項目3-交換機(jī)配置

項目3交換機(jī)配置學(xué)習(xí)目標(biāo)：（1）交換機(jī)的CLI配置界面（2）交換機(jī)的接口配置（3）交換機(jī)的口令配置3．1任務(wù)1交換機(jī)的基本配置3．1．1任務(wù)分析雖然構(gòu)建企業(yè)網(wǎng)絡(luò)時會同時用到路由器和交換機(jī)，但大多數(shù)企業(yè)的網(wǎng)絡(luò)主要依賴于交換機(jī)。交換機(jī)是適應(yīng)性極強(qiáng)的網(wǎng)絡(luò)互聯(lián)設(shè)備，在我們的工作和學(xué)習(xí)生活中對交換機(jī)的配置就顯得很重要。那么如何對交換機(jī)進(jìn)行配置呢？通過什么樣的方法能使交換機(jī)在網(wǎng)絡(luò)中發(fā)揮出最大的作用？通過本項目的訓(xùn)練，應(yīng)能完成對交換機(jī)的名字、IP地址、接口、VLAN等基本配置。3．1．2相關(guān)知識1、硬件連接要配置交換機(jī)，首先要給交換機(jī)加電。交換機(jī)加電的三個基本步驟為：（1）檢查組件（2）連接交換機(jī)電纜（3）打開交換機(jī)電源2、交換機(jī)的IOS3、交換機(jī)的命令模式要配置交換機(jī)，可以通過多種方法來進(jìn)行訪問。最常用的方法有：（1）控制臺（2）Telnet或SSH（3）輔助端口在本書中，我們主要介紹控制臺也就是命令行的方法來對交換機(jī)進(jìn)行配置。4、配置模式CiscoIOS設(shè)計為模式化操作系統(tǒng)。模式化表示的操作系統(tǒng)具有多種工作模式，每種模式有各自的工作領(lǐng)域。對于這些模式，CLI采用了層次結(jié)構(gòu)。主要的模式有（按照從上到下的順序排列）：（1）用戶執(zhí)行模式（2）特權(quán)執(zhí)行模式（3）全局配置模式（4）接口其它特定配置模式每種模式用于完成特定任務(wù)，并具有可在該模式下使用的特定命令集。例如，要配置某個接口，用戶必須進(jìn)入接口配置模式。在接口配置模式下輸入的所有配置僅應(yīng)用到該接口。某些命令可供所有用戶使用，還有些命令僅在用戶進(jìn)入提供該命令的模式后才可執(zhí)行。每種模式都具有獨特的提示符，且只有適用于相應(yīng)模式的命令才能執(zhí)行。（1）用戶執(zhí)行模式用戶執(zhí)行：只允許用戶訪問有限量的基本監(jiān)視命令。用戶執(zhí)行模式是在從CLI登錄到Cisco交換機(jī)后所進(jìn)入的默認(rèn)模式。用戶執(zhí)行模式由>提示符標(biāo)識。（2）特權(quán)執(zhí)行模式特權(quán)執(zhí)行：允許用戶訪問所有設(shè)備命令，如用于配置和管理的命令，特權(quán)執(zhí)行模式可采用口令加以保護(hù)，使得只有獲得授權(quán)的用戶才能訪問設(shè)備。特權(quán)執(zhí)行模式由#提示符標(biāo)識。要從用戶執(zhí)行模式切換到特權(quán)執(zhí)行模式，請輸入enable命令。要從特權(quán)執(zhí)行模式切換到用戶執(zhí)行模式，請輸入disable命令。在實際網(wǎng)絡(luò)中，交換機(jī)將提示輸入口令。請輸入正確的口令。默認(rèn)情況下未配置口令。圖3-5中顯示了用于在用戶執(zhí)行模式和特權(quán)執(zhí)行模式之間來回切換的CiscoIOS命令。圖3-5用戶執(zhí)行模式和特權(quán)執(zhí)行模式（3）全局配置模式在圖3-6中，交換機(jī)先從特權(quán)執(zhí)行模式開始。要配置全局交換機(jī)參數(shù)（例如用于交換機(jī)管理的交換機(jī)主機(jī)名或交換機(jī)IP地址），應(yīng)使用全局配置模式。要訪問全局配置模式，請在特權(quán)執(zhí)行模式下輸入configureterminal命令。提示符將更改為(config)#。（4）接口配置模式配置特定于接口的參數(shù)是常見的任務(wù)。要從全局配置模式下訪問接口配置模式，請輸入interface<interfacename>命令。提示符將更改為(config-if)#。要退出接口配置模式，請使用exit命令。提示符恢復(fù)為(config)#，提醒您已處于全局配置模式。要退出全局配置模式，請再次使用exit命令。提示符切換為#，表示已進(jìn)入特權(quán)執(zhí)行模式。5、基本IOS命令結(jié)構(gòu)每個IOS命令都具有特定的格式或語法，并在相應(yīng)的提示符下執(zhí)行。常規(guī)命令語法為命令后接相應(yīng)的關(guān)鍵字和參數(shù)。某些命令包含一個關(guān)鍵字和參數(shù)子集，此子集可提供額外功能。圖3-7中所示為命令的三個部分。圖3-7IOS命令的基本結(jié)構(gòu)6、交換機(jī)端口表示Cisco交換機(jī)端口表示方式的格式為“端口類型模塊號/端口號”。常用的端口類型有:EtherNet端口、FastEthernet端口、Serial端口等，例如，交換機(jī)面板上第1個模塊的第2個快速以太網(wǎng)就可以表示為FastEthernet1/2，也可以簡單表示為F1/2。3．1．3任務(wù)實施1、任務(wù)實施環(huán)境：計算機(jī)網(wǎng)絡(luò)實驗室提供進(jìn)行正常的網(wǎng)絡(luò)實驗設(shè)備和相應(yīng)的軟件環(huán)境。實驗室每組有思科交換機(jī)28系列，兩臺；PC，四臺；console線兩條，網(wǎng)線以及與各種網(wǎng)絡(luò)實驗相關(guān)的配件資料和設(shè)施，可滿足20－30人同時進(jìn)行網(wǎng)絡(luò)實驗的需求。2、任務(wù)實施步驟：1）配置設(shè)備名稱CLI提示符中會使用主機(jī)名。如果未明確配置主機(jī)名，則交換機(jī)的出廠默認(rèn)主機(jī)名為"Switch"。