项目八部门间网络的安全隔离

1、项目八：部门间网络的安全隔离,教学目标：VLAN（Virtual LAN，虚拟局域网）和VTP（VLAN Trunking Protocol，VLAN链路聚集协议）是多层交换网络的重要特性，通过在多层交换网络中实施这些特性，可以提高整个网络的性能、可扩展性、安全性和可用性。具体来将主要包括以下几方面的知识： （1）VLAN的概念； （2）VLAN的优点； （3）VLAN中的广播域； （4）VLAN的组网方法； （5）静态VLAN配置； （6）VLAN干线技术； （7）VLAN干线配置 ； （8）VTP概念； （9）VTP配置。,任务14：单交换机上划分VLAN技术,14.1 工作任务 你受聘于

2、一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。 14.2 相关知识 为了在交换机进行VLAN配置，作为网络工程师，需要了解本工作任务所涉及的以下几方面知识：； VLAN的概念； VLAN的组网技术； VLAN的配置。,14.2.1 虚拟局域网的概念 连接到第2层交换机的主机和服务器处于同一个网段中。这会带来两个严重的问题： 交换机会向所有端口泛洪广播，占用过多带宽。随着连接到交换机的设备不断增多，生成的广播流量也随之上升，浪费的带宽也更多。 连

3、接到交换机的每台设备都能够与该交换 机上的所有其它设备相互转发和接收帧。 VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器共享在同一VLAN，不管物理连接和位置在哪里。,图14.1给出一个关于VLAN划分的示例。图14.1中使用了四个交换机的网络拓扑结构。有9个工作站分配在三个楼层中，构成了三个局域网，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。,但这9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即： VLAN1：（A1，A2，A3），VLAN2：

4、（B1，B2，B3），VLAN3：（C1，C2，C3）。 14.2.2 VLAN的优点 采用VLAN后，在不增加设备投资的前提下，可在许多方面提高网络的性能，并简化网络的管理。具体表现在： 1. 有利于优化网络性能 通过将交换机划分到不同的VLAN中，一个VLAN的广播不会影响到其他VLAN的性能。即使是同一交换机上的两个相邻端口，只要它们不在同一VLAN中，则相互之间也不会渗透广播流量，也就是说一个VLAN构成一个独立的广播域。 2. 提高了网络的安全性 通过将可以相互通信的网络结点放在一个VLAN内，或将受限制的应用和资源放在一个安全VLAN内，并提供基于应用类型、协议类型、访问权限等不同

5、策略的访问控制表，就可以有效限制进入或离开VLAN的数据流；属于不同VLAN的主机，即便是在同一台交换机上的用户主机，如果它们不在同一VLAN也不能通信。,3. 便于对网络进行管理和控制 同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，如分布在不同的楼层或不同的楼宇，可以大大减少在网络中增加、删除或移动用户时的管理开销。 4. 提供了基于第二层的通信优先级服务 在千兆位以太网中，基于与VLAN相关的IEEE 802.1P标准可以在交换机上为不同的应用提供不同的服务如传输优先级等。 14.2.3 VLAN的组网方法 VLAN的划分可以根据功能、部门或应用而无须考虑用户的

6、物理位置。以太网交换机的每个端口都可以分配给一个VLAN。分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。,从实现的机制或策略分，VLAN分为静态VLAN和动态VLAN两种。 1. 静态VLAN 在静态VLAN中，由网络管理员根据交换机端口进行静态的VALN分配，当在交换机上将其某一个端口分配给一个VLAN时，其将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN。也就是根据以太网交换机的端口来划分广播域。也就是

7、说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一广播域，VLAN和端口连接的主机无关，如图14.2和表14.1所示。,2. 动态VLAN,动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP 地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。 （1）基于MAC地址的VLAN （2）基于路由的VLAN （3）用IP广播组定

8、义虚拟局域网,14.2.4 静态VLAN配置 在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。 大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。 Catalyst交换机的原厂默认配置使得VLAN被预先配置好，以支持多种介质和协议类型。默认的以太网VLAN叫做VLAN 1。CDP和VTP广播发送到VLAN

9、1.,1. 配置静态VLAN （1）配置VLAN 的ID和名字 配置VLAN最常见的方法是在每个交换机上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch（config）#vlan vlan-id 其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。 Switch（config-vlan）#name vlan-name 定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。,（

