虛擬局域網(wǎng)及其配置

1、13.1 虛擬局域網(wǎng)簡介 虛擬局域網(wǎng)（Virtual Local Area Network）通常簡稱為VLAN。它是將局域網(wǎng)從邏輯上劃分為一個個的網(wǎng)段，從而實現(xiàn)虛擬工作組的一種交換技術(shù)。使用集線器或交換機所構(gòu)成的一個物理局域網(wǎng)，整個網(wǎng)絡(luò)屬于同一個廣播域。網(wǎng)橋、集線器和交換機設(shè)備都會轉(zhuǎn)發(fā)廣播幀，因此任何一個廣播幀或多播幀（Multicast Frame）都將被廣播到整個局域網(wǎng)中的每一臺主機。在網(wǎng)絡(luò)通訊中，廣播信息是普遍存在的 ，這些廣播幀將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機為處理廣播信息所產(chǎn)生的負(fù)荷。目前，蠕蟲病毒相當(dāng)泛濫，如果不對局域網(wǎng)進行有效的廣播域隔離，

2、一旦病毒發(fā)起泛洪廣播攻擊，將會很快占用完網(wǎng)絡(luò)的帶寬，導(dǎo)致網(wǎng)絡(luò)的阻塞和癱瘓。 2路由器具有路由轉(zhuǎn)發(fā)、防火墻和隔離廣播的作用，路由器不會轉(zhuǎn)發(fā)廣播幀，因此，要實現(xiàn)對網(wǎng)絡(luò)的分段和廣播域的隔離，應(yīng)使用路由器來實現(xiàn)?？梢允褂寐酚善魃系囊蕴W(wǎng)接口為單位來劃分網(wǎng)段，從而實現(xiàn)對廣播域的分割和隔離。路由器所能劃分出的網(wǎng)段，取決于路由器上以太網(wǎng)接口的數(shù)目，但通常情況下，路由器所帶的以太網(wǎng)接口數(shù)量很少，一般為14個，遠(yuǎn)遠(yuǎn)不能滿足對網(wǎng)絡(luò)分段的需要，而交換機則配備有較多的以太網(wǎng)端口，為了實現(xiàn)利用交換機端口來對網(wǎng)絡(luò)進行分段隔離，從而誕生了VLAN交換技術(shù)。 一個VLAN就是一個網(wǎng)段，通過在交換機上劃分VLAN，可將一個大的

3、局域網(wǎng)劃分成若干個網(wǎng)段，每個網(wǎng)段內(nèi)所有主機間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個VLAN就是一個廣播域，VLAN間是不能進行直接通信的，從而就實現(xiàn)了對廣播域的分割和隔離。3若要實現(xiàn)VLAN間的通訊，就必須為VLAN設(shè)置路由，這可使用路由器或三層交換機來實現(xiàn)。二層交換機可以劃分VLAN，若沒有路由器，則無法實現(xiàn)VLAN間的通訊，由于三層交換機具備路由功能，在實際應(yīng)用中，通常在三層交換機中來劃分VLAN，以支持VLAN間的相互通訊。從中可見，通過在局域網(wǎng)中劃分VLAN，可起到以下方面的作用： 控制網(wǎng)絡(luò)的廣播，增加廣播域的數(shù)量，減小廣播域的大小。 便于對網(wǎng)絡(luò)進行管理和控

4、制。VLAN是對端口的邏輯分組，不受任何物理連接的限制，同一VLAN中的用戶，可以連接在不同的交換機，并且可以位于不同的物理位置，增加了網(wǎng)絡(luò)連接、組網(wǎng)和管理的靈活性。 4增加網(wǎng)絡(luò)的安全性。由于默認(rèn)情況下，VLAN間是相互隔離的，不能直接通訊，對于保密性要求較高的部門，比如財務(wù)處，可將其劃分在一個VLAN中，這樣，其他VLAN中的用戶，將不能訪問該VLAN中的主機，從而起到了隔離作用，并提高了VLAN中用戶的安全性。VLAN間的通訊，可通過應(yīng)用VLAN的訪問控制列表，來實現(xiàn)VLAN間的安全通訊。 53.2 靜態(tài)VLAN與動態(tài)VLAN VLAN創(chuàng)建后，接下來就可指定端口所屬的VLAN，默認(rèn)情況下，

