三层交换机实验

1、三层交换机实验三层交换机实验2、子网的划分、子网的划分3、VLAN的配置的配置1、交换机配置方式、交换机配置方式4、路由的配置、路由的配置三层交换机配置方式三层交换机配置方式n交换机的配置一直以来是非常神秘的，不仅对于一交换机的配置一直以来是非常神秘的，不仅对于一般用户，对于绝大多数网管人员来说也是如此，这般用户，对于绝大多数网管人员来说也是如此，这主要原因是绝大多数交换机都是桌面非网管型交换主要原因是绝大多数交换机都是桌面非网管型交换机，根本不需任何配置，纯属机，根本不需任何配置，纯属“傻瓜傻瓜”型，与集线型，与集线器一样，接上电源，插好网线就可以正常工作了。器一样，接上电源，插好网线就可以

2、正常工作了。n交换机的详细配置命令比较复杂，而且具体的配置交换机的详细配置命令比较复杂，而且具体的配置命令会因不同品牌、不同系列的交换机而有所不同。命令会因不同品牌、不同系列的交换机而有所不同。n通常网管型交换机可以通过两种方式进行配置：一通常网管型交换机可以通过两种方式进行配置：一种就是本地配置；另一种就是远程网络配置，但是种就是本地配置；另一种就是远程网络配置，但是要注意后一种配置方法只有在前一种配置成功后才要注意后一种配置方法只有在前一种配置成功后才可进行，下面分别介绍。可进行，下面分别介绍。本地配置方式本地配置方式 n本地配置首先要遇到的是它的物理连接本地配置首先要遇到的是它的物理连接

3、方式，然后还需要软件配置，在软件配方式，然后还需要软件配置，在软件配置方面以置方面以Flex Hammer交换机为例来介交换机为例来介绍。绍。本地配置方式（物理连接）本地配置方式（物理连接）n交换机的本地配置方式是通过计算机与交换机的交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的。端口直接连接的方式进行通信的。n可进行网络管理的交换机上一般都有一个可进行网络管理的交换机上一般都有一个“Console”端端口，它是专门用于对交换机进行配置和管理的。通过口，它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机，是配置和管理交换机必端

4、口连接并配置交换机，是配置和管理交换机必经的步骤。虽然除此之外还有其他若干种配置和管理交换经的步骤。虽然除此之外还有其他若干种配置和管理交换机的方式（如机的方式（如WEB方式、方式、Telnet方式等），但是，这些方式等），但是，这些方式必须依靠通过方式必须依靠通过Console端口进行基本配置后才能进行。端口进行基本配置后才能进行。n其他方式往往需要借助于其他方式往往需要借助于IP地址、域名或设备名称才可以地址、域名或设备名称才可以实现，而新购买的交换机显然不可能内置有这些参数，所实现，而新购买的交换机显然不可能内置有这些参数，所以通过以通过Console端口连接并配置交换机是最常用、最基本

5、端口连接并配置交换机是最常用、最基本的，也是网络管理员必须掌握的管理和配置方式。的，也是网络管理员必须掌握的管理和配置方式。本地配置方式（物理连接）本地配置方式（物理连接）n无论交换机采用无论交换机采用DB9或或DB25串行接口，还是采用串行接口，还是采用RJ45接口，都需要通过专门的接口，都需要通过专门的Console线连接至配线连接至配置用计算机（通常称作终端）的串行口。置用计算机（通常称作终端）的串行口。n与交换机不同的与交换机不同的Console端口相对应，端口相对应，Console线也分线也分为两种：一种是串行线，即两端均为串行接口（两端均为两种：一种是串行线，即两端均为串行接口（两

6、端均为母头），两端可以分别插入至计算机的串口和交换机为母头），两端可以分别插入至计算机的串口和交换机的的Console端口；另一种是两端均为端口；另一种是两端均为RJ45接头（接头（RJ45toRJ45）的扁平线。）的扁平线。n由于扁平线两端均为由于扁平线两端均为RJ45接口，无法直接与计算机接口，无法直接与计算机串口进行连接，因此，还必须同时使用一个串口进行连接，因此，还必须同时使用一个RJ45toDB9（或（或RJ45toDB25）的适配器。）的适配器。通常情况下，在交换机的包装箱中都会随机赠送这么一通常情况下，在交换机的包装箱中都会随机赠送这么一条条Console线和相应的线和相应的DB

7、9或或DB25适配器。适配器。本地配置方式（软件配置）本地配置方式（软件配置）（1）使用）使用Console口连接到交换机口连接到交换机n物理连接好了我们就要打开计算机和交换机电源物理连接好了我们就要打开计算机和交换机电源进行软件配置了。在正式进入配置之前我们还需进行软件配置了。在正式进入配置之前我们还需要进入系统，步骤如下：要进入系统，步骤如下：n第一次配置必须通过在交换机前面板上标有第一次配置必须通过在交换机前面板上标有“Console”字样的字样的RJ-45 串口连接交换机内置串口连接交换机内置的命令行接口。的命令行接口。n第第1步，将电缆（一端是步，将电缆（一端是RJ45口，水晶头形式

