利用VLAN技術(shù)為企業(yè)開(kāi)創(chuàng)網(wǎng)絡(luò)管理新時(shí)代

1、XXX學(xué)院 利用VLAN技術(shù)為企業(yè)開(kāi)創(chuàng)網(wǎng)絡(luò)管理新時(shí)代 PAGE IV利用VLAN技術(shù)為企業(yè)開(kāi)創(chuàng)網(wǎng)絡(luò)管理新時(shí)代摘要VLAN (虛擬擬局域網(wǎng)網(wǎng))是一一個(gè)在物物理網(wǎng)絡(luò)絡(luò)上根據(jù)據(jù)用途，工工作組、應(yīng)應(yīng)用等來(lái)來(lái)邏輯劃劃分的局局域網(wǎng)絡(luò)絡(luò)，是一一個(gè)廣播播域，是是目前應(yīng)應(yīng)用比較較廣泛的的一種網(wǎng)網(wǎng)絡(luò)管理理手段。在在早期的的采用交交換技術(shù)術(shù)的網(wǎng)絡(luò)絡(luò)模式中中，對(duì)于于網(wǎng)絡(luò)結(jié)結(jié)構(gòu)的劃劃分采用用的僅僅僅是物理理網(wǎng)段的的劃分的的手段。這這樣的網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)從效率率和安全全性的角角度來(lái)考考慮都是是有所欠欠缺的，而目前企業(yè)網(wǎng)絡(luò)管理中VLAN的應(yīng)用已經(jīng)比較廣泛了，利用VLAN技術(shù)，可以為企業(yè)降低網(wǎng)絡(luò)管理成本和提升網(wǎng)絡(luò)運(yùn)行和管理效率。

2、由于VLAN中的網(wǎng)絡(luò)用戶(hù)是通過(guò)LAN交換機(jī)來(lái)通信的，所以對(duì)于企業(yè)各部門(mén)之間的信息安全也有很大的保證。本文主要探討的是VLAN (虛擬局域網(wǎng)) 技術(shù)在企業(yè)網(wǎng)絡(luò)管理和應(yīng)用。關(guān)鍵詞: VLAAN，網(wǎng)網(wǎng)絡(luò)管理理，應(yīng)用用VLAN (Viirtuual LANN) iis aa phhysiicall neetwoork on thee baasiss off usse, thee woorkiing grooup, apppliicattionn too thhe llogiicall diivissionn off loocall arrea nettworrk, a bbroaadcaast dom

3、mainn, iis uusedd wiidelly iin aa neetwoork mannageemennt ttooll. IIn tthe earrly adooptiion of swiitchhingg teechnnoloogy nettworrk mmodeel, nettworrk sstruuctuure forr thhe ddiviisioon oof tthe phyysiccal nettworrk ssegmmentt iss onnly useed bby tthe divvisiion meaans. Thhis nettworrk sstruuctuure

4、 froom tthe effficiienccy aand saffetyy poointt off viiew is lacckinng, andd thhe ccurrrentt maanaggemeent VLAAN oof tthe entterpprisse nnetwworkk apppliicattionns hhavee beeen morre eexteensiive, annd tthe usee off VLLAN tecchnoologgy, nettworrk mmanaagemmentt foor eenteerprrisees tto rreduuce coss

5、ts andd immproove nettworrk mmanaagemmentt effficcienncy . AAs tthe useer VVLANN inn thhe nnetwworkk swwitcch tto HHexiingmmuniicatte tthrooughh a LANN, sso bbetwweenn thhe vvariiouss deeparrtmeentss foor ccorpporaate infformmatiion seccuriity is alsso aa grreatt guuaraanteee. Thiis aartiiclee exxpl

6、ooress thhe VVLANN (VVirttuall LAAN) tecchnoologgy iin tthe entterpprisse nnetwworkk maanaggemeent andd apppliicattionns.Keywoordss: VVLANN, nnetwworkk maanaggemeent, apppliicattionn目錄TOC o 1-4 h z u HYPERLINK l _Toc306092653 利用VLAAN技術(shù)術(shù)為企業(yè)業(yè)開(kāi)創(chuàng)網(wǎng)網(wǎng)絡(luò)管理理新時(shí)代代 PAGEREF _Toc306092653 h I HYPERLINK l _Toc30609

7、2654 第一章 緒緒論 PAGEREF _Toc306092654 h 1 HYPERLINK l _Toc306092655 第二章 VVLANN與企業(yè)業(yè)網(wǎng)絡(luò)管管理的設(shè)設(shè)計(jì)與分分析 PAGEREF _Toc306092655 h 3 HYPERLINK l _Toc306092656 2.3 拓拓?fù)浣Y(jié)構(gòu)構(gòu)分析 PAGEREF _Toc306092656 h 3 HYPERLINK l _Toc306092657 2.4 設(shè)設(shè)備選型型 PAGEREF _Toc306092657 h 4 HYPERLINK l _Toc306092658 第三章 VVLANN的具體體配置與與應(yīng)用 PAGERE

8、F _Toc306092658 h 6 HYPERLINK l _Toc306092659 3.1 VVLANN的劃分分原則 PAGEREF _Toc306092659 h 6 HYPERLINK l _Toc306092660 3.2 VVLANN的劃分分策略 PAGEREF _Toc306092660 h 6 HYPERLINK l _Toc306092661 3.3 VVLANN的詳細(xì)細(xì)設(shè)置 PAGEREF _Toc306092661 h 7 HYPERLINK l _Toc330600926662 3.33.1管管理部門(mén)門(mén)子網(wǎng)VVLANN設(shè)置 PAGEREF _Toc306092662

9、 h 7 HYPERLINK l _Toc306092663 3.3.22 其他他下屬部部門(mén)子網(wǎng)網(wǎng)VLAAN設(shè)置置 PAGEREF _Toc306092663 h 8 HYPERLINK l _Toc306092664 3.4 企企業(yè)網(wǎng)絡(luò)絡(luò)ACLL設(shè)置 PAGEREF _Toc306092664 h 11 HYPERLINK l _Toc30609926665 第四章章 VLLAN與與企業(yè)網(wǎng)網(wǎng)絡(luò)安全全 PAGEREF _Toc306092665 h 12 HYPERLINK l _Toc306092666 4.1 常常見(jiàn)的VVLANN攻擊 PAGEREF _Toc306092666 h 12

10、HYPERLINK l _Toc306092667 4.1.11 8002.11Q 和和 ISSL 標(biāo)標(biāo)記攻擊擊 PAGEREF _Toc306092667 h 12 HYPERLINK l _Toc30609226688 4.11.2 雙封裝裝8022.1QQ/嵌套套式 VVLANN 攻擊擊 PAGEREF _Toc306092668 h 12 HYPERLINK l _Toc306092669 4.1.33 VLLAN跳跳躍攻擊擊 PAGEREF _Toc306092669 h 12 HYPERLINK l _Toc306092670 4.4.44 VTTP攻擊擊 PAGEREF _Toc

