Cisco交换机VLAN的配置

Cisco交换机VLAN的配置

重点内容：交换机VLAN的概念及其应用；掌握VLAN的配置方法；理解Trunk连接及VTP协议；掌握用VTP管理VLAN的方法；掌握三层交换机SVI的配置实现VLAN间通信；

一、VLAN的根本概念VLAN(VitrualLocalAreaNetwork)全称虚拟局域网，就是将局域网上的用户或资源按照一定的原那么进行划分，把一个物理网络划分为假设干个小的“逻辑网络”，这种小的逻辑网络就是虚拟局域网。虚拟局域网实际上就是一种利用交换机对局域网进行逻辑分段的一种技术，交换机可以把一个局域网〔LAN〕划分为假设干个相对独立的逻辑网络，每个逻辑网络内的计算机可以直接通信，不同逻辑网络的计算机之间不能直接通信，除非通过路由器或三层交换机设备。VLAN是建立在局域网的交换机上，它以软件方式实现逻辑网络的划分与管理。所以，逻辑网络的用户或站点可以根据功能、部门等因素来划分而无需考虑电脑所处的物理位置，只要以太网交换机是互连的，同一逻辑网络的电脑既可以连接在同一个局域网上的交换机，也可以连接在不同局域网的交换机上，但它们之间的通信就像在同一个物理网段上一样。二、VLAN的划分方法

1、静态VLAN静态VLAN按交换机的端口来划分，即将以太网交换机上的端口分配给某一个VLAN，这些端口一直保持这种配置关系直到人工改变它们，每个VLAN可以使用一个或几个交换机端口，这种方法因为配置容易且平安性较高，所以是比较常用的方法；缺点是当用户主机发生移动时，可能就需要重新配置。2、动态VLAN1)、按MAC地址来划分由网管指定有哪些主机的网卡地址组成一个VLAN。优点是当主机搬迁时，其所在的VLAN不会发生变化，只要主机的网卡不变，它将一直属于原VLAN的成员，无需网管对交换机软件进行重新配置，但缺点是配置工作量很大。2)、按IP地址来划分由网管指定有哪些IP地址属于一个VLAN。优点是当主机搬迁时，其所在的VLAN不会发生变化。缺点是IP地址可人为更改，会带来平安隐患。由于第二层交换机不能识别IP地址，所以这种划分方法只能用于第三层交换机。1、创立VLANCatalyst2950交换机最多可以配置250个VLAN，VLANID取值为1-4094，其中1号VLAN是自动生成的，不能删除，默认情况下，交换机的所有接口都属于VLAN1；1002-1005是保存给令牌环网和FDDI网络的，以太网中不能使用；1006-4094属于扩展VLAN，一般也不要使用。所以在2950交换机上创立VLAN时，一般使用2-1001的ID号，使用时不必使用连续的值。举例如下：sw2950#vlandatabase//vlandatabase命令用于进入VLAN配置状态sw2950(vlan)#vlan20namemarket//创立一个编号为20、名称为market的vlansw2950(vlan)#vlan30namesales//创立一个编号为30、名称为sales的vlansw2950(vlan)#exitsw2950(vlan)#novlan20//删除Vlan20Sw2950#showvlan //查看VLAN配置情况2、为VLAN分配端口

举例如下：sw2950(config)#interfacefastethernet0/1//进入快速以太网0槽位的1号端口sw2950(config-if)#switchportaccessvlan20//将该端口分配给Vlan20sw2950(config-if)#interfacefa0/11//进入0/11端口，fa为快速以太网的简写sw2950(config-if)#switchportaccessvlan30//将该端口分配给Vlan30sw2950#showinterfacef0/1//查看快速以太网0/1端口信息SW1(config)#interfacerangefastEthernet0/6-10SW1(config)#switchportmodeaccess//将交换机端口模式设置为access模式SW1(config)#switchportaccessvlan10//将0模块的6-10端口划分为vlan10SW1(config)#exitSW1(config)#interfacerangefastEthernet0/11-15SW1(config)#switchportmodeaccessSW1(config)#switchportaccessvlan20SW1(config)#exit3、Trunk的配置