10、2）分配端口 在接口配置模式下，分配VLAN端口命令为： Switch（config-if）#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。 2. 检验VLAN配置 在特权模式下，可以检验VLAN的配置，常用的命令有： Switch#show vlan /显示所有VLAN的配置消息。 Switch#show inteface interface switchport /显示一个指定的接口的VLAN信息。 3. 添加、更改和删除VLAN 为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VL

11、AN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。,14.3 方案设计 根据客户的要求，经过公司技术人员的协商，认为在交换机上通过VLAN技术从而达到各部门网络之间互相禁止访问。先将交换机划分3个VLAN，使财务部、销售部和办公室各个部门的主机在相同的VLAN中，部门之间在不同的VLAN内。这样在同一VLAN内的主机能够相互访问，不同VLAN之间的主机不能相互访问，达到公司要求。 三个部门VLAN划分14为： 财务部在VLAN10中，VLAN10包括交换机的f0/1-f0/8

12、端口； 销售部在VLAN20中，VLAN20包括交换机的f0/9-f0/18端口； 办公室在VLAN30中，VLAN30包括交换机的f0/18-f0/24端口。,14.4 项目实施单交换机上划分VLAN技术 14.4.1 任务目标 通过工作任务的完成，使学生可以掌握以下技能： （1）能够在单交换机进行VLAN划分； （2）能够通过VLAN技术隔离网络。 14.4.2 设备清单 （1）Cisco2950交换机（1台）； （2）PC机6台； （3）双绞线（若干根）； （4）反转电缆一根。,14.4.3 网络拓扑 本技能训练的网络拓扑，如图14.3所示，按照图14.3连接硬件和设置IP地址，通过反转

13、线将交换机的Console口和计算机PCA的COM连接起来，采用直通线将PC10、PC11连接到交换机的 f0/2、f0/3，将PC20、PC21连接到交换机的 f0/9、f0/10，将PC30、PC31连接到交换机的 f0/19、f0/20。,14.4.4 实施过程 步骤1：硬件连接 在交换机和计算机断电的状态下，按照图14.3连接硬件。 步骤2：分别打开设备，给设备加电，设备都处于自检状态，直到连接交换机的指示灯处于绿灯，表示网络处于稳定连接状态。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。 表14-2 计算机IP地址配置表,步骤4：

14、分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。 步骤5：配置交换机VLAN 在设备断电的状态台下，将交换机和PC10计算机通过反转电缆连接起来，打开PC10的超级终端，配置交换机的VLAN，配置如下： 1. 登录到交换机并创建VLAN Switchenable Switch# Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch (config)# Switch (config)#vlan 10 /创建VLAN 10 Switch (con

15、fig-vlan)# name caiw10 Switch (config-vlan)#exit,Switch (config)#vlan 20 /创建VLAN 20 Switch (config-vlan)# name xiaos20 Switch (config-vlan)#exit Switch (config)#vlan 30 /创建VLAN 30 Switch (config-vlan)# name bang30 Switch (config-vlan)#exit 2.验证配置结果 Switch#show vlan Switch#show vlan,VLAN Name Status

16、Ports - - - -1 default active /默认情况下，所有端口都属VLAN1 Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 10 test0010 active /创建VLAN10，没有连接端口 20 test0020 active /创建VLAN20，没有连接端口 30 test0030

17、 active /创建VLAN30，没有连接端口,4.配置交换机，将端口分配到VLAN Switch# Switch#config terminal Enter configuration commands, one per line. End with CNTL/Z. Switch (config)# int range f0/2 8 /将交换机的f0/2-f0/8端口加入VLAN10 Switch (config-if-range)# switchport access vlan 10 Switch (config)# int range f0/9 18 /将交换机的f0/9-f0/18端

18、口加入VLAN20 Switch (config-if-range)# switchport access vlan 20 Switch (config)# int range f0/19 24 /将交换机的f0/18-f0/24端口加入VLAN30 Switch (config-if-range)# switchport access vlan 30,5. 再次验证配置结果 Switch#show vlan VLAN Name Status Ports - - - 1 default active /默认情况下，所有端口都属于VLAN1 Fa0/1 10 test0010 active Fa

19、0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7 Fa0/8 20 test0020 active Fa0/9, Fa0/10 Fa0/11,Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 30 test0030 active Fa0/19 Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24,14.4.5 项目测试 步骤1：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。并填入下表。,步骤2：重新打开交换机，进行验证测试 Switch#show

