教學課件-網絡設備安全配置(林宏剛)

第1章網絡技術基礎1.1網絡的基本概念1.1.1計算機網絡的歷史現代意義上的計算機網絡是1969年美國國防部高級研究計劃局（DARPA）建成的ARPAnet實驗網20世紀70年代后期是關于通信網大發(fā)展的時期，各發(fā)達國家政府部門、研究機構和電報電話公司都在發(fā)展分組交換網絡。OSI/RM標志著第三代計算機網絡的誕生。此時的計算機網絡在共同遵循OSI標準的基礎上，形成了一個具有統(tǒng)一網絡體系結構，并遵循國際標準的開放式和標準化的網絡。20世紀90年代，Internet產生并以驚人速度發(fā)展。1.1.2數據交換方式

電路交換，電路交換也稱為線路交換，它類似于電話系統(tǒng)，希望通信的計算機之間必須實現建立物理電路。整個電路交換的過程包括建立電路、數據傳輸和釋放電路三個階段。報文交換的數據傳輸單位是報文，報文就是站點一次性要發(fā)送的數據塊，其長度不限且可變。當一個站要發(fā)送報文時，它將一個目的地址附加到報文上，網絡節(jié)點根據報文上的目的地址信息，把報文發(fā)送到下一個節(jié)點，一直逐個節(jié)點地轉送到目的節(jié)點。分組交換是報文交換的一種改進，它將報文分成若干個分組，每個分組的長度有一個上限。分組交換有虛電路分組交換和數據報分組交換兩種。它是計算機網絡中使用最廣泛的一種交換技術。

1.1.3網絡的體系結構計算機網絡系統(tǒng)是一個十分復雜的系統(tǒng)。將一個復雜系統(tǒng)分解為若干個容易處理的子系統(tǒng)，然后“分而治之”，這種結構化設計方法是工程設計中常見的手段。計算機網絡的體系結構就是采用層次化結構來定義計算機網絡系統(tǒng)的組成方法和系統(tǒng)功能，它將一個網絡系統(tǒng)分成若干層次，并且規(guī)定了每個層次應該實現的功能以及應該向上層提供的服務，同時規(guī)定了兩個系統(tǒng)的各個層次實體之間進行通信時應該遵守的協(xié)議。層次模型網絡協(xié)議在計算機網絡系統(tǒng)中，為了保證通信雙方能正確地、自動地進行數據通信，針對通信過程的各種情況，制定了一整套約定，這就是網絡系統(tǒng)的通信協(xié)議。一個網絡協(xié)議主要由語法、語義和時序三大要素組成。1.4OSI/RM模型OSI（OpenSystemInterconnection）參考模型，即OSI/RM，開放式系統(tǒng)互連參考模型。是由國際標準化組織（ISO，該組織成立于1947年，由多個國家組成）在1984年發(fā)布。OSI參考模型屬于分層結構體系，由七層組成，從最低層到最高層依次為：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層，每一層由不同的交換的數據單元組成，獨立完成各層功能。應用層協(xié)議表示層協(xié)議會話層協(xié)議傳輸層協(xié)議圖1-3OSI/RM參考模型及每層交換單元數據流層數據流層1.1.5TCP/IP模型TCP/IP（TransmissionControlProtocol／InternetProtocol），即傳輸控制協(xié)議／網際協(xié)議，是一組用于實現網絡互連的通信協(xié)議集，它包括上百個各種功能的協(xié)議。目前是Internet上所采用的基本通信協(xié)議，而且局域網、城域網幾乎都采用了兼容性強的TCP/IP。通常，將TCP／IP協(xié)議體系劃分為四層，分別為網絡接口層，網際互聯層，傳輸層，應用層。1.1.6OSI與TCP/IP模型比較TCP/IP模型和OSI參考模型之間的相似之處在于：

一是二者都采用了分層思想和模塊化思想。這樣有利于整個網絡體系結構的穩(wěn)定，即任何一層的改變都不會影響到整個體系結構的穩(wěn)定性；二是二者都對計算機網絡進行了明顯的功能劃分，各層都在分界最明顯的地方進行了分界。這樣可以減少各層之間的相互影響。TCP/IP模型和OSI參考模型之間的區(qū)別體現在三個方面：

盡管OSI參考模型只是一個概念模型，但它是一個理想的網絡體系結構，所以該模型的層次劃分、層與層之間的界限劃分都非?？茖W。相比之下，TCP/IP模型對層的劃分、層與層之間的界限劃分不像OSI參考模型那樣明顯。是由于OSI參考模型的設計非?？茖W，有時甚至過于復雜，所以不利于實現，它一直沒有成為事實上的國際標準。而TCP/IP模型中各層之間雖然沒有明顯劃分，但它易于實現，其效率和健壯性也很好，所以它適用于各種網絡，并且已成為事實上的國際標準。OSI參考模型對計算機網絡抽象的認識非常好，所以在計算機網絡的研究和教育領域中都有很多應用。此外，OSI參考模型還促進了TCP/IP的標準化以及其他網絡協(xié)議的標準化，這也是OSI參考模型的可貴之處。圖1-4TCP／IP與OSI／RM各層對比應用層表示層會話層傳輸層網絡層數據鏈路層物理層應用層傳輸層網際互聯層網絡接口層OSI／RMTCP/IP協(xié)議1.1.7數據的封裝與解封

當我們應用程序用TCP傳輸數據的時候，數據被送入協(xié)議棧中，然后逐個通過每一層，知道最后到物理層數據轉換成比特流，送入網絡。而再這個過程中，每一層都會對要發(fā)送的數據加一些首部信息。整個過程如上圖。每一層數據是由上一層數據+本層首部信息組成的，其中每一層的數據，稱為本層的協(xié)議數據單元，即PDU這種協(xié)議棧逐層向下傳遞數據，并添加報頭和報尾的過程稱為封裝。電信號傳輸到對端后，按照相反的方式逐層剝離報頭和報尾的過程稱為解封。1.2網絡的相關術語1.2.1網絡的性能指標

