网络互联技术与实践第章构建基于中继协议隔离的局域网PPT课件.ppt

4 1任务描述 第4章构建基于VLAN中继协议隔离的局域网 某学院计算机系 机电工程系 财务处 学生机房分组建了自己的局域网 其中在信息大楼主要为计算机系办公场所 机电大楼为机电工程系办公大楼 实验中心为学生机房 并且有计算机系和财务处办公场所 财务处在学校办公楼办公 随着学校信息化建设的深入 人员交流越来越频繁 在各个办公场所都可能出现其它部门的人员 为了网络安全 把计算机系 机电工程系 财务处 学生机房各自分别位于不同的子网 并且部门内部可以互相访问 随着可网管交换机的数量的增加 我们同样可以采取在每个交换机分别创建VLAN 然后分别进行交换机端口VLAN划分 但随着部门和可网管交换机的增加 管理的难度也越来越大 比较繁琐并且经常容易出错 有没有其它的办法来降低管理的难度和繁琐性呢 1 4 2相关知识 4 2 1VLAN中继协议 VTP 4 2 2VTP配置 4 2 3VTP配置故障排除 第4章 构建基于VLAN中继协议隔离的局域网 2 4 2 1VLAN中继协议 VTP 1 VTP概念及模式 Cisco开发出了VTP中继协议 可使大量的VLAN配置工作自动化 VTP可确保网络中的VLAN配置得到一致性维护 并能减少VLAN管理和监控方面的工作量 VTP VLAN中继协议 是第2层消息协议 它提供了一种从网段内的中央服务器对VLAN数据库进行分布和管理的方法 VTP使用 域 Domain 关系组织互连的交换机 并在 域 内的所有交换机上维护VLAN配置信息的一致性 VTP 域 也被称为VLAN管理域 VLANmanagementdomain 网络中的VTP域是一组VTP域名称相同并通过Trunk相互连接的交换机 3 4 2 1VLAN中继协议 VTP 1 VTP概念及模式 一台交换机可以属于也只能属于一个VTP域 VTP是一种客户端 服务器消息协议 它能够在单个VTP域中增加 删除和重命名VLAN 同一管理区域内的所有交换机都是域的一部分 每个域都有其唯一的名称 VTP交换机仅与相同域中的其它交换机共享VTP消息 4 4 2 1VLAN中继协议 VTP 2 VTP模式 服务器模式 客户机模式 透明模式 VTP模式 5 4 2 1VLAN中继协议 VTP 2 VTP模式 服务器模式 客户机模式 服务器模式是交换机默认的工作模式 允许创建 修改和删除本地VLAN数据库中的VLAN 并允许设置一些对整个VTP域的配置参数 在对VLAN进行创建 修改或删除之后 VLAN数据库的变化将传递到VTP域内所有处于Server或Client模式的其他交换机 以实现对VLAN信息的同步 另外 充当服务器模式的交换机也可接收同一个VTP域内其他交换机发送来的同步信息 建议一个网络中至少将两台交换机配置为服务器 以便提供备份和冗余功能 透明模式 VTP模式 6 4 2 1VLAN中继协议 VTP 2 VTP模式 服务器模式 客户机模式 处于该模式下的交换机不能创建 修改和删除VLAN 也不能在NVRAM中存储VLAN配置 如果掉电 将丢失所有的VLAN信息 该模式下的交换机 主要通过VTP域内其他交换机的VLAN配置信息来同步和更新自己的VLAN配置 另外 它也会向VTP域公布自己的VLAN数据库配置信息 并可将VLAN配置信息转发给其他交换机 透明模式 VTP模式 7 4 2 1VLAN中继协议 VTP 2 VTP模式 服务器模式 客户机模式 VTP透明模式交换机不参与VTP 如果交换机处于透明模式 它将不通告自己的VLAN配置 也不将自己的VLAN数据库与收到的通告同步 在VTPV1中 透明模式交换机甚至不将其收到的VTP信息转发给其他交换机 除非其VTP域名和VTP版本号与其他交换机相同 在VTPV2中 透明模式交换机通过中继端口将收到的VTP通告转发出去 充当VTP中继器 无论域名设置如何 都将进行这种转发 透明模式 VTP模式 8 4 2 1VLAN中继协议 VTP 3 