当两台或两台以上的交换机相连后，在没有划分VLAN时，连接在各交换机上的所有计算机都可以直接通信，但划分VLAN后，只有属于同一个VLAN的计算机间可以通信，为了实现不同交换机中同一VLAN间的计算机可以相互通信，就要将交换机之间相连的端口定义为Trunk〔干线〕模式，而交换机间相连的线称为VLAN中继或VLAN干线。通过在交换机相互连接的端口上配置中继模式，就可以使不同VLAN的数据帧都可以通过这条中继链路进行传输。而中继链路上接收到数据帧时，交换机必须采用某种方法来识别数据帧是属于那个VLAN的，所以在配置Trunk时可以封装以下某种技术，需要说明的是通常交换机在配置Trunk时采用默认的识别技术，所以一般不为trunk链路设置封装协议。思科交换机支持以下4种识别技术。ISL：用于互联多台交换机的Cisco专有封装协议。IEEE802.1Q：通过在帧头插入一个VLAN标识符来标识VLAN，称为“帧标记”。局域网仿真：用于通过ATM网络传输VLAN的一种IEEE标准方法。802.10：在FDDI帧中传输VLAN信息的一种Cisco专有方法。交换机的端口模式分为access模式、trunk模式和Multi模式，默认情况下为access模式。例：将两台Cisco2950交换机相连的12号端口定义为Trunk模式。Sw1(config)#interfacefa0/12//进入快速以太网0槽位的第12号端口Sw1(config-if)#switchportmodetrunk/将该端口设置为trunk模式Sw1(config-if)#switchporttrunkencapsulationdot1q//为trunk链路封装802.1q协议4、配置VTP

VTP〔VLANTrunkProtocol〕全称虚拟局域网中继协议，主要用来管理VLAN的删除、添加、修改等操作的一致性，在同一个VTP域内，VTP通过中继端口在交换机间传送VTP信息，从而使一个VTP域内的交换机能够共享VLAN信息。所以，如果交换机数量较多，为了方便管理，可以采用VTP对VLAN进行统一管理。VTP常用模式有效劳端模式和客户端模式，作为效劳端模式的交换机需要定义VLAN信息，并播送给客户端使用，而作为客户端模式的交换机不需要定义VLAN编号，可以直接接收并使用来自效劳端交换机的VLAN设置信息。如果在VTP效劳器上把某VLAN删除，那么各个VTP客户机上相应的VLAN也会被删除。在此特别说明的是思科交换机具备有此功能，而其他品牌的交换机在配置VTP时客户端可能也需要创立VLAN信息。举例如下：1〕、设置交换机SW1为VTP效劳器，域名为testSW1#vlandatabase//进入VLAN配置子模式SW1(vlan)#vlan10namevlan10SW1(vlan)#vlan20namevlan20SW1(vlan)#vtpserver//将vtp模式设置为server模式SW1(vlan)#vtpdomaintest//设置vtp域名为test，与客户端域名保持一致SW1(vlan)#vtppruning//启用vtp修剪功能(模拟器无此功能)SW1(vlan)#exitSW1#conftSW1(config)#intfa0/12SW1(config-if)#switchportmodetrunk//将f0/12端口设置为trunk模式SW1(config-if)#switchporttrunkencapsulationisl//可选项，模拟器中不支持isl识别协议SW1(config-if)#endSW1(config)#interfacerangefa0/1-3//进入快速以太网0槽位的1至3号端口SW1(config-if-range)#switchportmodeaccess//设置端口模式为access模式SW1(config-if-range)#switchportaccessvlan10//将1到3号端口划分到vlan10SW1(config)#interfacerangefa0/4-6SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan202〕、设置交换机SW2为VTP客户端SW2#vlandatabaseSW2(vlan)#vtpdomaintest//设置vtp域名为test，与效劳端域名保持一致SW2(vlan)#vtpclient//设置交换机SW2为客户端，学习SW1的vlan信息W2(vlan)#eixt//退出vlan配置子模式SW2(config)#intfa0/12SW2(config-if)#switchportmodetrunkSW2(config-if)#exitSW2(config)#interfacerangefa0/1-3SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10//无需创立vlan10可直接参加vlan10SW2(config)#interfacerangefa0/4-6SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan205、配置三层交换机SVI实现VLAN间通信