速率即數據率(datarate)或比特率，是計算機網絡中最重要的一個性能指標。速率的單位是b/s，或kb/s,Mb/s,Gb/s等，比特（bit）是計算機中數據量的單位。“帶寬”(bandwidth)本來是指信號具有的頻帶寬度，單位是赫（或千赫、兆赫、吉赫等）。計算機網絡中的“帶寬”一般是指數字信道所能傳送的“最高數據率”的同義語，單位是“比特每秒”，或b/s(bit/s)，同速率定義。

帶寬單位有：即kb/s（103b/s），Mb/s（106b/s），Gb/s（109b/s），Tb/s（1012b/s，太比每秒）要特別注意KB/S與Kb/S的差異吞吐量(throughput)表示在單位時間內通過某個網絡（或信道、接口）的數據量。吞吐量更經常地用于對現實世界中的網絡的一種測量，以便知道實際上到底有多少數據量能夠通過網絡。吞吐量受網絡的帶寬或網絡的額定速率的限制。時延，(delay或latency)，時延即在數據發(fā)送、網絡傳輸過程中引起的時間延遲，時延包括如下幾個方面。數據經歷的總時延就是發(fā)送時延、傳播時延、處理時延和排隊時延之和：總時延=發(fā)送時延+傳播時延+處理時延+排隊時延發(fā)送時延發(fā)送數據時，數據塊從結點進入到傳輸媒體所需要的時間。也就是從發(fā)送數據幀的第一個比特算起到該幀的最后一個比特發(fā)送完畢所需的時間，計算公式如下：

發(fā)送時延=數據塊長度（比特）/信道帶寬（bit/s）傳播時延

電磁波在信道中需要傳播一定的距離而花費的時間。信號傳輸速率（即發(fā)送速率）和信號在信道上的傳播速率是完全不同的概念。傳播時延=信號在信道上的傳播速率（米/秒）/信道長度（米）處理時延

交換結點為存儲轉發(fā)而進行一些必要的處理所花費的時間。排隊時延結點緩存隊列中分組排隊所經歷的時延。排隊時延的長短往往取決于網絡中當時的通信量。1.2.2網絡的拓撲結構網絡拓撲結構是指拋開網絡電纜的物理連接來討論網絡系統(tǒng)的連接形式，是指網絡電纜構成的幾何形狀，它能從邏輯上表示網絡服務器、工作站的網絡配置和互相之間的連接。網絡拓撲結構按形狀可分為：星型、環(huán)型、總線型、樹型及總線/星型及網狀拓撲結構。星型拓撲結構

星型布局是以中央結點為中心與各結點連接而組成的，各結點與中央結點通過點與點方式連接，中央結點執(zhí)行集中式通信控制策略，因此中央結點相當復雜，負擔也重。星型拓撲結構優(yōu)點：網絡結構簡單，便于管理、集中控制，組網容易，網絡延遲時間短，誤碼率低。缺點：網絡共享能力較差，通信線路利用率不高，中央節(jié)點負擔過重，容易成為網絡的瓶頸，一旦出現故障則全網癱瘓。環(huán)形網中各結點通過環(huán)路接口連在一條首尾相連的閉合環(huán)形通信線路中，環(huán)路上任何結點均可以請求發(fā)送信息。請求一旦被批準，便可以向環(huán)路發(fā)送信息。環(huán)形網中的數據可以是單向也可是雙向傳輸。環(huán)形網的優(yōu)點：信息在網絡中沿固定方向流動，兩個結點間僅有唯一的通路，大大簡化了路徑選擇的控制；某個結點發(fā)生故障時，可以自動旁路，可靠性較高。缺點：由于信息是串行穿過多個結點環(huán)路接口，當結點過多時，影響傳輸效率，使網絡響應時間變長；由于環(huán)路封閉故擴充不方便。用一條稱為總線的中央主電纜，將相互之間以線性方式連接的工站連接起來的布局方式，稱為總線形拓撲。在總線結構中，所有網上微機都通過相應的硬件接口直接連在總線上，任何一個結點的信息都可以沿著總線向兩個方向傳輸擴散，并且能被總線中任何一個結點所接收。樹形結構是總線型結構的擴展，它是在總線網上加上分支形成的，其傳輸介質可有多條分支，但不形成閉合回路，樹形網是一種分層網，其結構可以對稱，聯系固定，具有一定容錯能力，一般一個分支和結點的故障不影響另一分支結點的工作，任何一個結點送出的信息都可以傳遍整個傳輸介質，也是廣播式網絡。網狀拓撲結構，將多個子網或多個局域網連接起來構成網際拓撲結構。1.2.3局域網

網絡為一個單位所擁有，且地理范圍和站點數目均有限。局域網具有如下特點：網絡所覆蓋的地理范圍比較小。通常不超過幾十千米，甚至只在一個園區(qū)、一幢建筑或一個房間內。數據的傳輸速率比較高，從最初的1Mbps到后來的10Mbps、100Mbps，近年來已達到1000Mbps、10000Mbps。具有較低的延遲和誤碼率，其誤碼率一般為10?8～10?11。便于安裝、維護和擴充，建網成本低、周期短。1.2.4廣域網

廣域網(WAN，WideAreaNetwork)也稱遠程網。通?？缃雍艽蟮奈锢矸秶采w的范圍從幾十公里到幾千公里，它能連接多個城市或國家，或橫跨幾個洲并能提供遠距離通信，形成國際性的遠程網絡。常用的廣域網技術包括：異步撥號、數字數據網(DDN)、專線、幀中繼網絡、異步傳輸模式(ATM)、xDSL和電纜接入等技術。1.2.5城域網

城域網(MetropolitanAreaNetwork；MAN)，一般來說是在一個城市，但不在同一地理小區(qū)范圍內的計算機互聯。在一個大型城市或都市地區(qū)，一個MAN網絡通常連接著多個LAN網。目前主要的寬帶城域網技術方案有三種：新一代SDH多業(yè)務傳輸平臺MSTP城域網、WDM光城域網和光以太網城域網。1.3網絡的介質1.3.1銅介質雙絞線(TP：TwistedPairwire)同軸電纜1.3.2光纜

