任務(wù)3企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)課件

任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——了解VLAN

企業(yè)網(wǎng)中，為了限制廣播流量，提高網(wǎng)絡(luò)的安全性，方便網(wǎng)絡(luò)的施工和管理，通常會(huì)在企業(yè)網(wǎng)中劃分多個(gè)虛擬局域網(wǎng)（VLAN），將業(yè)務(wù)相關(guān)的計(jì)算機(jī)劃分到一個(gè)虛擬工作組，每個(gè)虛擬工作組就像一個(gè)獨(dú)立的局域網(wǎng)一樣。

虛擬局域網(wǎng)(VirtualLocalAreaNetwork，VLAN)是一種將物理局域網(wǎng)根據(jù)某種網(wǎng)絡(luò)特征從邏輯上劃分（注意，不是從物理上劃分）成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。

劃分后的VLAN具有局域網(wǎng)的所有特征，一個(gè)VLAN內(nèi)部的廣播和單播流量不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而可以隔離網(wǎng)絡(luò)上的廣播流量、提高網(wǎng)絡(luò)的安全性。

VLAN可應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)之中。不是所有交換機(jī)都具有VLAN功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書。VLAN流量可以跨域交換機(jī)，多個(gè)VLAN通過一條物理線路時(shí)，需要給數(shù)據(jù)幀打標(biāo)簽，以區(qū)分不同的VLAN流量。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——了解VLAN企業(yè)網(wǎng)中任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——為什么要?jiǎng)澐諺LAN？

提高了網(wǎng)絡(luò)通信效率。由于縮小了廣播域，一個(gè)VLAN內(nèi)的單播、廣播不會(huì)進(jìn)入另一個(gè)VLAN，減小了整個(gè)網(wǎng)絡(luò)的流量。

方便了維護(hù)和管理。VLAN是邏輯劃分的，不受物理位置的限制，給網(wǎng)絡(luò)管理帶來了方便。

提高網(wǎng)絡(luò)的安全性。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。要求高安全性的部門可以單獨(dú)使用一個(gè)VLAN，可有效防止外界的訪問。

沒有劃分VLAN的傳統(tǒng)局域網(wǎng)，處于同一個(gè)網(wǎng)段，是一個(gè)大的廣播域，廣播幀占用了大量的帶寬，當(dāng)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量增加時(shí)，廣播流量也隨之增大，廣播流量大到一定程度時(shí)，網(wǎng)路效率急劇下降。

VLAN的作用主要有：任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——為什么要?jiǎng)澐諺LAN？任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——可以基于哪些網(wǎng)絡(luò)特征劃分VLAN？

（1）基于端口劃分VLAN

基于端口劃分的VLAN屬于靜態(tài)VLAN，是將交換機(jī)上的物理端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。

（2）基于MAC地址劃分VLAN

基于MAC地址的VLAN是動(dòng)態(tài)VLAN，就是將MAC地址分成若干個(gè)組，使用同一組MAC地址的用戶構(gòu)成一個(gè)虛擬局域網(wǎng)。

（3）基于網(wǎng)絡(luò)層協(xié)議劃分VLAN

基于網(wǎng)絡(luò)層協(xié)議的VLAN也是動(dòng)態(tài)，可劃分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。通常用以下幾種定義方法：VLAN目前主要是在交換機(jī)上劃分，可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN。靜態(tài)VLAN就是明確地指定交換機(jī)的端口分別屬于哪個(gè)VLAN，動(dòng)態(tài)VLAN是根據(jù)交換機(jī)端口上所連接的計(jì)算機(jī)的情況來決定屬于哪個(gè)VLAN。普遍使用的是基于端口的靜態(tài)VLAN。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——可以基于哪些網(wǎng)絡(luò)特征劃分任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（1）新交換機(jī)中有VLAN1和VLAN1002、VLAN1003、VLAN1004和VLAN1005這5個(gè)默認(rèn)VLAN。默認(rèn)情況下交換機(jī)所有的端口都屬于VLAN1。

VLAN1稱為本地VLAN(NativeVLAN)，生成樹協(xié)議（STP，可防止局域網(wǎng)路）的橋接協(xié)議數(shù)據(jù)單元（BPDU）、VLANID(VLAN的編號(hào))的信息等都要通過NativeVLAN來傳輸。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（2）基于端口劃分VLAN分為兩步：第一步創(chuàng)建VLAN,第二步給每個(gè)VLAN分配端口成員。創(chuàng)建VLAN可以在全局配置模式下創(chuàng)建，也可以在VLAN數(shù)據(jù)庫模式下創(chuàng)建。但是，Cisco不推薦在VLAN數(shù)據(jù)庫模式下創(chuàng)建VLAN。①在全局模式下創(chuàng)建和刪除VLAN②在VLAN數(shù)據(jù)庫模式下創(chuàng)建和刪除VLAN第一步，創(chuàng)建VLAN任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（3）基于端口劃分VLAN就是將交換機(jī)的端口分配給不同的VLAN，作為各個(gè)VLAN的成員。第二步，給每個(gè)VLAN分配端口成員完成三個(gè)任務(wù)：①指定端口；②設(shè)置交換機(jī)端口為access模式；③將交換機(jī)端口分配給某個(gè)VLAN。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（1）

VTP（VLANTrunkProtocol）協(xié)議實(shí)現(xiàn)了在單個(gè)控制點(diǎn)上管理整個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)了VLAN的統(tǒng)一配置和管理，減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，減少了出錯(cuò)的幾率。在大型企業(yè)網(wǎng)絡(luò)中，交換機(jī)的數(shù)量非常多，而各個(gè)交換機(jī)的VLAN配置基本相同，因此，在企業(yè)交換網(wǎng)絡(luò)的配置和管理過程中存在非常多的重復(fù)勞動(dòng)，而且，也會(huì)由此產(chǎn)生一些配置錯(cuò)誤，使網(wǎng)絡(luò)出現(xiàn)故障。VTP協(xié)議在某個(gè)域內(nèi)工作，域內(nèi)的每臺(tái)交換機(jī)必須使用相同的VTP域名，在交換機(jī)與交換機(jī)之間不能連接其它設(shè)備，即交換機(jī)必須是相鄰的，而且要求在所有交換機(jī)中啟用Trunk。域內(nèi)的VTP服務(wù)器通過VLAN1向特定的組播地址發(fā)送VTP消息，來通告VTP服務(wù)器的VLAN配置情況，域內(nèi)的其他服務(wù)器和VTP客戶機(jī)接收通告統(tǒng)一自己的VLAN信息。要完成交換機(jī)之間的VLAN信息交換，需要完成配置Trunk端口、封裝VLAN協(xié)議、指定VTP域、指定工作模式以及修剪不必要的VLAN流量等工作。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（2）交換機(jī)在劃分了VLAN后，兩臺(tái)交換機(jī)上的相同VLAN之間的通信怎么來解決？1、配置Trunk端口如果每對(duì)VLAN之間使用一條物理連接，只傳輸本VLAN的信息，那么有多少個(gè)VLAN，每臺(tái)交換機(jī)就需要多少個(gè)端口用于交換機(jī)之間的連接，這樣非常浪費(fèi)交換機(jī)的端口。為了節(jié)約端口，就出現(xiàn)了Trunk技術(shù)。