20、 vlan Switch#show running-config 查看结果,14.5 小结 VLAN是一个逻辑上的概念，可以把接在不同交换机上的计算机根据功能等组织成新的网段，同一VLAN的计算机属于同一广播域，不同VLAN属于不同广播域，从而控制了广播问题。 习 题 一、选择题 1. 以下对VLAN的描述，不正确的是（）。 A. 利用VLAN，可有效地隔离广播域 B. 要实现VLAN间的相互通信，必须使用外部的路由器为其指定路由 C. 可以将交换机的端口静态地或动态地指派给某一个VLAN D. VLAN中的成员可相互通信，只有访问其他VLAN中的主机时，才需要网关 2.在实施VLAN的时候，

21、如何能够改善网络的整体性能？（） A. 通过隔离发生故障的雇员,B. 通过限制广播流量 C. 通过将交换机端口分组为逻辑团体 D. 通过在VLAN之间强制发生第3层路由选择过程 二、思考题 1. 将交换机端口划分到VLAN中的方式有哪两种？它们之间有何区别？ 2. 使用VLAN为何能够提高园区网的安全性？ 3. 试解释两种设计VLAN的方法？ 三、实训题 1. 交换机的VLAN配置 现有Cisco3550交换机1台，控制线一根，PC机3台，网线3根，网络拓扑如图14.4所示。,（1） 按照图14.4所示连接好网络。并配置Cisco3550交换机的主机名为switch3550，禁止域名查询和禁止

22、HTTP服务。 （2）配置Cisco3550交换机的管理地址为00。 （3）将Cisco3550交换机的112号端口划分为VLAN2，VLAN2的虚拟接口地址为；Cisco3550交换机的13-24端口划分为VLAN3，VLAN3的虚拟接口地址为。 （4）设置PC1和PC2的主机IP地址分别为：、，网关地址为；PC3的主机IP地址为，网关地址为。 （5）在PC1主机中，分别Ping 主机PC2和PC3，看是否能Ping通

23、，若都能Ping通，则VLAN划分成功，VLAN间通信配置也成功；若PC2通，PC3不通，则VLAN划分成功，VLAN间通信配置不成功。,任务15：多交换机上划分VLAN技术 15.1 工作任务 任务1：你受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼，在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。 任务2：公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼

24、可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。,15.2 相关知识 为了在多交换机进行VLAN配置，作为网络工程师，需要了解本工作任务所涉及的以下几方面知识：； n 汇聚链路的概念； nVTP的概念； nVLAN干线。 15.2.1 汇聚链路的概念 在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层中，这时可能就需要跨越多台交换机的多个端口划分VLAN，不同于在同一交换机上划分VLAN的方法。如图15.1所示，需要将不同楼层的用户主机A、C和B、D设置为同一个VLAN。,当VLAN成员分布在多台交换机的端口上时，VLAN内的主机彼此间

25、应如何自由通信呢？最简单的解决方法是在交换机1和交换机2上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图15.2所示。,这种方法虽然解决了VLAN内主机间的跨交换机通信，但每增加一个VLAN，就需 要在交换机间添加一条互联链路，并且还要额外占用交换机端口，扩展性和管理效率都很差。 为了避免这种低效率的连接方式和对交换机端口的浪费占用，人们想办法让交换机间的互联链路汇聚到一条链路上让该链路允许各个VLAN的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链接（Trunk Link）或主干链

26、路，如图15.3所示。用于提供汇聚链路的端口称为汇聚端口。由于汇聚端口通信流量大，一般只有100Mbps或以上的端口才能作为汇聚端口使用。,15.2.2 VLAN干线技术 一个干线是网络中两台交换机之间的物理和逻辑关联，如图15.3所示。在一个交换网络中，一个干线是一个点到点的连接，它能支持多个VLAN。如图15.3所示。干线的目的是当两个设备实施VLAN时，可以节约端口。 干线连接是交换机之间以及交换机与路由器之间的一个导管，不属于一个具体的VLAN。如图15.4所示.,ISL干线 ISL是Cisco公司私有的协议，当有数据在多个交换机间流动的时候，它控制VLAN信息并且使这些交换机互联起来

27、。,ISL在每个原始以太数据帧头附加一个26字节的ISL帧头，如图15.5所示，同时为新的数据帧产生一个4字节的CRC附加在帧的末尾。在26字节的头部包含有一个15个比特位长的VLAN ID字段，该字段中的值就是被封装数据所属的VLAN号。这样交换机就能识别属于不同VLAN的数据流。但主机（网卡）不识别这样的数据帧，所以，当交换机把数据传递给主机之前需要将ISL封装剥去。,2. IEEE 802.1Q IEEE 802.1q标准定义了VLAN的以太网帧格式，在传统的以太网的帧格式中插入一个4字节的标识符，称为VLAN标记 ，也称为tag域，用来指明发送该帧的工作站属于哪一个VLAN。如图15.