8、；口，水晶头形式；另一端是并行端口形式）的另一端是并行端口形式）的RJ45口接至口接至Hammer交换机的交换机的Console口，另一端接至电脑口，另一端接至电脑主机的主机的COM口。口。n将电脑通上电源，交换机暂时不接电源。将电脑通上电源，交换机暂时不接电源。n第第2步，检查是否安装有步，检查是否安装有“超级终端超级终端” （Hyper Terminal）组件。如果在组件。如果在“附件附件”（Accessories）中没有发现该组件，）中没有发现该组件，可通过可通过“添加删除程序添加删除程序”（AddRemove Program）的方式添加该的方式添加该Windows组件。然后，点开始程序

9、附件组件。然后，点开始程序附件通讯超级终端，给本次连接命名后，按如下参数配置本通讯超级终端，给本次连接命名后，按如下参数配置本次连接。次连接。n波特率波特率 ：115200n数据位数据位 ：8n奇偶校验奇偶校验 ：无：无n停止位停止位 ：1n流量控制流量控制 ：无：无n端口：端口：COM1（这里依电脑上实际接的物理并行端口为准）（这里依电脑上实际接的物理并行端口为准）本地配置方式（软件配置）本地配置方式（软件配置）（1）使用）使用Console口连接到交换机口连接到交换机n第第3步，在使用步，在使用Console 口连接交换机时，口连接交换机时，推荐用户使用推荐用户使用VT100 终端仿真。终

10、端仿真。n设置方法：在超级终端界面中，打开设置方法：在超级终端界面中，打开“文文件件”菜单，选择菜单，选择“属性属性”工具条，出现一工具条，出现一个窗口，点击个窗口，点击 “设置设置”标签，在标签，在“终端仿终端仿真真”下拉列表中选择下拉列表中选择VT100 即可。即可。本地配置方式（软件配置）本地配置方式（软件配置）（1）使用）使用Console口连接到交换机口连接到交换机n给交换机接上电源。给交换机接上电源。 如果连接成功，在终端中看到操作系统启动的界面如果连接成功，在终端中看到操作系统启动的界面后，就可以通过命令行接口对交换机进行配置了。后，就可以通过命令行接口对交换机进行配置了。n第第

11、1步，待步，待HammerOS 成功启动后，就可以看到如下的交换机的提示登成功启动后，就可以看到如下的交换机的提示登录信息，按回车键进行登录。录信息，按回车键进行登录。n#n# #n# Welcome to HammerOS。 #n# #n# Press Return to connect and config this system。 #n# #n#本地配置方式（软件配置）本地配置方式（软件配置）（2）访问交换机）访问交换机n第第2步，此时，系统要求你输入用户名和密码。步，此时，系统要求你输入用户名和密码。n首次登录交换机，应该使用缺省的用户名首次登录交换机，应该使用缺省的用户名admin，

12、来进行登录，此时输入登录密码，来进行登录，此时输入登录密码harbour，按回车键后只进入只读模式，这时，按回车键后只进入只读模式，这时只能读系统的配置信息而不能更改和重新配置。只能读系统的配置信息而不能更改和重新配置。n若想重新配置，则再输入若想重新配置，则再输入enable，按回车，键，按回车，键入配置模式缺省密码入配置模式缺省密码harbour后系统显示如下后系统显示如下信息信息Harbour(config)#表明可以对命令行进表明可以对命令行进行操作了。行操作了。本地配置方式（软件配置）本地配置方式（软件配置）（2）访问交换机）访问交换机n（1）显示）显示Hammer OS的版本信息的

13、版本信息n show versionn（2）显示当前系统提供的服务）显示当前系统提供的服务n show servicen (3)打开或关闭某一服务打开或关闭某一服务n service telnet/web/http enable(disable) n（4）保存配置）保存配置n save configurationn（5）返回上一级）返回上一级exit 退出退出logoutn Exit主要用于一层层退出。主要用于一层层退出。 本地配置方式（软件配置）本地配置方式（软件配置）（3）常用命令）常用命令n（1）增加用户帐号）增加用户帐号n user add login-password 创建创建的是普

14、通用户，建立管理员须修改用户权限。的是普通用户，建立管理员须修改用户权限。n（2）修改用户权限）修改用户权限n 将用户设为管理员：将用户设为管理员：n user role admin enable- password n 将管理员设为普通用户（能查看大部分系统信息，将管理员设为普通用户（能查看大部分系统信息，不能进入配置模式）：不能进入配置模式）：n user role normal本地配置方式（软件配置）本地配置方式（软件配置）（4）用户帐号配置）用户帐号配置n（3）查看用户信息）查看用户信息n user listn（4）删除用户帐号）删除用户帐号n user delete n（5）设置学生