光纜是為了滿足光學、機械或環(huán)境的性能規(guī)范而制造的，利用置于包覆護套中的一根或多根光纖作為傳輸媒質并可以單獨或成組使用的通信線纜組件。高折射率(纖芯)低折射率(包層)光線在纖芯中傳輸的方式是不斷地全反射1.3.3無線傳輸介質

無線傳輸介質也稱為非導向傳輸介質。隨著技術的發(fā)展和各種應用尤其是移動通信需求的不斷出現，傳統(tǒng)的有線網絡存在的弊端逐漸顯現，并成為影響和限制網絡應用的一個因素。無線通信系統(tǒng)的產生和應用，彌補了有線網絡的不足，成為目前的應用和技術熱點。無線通信的方法有無線電波、微波和紅外線。WLAN概念

無線局域網(WLAN)是一種無線數據網絡，它是以無線方式構建的局域網，或者說，是不需要使用線纜設備相連的局域網絡。WLAN利用電磁波在空氣中發(fā)送和接收數據，而無需線纜介質。今天的大多數WLAN都在使用2.4GHz(802.11b/g)和5GHz(802.11a)的頻段，這是世界范圍內RF頻譜中為非特許設備而保留的頻段。無線局域網常用的實現技術有：家用射頻工作組提出的HomeRF、Bluetooth(藍牙)以及美國的802.11協(xié)議和歐洲的HiperLAN2協(xié)議等。目前無線局域網是以IEEE802.11協(xié)議為基礎的，這是目前無線局域網領域中占主導地位的無線局域網標準。？AnyQuestion第2章以太網技術及交換機基本配置2.1以太網的技術基礎2.1.1以太網發(fā)展歷史20世紀70年代產生于施樂公司最初的以太網使用粗同軸電纜為傳輸介質，為共享式以太網，會產生沖突利用CSMA/CD算法解決共享信道內的信道爭用問題1978年，DEC公司、Intel公司和Xerox擬定了一個針對10Mbps以太網的標準，成為DIX標準1983年，DIX標準演變成IEEE802.3標準隨著以太網技術的發(fā)展，百兆、千兆、萬兆的標準相繼出臺2.1.2IEEE802.3和OSI模型

IEEE802局域網體系結構只對應于OSI／RM的數據鏈路層和物理層，如圖所示，以太網將數據鏈路層的功能劃分到了兩個不同的子層：邏輯鏈路控制(LLC)子層和介質訪問控制(MAC)子層。圖2-1IEEE802局域網體系結構會話層應用層表示層傳輸層網絡層數據鏈路層物理層OSI/RMLLC層MAC層物理層以太網IEEE802參考模型IEEE802.3IEEE802.2對于以太網，IEEE802.2標準規(guī)范LLC子層的功能，而802.3標準規(guī)范MAC子層和物理層的功能。局域網對LLC子層是透明的，只有到MAC子層才能見到具體局域網。局域網鏈路層有兩種不同的數據單元：LLCPDU（LLC子層協(xié)議數據單元）和MAC幀（介質訪問控制子層協(xié)議數據單元）。高層的協(xié)議數據單元傳到LLC子層的時候，會加上適當控制信息，便構成了LLCPDU；LLCPDU再向下傳到MAC子層的時候，也會在首部和尾部加上控制信息，便構成了MAC子層的協(xié)議數據單元MAC幀。2.1.3以太網MAC地址

為協(xié)助確定以太網中的源地址和目的地址，創(chuàng)建了稱為介質訪問控制(MAC)地址的唯一標識符。MAC地址由48比特長，12個的16進制數字組成，0到23位是廠商向IETF等機構申請用來標識廠商的代碼，也稱為“編制上唯一的標識符”（OrganizationallyUniqueIdentifier)，是識別LAN（局域網）結點的標志。MAC地址的24到47位由廠商自行分派，是各個廠商制造的所有網卡的一個唯一編號。在OSI模型中，第三層網絡層負責IP地址，第二層數據鏈路層則負責MAC位址。因此一個網卡會有一個全球唯一固定的MAC地址，但可對應多個IP地址。2.1.4以太網幀結構

以太網網絡中仍然在用的以太網幀結構，主要有四種不同格式，分別為：EthernetII，也稱為DIX2.0，Xerox與DEC、Intel在1982年制定的以太網標準幀格式。Cisco將其稱為ARPA。這是最常見的一種以太網幀格式，也是今天以太網的事實標準。Ethernet802.3raw，Novell在1983年公布的專用以太網標準幀格式。Cisco將其稱為Novell-Ether。Ethernet802.3SAP，IEEE在1985年公布的Ethernet802.3的SAP版本以太網幀格式。Cisco將其稱為SAP。Ethernet802.3SNAP，IEEE在1985年公布的Ethernet802.3的SNAP版本以太網幀格式。Cisco將其稱為SNAP。以太網幀格式在每種以太網幀格式的開頭都有64比特（8字節(jié)）的前導字符，如圖所示。其中，前7個字節(jié)稱為前同步碼（PA），內容是16進制數0xAA，緊跟后1字節(jié)為幀起始標志符（SFD）0xAB，它標識著以太網幀的開始。前導字符的作用是使接收節(jié)點進行同步并做好接收數據幀的準備2.1.5介質訪問控制方法沖突任意時刻信道只能傳輸一路數據每臺主機發(fā)出的數據可以被其他所有主機所接收如果有兩臺主機同時發(fā)送數據，則產生沖突2.1.5介質訪問控制方法