Trunk是連接交換機(jī)與交換機(jī)或交換機(jī)與路由器的一條物理鏈路，用于交換機(jī)之間傳輸多個(gè)VLAN的信息，統(tǒng)一VLAN數(shù)據(jù)庫，從而節(jié)約了交換機(jī)端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（3）在接口配置模式下配置Trunk的命令語法如下：在Catalyst3560和2960之間各自通過F0/24端口建立Trunk鏈路的參考配置如下：多個(gè)VLAN的通信流量在交換機(jī)之間傳輸時(shí)，交換機(jī)之間的級(jí)聯(lián)鏈路必須采用Trunk鏈路，鏈路兩端的交換機(jī)端口必須設(shè)置為Trunk模式。Trunk鏈路承載了多個(gè)VLAN的通信流量，為了區(qū)分各個(gè)流量屬于哪個(gè)VLAN，就需要對(duì)Trunk鏈路上來自不同VLAN的數(shù)據(jù)幀做不同的標(biāo)記（tag），這樣，交換機(jī)就可以根據(jù)這個(gè)不同的標(biāo)記，將來自Trunk的數(shù)據(jù)幀送給不同的VLAN。switchportmodetrunk任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（4）2、在Trunk口封裝VLAN協(xié)議IEEE802.1Q協(xié)議是國(guó)際標(biāo)準(zhǔn)VLAN封裝協(xié)議，稱為VirtualBridgedLocalAreaNetworks協(xié)議。IEEE802.1Q協(xié)議對(duì)發(fā)往Trunk的以太網(wǎng)數(shù)據(jù)幀打標(biāo)記時(shí)，是在以太網(wǎng)的數(shù)據(jù)幀中間加入了4個(gè)字節(jié)的內(nèi)容，這四個(gè)字節(jié)的內(nèi)容包含一個(gè)標(biāo)記協(xié)議標(biāo)識(shí)符（TPID，TagProtocolIdentifier）以及VLAN號(hào)等內(nèi)容。交換機(jī)根據(jù)這個(gè)TPID來確定數(shù)據(jù)幀中的VLAN標(biāo)記是哪種VLAN封裝協(xié)議封裝的。如果這個(gè)TPID值為16進(jìn)制數(shù)0x8100，說明是使用的IEEE802.1Q協(xié)議。VLAN號(hào)用12為二進(jìn)制數(shù)來表示，最大可表示的VLAN數(shù)值為4096。（1）IEEE802.1Q協(xié)議任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（4）（2）ISL協(xié)議（交換鏈路內(nèi)協(xié)議）

ISL（交換鏈路內(nèi)協(xié)議）是Cisco私有VLAN封裝協(xié)議，用于Cisco交換機(jī)之間以及和路由器之間的VLAN封裝。

ISL協(xié)議對(duì)發(fā)往Trunk的以太網(wǎng)數(shù)據(jù)幀打標(biāo)記時(shí)，是在以太網(wǎng)數(shù)據(jù)幀的頭部附加26個(gè)字節(jié)ISL包頭、尾部附加4個(gè)字節(jié)的CRC校驗(yàn)，總共在以太網(wǎng)數(shù)據(jù)幀上增加了30個(gè)字節(jié)。IEEE802.1Q和ISL都是為了不同的VLAN數(shù)據(jù)打標(biāo)記，但I(xiàn)EEE802.1Q封裝破壞了以太網(wǎng)的數(shù)據(jù)幀，而ISL封裝不破壞以太網(wǎng)數(shù)據(jù)幀。

IEEE802.1Q和ISL互不兼容。

IEEE802.1Q和ISL互不兼容。如果網(wǎng)絡(luò)設(shè)備全部是Cisco設(shè)備，則可以使用ISL協(xié)議；如果網(wǎng)絡(luò)上有Cisco以外的網(wǎng)絡(luò)設(shè)備，則需要使用IEEE802.1Q協(xié)議。它們的區(qū)別在于針對(duì)NativeVLAN是否打標(biāo)記。ISL是全部都打標(biāo)記，有幾個(gè)VLAN打幾個(gè)標(biāo)記；而IEEE802.1Q協(xié)議除了VLAN1（也就是NativeVLAN）不打標(biāo)記之外，其他的VLAN都打標(biāo)記。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（5）在Trunk端口上封裝VLAN協(xié)議的命令語法如下：switchporttrunkencapsulationdot1q|ISL默認(rèn)情況下，Trunk鏈路承載所有VLAN的信息，但是，有時(shí)候交換機(jī)上可能有多條Trunk鏈路，VLAN信息需要分流，可以通過配置Trunk鏈路，允許或不允許某個(gè)VLAN信息通過。在Trunk接口模式下只允許某個(gè)VLAN通過的命令語法如下：Switchporttrunkallowedvlanvlan-list

vlan-list是指允許通過的那些VLAN號(hào)，多個(gè)VLAN號(hào)之間用“,”分割。如果設(shè)置允許所有的VLAN通過，vlan-list就是all。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（6）例如，在Catalyst3560和2960上各自有VLAN1、VLAN10、VLAN20、VLAN30、VLAN40，交換機(jī)之間各自通過F0/24端口和對(duì)方建立Trunk鏈路，封裝IEEE802.1Q協(xié)議，允許VLAN1、VLAN10、VLAN20信息通過，不允許VLAN30和VLAN40信息通過的參考配置如下：

vlan-list是指允許通過的那些VLAN號(hào)，多個(gè)VLAN號(hào)之間用“,”分割。如果設(shè)置允許所有的VLAN通過，vlan-list就是all。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（7）在Trunk鏈路上，如果需要在現(xiàn)有允許通過的VLAN中指定不允許通過的VLAN，可以采用以下命令：Switchporttrunkallowedvlanremovevlan-id在Trunk鏈路上，如果需要在現(xiàn)有允許通過的基礎(chǔ)上增加允許通過的VLAN，可以采用以下命令：Switchporttrunkallowedvlanaddvlan-id例如，在Catalyst3560的F0/24上現(xiàn)有允許通過的VLAN1、VLAN10、VLAN20中不允許VLAN10通過。增加允許VLAN30和VLAN40通過。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（8）3、配置VTP管理域（administrativedomain）和VTP工作模式網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)組成一個(gè)VTP管理域。