11、306092670 h 13 HYPERLINK l _Toc30609226711 4.22 TRRUNKK接口的的安全性性 PAGEREF _Toc306092671 h 13 HYPERLINK l _Toc306092672 4.3 VVTP裁裁剪 PAGEREF _Toc306092672 h 14 HYPERLINK l _Toc306092673 第五章 總總結(jié) PAGEREF _Toc306092673 h 17 HYPERLINK l _Toc306092674 參考文獻(xiàn) PAGEREF _Toc306092674 h 18 HYPERLINK l _Toc306092675

12、 致謝 PAGEREF _Toc306092675 h 199第41頁(yè) 共45頁(yè)第一章 緒緒論1.1 VVLANN介紹VLAN是是英文VVirttuall Loocall Arrea Nettworrk的縮縮寫(xiě)，即即虛擬局局域網(wǎng)。VLAAN允許許處于不不同地理理位置的的網(wǎng)絡(luò)用用戶(hù)加入入一個(gè)邏邏輯子網(wǎng)網(wǎng)中，共共享一個(gè)個(gè)廣播域域。通過(guò)過(guò)對(duì)VLLAN的的創(chuàng)建可可以控制制廣播風(fēng)風(fēng)暴的產(chǎn)產(chǎn)生，從從而提高高交換式式網(wǎng)絡(luò)的的整體性性能和安安全性。VLAN 是指處于不同物理位置的節(jié)點(diǎn)根據(jù)需要組成不同的邏輯子網(wǎng)，即一個(gè)VLAN 就是一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備。VLAN 允許處于不同地理位置的網(wǎng)絡(luò)用戶(hù)

13、加入到一個(gè)邏輯子網(wǎng)中，共享一個(gè)廣播域。通過(guò)對(duì)VLAN 的創(chuàng)建可以控制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。同一個(gè)VLAN 中的端口可以接受VLAN 中的廣播包，別的VLAN 中的端口則接收不到。VLAN對(duì)對(duì)于網(wǎng)絡(luò)絡(luò)用戶(hù)來(lái)來(lái)說(shuō)是完完全透明明的，用用戶(hù)感覺(jué)覺(jué)不到使使用中與與交換式式網(wǎng)絡(luò)有有任何的的差別，但但對(duì)于人人員則有有很大的的不同，因因?yàn)檫@主主要取決決于VLLAN的的幾點(diǎn)優(yōu)優(yōu)勢(shì)：1.對(duì)網(wǎng)網(wǎng)絡(luò)中的的廣播風(fēng)風(fēng)暴的控控制；2.提高高網(wǎng)絡(luò)的的整體安安全性，通通過(guò)路由由訪(fǎng)問(wèn)列列表、MMAC地地址分配配等VLLAN劃劃分原則則，可以以控制用用戶(hù)的訪(fǎng)訪(fǎng)問(wèn)權(quán)限限和邏輯輯網(wǎng)段的的大??；3.網(wǎng)絡(luò)絡(luò)

14、管理的的簡(jiǎn)單、直直觀(guān)。1.2 VVLANN在企業(yè)網(wǎng)絡(luò)絡(luò)管理中中的應(yīng)用用在企業(yè)網(wǎng)絡(luò)絡(luò)剛剛興興起之時(shí)時(shí)，由于于企業(yè)網(wǎng)網(wǎng)絡(luò)規(guī)模模小、應(yīng)應(yīng)用范圍圍的局限限性、對(duì)對(duì)Intternnet接接入的認(rèn)認(rèn)識(shí)程度度、網(wǎng)絡(luò)絡(luò)及管理理的貧乏乏等原因因，使得得企業(yè)網(wǎng)網(wǎng)僅僅限限于交換換模式的的狀態(tài)。交交換技術(shù)術(shù)主要有有兩種方方式:基基于的幀幀交換和和基于的的信元交交換，LLAN交交換機(jī)的的每一個(gè)個(gè)端口均均為自己己獨(dú)立的的碰撞域域，但同同時(shí)對(duì)于于所有處處于一個(gè)個(gè)IP網(wǎng)網(wǎng)段或IIPX網(wǎng)網(wǎng)段的來(lái)來(lái)說(shuō)，卻卻同在一一個(gè)域中中，當(dāng)工工作站的的數(shù)量較較多、信信息流很很大的時(shí)時(shí)候，就就容易形形成，甚甚者造成成網(wǎng)絡(luò)的的癱瘓。在采用交換換技

15、術(shù)的的網(wǎng)絡(luò)模模式中，對(duì)對(duì)于網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)的的劃分采采用的僅僅僅是物物理網(wǎng)段段的劃分分的手段段。這樣樣的網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)從從效率和和安全性性的角度度來(lái)考慮慮都是有有所欠缺缺的，而而且在很很大程度度上限制制了網(wǎng)絡(luò)絡(luò)的靈活活性，如如果需要要將一個(gè)個(gè)廣播域域分開(kāi)，那那么就需需要另外外購(gòu)買(mǎi)交交換機(jī)并并且要人人工重新新布線(xiàn)。由由此，需需要進(jìn)行行虛擬網(wǎng)網(wǎng)絡(luò)(VVLANN)設(shè)置置。1.3 案案例需求求分析在XX企業(yè)業(yè)中，下下屬有多多個(gè)二級(jí)級(jí)單位，在在各單位位的孤立立網(wǎng)絡(luò)進(jìn)進(jìn)行互連連時(shí)，出出于對(duì)不不同職能能部門(mén)的的管理、安安全和整整體網(wǎng)絡(luò)絡(luò)的穩(wěn)定定運(yùn)行，因因此有必必要進(jìn)行行VLAAN的劃劃分?，F(xiàn)三部分應(yīng)應(yīng)公司的的要求聯(lián)聯(lián)

16、網(wǎng)，網(wǎng)網(wǎng)絡(luò)的互互連仍采采用千兆兆帶寬，但但因三部部分網(wǎng)絡(luò)絡(luò)均采用用了千兆兆以太網(wǎng)網(wǎng)技術(shù)，為為了不在在主干形形成瓶頸頸，因此此各子網(wǎng)網(wǎng)的互連連采用技技術(shù)，即即雙千兆兆技術(shù)，使使網(wǎng)絡(luò)帶帶寬達(dá)到到4G，如如此既增增加了帶帶寬，又又提供了了鏈路的的冗余，提提高了整整體網(wǎng)絡(luò)絡(luò)的高速速、穩(wěn)定定、安全全運(yùn)行性性能。三網(wǎng)主干均均采用的的是技術(shù)術(shù)，起點(diǎn)點(diǎn)的高定定位為企企業(yè)的信信息應(yīng)用用帶來(lái)了了高速、穩(wěn)穩(wěn)定、符符合國(guó)際際標(biāo)準(zhǔn)的的網(wǎng)絡(luò)平平臺(tái)。公公司中心心交換機(jī)機(jī)采用的的是的CCataalysst 665066，帶有有三層路路由的引引擎使得得企業(yè)網(wǎng)網(wǎng)具有將將來(lái)升級(jí)級(jí)的能力力;同時(shí)時(shí)各二級(jí)級(jí)單位的的中心交交換機(jī)采采用的