想象一下，如果網(wǎng)際網(wǎng)絡(luò)中的多個交換機(jī)都采用默認(rèn)名稱"Switch"，將會在網(wǎng)絡(luò)配置和維護(hù)時造成多大的混亂。配置主機(jī)名從特權(quán)執(zhí)行模式中輸入configureterminal命令訪問全局配置模式：Switch#configureterminal命令執(zhí)行后，提示符會變?yōu)椋篠witch(config)#在全局配置模式下，輸入主機(jī)名：Switch(config)#hostnameAtlantaHQ命令執(zhí)行后，提示符會變?yōu)椋篈tlantaHQ(config)#如圖3-8所示。圖3-8配置交換機(jī)的名字請注意，該主機(jī)名出現(xiàn)在提示符中。要退出全局配置模式，請使用exit命令。每次添加或修改設(shè)備時，請確保更新相關(guān)文檔。請在文檔中通過地點、用途和地址來標(biāo)識設(shè)備。注意:要消除命令的影響，請在該命令前面添加no關(guān)鍵字。例如，要刪除某設(shè)備的名稱，請使用：AtlantaHQ(config)#nohostnameSwitch(config)#我們可以看到，nohostname命令使該路由器恢復(fù)到其默認(rèn)主機(jī)名“Switch”。2）限制設(shè)備訪問—配置口令使用機(jī)柜和上鎖的機(jī)架限制人員實際接觸網(wǎng)絡(luò)設(shè)備是不錯的做法，但口令仍是防范未經(jīng)授權(quán)的人員訪問網(wǎng)絡(luò)設(shè)備的主要手段。必須從本地為每臺設(shè)備配置口令以限制訪問。在此介紹的口令有：控制臺口令—用于限制人員通過控制臺連接訪問設(shè)備使能口令—用于限制人員訪問特權(quán)執(zhí)行模式使能加密口令—經(jīng)加密，用于限制人員訪問特權(quán)執(zhí)行模式VTY口令—用于限制人員通過Telnet訪問設(shè)備（1）控制臺口令CiscoIOS設(shè)備的控制臺端口具有特別權(quán)限。作為最低限度的安全措施，必須為所有網(wǎng)絡(luò)設(shè)備的控制臺端口配置強(qiáng)口令。這可降低未經(jīng)授權(quán)的人員將電纜插入實際設(shè)備來訪問設(shè)備的風(fēng)險?？稍谌峙渲媚Ｊ较率褂孟铝忻顏頌榭刂婆_線路設(shè)置口令：Switch(config)#lineconsole0Switch(config-line)#password密碼Switch(config-line)#login命令lineconsole0用于從全局配置模式進(jìn)入控制臺線路配置模式。零(0)用于代表路由器的第一個（而且在大多數(shù)情況下是唯一的一個）控制臺接口。第二個命令password用于為一條線路指定口令。login命令用于將路由器配置為在用戶登錄時要求身份驗證。當(dāng)啟用了登錄且設(shè)置了口令后，設(shè)備將提示用戶輸入口令。一旦這三個命令執(zhí)行完成后，每次用戶嘗試訪問控制臺端口時，都會出現(xiàn)要求輸入口令的提示。（2）使能口令和使能加密口令為提供更好的安全性，請使用enablepassword命令或enablesecret命令。這幾個口令都可用于在用戶訪問特權(quán)執(zhí)行模式（使能模式）前進(jìn)行身份驗證。以下命令用于設(shè)置口令：Switch(config)#enablepassword密碼Switch(config)#enablesecret密碼注意:如果使能口令或使能加密口令均未設(shè)置，則IOS將不允許用戶通過Telnet會話訪問特權(quán)執(zhí)行模式。若未設(shè)置使能口令，Telnet會話將作出如下響應(yīng)：Switch>enable%NopasswordsetSwitch>（3）VTYPasswordVTY線路使用戶可通過Telnet訪問路由器。許多Cisco設(shè)備默認(rèn)支持五條VTY線路，這些線路編號為從0到4。所有可用的VTY線路均需要設(shè)置口令?？蔀樗羞B接設(shè)置同一個口令。然而，理想的做法是為其中的一條線路設(shè)置不同的口令，這樣可以為管理員提供一條保留通道，當(dāng)其它連接均被使用時，管理員可以通過此保留通道訪問設(shè)備以進(jìn)行管理工作。下列命令用于為VTY線路設(shè)置口令：Switch(config)#linevty04Switch(config-line)#password密碼Switch(config-line)#login默認(rèn)情況下，IOS自動為VTY線路執(zhí)行了login命令。這可防止設(shè)備在用戶通過Telnet訪問設(shè)備時不事先要求其進(jìn)行身份驗證。如果用戶錯誤的使用了nologin命令，則會取消身份驗證要求，這樣未經(jīng)授權(quán)的人員就可通過Telnet連接到該線路。這是一項重大的安全風(fēng)險。（4）加密顯示口令還有一個很有用的命令，可在顯示配置文件時防止將口令顯示為明文。此命令是password-encryption。它可在用戶配置口令后使口令加密顯示。servicepassword-encryption命令對所有未加密的口令進(jìn)行弱加密。當(dāng)通過介質(zhì)發(fā)送口令時，此加密手段不適service用，它僅適用于配置文件中的口令。此命令的用途在于防止未經(jīng)授權(quán)的人員查看配置文件中的口令。如果在尚未執(zhí)行servicepassword-encryption命令時執(zhí)行showrunning-config或showstartup-config命令，則可在配置輸出中看到未加密的口令。然后可執(zhí)行servicepassword-encryption命令，執(zhí)行完成后，口令即被加密?？诹钜坏┘用?，即使取消加密服務(wù)，也不會消除加密效果。