15、用的管理员帐号）设置学生用的管理员帐号n 用户名与密码均为用户名与密码均为student。本地配置方式（软件配置）本地配置方式（软件配置）（4）用户帐号配置）用户帐号配置nIP地址常采用点分十进制表示方法地址常采用点分十进制表示方法X.Y.Y.Y，在这里，在这里，X在在1126范围内范围内称为称为A类地址；类地址；X在在128191范围内称范围内称为为B类地址；类地址；X在在192223范围内称为范围内称为C类地址。类地址。n比如比如30，因为，因为X为为10，在，在1126范围内，所以称为范围内，所以称为A类地址类地址本地配置方式（本地配置方式（IP地址配置）地址配置）

16、nconfig vlan ipaddress n| 配置配置VLAN的的IP地址和子网地址和子网掩码。掩码。n子网掩码可以以掩码长度格式输入，也子网掩码可以以掩码长度格式输入，也n可以以可以以IP地址格式输入。地址格式输入。 本地配置方式（本地配置方式（IP地址配置）地址配置）命令命令描述描述creat vlan creat vlan 创建一个创建一个VLANVLANconfig vlan ipaddress config vlan ipaddress | | 配置配置VLANVLAN的的IPIP地址和子网掩码。地址和子网掩码。子网掩码可以以掩码长度格式输入，子网掩码可以以掩码长度格式输入，也

17、也可以以可以以IPIP地址格式输入。地址格式输入。config vlan tag config vlan tag 指定指定VLANVLAN的的TagTag即即VLANidVLANidconfig vlan add|deleteconfig vlan add|deleteport port tagged|untaggedtagged|untagged在在VLANVLAN中增加或删除端口，中增加或删除端口，并设置该端口是并设置该端口是TaggedTagged还是还是untaggeduntaggeddelete vlan delete vlan 删除删除VLANVLANshow vlan show

18、vlan * *1 1显示显示VLANsVLANs配置信息配置信息VLAN配置命令配置命令n交换机除了可以通过交换机除了可以通过Console端口与计算机直接连接端口与计算机直接连接外，还可以通过交换机的普通端口进行连接。如果是外，还可以通过交换机的普通端口进行连接。如果是堆栈型的，也可以把几台交换机堆在一起进行配置，堆栈型的，也可以把几台交换机堆在一起进行配置，因为这时实际上它们是一个整体，一般只有一台具有因为这时实际上它们是一个整体，一般只有一台具有网管能力。这时通过普通端口对交换机进行管理时，网管能力。这时通过普通端口对交换机进行管理时，就不再使用超级终端了，而是以就不再使用超级终端了，

19、而是以Telnet或或WEB浏览器浏览器的方式实现与被管理交换机的通信。的方式实现与被管理交换机的通信。n在本地配置方式中为交换机配置好在本地配置方式中为交换机配置好IP地址后，就可通地址后，就可通过过IP地址与交换机进行通信，不过要注意，同样只有地址与交换机进行通信，不过要注意，同样只有是网管型的交换机才具有这种管理功能。这种远程配是网管型的交换机才具有这种管理功能。这种远程配置方式中可以通过两种不同的方式来进行。置方式中可以通过两种不同的方式来进行。远程配置方式概述远程配置方式概述nTelnet协议是一种远程访问协议，可以用它登录到远程计协议是一种远程访问协议，可以用它登录到远程计算机、网

20、络设备或专用算机、网络设备或专用TCPIP网络。网络。Windows 9598及其以后的及其以后的Windows系统、系统、UNIXLinux等系统中都内等系统中都内置有置有Telnet客户端程序。客户端程序。n在使用在使用Telnet连接至交换机前，应当确认已经做好以下准连接至交换机前，应当确认已经做好以下准备工作：备工作：nA、在用于管理的计算机中安装有、在用于管理的计算机中安装有TCPIP协议，并配置好协议，并配置好了了IP地址信息。地址信息。nB、在被管理的交换机上已经配置好、在被管理的交换机上已经配置好IP地址信息。如果尚未地址信息。如果尚未配置配置IP地址信息，则必须通过地址信息，

21、则必须通过Console端口进行设置。端口进行设置。nC、在被管理的交换机上建立了具有管理权限的用户帐户。、在被管理的交换机上建立了具有管理权限的用户帐户。如果没有建立新的帐户，则如果没有建立新的帐户，则Cisco交换机默认的管理员帐户交换机默认的管理员帐户为为“Admin”。远程配置方式（远程配置方式（Telnet方式）方式）n单击单击“开始开始”“运行运行”，在对话框中输入，在对话框中输入“telnet 交换机交换机IP地址或名称地址或名称”（有时需要输（有时需要输入入cmd），），然后按回车键，就可以建立与远程交然后按回车键，就可以建立与远程交换机的连接并根据需要对配置和管理交换机了。换