17、亦亦是Ciiscoo的Caatallystt 40006;各二級(jí)級(jí)、三級(jí)級(jí)交換機(jī)機(jī)則采用用的是CCiscco的CCataalysst 335000系列，主主要因?yàn)闉镃attalyyst 35000系列列交換機(jī)機(jī)的高性性能和可可堆疊能能力?？紤]到該網(wǎng)網(wǎng)絡(luò)規(guī)模模的擴(kuò)大大化，信信息流量量的加大大，人員員的復(fù)雜雜化等原原因，為為該企業(yè)網(wǎng)網(wǎng)絡(luò)的安安全性、穩(wěn)穩(wěn)定性、高高效率運(yùn)運(yùn)行帶來(lái)來(lái)了新的的隱患。由由此引發(fā)發(fā)了VLLAN的的劃分。對(duì)于VLAAN的劃劃分，應(yīng)應(yīng)公司的的需求，先先將各部門(mén)子子網(wǎng)的IIP地址址分配為為：企業(yè)部門(mén)起始IP結(jié)束IP網(wǎng)關(guān)地址管理部門(mén)子子網(wǎng)192.1168.98.1/222192.11

18、68.99.2544/222192.1168.98.1財(cái)務(wù)部門(mén)子子網(wǎng)192.1168.1.11/222192.1168.2.2254/22192.1168.2.11供銷(xiāo)部門(mén)子子網(wǎng)192.1168.3.11/222192.1168.5.2254/22192.1168.3.11售后部門(mén)子子網(wǎng)192.1168.6.11/222192.1168.7.2254/22192.1168.6.11服務(wù)器子網(wǎng)網(wǎng)192.1168.80.1/224192.1168.80.20/24根據(jù)服務(wù)器器類(lèi)型給給定其他子網(wǎng)192.1168.8.11/222192.1168.10.2544/222根據(jù)情況給給定根據(jù)上述IIP地址

19、址分配情情況，不不難看出出各子網(wǎng)網(wǎng)的網(wǎng)絡(luò)絡(luò)終端數(shù)數(shù)均可達(dá)達(dá)到2554臺(tái)，完完全滿(mǎn)足足目前或或?qū)?lái)的的應(yīng)用需需要，同同時(shí)還降降低了管管理工作作量，增增強(qiáng)了管管理力度度。由于案例的的網(wǎng)絡(luò)設(shè)設(shè)備全部部采用CCiscco產(chǎn)品品，對(duì)于于Cissco的的網(wǎng)絡(luò)設(shè)設(shè)備而言言，VLAAN主要要是基于于兩種標(biāo)標(biāo)準(zhǔn)協(xié)議議：SL和和8022.1QQ。在我我們這里里，因?yàn)闉樗捎糜玫木鞘荂issco的的網(wǎng)絡(luò)設(shè)設(shè)備，故故在進(jìn)行行VLAAN間的的互連時(shí)時(shí)采用IISL的的協(xié)議封封裝，該該協(xié)議針針對(duì)Ciiscoo網(wǎng)絡(luò)設(shè)設(shè)備的硬硬件平臺(tái)臺(tái)在信息息流的處處理、的的優(yōu)化進(jìn)進(jìn)行了合合理有效效的優(yōu)化化。案例中關(guān)于于VLAAN的劃劃分覆

20、蓋蓋了各個(gè)個(gè)交換機(jī)機(jī)，所以以交換機(jī)機(jī)之間的的連接都都必須采采用Trrunkk方式。鑒鑒于經(jīng)理理辦和供供銷(xiāo)子網(wǎng)網(wǎng)代表了了VLAAN劃分分中的22個(gè)問(wèn)題題: 擴(kuò)擴(kuò)展交換換機(jī)VLLAN的的劃分和和端口VVLANN的劃分分，所以以我們?cè)僭賹⒔?jīng)理理辦子網(wǎng)網(wǎng)和供銷(xiāo)銷(xiāo)子網(wǎng)對(duì)對(duì)VLAAN做一一詳細(xì)介介紹。1.4 企企業(yè)網(wǎng)絡(luò)絡(luò)中的新新應(yīng)用與與新需求求在網(wǎng)絡(luò)應(yīng)用用高度發(fā)發(fā)展的今今天，企企業(yè)的供供應(yīng)鏈管管理、客客戶(hù)服務(wù)務(wù)、遠(yuǎn)程程學(xué)習(xí)、勞勞動(dòng)力優(yōu)優(yōu)化等等等系統(tǒng)已已經(jīng)開(kāi)始始在企業(yè)業(yè)中普遍遍得到應(yīng)應(yīng)用。這這些系統(tǒng)統(tǒng)對(duì)企業(yè)業(yè)網(wǎng)絡(luò)提提出了新新的需求求，可見(jiàn)見(jiàn)如今的的企業(yè)網(wǎng)網(wǎng)絡(luò)要有有更高的的可靠性性、可管管理性、安安全性、更更

21、好的性性能，并并能實(shí)現(xiàn)現(xiàn)語(yǔ)音、數(shù)數(shù)據(jù)、視視頻的融融合。而而這些系系統(tǒng)的設(shè)設(shè)計(jì)與實(shí)實(shí)現(xiàn)，都都要應(yīng)用用到VLLAN技技術(shù)。當(dāng)基于IPP網(wǎng)絡(luò)多多元化的的業(yè)務(wù)應(yīng)應(yīng)用給企企業(yè)帶來(lái)來(lái)便利的的同時(shí)，也也給企業(yè)業(yè)帶來(lái)一一個(gè)不小小的難題題，那就就是如何何管理。220077年，據(jù)據(jù)權(quán)威部部門(mén)經(jīng)過(guò)過(guò)抽樣調(diào)調(diào)查發(fā)現(xiàn)現(xiàn)，有883%網(wǎng)網(wǎng)管人員員每日疲疲于奔波波在解決決各種應(yīng)應(yīng)用問(wèn)題題上，他他們更愿愿意將時(shí)時(shí)間用于于優(yōu)化網(wǎng)網(wǎng)絡(luò)上。此此外在調(diào)調(diào)查中發(fā)發(fā)現(xiàn)，能能夠?qū)崿F(xiàn)現(xiàn)對(duì)安全全、性能能、故障障、配置置和資產(chǎn)產(chǎn)的綜合合管理平平臺(tái)成為為企業(yè)網(wǎng)網(wǎng)絡(luò)構(gòu)建建需求中中的重要要考慮因因素。優(yōu)優(yōu)化網(wǎng)絡(luò)絡(luò)的一種種方式，就就是利用用VLAAN技術(shù)

22、術(shù)來(lái)進(jìn)行行企業(yè)網(wǎng)網(wǎng)絡(luò)的綜綜合設(shè)計(jì)計(jì)與管理理。如今，我們們已經(jīng)從從設(shè)備、系系統(tǒng)級(jí)管管理的時(shí)時(shí)代進(jìn)入入了基于于用戶(hù)業(yè)業(yè)務(wù)應(yīng)用用的管理理時(shí)代。大型企業(yè)的網(wǎng)絡(luò)通常都通過(guò)功能完善的專(zhuān)業(yè)網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，這個(gè)投資對(duì)于中小企業(yè)來(lái)說(shuō)可能是無(wú)法承擔(dān)的。事實(shí)上，由于中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，一般不需要對(duì)網(wǎng)絡(luò)的流量、網(wǎng)絡(luò)設(shè)備的狀態(tài)和端口設(shè)置等信息進(jìn)行實(shí)時(shí)的控制和檢查。網(wǎng)絡(luò)管理員可能對(duì)網(wǎng)絡(luò)的連通性、IP地址的設(shè)置情況和需要時(shí)能對(duì)設(shè)備進(jìn)行設(shè)置更為關(guān)心一些，而這些工作利用VLAN技術(shù)的應(yīng)用就可以很好地解決。第二章 VVLANN與企業(yè)網(wǎng)網(wǎng)絡(luò)管理理的設(shè)計(jì)計(jì)與分析析2.1 網(wǎng)網(wǎng)絡(luò)架構(gòu)構(gòu)分析現(xiàn)代網(wǎng)絡(luò)結(jié)結(jié)構(gòu)化布布線(xiàn)工程程中