VTP通告 每台参与VTP的Cisco交换机都在中继端口上通告VLAN 只有VLAN1 1005 修订号和VLAN参数 以通知VTP管理域中的其他交换机 VTP通告以组播帧的形式发送 默认情况下 管理域设置为使用没有密码的不安全通告 可以添加密码 将域设置为安全模式 域中每台交换机都必须配置相同的密码 这样交换VTP信息的所有交换机都将使用相同的加密方法 VTP交换机使用被称为VTP配置修订号的索引来跟踪最新的信息 VTP域中每台交换机都存储有其最后一次通过VTP通告的配置修订号 9 4 2 1VLAN中继协议 VTP 3 VTP通告 汇总通告 子集通告 客户的通告请求 VTP通告 10 4 2 2VTP配置 1 VTP配置原则 1 VTP服务器交换机配置原则要成功配置VTP服务器 请遵守以下原则 确认将要配置的所有交换机都已设置为默认设置 在将配置过的交换机添加到VTP域之前 务必重置配置修订版号 不重置配置修订版号可能导致VTP域中其余交换机上的VLAN配置损坏 在网络中配置至少两台VTP服务器交换机 因为只有服务器交换机可以创建 删除和修改VLAN 所以应该配置一台备用VTP服务器 以防主要VTP服务器被禁用 如果网络中的所有交换机都配置为VTP客户端模式 将无法在网络中创建新的VLAN 在VTP服务器上配置VTP域 在第一台交换机上配置VTP域后 VTP将开始通告VLAN信息 其它通过中继链路相连的交换机会自动接收VTP通告中的VTP域信息 11 4 2 2VTP配置 1 VTP配置原则 如果已经有VTP域 请确保名称精确匹配 VTP域名区分大小写 如果要配置VTP口令 请确保对域内需要交换VTP信息的所有的交换机上设置相同的口令 没有口令或口令错误的交换机将拒绝VTP通告 请确保所有的交换机都配置为使用相同的VTP协议版本 VTP第1版与第2版并不兼容 默认情况下 CiscoCatalyst2960交换机运行第1版 但它能够运行第2版 当VTP版本设置为第2版时 域中所有能够运行第2版的交换机都会通过VTP通告过程自动配置为使用第2版 此后 所有仅支持第1版的交换机将不能加入VTP域 在VTP服务器上启用VTP之后 再创建VLAN 在启用VTP之前创建的VLAN会被删除 务必确保为域中互连的交换机配置了中继端口 VTP信息仅可通过中继端口交换 12 4 2 2VTP配置 2 配置VTP步骤 步骤1 配置VTP服务器 1 查看VTP管理域参数信息使用showvtpstatus命令查看VTP管理域的当前的VTP参数 2 创建VTP管理域在CatalystIOS中 配置VLAN和VTP信息的方式有两种 全局配置模式方式 如VLAN VTPmode和VTPDomain VLAN数据库模式命令 老版本CatalystIOS 在本书中全部采用全局配置模式方式 13 4 2 2VTP配置 2 配置VTP步骤 可以使用下面的全局配置命令将交换机分配给管理域 其中的domain name是一个文本字符串 最长为32个字符 配置命令为 switch config vtpdomaindomain name在CiscoCatalyst2960交换机上创建一个名为xtjx的管理域 则配置命令为 Swithch enableSwithch configterminalSwithch config vtpdomainxtjx 14 4 2 2VTP配置 2 配置VTP步骤 3 设置VTP模式设置VTP的工作模式需要在全局配置模式下进行 配置命令为 switch config vtpmode server client transparent 在有很多网络管理员的大型网络中 将交换机配置透明模式可消除VLAN重复和重叠的可能 将CiscoCatalyst2960交换机设置为server模式 则配置命令为 Swithch config vtpmodeserver执行showvtpstatus可查看到相应的配置项已设置 15 4 2 2VTP配置 2 配置VTP步骤 