22、机的连接并根据需要对配置和管理交换机了。nTelnet命令的一般格式如下：命令的一般格式如下：ntelnet Hostnameport，这里，这里Hostname为交换机的名称或为交换机的名称或IP地址，地址，“Port”一般是不需要输入的，它是用来设定一般是不需要输入的，它是用来设定Telnet通信通信所用的端口的，一般所用的端口的，一般TCPIP协议中规定协议中规定Telnet通信端口为通信端口为23号端口，最好不用改它，也就是号端口，最好不用改它，也就是说我们可以不接这个参数。说我们可以不接这个参数。远程配置方式（远程配置方式（Telnet方式）方式）n当利用当利用Console口为交换

23、机设置好口为交换机设置好IP地地址信息并启用址信息并启用HTTP服务后，即可通过支服务后，即可通过支持持JAVA的的WEB浏览器访问交换机。不浏览器访问交换机。不过在利用过在利用WEB浏览器访问交换机之前，浏览器访问交换机之前，应当确认已经做好以下准备工作：应当确认已经做好以下准备工作：远程配置方式（远程配置方式（Web方式）方式）nA、在用于管理的计算机中安装、在用于管理的计算机中安装TCPIP协议，且协议，且在计算机和被管理的交换机上都已经配置好在计算机和被管理的交换机上都已经配置好IP地址地址信息。信息。nB、用于管理的计算机中安装有支持、用于管理的计算机中安装有支持JAVA的的WEB浏

24、览器，如浏览器，如Internet Explorer 4.0及以上版本、及以上版本、Netscape 4.0及以上版本，以及及以上版本，以及Oprea with JAVA。nC、在被管理的交换机上建立了拥有管理权限的用、在被管理的交换机上建立了拥有管理权限的用户帐户和密码。户帐户和密码。nD、被管理交换机的、被管理交换机的Cisco IOS支持支持HTTP服务，并服务，并且已经启用了该服务。否则，应通过且已经启用了该服务。否则，应通过Console端口端口升级升级Cisco IOS或启用或启用HTTP服务。服务。远程配置方式（远程配置方式（Web方式）方式）（1）准备工作概述）准备工作概述n（

25、1）service http enable n 打开打开http服务服务n（2）保存配置）保存配置n save configuration远程配置方式（远程配置方式（Web方式）方式）（1）准备工作：启用）准备工作：启用HTTP服务n第第1步，把计算机连接在交换机的一个普通端口上，步，把计算机连接在交换机的一个普通端口上，在计算机上运行在计算机上运行WEB浏览器。在浏览器的浏览器。在浏览器的“地址地址”中栏键入被管理交换机的中栏键入被管理交换机的IP地址或为其指定的名称，地址或为其指定的名称，单击回车键，弹出对话框。单击回车键，弹出对话框。n第第2步，分别在步，分别在“用户名用户名”和和“密码

26、密码”框中，键入拥框中，键入拥有管理权限的用户名和密码。用户名密码对应当事有管理权限的用户名和密码。用户名密码对应当事先通过先通过Console端口进行设置。端口进行设置。n第第3步，单击步，单击“确定确定”按钮，即可建立与被管理交换按钮，即可建立与被管理交换机的连接，在机的连接，在WEB浏览器中显示交换机的管理界面。浏览器中显示交换机的管理界面。接下来，就可以通过接下来，就可以通过WEB界面中的提示，一步步查界面中的提示，一步步查看交换机的各种参数和运行状态，并可根据需要对交看交换机的各种参数和运行状态，并可根据需要对交换机的某些参数作必要的修改。换机的某些参数作必要的修改。远程配置方式（远

27、程配置方式（Web方式）方式）（2）配置方法）配置方法n（1）一个）一个Console口连接；口连接；n（2）最多同时能支持）最多同时能支持3个个telnet连接；连接；n（3）最多同时能支持）最多同时能支持4个用户连接；个用户连接；n（4）一个用户最多同时开）一个用户最多同时开2个连接。个连接。本交换机同时能支持多个连接本交换机同时能支持多个连接子网的划分子网的划分n业务的发展常常会导致许多单位面临这样一业务的发展常常会导致许多单位面临这样一个问题：工作站数量越来越多，管理单一的个问题：工作站数量越来越多，管理单一的大型网络也变得越来越艰难。如果将一个单大型网络也变得越来越艰难。如果将一个单

28、一的大型网络划分为多个子网，通过对每个一的大型网络划分为多个子网，通过对每个子网进行单独管理，可以明显地提高整个网子网进行单独管理，可以明显地提高整个网络的性能。络的性能。n- 要划分子网就需要计算子网掩码和分配要划分子网就需要计算子网掩码和分配相应的主机块。相应的主机块。子网掩码子网掩码n默认子网掩码：默认子网掩码：A类为类为 ; B类为类为 ; C类为类为 。n当我们要划分子网用到子网掩码当我们要划分子网用到子网掩码M时，子时，子网掩码的格式如下：网掩码的格式如下：A类为类为 255.M.0.0，B类为类为 255.255.