3）管理配置文件（1）配置文件（2）管理配置文件4）訪問命令歷史記錄CiscoCLI提供已輸入命令的歷史記錄。這種功能稱為命令歷史記錄，它對于重復(fù)調(diào)用較長或較復(fù)雜的命令或輸入項特別有用。默認(rèn)情況下，命令歷史記錄功能啟用，系統(tǒng)會在其歷史記錄緩沖區(qū)中記錄最新輸入的10條命令?？梢允褂胹howhistory命令來查看最新輸入的執(zhí)行命令。如圖3-9所示。圖3-9查看命令歷史5）配置登錄標(biāo)語6）VLAN的創(chuàng)建無論VLAN是靜態(tài)創(chuàng)建還是動態(tài)創(chuàng)建的，VLAN的最大數(shù)量都取決于交換機(jī)和IOS的類型。默認(rèn)情況下，VLAN1是管理VLAN。創(chuàng)建VLAN后，VLAN會分配到一個編號和名稱。VLAN編號是交換機(jī)上可用范圍內(nèi)的任意編號，但不能使用VLAN1。某些交換機(jī)支持約1000個VLAN，有些則支持4000多個。為了便于網(wǎng)絡(luò)管理，最好對VLAN命名。（1）在全局配置模式下使用以下命令創(chuàng)建VLAN：Switch(config)#vlanvlan_numberSwitch(config-vlan)#namevlan_nameSwitch(config-vlan)#exit指定作為VLAN成員的端口。默認(rèn)情況下，所有端口最初都是VLAN1的成員。一次指定一個端口或一個端口范圍。（2）使用以下命令將各個端口指定給VLAN：Switch(config)#interfacefa#/#Switch(config-if)#switchportaccessvlanvlan_numberSwitch(config-if)#exit（3）使用以下命令將一個范圍內(nèi)的端口指定給VLAN：Switch(config)#interfacefa#/start_of_range-end_of_rangeSwitch(config-if)#switchportaccessvlanvlan_numberSwitch(config-if)#exit具體配置如圖3-10所示。range圖3-10VLAN的創(chuàng)建（4）要檢驗、維護(hù)和排查VLAN故障，必須要掌握CiscoIOS提供的重要show命令。以下命令可用于檢驗和維護(hù)VLAN：showvlan顯示交換機(jī)上所有VLAN的編號以及名稱的詳細(xì)列表，并會顯示每個VLAN關(guān)聯(lián)的端口當(dāng)STP是根據(jù)VLAN進(jìn)行配置時，還會顯示STP統(tǒng)計信息。showvlanbrief顯示摘要列表，其中僅提供活動VLAN以及各個VLAN關(guān)聯(lián)的端口。showvlanidid_number根據(jù)ID號顯示具體VLAN的相關(guān)信息showvlannamevlan_name根據(jù)名稱顯示具體VLAN的相關(guān)信息（5）刪除VLAN：Switch(config)#novlanvlan_number要取消端口與特定VLAN的關(guān)聯(lián)：Switch(config)#interfacefa#/#Switch(config-if)#noswitchportaccessvlanvlan_number7）配置交換機(jī)IP地址、缺省網(wǎng)關(guān)、域名這里所設(shè)置的IP地址、網(wǎng)關(guān)、域名等信息是為交換機(jī)本身所設(shè)置的，配置了IP地址以后，我們就可以從網(wǎng)絡(luò)的任何地方Telnet到交換機(jī)對其進(jìn)行管理。并且還可以通過WEB訪問交換機(jī)對其進(jìn)行管理。該IP地址和連接在該交換機(jī)上的計算機(jī)或其他網(wǎng)絡(luò)設(shè)備無關(guān)。也就是說，所有與交換機(jī)連接的主機(jī)都應(yīng)該設(shè)置自身的域名、網(wǎng)關(guān)等信息。先進(jìn)入到配置模式Switch#configterminal設(shè)置IP地址Switch(config)#ip設(shè)置缺省網(wǎng)關(guān)Switch(config)#ip設(shè)置域名Switch(config)#ipdomain-nameSwitch(config)#endSwitch#8）配置VTPVTP是一種客戶端/服務(wù)器消息協(xié)議，它能夠在單個VTP域中增加、刪除和重命名VLAN。同一管理區(qū)域內(nèi)的所有交換機(jī)都是域的一部分。每個域都有其唯一的名稱。VTP交換機(jī)僅與相同域中的其它交換機(jī)共享VTP消息。default-gatewayaddressVTP有三種模式：服務(wù)器模式、客戶端模式和透明模式。默認(rèn)情況下，所有交換機(jī)都使用服務(wù)器模式。建議一個網(wǎng)絡(luò)中至少將兩臺交換機(jī)配置為服務(wù)器，以便提供備份和冗余功能。默認(rèn)情況下交換機(jī)配置為服務(wù)器模式。如果服務(wù)器模式下的交換機(jī)發(fā)出的更新中包含的修訂版號比當(dāng)前更高，則所有交換機(jī)都將修改其數(shù)據(jù)庫以與新交換機(jī)匹配。當(dāng)向現(xiàn)有VTP域添加新交換機(jī)時，執(zhí)行以下步驟：步驟1：離線配置VTP（第1版）Switch(config)#vtpdomaindomain_nameSwitch(config)#vtp{sever|client|taansparent}Switch(config)#vtppassword密碼Switch#copyrunning-configstartup-config步驟2：檢驗VTP配置。Switch#showvtpstatus步驟3：重新啟動交換機(jī)。Switch#reloadSwitch#showvtppasswordSwitch#showvtpcountersmode3．1．