大型企业网VLAN方案

大型企业网大型企业网 VLANVLAN 方案方案 在企业网络刚刚兴起之时 由于企业网络规模小 应用范围的局限性 对 Internet 接入的认识程度 网络安全及管 理的贫乏等原因 使得企业网仅仅限于交换模式的状态 交换技术主要有两种方式 基于以太网的帧交换和基于 ATM 的信元交换 LAN 交换机的每一个端口均为自己独立的碰撞域 但同时对于所有处于一个 IP 网段或 IPX 网段的网络 设备来说 却同在一个广播域中 当工作站的数量较多 信息流很大的时候 就容易形成广播风暴 甚者造成网络的 瘫痪 什么是 VLAN VLAN 是英文 Virtual Local Area Network 的缩写 即虚拟局域网 VLAN 允许处于不同地理位置的网络用户加入一个 逻辑子网中 共享一个广播域 通过对 VLAN 的创建可以控制广播风暴的产生 从而提高交换式网络的整体性能和安 全性 VLAN 对于网络用户来说是完全透明的 用户感觉不到使用中与交换式网络有任何的差别 但对于网络管理人员则有 很大的不同 因为这主要取决于 VLAN 的几点优势 1 对网络中的广播风暴的控制 2 提高网络的整体安全性 通过路由访问列表 MAC 地址分配等 VLAN 划分原则 可以控制用户的访问权限和逻辑网 段的大小 3 网络管理的简单 直观 在采用交换技术的网络模式中 对于网络结构的划分采用的仅仅是物理网段的划分的手段 这样的网络结构从效率和 安全性的角度来考虑都是有所欠缺的 而且在很大程度上限制了网络的灵活性 如果需要将一个广播域分开 那么就 需要另外购买交换机并且要人工重新布线 由此 需要进行虚拟网络 VLAN 设置 在一个规模较大的企业中 其下属有多个二级单位 在各单位的孤立网络进行互连时 出于对不同职能部门的管理 安全和整体网络的稳定运行 我们进行了 VLAN 的划分 第一步 子网分析 该网络系统由三部分组成 公司 二级单位 1 二级单位 2 初始为三部分各自独立 未形成统一的网络环境 故各 网络系统的运行采用的是以交换技术为主的方式 三网主干均采用的是千兆以太网技术 起点的高定位为企业的信息应用带来了高速 稳定 符合国际标准的网络平台 公司中心交换机采用的是 Cisco 的 Catalyst 6506 带有三层路由的引擎使得企业网具有将来升级的能力 同时各二 级单位的中心交换机采用的亦是 Cisco 的 Catalyst 4006 各二级 三级交换机则采用的是 Cisco 的 Catalyst 3500 系列 主要因为 Catalyst 3500 系列交换机的高性能和可堆叠能力 现三部分应公司的要求联网 网络的互连仍采用千兆带宽 但因三网均采用了千兆以太网技术 为了不在主干形成瓶 颈 因此各子网的互连采用 Trunk 技术 即双千兆技术 使网络带宽达到 4G 如此既增加了带宽 又提供了链路的 冗余 提高了整体网络的高速 稳定 安全运行性能 但亦由于网络规模的扩大化 信息流量的加大 人员的复杂化等原因 为企业网络的安全性 稳定性 高效率运行带 来了新的隐患 由此引发了 VLAN 的划分 对于 VLAN 的划分 应公司的需求 我们对各 VLAN 的 IP 地址分配为 经理办子网 192 168 1 0 192 168 2 0 22 网关 192 168 1 1 财务子网 192 168 3 0 192 168 5 0 22 网关 192 168 3 1 供销子网 192 168 6 0 192 168 8 0 22 网关 192 168 6 1 信息中心子网 192 168 7 0 24 网关 192 168 7 1 服务器子网 192 168 100 0 24 网关 192 168 100 1 其余子网 192 168 8 0 192 168 9 0 22 网关 192 168 8 1 第二步 系统分析 VLAN 的划分的四种策略 1 基于端口的 VLAN 基于端口的 VLAN 的划分是最简单 最有效的 VLAN 划分方法 该方法只需网络管理员针对于网络设备的交换端口进行 重新分配组合在不同的逻辑网段中即可 而不用考虑该端口所连接的设备是什么 2 基于 MAC 地址的 VLAN MAC 地址其实就是指网卡的标识符 每一块网卡的 MAC 地址都是唯一的 基于 MAC 地址的 VLAN 划分其实就是基于工 作站 