在以太網通信中，節(jié)點都在共享信道的時候，如何保證傳輸信道有序、高效地為許多節(jié)點提供傳輸服務，這就是以太網的介質訪問控制協(xié)議要解決的關鍵問題。目前主要采用帶有沖突檢測的載波監(jiān)聽多路訪問控制技術，即CSMA/CD（CarrierSenseMultipleAccess/CollisionDetect）。CSMA/CD其實現流程是：一個節(jié)點要發(fā)幀之前，必須首先監(jiān)聽信道，以確認共享信道上是否有其它節(jié)點正在發(fā)送幀。如果共享信道空閑，則發(fā)送幀。如果共享信道忙，則使用某種堅持退避算法（ALOHA，即：不堅持；1堅持；p堅持）等待一段時間后重試。在發(fā)送幀的同時，繼續(xù)作載波監(jiān)聽。如果檢測到發(fā)生了沖突，則立即停止發(fā)送幀，同時向共享上廣播一串阻塞信號，以通知信道上其它節(jié)點發(fā)生的沖突。在發(fā)生沖突后，使用退避算法作一段時間的退避，然后重發(fā)。如果重傳次數超過16次時，就認為此幀永遠無法正確發(fā)出，拋棄此幀，并向高層報錯。非堅持算法如果傳輸信道是空閑的，則可以立即發(fā)送如果信道是忙的，則等待一個由概率分布決定的隨機重發(fā)延遲后，再重復前一步驟1-堅持算法如果傳輸信道空閑的，則可以立即發(fā)送如果信道是忙的，則繼續(xù)監(jiān)聽，直至檢測到信道空閑，然后立即發(fā)送如果有沖突（在一段時間內未收到肯定的回復），則等待一個隨機時間，重復步驟前面2步P-堅持算法首先監(jiān)聽總線，如果傳輸信道是空閑的，則以概率P進行發(fā)送，而以（1-P）的概率延遲一個時間單位。一個時間單位通常等于最大傳輸時延的2倍。延遲一個時間單位后，再重復第一步。如果傳輸信道是忙的，則繼續(xù)監(jiān)聽直至信道空閑并重復第一步。集線器：廣播域、沖突域交換機：廣播域、沖突域路由器：廣播域、沖突域2.1.7以太網類型

共享式以太網10BASE510BASE210BASE-T/F交換式以太網10BASE-T/F100BASE-T4/TX/FX1000BASE-T/SX/LX……2.2二層交換機簡介2.2.1交換機的處理技術通用CPU處理技術采用ASIC芯片處理技術采用FPGA處理技術采用NP網絡處理器使用NP+ASIC的體系設計方式是目前網絡交換設備的主要處理技術。2.2.2交換機的工作模式

交換機主要還是采用這三種模式：直接轉發(fā)式、存儲轉發(fā)式和無碎片轉發(fā)式2.2.2交換機的工作模式

直通轉發(fā)：交換機收到幀頭（通常只檢查14個字節(jié)）后立刻察看目的MAC地址并進行轉發(fā)優(yōu)點：速度快、延遲??；缺點：無法保證傳輸數據的可靠性，占用寬帶資源，不支持連接不同網速的網段存儲轉發(fā)：接收完整的幀，執(zhí)行完校驗后，轉發(fā)正確的幀而丟棄錯誤的幀優(yōu)點：提供CRC校驗，保證數據傳輸質量，可以連接不同速度的網段；缺點：轉發(fā)數據量大后會有延時，會增大緩存容量無碎片直通轉發(fā)：交換機讀取前64個字節(jié)后開始轉發(fā)優(yōu)點：可避免數據碎片的轉發(fā)，提高網絡效率64B2.2.3交換機的工作原理

根據第2層MAC地址，通過一種確定性的方法在端口之間來轉發(fā)幀交換機的三項主要功能：學習轉發(fā)/過濾消除環(huán)路MAC地址表：存儲地址到端口的映射關系的數據庫地址學習E0:E1:E2:E3:MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44初始的MAC地址表為空地址學習E0:00-D0-F8-00-11-11E1:E2:E3:MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機A發(fā)給主機D的數據幀將被泛洪，同時MAC地址表中增加主機A和端口E0的映射關系地址學習MAC地址表E0:00-D0-F8-00-11-11E1:E2:E3:00-D0-F8-00-33-33E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機D回復后，它的MAC地址和端口E3的映射關系也將被寫入MAC地址表地址學習MAC地址表E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44隨著這個過程不斷重復，最終建立起完整的MAC地址表轉發(fā)/過濾E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44單播幀依據MAC地址表進行轉發(fā)/過濾轉發(fā)/過濾E0:00-D0-F8-00-11-11E0:00-D0-F8-00-55-55E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主機E：00-D0-F8-00-55-55主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機A：00-D0-F8-00-11-11如果一個端口上連接多臺主機，依然能夠進行過濾2.2.4交換機的主要指標

交換機的背板帶寬，是交換機接口處理器或接口卡和數據總線之間所能吞吐的最大數據量，單位為Gbps，也叫交換帶寬包轉發(fā)率以Mpps（百萬包/每秒）為單位，標志了交換機轉發(fā)數據包能力的大小。端口速率是指交換機接口的數據交換速度。目前常見的有10Mbit/s、100Mbit/s、1000Mbit/s、10GMbit/s幾類。是否支持VLAN。在局域網中，通過VLAN技術邏輯劃分多個網絡區(qū)域，方便網絡管理和提升安全管理。因此，交換交換機是否支持VLAN，是實現網絡區(qū)域劃分的關鍵問題。存儲MAC地址能力。交換機MAC地址表的存儲的數量越大，對數據轉發(fā)的速度和效率就越高。2.3配置二層交換機

通過帶外方式對交換機進行管理通過Telnet對交換機進行遠程管理通過Web對交換機進行遠程管理通過SNMP管理工作站對交換機進行遠程管理利用交換機附帶的Console線纜將交換機的Console端口與主機的串口連接起來，啟動交換機，就可以在主機上的終端軟件進行連接管理了，如Windows系統(tǒng)自帶的超級終端。（1）選擇“開始”“程序”“附件”“超級終端”命令，打開超級終端，按照提示進行配置。其中，在“端口設置”選項卡中各參數設置如下圖所示：2.3.1配置交換機方式簡介

交換端口Console口端口指示燈電源指示燈通過交換機的Console口，使用超級終端工具通過Console線纜連接主機的Com端口通過Telnet方式管理交換機交換機必須已經配置了管理IP地址、密碼等，并開啟Telnet可以使用Windows自帶的Telnet連接工具登錄后界面和Console口連接是一致配置了管理IP地址、密碼等步驟命令含義

