLAN 中继协议（VTP）利用第2层中继帧，在一组交换机之间进行 VLAN 通信。VTP 从一个中心控制点开始，维护整个企业网上 VLAN 的添加、添加和重命名工作，确何配置的一致性。2、VTP 的优点保持配置的一致性提供跨不同介质类型如 ATM 、FDDI 和以太网配置虚拟局域网的方法提供跟踪和监视虚拟局域网的方法提供检测加到另一个交换机上的虚拟局域的方法提供从一个交换机在整个管理域中增加虚拟局域网的方法2、VTP 的工作原理CISCO 交换机配置手册 V1.0第 19 页 /共 213 页1、VTP 概述和工作原理VTP 是一种消息协议，使用第2层帧，在全网的基础上管理 VLAN 的添加、删除和重命名，以实现 VLAN 配置的一致性。可以用 VTP 管理网络中 VLAN1到1005。有了 VTP，就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。 （前提是在同一个 VTP 域）为了实现此功能，必须先建立一个 VTP 管理域，以使它能管理网络上当前的 VLAN。在同一管理域中的交换机共享它们的 VLAN 信息，并且，一个交换机只能参加到一个 VTP 管理域，不同域中的交换机不能共享 VTP 信息。交换机间交换下列信息：管理域域名配置的修订号已知虚拟局域网的配置信息交换机使用配置修正号，来决定当前交换机的内部数据是否应该接受从其他交换机发来的VTP 更新信息。如果接收到的 VTP 更新配置修订号与内部数据库的修订号相同域者比它小，交换机忽略更新。否则，就更新内部数据库，接受更新信息。VTP 管理域在安全模式下，必须配置一个在 VTP 域中所有交换机惟一的口令。VTP 的运行有如下特点：VTP 通过发送到特定 MAC 地址01000CCCCCCC 的组播 VTP 消息进行工作。VTP 通告只通过中继端口传递。VTP 消息通过 VLAN1传送。 （这就是不能将 VLAN1从中继链路中去除的原因）在经过了 DTP 自动协商，启动了中继之后，VTP 信息就可以沿着中继链路传送VTP 域内的每台交换机都定期在每个中继端口上发送通告到保留的 VTP 组播地址VTP 通告可以封装在 ISL 或者 IEEE802.1Q 帧内。2、VTP 域VTP 域，也称为 VLAN 管理域，由一个以上共享 VTP 域名的相互接连的交换机组成。要使用 VTP，就必须为每台交换机指定 VTP 域名VTP 信息只能在 VTP 域内保持。一台交换机可属于并且只属于一个 VTP 域。缺省情况下，CATALYST 交换机处于 VTP 服务器模式，并且不属于任何管理域，直到交换机通过中继链路接收了关于一个域的通告，或者在交换机上配置了一个 VLAN 管理域，交换机才能在 VTP 服务器上把创建或者更改 VLAN 的消息通告给本管理域内的其他交换机如果在 VTP 服务器上进行了 VLAN 配置变更，所做的修改会传播到 VTP 域内的所有交换机上。如果交换机配置为透明模式，可以创建或者修改 VLAN，但所做的修改只影响单个的CISCO 交换机配置手册 V1.0第 20 页 /共 213 页交换机。控制 VTP 功能的一项关键参数是 VTP 配置修改编号。这个 32位的数字表明了 VTP 配置的特定修改版本。配置修改编号的取值从0开始，每修改一次，就增加1直到达到4294967295，然后循环归 0，并重新开始增加。每个 VTP 设备会记录自己的 VTP 配置修改编号；VTP 数据包会包含发送者的 VTP 配置修改编号。这一信息用于确定接收到的信息是否比当前的信息更新。要将交换机的配置修改号置为0，只需要禁中继，改变 VTP 的名称，并再次启用中继。VTP 域的要求：域内的每台交换机必须使用相同的 VTP 域名，不论是通过配置实现，还是由交换机自动学动CATALYST 交换机必须是相邻的，这意味着，VTP 域内的所有交换机形成了一颗相互连接的树每台交换机都通过这棵树与其他交换机相互。在所有的交换机之间，必须启用中继。3、VTP 的运行模式VTP 模式有 3种，分别是：服务器模式（SERVER 缺省）VTP 服务器控制着它们所在域中 VALN 的生成和修改。所有的 VTP 信息都被通告在本域中的其他交换机，而且，所有这些 VTP 信息都是被其他交换机同步接收的。