5、交換機的所有端口均屬于VLAN1，VLAN1是交換機默認(rèn)創(chuàng)建和管理的VLAN。 1靜態(tài)VLAN靜態(tài)VLAN就是明確指定各端口所屬VLAN的設(shè)定方法，通常也稱為基于端口的VLAN，其特點是將交換機按端口進行分組，每一組定義為一個VLAN，屬于同一個VLAN的端口，可來自一臺交換機，也可來自多臺交換機，即可以跨越多臺交換機設(shè)置VLAN?；诙丝诘腣LAN劃分如下圖所示。 6靜態(tài)指定各端口所屬的VLAN，需要一個端口一個端口地進行設(shè)置，當(dāng)要設(shè)定的端口數(shù)目較多時，工作量會比較大，通常適合于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不是經(jīng)常變化的情況。靜態(tài)VLAN是目前最常用的一種VLAN端口劃分方式。 2動態(tài)VLAN動態(tài)VLAN是

6、根據(jù)每個端口所連的計算機，動態(tài)設(shè)置端口所屬VLAN的設(shè)定方法。動態(tài)VLAN通?？煞譃榛贛AC地址的VLAN、基于子網(wǎng)的VLAN和基于用戶的VLAN?；贛AC地址的VLAN，就是根據(jù)端口所連計算機的網(wǎng)卡MAC地址，來決定該端口所屬的VLAN。在這種方式下，端口所屬的VLAN，不是事先固定的，而是由所連計算機的MAC地址來決定的。比如，若MAC地址為“00-0C-6E-E1-1B-36”的計算機被設(shè)置為屬于VLAN2，則該臺計算機無論接到交換機的哪個端口，其所連端口就會被自動劃歸為VLAN2?；谧泳W(wǎng)的VLAN，是根據(jù)端口所連計算機的IP地址，來決定端口所屬的VLAN?；谟脩舻腣LAN，是根

7、據(jù)端口所連計算機的當(dāng)前登錄用戶，來決定該端口所屬的LAN。 73.3 VLAN的匯聚鏈接與封裝協(xié)議 在實際應(yīng)用中，通常需要跨越多臺交換機的多個端口劃分VLAN，比如，同一個部門的員工，可能會分布在不同的建筑物或不同的樓層中，此時的VLAN，就將跨越多臺交換機 ?？缭蕉嗯_交換機的VLAN 8VLAN內(nèi)的主機彼此間應(yīng)可以自由通訊，當(dāng)VLAN成員分布在多臺交換機的端口上時，如何才能實現(xiàn)彼此間的通訊呢？解決的辦法就是在交換機上各拿出一個端口，用于將兩臺交換機級聯(lián)起來，專門用于提供該VLAN內(nèi)的主機跨交換機相互通訊。有多少個VLAN，就對應(yīng)地需要占用多少個端口，用來提供VLAN內(nèi)主機的跨交換機相互通訊，

8、如下圖所示。 VLAN內(nèi)的主機在交換機間的通訊 9這種方法雖然解決了VLAN內(nèi)主機間的跨交換機通訊，但每增加一個VLAN，就需要在交換機間添加一條互聯(lián)鏈路，并且還要額外占用交換機端口，這對保貴的交換機端口而言，是一種嚴(yán)重的浪費，而且擴展性和管理效率都很差。為了避免這種低效率的連接方式和對交換機端口的大量占用，人們想辦法讓交換機間的互聯(lián)鏈路匯集到一條鏈路上，讓該鏈路允許各個VLAN的通訊流經(jīng)過，這樣就可解決對交換機端口的額外占用，這條用于實現(xiàn)各VLAN在交換機間通訊的鏈路，稱為交換機的匯聚鏈路或主干鏈路（Trunk Link），如下圖所示。用于提供匯聚鏈路的端口，稱為匯聚端口。由于匯聚鏈路承載了

9、所有VLAN的通訊流量，因此要求只有通訊速度在100Mbps或以上的端口，才能作為匯聚端口使用。10在引入VLAN后，交換機的端口按用途就分為了訪問連接端口（Access Link）和匯聚連接（Trunk Link）端口兩種。訪問連接端口通常用于連接客戶PC機，以提供網(wǎng)絡(luò)接入服務(wù)。該種端口只屬于某一個VLAN，并且僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。端口所屬的VLAN通常也稱作native vlan。匯聚連接端口屬于所有VLAN共有，承載所有VLAN在交換機間的通訊流量。利用匯聚鏈路實現(xiàn)各VLAN內(nèi)主機跨交換機的通訊 11由于匯聚鏈路承載了所有VLAN的通訊流量，為了標(biāo)識各數(shù)據(jù)幀屬于哪一個VLAN