29、M.0，C类为类为 255.255.255.M。nM是相应的子网掩码，比如是相应的子网掩码，比如40。子网掩码作用子网掩码作用n子网的划分，实际上就是设计子网掩码的过程。子网的划分，实际上就是设计子网掩码的过程。n子网掩码主要是用来区分子网掩码主要是用来区分IP地址中的网络地址中的网络ID和主机和主机ID，它用来屏蔽，它用来屏蔽IP地址的一部分，从地址的一部分，从IP地址中分离地址中分离出网络出网络ID和主机和主机ID。子网掩码是由。子网掩码是由4个十进制数组个十进制数组成的数值，成的数值，“中间用中间用”.“分隔，如分隔，如。n若将它写成二

30、进制的形式若将它写成二进制的形式:n11111111.11111111.11111111.00000000，其中为其中为1的位分离出网络的位分离出网络ID,为为0的位分离出主机的位分离出主机ID，也就是通过，也就是通过将将IP地址与子网掩码进行地址与子网掩码进行与与逻辑逻辑操作，得出网络号操作，得出网络号。子网掩码作用子网掩码作用n例如，假设例如，假设IP地址为地址为，子网掩码为，子网掩码为，则网络，则网络ID为为,主机主机ID为为。计算机网络计算机网络ID的不同，则说明他们不在的不同，则说明他们不在同一个物理

31、子网内，同一个物理子网内，需通过需通过路由路由器转发才能进行数据器转发才能进行数据交换交换。n除了使用上述的表示方法之外，还有使用子网掩码中除了使用上述的表示方法之外，还有使用子网掩码中“1”的位数来表示的，在默认情况下，的位数来表示的，在默认情况下，A类地址为类地址为8位，位，B类地址为类地址为16位，位，C类地址为类地址为24位。位。n例如，例如，A类的某个地址为类的某个地址为 /8，这里的最后，这里的最后一个一个8说明该地址的子网掩码为说明该地址的子网掩码为8位，而位，而/28表示网络表示网络的子网掩码的子网掩码位数有位数有

32、28位。位。子网掩码作用子网掩码作用n如果希望在一个网络中建立子网，就要在这个默认如果希望在一个网络中建立子网，就要在这个默认的子网掩码中加入一些位，的子网掩码中加入一些位，它减少了用于主机地址它减少了用于主机地址的位数。加入到掩码中的位数决定了可以配置的子的位数。加入到掩码中的位数决定了可以配置的子网。网。n因而，在一个划分了子网的网络中，每个地址包含因而，在一个划分了子网的网络中，每个地址包含一个网络地址、一个子网位数和一个主机地址。一个网络地址、一个子网位数和一个主机地址。使用没有子网的子网掩码和使用没有子网的子网掩码和使用有子网的子网掩码的区别使用有子网的子网掩码的区别n若有二个若有二

33、个B类类IP地址地址60，其，其默认的子网掩码是默认的子网掩码是，若不若不使用子网，即只使用默认的子网掩码，使用子网，即只使用默认的子网掩码，其运算过程如图所示。使用没有子网的其运算过程如图所示。使用没有子网的子网掩码和使用有子网的子网掩码的区子网掩码和使用有子网的子网掩码的区别。别。使用没有子网的子网掩码和使用没有子网的子网掩码和使用有子网的子网掩码的区别使用有子网的子网掩码的区别网络网络主机主机6060101011001010110000010000000100000000001000000010101000

34、00101000001111111111111111111111111111111100000000000000000000000000000000网络号的网络号的二进制表示二进制表示1010110010101100000100000001000000000000000000000000000000000000网络号的网络号的十进制表示十进制表00 0使用没有子网的子网掩码和使用没有子网的子网掩码和使用有子网的子网掩码的区别使用有子网的子网掩码的区别n若使用若使用8位子网位，其子网掩码值从默认位子网位，其子网掩码值从默认的的

35、转变为转变为，从而使逻辑从而使逻辑与与之后的网络号发生了变之后的网络号发生了变化。则其运算过程如图所示。化。则其运算过程如图所示。 使用没有子网的子网掩码和使用没有子网的子网掩码和使用有子网的子网掩码的区别使用有子网的子网掩码的区别网络网络主机主机6060101011001010110000010000000100000000001000000010101000001010000011111111111111111111111111111111111111

36、11111111110000000000000000网络号的网络号的二进制表示二进制表示1010110010101100000100000001000000000010000000100000000000000000网络号的网络号的十进制表示十进制表20 0划分子网具体示例划分子网具体示例n例：给定一例：给定一 class c address : ，要求划分，要求划分20个子网，每个个子网，每个子网子网5 个主机。个主机。n解：因为解：因为4 5（主机数）（主机数） 即是所求的子网掩码，对应即是所求的子网掩码，对应的子网数也就出来了。的子网数也