4任務(wù)總結(jié)與回顧本任務(wù)中，我們討論了交換機(jī)的口令配置、IP地址、接口等問題。備份和恢復(fù)交換機(jī)配置是任何交換機(jī)管理人員的關(guān)鍵技能。本次任務(wù)主要是完成對交換機(jī)的基本配置，為后面的幾個任務(wù)的完成打下基礎(chǔ)。3．1．5習(xí)題3.2任務(wù)交換機(jī)的端口隔離3.2.1任務(wù)分析VLAN（VirtualLocalAreaNetwork）——是指在一個物理網(wǎng)段內(nèi)，進(jìn)行邏輯的劃分，劃分成若干個虛擬局域網(wǎng)。VLAN最大的特點是不受物理位置的限制，可以靈活的劃分。相同的VLAN可以互相進(jìn)行通信，不同的VLAN間的主機(jī)不可以直接進(jìn)行通信，必須通過路由器才可以進(jìn)行通信。作用：可以限制廣播流量的轉(zhuǎn)播，廣播數(shù)據(jù)包只在VLAN進(jìn)行轉(zhuǎn)播，不能轉(zhuǎn)到其他的VLAN中。PortVlan是實現(xiàn)Vlan的方式之一，PortVlan是利用交換機(jī)的端口進(jìn)行VLAN的劃分，一個端口只能屬于一個VLAN。3.2.2相關(guān)知識1、端口隔離的功能交換機(jī)端口隔離功能是在端口級的操作，一般整個設(shè)備有（而且只有）一個隔離群組，每個端口可以選擇加入到這個群組里面來，加入到群組里面來的端口和群組外面的端口可以正常互通，群組內(nèi)端口之間不能互通，不管它們具有怎樣的vlan關(guān)系。但是，鏡像報文不能被隔離開。2、使用端口隔離的意義：3.2.3任務(wù)實施1、任務(wù)實施環(huán)境：計算機(jī)網(wǎng)絡(luò)實驗室提供進(jìn)行正常的網(wǎng)絡(luò)實驗設(shè)備和相應(yīng)的軟件環(huán)境。實驗室有計算機(jī)，接入路由器，接入交換機(jī)以及與各種網(wǎng)絡(luò)實驗相關(guān)的配件資料和設(shè)施，可滿足20－30人同時進(jìn)行網(wǎng)絡(luò)實驗的需求。2、任務(wù)實施要求：(1)(2)(3)在交換機(jī)上創(chuàng)建VLAN交換機(jī)的VLAN劃分掌握實現(xiàn)交換機(jī)端口隔離的基本技術(shù)3、任務(wù)實施步驟：（1）在交換機(jī)上劃分兩個VLANswitch>enableswitch#configureterminalswitch(config)#vlan10switch(config-vlan)#nametest10switch(config-vlan)#exitswitch(config)#vlan20switch(config-vlan)#nametest20switch(config-vlan)#endswitch#showvlan（2）將接口分配到VLAN中switch#configureterminalswitch(config)#interfacefastethernet0/5switch(config-if)#switchportaccessvlan10switch(config-if)#exitswitch(config)#interfacefastethernet0/15switch(config-if)#switchportaccessvlan20switch(config-if)#endswitch#showvlan（3）PC1與PC2不能PING通就為成功。3.2.4任務(wù)總結(jié)與回顧本次任務(wù)中，通過使用PortVLAN完成了交換機(jī)的端口隔離。注意：(1)VLAN1屬于系統(tǒng)默認(rèn)的VLAN，不可以被刪除(2)刪除某個VLAN，使用no命令。例如：switch(config)#novlan10(3)刪除當(dāng)前某個VLAN時，注意先將屬于該VLAN的端口加入別的VLAN，再刪除VLAN。3.2.5習(xí)題拓?fù)浣Y(jié)構(gòu)如圖3-12所示，請按照拓?fù)鋱D完成端口隔離。圖3-12端口隔離拓?fù)浣Y(jié)構(gòu)3.3任務(wù)3跨交換機(jī)實現(xiàn)VLAN3.3.1任務(wù)分析如果你是企業(yè)的網(wǎng)管，企業(yè)有兩個主要部門：銷售部和技術(shù)部，其中銷售部門的個人計算機(jī)系統(tǒng)分散連接，他們之間需要相互進(jìn)行通信，但為了數(shù)據(jù)安全起見，銷售部和技術(shù)部需要進(jìn)行相互隔離。這時，我們需要進(jìn)行跨交換技實現(xiàn)VLAN。3.3.2相關(guān)知識TagVlan是基于交換機(jī)端口的另外一種類型，主要用于實現(xiàn)跨交換機(jī)的相同VLAN內(nèi)主機(jī)之間可以直接訪問，同時對不同的VLAN的主機(jī)進(jìn)行隔離，起到數(shù)據(jù)安全的傳輸。TagVlan遵循了IEEE802.1Q協(xié)議的標(biāo)準(zhǔn)。在利用配置了TagVlan的接口進(jìn)行數(shù)據(jù)傳輸時，需要在數(shù)據(jù)偵添加4個字節(jié)的802.1Q標(biāo)簽信息，用與標(biāo)志該數(shù)據(jù)幀屬于哪一個VLAN，以便于對端交換機(jī)接收到的數(shù)據(jù)幀后進(jìn)行準(zhǔn)確的過濾。TagVlan在同一VLAN里的計算機(jī)系統(tǒng)能跨交換機(jī)進(jìn)行相互通信，而在不同的VLAN里的計算機(jī)系統(tǒng)不能進(jìn)行相互通信。