23、多采采用星型型結(jié)構(gòu)，主主要用于于同一樓樓層，由由各個(gè)辦辦公室（區(qū)區(qū)）的計(jì)計(jì)算機(jī)間間用集線(xiàn)線(xiàn)器或者者交換機(jī)機(jī)連接產(chǎn)產(chǎn)生的，它它具有施施工簡(jiǎn)單單，擴(kuò)展展性高，成成本低和和可管理理性好等等優(yōu)點(diǎn)；而企業(yè)業(yè)網(wǎng)絡(luò)在在分層布布線(xiàn)主要要采用樹(shù)樹(shù)型結(jié)構(gòu)構(gòu)；每個(gè)個(gè)辦公室室（區(qū)）的計(jì)算機(jī)連接到部門(mén)的集線(xiàn)器或交換機(jī)，然后每部門(mén)的集線(xiàn)器或交換機(jī)在連接到企業(yè)中心機(jī)房中的交換機(jī)或路由器，各個(gè)分公司的交換機(jī)或路由器再連接到企業(yè)的主干通信網(wǎng)中，由此構(gòu)成了企業(yè)甚至集團(tuán)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。該企業(yè)網(wǎng)絡(luò)絡(luò)案例采采用的是是星形的的網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)構(gòu)，骨干干網(wǎng)為110000M速率率具有良良好的可可運(yùn)行性性、可管管理性，能能夠滿(mǎn)足足未來(lái)發(fā)發(fā)展和新

24、新技術(shù)的的應(yīng)用，另另外作為為整個(gè)企企業(yè)網(wǎng)絡(luò)絡(luò)的交換換中心，在在保證高高性能、無(wú)無(wú)阻塞交交換的同同時(shí)，還還必須保保證穩(wěn)定定可靠的的運(yùn)行。因此在網(wǎng)絡(luò)絡(luò)中心的的設(shè)備選選型和結(jié)結(jié)構(gòu)設(shè)計(jì)計(jì)上必須須考慮整整體網(wǎng)絡(luò)絡(luò)的高性性能和高高可靠性性，在文文中我們們選擇選選擇熱路路由備份份可以有有效地提提高核心心交換的的可靠性性。2.2 設(shè)設(shè)計(jì)思路路進(jìn)行企企業(yè)網(wǎng)絡(luò)絡(luò)VLAAN的總總體設(shè)計(jì)計(jì)，首先先要進(jìn)行行對(duì)象研研究和需需求調(diào)查查，明確確企業(yè)的的性質(zhì)、任任務(wù)和改改革發(fā)展展的特點(diǎn)點(diǎn)及系統(tǒng)統(tǒng)建設(shè)的的需求和和條件，對(duì)對(duì)企業(yè)的的信息化化環(huán)境進(jìn)進(jìn)行準(zhǔn)確確的描述述；其次次，在應(yīng)應(yīng)用需求求分析的的基礎(chǔ)上上，確定定企業(yè)IIntrran

25、eet服務(wù)務(wù)類(lèi)型，進(jìn)進(jìn)而確定定系統(tǒng)建建設(shè)的具具體目標(biāo)標(biāo)，包括括網(wǎng)絡(luò)設(shè)設(shè)施、站站點(diǎn)設(shè)置置、開(kāi)發(fā)發(fā)應(yīng)用和和管理等等方面的的目標(biāo)；第三是是確定VVLANN結(jié)構(gòu)和功功能，根根據(jù)應(yīng)用用需求建建設(shè)目標(biāo)標(biāo)和企業(yè)業(yè)主要建建筑和部部門(mén)的分分布特點(diǎn)點(diǎn)，進(jìn)行行系統(tǒng)分分析和設(shè)設(shè)計(jì)；第第四，確確定技術(shù)術(shù)設(shè)計(jì)的的原則要要求，如如在技術(shù)術(shù)選型、布布線(xiàn)設(shè)計(jì)計(jì)、設(shè)備備選擇、軟軟件配置置等方面面的標(biāo)準(zhǔn)準(zhǔn)和要求求；第五五，規(guī)劃劃企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)設(shè)的實(shí)施施步驟。企業(yè)網(wǎng)絡(luò)VLAN總體設(shè)計(jì)方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿(mǎn)足以下基本要求方面：（1）整體體規(guī)劃安安排；（2）先進(jìn)進(jìn)性、開(kāi)開(kāi)放性和和標(biāo)準(zhǔn)化化相結(jié)合合；（3）結(jié)構(gòu)構(gòu)合理，便便于維護(hù)護(hù)；

26、（4）高效效實(shí)用；（5）支持持寬帶多多媒體業(yè)業(yè)務(wù)；（6）能夠夠?qū)崿F(xiàn)快快速信息息交流、協(xié)協(xié)同工作作和形象象展示。2.3 拓拓?fù)浣Y(jié)構(gòu)構(gòu)分析要為企業(yè)網(wǎng)網(wǎng)絡(luò)管理理系統(tǒng)地地和合理理的設(shè)計(jì)計(jì)VLAAN，就就要充分分的對(duì)企企業(yè)的網(wǎng)網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)進(jìn)進(jìn)行分析析，從而而得出最最佳的VVLANN設(shè)計(jì)方方案。 案例企企業(yè)的網(wǎng)網(wǎng)絡(luò)拓?fù)鋼鋱D如下下：從圖中我們們可以看看到：案例企業(yè)的的網(wǎng)絡(luò)是是由總公公司和分分公司下下屬的若若干臺(tái)工工作計(jì)算算機(jī)組成成；在總總公司和和分公司司各架設(shè)設(shè)有DHHCP、DDNS、FFTP和和WEBB服務(wù)器器；在總總公司的的工作組組中，涉涉及到了了無(wú)線(xiàn)VVLANN的設(shè)置置；總公公司的下下屬工作作計(jì)算機(jī)

27、機(jī)比較多多，必須須采用更更多接入入層交換換機(jī)來(lái)細(xì)細(xì)化工作作組計(jì)算算機(jī)的工工作效率率和2級(jí)級(jí)節(jié)點(diǎn)交交換機(jī)的的工作效效率；對(duì)對(duì)于到IInteerneet的連連接，接接口為22MB DDNN專(zhuān)線(xiàn)接接入，各各二級(jí)單單位通過(guò)過(guò)公司總總部的PProxxy接入入Intternnet。IInteerneet的管管理由公公司總部部信息中中心統(tǒng)一一規(guī)劃。在這里需要要注意的的是:1、企業(yè)的的網(wǎng)絡(luò)系系統(tǒng)的VVLANN的劃分分是作為為一個(gè)整整體結(jié)構(gòu)構(gòu)來(lái)設(shè)計(jì)計(jì)的，所所以為了了保持VVLANN列表的的一致性性，例如如當(dāng)二級(jí)級(jí)單位11的VLLAN有有所變化化時(shí)，VVLANN列表也也會(huì)有所所變化，這這時(shí)就需需要該CCataal