10、，為此，需要對流經(jīng)匯聚鏈接的數(shù)據(jù)幀進行打標(biāo)（tag）封裝，以附加上VLAN信息，這樣交換機就可通過VLAN標(biāo)識，將數(shù)據(jù)幀轉(zhuǎn)發(fā)到對應(yīng)的VLAN中。 目前交換機支持的打標(biāo)封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經(jīng)過IEEE認(rèn)證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議，屬于國際標(biāo)準(zhǔn)協(xié)議，適用于各個廠商生產(chǎn)的交換機，該協(xié)議通常也簡稱為dot1q。IEEE802.1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”和“類別域（Type Field）”之間，所添加的內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計4個字節(jié)，其對數(shù)幀的封裝過程如下圖所示。 12IEEE802.1Q

11、協(xié)議對數(shù)據(jù)幀的打標(biāo)封裝 13ISL是Inter Switch Link的縮寫，是Cisco系列交換機支持的一種與IEEE802.1Q類似的，用于在匯聚鏈路上附加VLAN信息的協(xié)議，可用于以太網(wǎng)和令牌環(huán)網(wǎng)。ISL對數(shù)據(jù)幀進行打標(biāo)封裝時，采取在數(shù)據(jù)幀的頭部附加26字節(jié)的ISL包頭（ISL Header），并且在數(shù)據(jù)幀的尾部帶上對包括ISL包頭在內(nèi)的整個數(shù)據(jù)幀進行計算后得到的4字節(jié)的CRC值，即ISL協(xié)議保留數(shù)據(jù)幀原來的CRC，然后再附加上一個新的CRC，即封裝時總共增加了30個字節(jié)的信息。當(dāng)數(shù)據(jù)幀離開匯聚鏈路時，ISL只需簡單地去除ISL包頭和新CRC就可以了，由于數(shù)據(jù)幀原來的CRC被完整保留，因

12、此無需重新計算。大多數(shù)Cisco設(shè)備都支持ISL。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。143.4 VLAN間主機的通訊 同一個VLAN屬于同一個廣播域，主機彼此間可相互自由通訊。不同VLAN的主機若要相互通訊，則必須為VLAN指定路由，這可通過三層交換機的路由交換模塊或借助外部的路由器來實現(xiàn)。 對于沒有路由功能的二層交換機，若要實現(xiàn)VLAN間的相互通信，就要借助外部的路由器來為VLAN指定默認(rèn)路由，此時路由器的快速以太網(wǎng)接口與交換機的快速以太網(wǎng)端口，應(yīng)以匯聚鏈路的方式相連，并在路由器的快速以太網(wǎng)接口上，為每一個VLAN創(chuàng)

13、建一個對應(yīng)的虛擬子接口，并設(shè)置虛擬子接口的IP地址，該IP地址以后就成為該VLAN的默認(rèn)網(wǎng)關(guān)（路由）。由于這些虛擬子接口是直接連接在路由器上的，設(shè)置IP地址后，路由器會自動在路由表中，為各VLAN添加路由，從而實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)，如下圖所示。 15二層交換機借助外部路由器實現(xiàn)VLAN間通訊 16VLAN間的主機通訊，遵循以下通訊過程：源主機交換機路由器交換機目的主機 交換機使用ASIC（Application Specified Integrated Circuit）專用硬件芯片來處理數(shù)據(jù)幀的交換，從而可以實現(xiàn)以線纜速度（Wired Speed）來交換數(shù)據(jù)。三層交換機是帶有路由功能的交換

14、機，其路由模塊與交換模塊共同使用ASIC硬件芯片，可實現(xiàn)高速度的路由，并且在對第一個數(shù)據(jù)幀進行路由后，將會產(chǎn)生一個MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)幀再次通過時，交換機會直接從二層轉(zhuǎn)發(fā)，而不用再路由，從而消除了路由器進行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。另一方面，交換機的路由模塊與交換模塊是在交換機內(nèi)部直接匯聚連接的，可以提供相當(dāng)高的帶寬，因此，使用三層交換機來配置VLAN和提供VLAN間的通訊，比使用二層交換機和路由器更好，配置和使用也更方便。 173.5 VLAN的配置方法 在進行VLAN配置時，首先應(yīng)根據(jù)應(yīng)用需求，規(guī)劃設(shè)計好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并進行VLAN劃分和IP地