Cisco交換機(jī)配置VTP管理域可以在兩種模式下進(jìn)行，一種是在全局配置模式下進(jìn)行，還有一種是在VLAN數(shù)據(jù)庫模式下進(jìn)行。兩種模式下配置VTP管理域的命令語法是一樣的：vtpdomaindomain-name域名是區(qū)分大小寫的，域名不會(huì)隔離廣播域，僅僅用于同步VLAN配置信息。VTP是VLAN中繼協(xié)議，是第2層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)上VLAN的添加、刪除和重命名。一臺(tái)交換機(jī)只能屬于一個(gè)域，同一個(gè)域內(nèi)的交換機(jī)之間才能交換VLAN信息。（1）配置VTP管理域任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（9）運(yùn)行VTP協(xié)議的交換機(jī)必須設(shè)置某一種模式。Cisco交換機(jī)默認(rèn)為VTP的server模式。服務(wù)器模式：控制它所在域中所有VLAN的修改、添加與刪除。一個(gè)網(wǎng)絡(luò)最少要有一臺(tái)Server模式的交換機(jī)，可以有多臺(tái)。Server模式的交換機(jī)在配置了VLAN后，會(huì)將VLAN信息向網(wǎng)絡(luò)上的其他交換機(jī)進(jìn)行通告，同時(shí)接收網(wǎng)絡(luò)上其他Server模式的交換機(jī)發(fā)來的通告，以統(tǒng)一VLAN數(shù)據(jù)庫?？蛻舳四Ｊ剑翰辉试S管理員修改、添加與刪除VLAN，只接收從服務(wù)器發(fā)過來的VTP通告，對(duì)自己的VLAN數(shù)據(jù)庫進(jìn)行更新。透明模式：此模式不參與VTP，它的VLAN數(shù)據(jù)不會(huì)傳播到其它交換機(jī)上，它只在本地有效。當(dāng)交換機(jī)處于此模式時(shí)，如果是采用VTPv1的話則它不轉(zhuǎn)發(fā)服務(wù)器傳來的VTP通告，如果采用VTPv2，則轉(zhuǎn)發(fā)來自服務(wù)器端的VTP通告。VTP協(xié)議有三種工作模式：服務(wù)器模式（Server）、客戶機(jī)模式（Client）和透明模式（Transparent）。（2）配置VTP工作模式任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（10）

到目前為止，VTP具有三種版本：VTPv1、VTPv2和VTPv3。其中VTPv2與VTPv1區(qū)別不大，主要區(qū)別在于：VTPv2支持令牌環(huán)VLAN，而VTPv1不支持。VTPv3不能直接處理VLAN事務(wù)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（11）

一臺(tái)Catalyst3560和兩臺(tái)Catalyst2960組成如下所示的網(wǎng)絡(luò)，Catalyst3560設(shè)置VTP的server模式，中間一臺(tái)交換機(jī)設(shè)置VTP的transparent模式，右邊一臺(tái)設(shè)置VTP的client模式。

三臺(tái)交換機(jī)都設(shè)置VTP域名test，就是說三臺(tái)交換機(jī)位于同一個(gè)VTP管理域。

在Catalyst3560上創(chuàng)建VLAN10、VLAN20、VLAN30和VLAN50，給VLAN10分配1-10、VLAN20分配11-15、VLAN30分配16-20、VLAN50分配21-23號(hào)端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（12）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（13）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（14）4、修剪掉不必要的VLAN流量，節(jié)約網(wǎng)絡(luò)帶寬VTP會(huì)產(chǎn)生不必要的網(wǎng)絡(luò)流量。因?yàn)橥ㄟ^Trunk，單播和廣播在整個(gè)VLAN內(nèi)進(jìn)行擴(kuò)散，使得域內(nèi)的所有交換機(jī)接收到所有廣播，即使某個(gè)交換機(jī)上沒有某個(gè)VLAN的成員，情況也不例外。VTPpruning技術(shù)正可以消除這個(gè)多余流量，pruning技術(shù)可以自動(dòng)修剪掉不需要經(jīng)過Trunk的那些流量。修剪功能只需要在VTP服務(wù)器上打開，就可以實(shí)現(xiàn)整個(gè)域內(nèi)的多余VLAN流量的修剪。修剪功能只需要在VTP服務(wù)器上打開，就可以實(shí)現(xiàn)整個(gè)域內(nèi)的多余VLAN流量的修剪。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（15）前面的例子中加上VLAN修剪和VTP密碼，右邊的2960給VLAN20分配1-22端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（1）1、企業(yè)網(wǎng)的VLAN劃分第一步：規(guī)劃VLAN及VLAN內(nèi)的地址VLANVLAN名IP網(wǎng)段默認(rèn)網(wǎng)關(guān)使用說明匯聚交換機(jī)1192.168.0.0/24192.168.0.254管理VLAN10jsj192.168.1.0/24192.168.1.254計(jì)算機(jī)室Distribute120qbs192.168.2.0/24192.168.2.254情報(bào)室30kyc192.168.3.0/24192.168.3.254科研處Distribute240jxs192.168.4.0/24192.168.4.254機(jī)械室50dys192.168.5.0/24192.168.5.254鍛壓室Distribute360clcj192.168.6.0/24192.168.6.254齒輪車間Distribute4200Server192.168.64.0/24192.168.64.254服務(wù)器群Distribute13這里為每個(gè)部門分配了一個(gè)C類地址，如果某個(gè)部門比較大，計(jì)算機(jī)數(shù)量比較多，可根據(jù)需要分配多個(gè)C類地址。地址分配一般使用連續(xù)地址，方便匯聚。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（2）第二步：在作為VTP服務(wù)器的交換機(jī)上創(chuàng)建VLAN