步驟1Switch#configureterminal進入全局配置模式

步驟2Switch(config)#linevty04從全局配置模式切換為控制臺

0的線路配置模式。步驟3Switch(config-line)#

passwordcisco將

cisco設置為交換機telnet的口令。使用

nopassword命令從控制臺線路上移除口令。步驟4Switch(config-line)#login將telnet設置為需要輸入口令后才會允許訪問。使用

nologin命令取消在登錄控制臺線路時輸入口令的要求。步驟5Switch(config-line)#exit

回到全局配置模式。步驟6Switch(config)#interfacevlan1進入VLAN1步驟7Switch(config-if)#ipaddress設置VLAN1的IP地址步驟8Switch(config-line)#end通過WEB方式管理交換機交換機必須已經配置了管理IP地址、密碼等，并開啟HTTP登錄后的界面可以使用瀏覽器進行訪問2.3.2使用命令行接口配置交換機

命令模式：設備管理界面分成若干不同的模式，用戶當前所處的命令模式決定了可以使用的命令用戶模式特權模式配置模式開機自動進入：Switch>Switch>enableSwitch#全局模式：Switch#configureterminal

Switch(config)#VLAN模式：Switch(config)#vlan10

Switch(config-vlan)#接口模式：Switch(config)#interfacefastethernet0/0

Switch(config-if)#獲得幫助“？”鍵：列出每個命令模式支持的命令，列出該命令的下一個關聯的關鍵字命令？：列出該關鍵字關聯的下一個變量命令字符串+？：獲得相同開頭字母的命令關鍵字字符串<Tab>鍵：自動補齊剩余命令單詞Help：獲得幫助系統(tǒng)的摘要描述信息Switch#?Switch#show？Switch(config)#snmp-servercommunity?WORDSNMPcommunitystring

Switch#di?dirdisable

Switch#showconf<Tab>Switch#showconfiguration

簡寫命令只需輸入命令關鍵字的一部分字符，只要這部分字符足夠識別唯一的命令關鍵字即可Switch#showrunSwitch#showaccess%Ambiguouscommand:"showaccess"命令行界面的提示信息%Ambiguouscommand:"showc“用戶沒有輸入足夠的字符，網絡設備無法識別唯一的命令。%Incompletecommand.用戶沒有輸入該命令的必需的關鍵字或者變量參數。%Invalidinputdetectedat‘^’marker.用戶輸入命令錯誤，符號（^）指明了產生錯誤的單詞的位置。2.3.3交換機的基本管理配置管理系統(tǒng)的日期和時間switch#clocksethh:mm:ssdaymonthyearhh:mm:ssday：小時(24小時制)，分鐘和秒day:日，范圍1－31month:月，范圍1－12year:年，注意不能使用縮寫。系統(tǒng)名稱

為了管理的方便，給交換機取名，我們可以使用hostname命令為一臺交換機配置系統(tǒng)名稱。如果沒有為配置系統(tǒng)名稱，即缺省名為“Switch”。Switch>enableSwitch#configureterminalSwitch(config)#hostnameswitch123Switch123（config）#end創(chuàng)建標題當用戶登錄交換機時，我們可能需要告訴用戶一些必要的信息。我們可以通過設置標題來達到這個目的。Switch(config)#bannermotd&。。。。。。。&管理地址表MAC

交換機需要構建和維護一張MAC地址表，MAC地址表包含了用于端口間報文轉發(fā)的地址信息。MAC地址表包含了動態(tài)、靜態(tài)、過濾三種類型的地址：動態(tài)地址是交換機通過接收到的報文自動學習到的MAC地址，交換機會通過學習新的地址和老化掉不再使用的地址來不斷更新其動態(tài)地址表。當交換機復位后，交換機學習到的所有動態(tài)地址都將丟失，交換機需要重新學習這些地址。靜態(tài)地址是手工添加的MAC地址。靜態(tài)地址和動態(tài)地址功能相同，不過相對動MAC態(tài)地址而言，靜態(tài)地址只能手工進行配置和刪除，不能學習和老化，靜態(tài)地址將保存到配置文件中，即使交換機復位，靜態(tài)地址也不會丟失。過濾地址是手工添加的地址。當交換機接收到以過濾地址為源地址的包時將會直接丟棄。過濾MAC地址永遠不會被老化，只能手工進行配置和刪除，過濾地址將保存到配置文件中，即使交換機復位，過濾地址也不會丟失。MAC地址表的缺省配置內容

缺省設置

地址表老化時間

300秒

動態(tài)地址表

自動學習

靜態(tài)地址表

沒有配置任何靜態(tài)地址

過濾地址表

沒有配置任何過濾地址

增加和刪除靜態(tài)地址表項如果我們要增加一個靜態(tài)地址，就需要指定MAC地址（包的目的地址）、VLAN（這個靜態(tài)地址將加入哪個VLAN的地址表中）、接口（目的地址為指定MAC地址的包將被轉發(fā)到的接口）。switch(config)#mac-address-tablestaticmac-addrvlanvlan-idinterfaceinterface-id！增加一個靜態(tài)地址表項switch(config)#nomac-address-tablestaticmac-addrvlanvlan-idinterfaceinterface-id！刪除一個指定的靜態(tài)地址表項刪除動態(tài)MAC地址表switch#clearmac-address-tabledynamic

刪除交換機上所有的動態(tài)地址switch#clearmac-address-tabledynamicaddressmac-add刪除一個特定MAC地址，即指定mac-add2.3.4交換機接口的基本配置