15、址分配規(guī)劃，最后才開始著手VLAN的配置和調(diào)試。 3.5.1 創(chuàng)建VTP管理域 1VTP簡介 VTP是VLAN Trunking Protocol的縮寫，稱為VLAN鏈路聚集協(xié)議，它是一個在建立了匯聚鏈路的交換機之間同步和傳遞VLAN配置信息的協(xié)議，以在同一個VTP域中維持VLAN配置的一致性。在同一個VTP域中的交換機，可通過VTP協(xié)議來互相學(xué)習(xí)VTP信息。VTP協(xié)議對于運行ISL或IEEE802.1Q封裝協(xié)議的匯聚鏈路也都適用。 在創(chuàng)建VLAN之前，應(yīng)先定義VTP管理域，VTP消息能在同一個VTP管理域內(nèi)，同步和傳遞VLAN配置信息。另外，利用VTP協(xié)議，還能實現(xiàn)從匯聚鏈路中，裁剪掉不需要

16、的VLAN流量。18VTP有server、client和transparent（透明）三種工作模式，這些工作模式?jīng)Q定了是否允許指定的交換機管理VLAN、VTP如何傳送和同步VLAN配置。 server模式server模式是交換機默認(rèn)的工作模式，運行在該模式的交換機，允許創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫中的VLAN，并允許設(shè)置一些對整個VTP域的配置參數(shù)。在對VLAN進行創(chuàng)建、修改或刪除之后，VLAN數(shù)據(jù)庫的變化將傳遞到VTP域內(nèi)所有處于server或client模式的其他交換機，以實現(xiàn)對VLAN信息的同步。另外，server模式的交換機也可接收同一個VTP域內(nèi)其他交換機發(fā)送來的同步信息。 c

17、lient模式處于該模式下的交換機不能創(chuàng)建、修改和刪除VLAN，也不能在NVRAM中存儲VLAN配置，如果掉電，將丟失所有的VLAN信息。該模式下的交換機，主要通過VTP域內(nèi)其他交換機的VLAN配置信息來同步和更新自己的VLAN配置。19 transparent模式transparent模式也可以創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫中的VLAN，但與server模式不同的是，對VLAN配置的變化，不會傳播給其他交換機，即對VLAN的配置改變，僅對處于透明模式的交換機自身有效。 2創(chuàng)建VTP管理域要在交換機上激活啟動VTP，應(yīng)先創(chuàng)建VTP管理域，然后再設(shè)置VTP的工作模式，最后還要配置和啟動匯聚鏈

18、路。VTP信息只通過匯聚鏈路傳送，如果交換機之間沒有配置啟動一條匯聚鏈路，則兩臺交換機之間是無法完成VLAN配置信息的交換更新的。 20 創(chuàng)建VTP管理域 配置命令：vtp domain domain_name該配置命令在vlan配置模式下運行，用于創(chuàng)建一個vtp管理域。只有屬于同一個vtp域的交換機彼此間才能交換VLAN信息。一個交換機只能同時屬于某一個VTP域。 domain_name代表要創(chuàng)建的vtp管理域。注意該域名稱是區(qū)分大小寫的，vtp域名不會隔斷廣播域，僅用于同步VLAN配置信息。例如，若要在Cisco Catalyst 3550交換機中創(chuàng)建一個名為cqddvtpdomain的管

19、理域，則配置命令為：S3550enableS3550#vlan databaseS3550 (vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.S3550 (vlan)#21 設(shè)置VTP模式配置命令：vtp server|client|transparent該命令在vlan數(shù)據(jù)庫配置模式下運行，用于設(shè)置VTP的工作模式。例如，若要將Cisco Catalyst 3550交換機設(shè)置為server模式，則配置命令為：S3550 (vlan)#vtp serverS3550 (vlan)#exit 查看VTP信息若要查看V