4 VTP加密如果域运行在安全模式下 需要定义密码 密码只能在VTP服务器和客户上配置 服务器在VTP通告中不发送密码本身 而发送根据密码计算得到的MD5摘要或散列码 客户使用它来验证收到的通告 密码是一个1 32个字符的字符串 区分大小写 要使用密码实现安全VTP 应首先在VTP服务器上配置密码 客户交换机保留最后的VTP信息 直到在客户交换机上也配置相同的密码后 客户才能够处理收到的通告 可在全局配置模式下进行 配置命令为 switch config vtppasswordpassword 16 4 2 2VTP配置 2 配置VTP步骤 5 选择VTP版本默认版本为VTP第1版 在同一个域中 所有交换机必须配置同一个VTP版本 可在全局配置模式下进行 配置命令为 switch config vtpversion 1 2 将CiscoCatalyst2960交换机VTP版本设置为2 则配置命令为Swithch config vtpversion2 17 4 2 2VTP配置 2 配置VTP步骤 6 启用VTPPruningVTP修剪的作用是防止不需要的广播信息从一个VLAN泛洪到VTP域中所有的中继链路 VTP修剪允许交换机协商将哪些VLAN分配到中继另一端的端口 并剪除未分配到远程交换机端口的VLAN 修剪功能默认为禁用 可以使用vtppruning全局配置命令启用VTP修剪 在交换机上启用VTPPruning功能 则配置命令为 Swithch config vtppruning默认情况下 所有的VLAN均有被裁剪的资格 设置裁剪功能的VLAN 配置命令为 Switch config interfacetypemod portswitch config if switchporttrunkpruningvlan add except none remove vlan list 18 4 2 2VTP配置 2 配置VTP步骤 默认情况下 在每条中继线上 VLAN2 1001都将受制于修剪 可使用上述命令来定制列表 vlan list 受制于修剪的VLAN号 2 1001 列表 使用逗号或连字符分隔 addvlan list 要加入到已配置的列表中的VLAN号 2 1001 列表 即允许参与裁剪功能的VLAN 这是一种避免输入冗长VLAn号列表的快捷方式 exceptvlan list 除列出的VLAN号 2 1001 外的所有VLAN removevlan list 从已配置的列表删除VLAN号 2 1001 列表 例如 假设trunk链路端口为端口2 不允许VLAN2参与VTP裁剪 则配置命令为 Switch config interfacefastethernet0 2Switch config if switchporttrunkpruningvlanremove2此时需要在trunk链路两端的交换机中均要进行相应的配置 19 4 2 2VTP配置 2 配置VTP步骤 步骤2 配置VTP客户端switch showvtpstatusswitch config vtpdomaindomain nameswitch config vtpmodeclientswitch config vtppasswordpasswordswitch config vtpversion 1 2 步骤3 连接和确认配置主VTP服务器和VTP客户端之后 将交换机连接起来 并配置中继连路 20 4 2 3VTP配置故障排除 如果交换机不能从VTP服务器那里接收更新信息 可以考虑以下因素 1 交换机被配置为VTP透明模式 2 如果交换机被配置为VTP客户 可能没有其他交换机充当VTP服务器 3 前往VTP服务器的链路不是中继链路 4 客户与服务器的VTP版本是否一致 5 客户与服务器的VTP口令是否一致 21 4 2 3VTP配置故障排除 查看和排除VTP故障的常用命令有 1 使用showvtpstatus命令可以显示管理域的当前的VTP参数 2 