37、就出来了。 n子网掩码值为子网掩码值为48（1111 1000），对应子网数），对应子网数32-2=30。划分子网一般方法划分子网一般方法nM指子网掩码指子网掩码 ，M=256IP_block 。 nIP_block指每个子网可分配的指每个子网可分配的IP地址块大地址块大小。小。 nSubnet_block表示在某一子网掩码下子网表示在某一子网掩码下子网的块数。的块数。nIP_block=256/Subnet_block或或Subnet_block=256/IP_block 。划分子网一般方法划分子网一般方法nSubnet_num是可分配子网数，指可分配子网块是可分配

38、子网数，指可分配子网块中要剔除首、尾两块，是某一子网掩码下可分配的中要剔除首、尾两块，是某一子网掩码下可分配的实际子网数量。实际子网数量。nSubnet_num =Subnet_block2。nIP_num指每个子网实际可分配的指每个子网实际可分配的IP地址数。每个地址数。每个子网的首、尾子网的首、尾IP地址必须保留（一个为网络地址，地址必须保留（一个为网络地址，一个为广播地址），所以它等于一个为广播地址），所以它等于IP_block2，IP_num也用于计算主机块。也用于计算主机块。实际子网数实际子网数n1已知所需子网数已知所需子网数12，求实际子网数。，求实际子网数。n- 这里实际子网数指

39、这里实际子网数指Subnet_num，由于由于12最接近最接近2的幂为的幂为16（24），即），即Subnet_block=16，那么，那么Subnet_num=162=14，故实际子，故实际子网数为网数为14。求子网掩码（例求子网掩码（例1）n已知一个已知一个B类子网的每个子网主机数要达到类子网的每个子网主机数要达到60255个个(约相当于约相当于X.Y.0.1X.Y.59.254的数量的数量)，求子网掩码。，求子网掩码。n- 首先，首先，60接近接近2的幂为的幂为64（26），即），即IP_block=64; 其次，子网掩码其次，子网掩码M=256IP_block=25664=192，最后

40、由子网掩码，最后由子网掩码格式格式B类是类是255.255.M.0得出子网掩码为得出子网掩码为。求子网掩码（例求子网掩码（例2）n如果所需子网数为如果所需子网数为7，求子网掩码。，求子网掩码。n- 7最接近最接近2的幂为的幂为8，但，但8个个Subnet_block因为要保留首、尾因为要保留首、尾2个子网块，个子网块，即即 82=67，并不能达到所需子网数，所，并不能达到所需子网数，所以应取以应取2的幂为的幂为16，即，即Subnet_block=16。因为因为IP_block=256/Subnet_block=256/16=16，所以子网掩码，所以子网掩码M=256

41、IP_block=25616=240。求子网掩码（例求子网掩码（例3）n已知网络地址为已知网络地址为，要有，要有4个子网，求个子网，求子网掩码及主机块。子网掩码及主机块。n- 由于由于211.Y.Y.Y是一个是一个C类网，子网掩码格式类网，子网掩码格式为为255.255.255.M，又知有，又知有4个子网，个子网，4接近接近2的幂的幂是是8（23），所以），所以Subnet_block=8，Subnet_num=82=6，IP_block=256/Subnet_block=256/8=32，子网掩码子网掩码M=256IP_block=25632=224，故子网掩码表示为

42、故子网掩码表示为24。n因为子网块的首、尾两块不能使用，所因为子网块的首、尾两块不能使用，所以可分配以可分配6个子网，每个子网有个子网，每个子网有32个可个可分配主机块，即分配主机块，即3263、6495、96127、128159、160191、192223，其中首块（，其中首块（031）和尾块）和尾块（224255）不能使用。）不能使用。求子网掩码（例求子网掩码（例3）求子网掩码（例求子网掩码（例3）n由于每个子网块中的可分配主机块又有首、尾两个不由于每个子网块中的可分配主机块又有首、尾两个不能使用（一个是子网网络地址，一个是子网广播地能使用（一个是子网网络地址，一

43、个是子网广播地址），所以主机块分别为址），所以主机块分别为3362、6594、97126、129158、161190及及193222，因此子，因此子网掩码为网掩码为24，主机块共有，主机块共有6段，分别段，分别为为32、54、726、2958、6190及及9322。用户可以任。用户可以

44、任选其中的选其中的4段作为段作为4个子网。个子网。VLAN概述概述nVLAN（Virtual Local Area Network）的中文）的中文名为名为“虚拟局域网虚拟局域网”，注意不是，注意不是“VPN”（虚拟（虚拟专用网）。专用网）。VLAN是一种将局域网设备从逻辑上是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。从而实现虚拟工作组的新兴数据交换技术。n这一新兴技术主要应用于交换机和路由器中，但这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。主流应用还是在交换机之中