20、TP的狀態(tài)信息，可使用命令：show vtp statusS3550#show vtp status223.5.2 配置trunking和封裝方法 在兩個交換機上，用于實現(xiàn)匯聚鏈路的那個端口，都必須配置成具有trunking（鏈路聚集）功能的端口。Cisco交換機支持兩種以太網(wǎng)鏈路聚集機制，即打標(biāo)封裝協(xié)議ISL和IEEE 802.1Q。要配置交換機的匯聚鏈路，應(yīng)先選擇要配置的交換機端口，并設(shè)置所用的封裝協(xié)議，然后再通過switchport mode trunk配置命令來啟用該端口的trunking功能，其配置命令為： （global）interface type mod/port （inter

21、face）switchport （interface）switchport trunk encapsulation isl|dot1q （interface）switchport mode trunk 配置命令說明：（global）和（interface）分別代表該命令在全局配置模式和接口配置模式下運行。 switchport用于設(shè)置交換機的端口為2層端口。對于2層交換機不需要運行該命令，若是3層交換機，并且若端口處于3層端口，則應(yīng)執(zhí)行該命令，將端口設(shè)置為2層交換端口。 23switchport trunk encapsulation用于設(shè)置匯聚鏈路采用的打標(biāo)封裝協(xié)議，isl代表ISL協(xié)議，d

22、ot1q代表IEEE 802.1Q協(xié)議。 switchport mode trunk命令用于激活啟用端口的鏈路聚集功能。若要在該端口上禁用trunking功能，則使用no switchport mode trunk配置命令。 例3.1 現(xiàn)有2臺Cisco Catalyst 3550-24交換機，每臺交換機均配有2個千兆的光纖模塊，2臺交換機通過長距離單模光纖相連在第1個光纖模塊端口上，用于實現(xiàn)2個校區(qū)間的通訊。這2臺交換機的主機名分別為benbu和fenxiao，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示?，F(xiàn)要求將這2臺交換機的第1個光纖模塊端口，配置為匯聚鏈路端口，打標(biāo)封裝協(xié)議采用IEEE 802.1Q。24

23、分析： Cisco Catalyst 3550-24擁有24個100M以太網(wǎng)端口，同時可選配2個千兆位的光纖模塊。所有端口均在模塊0中，這2個千兆位的光纖模塊端口的編號分別為1和2。要實現(xiàn)兩個交換機間的匯聚連接，只需分別在這2個交換機的千兆位端口1上啟用trunking功能即可。其配置步驟如下： 配置位于校本部的Cisco Catalyst 3550-24交換機，并設(shè)置為VTP Server工作模式。 25benbuenable benbu#vlan databasebenbu(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain mod

24、ified.benbu(vlan)#vtp serverbenbu(vlan)#exitbenbu#config tbenbu(config-if)#interface GigabitEthernet 0/1benbu(config-if)#switchportbenbu(config-if)#switchport trunk encapsulation dot1qbenbu(config-if)#switchport mode trunkbenbu(config-if)#endbenbu#show interface trunk benbu#write 26 配置位于分校區(qū)的Cisco 35

25、50交換機，將其加入到名為cqddvtpdomain的VTP管理域中，并設(shè)置為vtp client工作模式。 fenxiaoenablefenxiao#vlan databasefenxiao(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.fenxiao(vlan)#vtp clientfenxiao(vlan)#exitfenxiao#config tfenxiao(config)#interface GigabitEthernet 0/1fenxiao(config-if)#switchportfenxiao

26、(config-if)#switchport trunk encapsulation dot1qfenxiao(config-if)#switchport mode trunkfenxiao(config-if)#endfenxiao#show interface trunkfenxiao#write273.5.3 創(chuàng)建VLAN 配置好VTP管理域、VTP模式和trunking鏈路后，接下來就可以在VTP Server工作模式的交換機上創(chuàng)建VLAN。創(chuàng)建后，就會通過VTP消息通告給整個管理域中的所有其他交換機，以讓其他交換機同步和更新VLAN配置信息。 創(chuàng)建VLAN的配置命令在VLAN數(shù)據(jù)庫配

27、置模式下運行，其用法為： vlan vlan-id name vlan-name 其中vlan-id代表要創(chuàng)建的VLAN的id號，vlan-name代表該VLAN的名字，為可選項。默認(rèn)情況下，交換機會自動創(chuàng)建和管理VLAN 1，所有交換機端口默認(rèn)均屬于VLAN 1，用戶不能刪除該VLAN。 查看交換機的VLAN配置信息，可在特權(quán)EXEC模式下，執(zhí)行show vlan命令，采用show vlan vlan-id命令用法，來顯示指定VLAN的信息。 28 例3.2 在例3.1的基礎(chǔ)上，在名為benbu的Cisco 3550交換機上創(chuàng)建id號為2、3、4的3個VLAN，VLAN的名稱分別為stude