客户机模式（CLIENT）VTP 客户机不允许管理员创建、修改或删除 VLAN。它们监听本域中其他交换机的 VTP 通告，并相应修改它们的 VTP 配置情况。透明模式（TRANSPARENT）VTP 透明模式中的交换机不参与 VTP。当交换机处于透明模式时，它不通告其 VLAN 配置信息。而且，它的 VLAN 数据库更新与收到的通告也不保持同步。但它可以创建和删除本地的 VLAN。不过，这些 VLAN 的变更不会传播到其他任何交换机上。各种运行模式的状态功能 服务器模式 客户端模式 透明模式提供 VTP 消息 监听 VTP 消息 修改 VLAN (本地有效）记住 VLAN （在不同的版本有不同的结果） （本地有效）4、VTP 的通告1.VTP 通告概述使用 VTP 时，加入 VTP 域的每台交换机在其中继端口上通告如下信息管理域配置版本号它所知道的 VLANCISCO 交换机配置手册 V1.0第 21 页 /共 213 页每个已知 VLAN 的某些参数这些通告数据帧被发送到一个多点广播地址（组播地址） ，以使所有相邻设备都能收到这些帧。新的 VLAN 必须在管理域内的一台牌服务器模式的交换机上创建和配置。该信息可被同一管理域中所有其他设备学到VTP 帧是作为一种特殊的帧发送到中继链路上的。有2种类型的通告：来自客户机的请求，由客户机在启动时发出，用以获取信息。来自服务器的响应有3种类型的消息：来自客户机的通告请求汇总通告子集通告VTP 通告中可包含如下信息：管理域名称配置版本号MD5摘要当配置了口令后，MD5 是与 VTP 一起发送的口令。如果口令不匹配，更新将被忽略。更新者身份发送 VTP 汇总通告的交换机的身份。VTP 通告处理以配置修订号为0为起点每当随后的字段变更一项时，这个修订号就加1 ，直到 VTP 通告被发送出去为止。VTP 修订号存储在 NVRAM 中，交换机的电源开关不会改变这个设定值。 要将修订号初始化为0，可以用下列方法：将交换机的 VTP 模式更改为透明模式，然后再改为服务器模式。将交换机 VTP 的域名更改一次，再更改回原来的域名。使用 clear config all 命令，清除交换机的配置和 VTP 信息，再次启动。2. 3种 VTP 消息类型（1）汇总通告用于通知邻接的 CATALYST 交换机目前的 VTP 域名和配置修改编号。缺省情况下，CATALYST 交换机每5 分钟发送一次汇总通告。当交换机收到了汇总通告数据包时，它会对比 VTP 域名：如果域名不同，就忽略此数据包如果域名相同，则进一步对比配置修改编号如果交换机自身的配置修改编号更高或与之相等，就忽略此数据包。如果更小，就发送通告请求。（2）子集通告如果在 VTP 服务器上增加、删除或者修改了 VLAN，配置修改编号就会增加，交换机会首先发送汇总通告，然后发送一个或多个子集通告。挂起或激活某个 VLAN，改变VLAN 的名称或者 MTU，都会触发子集通告。CISCO 交换机配置手册 V1.0第 22 页 /共 213 页子集通告中包括 VLAN 列表和相应的 VLAN 信息。如果有多个 VLAN，为了通告所有的信息，可能需要发送多个子集通告。（3）通告请求交换机在下列情况下会发出 VTP 通告请求：交换机重新启动后VTP 域名变更后交换机接到了配置修改编号比自己高的 VTP 汇总通告5、VTP 域内安全为了使管理域更安全，域中每个交换机都需要配置域名和口令，并且域名和口令必须相同。例（将 TEST 管理域设置为安全管理域）：进入配置模式：switch#configure terminal配置 VTP 域名：switch(config)#vtp domain test配置 VTP 运行模式：switch(config)#vtp mode server配置 VTP 口令：switch(config)#vtp password mypassword返回到特权模式：switch(config)#end查看 VTP 配置：switch(config)#show vtp status删除 VTP 管理域中的口令，恢复到缺省状态switch(config)#no vtp password6、VTP 修剪VTP 修剪（ VTP PRUNING）是 VTP 的一个功能，它能减少中继端口上不必要信息量。