网络协议与设备学习笔记.doc

SNMP目录隐藏【SNMP简介】【SNMP风险】【SNMP数据】【SNMP发展】【管理信息库】【SNMP的运行过程】【SNMP的常用程序开发】SNMP工作原理【SNMP简介】SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB：体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。 SNMP的体系结构是围绕着以下四个概念和目标进行设计的：保持管理代理(agent)的软件成本尽可能低；最大限度地保持远程管理的功能，以便充分利用Internet的网络资源；体系结构必须有扩充的余地；保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。【SNMP风险】接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。 根据SANS协会的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备（防火墙保护圈之外的设备）上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这样的。一、背景知识SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，还有Multi Router Traffic Grapher（MRTG）之类的免费软件，都用SNMP服务来简化网络的管理和维护。 由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。 仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。 通信字符串主要包含两类命令：GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击（DoS）和恶意修改网络参数。 最常见的默认通信字符串是public（只读）和private（读/写），除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。 SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。 近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串，SNMP 3.0使用DES（Data Encryption Standard）算法加密数据通信；另外，SNMP 3.0还能够用MD5和SHA（Secure Hash Algorithm）技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络。虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0；甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。即使设备已经支持SNMP 3.0，许多厂商使用的还是标准的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不当，其实际效果仍旧有限。 二、禁用SNMP要避免SNMP服务带来的安全风险，最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络，那就没有必要运行它；如果你不清楚是否有必要运行SNMP，很可能实际上不需要。即使你打算以后使用SNMP，只要现在没有用，也应该先禁用SNMP，直到确实需要使用SNMP时才启用它。下面列出了如何在常见的平台上禁用SNMP服务。 Windows XP和Windows 2000 在XP和Win 2K中，右击“我的电脑”，选择“管理”。展开“服务和应用程序”、“服务”，从服务的清单中选择SNMP服务，停止该服务。然后打开服务的“属性”对话 框，将启动类型该为“禁用”（按照微软的默认设置，Win 2K/XP默认不安装SNMP服务，但许多软件会自动安装该服务）。 Windows NT 4.0 选择“开始”“设置”，打开服务设置程序，在服务清单中选择SNMP服务，停止该服务，然后将它的启动类型该为禁用。 Windows 9x 打开控制面板的网络设置程序，在“配置”页中，从已安装的组件清单中选择“Microsoft SNMP代理”，点击“删除”。检查HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices和HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionRun注册键，确认不存在snmp.exe。 Cisco Systems硬件 对于Cisco的网络硬件，执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭，可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台；对于非IOS的Cisco设备，请参考随机文档。 HP硬件 对于所有使用JetDirect卡（绝大部分HP网络打印机都使用它）的HP网络设备，用telnet连接到JetDirect卡的IP地址，然后执行下面的命令： SNMP-config: 0quit 这些命令将关闭设备的SNMP服务。但必须注意的是，禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。 Red Hat Linux 对于Red Hat Linux，可以用Linuxconf工具从自动启动的服务清单中删除SNMP，或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统，操作方法应该也相似。三、保障SNMP的安全如果某些设备确实有必要运行SNMP，则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描，全面掌握各台机器、设备上运行的服务，否则的话，很有可能遗漏一、二个SNMP服务。特别需要注意的是，网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后，再采取下面的措施保障服务安全。 加载SNMP服务的补丁 安装SNMP服务的补丁，将SNMP服务升级到2.0或更高的版本。联系设备的制造商，了解有关安全漏洞和升级补丁的情况。 保护SNMP通信字符串 一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明，逐一检查、修改各个标准的、非标准的通信字符串，不要遗漏任何一项，必要时可以联系制造商获取详细的说明。 过滤SNMP 另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求，即在防火墙或边界路由器上， 阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口，厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后，外部网络访问内部网络的能力就受到了限制；另外，在内部网络的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作 SNMP。