28、nt、teacher和office。benbuenable benbu#vlan database benbu(vlan)#vlan 2 name studentVLAN 2 added: Name: student benbu(vlan)#vlan 3 name teacherVLAN 3 added: Name: teacher benbu(vlan)#vlan 4 name officeVLAN 4 added:Name: office benbu(vlan)#exit293.5.4 劃分VLAN端口 VLAN的創(chuàng)建可在任意一臺工作在VTP Server模式的交換機上進行，但要將端口指派

29、給某個VLAN，則必須在該端口所在的交換機上進行。要將一個端口設(shè)置為某個VLAN的成員，首先應(yīng)選擇該端口，然后在接口配置模式，通過以下配置命令來實現(xiàn)： switchport access vlan vlan-id 其中，vlan-id為VLAN的id號，表示將端口劃入哪一個VLAN。以上配置命令，將當(dāng)前選擇的端口劃歸為vlan-id指定的VLAN。 例3.3 試將benbu交換機的26號端口以及fenxiao交換機的24號端口劃入student VLAN，將benbu交換機的7-9端口和fenxiao交換機的5-9號端口劃入teacher VLAN，將benbu交換機的10-12號端口和fen

30、xiao交換機的10-12號端口劃入office VLAN。 30 配置步驟： 分配benbu交換機各端口所屬的VLAN。 benbu#config t !選擇端口benbu(config)#interface fa0/2!設(shè)置為訪問連接端口benbu(config-if)#switchport mode access!設(shè)置端口使用portfast模式，以禁止運行生成樹協(xié)議STPbenbu(config-if)#spanning-tree portfast !將端口劃歸到VLAN 2benbu(config-if)#switchport access vlan 231benbu(config-

31、if)#interface fa0/3benbu(config-if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 2benbu(config-if)#interface fa0/12benbu(config-if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 4 benbu(c

32、onfig-if)#end benbu#write benbu#show vlan32 benbu交換機的端口分配 以上配置方法，采用的是逐個端口逐個端口地進行VLAN指定，對于Cisco 3550交換機，可通過使用range關(guān)鍵字來選擇一個端口范圍，以簡化對VLAN端口的指定，其配置命令為： 33benbu#config t benbu(config)#interface range fa0/2 - 6 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast ben

33、bu(config-if-range)#switchport access vlan 2 benbu(config-if-range)#interface range fa0/7 - 9 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 3 benbu(config-if-range)#interface range fa0/10 - 12 benbu(config-if

34、-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 4 benbu(config-if-range)#end benbu#copy run start 34 配置fenxiao交換機各端口所屬的VLAN。 fenxiao#config t fenxiao(config)#interface range fa0/2 - 4fenxiao(config-if-range)#switchport mode a

35、ccessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 2 fenxiao(config-if-range)#interface range fa0/5 - 9fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 3fen

36、xiao(config-if-range)#interface range fa0/10 - 12fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 435fenxiao(config-if-range)#end fenxiao#copy run start fenxiao#show vlanfenxiao交換機的端口分配 36VLAN間要實現(xiàn)3層交換和相互通訊，

37、就必須在3層交換機上為每個VLAN創(chuàng)建一個虛擬的子接口，并設(shè)置接口的IP地址或同時設(shè)置DHCP服務(wù)器的地址，這樣就可實現(xiàn)虛擬子接口之間的路由，從而實現(xiàn)VLAN間的通訊。各VLAN對應(yīng)的虛擬子接口的IP地址，就成為該VLAN的默認(rèn)網(wǎng)關(guān)地址。為虛擬子接口設(shè)置DHCP服務(wù)器的地址后，VLAN中的成員主機就可利用指定的DHCP服務(wù)器，自動獲得IP地址，從而實現(xiàn)IP地址的動態(tài)分配。 1設(shè)置VLAN虛擬子接口IP地址 創(chuàng)建VLAN的虛擬子接口，并為其設(shè)置IP地址的配置命令為： interface vlan vlan-id ip address adress netmask no shutdown3.5.5