在 CISCO 交换上，VTP 修剪功能缺省是关闭的。缺省情况下，发给某个 VLAN 的广播会送到每一个在中继链路上承载该 VLAN 的交换机。即使交换机上没有位于那个 VLAN 的端口也是如此。VTP 通过修剪，来减少没有必要扩散的通信量，来提高中继链路的带宽利用率。7、VTP 的版本在 VTP 管理域中，有两个 VTP 版本可供采用，cisco catalyst 型交换机既可运行版本1，也可运行版本2，但是，一个管理域中，这两个版本是不可互操作的。因此，在同一个VTP 域中，每台交换机必须配置相同的 VTP 版本。交换机上默认的版本协议是 VTP 版本1。CISCO 交换机配置手册 V1.0第 23 页 /共 213 页如果要在域中使用版本2，只要在一台服务器模式交换机配置 VTP 版本2 就可以了。VTP 版本 2增加了版本1所没有的以下主要功能：与版本相关的透明的模式：在 VTP 版本1中，一个 VTP 透明模式的交换机在用 VTP 转发信息给其他交换机时，先检查 VTP 版本号和域名是否与本机相匹配匹配时，才转发该消息VTP 版本 2在转发信息时，不检查版本号和域名。令牌环支持：VTP 版本2支持令牌环交换和令牌环 VLAN，这个是 VTP 版本2和版本1的最大区别。设置 VTP 版本 2的步骤如下：进入全局配置模式：switch#config terminalswitch(config)#vtp version 2switch(config)#endswitch#show vtp status8、VTP 如何在域内增加、减少交换机1.增加交换机VTP 域是由多台共享同一 VTP 域名的互连设备组成交换机只能属于某个 VTP 域内，各个交换机上的 VLAN 信息是通过交换机互连中继端口进行传播的。要把一个交换机加入到一个 VTP 域内，可以使用VTP DOMAIN DOMAINNAME。当一个新交换机配置了 VTP 的域和服务器模式后，交换机每隔 300秒，或者，每当 VLAN结构发生变化时，就会通告一次。将新的交换机添加到域中，一定要保证该交换机的修订号已经为0。VTP 修订号存储在 NVRAM 中，交换机的电源开关不会改变这个设定值可以使用下列方法：将交换机的 VTP 模式变到透明模式，然后再变回服务器模式。将交换机的域名修改为一个其他的域名（一个不存在的域） ，然后再回到原来的域名使用 erase startup-config 或 erase nvram 命令，清除交换机的配置和 VTP 信息再次启动。2.删除交换机要从管理域中删除交换机，只要在交换机上删除 VTP 域名的配置，或者将交换配置为透明模式，即可让这个交换机脱离该 VTP 管理域三、配置 VTP在开始配置 VTP 和 VLAN 之前，必须做一些规划确定将在网络中运行的 VTP 版本决定交换机是成为已有管理域的成员，还是另外成为其创立一个新的管理域，如果要加入到已有的管理域中，则确定它的名称和口令CISCO 交换机配置手册 V1.0第 24 页 /共 213 页为交换机选择一个 VTP 的工作模式是否需用启用修剪功能2950缺省配置：VTP 域名：空VTP 模式： SERVER 服务器模式VTP 版本2：禁用VTP 认证：空，未启用VTP 修剪：未启用1、创立 VTP 域和配置模式1 创立 VTP 域switch(config)#vtp domain domina-name创立或加入一个管理域，使用下面步骤：进入全局配置模式switch#config terminal加入到某个管理域：switch(config)#vtp domain test返回特权模式：switch(config)#end域名长度可达32字符，口令可是64个字符长至少应该有一台交换机被设置为服务器模式一台交换机不想与网络中的其他交换机共享 VLAN 信息，刚可以将它设置为透明模式实现工作中，建议至少将两台核心交换机设置为 VTP 服务器模式，而将其他交换机设置为VTP 客户机模式这有效地，如果交换机掉电了，它重启后，可以从服务器处获得有效的VLAN 信息2 配置 VTP 服务器switch(config)#vtp domain