28、6所示。如果还使用传统的以太网帧格式，那么就无法划分VLAN。,15.2.3 VLAN数据帧的传输 发送给交换机时，为了让对端交换机能够知道数据帧的VLAN ID，它应该给从主机接收到的数据帧增加一个tag域后再发送，其数据帧传输过程中的变化如图15.7所示。,根据交换机处理数据帧的不同，可以将交换机的端口分为两类： l Access端口：只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。 l Trunk端口：既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端

29、口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,15.2.4 配置VLAN干线 实际工程中Cisco catalyst交换机现在越来越少使用ISL干线技术，转而更多地使用802.1Q干线技术。最新的catalyst交换机支持ISL协议和802.1Q协议或者只支持802.1Q协议。例如，catalyst 3750交换机支持ISL和

30、802.1Q，但是catalyst 2950就只支持802.1Q。 1. 802.1Qtrunk的配置 使用switchport模式接口配置命令可以使得一个快速以太网接口或者千兆位接口工作在trunk模式，Catalyst 2950交换机支持动态的trunk协议，它可以完成trunk自动协商。 Switch（config-if）#switchport mode access | dynamic auto | desirable | trunk ,把交换机的一个端口配置为802.1Q干线端口的步骤为： 步骤1：为了配置trunk需要进入端口配置模式： switch(config)#interfa

31、ce type mod/port 步骤2：配置这个端口作为VLAN干线： Switch(config-if)#switchport mode trunk 步骤3：指定默认的VLAN： Switch(config-if)#switchport trunk allowed vlan vlan-id 步骤4：定义本征VLAN： Switch(config-if)#switchport trunk native vlan vlan-id,2. ISL干线的配置 Catalyst交换机支持多种封装类型，但是通常都会支持DTP、ISL、802.1Q三种封装。 n802.1Q：启用trunk模式时端口只会使

32、用802.1Q封装。 nISL：启用trunk模式时端口只会使用ISL封装。 nNegotiate：端口会协商封装类型，这是大多数交换机的默认设置。 以cisco 3550交换机的为例设置一个端口配置为ISL干线端口的步骤如下： 步骤1：为了配置trunk需要进入端口配置模式： switch(config)#interface type mod/port switch(config-if)#shutdown 步骤2：配置这个端口使用ISL封装 Switch(config-if)#switchport trunk encapsulation ISL,步骤3：配置为trunk模式： Switch(

33、config-if)#switchport mode trunk Switch(config-if)#no shutdown 3. 静态指定trunk链路中的VLAN 默认情况下，trunk链路允许所有VLAN的流量通过，但可采用手工静态指定或动态自动判断两种方式来设置允许通过trunk链路的VLAN流量。 可以手工静态地从trunk链路中删除或添加允许通过的VLAN。 （1）设置不允许通过trunk链路的VLAN 在配置前，首先应使用interface配置命令选中trunk链路端口，然后再从trunk链路中删除指定的VLAN，即不允许这些VLAN的通信流量通过trunk链路。配置命令为： S

34、witch（config）#interface type mod/port Switch（config-if）#switchport trunk allowed vlan remove vlanlist,其中：vlanlist表示要添加的VLAN号列表，各VLAN之间用逗号进行分隔。 例如，从cisco 3550的端口2是trunk链路端口，现要将VLAN 2和VLAN 5从trunk链路中删除，则配置命令为： Switch3550（config）#interface fastethernet0/2 Switch3550（config-if）# switchport trunk allowed

35、 vlan remove 2,5 若要在trunk链路中删除100200号VLAN的流量，则配置命令为： Switch3550（config-if）# switchport trunk allowed vlan remove 100 - 200 2）设置允许通过trunk链路的VLAN 配置命令为： witch（config）#interface type mod/port Switch（config-if）#switchport trunk allowed vlan add vlanlist,其中：vlanlist表示要删除的VLAN号列表，各VLAN之间用逗号进行分隔。 例如，从cisco