在網(wǎng)絡(luò)中的分布層交換機(jī)Distribute1上創(chuàng)建所有VLAN，其他交換機(jī)通過配置VTP協(xié)議來交換VLAN信息。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（3）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（4）第三步：域內(nèi)的其他交換機(jī)通過VTP協(xié)議統(tǒng)一VLAN數(shù)據(jù)庫，接入交換機(jī)還要給各個(gè)VLAN分配成員接口以計(jì)算機(jī)室的接入交換機(jī)為例進(jìn)行配置，其他交換機(jī)可參照配置：任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（5）2、接入層交換機(jī)上聯(lián)分布層交換機(jī)企業(yè)在組建局域網(wǎng)時(shí)一般會(huì)采用核心層、分布層和接入層三層網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)接入層的所有端口處于同一個(gè)VLAN時(shí)，接入層交換機(jī)的上聯(lián)端口只需access端口，分布層上交換機(jī)的下聯(lián)接口也是access端口。當(dāng)接入層的每臺(tái)交換機(jī)劃分多個(gè)VLAN時(shí)，接入層交換機(jī)的上聯(lián)端口必須是Trunk端口，分布層上交換機(jī)的下聯(lián)接口也必須是Trunk端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（1）（1）每臺(tái)接入交換機(jī)只有一個(gè)VLAN的上聯(lián)

某企業(yè)采用Catalyst3550交換機(jī)作為每幢大樓的分布層交換機(jī)；每個(gè)部門采用一臺(tái)Catalyst2950交換機(jī)作為接入交換機(jī)，每個(gè)部門為一個(gè)VLAN；各個(gè)VLAN之間的通信由核心層交換機(jī)路由實(shí)現(xiàn)。

有幢大樓只有研發(fā)部和生產(chǎn)部，分布層交換機(jī)的快速以太網(wǎng)端口1-10連接研發(fā)部交換機(jī)，11-24連接生產(chǎn)部交換機(jī)，千兆口G0/1上聯(lián)核心交換機(jī)；研發(fā)部為VLAN20，生產(chǎn)部為VLAN30，每臺(tái)接入交換機(jī)均采用F0/24口上聯(lián)分布層交換機(jī)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（2）（2）每臺(tái)接入交換機(jī)多個(gè)VLAN的上聯(lián)

某企業(yè)采用Catalyst3550交換機(jī)作為每幢大樓的分布層交換機(jī)，每個(gè)樓層或幾個(gè)樓層采用一臺(tái)Catalyst2950交換機(jī)作為接入交換機(jī)；

每個(gè)部門為一個(gè)VLAN，各個(gè)VLAN之間的通信由核心層交換機(jī)路由實(shí)現(xiàn)。

有幢樓有20層，只有研發(fā)部和生產(chǎn)部，但大多數(shù)樓層都有這兩個(gè)部門的人員工作。分布層用百兆口下聯(lián)接入交換機(jī)，用千兆口G0/1通過單模光纖上聯(lián)核心交換機(jī)；研發(fā)部為VLAN20，生產(chǎn)部為VLAN30，每臺(tái)接入交換機(jī)均采用F0/24端口上聯(lián)分布層交換機(jī)，F(xiàn)0/1~10給研發(fā)部，F(xiàn)0/11~23給生產(chǎn)部。

分析：由于大多數(shù)樓層的都有兩個(gè)部門的人，而且需要共用一臺(tái)接入交換機(jī)，所以，每臺(tái)接入交換機(jī)上就會(huì)有兩個(gè)相同的VLAN，這種重復(fù)劃分VLAN的工作沒必要，可以使用VTP協(xié)議來獲得。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（3）分布層上創(chuàng)建VLAN，通過Trunk鏈路通告給域內(nèi)的接入層交換機(jī)和核心層交換機(jī)。由于有些樓層只有一個(gè)部門用戶，沒有必要接收其他VLAN的內(nèi)容，所以在分布層上設(shè)置VLAN修剪。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(1)一、實(shí)訓(xùn)名稱

虛擬終端遠(yuǎn)程配置交換機(jī)二、實(shí)驗(yàn)?zāi)康?、掌握交換機(jī)密碼的配置、取消和修改方法；2、掌握交換機(jī)的遠(yuǎn)程登錄配置方法；3、熟悉基于端口的VLAN配置指令和配制方法。三、實(shí)訓(xùn)內(nèi)容

交換機(jī)通過console口配置是新交換機(jī)必須的，但是，網(wǎng)絡(luò)的交換機(jī)只要設(shè)置了管理地址、網(wǎng)關(guān)，以及虛擬終端線路的密碼和特權(quán)密碼，就可以在網(wǎng)絡(luò)上的任意一臺(tái)計(jì)算機(jī)上，通過Telnet遠(yuǎn)程登錄到交換機(jī)上對(duì)交換機(jī)進(jìn)行配置。本實(shí)驗(yàn)是通過Telnet遠(yuǎn)程登錄進(jìn)行基于端口的VLAN創(chuàng)建指令練習(xí)。四、實(shí)訓(xùn)環(huán)境

一臺(tái)Catalyst2960交換機(jī)，1臺(tái)計(jì)算機(jī)。計(jì)算機(jī)通過局域網(wǎng)口用直通雙絞線連接交換機(jī)的普通端口；再用交換機(jī)附帶的配置電纜連接交換機(jī)的CONSOLE口和計(jì)算機(jī)的COM1口，該計(jì)算機(jī)需配置超級(jí)終端。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(2)五、實(shí)驗(yàn)步驟1、在本地配置模式為遠(yuǎn)程配置做好預(yù)配置。

將計(jì)算機(jī)的COM1口通過控制電纜連接連接交換機(jī)的console口，打開超級(jí)終端，配置好連接參數(shù)，做好本地配置準(zhǔn)備工作。2、查看FLASH的內(nèi)容，看看有沒有vlan.dat文件，如果有這個(gè)文件，說明被配置過VLAN，需要清除所有的VLAN，所以執(zhí)行第三步。沒有這個(gè)文件說明像新交換機(jī)一樣，就跳過第三步。3、在特權(quán)模式下執(zhí)行erasestartup-config命令，清除啟動(dòng)配置文件；執(zhí)行deleteflash:vlan.dat命令。然后在執(zhí)行reboot命令，重啟交換機(jī)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(3)4、配置交換機(jī)的管理地址和VTY密碼。