28、ysst 440066對(duì)整體體網(wǎng)絡(luò)的的其他部部分進(jìn)行行廣播，以以達(dá)到VVLANN的列表表的一致致性。所所以在設(shè)設(shè)置VTTP(VLAAN TTrunnk PProttocool)時(shí)時(shí)要注意意，要將將VTPP的域作作為一個(gè)個(gè)整體，即即:VTTP類(lèi)型型分別為為Serrverr和Clliennt。2、企業(yè)建建網(wǎng)較早早，所選選用的網(wǎng)網(wǎng)絡(luò)設(shè)備備為其他他的廠(chǎng)商商的產(chǎn)品品，而后后期的產(chǎn)產(chǎn)品又不不能與前前期統(tǒng)一一，這樣樣在VLLAN的的劃分中中就會(huì)遇遇到些問(wèn)問(wèn)題。例例如:在在Cissco產(chǎn)產(chǎn)品與33Hexxingg產(chǎn)品的的混合網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)中劃分分VLAAN，對(duì)對(duì)于Ciiscoo網(wǎng)絡(luò)設(shè)設(shè)備的TTrunnk的封封裝

29、協(xié)議議則必須須采用8802.1Q，以以達(dá)到與與3Heexinng的通通訊。雖雖然兩者者之間可可以建立立VLAAN的正正常劃分分，和正正常的應(yīng)應(yīng)用，但但由于交交換機(jī)都都具有自自學(xué)習(xí)的的能力，以以致兩者者之間的的協(xié)調(diào)配配合較差差。當(dāng)兩兩者之間間的連接接發(fā)生變變化時(shí)，必必須在上上使用命命令(ccleaar ccounnterr)進(jìn)行行清除，方方可達(dá)到到兩者的的重新協(xié)協(xié)調(diào)工作作。2.4 設(shè)設(shè)備選型型該案例中的的企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)由三部部分組成成:公司司、二級(jí)級(jí)單位11、二級(jí)級(jí)單位22，初始始為三部部分各自自獨(dú)立，未未形成統(tǒng)統(tǒng)一的網(wǎng)網(wǎng)絡(luò)環(huán)境境，故各各網(wǎng)絡(luò)系系統(tǒng)的運(yùn)運(yùn)行采用用的是以以交換技技術(shù)為主主的方式式

30、。案例企業(yè)的的主干網(wǎng)絡(luò)絡(luò)均采用用的是技技術(shù)，起起點(diǎn)的高高定位為為企業(yè)的的信息應(yīng)應(yīng)用帶來(lái)來(lái)了高速速、穩(wěn)定定、符合合國(guó)際標(biāo)標(biāo)準(zhǔn)的網(wǎng)網(wǎng)絡(luò)平臺(tái)臺(tái)。公司司中心交交換機(jī)采采用的是是的Ciiscoo Caatallystt 65506，帶帶有三層層路由的的引擎使使得企業(yè)業(yè)網(wǎng)具有有將來(lái)升升級(jí)的能能力；同時(shí)各各二級(jí)單單位的中中心交換換機(jī)采用用的亦是是Cissco的的Cattalyyst 40006；其其2級(jí)節(jié)節(jié)點(diǎn)和邊邊緣交換換機(jī)采用用的也是是Cissco Cattalyyst 35448。各各二級(jí)、三三級(jí)交換換機(jī)則采采用的是是Cissco的的Cattalyyst 35000系列列，主要要因?yàn)镃Ciscco CC

31、ataalysst 335000系列交交換機(jī)的的高性能能和可堆堆疊能力力。公司司總部與與各二級(jí)級(jí)附屬單單位的連連接采用用了ISSL封裝裝的Trrunkk方式，用用2組光光纖連接接（在CCataalysst 665066與Caatallystt 40006之之間），這這樣既解解決了VVLANN間的互互聯(lián)問(wèn)題題，同時(shí)時(shí)又提高高了網(wǎng)絡(luò)絡(luò)帶寬和和系統(tǒng)的的冗余，為為子網(wǎng)互互聯(lián)提供供了可靠靠保障。第三章 VVLANN的具體體配置與與應(yīng)用3.1 VVLANN的劃分分原則VLAN的的劃分的的有四種策策略，分分別是： 基于端端口的VVLANN 基于于端口的的VLAAN的劃劃分是最最簡(jiǎn)單、最最有效的的VLAAN劃

32、分分方法。基于MAC地址的VLAN MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。基于路由的VLAN 路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類(lèi)設(shè)備包括路由器和路由交換機(jī)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中?；诓呗缘腣LAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。就本案例來(lái)來(lái)說(shuō)，對(duì)對(duì)于VLLAN的的劃分主主要采用用1、33兩種模模式，對(duì)對(duì)于方案案2則為為輔助性性的方案案。VLLA

33、N的的劃分設(shè)設(shè)計(jì)之后后，再所所涉及的的就是VVLANN劃分的的最后一一步：VVLANN間的互互連。在在以前對(duì)對(duì)VLAAN的劃劃分主要要是通過(guò)過(guò)路由器器來(lái)實(shí)現(xiàn)現(xiàn)的，但但隨著網(wǎng)網(wǎng)絡(luò)規(guī)模模的擴(kuò)大大、信息息量的增增加，路路由器無(wú)無(wú)論是從從端口數(shù)數(shù)還是系系統(tǒng)性能能上來(lái)說(shuō)說(shuō)都已經(jīng)經(jīng)不堪負(fù)負(fù)荷，因因此逐漸漸形成了了產(chǎn)生網(wǎng)網(wǎng)絡(luò)瓶頸頸的主要要原因。而現(xiàn)在，因因?yàn)橛辛肆嘶诮唤粨Q機(jī)上上的三層層路由的的能力，在在上述兩兩點(diǎn)已經(jīng)經(jīng)得到合合理地解解決。對(duì)對(duì)于Ciiscoo的產(chǎn)品品劃分，VLAN主要是基于兩種標(biāo)準(zhǔn)協(xié)議：ISL和802.1Q。在我們這里，因?yàn)樗捎玫木荂isco的網(wǎng)絡(luò)設(shè)備，故在進(jìn)行VLAN間的互連時(shí)采用I