36、 3550的端口2是trunk链路端口，现要添加允许VLAN 2和VLAN 5的通信流量通过，则配置命令为： Switch3550（config）#interface fastethernet0/2 Switch3550（config-if）# switchport trunk allowed vlan add 2,5 若要配置trunk链路仅允许VLAN 2、VLAN 5和VLAN 7通过，则配置命令为： Switch3550（config）#interface fastethernet0/2 Switch3550（config-if）# switchport trunk allowed v

37、lan remove 21001 Switch3550（config-if）# switchport trunk allowed vlan add 2,5,7 若要设置允许所有的VLAN通过trunk链路，则配置命令为： Switch3550（config-if）# switchport trunk allowed vlan all,15.2.5 VLAN中继协议 随着网络规模和复杂程度的增长，VLAN结构的集中化管理变得日益重要。VTP（VLAN 中继协议）是第2层消息协议，它提供了一种从网段内的中央服务器对VLAN数据库进行分布和管理的方法。路由器不会转发VTP更新。 1. VTP概念及模

38、式 VTP使用“域”（Domain）关系组织互连的交换机，并在“域”内的所有交换机上维护VLAN配置信息的一致性。VTP “域”也被称为VLAN管理域（VLAN management domain）。网络中的VTP域是一组VTP域名称相同并通过Trunk相互连接的交换机。一台交换机可以属于也只能属于一个VTP域。VTP 是一种客户端/服务器消息协议，它能够在单个 VTP 域中增加、删除和重命名 VLAN。同一管理区域内的所有交换机都是域的一部分。每个域都有其唯一的名称。VTP 交换机仅与相同域中的其它交换机共享 VTP 消息。,VTP 有三种模式：服务器模式、客户端模式和透明模式。默认情况下，

39、所有交换机都使用服务器模式。建议一个网络中至少将两台交换机配置为服务器，以便提供备份和冗余功能。 可以将交换机配置为以下3种VTP操作模式中的一种。 (1) 服务器模式(Server mode) 服务器模式是交换机默认的工作模式，运行在该模式的交换机，允许创建、修改和删除本地VLAN数据库中的VLAN，并允许设置一些对整个VTP域的配置参数。 (2) 客户机模式（Client mode） 处于该模式下的交换机不能创建、修改和删除VLAN，也不能在NVRAM中存储VLAN配置，如果掉电，将丢失所有的VLAN信息。,(3) 透明模式（transparent mode） 透明模式也可以创建、修改或删

40、除本地VLAN数据库的VLAN，但与服务器模式不同的是，对VLAN配置的变化不会传播给其他交换机，即对VLAN的配置改变，仅对处于透明模式的交换机自身有效。 2. VTP操作 VTP通告信息是在交换机的干道链路上传播的，在VTP通告信息中包含配置版本号，配置版本号的高低代表着VLAN配置信息的新旧，高版本号代表更新的信息。只要交换机接收到一个有更高配置版本号的更新，它就用该VTP更新中的信息覆盖过去的信息。每当服务器上修改了VLAN的配置（修改包括创建、删除VLAN和更改VLAN的名称），其配置版本号就会加1，然后用新的版本号向域中通告。,3. VTP配置 当创建VLAN时，必须要决定是否使用

41、VTP。使用VTP，能使配置在一个或多个交换机上被改变时，那些改变会自动传送给在同一个VTP域中的其他交换机。 默认的交换机配置值取决于交换机的类别和软件的版本。下面列出了Catalyst 2950系列交换机的默认值： VTP域名None； VTP模式Server； VTP密码None； VTP修剪Disabled； VTP版本1； VTP警告Disabled；,（1）创建VTP管理域 VTP管理域不会隔断广播域，仅用于同步VLAN配置信息。创建VTP管理域需要在VLAN配置模式下运行，配置命令为： switch(config)#Vtp domain domain-name 其中：domain

42、-name是要创建的VTP管理域的名称，并区分大小写。 在Cisco Catalyst 3550交换机上创建一个名为xtjx的管理域，则配置命令为： Switch3550enable Switch3550vlan database Switch3550(VLAN)vtp domain xtjx 在Cisco Catalyst 3560交换机上创建一个名为xtjx的管理域，则配置命令为： Swithch3560en Swithch3560#config t Swithch3560(config)#vtp domain xtjx,（2） 设置VTP模式 设置VTP的工作模式需要在VLAN配置模式下

