STP;VTP交换机配置实例.doc

STP;VTP交换机配置实例VTP（VLAN Trunking Protocol）：虚拟局域网干道协议VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息* 当使用多重名字VLAN能变成交叉-连接。* 当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。VTP模式当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。在交换机自动转到VTP的Client模式后，它会传送广播信息并从广播中学习新的信息。但是，不能通过MIB、CLI、或者控制台来增加、删除、修改VLAN。VTP Client端不能保持VLAN信息在非易失存储器中。当启动时，它会通过Trunk网络端口接受广播信息，学习配置信息。在VTP透明的模式，交换不做广播或从网络学习VLAN配置。当一个交换机是在VTP透明的模式，能通过控制台、CLI、MIB来修改、增加、删除VLAN。为使每一个VLAN能够使用，必须使VTP知道。并且包含在Trunk port 的准许列表中，一个快速以太网ISL Trunk自动为VLAN传输数据，并且从一个交换机到另一个交换机。需要注意的是如果交换在VTP Server模式接收广播包含128多个VLAN，交换自动地转换向VTP Client模式。更改交换机从VTP Client模式向VTP透明的模式，交换机保持初始、唯一128VLAN并删除剩余的VLAN。传送VTP信息每个交换机用VTP广播Trunk端口的管理域，定义特定的VLAN边界，它的配置修订号，已知VLAN和特定参数。在一个VTP管理域登记后交换机才能工作。通过Trunk，VTP Server向其它交换机传输信息和接收更新。VTP Server也在NVRAM中保存本VTP管理域信息中 VLAN的列表。 VTP能通过统一的名字和内部的列表动态显示出管理域中的VLAN。VTP信息在全部Trunk连接上传输，包括ISL、IEEE802.10、LANE。VTP MIB为VTP提供SNMP工具，并允许浏览VTP参数配置。VTP建立共用的配置值和分布下列的共用的配置信息:* VLAN IDs（ISL）* 仿效LAN的名字（ATM LANE）* IEEE802.10 SAID值（FDDI）* VLAN中最大的传输单元（MTU）大小* 帧格式VTP协议用来确保配置的一致性，VTP的具体优点如下：。保持了VLAN的一致性。提供从一个交换机到另一个交换机在整个管理域中增加虚拟局域网的方法VTP协议是思科的专用协议，大多数的Catalys交换机都支持该协议，VTP可以减少VLAN的相关管理任务。在VTP域中有两个重要的概念：。VTP域：也称VLAN管理域，由一个以上共享VTP域名的相互连接的交换机组成的。也就是说VTP域是一组域名相同并通过中继链路相互连接的交换机。VTP通告：在交换机之间用来传递VLAN信息的数据包被成为VTP数据包。创建VTP域命令switch(config)#vtp domain DOMAIN_NAME配置交换机的VTP模式三种模式server client transparent(透明模式)switch(config)# vtp mode server | client | transparent配置VTP口令switch (config) # vtp password PASSWORD步骤一、交换机和PC机的基本配置步骤二、关闭交换机的所有端口，然后启用接入端口S1(config)#int range f0/1 - 24S1(config-if-range)#shutdownS1(config-if-range)#int range g1/1 - 2S1(config-if-range)#shutdownS1(config-if-range)#int f0/6S1(config-if)#switchport mode accessS1(config-if)#no shutS1(config-if)#int f0/11S1(config-if)#switchport mode accessS1(config-if)#no shutS1(config-if)#int f0/18S1(config-if)#switchport mode accessS1(config-if)#no shut(交换机S2、S3配置参考S1)步骤三、配置中继链路和本征VLANS1(config)#int range f0/1 4S1(config-if-range)#switchport mode trunkS1(config-if-range)#switchport trunk native vlan 99S1(config-if-range)#no shut(交换机S2、S3配置参考S1)步骤四、配置VTPS1(config)#vtp mode serverDevice mode already VTP SERVER.S1(config)#vtp domain ciscoChanging VTP domain name from NULL to ciscoS1(config)#vtp password ciscoSetting device VLAN database password to ciscoS2(config)#vtp mode clientDevice mode already VTP CLIENT.S2(config)#vtp domain ciscoChanging VTP domain name from NULL to ciscoS2(config)#vtp password ciscoSetting device VLAN database password to ciscoS3(config)#vtp mode clientDevice mode already VTP CLIENT.S3(config)#vtp domain ciscoChanging VTP domain name from NULL to ciscoS3(config)#vtp password ciscoSetting device VLAN database password to cisco步骤五、在S1(VTP Server)上配置VLANS1(config)#vlan 10S1(config-vlan)#name staffS1(config-vlan)#exitS1(config)#vlan 20S1(config-vlan)#name studentsS1(config-vlan)#exitS1(config)#vlan 30S1(config-vlan)#name guestS1(config-vlan)#exitS1(config)#vlan 99S1(config-vlan)#name managementS1(config-vlan)#exit(配置至此，用#sh vlan brief命令查看S2、S3交换机的vlan配置，会看到VTP Server已经将VLAN信息传播至两个交换机)步骤六、为各个VLAN分配接口S1(config)#interface range fa0/6 - 10S1(config-if-range)#switchport access vlan 10S1(config-if-range)#interface range fa0/11-17S1(config-if-range)#switchport access vlan 20S1(config-if-range)#interface range fa0/18-24S1(config-if-range)#switchport access vlan 30S1(config-if-range)#exit(交换机S2、S3配置参考S1)步骤七、接入层交换机上配置端口安全功能S1(config)#interface fa0/6S1(config-if)#switchport port-securityS1(config-if)#switchport port-security maximum 1S1(config-if)#switchport port-security mac-address stickyS1(config-if)#interface fa0/11S1(config-if)#switchport port-securityS1(config-if)#switchport port-security maximum 1S1(config-if)#switchport port-security mac-address stickyS1(config-if)#interface fa0/18S1(config-if)#switchport port-securityS1(config-if)#switchport port-security maximum 1S1(config-if)#switchport port-security mac-address stickyS1(config-if)#end(交换机S2、S3配置参考S1)注：interface FastEthernet0/1switchport mode accessswitchport port-security maximum 1 /设置最多只允许一个MAC地址通过switchport port-security /启用端口安全switchport port-security violation protect /设定破坏规则的动作为端口保护switchport port-security mac-address sticky /设定端口的行为是MAC地址粘贴switchport port-security mac-address sticky 0012.3f12.cfd6 /指定具体的粘贴MAC地址说明：其实端口安全的默认设置的maximum是1，如果需要限定几个MAC，设为几就OK了。步骤八、为各交换机配置管理VLAN地址和默认网关S1(config)#ip default-gateway 192.168.1.1S1(config)#interface vlan99S1(config-if)#ip address 192.168.99.11 255.255.255.0S1(config-if)#no shutdownS2(config)#ip default-gateway 192.168.1.1S2(config)#interface vlan99S2(config-if)#ip address 192.168.99.12 255.255.255.0S2(config-if)#no shutdownS3(config)#ip default-gateway 192.168.1.1S3(config)#interface vlan99S3(config-if)#ip address 192.168.99.13 255.255.255.0S3(config-if)#no shutdown步骤九、按下列要求配置并改良STPS1 成为 VLAN 10 的根桥（优先级 4096）、VLAN 20 的备用根桥（优先级 16384）S2 成为 VLAN 20 的根桥（优先级 4096）、VLAN 30 的备用根桥（优先级 16384）S3 成为 VLAN 30 的根桥（优先级 4096）、VLAN 10 的备用根桥（优先级 16384）S1(conf