交換機(jī)要能進(jìn)行遠(yuǎn)程配置，必須提供管理地址。二層交換機(jī)的交換端口是不能設(shè)置IP地址的，只能對(duì)交換機(jī)的VLAN接口設(shè)置IP地址。新交換機(jī)的所有端口都屬于VLAN1，所以，一般就設(shè)置VLAN1的接口地址作為管理地址。

我們只設(shè)置了管理IP地址供同一網(wǎng)段的用戶遠(yuǎn)程管理，如果處于和VLAN1不同網(wǎng)段的計(jì)算機(jī)想?yún)⑴c交換機(jī)的管理的話，還需要給交換機(jī)設(shè)置默認(rèn)網(wǎng)關(guān)。SwitchA(config)#ipdefault-gateway192.168.0.254任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(4)5、用直通網(wǎng)線連接計(jì)算機(jī)的網(wǎng)卡和交換機(jī)的端口。6、開始遠(yuǎn)程配置。7、回到本地配置模式，添加enablepassword密碼test。8、現(xiàn)在可以通過Telnet方式遠(yuǎn)程配置了,因?yàn)楝F(xiàn)在有了enable密碼了。在Telnet方式遠(yuǎn)程配置模式下，刪除enablepassword密碼。 SwitchA(config)#noenablepassword任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(5)9、重新設(shè)置enablepassword密碼為study。SwitchA(config)#enablepasswordstudy10在全局模式下創(chuàng)建VLAN10，并命名為xxx；在VLAN數(shù)據(jù)庫模式下創(chuàng)建VLAN20，并命名為yyy。并將配置文件保存到啟動(dòng)配置文件。只要給交換機(jī)上的某個(gè)VLAN分配一個(gè)IP地址，所有通過網(wǎng)絡(luò)能夠訪問這個(gè)IP地址的計(jì)算機(jī)都可以遠(yuǎn)程配置這臺(tái)交換機(jī)，這就給網(wǎng)絡(luò)管理員帶來了很大的方便，網(wǎng)絡(luò)只要是連通的，網(wǎng)絡(luò)管理員就可以在網(wǎng)絡(luò)上的任何位置配置管理這臺(tái)交換機(jī)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)(1)一、實(shí)訓(xùn)名稱

單交換機(jī)虛擬局域網(wǎng)組建二、實(shí)訓(xùn)目的1、掌握基于端口的VLAN劃分方法。2、熟悉端口的基本參數(shù)應(yīng)用。3、掌握VLAN成員的添加和刪除方法。三、實(shí)訓(xùn)內(nèi)容

當(dāng)網(wǎng)絡(luò)規(guī)模比較大時(shí)，需要將網(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段，基于端口劃分VLAN就是一種很好地實(shí)現(xiàn)網(wǎng)絡(luò)分段的辦法。劃分為多個(gè)VLAN，可以縮小廣播范圍，提高網(wǎng)絡(luò)的通信速率，而且可以很好地控制病毒的傳播和惡意的網(wǎng)絡(luò)攻擊。當(dāng)人員移動(dòng)時(shí)，只要修改端口所屬VLAN，減少了重新布線的麻煩，減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)。我們的主要任務(wù)就是將交換機(jī)劃分兩個(gè)虛擬局域網(wǎng)，給每個(gè)VLAN添加成員，驗(yàn)證VLAN之間的連通性。

同時(shí)，為了加速網(wǎng)絡(luò)的收斂速度，不在交換機(jī)端口使用自適應(yīng)功能。四、實(shí)訓(xùn)環(huán)境

一臺(tái)CISCO2960交換機(jī)，一根配置電纜、4根直通網(wǎng)線、4臺(tái)計(jì)算機(jī)，按如下圖所示的方式連接。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)(2)五、實(shí)訓(xùn)步驟1、準(zhǔn)備一臺(tái)沒有劃分VLAN的交換機(jī)

查看有沒有vlan.dat文件，如果有，清除交換機(jī)的啟動(dòng)配置文件、刪除vlan.dat文件，重啟交換機(jī)。2、驗(yàn)證計(jì)算機(jī)之間的通信

準(zhǔn)備四臺(tái)計(jì)算機(jī)，分別連接到交換機(jī)的3、4、5、6端口上，組成一個(gè)局域網(wǎng)。四臺(tái)計(jì)算機(jī)的IP地址分別設(shè)置為192.168.1.3，192.168.1.4，192.168.1.5和192.168.1.6，子網(wǎng)掩碼均為255.255.255.0。用ping命令驗(yàn)證計(jì)算機(jī)之間的連通性。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)(3)3、查看VLAN信息4、在全局模式下劃分VLAN任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)(4)5、向VLAN里添加交換機(jī)端口這時(shí)我們?cè)偻ㄟ^showvlan命令，可以看到VLAN2里已經(jīng)有兩個(gè)交換機(jī)端口，端口3和端口4；VLAN3里有了端口5和端口6。其他的端口還屬于VLAN1。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)(5)6、用ping命令進(jìn)行通信驗(yàn)證A、B兩臺(tái)計(jì)算機(jī)可以通信，C、D兩臺(tái)計(jì)算機(jī)也可以通信。A、B和C、D之間不能通信。7、刪除VLAN

端口5和6現(xiàn)在不見了8、找回看不見的端口

我們可以重新將這兩個(gè)端口加入某個(gè)VLAN，通過showvlan命令查看就可以看到了。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——單交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)(1)一、實(shí)訓(xùn)名稱

基于VTP協(xié)議的跨交換機(jī)虛擬局域網(wǎng)組建二、實(shí)訓(xùn)目的1、掌握VTP協(xié)議的配置方法和VTP的三種模式之間的區(qū)別。2、掌握TRUNK的配置方法。3、掌握VTP參數(shù)的查看方法。三、實(shí)訓(xùn)內(nèi)容

企業(yè)網(wǎng)絡(luò)中交換機(jī)的數(shù)量很多，而交換機(jī)中的VLAN設(shè)置卻差不多，如果給每臺(tái)交換機(jī)配置VLAN，不僅工作量大，而且都是一些重復(fù)的工作。利用VTP協(xié)議，可以只在一臺(tái)交換機(jī)上配置，然后通告給其他交換機(jī)，這樣可以減少網(wǎng)絡(luò)管理員的工作量。對(duì)于不需要的VLAN信息，可以通過VLAN修剪的功能屏蔽掉。四、實(shí)訓(xùn)環(huán)境