服务器的 VLAN 的组合 在网络规模较小时 该方案亦不失为一个好的方法 但随着网络规模的扩大 网络设 备 用户的增加 则会在很大程度上加大管理的难度 3 基于路由的 VLAN 路由协议工作在七层协议的第三层 网络层 即基于 IP 和 IPX 协议的转发 这类设备包括路由器和路由交换机 该 方式允许一个 VLAN 跨越多个交换机 或一个端口位于多个 VLAN 中 4 基于策略的 VLAN 基于策略的 VLAN 的划分是一种比较有效而直接的方式 这主要取决于在 VLAN 的划分中所采用的策略 就目前来说 对于 VLAN 的划分主要采用 1 3 两种模式 对于方案 2 则为辅助性的方案 VLAN 的划分设计之后 再所涉及的就是 VLAN 划分的最后一步 VLAN 间的互连 在以前对 VLAN 的划分主要是通过路由器来实现的 但随着网络规模的扩大 信息量的增加 路由器无论是从端口数 还是系统性能上来说都已经不堪负荷 因此逐渐形成了产生网络瓶颈的主要原因 而在现在 因为有了基于交换机上 的三层路由的能力 在上述两点已经得到合理地解决 对于 Cisco 的产品划分 VLAN 主要是基于两种标准协议 ISL 和 802 1Q 在我们这里 因为所采用的均是 Cisco 的 网络设备 故在进行 VLAN 间的互连时采用 ISL 的协议封装 该协议针对 Cisco 网络设备的硬件平台在信息流的处理 多媒体应用的优化进行了合理有效的优化 对于不同产品的 VLAN 互连 我们在后面会提到 由于本案例中关于 VLAN 的划分扩展了各个交换机 所以交换机之间的连接都必须采用 Trunk 的方式 经理办和供销 子网代表了 VLAN 划分中的两种问题 扩展交换机 VLAN 的划分和端口 VLAN 的划分 在经理办虚网中 对于一个交换机扩展多个 VLAN 的时候 前面提到了该交换机与其上层交换机间必须采用 Trunk 方 式连接 但在供销的虚网划分中 在二级单位 1 中的供销独立于一个 LAN 交换机 Catalyst3548 所以在这里 Catalyst3548 与二级中心交换机 Catalyst4006 只需采用正常的交换式连接即可 对于此部分供销 VLAN 的划分 只 要在 Catalyst4006 上针对与 Catalyst3548 连接的端口进行划分即可 也就是前面提到的基于端口的 VLAN 的划分 第三步 路由列表 做完了 VLAN 之间的连接后 因为两个 Catalyst4006 与主中心交换机 Catalyst6506 间采用的是双光纤通道式连接 屏蔽了 Catalyst406 与 Catalyst6506 间的线路故障的产生 所以要对整体网络的路由进行基于 Catalyst6506 的集中 式管理 我们在主中心交换机 Catalyst6506 上设置了 VLAN 路由 经理办虚网 192 168 1 1 22 财务虚网 192 168 3 1 22 供销虚网 192 168 6 1 22 信息中心虚网 192 168 7 1 24 其余虚网 192 168 8 1 22 接下来 在中心交换机上设置路由协议 RIP 或 OSPF 并指定网段 192 168 0 0 在全局配置模式下执行如下命令 router rip network 192 168 0 0 网络拓扑图 注意事项 1 在这里需要注意的是 因为整个公司的网络系统的 VLAN 的划分是作为一个整体结构来设计的 所以为了保持 VLAN 列表的一致性 例如当二级单位 1 的 VLAN 有所变化时 VLAN 列表也会有所变化 这时就需要该 Catalyst 4006 对整体网络的其他部分进行广播 以达到 VLAN 的列表的一致性 所以在设置 VTP VLAN Trunk Protocol 时要注意 要将 VTP 的域作为一个整体 即 VTP 类型分别为 Server 和 Client 2 有些企业建网较早 所选用的网络设备为其他的厂商的产品 而后期的产品又不能与前期统一 这样在 VLAN 的划 分中就会遇到些问题 例如 在 Cisco 产品与 3Com 产品的混合网络结构中划分 VLAN 对于 Cisco 网络设备的 Trunk 的封装协议则必须采用 802 1Q 以达到与 3Com 的通讯 虽然两者之间可以建立 VLAN 的正常划分 和正常的应用 但由于交换机都具有自学 