例如，下面的ACL只允许来自（或者走向）SNMP管理系统的SNMP通信，限制网络上的所有其他SNMP通信： access-list 100 permit ip host w.x.y anyaccess-list 100 deny udp any any eq snmpaccess-list 100 deny udp any any eq snmptrap access-list 100 permit ip any any 这个ACL的第一行定义了可信任管理系统（w.x.y）。利用下面的命令可以将上述ACL应用到所有网络接口： interface serial 0ip access-group 100 in 总之，SNMP的发明代表着网络管理的一大进步，现在它仍是高效管理大型网络的有力工具。然而，SNMP的早期版本天生缺乏安全性，即使最新的版本同样也存在问题。就象网络上运行的其他服务一样，SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务，也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题，所以最好关闭SNMP之类并非必需的服务至少尽量设法保障其安全。【SNMP数据】SNMP规定了5种协议数据单元PDU（也就是SNMP报文），用来在管理进程和代理之间的交换。get-request操作：从代理进程处提取一个或多个参数值；get-next-request 操作：从代理进程处提取紧跟当前参数值的下一个参数值；set-request操作：设置代理进程的一个或多个参数值；get-response操作：返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作。trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。图1 SNMP的5种报文操作前面的3种操作是由管理进程向代理进程发出的，后面的2个操作是代理进程发给管理进程的，为了简化起见，前面3个操作今后叫做get、get-next和set操作。图1描述了SNMP的这5种报文操作。请注意，在代理进程端是用熟知端口161来接收get或set报文，而在管理进程端是用熟知端口162来接收trap报文。图2是封装成UDP数据报的5种操作的SNMP报文格式。可见一个SNMP报文共有三个部分组成，即公共SNMP首部、get/set首部trap首部、变量绑定。图2 SNMP报文格式公共SNMP首部 版本 写入版本字段的是版本号减1，对于SNMP（即SNMPV1）则应写入0。l 共同体（community）共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，常用的是6个字符“public”。 PDU类型根据PDU的类型，填入04中的一个数字，其对应关系如表1所示意图。表1 PDU类型get/set首部请求标识符(request ID)这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对于哪一个请求报文差错状态（error status）由代理进程回答时填入05中的一个数字，见表2的描述。表2 差错状态描述 差错索引(error index)当出现noSuchName、badValue或readOnly的差错时，由代理进程在回答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。trap首部企业（enterprise）填入trap报文的网络设备的对象标识符。此对象标识符肯定是在图3的对象命名树上的enterprise结点.4.1下面的一棵子树上。图3 管理信息库的对象命名举例trap类型此字段正式的名称是generic-trap，共分为表3中的7种。 类型2、3、5时，在报文后面变量部分的第一个变量应标识响应的接口。表3 trap类型特定代码(specific-code)指明代理自定义的时间（若trap类型为6），否则为0。 时间戳(timestamp)指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。例如时间戳为1908表明在代理初始化后1908ms发生了该时间。变量绑定(variable-bindings)指明一个或多个变量的名和对应的值。在get或get-next报文中，变量的值应忽略。【SNMP发展】简单网络管理协议（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC1157定义了SNMP（simple network management protocol）的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。SNMP在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如，难以实现大量的数据传输，缺少身份验证（Authentication）和加密（Privacy）机制。因此，1993年发布了SNMPv2，具有以下特点：l 支持分布式网络管理l 扩展了数据类型l 可以实现大量数据的同时传输，提高了效率和性能l 丰富了故障处理能力l 增加了集合处理功能l 加强了数据定义语言【管理信息库】管理信息库MIB指明了网络元素所维持的变量（即能够被管理进程查询和设置的信息）。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。图3画的是管理信息库的一部分，它又称为对象命名树（object naming tree）。对象命名树的顶级对象有三个，即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点，其中的一个（标号3）是被标识的组织。在其下面有一个美国国防部（Department of Defense）的子树（标号是6），再下面就是Internet（标号是1）。在只讨论Internet中的对象时，可只画出Internet以下的子 树（图中带阴影的虚线方框），并在Internet结点旁边标注上即可。在Internet结点下面的第二个结点是mgmt（管理），标号是2。再下面是管理信息库，原先的结点名是mib。1991年定义了新的版本MIB-II，故结点名现改为mib-2，其标识为.2.1，或Internet(1) .2.1。这种标识为对象标识符。最初的结点mib将其所管理的信息分为8个类别，见表4。现在的 mib-2所包含的信息类别已超过40个。表4 最初的结点mib管理的信息类别应当指出，MIB的定义与具体的网络管理协议无关，这对于厂商和用户都有利。厂商可以在产品 （如路由器）中包含SNMP代理软件，并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然，一个没有新的MIB项目的路由器不能提供这些项目的信息。这里要提一下MIB中的对象.4.1，即enterprises（企业）， 其所属结点数已超过3000。例如IBM为.4.1.2，Cisco为.4.1.9，Novell为 .4.1.23等。【SNMP的运行过程】驻留在被管设备上的AGENT从UDP端口161接受来自网管站的串行化报文，经解码、团体名验证、分析得到管理变量在MIB树中对应的节点，从相应的模块中得到管理变量的值，再形成响应报文，编码发送回网管站。网管站得到响应报文后，再经同样的处理，最终显示结果。下面根据RFC1157详细介绍Agent接受到报文后采取的动作：首先解码生成用内部数据结构表示的报文，解码依据ASN.1的基本编码规则，如果在此过程中出现错误导致解码失败则丢弃该报文，不做进一步处理。第二步：将报文中的版本号取出，如果与本Agent支持的SNMP版本不一致，则丢弃该报文，不做进一步处理。