3.3.3任務(wù)實施1、任務(wù)實施環(huán)境每組應(yīng)含有的設(shè)備：（1）兩臺Cisco2960交換機(jī)或同類交換機(jī)（2）兩臺基于Windows的計算機(jī)，其中裝有終端仿真程序（3）至少一根RJ-45轉(zhuǎn)DB-9連接器控制臺電纜，用以配置交換機(jī)和路由器（4）三根直通以太網(wǎng)電纜，用以連接計算機(jī)和交換機(jī)（5）一根交叉以太網(wǎng)電纜，用以連接S1和S22、任務(wù)實施要求：（1）觀察默認(rèn)交換機(jī)的VLAN配置和操作（2）在交換機(jī)上配置靜態(tài)VLAN（3）檢查VLAN的配置和操作（4）配置交換機(jī)之間的中繼3、任務(wù)實施步驟：拓?fù)淙鐖D3-13：圖3-13跨交換機(jī)實現(xiàn)VLAN拓?fù)鋱D（1）連接設(shè)備①用交叉電纜將Switch1的Fa0/1接口連接到Switch2的Fa0/1接口；②用直通電纜將Host1a的以太網(wǎng)接口連接到Switch1的Fa0/2接口；③用直通電纜將Host1b的以太網(wǎng)接口連接到Switch1的Fa0/3接口；④用直通電纜將Host2的以太網(wǎng)接口連接到Switch2的Fa0/2接口；⑤用控制臺電纜連接計算機(jī)，配置交換機(jī)；（2）執(zhí)行Switch1和Switch2的基本配置①將計算機(jī)連接到交換機(jī)的控制臺端口，以使用終端仿真程序執(zhí)行配置；②配置Switch1的主機(jī)名和控制臺以及特權(quán)口令并保存配置；③配置Switch2的主機(jī)名和控制臺以及特權(quán)口令并保存配置。（3）檢驗?zāi)J(rèn)VLAN配置和連通性在本任務(wù)中，直接連接某些交換機(jī)時，交換機(jī)端口會自動自行配置以實施中繼。為避免這種情況，請手動配置交換機(jī)端口以在S1和S2上正常操作。（4）創(chuàng)建并檢查VLAN配置在兩臺交換機(jī)上創(chuàng)建并命名VLAN2和3。（5）配置和檢驗中繼為了讓跨越多臺交換機(jī)的多個VLAN內(nèi)部連通，可以配置中繼。若沒有中繼，每個VLAN都需要在交換機(jī)之間建立獨立的物理連接。在S1和S2上配置中繼。S1的端口Fa0/1已經(jīng)連接到S2的端口Fa0/1。（6）觀察交換機(jī)的默認(rèn)中繼行為在本實驗的前面部分，已經(jīng)手動配置交換機(jī)的Fa0/1接口進(jìn)行中繼。使用noswitchportmodetrunk命令刪除該配置。3.3.4任務(wù)總結(jié)與回顧在本次任務(wù)中，我們學(xué)會配置了跨交換機(jī)實現(xiàn)VLAN。完成任務(wù)的過程中，可能會使用到no**命令，這是個常用且容易出問題的命令，在以后對交換機(jī)和路由器的使用要多加注意。3.3.5習(xí)題請參照圖3-14，在兩臺交換機(jī)中配置VLAN10、VLAN20，并實現(xiàn)跨交換機(jī)的VLAN間通信。圖3-14拓?fù)鋱D3.4任務(wù)4利用三層交換機(jī)實現(xiàn)VLAN間通信3.4.1任務(wù)分析在校園網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在校園網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。本次任務(wù)，我們將實現(xiàn)使用三層交換機(jī)完成VLAN間的通信3.4.2相關(guān)知識1、三層交換的概念簡單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。2、VLAN間通信如圖3-15所示，VLAN10中的PC1要與VLAN20中的PC5通信。與另一個VLAN中的設(shè)備通信稱為VLAN間通信。圖3-15VLAN間通信注意：交換機(jī)S1與路由器之間有兩條連接：一條用于將VLAN10上的流量傳輸?shù)竭_(dá)路由器接口，另一條用于傳輸VLAN20的流量傳輸?shù)铰酚善鹘涌凇?.4.3任務(wù)實施1、任務(wù)實施環(huán)境：每組中要含有一臺具備三層交換功能的核心交換機(jī)；3臺分支交換機(jī)(不一定具備三層交換能力)；3臺PC機(jī)。2、任務(wù)實施要求：（1）設(shè)置vtpdomain（2）配置中繼（3）創(chuàng)建vlan（4）將交換機(jī)端口劃入vlan（5）配置三層交換3、任務(wù)實施步驟：首先給核心交換機(jī)起名為：COM；分支交換機(jī)分別為：PAR1、PAR2、PAR3，分別與核心交換機(jī)相連；并且假設(shè)VLAN名稱分別為counter、market、managing。（1）設(shè)置VTPDOMAINvtpdomain稱為管理域。交換vtp更新信息的所有交換機(jī)必須配置為相同的管理域。如果所有的交換機(jī)都以中繼線相連，那么只要在核心交換機(jī)上設(shè)置一個管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域里所有的交換機(jī)就能夠了解彼此的vlan列表。com#vlandatabase//進(jìn)入vlan配置模式com(vlan)#vtpdomaincom//設(shè)置vtp管理域名稱comcom(vlan)#vtpserver//設(shè)置交換機(jī)為服務(wù)器模式par1#vlandatabase//進(jìn)入vlan配置模式par1(vlan)#vtpdomaincom//設(shè)置vtp管理域名稱compar1(vlan)#vtpclient//設(shè)置交換機(jī)為客戶端模式par2#vlandatabase//進(jìn)入vlan配置模式par2(vlan)#vtpdomaincom//設(shè)置vtp管理域名稱compar2(vlan)#vtpclient//設(shè)置交換機(jī)為客戶端模式par3#vlandatabase//進(jìn)入vlan配置模式par3(vlan)#vtpdomaincom//設(shè)置vtp管理域名稱compar3(vlan)#vtpclient//設(shè)置交換機(jī)為客戶端模式注意：這里設(shè)置核心交換機(jī)為server模式是指允許在該交換機(jī)上創(chuàng)建、修改、刪除vlan及其他一些對整個vtp域的配置參數(shù)，同步本vtp域中其他交換機(jī)傳遞來的最新的vlan信息；client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改vlan配置，也不能在nvram中存儲vlan配置，但可同步由本vtp域中其他交換機(jī)傳遞來的vlan信息。