要实现VLAN间计算机的相互通信，除了使用路由器外，还有就是利用三层交换机的路由功能也可以实现VLAN间的通信。方法是通过在三层交换机上配置SVI〔交换机虚拟接口〕，即为不同的VLAN编号配置IP地址，不过在配置三层交换机的SVI之前，先要在交换机的全局配置模式下使用IPRouting命令启用三层交换机的路由功能。举例如下：SW3500(config)#iprouting//启用三层交换机的路由功能SW3500(config)#interfacevlan10//创立虚拟接口vlan10SW3500config-if)#ipaddress192.168.10.1255.255.255.0//为虚拟接口设置IP地址SW3500(config-if)#noshutdown//激活端口SW3500(config-if)#exitSW3500(config)#interfacevlan20SW3500(config-if)#ipSW3500(config-if)#noshutdownSW3500(config-if)#exit如果三层交换机与路由器相连，那么交换机与路由器相连的端口需要配置IP地址，在配置IP地址之前先需要使用noswitchport命令开启端口的三层路由功能，这样就可以为三层交换机的某一端口配置IP地址了，举例如下：SW3500(config)#interfacefastethernet0/12SW3500(config-if)#noswitchport//开启端口的路由功能SW3500(config-if)#ipSW3500(config-if)#noshutdownSW3500(config-if)#exit6、配置端口聚合

端口聚合〔Aggregate-port〕又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常数据的转发。例：两台交换机分别通过f0/1和f0/2两个端口连接成两条trunk链路，现在要将两条trunk链路配置成聚合端口，以提高链路带宽。如图13-4所示。Sw1Sw2F0/1F0/2F0/1F0/2图13-4Sw1(config)#interfaceaggregateport1//创立聚合端口AG1Sw1(config-if)#switchportmodetrunk//配置AG模式为trunkSw1(config-if)#exitSw1(config-if)#interfacerangefastethernet0/1-2//进入接口0/1和0/2Sw1(config-if-range)#port-group1//将接口0/1和0/2划分到AG17、配置端口平安交换机的端口平安特性可以只允许特定MAC地址的设备接入到网络中，从而可以防止用户将非法或未授权的设备接入网络，并且可以限制端口接入的设备数量，防止用户将过多的设备接入到网络中。例：一台sw2950思科交换机的F0/1和F0/2端口分别接着PC1和PC2这两台计算机，现在PC3计算机试图接入交换机的F0/1端口来访问网络资源，我们可以通过配置F0/1端口的平安特性来阻止PC3设备的接入。如图13-5所示。Pc1Sw2950F0/1F0/2Pc2Pc3图13-5Sw2950#conftSw2950(config)#intfa0/1Sw2950(config-if)#switchportport-security//启用端口平安特性Sw2950(config-if)#switchportport-securitymacSw2950(config-if)#switchportport-securitymaximum1Sw2950(config-if)#switchportport-securityviolationshutdown提示：1、为PC1的网卡MAC地址，MAC地址为16进制，模拟器中无此功能。2、配置端口只允许1个平安MAC地址，即保证只有PC1可以接入此端口。3、当端口产生违规〔即MAC地址不匹配〕时，交换机将自动关闭端口，模拟器中无此功能。8、配置生成树协议〔STP〕为了提高网络稳定性，网络中通常会提供冗余链路，但是冗余链路会形成物理环路，从而引发播送风暴，MAC地址不稳定等问题，甚至导致网络瘫痪，而STP〔SpanningTreeProtocol，生成树协议〕正是克服冗余网络中透明桥接的问题而创立的。STP是一个既能够防止环路，又能够提供冗余线路的第二层管理协议。为了使交换网络正常运行，STP网络上的任何两个终端之间只有一条有效路径。STP使用生成树算法求解没有环路的最正确路径，使一些备用路径处于阻塞状态。在大型网络中，特别是有多个VLAN的时候，配置STP就很重要了。STP通过在交换机之间传递桥接协议数据单元〔BPDU〕来相互告知诸如交换机的桥ID、链路性质、根桥ID等信息，以确定根桥、决定哪些端口处于转发状态，哪些端口处于阻断状态，以免引发网络环路。STP采用生成树算法，在网络中通过交换机的优先级等信息选举一台根交换机，再以根交换机为根节点在网络中形成一棵没有环路的树，从而解决链路环路引发的问题。当网络中的主要链路出现故障时，STP技术重新在网络进行生成树计算，将备份链路恢复，从而到达链路冗余的效果，又能解决环路问题。例：三台思科交换机相互连接在一起〔如图13-6所示〕，以形成冗余链路来提高网络稳定性，但担忧冗余链路会造成环路问题，导致数据包在环路中死循环。应如何配置才能解决此问题？图13-6SW1SW2SW3F0/1F0/1F0/1F0/2F0/2F0/1SW1(config)#spanning-tree//启用生成树协议SW1(config)#spanning-treemoderstp//设置模式为RSTPSW2(config)#spanning-tree//启用生成树协议SW2(config)#spanning-treemoderstp//设置模式为RSTPSW3(config)#spanning-tree//启用生成树协议SW3(config)#spanning-treemoderstp//设置模式为RSTPSW1(config)#spanning-treepriority40969、查看配置信息Sw1#showvlan //查看交换机VLAN配置状态SW1#showspanning-tree//查看交换机上spanning-tree的整体配置Sw1#showrunning-config //查看当前配置文件四、三层交换机VLAN配置案例