38、 實現(xiàn)VLAN間的通訊 37其中interface vlan配置命令在全局配置模式下運行，用于選擇指定VLAN的虛擬子接口。ip address配置命令用于為接口設(shè)置IP地址。 例如，若要給VLAN 2設(shè)置IP地址為192.168.2.1，子網(wǎng)掩碼為255.255.255.0，則配置命令為： benbu#config t benbu(config)#interface vlan 2 benbu(config-if)#ip address 192.168.2.1 255.255.255.0 benbu(config-if)#no shutdown 設(shè)置好VLAN虛擬子接口的IP地址后，路由模塊會

39、自動在路由表中添加相應(yīng)的路由。 382為虛擬子接口指定DHCP服務(wù)器地址 若VLAN中的主機要采用自動獲得IP地址，則要為該VLAN的虛擬子接口設(shè)置指定DHCP服務(wù)器的地址，然后在DHCP服務(wù)器中，為該網(wǎng)段添加作用域，并設(shè)置可分配的IP地址池、IP地址的租用期、默認(rèn)路由（設(shè)置為虛擬子接口的IP地址）和DNS服務(wù)器的地址等信息，這樣VLAN中的主機在獲得IP地址的同時，就可獲得默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址信息。 為VLAN虛擬子接口設(shè)置指定DHCP服務(wù)器的地址，使用以下配置命令： ip helper-address dhcp-server其中的dhcp-server代表DHCP服務(wù)器的IP地址。

40、若DHCP服務(wù)器與DHCP客戶機不在同一個VLAN內(nèi)，則必須使用ip helper-address配置命令為其指定DHCP服務(wù)器的地址。 例如，若DHCP服務(wù)器的IP地址為192.168.252.253，則配置命令為： benbu(config-if)#ip helper-address 192.168.252.253 39 例3.4假設(shè)VLAN 2網(wǎng)段的IP地址為192.168.2.0/24，默認(rèn)網(wǎng)關(guān)為192.168.2.1，VLAN中的主機采用自動獲得IP地址方式，DHCP服務(wù)器的IP地址為192.168.2.254；VLAN 3的網(wǎng)段地址為192.168.3.0/24，默認(rèn)網(wǎng)關(guān)為192.

41、168.3.1，采用靜態(tài)IP地址分配方式；VLAN 4的網(wǎng)段地址為192.168.4.0/24，默認(rèn)網(wǎng)關(guān)為192.168.4.1，采用自動獲得IP地址方式，DHCP服務(wù)器的IP地址為192.168.2.254。 配置步驟： 在主機名為benbu的三層交換機中進行配置。 benbu#config t benbu(config)#interface vlan 2 benbu(config-if)#ip address 192.168.2.1 255.255.255.0 benbu(config-if)#ip helper-address 192.168.2.254benbu(config-if)#

42、no shutdown benbu(config-if)#interface vlan 3 benbu(connfig-if)#ip address 192.168.3.1 255.255.255.0benbu(config-if)#no shutdown40benbu(connfig-if)#interface vlan 4 benbu(connfig-if)#ip address 192.168.4.1 255.255.255.0 benbu(config-if)#ip helper-address 192.168.2.254benbu(config-if)#no shutdown ben

43、bu(config-if)#end benbu#write benbu#exit 配置DHCP服務(wù)器，分別為192.168.2.0/24和192.168.3.0/24網(wǎng)段添加作用域。DHCP服務(wù)器IP地址靜態(tài)設(shè)置為192.168.2.254。在設(shè)置192.168.2.0/24網(wǎng)段可分配的IP地址池時，注意不要將192.168.2.254地址添加到地址池中了，在設(shè)置IP地址池時，通?？杀Ａ粢徊糠值刂芬詡潇o態(tài)分配使用。 配置好DHCP服務(wù)器之后，VLAN 2和VLAN 4中的用戶，開機之后就可訪問本網(wǎng)段和其他網(wǎng)段的主機。對于采用靜態(tài)IP地址分配的VLAN 3中的用戶，必須手工設(shè)置主機的IP地址、默