兩臺(tái)CISCO2950交換機(jī)，六根直通線，一根交叉線，按如下圖所示的方式連接好線路。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)(2)五、實(shí)訓(xùn)步驟1、左邊的交換機(jī)命名為Switch-A,右邊的交換機(jī)命名為Switch-B。2、在Switch-A上做如下配置：任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)(3)3、在Switch-B上做如下配置：4、驗(yàn)證在Switch-B上所獲得的VLAN信息：在Switch-A上創(chuàng)建的VLAN，在Switch-B上應(yīng)該全部學(xué)習(xí)到了。5、用showvtpstatus命令查看VTP的版本、工作模式、域和修剪等相關(guān)信息。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)(4)6、還可以通過showvtpcounters命令查看交換機(jī)收發(fā)的VTP通告的統(tǒng)計(jì)信息。7、驗(yàn)證在同一VLAN的計(jì)算機(jī)的連通性。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)(5)8、如果此時(shí)將交換機(jī)Switch-B的VTP模式改為transparent,在Switch-B的f0/1口上再連接另一臺(tái)2950交換機(jī)（Switch-C）的f0/1端口，并將Switch-C的f0/1端口設(shè)置為TRUNK，并將Switch-C的VTP設(shè)置為client。此時(shí)你會(huì)發(fā)現(xiàn)，無論在Switch-A上是添加VLAN還是刪除VLAN，Switch-B上的VLAN數(shù)都不會(huì)改變，而Switch-C上的VLAN數(shù)量會(huì)跟著Switch-A而改變，此時(shí)Switch-B只是起到了透明傳輸VLAN信息的作用。9、在完成第6步后，在交換機(jī)Switch-A完成如下配置，用“showvlan”命令繼續(xù)觀察Switch-B和Switch-C上VLAN數(shù)的變化。你會(huì)發(fā)現(xiàn)只需在VTP服務(wù)器上啟用修剪功能，就可以在相應(yīng)的交換機(jī)上屏蔽掉不需要的VLAN信息。Switch-A(config)#vtppruning任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——跨交換機(jī)VLAN配置實(shí)訓(xùn)謝謝！謝謝！任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——了解VLAN

企業(yè)網(wǎng)中，為了限制廣播流量，提高網(wǎng)絡(luò)的安全性，方便網(wǎng)絡(luò)的施工和管理，通常會(huì)在企業(yè)網(wǎng)中劃分多個(gè)虛擬局域網(wǎng)（VLAN），將業(yè)務(wù)相關(guān)的計(jì)算機(jī)劃分到一個(gè)虛擬工作組，每個(gè)虛擬工作組就像一個(gè)獨(dú)立的局域網(wǎng)一樣。

虛擬局域網(wǎng)(VirtualLocalAreaNetwork，VLAN)是一種將物理局域網(wǎng)根據(jù)某種網(wǎng)絡(luò)特征從邏輯上劃分（注意，不是從物理上劃分）成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。

劃分后的VLAN具有局域網(wǎng)的所有特征，一個(gè)VLAN內(nèi)部的廣播和單播流量不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而可以隔離網(wǎng)絡(luò)上的廣播流量、提高網(wǎng)絡(luò)的安全性。

VLAN可應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)之中。不是所有交換機(jī)都具有VLAN功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書。VLAN流量可以跨域交換機(jī)，多個(gè)VLAN通過一條物理線路時(shí)，需要給數(shù)據(jù)幀打標(biāo)簽，以區(qū)分不同的VLAN流量。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——了解VLAN企業(yè)網(wǎng)中任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——為什么要?jiǎng)澐諺LAN？

提高了網(wǎng)絡(luò)通信效率。由于縮小了廣播域，一個(gè)VLAN內(nèi)的單播、廣播不會(huì)進(jìn)入另一個(gè)VLAN，減小了整個(gè)網(wǎng)絡(luò)的流量。

方便了維護(hù)和管理。VLAN是邏輯劃分的，不受物理位置的限制，給網(wǎng)絡(luò)管理帶來了方便。

提高網(wǎng)絡(luò)的安全性。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。要求高安全性的部門可以單獨(dú)使用一個(gè)VLAN，可有效防止外界的訪問。

沒有劃分VLAN的傳統(tǒng)局域網(wǎng)，處于同一個(gè)網(wǎng)段，是一個(gè)大的廣播域，廣播幀占用了大量的帶寬，當(dāng)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量增加時(shí)，廣播流量也隨之增大，廣播流量大到一定程度時(shí)，網(wǎng)路效率急劇下降。

VLAN的作用主要有：任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——為什么要?jiǎng)澐諺LAN？任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——可以基于哪些網(wǎng)絡(luò)特征劃分VLAN？

（1）基于端口劃分VLAN

基于端口劃分的VLAN屬于靜態(tài)VLAN，是將交換機(jī)上的物理端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。

（2）基于MAC地址劃分VLAN

基于MAC地址的VLAN是動(dòng)態(tài)VLAN，就是將MAC地址分成若干個(gè)組，使用同一組MAC地址的用戶構(gòu)成一個(gè)虛擬局域網(wǎng)。

（3）基于網(wǎng)絡(luò)層協(xié)議劃分VLAN

基于網(wǎng)絡(luò)層協(xié)議的VLAN也是動(dòng)態(tài)，可劃分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。通常用以下幾種定義方法：VLAN目前主要是在交換機(jī)上劃分，可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN。靜態(tài)VLAN就是明確地指定交換機(jī)的端口分別屬于哪個(gè)VLAN，動(dòng)態(tài)VLAN是根據(jù)交換機(jī)端口上所連接的計(jì)算機(jī)的情況來決定屬于哪個(gè)VLAN。普遍使用的是基于端口的靜態(tài)VLAN。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——可以基于哪些網(wǎng)絡(luò)特征劃分任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（1）新交換機(jī)中有VLAN1和VLAN1002、VLAN1003、VLAN1004和VLAN1005這5個(gè)默認(rèn)VLAN。默認(rèn)情況下交換機(jī)所有的端口都屬于VLAN1。