34、SL的協(xié)議封裝，該協(xié)議針對(duì)Cisco網(wǎng)絡(luò)設(shè)備的硬件平臺(tái)在信息流的處理、多媒體應(yīng)用的優(yōu)化進(jìn)行了合理有效的優(yōu)化。由于本案例例中關(guān)于于VLAAN的劃劃分?jǐn)U展展了各個(gè)個(gè)交換機(jī)機(jī)，所以以交換機(jī)機(jī)之間的的連接都都必須采采用Trrunkk的方式式。供銷(xiāo)銷(xiāo)子網(wǎng)和和售后子子網(wǎng)代表表了VLLAN劃劃分中的的兩種問(wèn)問(wèn)題擴(kuò)展交交換機(jī)VVLANN的劃分分和端口口VLAAN的劃劃分：在在經(jīng)理辦辦虛網(wǎng)中中，對(duì)于于一個(gè)交交換機(jī)擴(kuò)擴(kuò)展多個(gè)個(gè)VLAAN的時(shí)時(shí)候，前前面提到到了該交交換機(jī)與與其上層層交換機(jī)機(jī)間必須須采用TTrunnk方式式連接，但但在供銷(xiāo)銷(xiāo)的虛擬擬網(wǎng)劃分分中，在在二級(jí)單單位1中中的供銷(xiāo)銷(xiāo)獨(dú)立于于一個(gè)LLAN交交換機(jī)

35、CCataalysst35548，所所以在這這里，CCataalysst35548與與二級(jí)中中心交換換機(jī)Caatallystt40006只需需采用正正常的交交換式連連接即可可，對(duì)于于此部分分供銷(xiāo)VVLANN的劃分分，只要要在Caatallystt40006上針針對(duì)與CCataalysst35548連連接的端端口進(jìn)行行劃分即即可。也也就是前前面提到到的基于于端口的的VLAAN的劃劃分。3.2 VVLANN的劃分分策略案例企業(yè)下下屬部門(mén)門(mén)多，業(yè)業(yè)務(wù)種類(lèi)類(lèi)多，根根據(jù)業(yè)務(wù)務(wù)發(fā)展需需要，經(jīng)經(jīng)過(guò)認(rèn)真真規(guī)劃，將將聯(lián)網(wǎng)后后的統(tǒng)一一網(wǎng)絡(luò)劃劃分為330個(gè)VVLANN。劃分分原則為為：企業(yè)業(yè)本部以以樓層為為單位進(jìn)進(jìn)

36、行VLLAN 劃分，各各下屬部部門(mén)以業(yè)業(yè)務(wù)的不不同來(lái)劃劃分VLLAN，不不同的VVLANN具有不不同的安安全級(jí)別別。其中中生產(chǎn)用用機(jī)及各各種服務(wù)務(wù)器所在在的VLLAN 具有的的安全級(jí)級(jí)別較高高。同時(shí)時(shí)利用CCiscco 665099自身的的訪(fǎng)問(wèn)控控制功能能，設(shè)置置訪(fǎng)問(wèn)列列表對(duì)特特定的VVLANN用戶(hù)進(jìn)進(jìn)行保護(hù)護(hù)，對(duì)特特定的端端口 1135、4445、114344等進(jìn)行行控制，保保證了整整個(gè)網(wǎng)絡(luò)絡(luò)中各個(gè)個(gè)VLAAN 用用戶(hù)的安安全隔離離?；诙丝诘牡腣LAAN劃分分是最簡(jiǎn)簡(jiǎn)單、最最有效的的劃分方方法。該該方法只只需網(wǎng)絡(luò)絡(luò)管理員員對(duì)網(wǎng)絡(luò)絡(luò)設(shè)備的的交換機(jī)機(jī)端口進(jìn)進(jìn)行重新新分配即即可，不不用考慮慮該端

37、口口所連接接的設(shè)備備。在交交換機(jī)投投入運(yùn)行行前就把把它的物物理端口口根據(jù)需需要?jiǎng)澐址纸o指定定的VLLAN 并分配配給用戶(hù)戶(hù)。這種種劃分使使網(wǎng)絡(luò)管管理員能能夠隨時(shí)時(shí)掌握網(wǎng)網(wǎng)絡(luò)的負(fù)負(fù)載情況況，有利利于網(wǎng)絡(luò)絡(luò)的優(yōu)化化使用，并并具有較較高的安安全性，雖雖然在一一定程度度上增加加了管理理員的工工作量。舉舉例來(lái)說(shuō)說(shuō)，集團(tuán)團(tuán)下屬公公司分布布在不同同城區(qū)不同的的地理位位置，但但考慮到到方便管管理，這這些公司司的OAA服務(wù)器器均使用用一個(gè)VVLANN的IPP；對(duì)需需要其他他權(quán)限的的OA服服務(wù)器單單獨(dú)分配配其他網(wǎng)網(wǎng)段的IIP，所所有這些些網(wǎng)絡(luò)應(yīng)應(yīng)用的實(shí)實(shí)現(xiàn)均是是依靠基基于交換換機(jī)端口口VLAAN 的的劃分來(lái)來(lái)實(shí)現(xiàn)

38、的的。另一一方面，對(duì)對(duì)靜態(tài)VVLANN 技術(shù)術(shù)的應(yīng)用用(即基基于端口口的VLLAN 劃分)來(lái)說(shuō)，交交換機(jī)不不能分辨辨出被盜盜用IPP地址的的非法接接人。一一個(gè)用戶(hù)戶(hù)盜用同同一子網(wǎng)網(wǎng)某特權(quán)權(quán)用戶(hù)的的IP地地址后就就可以偽偽裝成這這個(gè)VLLAN 的特權(quán)權(quán)用戶(hù)，非非法訪(fǎng)問(wèn)問(wèn)網(wǎng)絡(luò)中中的服務(wù)務(wù)器，并并造成IIP地址址的沖突突。為了了解決這這個(gè)問(wèn)題題，就利利用用戶(hù)戶(hù)一般不不會(huì)改變變計(jì)算機(jī)機(jī)MA C地址址的特點(diǎn)點(diǎn)，采用用了對(duì)大大部分用用戶(hù)的IIP地址址和MAA C地地址與交交換機(jī)端端口綁定定的方法法， 彌彌補(bǔ)了靜靜態(tài)VLLAN 的這一一缺陷，有有效地防防止了這這種情況況的發(fā)生生。在一般的二二層交換換機(jī)組成成

39、的網(wǎng)絡(luò)絡(luò)中，VVLANN 實(shí)現(xiàn)現(xiàn)了網(wǎng)絡(luò)絡(luò)流量的的分割，不不同的VVLANN 間是是不能互互相通信信的。要要實(shí)現(xiàn)VVLANN 間的的通信必必須借助助：1)路由器器來(lái)實(shí)現(xiàn)現(xiàn)；2)三層交交換機(jī)。下下屬公司司采用的的是使用用三層交交換機(jī)的的方式。利利用三層層交換機(jī)機(jī)實(shí)現(xiàn)VVLANN 間通通信，三三層交換換機(jī)是將將第二層層交換機(jī)機(jī)和第三三層路由由器兩者者的優(yōu)勢(shì)勢(shì)有機(jī)而而智能化化地結(jié)合合起來(lái)，可可在各個(gè)個(gè)層次提提供線(xiàn)速速性能。三三層交換換機(jī)內(nèi)，分分別設(shè)置置了交換換機(jī)模塊塊和路由由器模塊塊；而內(nèi)內(nèi)置的路路由模塊塊與交換換模塊類(lèi)類(lèi)似，也也使用AASICC硬件處處理路由由。因此此，與傳傳統(tǒng)的路路由器相相比，可可