44、認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。 41根據(jù)需要，可通過定義訪問控制列表（Access Control List，簡稱ACL），來實現(xiàn)VLAN間通訊的Ip包過濾，從而實現(xiàn)訪問策略的控制ACL配置的基本步驟和方法為： 1配置訪問列表 Cisco交換機與路由器配置訪問列表的命令和方法均相同。IP訪問列表分為標(biāo)準(zhǔn)的IP訪問列表和擴展的IP訪問列表，擴展IP訪問列表允許使用更多的匹配項，即允許表達更多的過濾條件，實際應(yīng)用中，通常采用擴展IP訪問列表。配置定義的每個IP訪問列表都有一個編號，標(biāo)準(zhǔn)的IP訪問列表編號范圍為199，擴展的IP訪問列表編號范圍為100199。配置訪問列表在交換機的全局配置模式下，使用

45、access-list配置命令來創(chuàng)建，允許創(chuàng)建多個訪問列表編號不同的訪問列表 。3.5.6 在VLAN上應(yīng)用訪問列表 422應(yīng)用訪問列表到端口 訪問列表配置定義后，必須應(yīng)用到指定的端口，才能實現(xiàn)對ip數(shù)據(jù)包的過濾功能。選擇應(yīng)用的端口后，然后再用以下配置命令應(yīng)用指定的訪問列表到該端口。ip access-group access-list-number in|out其中的access-list-number為前面定義的訪問列表的編號。in|out二者任選其一，代表IP數(shù)據(jù)包的方向。in代表對通過接口進入的數(shù)據(jù)包應(yīng)用包過濾規(guī)則，即僅對通過該端口流入的數(shù)據(jù)進行過濾。Out則相反，指對通過該端口流出的

46、數(shù)據(jù)利用該規(guī)則進行過濾。若要取消應(yīng)用訪問列表，可執(zhí)行配置命令：no ip access-group access-list-number in|out 43例3.6 假設(shè)在Cisco 3550交換機上的第5、第6和第7端口屬于VLAN 10，第5號端口用于連接局域網(wǎng)內(nèi)網(wǎng)，第6號端口用于連接代理服務(wù)器的內(nèi)網(wǎng)卡。現(xiàn)要求全部過濾掉從局域網(wǎng)內(nèi)網(wǎng)，向代理服務(wù)器發(fā)起的對任何主機的135-145端口和對445端口的連接請求。 配置步驟： 創(chuàng)建VLAN，并劃分VLAN端口。S3550#vlan databaseS3550(vlan)#vlan 10 name lanfirewallS3550(vlan)#ex

47、itS3550#config tS3550(config)#interface range fa0/5 - 7S3550(config-if-config)#switchport access vlan 10S3550(config-if-config)#exitS3550(config)# 44 配置訪問列表。S3550(config)#access-list 101 deny tcp any any range 135 145S3550(config)#access-list 101 deny tcp any any eq 445S3550(config)#access-list 101

48、deny udp any any range 135 145S3550(config)#access-list 101 deny udp any any eq 445S3550(config)#access-list 101 permit ip any any 在端口5的進入方向應(yīng)用訪問列表。S3550(config)#interface fa0/5S3550(config-if)#ip access-group 101 inS3550(config-if)#endS3550#copy run startS3550#exit利用ACL的IP包過濾功能，可起到防火墻的功能。因此，也可直接利用一臺

49、三層交換機的3個端口，通過配置ACL來實現(xiàn)防火墻。453.6 指定trunk鏈路中的VLAN 默認(rèn)情況下，trunk鏈路允許所有VLAN的流量通過，但可采用手工靜態(tài)指定或動態(tài)自動判斷兩種方式，來設(shè)置允許通過trunk鏈路的VLAN流量。 3.6.1 靜態(tài)指定trunk鏈路中的VLAN 用戶自定義的VLAN號范圍一般為2-1001，1002-1005和VALN 1為系統(tǒng)保留使用?？梢允止れo態(tài)地從trunk鏈路中刪除或添加允許通過的VLAN。 1設(shè)置不允許通過trunk鏈路的VLAN 配置命令： interface type mod/port switchport trunk allowed vlan remove vlanlist 46配置說明： 在配置前，首先應(yīng)使用interface配置命令，選中trunk鏈路端口，然后再使用第2條配置命令從trunk鏈路中刪除指定的VLAN，即不允許這些VLAN的通訊流量通過trunk鏈路。 vlanlist代表要刪除的VLAN號列表，各VLAN之間用逗號進行分隔。 例如，假設(shè)Cisco 3550的快速