习的能力 以致两者之间的协调配合较差 当两者之间的连接发生变化时 必须在 Cisco 交换机上使用命令 clear counter 进行清除 方可达到两者的重新协调工作 传统的局域网 Ethernet 使用具有冲突检测的载波监听多路访问 CSMA CD 方法 在 CSMA CD 网络中 节 点可以在它们有数据需要发送的任何时候使用网络 在节点传输数据之前 它进行 监听 以了解网络是否很繁忙 如 果不是 则节点开始传送数据 如果网络正在使用 则节点等待 如果两个节点进行监听 没有听到任何东西 而开 始同时使用线路 则会出现冲突 在发送数据时 它如果使用广播地址 那么在此网段上的所有 PC 都将收到数据包 这样一来如果该网段 PC 众多 很容易引起广播风暴 而冲突和广播风暴是影响网络性能的重要因素 为 解 决这一 问题 引入了虚拟局域网 VLAN 的概念 虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组 虚拟网在逻辑上等于 OSI 模型的第二层的 广播域 与具体的物理网及地理位置无关 虚拟工作组可以包含不同位置的部门和工作组 不必在物理上重新配置任 何端口 真正实现了网络用户与它们的物理位置无关 虚拟网技术把传统的广播域按需要分割成各个独立的子广播域 将广播限制在虚拟工作组中 由于广播域的缩小 网络中广播包消耗带宽所占的比例大大降低 网络的性能得到显著 的提高 我们结合下面的图来看看讲下 图 1 所表示的是两层楼中的相同性质的部门划分到一个 VLAN 中 这样 会 计的数据不会向市场的机器上广播 也不会和市场的机器发生数据冲突 所以 VLAN 有效的分割了冲突域和广播域 我们可以在交换机的某个端口上定义 VLAN 所有连接到这个特定端口的终端都是虚拟网络的一部分 并且整个 网络可以支持多个 VLAN VLAN 通过建立网络防火墙使不必要的数据流量减至最少 隔离各个 VLAN 间的传输和可能出 现的问题 使网络吞吐量大大增加 减少了网络延迟 在虚拟网络环境中 可以通过划分不同的虚拟网络来控制处于 同一物理网段中的用户之间的通信 这样一来有效的实现了数据的保密工作 而且配置起来并不麻烦 网络管理员可 以逻辑上重新配置网络 迅速 简单 有效地平衡负载流量 轻松自如地增加 删除和修改用户 而不必从物理上调 整网络配置 既然 VLAN 有那么多的优点 我们为什么不了解它从而把 VLAN 技术应用到我们的现实网络管理中去呢 好的让我们通过实际的在 Catalyst 1900 交换机上来配置静态 VLAN 的例子来看看如何在交换机上配置 VLAN 图 1 在 Catalyst 1900 上的两个 VLAN 设置好超级终端 连接上 1900 交换机后 可以参考 1900 系列以太网交换机快速入门指南 或其他的 CISCO 参 考资料 会出现如下的主配置界面 1 user s now active on Management Console User Interface Menu M Menus K Command Line I IP Configuration Enter Selection 我们简单介绍下 这儿显示了三个选项 M Menus 是主菜单 主要是交换机的初始配置和监控交换机的运行状 况 K Command Line 是命令行 很象路由器里面用命令来配置和监控路由器一样 主要是通过命令来操作 I IP Configuration 是配置 IP 地址 子网掩码和默认网管的一个选项 这是第一次连上交换机显示的界面 如果你已 经配置好了 IP Configuration 那么下次登陆的时候将没有这个选项 因为用命令配置简洁明了 清晰易懂 所以 我们通过 K Command Line 来实现 VLAN 的配置的 设置好超级终端 连接上 1900 交换机后 可以参考 1900 系列以太网交换机快速入门指南 或其他的 CISCO 参考资 料 会出现如下的主配置界面 1 user s now active on Management Console User Interface Menu M Menus K Command Line I IP Configuration Enter Selection 我们简单介绍下 这儿显示了三个选项 M Menus 是主菜单 