40、以實(shí)現(xiàn)現(xiàn)高速路路由。并并且，路路由與交交換模塊塊是匯聚聚鏈接的的，由于于是內(nèi)部部連接，可可以確保保相當(dāng)大大的帶寬寬。用三三層交換換機(jī)的路路由功能能來(lái)實(shí)現(xiàn)現(xiàn)VLAAN 間間的通信信。核心交換機(jī)機(jī)選用CCiscco 665099三層交交換機(jī)，接接人層交交換機(jī)選選擇了CCiscco 337500和Ciiscoo 29950系系列交換換機(jī)，其其中Ciiscoo 37750交交換機(jī)為為帶路由由功能的的三層交交換機(jī)，用用于數(shù)據(jù)據(jù)流量較較大的分分局，而而Cissco 29550為二二層交換換機(jī)，主主要用于于通過(guò)千千兆光纖纖與中心心交換機(jī)機(jī)的直接接連接，通通過(guò)這樣樣的連接接方式，整整個(gè)局域域網(wǎng)就能能很好的的協(xié)

41、同工工作。VVLANN 對(duì)于于網(wǎng)絡(luò)使使用者來(lái)來(lái)說(shuō)是完完全透明明的，用用戶(hù)感覺(jué)覺(jué)不到使使用中與與交換式式網(wǎng)絡(luò)有有任何的的差別，但但對(duì)于網(wǎng)網(wǎng)絡(luò)管理理人員則則有很大大的不同同，因?yàn)闉檫@主要要取決于于VLAAN 的的幾點(diǎn)優(yōu)優(yōu)勢(shì)。3.3 VVLANN的詳細(xì)細(xì)設(shè)置3.3.11管理部部門(mén)子網(wǎng)網(wǎng)VLAAN設(shè)置置由于管理部部門(mén)工作作站所在在局域網(wǎng)網(wǎng)交換機(jī)機(jī)劃分了了多個(gè)VVLANN，連接接了多個(gè)個(gè)VLAAN工作作站，所所以該交交換機(jī)與與其上層層交換機(jī)機(jī)之間的的連接必必須采用用Truunk方方式。公公司總部部采用了了Cattalyyst 35008和CCataalysst 665066。在中心交換換機(jī)Caatall

42、ystt 65506上上設(shè)置VVLANN路由如如下： 管理部部門(mén)VLLAN：1922.1668.998.11/222 財(cái)務(wù)務(wù)部門(mén)VVLANN：1992.1168.2.11/222 供銷(xiāo)銷(xiāo)部門(mén)VVLANN：1992.1168.3.11/222 售后后部門(mén)VVLANN：1922.1668.66.1/22 服務(wù)器器VLAAN：1192.1688.800.1/24 其他部部門(mén)VLLAN：1922.1668.88.1/22中心交換機(jī)機(jī)上設(shè)置置路由協(xié)協(xié)議RIIP或，并并指定網(wǎng)網(wǎng)段1992.1168.0.00。在全全局配置置模式下下執(zhí)行如如下命令令：Rouuterr riip nettworrk 1192.

43、1688.0.0管理部門(mén)的的的工作作IP統(tǒng)統(tǒng)一直接接設(shè)置在在核心交交換機(jī)上上。3.3.22 其他他下屬部部門(mén)子網(wǎng)網(wǎng)VLANN設(shè)置在案例中我我們把核心交交換機(jī)命命名為:“Hexxingg”；分支交交換機(jī)分分別為:SW_SW_finnancce、SW_marrkett、Aftter serrvicce，分分別通過(guò)過(guò)porrt 11的光線(xiàn)線(xiàn)模塊與與核心交交換機(jī)相相連;并并且假設(shè)設(shè)VLAAN名稱(chēng)稱(chēng)分別為為finnancce、mmarkket、other需要做的工工作:A、設(shè)設(shè)置VTTP ddomaain(核心、分分支交換換機(jī)上都都設(shè)置)B、配配置中繼繼(核心心、分支支交換機(jī)機(jī)上都設(shè)設(shè)置)C、創(chuàng)創(chuàng)建VL

44、LAN(在seerveer上設(shè)設(shè)置)D、將將交換機(jī)機(jī)端口劃劃入VLLANE、配配置三層層交換A、設(shè)設(shè)置VTTP ddomaain。 VTPP doomaiin 稱(chēng)稱(chēng)為管理理域。交換VVTP更更新信息息的所有有交換機(jī)機(jī)必須配配置為相相同的管管理域。如如果所有有的交換換機(jī)都以以中繼線(xiàn)線(xiàn)相連，那那么只要要在核心心交換機(jī)機(jī)上設(shè)置置一個(gè)管管理域，網(wǎng)網(wǎng)絡(luò)上所所有的交交換機(jī)都都加入該該域，這這樣管理理域里所所有的交交換機(jī)就就能夠了了解彼此此的VLLAN列列表。Hexxingg#VLLAN dattabaase 進(jìn)入VVLANN配置模模式Hexxingg(VLLAN)#VTTP ddomaain Hexxin

45、gg 設(shè)置置VTPP管理域域名稱(chēng) HexxinggHexxingg(VLLAN)#VTTP sservver 設(shè)置交交換機(jī)為為服務(wù)器器模式SW_finnancce#VLAAN ddataabasse 進(jìn)進(jìn)入VLLAN配配置模式式SW_finnancce(VLAAN)#VTPP doomaiin HHexiing 設(shè)置VVTP管管理域名名稱(chēng)HeexinngSW_finnancce(VLAAN)#VTPP clliennt 設(shè)設(shè)置交換換機(jī)為客客戶(hù)端模模式SW_marrkett#VLAAN ddataabasse 進(jìn)進(jìn)入VLLAN配配置模式式SW_marrkett(VLAAN)#VTPP dooma

46、iin HHexiing 設(shè)置VVTP管管理域名名稱(chēng)HeexinngSW_marrkett(VLAAN)#VTPP clliennt 設(shè)設(shè)置交換換機(jī)為客客戶(hù)端模模式Aftter serrvicce#VLAAN ddataabasse 進(jìn)進(jìn)入VLLAN配配置模式式Aftter serrvicce(VLAAN)#VTPP doomaiin HHexiing 設(shè)置VVTP管管理域名名稱(chēng)HeexinngAftter serrvicce(VLAAN)#VTPP clliennt 設(shè)設(shè)置交換換機(jī)為客客戶(hù)端模模式注意:這里設(shè)設(shè)置核心心交換機(jī)機(jī)為seerveer模式式是指允允許在該該交換機(jī)機(jī)上創(chuàng)建建、修改改、

47、刪除除VLAAN及其其他一些些對(duì)整個(gè)個(gè)VTPP域的配配置參數(shù)數(shù)，同步步本VTTP域中中其他交交換機(jī)傳傳遞來(lái)的的最新的的VLAAN信息息;clliennt模式式是指本本交換機(jī)機(jī)不能創(chuàng)創(chuàng)建、刪刪除、修修改VLLAN配配置，也也不能在在NVRRAM中中存儲(chǔ)VVLANN配置，但但可同步步由本VVTP域域中其他他交換機(jī)機(jī)傳遞來(lái)來(lái)的VLLAN信信息。B、配配置中繼繼為了保保證管理理域能夠夠覆蓋所所有的分分支交換換機(jī)，必必須配置置中繼。Cissco交交換機(jī)能能夠支持持任何介介質(zhì)作為為中繼線(xiàn)線(xiàn)，為了了實(shí)現(xiàn)中中繼可使使用其特特有的IISL標(biāo)標(biāo)簽。IISL(intter-swiitchh liink)是一個(gè)個(gè)在交