45、。n但不是所有交换机都具有此功能，只有但不是所有交换机都具有此功能，只有VLAN协协议的第三层以上交换机才具有此功能，这一点可议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。以查看相应交换机的说明书即可得知。VLAN概述概述nVLAN网络可以是有混合的网络类型设备网络可以是有混合的网络类型设备组成，比如：组成，比如：10M以太网、以太网、100M以太以太网、令牌网、网、令牌网、FDDI、CDDI等等，可以等等，可以是工作站、服务器、集线器、网络上行是工作站、服务器、集线器、网络上行主干等等。主干等等。VLAN的优点的优点n（1）VLAN是从逻辑上划分，而不是从物是从

46、逻辑上划分，而不是从物理上划分，所以同一个理上划分，所以同一个VLAN内的各个工作内的各个工作站没有限制在同一个物理范围中，即这些工站没有限制在同一个物理范围中，即这些工作站可以在不同物理作站可以在不同物理LAN网段。网段。n（2）一个）一个VLAN内部的广播和单播流量都内部的广播和单播流量都不会转发到其他不会转发到其他VLAN中，从而有助于控制中，从而有助于控制流量、减少设备投资、简化网络管理、提高流量、减少设备投资、简化网络管理、提高网络的安全性。网络的安全性。实现实现VLAN的核心的核心n实现实现VLAN的核心是通过路由和交换设备，在的核心是通过路由和交换设备，在网络物理结构的基础上建立

47、逻辑网络，使得网络物理结构的基础上建立逻辑网络，使得网络中的任意节点能根据需要组成一个逻辑网络中的任意节点能根据需要组成一个逻辑的局域网。的局域网。不同不同VLAN之间的连通之间的连通n不同不同VLAN内的工作站在没设置路由的情况下内的工作站在没设置路由的情况下无法无法Ping通。通。n需要设置路由使需要设置路由使VLAN之间可以通讯。之间可以通讯。VLAN的划分方法的划分方法（1）基于端口划分）基于端口划分n根据以太网交换机的交换端口来划分，是最常应用的一根据以太网交换机的交换端口来划分，是最常应用的一种种VLAN划分方法，绝大多数划分方法，绝大多数VLAN协议的交换机都提协议的交换机都提供

48、这种供这种VLAN配置方法。配置方法。n将将VLAN交换机上的物理端口和交换机上的物理端口和VLAN交换机内部的交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的个虚拟网，相当于一个独立的VLAN交换机。交换机。n这种划分的方法的优点是定义这种划分的方法的优点是定义VLAN成员时非常简单，成员时非常简单，只要将所有的端口都定义为相应的只要将所有的端口都定义为相应的VLAN组即可。适合组即可。适合于任何大小的网络。于任何大小的网络。n缺点是如果某用户离开了原来的端口，到了一个新的交缺点是如果某用户离开了原来的端口，

49、到了一个新的交换机的某个端口，必须重新定义。换机的某个端口，必须重新定义。n根据每个主机的根据每个主机的MAC地址来划分，即对每个地址来划分，即对每个MAC地址的主机都配置它属于哪个组，它实现的机制地址的主机都配置它属于哪个组，它实现的机制就是每一块网卡都对应唯一的就是每一块网卡都对应唯一的MAC地址，地址，VLAN交换机跟踪属于交换机跟踪属于VLAN MAC的地址。的地址。n这种方式的优点是这种方式的优点是VLAN允许网络用户从一个物理允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。的成员身份。VLAN不用重新配置

50、，因为它不用重新配置，因为它是基于用户，而不是基于交换机的端口。是基于用户，而不是基于交换机的端口。VLAN的划分方法的划分方法（2）基于）基于MAC地址划分地址划分 VLAN的划分方法的划分方法（2）基于）基于MAC地址划分地址划分n缺点是初始化时，所有的用户都必须进行配缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用置是非常累的，所以这种划分方法通常适用于小型局域网。于小型局域网。n这种方法也导致了交换机执行效率的降低，这种方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能

51、存在很多因为在每一个交换机的端口都可能存在很多个个VLAN组的成员，保存了许多用户的组的成员，保存了许多用户的MAC地址，查询起来相当不容易。地址，查询起来相当不容易。nVLAN按网络层协议来划分，可分为按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等等VLAN网络。网络。n优点是按网络层协议组成的优点是按网络层协议组成的VLAN，可使广播域跨，可使广播域跨越多个越多个VLAN交换机。这对于希望针对具体应用和交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引服务来组织用户的网络管理员来说是非常具有吸引力。力。n用户可以在网络内部

52、自由移动，但其用户可以在网络内部自由移动，但其VLAN成员身成员身份仍然保留不变。份仍然保留不变。VLAN的划分方法的划分方法（3）基于网络层协议划分）基于网络层协议划分 n这种方法的缺点是效率低，因为检查每一个数这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的据包的网络层地址是需要消耗处理时间的(相相对于前面两种方法对于前面两种方法)，一般的交换机芯片都可，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要以自动检查网络上数据包的以太网帧头，但要让芯片能检查让芯片能检查IP帧头，需要更高的技术，同时帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的