使用showvtpcounters命令可以显示VTP消息和错误计数器 3 使用showvlanbrief命令显示定义的VLAN 4 使用showinterfacetypemod numswitchport显示中继链路状态 包括受制于修剪的VLAN 5 使用showinterfacetypemod numpruning显示VTP修剪状态 22 4 3方案设计 为了让实验中心的计算机系用户能够与信息大楼计算机系用户在同一子网 实验中心的财务处用户能够办公楼财务处用户的在同一子网 实现网络互通性 这时就需要在4座办公楼中都采用可网管的交换机 支持VLAN 这样就可以实现不在同一办公场所的部门内部网络的互联互通及资源共享 随着可网管交换机的数量的增加 我们可以采用VLAN中继协议 VTP 来进行交换机上VLAN的管理 可以大大降低管理人员的工作量并且不以出现因VLAN更改不及时而造成的故障 实验中心 办公楼和机电大楼的交换机均通过光缆与光电转换器与信息大楼的交换机相连 23 4 4任务实施 1 网络中各交换状机 计算机等的名称 口令 IP地址 子网掩码 网关 VLAN号等的详细规划 2 设置各交换机VTP模式 并在服务器模式的交换机上创建VLAN 2 设置交换机的名称 口令 管理地址 3 各部门VLAN划分 4 各交换机端口VLAN成员分配 4 4 1实训任务 24 4 4任务实施 在第3章任务的基础上 将机电大楼的交换机更换为一台可网管的交换机 1 CiscoCatalst2960交换机 4台 2 PC机8台 3 双绞线 若干根 4 反转电缆一根 4 4 2设备清单 25 4 4任务实施 26 4 4任务实施 步骤1 规划与设计 1 规划计算机IP地址 子网掩码 网关配置PC11 PC12 PC21 PC22 PC31 PC32 PC41 PC42的IP地址同第3章任务 4 4 3实施过程 27 4 4任务实施 4 4 3实施过程 28 4 4任务实施 4 4 3实施过程 2 规划各场所交换机名称 端口所属VLAN以及连接的计算机 29 4 4任务实施 4 4 3实施过程 表4 2交换机接口的连接 30 4 4任务实施 4 4 3实施过程 步骤2 实训环境准备 1 硬件连接 在交换机和计算机断电的状态下 按照图3 8 表4 1和表4 2所示连接硬件 交换机接口之间的连接采用交叉线 2 分别打开设备 给设备加电 步骤3 按照表3 2所列设置各计算机的IP地址 子网掩码 默认网关 步骤4 清除交换机配置 1 清除交换机的启动配置 switch erasestartup config 2 删除交换机VLAN Switch deletevlan dat 31 4 4任务实施 4 4 3实施过程 步骤5 测试连通性使用Ping命令分别测试PC11 PC12 PC21 PC22 PC31 PC32 PC41 PC42这8台计算机之间的连通性 步骤6 配置交换机Jisjsw 1 配置信息大楼的交换机的主机名为jisjsw 2 在交换机jisjsw上配置VTP服务器jisjsw showvtpstatusjisjsw config vtpdomainjisjsw config vtpversion2jisjsw config vtppasswordciscojisjsw config vtpmodeserverjisjsw config showvtpstatus 32 4 4任务实施 4 4 3实施过程 3 创建VLAN10 20 30 40 99 略 4 按照表4 1分配交换机jisjswVLAN 略 5 配置jisjsw和bangsw shiysw jidxsw交换机之间的中继链路 6 查看jisjsw的VLAN配置步骤7 配置交换机shiysw 1 配置交换机shiysw的名称 2 配置交换机shiysw的VTP管理域 3 查看并配置交换机shiysw的端口VLAN分配 4 配置和交换机jisjsw之间的中继链路 5 按照表4 1分配交换机shiysw接口的VLAN分配 