43、进行，配置命令为： Switch (VLAN)Vtp server | client | transparent 将Cisco Catalyst 3550交换机设置为server模式，则配置命令为： Switch3550(VLAN)vtp server 将Cisco Catalyst 3560交换机设置为server模式，则配置命令为： Swithch3560(config)#vtp mode server 执行show vtp status可查看到相应的配置项已设置。,（3）选择VTP版本 VTP支持版本1和版本2模式，设置启用VTP版本2，可在VLAN配置模式下进行，配置命令为： Swit

44、ch (VLAN)Vtp v2-mode 将Cisco Catalyst 3550交换机VTP版本设置为2，则配置命令为： Switch3550(VLAN)vtp v2-mode 将Cisco Catalyst 3560交换机VTP版本设置为2，则配置命令为 Swithch3560(config)#vtp version 2 （4） 查看VTP信息 若要查看VTP的状态信息，可使用命令：Show vtp status 若要查看VTP的统计信息，可使用命令：Show vtp counters,（5）启用VTP Pruning 要实现启用VTP Pruning功能，VTP域中的所有交换机必须支持V

45、TP版本2，但并不一定要启用VTP版本2。目前的交换机一般均支持VTP版本2的功能。启用VTP Pruning功能的配置命令为： Switch（vlan）#Vtp Pruning 例如，在Cisco 3550交换机上启用VTP Pruning功能，则配置命令为： Switch3550#VLAN database Switch3550（vlan）#vtp pruning Switch3550（vlan）#end 在Cisco 3560交换机上启用VTP Pruning功能，则配置命令为： Swithch3560(config)#vtp pruning,默认情况下，所有的VLAN均有被裁剪的资格。

46、 设置不允许参与裁剪功能的VLAN，配置命令为： Switch（config）#interface type mod/port Switch（config-if）#switchport trunk pruning vlan remove vlanlist 例如，假设trunk链路端口为端口2，不允许VLAN 2参与VTP裁剪，则配置命令为： Switch3550（config）#interface fastethernet0/2 Switch3550（config-if）# switchport trunk pruning vlan remove 2 此时需要在trunk链路两端的交换机中均要

47、进行相应的配置。 设置允许参与裁剪功能的VLAN，配置命令为： Switch（config）#interface type mod/port Switch（config-if）#switchport trunk pruning vlan add vlanlist,15.3 方案设计 对于任务1： 根据客户的要求，经过公司技术人员的协商，认为在通过交换机上VLAN技术从而达到各部门网络之间互相禁止访问。先将两个交换机分别划分3个VLAN，使财务部、销售部和办公室各个部门的主机在相同的VLAN中，部门之间在不同的VLAN内。用一条交叉线将两台交换机的fa0/1端口连接起来，且两台交换机相连接口设置

48、为trunk类型，这样在同一VLAN内的主机能够相互访问，不同VLAN之间的主机不能相互访问，达到公司要求。 三个部门VLAN划分为： 财务部在VLAN10中，VLAN10包括交换机A的f0/2-f0/8端口和交换机B的f0/2-f0/8端口； 销售部在VLAN20中，VLAN20包括交换机A的f0/9-f0/18端口和交换机B的f0/9-f0/18端口； 办公室在VLAN30中，VLAN30包括交换机A的f0/18-f0/24端口和交换机B的f0/18-f0/24端口。,对于任务2： 和需求1基本上都一样，只是在两台交换机相连接口设置为trunk类型，需要移除VLAN10和VLAN20外的所

49、有VLAN数据都通过trunk接口从一台交换机某一VLAN到达另一台交换机同一VLAN中。 15.4 项目实施多交换机划分VLAN技术 15.4.1 任务目标 通过工作任务的完成，使学生可以掌握以下技能： （1）能够实现跨交换机上实现VLAN方法； （2）能够掌握将交换机端口分配到VLAN中的操作技巧。,15.4.2设备清单 （1）Cisco3560交换机（1台）； （2）Cisco2950交换机（1台）； （3）PC机6台； （4）双绞线（若干根）； （5）反转电缆一根。 15.4.3 网络拓扑 本工作任务的网络拓扑，如图15.8所示，按照图15.8连接硬件和设置IP地址，采用直通线将PC1