交換機接口可分為AccessPort和TrunkPortAccessPort和TrunkPort的配置必須通過switchport接口配置命令手動配置。端口為accessport時，該端口只能屬于一個VLAN，端口為Trunkport時，該端口傳輸屬于多個VLAN的幀，缺省情況下Trunkport將傳輸所有VLAN的幀，可通過設置VLAN許可列表來限制trunkport傳輸哪些VLAN的幀。接口編號規(guī)則對于SwitchPort（交換機端口），其編號由兩個部分組成：插槽號，端口在插槽上的編號。插槽的編號是從0~N（N表示插槽的個數）。插槽的編號規(guī)則是：面對交換機的面板，插槽按照從前至后，從左至右，從上至下的順序一次排列，對應的插槽號從0開始依次增加。插槽上的端口編號是從1~M（M表示插槽上的端口數），編號順序是從左到右。接口配置命令的使用進入接口和退出接口的操作switch#configureterminal!進入全局配置模式switch(config)#interfacegigabitethernet2/1！進入gigabitethernet2/1接口模式switch(config-if)#！在接口下使用end退回到特權模式switch#配置接口的速度，雙工，流控步驟命令含義步驟1switch#configureterminal進入全局配置模式步驟2switch(config)#

interfaceif-id進入接口if-id配置模式。步驟3switch(config-if)#speed{10|100|1000|auto}設置接口的速率參數，或者設置為auto。注意：1000只對千兆端口有效步驟4switch(config-if)#duplex{auto|ful|half}設置接口的雙工模式。步驟5switch(config-if)#flowcontrol{auto|on|ff}設置接口的流控模式。注意：當speed,duplex,flowcontrol都設為非auto模式時，該接口關閉自協(xié)商過程步驟6switch(config-if)#end回到特權模式。步驟7switch#showfastethernetif-id查看交換機端口的配置信息查看交換機的系統(tǒng)和配置信息

序號命令含義

1switch#showversion顯示系統(tǒng)、版本信息2switch#showversiondevices顯示交換機當前的設備信息3switch#showversionslots顯示交換機當前的插槽和模塊信息4switch#showrunning-config查看交換機當前生效的配置信息5switch#showservice顯示交換機上TelnetServer，WebServer，SNMPAgent的當前狀態(tài)6switch#showmac-address-table顯示交換機MAC地址（動態(tài)、靜態(tài)、過濾）8switch#showvlan顯示VLAN設置信息9switch#showinterfaces顯示交換機接口信息10switch#show?顯示show命令可用的參數幫助信息2.5生成樹協(xié)議交換網絡內的冗余拓撲減少單點故障，增加網絡可靠性產生交換環(huán)路，會導致：廣播風暴多幀復制MAC地址表抖動SW1SW2SW3F0/2F0/2F0/1F0/1F0/1F0/2文件服務器

廣播風暴廣播信息在網絡中不停地轉發(fā)，直至導致交換機出現超負荷運轉，最終耗盡所有帶寬資源、阻塞全網通信SW1SW2F0/2F0/2F0/1F0/1廣播廣播主機A主機B

多幀復制單播的數據幀被多次復制傳送到目的站點SW1SW2F0/2F0/2F0/1F0/1單播單播主機A主機B

MAC地址表抖動由于相同幀的拷貝在交換機的不同端口上被接收而引起的MAC地址表不穩(wěn)定SW1SW2F0/2F0/2F0/1F0/1單播單播主機A主機BF0/1：主機AF0/2：主機A？F0/1：主機BF0/2：主機B？

2.5.1生成樹協(xié)議概述IEEE802.1dSTP（生成樹協(xié)議，Spanning-TreeProtocol）協(xié)議：使冗余端口置于“阻塞狀態(tài)”網絡中的計算機在通信時，只有一條鏈路生效當這個鏈路出現故障時，將處于“阻塞狀態(tài)”的端口重新打開，從而確保網絡連接穩(wěn)定可靠SW1SW2SW3F0/2F0/2F0/1F0/1F0/1F0/2

快速生成樹協(xié)議RSTP（RapidSpanningTreeProtocol）：對STP的補充，在物理拓撲變化或配置參數發(fā)生變化時，能夠顯著地減少網絡拓撲的重新收斂時間定義了2種新增加的端口角色，用于取代阻塞端口：替代（alternate）端口AP：為根端口到根網橋的連接提供了替代路徑備份（backup）端口BP：提供了到達同段網絡的備份路徑RootBridgeDPDPRPAPDPBP

RSTP的優(yōu)點為根端口和指定端口設置了快速切換用的替換端口（AlternatePort）和備份端口（BackupPort）兩種角色在只連接了兩個交換端口的點對點鏈路中，指定端口只需與下游網橋進行一次握手就可以無時延地進入轉發(fā)狀態(tài)邊緣端口可以直接進入轉發(fā)狀態(tài)，不需要任何延時

2.5.2STP與RSTPRSTP協(xié)議與STP協(xié)議完全兼容RSTP協(xié)議根據收到的BPDU版本號來自動判斷與之相連的交換機支持STP協(xié)議還是RSTP協(xié)議2.5.3生成樹協(xié)議配置

SpanningTree的缺省配置項目缺省值EnableStateDisable，不打開STPSTPPriority32768STPPortPriority128STPPortcost根據端口速率自動判斷，計算方法為長整型HelloTime2sForward-delayTime15sMax-ageTime20sLinkType根據端口雙工狀態(tài)自動判斷SpanningTree的配置恢復缺省配置Switch(config)#spanning-treereset

打開、關閉STPSwitch(config)#spanning-treeSwitch(config)#no

spanning-tree注意：銳捷交換機默認關閉spanningtree修改生成樹協(xié)議的類型Switch(config)#spanning-treemode{mstp|stp|rstp}

注意：默認為MSTPSpanningTree的配置配置交換機的優(yōu)先級

Switch(config)#spanning-treepriority

<0-61440>注意：網橋優(yōu)先級配置只能為4096的倍數配置端口的優(yōu)先級

Switch(config-if)#spanning-treeport-priority

<0-240>注意：端口優(yōu)先級配置只能為16的倍數配置端口的路徑成本

Switch(config-if)#spanning-treecost

cost

配置端口路徑成本的默認計算方法

Switch(config)#spanning-treepath-costmethod{long|short}注意：默認值為長整型（long）

接口速率端口類型IEEE802.1dIEEE802.1w10M普通端口1002000000AggregateLink951900000100M普通端口19200000AggregateLink181900001000M普通端口420000AggregateLink319000配置HelloTime、Forward-delayTime和Max-ageTime