48、換換機(jī)之間間、交換換機(jī)與路路由器之之間及交交換機(jī)與與服務(wù)器器之間傳傳遞多個(gè)個(gè)VLAAN信息息及VLLAN數(shù)數(shù)據(jù)流的的協(xié)議，通通過(guò)在交交換機(jī)直直接相連連的端口口配置IISL封封裝，即即可跨越越交換機(jī)機(jī)進(jìn)行整整個(gè)網(wǎng)絡(luò)絡(luò)的VLANN分配和和進(jìn)行配配置。在核心心交換機(jī)機(jī)端配置置如下:Hexxingg(coonfiig)#intterffacee giigabbiteetheerneet 22/1Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL

49、配配置中繼繼協(xié)議Hexxingg(coonfiig-iif)#swiitchhporrt mmodee trrunkkHexxingg(coonfiig)#intterffacee giigabbiteetheerneet 22/2Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL 配配置中繼繼協(xié)議 HHexiing(connfigg-iff)#sswittchpportt moode truunkHexxingg(coonfiig)#i

50、ntterffacee giigabbiteetheerneet 22/3Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL 配配置中繼繼協(xié)議Hexxingg(coonfiig-iif)#swiitchhporrt mmodee trrunkk在分支支交換機(jī)機(jī)端配置置如下:SW_finnancce(cconffig)#innterrfacce ggigaabittethhernnet 0/11SW_finnancce(cconffig-i

51、f)#swwitcchpoort modde ttrunnkSW_marrkett(coonfiig)#intterffacee giigabbiteetheerneet 00/1SW_marrkett(coonfiig-iif)#swiitchhporrt mmodee trrunkkAftter serrvicce(cconffig)#innterrfacce ggigaabittethhernnet 0/11Aftter serrvicce(cconffig-if)#swwitcchpoort modde ttrunnk管理域域設(shè)置完完畢。C、創(chuàng)創(chuàng)建VLLAN一一旦建立立了管理理域，就就

52、可以創(chuàng)創(chuàng)建VLLAN了了。Hexxingg(VLLAN)#VLLAN 10 namme ccounnterr 創(chuàng)建建了一個(gè)個(gè)編號(hào)為為10 名字為為couunteer的 VLAANHexxingg(VLLAN)#VLLAN 11 namme mmarkket 創(chuàng)建了了一個(gè)編編號(hào)為111 名名字為mmarkket的的 VLLANHexxingg(VLAAN)#VLAAN 112 nnamee ottherr 創(chuàng)建建了一個(gè)個(gè)編號(hào)為為12 名字為為othher的的 VLLAN而這里里的VLLAN是是在核心心交換機(jī)機(jī)上建立立的，其其實(shí)，只只要是在在管理域域中的任任何一臺(tái)臺(tái)VTPP 屬性性為seervee

53、r的交交換機(jī)上上建立VVLANN，它就就會(huì)通過(guò)過(guò)VTPP通告整整個(gè)管理理域中的的所有的的交換機(jī)機(jī)。但如如果要將將具體的的交換機(jī)機(jī)端口劃劃入某個(gè)個(gè)VLAAN，就就必須在在該端口口所屬的的交換機(jī)機(jī)上進(jìn)行行設(shè)置。D、將將交換機(jī)機(jī)端口劃劃入VLLAN例如，要要將SWW_fiinannce、SW_marrkett、Aftter serrvicce分支交交換機(jī)的的端口11劃入ccounnterr VLLAN，端端口2劃劃入maarkeet VVLANN，端口口3劃入入othher VLAANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/11

54、配置端端口1SW_finnancce(cconffig-if)#swwitcchpoort acccesss VLLAN 10 歸屬ccounnterr VLLANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/22 配置端端口2SW_finnancce(cconffig-if)#swwitcchpoort acccesss VLLAN 11 歸屬mmarkket VLAANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/33 配置端端口3SW_finnancce(cco

55、nffig-if)#swwitcchpoort acccesss VLLAN 12 歸屬ootheer VLAANSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/1 配置端端口1SW_marrkett(coonfiig-iif)#swiitchhporrt aacceess VLAAN 110 歸歸屬coountter VLAANSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/2 配置端端口2SW_marrkett(coonfiig-iif)#swiitchhporrt

56、aacceess VLAAN 111 歸歸屬maarkeet VVLANNSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/3 配置端端口3SW_marrkett(coonfiig-iif)#swiitchhporrt aacceess VLAAN 112 歸歸屬ottherr VLAANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/11 配置置端口11Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLL

57、AN 10 歸屬ccounnterr VLLANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/22 配置端端口2Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLLAN 11 歸屬mmarkket VLAANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/33 配置置端口33Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLLAN 12

58、 歸屬ootheer VLAANE、配配置三層層交換到這里里，VLLAN已已經(jīng)基本本劃分完完畢。但但是，要要讓VLLAN間間實(shí)現(xiàn)三三層(網(wǎng)網(wǎng)絡(luò)層)交換，就要給給各VLLAN分分配網(wǎng)絡(luò)絡(luò)(ipp)地址址。給VLLAN分分配ipp地址分分兩種情情況，其其一，給給VLAAN所有有的節(jié)點(diǎn)點(diǎn)分配靜靜態(tài)ipp地址;其二，給給VLAAN所有有的節(jié)點(diǎn)點(diǎn)分配動(dòng)動(dòng)態(tài)ipp地址。下下面就這這兩種情情況分別別介紹。假設(shè)給VLLAN couunteer分配配的接口口ip地地址為1192.1688.988.1/22，網(wǎng)網(wǎng)絡(luò)地址址為:1192.1688.988.0，VLAAN mmarkket 分配的的接口iip地址址為1

59、992.1168.3.11/222，網(wǎng)絡(luò)絡(luò)地址為為:1992.1168.3.00，VLAAN othher分分配接口口ip地地址為1192.1688.8.1/222， 網(wǎng)絡(luò)地地址為1192.1688.8.0如果動(dòng)態(tài)分分配ipp地址，則則設(shè)網(wǎng)絡(luò)絡(luò)上的DDHCPP服務(wù)器器ip地地址為111。(1)給VLLAN所所有的節(jié)節(jié)點(diǎn)分配配靜態(tài)iip地址址。首先在在核心交交換機(jī)上上分別設(shè)設(shè)置各VVLANN的接口口ip地地址。核核心交換換機(jī)將VVLANN做為一一種接口口對(duì)待，和路由器上的一樣，如下所示:Hexxingg(coonfiig)#intterffacee VLLAN 10Hexxi

60、ngg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.00 VLLAN110接口口ipHexxingg(coonfiig)#intterffacee VLLAN 11Hexxingg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.00 VLLAN111接口口ipHexxingg(coonfiig)#intterffacee VLLAN 12Hexxingg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.0