1、案例背景某校计算机系承办市中考电脑阅卷任务，市教育局要求学校提供四百台电脑供改卷教师使用，同时需要4台配置性能较高的效劳器以供四百台客户端电脑访问。该校计算机系四百台电脑分布在7间机房中，共由4个IP网段组成。为了平安起见，要求处在4个网段的电脑相互之间不能访问，但所有的电脑均要求能访问这4台效劳器，网络拓扑图如图13-7所示。经研究，可以通过配置三层交换机以实现以上要求。具体配置及IP地址分配方案如下所述：假设机房一、二的网线分别接在三层交换机的F0/1和F0/2端口，机房三、四的网线分别接在三层交换机的F0/6和F0/7端口，机房五、六的网线分别接在三层交换机的F0/11和F0/12端口，机房七的网线接在三层交换机的F0/16端口，效劳器接在三层交换机的F0/21端口。3、网络拓扑图

2、各机房IP地址分配机房一、二：IP：，网关：机房三、四：IP：，网关：机房五、六：IP：，网关：机房七：IP：，网关：效劳器：IP：网关：192.168.12.2544、配置三层交换机 本例以锐捷三层交换机为例，具体配置命令如下所示：S3760>en14//以14级权限进入Password://输入14级密码“ruijie”S3760#conftS3760(config)#1)、创立5个vlans3760(config)#vlan10s3760(config-vlan)#vlan20s3760(config-vlan)#vlan30s3760(config-vlan)#vlan40s3760(config-vlan)#vlan50s3760(config-vlan)#exit2〕、将端口划分到相应的VLANs3760(config)#intrangef0/1-5s3760(config-if-range)#switchportmodeaccesss3760(config-if-range)#switchportaccessvlan10s3760(config-if-range)#exits3760(config)#intrangef0/6-10s3760(config-if-range)#switchportmodeaccesss3760(config-if-range)#switchportaccessvlan20s3760(config-if-range)#exits3760(config)#intrangef0/11-15s3760(config-if-range)#switchportmodeaccesss3760(config-if-range)#switchportaccessvlan30s3760(config-if-range)#exits3760(config)#intrangef0/16-20s3760(config-if-range)#switchportmodeaccesss3760(config-if-range)#switchportaccessvlan40s3760(config-if-range)#exits3760(config)#intrangef0/21-22s3760(config-if-range)#switchportmodeaccesss3760(config-if-range)#switchportaccessvlan50s3760(config-if-range)#exit3〕、为各个VLAN分别配置IP地址s3760(config)#intvlan10s3760(config-if)#ipadd192.168.7.254255.255.255.0s3760(config-if)#noshuts3760(config-if)#exits3760(config)#intvlan20s3760(config-if)#ipadd192.168.8.254255.255.255.0s3760(config-if)#noshuts3760(config-if)#exits3760(config)#intvlan30s3760(config-if)#ipadd192.168.10.254255.255.255.0s3760(config-if)#noshuts3760(config-if)#exits3760(config)#intvlan40s3760(config-if)#ipadd192.168.11.254255.255.255.0s3760(config-if)#noshuts3760(config-if)#exits3760(config)#intvlan50s3760(config-if)#ipadd192.168.12.254255.255.255.0s3760(config-if)#noshuts3760(config-if)#exit4〕、创立访问控制列表〔ACL〕s3760(config)#access101denyips3760(config)#access101denyips376