当前北研的数据通信产品只支持SNMP版本1。第三步：将报文中的团体名取出，此团体名由发出请求的网管站填写。如与本设备认可的团体名不符，则丢弃该报文，不做进一步处理，同时产生一个陷阱报文。SNMPv1只提供了较弱的安全措施，在版本3中这一功能将大大加强。第四步：从通过验证的ASN.1对象中提出协议数据单元PDU，如果失败，丢弃报文，不做进一步处理。否则处理PDU，结果将产生一个报文，该报文的发送目的地址应同收到报文的源地址一致。【SNMP的常用程序开发】Agent：NetSNMP 、Agent+ 、 MG-soft管理端：winsnmpwindows自带的SNMP库；snmp4j-Java版本的SNMP协议栈；(OpenNMS用到了本库)ObjectSNMP面向对象的Java snmp开发包；O/M Mapping技术。思科设备的若干配置问题telnet到交换机时命令提示符显示为Switch(boot)这是由交换机掉电，然后通电重启后导致的，说明交换机是用bootflash里的BootImage启动的，这是个小的IOS，功能不全，完整的IOS一般放在外插的flash盘里。解决办法是把存放有完整IOS的PCMCIA卡插入到交换机中，然后重启交换机，待交换机完全重启好了后，PCMCIA中的完整IOS将会被加载到内存中，此时可以拔掉PCMCIA卡。设置交换机的管理IP地址并up默认的VLAN当无法ping或则telnet交换机，但能ping与该交换机直接相连的路由器时，很有可能是因为该交换机的管理IP地址所在的VLAN的状态是administratively down，为了解决这个问题，需要用一根串口线把交换机和PC机连接起来，对于Catalyst 2900，把串口线的RJ45接口（网线接口）插入到交换机后面的Console口上，把串口线的COM接口接到PC的某个COM接口如COM1上。然后STEP1:运行 所有程序/附件/通讯/超级终端，建立一个通信终端。STEP 2：输入终端名称：armtarget，选择一个图标。点确定，进入下一步。STEP 3：选择PC机的串口（如COM1），按确定后出现属性对话框，设置通信和格式和协议，这里设置如下：每秒位数：9600数据位：8奇偶较验：无停止位：1数据流控制：无按“确定”完成设置。STEP 4：完成设置后，可选择菜单中的另存为，把设置好的超级终端保存到桌面上，以备以后使用。用串口线将PC机串口和交换机正确连接后，在超级终端上按回车键就可以看到程序的输出信息了。除了用XP自带的超级终端，还可以下载安装SecureCRT，第一次运行SecureCRT会弹出对话框Quick Connect，设置如下：Protocol选择SerialPort选择COM3（4）Baud rate选择115200Data bits选择8Parity(奇偶校验)选择NoneStop bits选择1去掉Flow Control的所有选项点Connect后，可以与开发板通过串口进行通信。设置交换机的默认网关有时能从与交换机相连的路由器ping交换机，但不能从交换机ping路由器，这是因为没有正确设置交换机的默认网关。查看并设置交换机默认的网关。Switch#sh ip redirectsDefault gateway is Host Gateway Last Use Total Uses InterfacICMP redirect cache is emptySwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip default-gateway 如果交换机和路由器都不能互相ping通，但从连接到交换机的PC上能ping通路由器时，可以先shutdown VLAN1然后no shutdown VLAN1解决这个问题。CISCO交换机VLAN配置指南有关VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了，而且最早的VLNA技术早在1996年Cisco（思科）公司就提出了。随着几年来的发展，VLAN技术得到广泛的支持，在大大小小的企业网络中广泛应用，成为当前最为热门的一种以太局域网技术。本篇就要为大家介绍交换机的一个最常见技术应用-VLAN技术，并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。一、VLAN基础VLAN（Virtual Local Area Network）的中文名为虚拟局域网，注意不是VPN（虚拟专用网）。VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是由一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。VLAN网络可以由混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。二、VLAN的划分方法VLAN在交换机上的实现方法，可以大致划分为六类:1. 基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。2. 基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。3. 基于网络层协议划分VLANVLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4. 根据IP组播划分VLANIP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。5. 按策略划分VLAN基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。 6. 按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。三、VLAN的优越性任何新技术要得到广泛支持和应用，肯定存在一些关键优势，VLAN技术也一样，它的优势主要体现在以下几个方面：1. 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。 2. 控制网络上的广播 VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 3. 增加网络的安全性 因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组， 网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基 于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。 四、VLAN网络的配置实例为了给大家一个真实的配置实例学习机会，下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。某公司有100台计算机左右，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，如图1所示。网络基本结构为：整个网络中骨干部分采用3台Catalyst 1900网管型交换机（分别命名为：Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书。【注】之所以把交换机的VLAN号从2号开始，那是因为交换机有一个默认的VLAN，那就是1号VLAN，它包括所有连在该交换机上的用户。VLAN的配置过程其实非常简单，只需两步：（1）为各VLAN组命名；（2）把相应的VLAN对应到相应的交换机端口。