主要是交换机的初始配置和监控交换机的运行状 况 K Command Line 是命令行 很象路由器里面用命令来配置和监控路由器一样 主要是通过命令来操作 I IP Configuration 是配置 IP 地址 子网掩码和默认网管的一个选项 这是第一次连上交换机显示的界面 如果你已 经配置好了 IP Configuration 那么下次登陆的时候将没有这个选项 因为用命令配置简洁明了 清晰易懂 所以 我们通过 K Command Line 来实现 VLAN 的配置的 我们选择 K Command Line 进入命令行配置 Enter Selection K 回车 CLI session with the switch is open To end the CLI session enter Exit 现在我们进入到了交换机的普通用户模式 就象路由器一样 这种模式只能查看现在的配置 不能更改配置 并且能够使用的命令很有限 我们输入 enable 进入特权模式 enable config t Enter configuration commands one per line End with CNTL Z config 为了安全和方便起见 我们给这个交换机起个名字 并且设置登陆密码 config hostname 1900Switch 1900Switch config enable password level 15 goodwork 1900Switch config 注意 密码必须是 4 8 位的字符 交换机密码的设置和路由器稍微不同 交换机用 level 级别的大小来决定密码的 权限 Level 1 是进入命令行界面的密码 也就是说 设置了 level 1 的密码后 你下次连上交换机 并输入 K 后 就会让你输入密码 这个密码就是 level 1 设置 的密码 而 level 15 是你输入了 enable 命令后让你输入的特权 模式密码 路由器里面是使用 enable password 和 enable screet 做此区分的 好拉 我们已经设置好了名字和密码这样就足够安全了 让我们设置 VLAN VLAN 的设置分以下 2 步 1 设置 VLAN 名称 2 应用到端口 我们先设置 VLAN 的名称 使用 vlan vlan 号 name vlan 名称 在特权配置模式下进行配置 1900Switch config vlan 2 name accounting 1900Switch config vlan 3 name marketing 我们新配置了 2 个 VLAN 为什么 VLAN 号从 2 开始呢 这是因为默认情况下 所有的端口否放在 VLAN 1 上 所 以要从 2 开始配置 1900 系列的交换机最多可以配置 1024 个 VLAN 但是 只能有 64 个同时工作 当然了 这是理 论上的 我们应该根据自己网络的实际需要来规划 VLAN 的号码 配置好了 VLAN 名称后我们要进入每一个端口来设置 VLAN 在交换机中 要进入某个端口比如说第 4 个端口 要用 interface Ethernet 0 4 好的 结合上面给出的图 我们让端口 2 3 4 和 5 属于 VLAN2 端口 17 22 属于 VLAN3 命令是 vlan membership static dynamic VLAN 号 静态的或者动态的两者必须选择一个 后面是刚才配置的 VLAN 号 好的 我们看结果 1900Switch config interface ethernet 0 2 1900Switch config if vlan membership static 2 1900Switch config if int e0 3 1900Switch config if vlan membership static 2 1900Switch config if int e0 4 1900Switch config if vlan membership static 2 1900Switch config if int e0 5 1900Switch config if vlan membership static 2 1900Switch config if int e0 17 1900Switch