Switch(config)#spanning-treehello-time|forward-time|max-ageseconds

配置鏈路類型

Switch(config-if)#spanning-treelink-type{point-to-poin|shared}查看生成樹的配置

Switch#showspanning-treeSwitch#showspanning-treeinterfaceinterface-id生成樹配置實例SW1:32768.00-d0-f8-b4-e5-4bF0/3F0/2F0/2F0/1F0/1F0/4SW2:32768.00-d0-f8-06-1c-91SW4:32768.00-d0-f8-21-a5-42SW3:32768.00-d0-f8-82-f4-a1將成為RootBridgeF0/4F0/3將成為RootPoot要求成為根網橋要求成為根端口生成樹配置實例SW1：S3760(config)#hostnameSW1SW1(config)#spanning-treeSW1(config)#spanning-treemoderstpSW1(config)#spanning-treepriority4096spanning-treevlan10rootprimarySW2：S3760(config)#hostnameSW2SW2(config)#spanning-treeSW2(config)#spanning-treemoderstp生成樹配置實例SW3：S3750(config)#hostnameSW3SW3(config)#spanning-treeSW3(config)#spanning-treemoderstpSW4：S3750(config)#hostnameSW4SW4(config)#spanning-treeSW4(config)#spanning-treemoderstpSW4(config)#spanning-treepriority24576查看生成樹的配置SW1#showspanning-treeStpVersion:RSTPSysStpStatus:ENABLEDMaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:DisabledBridgeAddr:00d0.f8b4.e54bPriority:4096TimeSinceTopologyChange:0d:0h:2m:42sTopologyChanges:7DesignatedRoot:1000.00d0.f8b4.e54bRootCost:0RootPort:0

2.6系統(tǒng)日志管理啟用系統(tǒng)日志系統(tǒng)日志默認是打開的。當系統(tǒng)日志開關打開時，由日志進程決定日志信息向哪個目的發(fā)送。我們可以在全局模式下使用如下命令設置系統(tǒng)日志開關。Switch(config)#nologgingon!關閉系統(tǒng)日志Switch(config)#loggingon!打開系統(tǒng)日志配置系統(tǒng)日志信息的發(fā)送在全局模式下使用以下一條或幾條命令指定接收日志信息。（1）將日志信息記錄到內部緩沖Switch(config)#loggingbuffered{Loggingbuffersize}其中，Loggingbuffersize范圍從4096-2147483647（2）將日志信息向控制臺發(fā)送Switch(config)#loggingconsole（3）將日志記錄到UNIX系統(tǒng)日志服務器。Switch(config)#logginghostHost可以是系統(tǒng)日志服務器的計算機名稱或IP地址配置日志消息的時間戮

Switch(Config)#servicetimestampslogdatetimemsec當時間戳功能打開時，源設備發(fā)出的系統(tǒng)信息中有該信息產生時的日期和時間，該功能默認是打開本地時間，在沒有系統(tǒng)時鐘的設備上，默認是打開系統(tǒng)上電時間。在默認情況下，日志消息沒有時間戳。若要禁用調試和log消息的時間標簽，可使用“noservicetimestamps”全局配置指令。顯示記錄配置通常，我們可以在交換機上直接使用showlogging命令顯示當前的日志配置以及日志緩沖中的內容。舉例如下：Switch#showlogging？AnyQuestion第三章

虛擬局域網(VLAN)培養(yǎng)目標知識目標：理解虛擬局域網的概念、用途和優(yōu)點理解虛擬局域網的類型掌握802.1Q標準掌握VLAN的配置方法掌握Trunk的配置方法能力目標：在交換機上劃分基于端口的VLAN。給VLAN內添加端口。一、知識準備知識準備VLAN概述VLAN的定義方法VLAN的標準VLAN和Trunk的配置準備知識（一）VLAN概述為什么需要分割廣播域？交換網絡是平面網絡結構，必須依賴廣播廣播域過大會導致：帶寬浪費安全性降低不易管理分割廣播域的方法使用路由器連接多個子網使用虛擬局域網VLANVLAN的概念虛擬局域網（VirtualLocalAreaNetwork，VLAN）位于一個或多個局域網的設備經過配置能夠像連接到同一個信道那樣進行通信，而實際上它們分布在不同的局域網段中，采用邏輯上劃分方式而不是物理劃分網段的方式。交換機廣播幀廣播幀VLAN10VLAN20VLAN的概念VLAN的特點：基于邏輯的分組不受物理位置限制在同一VLAN內和真實局域網相同不同VLAN內用戶要通信需要借助三層設備VLAN的用途控制不必要的廣播報文的擴散提高網絡帶寬利用率，減少資源浪費劃分不同的用戶組，對組之間的訪問進行限制增加安全性與物理位置無關的VLAN計算機系網絡工程系文化藝術系一層二層六層。。。。。。VLAN的優(yōu)點限制廣播包安全性虛擬工作組減少移動和改變的代價VLAN的定義方法基于端口的VLAN根據以太網交換機的端口來劃分基于MAC地址的VLAN根據每個主機網卡的MAC地址來劃分基于網絡層的VLAN根據每個主機的網絡層地址或協(xié)議類型（如果支持多協(xié)議）劃分的基于IP組播的VLAN一個組播組就是一個VLAN基于端口的VLAN目前最常用的劃分VLAN的方法，優(yōu)點是定義VLAN成員時非常簡單，只要將所有的接口定義一次就可以了。缺點是，如果某VLAN的用戶離開了原來的接口，在移到一個新的交換機接口時就必須重新定義。VLAN1024681012141618202224VLAN201357911131517192123Page119基于MAC劃分VLANVLAN信息表VLAN10VLAN20VLAN30主機AMAC主機BMAC主機CMAC主機DMACPort4Port2Port1Port3主機C主機A主機B主機DPage120基于IP網段劃分VLANVLAN信息表Port4Port2Port1VLAN10VLAN20VLAN301.1.1.*1.1.2.*1.1.3.*Port3主機CIP:主機AIP:主機BIP:主機DIP:Page121VLAN信息表VLAN10VLAN20VLAN30IP協(xié)議號..IPX協(xié)議號..運行IPX協(xié)議運行IP協(xié)議運行IPX協(xié)議運行IP協(xié)議基于協(xié)議劃分VLANPort4Port2Port1Port3VLAN的標準不同交換機上的相同VLAN之間如何連接？如果一個VLAN的成員分布在不同的交換機上，它們之間互通時，如果在每個VLAN內部連接一條鏈路，會造成端口的極大消耗。VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q802.1Q的出現為標識帶有VLAN成員信息的以太幀建立了標準方法。定義了基于端口的VLAN模型規(guī)定如何標識帶有VLAN成員信息的以太幀定義VLAN標簽的格式VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30Page124VLAN標簽介紹DASATYPEDATAFCSSAFCSDATATYPETAGDAUntaggedframeTaggedframePRIVLANID（12b）CFI0x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2B802.1Q幀格式標簽協(xié)議字段，說明該幀具有802.1q標簽標簽控制信息字段理論上支持4096個VLAN，VLAN=0用于識別優(yōu)先級，4095作為預留值。交換機的端口交換機上的二層接口成為Switchport，只有二層交換功能ACCESS端口UnTagged端口，即接入端口Access端口只能屬于一個VLAN，它發(fā)送的幀不帶有VLAN標簽，一般用于連接計算機的端口Trunk端口TagAware端口，即干道接口可以允許多個VLAN通過，它發(fā)出的幀一般是帶有VLAN標簽的，一般用于交換機之間連接的端口802.1Q的缺省VLAN一個802.1Q的Trunk端口有一個缺省VLAN的ID值802.1Q不為缺省VLAN的幀打標簽沒有打標簽的VLAN流量（缺省VLAN）VLAN3VLAN2VLAN1VLAN3VLAN2VLAN1TrunkTrunk集線器準備知識（二）VLAN和Trunk的配置VLAN定義的步驟首先添加VLAN為端口分配VLAN跨交換機的VLAN通信，配置Trunk口VLAN的配置添加或者修改VLAN刪除VLANSwitch(config)#vlan