（2）配置中繼為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼。Cisco交換機(jī)能夠支持任何介質(zhì)作為中繼線，為了實現(xiàn)中繼可使用其特有的isl封裝協(xié)議。isl（inter－switchlink）是一個在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接相連的端口配置isl封裝，即可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的vlan分配和進(jìn)行配置。在核心交換機(jī)端配置如下：com(config)#interfacegigabitethernet2/1com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中繼協(xié)議com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/2com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中繼協(xié)議com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/3com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中繼協(xié)議com(config-if)#switchportmodetrunk在分支交換機(jī)端配置如下：par1(config)#interfacegigabitethernet0/1par1(config-if)#switchportmodetrunkpar2(config)#interfacegigabitethernet0/1par2(config-if)#switchportmodetrunkpar3(config)#interfacegigabitethernet0/1par3(config-if)#switchportmodetrunk此時，管理域設(shè)置完畢。（3）創(chuàng)建vlan一旦建立了管理域，就可以創(chuàng)建vlan了。配置過程如下：com(vlan)#vlan10namecounter創(chuàng)建了一個編號為10名字為counter的vlancom(vlan)#vlan11namemarket創(chuàng)建了一個編號為11名字為market的vlancom(vlan)#vlan12namemanaging創(chuàng)建了一個編號為12名字為managing的vlan注意，這里的vlan是在核心交換機(jī)上建立的，只要是在管理域中的任何一臺vtp屬性為server的交換機(jī)上建立vlan，它就會通過vtp通告整個管理域中的所有的交換機(jī)。但如果要將具體的交換機(jī)端口劃入某個vlan，就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。（4）將交換機(jī)端口劃入vlan在此實訓(xùn)中，我們將par1、par2、par3分支交換機(jī)的端口1劃入countervlan，端口2劃入marketvlan，端口3劃入managingvlan中。具體配置如下：par1(config)#interfacefastethernet0/1//配置端口1par1(config-if)#switchportaccessvlan10//歸屬countervlanpar1(config)#interfacefastethernet0/2//配置端口2par1(config-if)#switchportaccessvlan11//歸屬marketvlanpar1(config)#interfacefastethernet0/3//配置端口3par1(config-if)#switchportaccessvlan12//歸屬managingvlanpar2(config)#interfacefastethernet0/1//配置端口1par2(config-if)#switchportaccessvlan10//歸屬countervlanpar2(config)#interfacefastethernet0/2//配置端口2par2(config-if)#switchportaccessvlan11//歸屬marketvlanpar2(config)#interfacefastethernet0/3//配置端口3par2(config-if)#switchportaccessvlan12//歸屬managingvlanpar3(config)#interfacefastethernet0/1//配置端口1par3(config-if)#switchportaccessvlan10//歸屬countervlanpar3(config)#interfacefastethernet0/2//配置端口2par3(config-if)#switchportaccessvlan11//歸屬marketvlanpar3(config)#interfacefastethernet0/3//配置端口3par3(config-if)#switchportaccessvlan12//歸屬managingvlan（5）配置三層交換到這里，vlan已經(jīng)基本劃分完畢。但是，vlan間如何實現(xiàn)三層（網(wǎng)絡(luò)層）交換呢？這時就要給各vlan分配網(wǎng)絡(luò)（IP）地址了。