config if vlan membership static 3 1900Switch config if int e0 22 1900Switch config if vlan membership static 3 1900Switch config if 好的 我们已经把 VLAN 都定义到了交换机的端口上了 这儿 我们只是配置的静态的 关于动态的 我们在后 面会有提及的 到现在为止 我们已经把交换机的 VLAN 配置好了 怎么样 没有你想象的那么复杂吧 为了验证 我们的配置 我们在特权模式使用 show vlan 命令 输出如下 1900Switch config show vlan VLAN Name Status Ports 1 default Enabled 1 6 16 22 24 AUI A B 2 acconting Enabled 2 5 3 marketing Enabled 17 22 1002 fddi default Suspended 1003 token ring defau Suspended 1004 fddinet default Suspended 1005 trnet default Suspended 这是一个 24 口的交换机 并且带有 AUI 和两个 100 兆端口 A B 可以看出来 我们的设置已经正常工作了 什么 还要不要保存 running configure 当然不用了 交换机是即时自动保存的 所以不用我们使用命令来保存设 置了 当然了 你也可以使用 show vlan vlan 号 的命令来查看某个 VLAN 比如 show vlan 2 show vlan 3 还 可以使用 show vlan membership 改命令主要是显示交换机上的每一个端口静态或动态的属于哪个 VLAN 以上是给交换机配置静态 VLAN 的过程 下面我们看看动态的 VLAN 动态的 VLAN 形成很简单 由端口自己决定 它属于哪个 VLAN 时 就形成了动态的 VLAN 不过 这并不意味着就一层不变了 它只是一个简单的映射 这个映射 取决于网络管理员创建的数据库 分配给动态 VLAN 的端口被激活后 交换机就缓存初始帧的源 MAC 地址 随后 交 换机便向一个称为 VMPS VLAN 管理策略服务器 的外部服务器发出请求 V M P S 中包含一个文本文件 文件中存 有进行 VLAN 映射的 MAC 地址 交换机对这个文件进行下载 然后对文件中的 MAC 地址进行校验 如果在文件列表中 找到 MAC 地址 交换机就将端口分配给列表中的 VLAN 如果列表中没有 MAC 地址 交换机就将端口分配给默认的 VLAN 假设已经定义默认了 VLAN 如果在列表中没有 MAC 地址 而且也没有定义默认的 VLAN 端口不会被激活 这 是维护网络安全一种非常好的的方法 从表面上看 动态 VLAN 的优势很大 但它也有致命的缺点 即创建数据库是 一项非常艰苦而且非常繁琐的工作 如果网络上有数千个工作站 则有大量的输入工作要做 即使有人能胜任这项工 作 也还会出现与动态的 VLAN 有关的很多问题 另外 保持数据库为最新也是要随时进行的非常费时的工作 所以 不经常用到它 这里我们就不做详细的讲解 可以参考相关的 CISCO 的文档资料 这么样 没有你想象的那么复杂吧 我们已经把 VLAN 配置好了 那么 VLAN 的另一部分不容忽视的工作 就是前 期的对网络的规划 就是说 哪些机器在一个 VLAN 中 各自的 IP 地址 子网掩码如何分配 以及 VLAN 之间互相通 讯的问题 只有规划计划好了 才能够在配置和以后的使用维护过程中轻松省事 interface FastEthernet0 36 switchport access vlan 20 switchport mode access 用三层交换机实现大中型企业用三层交换机实现大中型企业 VLAN 方案方案 在大中型企业中 采用路由器方式划分 VLAN 会严重影响企业网络的性能 而 VLAN 间的通信必需通过路由才能实 现 因此 具有路由功能的三层交换机被广泛应用于大中型企业 VLAN 网络中 企业规模的扩大造就了企业网络规模的不断膨胀 众多企业在扩展网络规模时采用了在原有的网络上直接增加计 算机的方法来实现 随之而来的就是网络体系变得越来越复杂 