VLAN1稱為本地VLAN(NativeVLAN)，生成樹協(xié)議（STP，可防止局域網(wǎng)路）的橋接協(xié)議數(shù)據(jù)單元（BPDU）、VLANID(VLAN的編號(hào))的信息等都要通過NativeVLAN來傳輸。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（2）基于端口劃分VLAN分為兩步：第一步創(chuàng)建VLAN,第二步給每個(gè)VLAN分配端口成員。創(chuàng)建VLAN可以在全局配置模式下創(chuàng)建，也可以在VLAN數(shù)據(jù)庫模式下創(chuàng)建。但是，Cisco不推薦在VLAN數(shù)據(jù)庫模式下創(chuàng)建VLAN。①在全局模式下創(chuàng)建和刪除VLAN②在VLAN數(shù)據(jù)庫模式下創(chuàng)建和刪除VLAN第一步，創(chuàng)建VLAN任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（3）基于端口劃分VLAN就是將交換機(jī)的端口分配給不同的VLAN，作為各個(gè)VLAN的成員。第二步，給每個(gè)VLAN分配端口成員完成三個(gè)任務(wù)：①指定端口；②設(shè)置交換機(jī)端口為access模式；③將交換機(jī)端口分配給某個(gè)VLAN。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于端口劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（1）

VTP（VLANTrunkProtocol）協(xié)議實(shí)現(xiàn)了在單個(gè)控制點(diǎn)上管理整個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)了VLAN的統(tǒng)一配置和管理，減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，減少了出錯(cuò)的幾率。在大型企業(yè)網(wǎng)絡(luò)中，交換機(jī)的數(shù)量非常多，而各個(gè)交換機(jī)的VLAN配置基本相同，因此，在企業(yè)交換網(wǎng)絡(luò)的配置和管理過程中存在非常多的重復(fù)勞動(dòng)，而且，也會(huì)由此產(chǎn)生一些配置錯(cuò)誤，使網(wǎng)絡(luò)出現(xiàn)故障。VTP協(xié)議在某個(gè)域內(nèi)工作，域內(nèi)的每臺(tái)交換機(jī)必須使用相同的VTP域名，在交換機(jī)與交換機(jī)之間不能連接其它設(shè)備，即交換機(jī)必須是相鄰的，而且要求在所有交換機(jī)中啟用Trunk。域內(nèi)的VTP服務(wù)器通過VLAN1向特定的組播地址發(fā)送VTP消息，來通告VTP服務(wù)器的VLAN配置情況，域內(nèi)的其他服務(wù)器和VTP客戶機(jī)接收通告統(tǒng)一自己的VLAN信息。要完成交換機(jī)之間的VLAN信息交換，需要完成配置Trunk端口、封裝VLAN協(xié)議、指定VTP域、指定工作模式以及修剪不必要的VLAN流量等工作。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（2）交換機(jī)在劃分了VLAN后，兩臺(tái)交換機(jī)上的相同VLAN之間的通信怎么來解決？1、配置Trunk端口如果每對(duì)VLAN之間使用一條物理連接，只傳輸本VLAN的信息，那么有多少個(gè)VLAN，每臺(tái)交換機(jī)就需要多少個(gè)端口用于交換機(jī)之間的連接，這樣非常浪費(fèi)交換機(jī)的端口。為了節(jié)約端口，就出現(xiàn)了Trunk技術(shù)。

Trunk是連接交換機(jī)與交換機(jī)或交換機(jī)與路由器的一條物理鏈路，用于交換機(jī)之間傳輸多個(gè)VLAN的信息，統(tǒng)一VLAN數(shù)據(jù)庫，從而節(jié)約了交換機(jī)端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（3）在接口配置模式下配置Trunk的命令語法如下：在Catalyst3560和2960之間各自通過F0/24端口建立Trunk鏈路的參考配置如下：多個(gè)VLAN的通信流量在交換機(jī)之間傳輸時(shí)，交換機(jī)之間的級(jí)聯(lián)鏈路必須采用Trunk鏈路，鏈路兩端的交換機(jī)端口必須設(shè)置為Trunk模式。Trunk鏈路承載了多個(gè)VLAN的通信流量，為了區(qū)分各個(gè)流量屬于哪個(gè)VLAN，就需要對(duì)Trunk鏈路上來自不同VLAN的數(shù)據(jù)幀做不同的標(biāo)記（tag），這樣，交換機(jī)就可以根據(jù)這個(gè)不同的標(biāo)記，將來自Trunk的數(shù)據(jù)幀送給不同的VLAN。switchportmodetrunk任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（4）2、在Trunk口封裝VLAN協(xié)議IEEE802.1Q協(xié)議是國(guó)際標(biāo)準(zhǔn)VLAN封裝協(xié)議，稱為VirtualBridgedLocalAreaNetworks協(xié)議。IEEE802.1Q協(xié)議對(duì)發(fā)往Trunk的以太網(wǎng)數(shù)據(jù)幀打標(biāo)記時(shí)，是在以太網(wǎng)的數(shù)據(jù)幀中間加入了4個(gè)字節(jié)的內(nèi)容，這四個(gè)字節(jié)的內(nèi)容包含一個(gè)標(biāo)記協(xié)議標(biāo)識(shí)符（TPID，TagProtocolIdentifier）以及VLAN號(hào)等內(nèi)容。交換機(jī)根據(jù)這個(gè)TPID來確定數(shù)據(jù)幀中的VLAN標(biāo)記是哪種VLAN封裝協(xié)議封裝的。如果這個(gè)TPID值為16進(jìn)制數(shù)0x8100，說明是使用的IEEE802.1Q協(xié)議。VLAN號(hào)用12為二進(jìn)制數(shù)來表示，最大可表示的VLAN數(shù)值為4096。（1）IEEE802.1Q協(xié)議任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（4）（2）ISL協(xié)議（交換鏈路內(nèi)協(xié)議）

ISL（交換鏈路內(nèi)協(xié)議）是Cisco私有VLAN封裝協(xié)議，用于Cisco交換機(jī)之間以及和路由器之間的VLAN封裝。

ISL協(xié)議對(duì)發(fā)往Trunk的以太網(wǎng)數(shù)據(jù)幀打標(biāo)記時(shí)，是在以太網(wǎng)數(shù)據(jù)幀的頭部附加26個(gè)字節(jié)ISL包頭、尾部附加4個(gè)字節(jié)的CRC校驗(yàn)，總共在以太網(wǎng)數(shù)據(jù)幀上增加了30個(gè)字節(jié)。IEEE802.1Q和ISL都是為了不同的VLAN數(shù)據(jù)打標(biāo)記，但I(xiàn)EEE802.1Q封裝破壞了以太網(wǎng)的數(shù)據(jù)幀，而ISL封裝不破壞以太網(wǎng)數(shù)據(jù)幀。