53、实现方法有也更费时。当然，这与各个厂商的实现方法有关关。VLAN的划分方法的划分方法（3）基于网络层协议划分）基于网络层协议划分 nIP 组播实际上也是一种组播实际上也是一种VLAN的定义，即认的定义，即认为一个为一个IP组播组就是一个组播组就是一个VLAN。这种划分。这种划分的方法将的方法将VLAN扩大到了广域网，因此这种扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个范围的局域网用户组成一个VLAN，不适合，不适合局域网，主要是效率不高。局

54、域网，主要是效率不高。VLAN的划分方法的划分方法（4）根据）根据IP组播划分组播划分 n基于策略组成的基于策略组成的VLAN能实现多种分配方法，能实现多种分配方法，包括包括VLAN交换机端口、交换机端口、MAC地址、地址、IP地址、地址、网络层协议等。网络管理人员可根据自己的网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类管理模式和本单位的需求来决定选择哪种类型的型的VLAN 。VLAN的划分方法的划分方法（5）按策略划分）按策略划分 n基于用户定义、非用户授权来划分基于用户定义、非用户授权来划分VLAN，是指为了适应特别的是指为了适应特别的VLAN网络，根据具体

55、网络，根据具体的网络用户的特别要求来定义和设计的网络用户的特别要求来定义和设计VLAN，而且可以让非而且可以让非VLAN群体用户访问群体用户访问VLAN，但，但是需要提供用户密码，在得到是需要提供用户密码，在得到VLAN管理的管理的认证后才可以加入一个认证后才可以加入一个VLAN。VLAN的划分方法的划分方法（6）按用户定义、非用户授权划分）按用户定义、非用户授权划分 nIEEE于于1999年颁布了用以标准化年颁布了用以标准化VLAN实现方案的实现方案的802.1Q协议标准草案。协议标准草案。 nVLAN是为解决以太网的广播问题和安是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧

56、全性而提出的一种协议，它在以太网帧的基础上增加了的基础上增加了VLAN头，用头，用VLAN ID把用户划分为更小的工作组，限制不同把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是工作组间的用户互访，每个工作组就是一个虚拟局域网。一个虚拟局域网。 VLAN标准标准使用港湾三层交换机使用港湾三层交换机 FLex Hammer 24组建组建VLANn三层交换机可以设置三层交换机可以设置VLAN（虚拟局域网）。（虚拟局域网）。nFlex Hammer交换机最多支持交换机最多支持256个个VLAN。nVLAN的名字都只是本地标志。也就是说，在的名字都只是本地标志。也就是说，在一台交换

57、机上设置的一台交换机上设置的VLAN的名字只对该交换的名字只对该交换机有意义。机有意义。nHammerOS要求在一台交换机中，不同要求在一台交换机中，不同VLAN必须配置成不同子网段的必须配置成不同子网段的IP Address 。 缺省缺省VLAN(Default VLAN)n每一台每一台FlexHammer交换机出厂时都有一交换机出厂时都有一个缺省的个缺省的VLAN，该，该VLAN的名字是的名字是default，它包含所有的端口；它包含所有的端口； Default VLAN的的VLANid是是2047。nDefault VLAN的所有端口都是的所有端口都是untagged的。的。nFlex

58、Hammer的的VLAN的的Tag值要求在值要求在1-4095范围之间。范围之间。HammerOS的的VLAN配置表配置表 命令命令描述描述creat vlan creat vlan 创建一个创建一个VLANVLANconfig vlan ipaddress config vlan ipaddress | | 配置配置VLANVLAN的的IPIP地址和子网掩码。地址和子网掩码。子网掩码可以以掩码长度格式输入，子网掩码可以以掩码长度格式输入，也可以以也可以以IPIP地址格式输入。地址格式输入。config vlan tag config vlan tag 指定指定VLANVLAN的的TagTag

59、即即VLANidVLANidconfig vlan add|deleteconfig vlan add|deleteport port tagged|untaggedtagged|untagged在在VLANVLAN中增加或删除端口，中增加或删除端口，并设置该端口是并设置该端口是TaggedTagged还是还是untaggeduntaggeddelete vlan delete vlan 删除删除VLANVLANshow vlan show vlan * *1 1显示显示VLANsVLANs配置信息配置信息VLAN配置命令举例配置命令举例n（1）创建一个名称为）创建一个名称为market的的V

60、LAN，键，键入命令：入命令：create vlan marketn（2）向）向market添加一个以添加一个以tagged模式属模式属于该于该VLAN的端口的端口2时，键入命令：时，键入命令：nconfig vlan market add port 2 taggedn（3）显示）显示market配置信息，键入命令：配置信息，键入命令：n show vlan marketVLAN端口的添加端口的添加n（1）Flex Hammer的端口可以以的端口可以以IEEE 802.1Q tagged或或untagged模式属于某个模式属于某个VLAN。n（2）一个端口只能在）一个端口只能在untagged