vlan-id

Switch(config-vlan)#name

vlan-name

Switch(config)#novlan

vlan-id

VLAN的配置查看VLANSwitch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410銷售active20財務active30工程active向VLAN內添加端口將端口分配給一個VLANSwitch(config)#interface

interface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccess

vlan

vlan-id配置VLANTrunk將端口設置成Trunk端口指定Trunk端口的缺省VLAN默認的缺省VLAN是VLAN1Trunk鏈路兩端必須一致Switch(config)#interface

interface-id

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunknativevlan

vlan-id

啟用和關閉TRUNK功能注意：1、如果開啟三層交換機上的trunk功能，使用noswitchport接口配置命令。

2、如果想把一個Trunk接口的所有Trunk相關屬性都復位成默認值請用noswitchporttrunk接口配置命令。

配置VLANTrunk舉例TrunkF0/1F0/1Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end配置VLANTrunk舉例Switch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15配置VLANTrunk舉例Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists

Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists

Fa0/1On1All定義Trunk端口的許可VLAN列表all：許可列表包含所有支持的VLANadd：將指定VLAN列表加入許可VLAN列表。remove：將指定VLAN列表從許可VLAN列表中刪除。except：將除列出的VLAN列表外的所有VLAN加入許可VLAN列表如：在干道接口上配置switch(config-if)#switchporttrunkallowedvlan20，那么VLAN20的數據就無法通過該干道接口。Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

三、劃分VLAN案例網絡拓撲結構圖PC1PC2PC3VLAN10VLAN20VLAN10F0/6F0/11F0/1F0/1F0/6L3-SWL2-SWVLAN10為計算機系教學設備VLAN20為網絡工程系教學設備百兆雙絞線2.網絡設備配置步驟第一步：配置兩臺交換機的主機名

Switch#configureterminalSwitch(config)#hostnameL2-SWL2-SW(config)#

S3750#configureterminalS3750(config)#hostnameL3-SWL3-SW(config)#第二步：在三層交換機上劃分VLAN添加端口L3-SW(config)#vlan10L3-SW(config-vlan)#namejsj！劃分計算機系的VLAN10L3-SW(config-vlan)#vlan20L3-SW(config-vlan)#namewlgc！劃分網絡工程系的VLAN20L3-SW(config-vlan)#exitL3-SW(config)#L3-SW(config)#interfacerangefastEthernet0/6-10！將端口Fa0/6至Fa0/10劃分到VLAN10L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan10L3-SW(config-if-range)#exitL3-SW(config)#interfacerangefastEthernet0/11-15！將端口Fa0/11至Fa0/15劃分到VLAN20L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan20L3-SW(config-if-range)#exitL3-SW(config)#第三步：在二層交換機上劃分VLAN添加端口L2-SW(config)#vlan10L2-SW(config-vlan)#namejsj！劃分計算機系的VLAN10L2-SW(config-vlan)#vlan20L2-SW(config-vlan)#namewlgc！劃分網絡工程系的VLAN20L2-SW(config-vlan)#exitL2-SW(config)#L2-SW(config)#interfacerangefastEthernet0/6-10！將端口Fa0/6至Fa0/10劃分到VLAN10L2-SW(config-if-range)#switchportmodeaccessL2-SW(config-if-range)#switchportaccessvlan10L2-SW(config-if-range)#exitL2-SW(config)#第四步：設置交換機之間的鏈路為TrunkL3-SW(config)#interfacefastEthernet0/1L3-SW(config-if)#switchportmodetrunkL3-SW(config-if)#switchporttrunkencapsulationdot1qL3-SW(config-if)#exitL2-SW(config)#interfacefastEthernet0/1L2-SW(config-if)#switchportmodetrunkL2-SW(config-if)#switchporttrunkencapsulationdot1qL2-SW(config-if)#exit第五步：查看VLAN和Trunk的配置L2-SW#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/11Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20