domain-nameswitch(config)#vtp mode serverswitch#show vtp status3 配置 VTP 客户端switch(config)#vtp domain domain-nameswitch(config)#vtp mode clientswitch(config)#exit4 配置 VTP 透明模式switch(config)#vtp domain domain-nameswitch(config)#vtp mode transparentswitch(config)#exit2、VTP 域内的安全、修剪、版本的设置CISCO 交换机配置手册 V1.0第 25 页 /共 213 页1VTP 口令的配置：switch(config)#vtp password mypasswordswitch(config)#no vtp password(删除）2VTP 修剪启动 VTP 修剪缺省情况下，在基于 IOS 交换机的中继商品上，VLAN21001都是可修剪的要在管理域内启动修剪使用：switch(config)#vtp pruning从可修剪列表中去除某 VLANswitchport trunk pruning vlan remove vlan-id用逗号分隔不连续的 VLAN ID，其间不要有空格，用短线表明一个 ID 范围例（去除 VLAN2、3 、4 、6、8）命令如下：switchport trunk pruning remove 2-4,6,8检查 VTP 修剪的配置要检查 VTP 修剪的配置，可以使用命令：show vtp status 和 show interface interface-id switchport例：（配置 VTP 修剪）switch#config terminalswitch(config)#vtp pruningswitch(config)#exitswitch#show vtp status-VTP pruning mode :enable(表明修剪已经启动）-例2（关闭指定的 VLAN 修剪）switch#show interface fa0/3 switchporttrunking vlans active:1-4,6,7,200(说明了在该中继链路上可传输哪些 VLAN 的数据）pruning vlans enable:2-1001（说明了该商品上启用了 VTP 修剪的 VLAN 列表）-switch#config tswitch(config)#interface fa0/3switch(config-if)#switchport trunk pruning remove vlan 2 3 7switch(config-if)#endswitch#show interface fa0/3 switchport-trunking vlans active:1-4,6,7,200pruning vlans enable :4-6,8-1001例3（在管理域中关闭 VTP 修剪）switch#config tCISCO 交换机配置手册 V1.0第 26 页 /共 213 页switch(config)#no vtp pruningswitch#show vtp status-vtp pruning mode :disabled（修剪已关闭）3VTP 版本设置switch(config)#vtp version 2（配置为版本2 ）switch(config)#no vtp version 2(回到版本1）switch#show vtp terminalVTP V2 mode :enable只有在 VTP 服务器模式下才能变更 VTP 版本3、在 VTP 域内增加、减少交换机的配置方法1增加交换机新加入的交换机的 VTP 配置号比所要加入的域中原来的 VTP 服务器上的配置号要低添加过程：清除配置：（或其他的方法）switch(config)#erase startup-configswitch(config)#endswitch#reload配置 VTP 运行模式：switch(config)#vtp domain test配置 VTP 运行模式switch(con