50、0连接到交换机A的 f0/2，将PC11连接到交换机B的 f0/2；将PC10连接到交换机A的 f0/2，将PC11连接到交换机B的 f0/2；将PC20连接到交换机A的 f0/9，将PC21连接到交换机B的 f0/9；将PC30连接到交换机A的 f0/19，将PC31连接到交换机B的 f0/19。,15.4.4 实施过程 步骤1：硬件连接 在交换机和计算机断电的状态下，按照图15.8所示连接硬件。 步骤2：分别打开设备，给设备加电。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。 步骤4：分别测试PC10、PC11、PC20、PC21、PC

51、30、PC31这六台计算机之间的连通性。,步骤5：配置交换机A 在设备断电的状态台下，将交换机和PC10计算机通过反转电缆连接起来，打开PC10的超级终端，配置交换机A的VLAN，配置如下： 1配置Cisco 3550交换机，并设置为VTP服务器模式 Switchen Switch#config t Switch（config）#hostname switch3550 switch3550（config）# exit switch3550#vlan database /创建VTP管理域 switch3550（vlan）#vtp domain xtjx switch3550（vlan）#vtp

52、server /设置交换机为VTP服务器 switch3550（vlan）#exit,2. 在交换机Cisco3550上创建VLAN（略） 3. 配置交换机Cisco3550，将端口分配到VLAN（略） 步骤6：配置交换机Cisco2950上VLAN 在设备断电的状态台下，将交换机和PC11计算机通过反转电缆连接起来，打开PC11的超级终端。 1. 配置Cisco2950交换机，创建VLAN（略） 2. 将交换机Cisco2950加入到xtjx域设置为Client模式 switch2950#vlan database switch2950（vlan）#vtp domain xtjx switc

53、h2950（vlan）#vtp client switch2950（vlan）#exit,3. 配置交换机B ，将端口分配到VLAN 步骤7：跨交换机VLAN之间连接 1. 将交换机A和交换机B相连的端口（假设为fa0/1），定义为tag vlan模式。 Switch3550#config terminal Enter configuration commands, one per line. End with CNTL/Z. Switch3550 (config)# interface fastethernet0/1 Switch3550（config-if）#switchport /设置为

54、2层交换接口 Switch3550 (config-if)# switchport trunk encapsulation dot1qSwitch3550 (config-if)# switchport mode trunk Switch3550 (config-if)#exit Switch3550 (config)#exit Switch3550#show interface fastethernet0/1 switchport,2. 将交换机B和交换机A相连的端口（假设为fa0/1），定义为tag vlan模式。 switch2950#config terminal Enter conf

55、iguration commands, one per line. End with CNTL/Z. switch2950 (config)#interface fastethernet0/1 switch2950 (config-if)# switchport mode trunk switch2950 (config-if)#exit switch2950 (config)#exit switch2950#show interface fastethernet0/1 switchport 步骤8：对于需求2， 1. 在交换机A上的fa0/3接上PC12（IP地址为：

56、2）、在交换机B上的fa0/3接上PC13（IP地址为：3）。 2. 在交换机A上的fa0/1的trunk口中去除VLAN10、VLAN20，这样在两个交换机 trunk端口中不传送VLAN10、VLAN20的数据，两交换机的VLAN10、 VLAN20的PC机就不能相互通信。,Switch3550#config terminal Enter configuration commands, one per line. End with CNTL/Z. Switch3550 (config)# interface fastethernet0/1 Switch3550 (c

57、onfig-if)# switchport mode trunk Switch3550 (config-if)#switchport trunk allowed vlan remove 10 Switch3550 (config-if)#switchport trunk allowed vlan remove 20 Switch3550 (config-if)#exit Switch3550 (config)#exit Switch3550#show interface fastethernet0/1 switchport 3. 在交换机B上的fa0/1的trunk口中去除VLAN10、VLA

58、N20，这样在两个交换机trunk端口中不传送VLAN10、VLAN20的数据，两交换机的VLAN10、VLAN20的PC机就不能相互通信。,Switch2950#config terminal Enter configuration commands, one per line. End with CNTL/Z. Switch2950 (config)# interface fastethernet0/1 Switch2950 (config-if)# switchport mode trunk Switch2950 (config-if)#switchport trunk allowed vlan remove 10 Switch2950 (config-if)#switchport trunk allowed vlan remove 20 Switch2950 (config-if)#exit Switch2950 (config)#exit Switch2950#show interface fasteth