6 再次查看交换机shiysw的VLAN端口分配 33 4 4任务实施 4 4 3实施过程 步骤8 按照以上步骤配置banglsw jidxsw 步骤9 配置各交换机远程登录口令 超级口令和控制台登录口令步骤10 配置各交换机的远程管理IP 并通过telnet远程登录进行配置 步骤11 测试 1 使用ping命令分别测试PC11 PC11 PC21 PC21 PC31 PC32 PC41 PC42等这8台计算机之间的连通性 2 查看各交换机的配置jisjsw showrunning configjisjsw showvtpstatusjisjsw showinterfacetrunkjisjsw showvlan 34 4 4任务实施 4 4 3实施过程 3 将计算机移动到不同交换机同一VLAN的端口 测试网络连通性 步骤12 保存配置文件通过控制台和远程终端分别保存配置文件为文本文件 步骤13 清除交换机的所有配置 1 清除交换机启动配置文件 2 删除交换机VLAN 35 习题 二 简答题1 可将交换机配置为哪几种VTP模式 在每种模式下都能创建VLAN吗 2 一台交换机可以参与多少个VTP管理域 一个管理域可以有多少台VTP服务器 3 如何在VTP服务器交换机上将VTP配置修订号重置为0 4 如何在VTP客户机交换机上将VTP配置修订号重置为0 5 哪些VLAN不受制于VTP修剪 为什么 6 在没有配置的新交换机上 定义的VTP域名是什么 四 实训题1 使用VTP中继协议 配置任务3习题中的实训题 36 习题 1 某公司财务处 市场部 技术部分别建立了自己的局域网 并在3个部门之间实现了资源的访问 但随着网络规模的扩大 客户端的计算机配置越来越高 反而各个客户端之间通过网络传输文件的速度越来越慢 公司员工迫切希望对现有网络进行升级改造 经过技术人员的分析 发现公司局域网虽然采用了交换式以太网 隔离了冲突域 但ARP等病毒是在同一广播域中的 为此需要将财务处 市场部 技术部各自的局域网划分为小的逻辑网络 每个逻辑网络 VLAN 以起到隔离广播和单播流量 隔断不同VLAN间广播 以及控制流量的作用 随着公司业务的发展 公司为市场部新建了营销大楼 同时在市场部中设立了财务处办公室 为了信息安全 要求财务处 市场部 技术部各局域网之间隔离 但各部门局域网内部之间是连通的 网络物理连接如图3 19所示 请实现 37 习题 38 习题 1 按照图3 19所示进行物理连接 2 规划设计各计算机的IP地址 子网掩码 默认网关 3 在计算机上配置超级终端 分别启动交换机SW1 SW2进行配置 4 分别配置交换机SW1 SW2的名称 交换机的口令 终端口令 远程登录口令 特权用户口令 并进行加密 5 在交换机SW1 SW2上配置VLAN 6 配置交换机SW1 SW2的端口及所属的VLAN 7 配置两台交换机之间的中继链路 8 配置交换机后计算机通过telnet访问配置交换机SW1 SW2 9 测试各计算机之间的连通性 39 习题 2 在图3 20中 假设所有交换机都支持DTP 请根据图3 10所示的网络回答下面问题 1 交换机A和交换机B之间的链路是什么模式 2 假设网络管理员使用如下命令配置了交换机B的Gig1 1端口 Switch config interfacegigabitethernet1 1Switch config if switchportmodetrunkSwitch config if switchporttrunkencapsulationnonegotiate现在链路将是什么模式 3 使用命令noswitchportnonegotiate配置了交换机B的Gig1 1端口 现在链路将是什么模式 4 交换机A和交换机C之间的链路是什么模式 5 假设交换机之间的所有链路皆为中继模式 并传输VLAN1 1005 PC2能够PingPC4吗 6 假设PC1开始发出广播风暴 网络的什么地方将受到这种广播风暴的影响 PC4能收到