給vlan分配IP地址分兩種情況，其一，給vlan所有的節(jié)點分配靜態(tài)IP地址；其二，給vlan所有的節(jié)點分配動態(tài)IP地址。我們主要介紹靜態(tài)地址的分配。我們給vlancounter分配的接口ip地址為，網(wǎng)絡(luò)地址為：，vlanmarket分配的接口IP地址為，網(wǎng)絡(luò)地址為：，vlanmanaging分配接口ip地址為，網(wǎng)絡(luò)地址為。具體配置如下：com(config)#interfacevlan10com(config)#interfacevlan11com(config)#interfacevlan12//vlan12接口ip再在各接入vlan的計算機(jī)上設(shè)置與所屬vlan的網(wǎng)絡(luò)地址一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該vlan的接口地址。這樣，所有的vlan也可以互訪了。3.4.4任務(wù)總結(jié)與回顧//vlan11接口ip//vlan10接口ip在本次任務(wù)中，我們有需要注意的地方：對于三層交換機(jī)要啟動它的路由功能iprouting，否則實驗是不能成功的，通過showiproute我們可以看見路由表是建立起來了的。具體操作如下：com(config)#iproutingcom(config)#showiproute3.4.5習(xí)題某企業(yè)有兩個主要部門：銷售部和技術(shù)部，其中銷售部的個人計算機(jī)系統(tǒng)分散連接在兩臺交換機(jī)上，如圖3-16所示。他們之間需要相互進(jìn)行通信，銷售部和技術(shù)部也需要進(jìn)行相互通信，現(xiàn)要在交換機(jī)上做適當(dāng)配置來實現(xiàn)這一目標(biāo)。圖3-16拓?fù)鋱D3.5任務(wù)生成樹協(xié)議配置3.5.1任務(wù)分析對大多數(shù)中小型企業(yè)而言，計算機(jī)網(wǎng)絡(luò)顯然是其不可或缺的重要部分，這也是IT管理員需要在分層網(wǎng)絡(luò)中設(shè)置冗余功能的原因所在。不過，對網(wǎng)絡(luò)中的交換機(jī)和路由器添加多余的鏈路會在網(wǎng)絡(luò)中引入需要動態(tài)管理的通信環(huán)路；當(dāng)一條交換機(jī)連接斷開時，另一條鏈路要能迅速取代它的位置，同時不造成新的通信環(huán)路。本次任務(wù)，我們要學(xué)習(xí)生成樹協(xié)議(STP)如何防止網(wǎng)絡(luò)中的環(huán)路問題，以及STP協(xié)議的發(fā)展過程，了解其如何通過快速計算應(yīng)阻塞的端口來確?；赩LAN的網(wǎng)絡(luò)不會產(chǎn)生通信環(huán)路。3.5.2相關(guān)知識1、冗余功能2、生成樹協(xié)議冗余功能可防止網(wǎng)絡(luò)因單個故障點（例如網(wǎng)絡(luò)電纜或交換機(jī)故障）而無法運行，以此提升網(wǎng)絡(luò)拓?fù)涞目捎眯浴Ｏ虻?層設(shè)計引入冗余功能時，環(huán)路和重復(fù)幀現(xiàn)象也可能隨之而出現(xiàn)。環(huán)路和重復(fù)幀對網(wǎng)絡(luò)有著極為嚴(yán)重的影響。生成樹協(xié)議(STP)便旨在解決這些問題。2.STP針對網(wǎng)絡(luò)故障的調(diào)整3.5.3任務(wù)實施1、任務(wù)實施環(huán)境：每一個小組應(yīng)含有設(shè)備：三臺交換機(jī)（cisco的2960交換機(jī)）、三臺PC機(jī)。2、任務(wù)實施要求：（1）完成交換機(jī)上的基本配置（2）在所有交換機(jī)上配置VLAN中繼協(xié)議(VTP)（3）改變生成樹根的位置（4）觀察對生成樹拓?fù)渥兓捻憫?yīng)（5）配置快速STP(802.1W)3、任務(wù)實施步驟：（1）布置網(wǎng)絡(luò)按照拓?fù)鋱D3-20，進(jìn)行網(wǎng)絡(luò)連接。圖3-20拓?fù)鋱D首先，清除NVRAM、刪除vlan.dat文件并重新加載交換機(jī)。重新加載完成后，使用showvlan特權(quán)執(zhí)行命令確認(rèn)只存在默認(rèn)VLAN，并且所有端口都已分配給VLAN1。然后，使用shutdown命令禁用所有端口。具體配置如下：Switch#showvlanSwitch(config)#interfacerangefa0/1-24Switch(config-if-range)#shutdownSwitch(config-if-range)#interfacerangegi0/1-2Switch(config-if-range)#shutdown（2）執(zhí)行基本的交換機(jī)配置對于每一個交換機(jī)S1、S2和S3，要做如下的配置：?配置交換機(jī)主機(jī)名。?禁用DNS查找。?將執(zhí)行模式口令配置為class。?為控制臺連接配置口令cisco。?為vty連接配置口令cisco。以交換機(jī)S1為例，具體配置如下：Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameS1S1(config)#enablesecretclassS1(config)#noipdomain-lookupS1(config)#lineconsole0S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#linevty015S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleS1#copyrunning-configstartup-configDestinationfilename[startup-config]?Buildingconfiguration...