下面是具体的配置过程：第1步：设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面（交换机在此之前已完成了基本信息的配置）：1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter Selection:【注】超级终端是利用Windows系统自带的超级终端（Hyperterm）程序进行的，具体参见有关资料。第2步：单击K按键，选择主界面菜单中K Command Line选项 ，进入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .此时我们进入了交换机的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。所以我们必须进入特权模式。第3步：在上一步提示符下输入进入特权模式命令enable，进入特权模式，命令格式为enable，此时就进入了交换机配置的特权模式提示符：#config tEnter configuration commands,one per line.End with CNTL/Z(config)#第4步：为了安全和方便起见，我们分别给这3个Catalyst 1900交换机起个名字，并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下：(config)#hostname Switch1Switch1(config)# enable password level 15 XXXXXXSwitch1(config)#【注】特权模式密码必须是48位字符组成，要注意，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。第5步：设置VLAN名称。因四个VLAN分属于不同的交换机，VLAN命名的命令为 vlan vlan号name vlan名称，在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号VLAN的代码为：Switch1 (config)#vlan 2 name ProdSwitch2 (config)#vlan 3 name FinaSwitch3 (config)#vlan 4 name HumaSwitch3 (config)#vlan 5 name Info【注】以上配置是按表1规则进行的。第6步：上一步我们对各交换机配置了VLAN组，现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是vlan-membership static/ dynamic VLAN号。在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个，不过通常都是选择static(静态)方式。VLAN端口号应用配置如下： （1）. 名为Switch1的交换机的VLAN端口号配置如下：Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/4Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/20Switch(config-if)#vlan-membership static 3Switch1(config-if)#int e0/21Switch1(config-if)#vlan-membership static 3Switch1(config-if)#【注】int是interface命令缩写，是接口的意思。e0/3是ethernet 0/2的缩写，代表交换机的0号模块2号端口。（2）. 名为Switch2的交换机的VLAN端口号配置如下：Switch2(config)#int e0/2Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/3Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/4Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/15Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/16Switch2(config-if)#vlan-membership static 3Switch2(config-if)#（3）. 名为Switch3的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置)，先看VLAN 4（Huma）的配置代码：Switch3(config)#int e0/2Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/3Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/4Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/8Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/9Switch3(config-if)#vlan-membership static 4Switch3(config-if)#下面是VLAN5（Info）的配置代码：Switch3(config)#int e0/10Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/11Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/12Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/20Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/21Switch3(config-if)#vlan-membership static 5Switch3(config-if)#我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置，可以在特权模式使用show vlan命令显示出刚才所做的配置，检查一下是否正确。以上是就Cisco Catalyst 1900交换机的VLAN配置进行介绍了，其它交换机的VLAN配置方法基本类似，参照有关交换机说明书即可。升级交换机的IOS1. 去/public/sw-center/index.shtml 下载适用于交换机型号的IOS版本，如c2900xl-c3h2s-tar.120-5.WC17.tar。2. 下载并安装WinAgents TFTP Server for Windows，它将被用来把IOS传送至交换机。安装好了之后，把c2900xl-c3h2s-tar.120-5.WC17.tar拷贝到该TFTP Server的root folder，默认是C:Documents and SettingsAll UsersApplication DataWinAgentsTFTP Server 4TFTPRoot。然后通过WinAgents TFTP Server启动服务。可通过在CMD下输入netstat aob查看tftp是否在监听，它基于UDP协议，端口是693. 参照如下文章进行IOS的升级。用Tftp通过CLI（Command Line Interface）升级Cisco Catalyst 2900.XL/3500.XL 交换机IOS升级前需要留意事项：1， 留意switch上的DRAM (Dynamic