对网络的管理也变得越来越困难 网内的安全指数也 变得越来越低 并且网络资源的利用率也大大降低 如何行之有效的管理网络和合理利用网络资源成为企业最大的难 题 采用 VLAN 方式划分网络体系能够让管理员更加方便的管理企业网络 而 VLAN 网络灵活的扩展能力也让企业 网络规模在不断扩大的同时不会出现网络混乱的情况 VLAN 网络所具有的控制广播风暴能力让企业网络资源的性能 得到大幅度提高 并且 VLAN 网络还具有管理简单 安全性高的特点 因此 在网络最初的设计中采用 VLAN 方式 能够对网络将来的扩展带来极大的好处 在普通的小型企业中 采用路由器方式划分 VLAN 是一种节约成本的方法 不过在大中型企业中 采用路由器 方式划分 VLAN 会严重影响企业网络的性能 而 VLAN 间的通信必需通过路由才能实现 因此 具有路由功能的三 层交换机被广泛应用于大中型企业 VLAN 网络中 但我们必需清楚一点 就是采用三层交换机的 VLAN 网络同样需 要路由器 只不过路由器只是企业网络和互联网的连接工具 VLAN 间的通信不会靠路由器来实现 三层交换机构建的三层交换机构建的 VLAN 网络结构网络结构 VLAN 网络的划分最大的特点就在于它的灵活性 而采用 VLAN 方式划分网络主要有静态 VLAN 和动态 VLAN 方式 静态 VLAN 实际上就基于端口的 VLAN 这种划分方式由于要管理员对每个交换机的端口都要进行配置 显得 非常复杂 一般不采用这种方式 动态 VLAN 又分为三种划分方式 基于子网的 VLAN 基于 MAC 地址的 VLAN 基于用户的 VLAN 这三种方式各有各的特点 因此 我们在划分 VLAN 网络的时候可以灵活搭配 例如移动用户由 于外置无线网卡随时可能被更换 所以我们对移动用户可采用用户的 VLAN 划分方式 将这部分划为一个基于用户 的 VLAN 而一些固定的用户我们可采用基于子网的 VLAN 方式 也就是把一个段的 IP 划分为一个 VLAN 因此 划分 VLAN 显得非常灵活 上图所显示的网络第一层我们还是采用了路由器 这是由于路由器本身就是连接内网和外网的唯一工具 因此 路由器不能缺少 只是 VLAN 间通信路由不在路由器中实现 但我们也必需注意 大型 VLAN 网络由于数据传输量 非常大 对路由器的要求也非常高 所以我们不能简单的认为有了三层交换机对路由器要求就不高了 因此 我们选 择路由器还是要根据整个网络的规模来看 在第二层就是采用的三层交换机 这也是整个大型 VLAN 网络的关键所在 三层交换机具有路由和交换两种功 能 其中的路由功能是实现 VLAN 间通信的关键技术 当第一个数据流进入三层交换机后 三层交换机将会对这个 数据流进行路由 在路由的同时三层交换机会产生一个 MAC 地址与 IP 地址的映射表 这样做的好处就是当同样的 数据流进入三层交换机后 不需要三层交换机对这个数据流再进行一次路由 这个数据流只需要直接通过三层交换机 就能实现 VLAN 间通信 从而有效解除了路由器所带来的网络瓶颈 三层交换机也是划分 VLAN 网络的关键所在 管理员只需要对三层交换机进行配置就可完成对 VLAN 网络的划分 所以在选择三层交换机时 我们一定要根据自 己的实际情况进行合理选择 才能更加有效的保证整个 VLAN 网络的正常运行 在网络的第三层 我们选用的二层交换机 二层交换机在 VLAN 网络中的作用实际上只是保证整个网络基层的 正常运行 如果网络规模非常大 那么这一层最好选择千兆交换机 让网络的下一层继续连接交换机进行扩展 如果 网络规模不是非常大 采用三层交换机连接的计算机数量最少也是在 200 台以上 这一层直接选择普通交换机就 可以了 在网络最底层是整个网络的基础 也是我们决定怎样划分 VLAN 网络的标准 它们由企业的计算机终端 服务 器等组成 400 节点企业网络设计方案节点企业网络设计方案 下面我们来设计一个具有 400 节点的企业 VLAN 网络 我们假设这个企业分为销售部 售后服务部 设计部 财务部 服务器区组成 其中 销售部有 20 台计算机 售后服务部有 20 台计算机 财务部有 20 台计算机 服务器 区有 20 台服务器 设计部有 320 台计算机 我们可将整个企业网络划分为 6 个 VLAN 如果用户对设计部的计算机 量感觉有些大 