[OK]（3）配置主機(jī)PC按下表中的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置PC1、PC2和PC3的以太網(wǎng)接口。如表3-1。表3-1地址表設(shè)備（主機(jī)名）S1VLAN99172.17.9255.255.9.11255.0接口IP地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)S2S3PC1PC2PC3VLAN99VLAN99NICNICNIC172.17.9255.255.9.129.130.210.220.23255.0255.0255.0255.0255.00.120.120.12172.17.9255.255.（4）配置VLAN第一步，配置VTP。在三臺交換機(jī)上使用下表配置VTP。記住，VTP域名和口令都區(qū)分大小寫。默認(rèn)的工作模式為服務(wù)器。如表3-2。表3-2VTP配置交換機(jī)名稱VTP工作模式S1S2S3服務(wù)器客戶端客戶端具體配置如下：Lab5Lab5Lab5ciscociscociscoVTP域VTP口令第二步，配置中繼鏈路和本征VLAN。將每臺交換機(jī)的端口Fa0/1至Fa0/4配置為中繼端口。將VLAN99指定為這些中繼的本征VLAN。在全局配置模式下使用interface-range命令來簡化此項任務(wù)。要注意，我們在前面的步驟中禁用了這些端口，所以現(xiàn)在必須使用noshutdown命令來重新啟用。配置如下：第三步，我們要在VTP服務(wù)器上配置VLAN。VTP能夠?qū)⒃赩TP服務(wù)器上配置的VLAN傳播到域中的VTP客戶端，從而確保網(wǎng)絡(luò)中VLAN配置的一致性。在VTP服務(wù)器上配置下列VLAN，如表3-3：表3-3VLAN配置VLANVLAN99VLAN10VLAN20VLAN30VLAN名稱managementfaculty-staffstudentsguest第四步，檢驗VLAN。在S2和S3上使用showvlanbrief命令，檢查四個VLAN是否均已發(fā)布到客戶端交換機(jī)。配置如下：S2#showvlanbrief第五步，在所有三臺交換機(jī)上配置管理接口地址。配置如下：在交換機(jī)之間執(zhí)行ping操作，檢查其配置是否正確。S1pingS2和S3的管理接口。S2pingS3從從的管理接口。第六步，為VLAN分配交換機(jī)端口。按照下表，在S2上為VLAN分配端口。第七步，重新啟用S2上的用戶端口。參考拓?fù)鋱D，確定S2上供最終用戶設(shè)備接入的交換機(jī)端口有哪些。通過noshutdown命令啟用這三個端口。S2(config)#interfacerangefa0/6,fa0/11,fa0/18S2(config-if-range)#noshutdown（5）配置生成樹檢查802.1DSTP的默認(rèn)配置。在每臺交換機(jī)上，使用showspanning-tree命令列出其上的生成樹表。S1#showspanning-tree注意每臺交換機(jī)上有五個生成樹實例。Cisco交換機(jī)上的默認(rèn)STP配置是每VLAN生成樹(PVST+)，此配置會為每個VLAN（VLAN1和任何用戶配置的VLAN）創(chuàng)建單獨的生成樹。檢查所有三臺交換機(jī)上的VLAN99生成樹：S1#showspanning-treevlan99S2#showspanning-treevlan99S3#showspanning-treevlan99（6）優(yōu)化STP由于每個活動VLAN上都有一個單獨的生成樹實例，因此每個實例上都會獨立進(jìn)行根橋選舉。如果根橋選舉過程使用默認(rèn)交換機(jī)優(yōu)先級，那么每個生成樹實例都會將同一臺交換機(jī)選舉為根橋，如我們之前所見。這可能導(dǎo)致所設(shè)計的網(wǎng)絡(luò)性能不佳。根交換機(jī)選舉是通過更改VLAN的生成樹優(yōu)先級來實現(xiàn)的。因為在實驗環(huán)境中默認(rèn)根交換機(jī)可能有所不同，我們將S1和S3配置為特定VLAN的根交換機(jī)。如之前所見，默認(rèn)優(yōu)先級是32768加上VLANID。值越低表示在根橋選舉中的優(yōu)先級越高。將S3在VLAN99中的優(yōu)先級設(shè)置為4096。S3(config)#spanning-treevlan99priority?<0-61440>bridgepriorityinincrementsof4096S3(config)#spanning-treevlan99priority4096S3(config)#exit將S1在VLAN1、10、20和30的優(yōu)先級設(shè)置為4096。同樣，值越低表示在根網(wǎng)橋選舉中的優(yōu)先級越高。S1(config)#spanning-treevlan1priority4096S1(config)#spanning-treevlan10priority4096S1(config)#spanning-treevlan20priority4096S1(config)#spanning-treevlan30priority4096S1(config)#exit此時請稍等片刻，以便交換機(jī)有時間重新計算生成樹。然后在交換機(jī)S1和交換機(jī)S3上檢查VLAN99的生成樹。S1#showspanning-treevlan99S3#showspanning-treevlan99S3#showspanning-treevlan10（7）觀察802.1DSTP對拓?fù)渥兓捻憫?yīng)為了觀察LAN在拓?fù)涓淖兤陂g的連續(xù)性，首先使用IP地址3重新配置連接到端口S2Fa0/6的PC3。然后將S2端口Fa0/6重新分配給VLAN99。這樣您便可通過主機(jī)在LAN上連續(xù)執(zhí)行ping操作。S2(config)#interfacefa0/6S