还可将这个部门的计算机进行 VLAN 细划 下图是这个 500 节点的 VLAN 划分结构图 再次申明 VLAN 网络的划分需要在三层交换机上进行配置才能实现 上图是经过配置之后的一个 VLAN 结构 图 我们看到 在上图中的销售部 售后服务部和财务部三个 VLAN 都选用了二层交换机 由于这些部门对网络带 宽要求不大 加上计算机数量少 每个 VLAN 只有 20 台 实际上我们选择 24 口的交换机就能实现 VLAN 用户可 根据自己实际情况来决定 设计部 VLAN 由于计算机数量多 所以我们用了一个千兆交换机加上多个普通交换机实现 VLAN 而在服务器 我们也选择了千兆交换机进行连接 这主要是由于服务器对网络带宽本身要求就非常高 三层交换机和路由器的选择 也是根据实际情况而定 60 节点需要有 1000M 的速率可以接入交换机的光纤口 这 60 个节点需要接多少台交换机就要看你的交换机的 光纤口的多少了 一般接入层都是两个 把需要划分 VLAN 的交换机按需求划分好 然后在交换机上启动 VTP 协议 VTP VLAN TUARK PROTOCOL VTP 的协议是为了更方便的管理 VLAN 的添加和删除 VLAN 的划分 SWITCH vlan database 进入 VLAN 的数据库 SWITCH VLAN DATABAEE vlan 2 name zhong 2 是 VLAN 的编号 zHONG 是 VLAN 的名称 SWITCH conf t 进入配置 MODE SWITCH CONFIG in fa0 1 进入端口 1 SWITCH CONFIG IF swi mode access 把端口定义为接入层接口 SWITCH CONFIG IF switch access vlan 2 把端口 1 划分到 VLAN2 里面 你把 VLAN 划分后 在交换机的特权模式下 SWITCH show vlan 命令查看是不是你所划分的情况 当一个网络上交换机很多 而且又划分了 VLAN 这时我们可以使用 VTP 协议来管理这些 VLAN 如果启用 VTP 就需要确定哪一些交换机做为客户端模式 哪些是不需要 VLAN 的信息 就是透明模式 哪一台做为服务 器模式 当启用了 VTP 协议后 VLAN 的更改只需在服务器上做更改就可 修改后的信息会传播到客户端 当这些确定后 我 们就可以进行一些实际的操作了 SWITCH CONFIG vtp doma zhong vtp 域 无论是服务器模式还是客户模式 如果要统一管理就必须 是同一 域 SWITCH CONFIG vtp mode server 在这一台启用服务器角色 SWITCH CONFIG vtp mode trans 启用透明模式 SWITCH CONFIG vtp mode cli 启用客户端模式 SWITCH CONFIG vtp passwd 123 为 VTP 加上密码 SWITCH CONFIG vtp prun 为 VTP 启用修剪功能 机房建设 整体构成 一个全面的机房建设应包括以下几个方面 1 机房装修 2 电气系统 3 空调系统 4 门禁系统 5 监控系统 6 消防系统 简要描述如下 机房装修 1 一般规定 计算机房的室内装修工程施工验收主要包括吊顶 隔断墙 门 窗 墙壁装修 地面 活动地板的施工验收及其 他室内作业 室内装修作业应符合 装饰工程施工及验收规范 地面及楼面工程施工及验收规范 木结构工程施工及验收 规范 及 钢结构工程施工及验收规范 的有关规定 在施工时应保证现场 材料和设备的清洁 隐蔽工程 如地板下 吊顶上 假墙 夹层内 在封口前必须先除尘 清洁处理 暗处表层应能保持长期不起尘 不起皮和不龟裂 机房所有管线穿墙处的裁口必须做防尘处理 然后对缝隙必须用密封材料填堵 在裱糊 粘接贴面及进行其他涂 复施工时 其环境条件应符合材料说明书的规定 装修材料应尽量选择无毒 无刺激性的材料 尽量选择难燃 阻燃材料 否则应尽可能涂防火涂料 2 吊顶 计算机机房吊顶板表面应平整 不得起尘 变色和腐蚀 其边缘应整齐 无翘曲 封边处理后不得脱胶 填充顶 棚的保温 隔音材料应平整 干燥 并做包缝处理 按设计及安装位置严格放线 吊顶及马道应坚固 平直 并有可靠的防锈涂复 金属连接件 铆固件除锈后 应 涂两遍防锈漆 吊顶上的灯具 各种风口