IEEE802.1Q和ISL互不兼容。

IEEE802.1Q和ISL互不兼容。如果網(wǎng)絡(luò)設(shè)備全部是Cisco設(shè)備，則可以使用ISL協(xié)議；如果網(wǎng)絡(luò)上有Cisco以外的網(wǎng)絡(luò)設(shè)備，則需要使用IEEE802.1Q協(xié)議。它們的區(qū)別在于針對(duì)NativeVLAN是否打標(biāo)記。ISL是全部都打標(biāo)記，有幾個(gè)VLAN打幾個(gè)標(biāo)記；而IEEE802.1Q協(xié)議除了VLAN1（也就是NativeVLAN）不打標(biāo)記之外，其他的VLAN都打標(biāo)記。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（5）在Trunk端口上封裝VLAN協(xié)議的命令語法如下：switchporttrunkencapsulationdot1q|ISL默認(rèn)情況下，Trunk鏈路承載所有VLAN的信息，但是，有時(shí)候交換機(jī)上可能有多條Trunk鏈路，VLAN信息需要分流，可以通過配置Trunk鏈路，允許或不允許某個(gè)VLAN信息通過。在Trunk接口模式下只允許某個(gè)VLAN通過的命令語法如下：Switchporttrunkallowedvlanvlan-list

vlan-list是指允許通過的那些VLAN號(hào)，多個(gè)VLAN號(hào)之間用“,”分割。如果設(shè)置允許所有的VLAN通過，vlan-list就是all。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（6）例如，在Catalyst3560和2960上各自有VLAN1、VLAN10、VLAN20、VLAN30、VLAN40，交換機(jī)之間各自通過F0/24端口和對(duì)方建立Trunk鏈路，封裝IEEE802.1Q協(xié)議，允許VLAN1、VLAN10、VLAN20信息通過，不允許VLAN30和VLAN40信息通過的參考配置如下：

vlan-list是指允許通過的那些VLAN號(hào)，多個(gè)VLAN號(hào)之間用“,”分割。如果設(shè)置允許所有的VLAN通過，vlan-list就是all。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（7）在Trunk鏈路上，如果需要在現(xiàn)有允許通過的VLAN中指定不允許通過的VLAN，可以采用以下命令：Switchporttrunkallowedvlanremovevlan-id在Trunk鏈路上，如果需要在現(xiàn)有允許通過的基礎(chǔ)上增加允許通過的VLAN，可以采用以下命令：Switchporttrunkallowedvlanaddvlan-id例如，在Catalyst3560的F0/24上現(xiàn)有允許通過的VLAN1、VLAN10、VLAN20中不允許VLAN10通過。增加允許VLAN30和VLAN40通過。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（8）3、配置VTP管理域（administrativedomain）和VTP工作模式網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)組成一個(gè)VTP管理域。

Cisco交換機(jī)配置VTP管理域可以在兩種模式下進(jìn)行，一種是在全局配置模式下進(jìn)行，還有一種是在VLAN數(shù)據(jù)庫模式下進(jìn)行。兩種模式下配置VTP管理域的命令語法是一樣的：vtpdomaindomain-name域名是區(qū)分大小寫的，域名不會(huì)隔離廣播域，僅僅用于同步VLAN配置信息。VTP是VLAN中繼協(xié)議，是第2層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)內(nèi)具有相同VTP域名的交換機(jī)上VLAN的添加、刪除和重命名。一臺(tái)交換機(jī)只能屬于一個(gè)域，同一個(gè)域內(nèi)的交換機(jī)之間才能交換VLAN信息。（1）配置VTP管理域任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（9）運(yùn)行VTP協(xié)議的交換機(jī)必須設(shè)置某一種模式。Cisco交換機(jī)默認(rèn)為VTP的server模式。服務(wù)器模式：控制它所在域中所有VLAN的修改、添加與刪除。一個(gè)網(wǎng)絡(luò)最少要有一臺(tái)Server模式的交換機(jī)，可以有多臺(tái)。Server模式的交換機(jī)在配置了VLAN后，會(huì)將VLAN信息向網(wǎng)絡(luò)上的其他交換機(jī)進(jìn)行通告，同時(shí)接收網(wǎng)絡(luò)上其他Server模式的交換機(jī)發(fā)來的通告，以統(tǒng)一VLAN數(shù)據(jù)庫?？蛻舳四Ｊ剑翰辉试S管理員修改、添加與刪除VLAN，只接收從服務(wù)器發(fā)過來的VTP通告，對(duì)自己的VLAN數(shù)據(jù)庫進(jìn)行更新。透明模式：此模式不參與VTP，它的VLAN數(shù)據(jù)不會(huì)傳播到其它交換機(jī)上，它只在本地有效。當(dāng)交換機(jī)處于此模式時(shí)，如果是采用VTPv1的話則它不轉(zhuǎn)發(fā)服務(wù)器傳來的VTP通告，如果采用VTPv2，則轉(zhuǎn)發(fā)來自服務(wù)器端的VTP通告。VTP協(xié)議有三種工作模式：服務(wù)器模式（Server）、客戶機(jī)模式（Client）和透明模式（Transparent）。（2）配置VTP工作模式任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（10）

到目前為止，VTP具有三種版本：VTPv1、VTPv2和VTPv3。其中VTPv2與VTPv1區(qū)別不大，主要區(qū)別在于：VTPv2支持令牌環(huán)VLAN，而VTPv1不支持。VTPv3不能直接處理VLAN事務(wù)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（11）

一臺(tái)Catalyst3560和兩臺(tái)Catalyst2960組成如下所示的網(wǎng)絡(luò)，Catalyst3560設(shè)置VTP的server模式，中間一臺(tái)交換機(jī)設(shè)置VTP的transparent模式，右邊一臺(tái)設(shè)置VTP的client模式。

三臺(tái)交換機(jī)都設(shè)置VTP域名test，就是說三臺(tái)交換機(jī)位于同一個(gè)VTP管理域。

在Catalyst3560上創(chuàng)建VLAN10、VLAN20、VLAN30和VLAN50，給VLAN10分配1-10、VLAN20分配11-15、VLAN30分配16-20、VLAN50分配21-23號(hào)端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（12）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（13）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（14）4、修剪掉不必要的VLAN流量，節(jié)約網(wǎng)絡(luò)帶寬VTP會(huì)產(chǎn)生不必要的網(wǎng)絡(luò)流量。因?yàn)橥ㄟ^Trunk，單播和廣播在整個(gè)VLAN內(nèi)進(jìn)行擴(kuò)散，使得域內(nèi)的所有交換機(jī)接收到所有廣播，即使某個(gè)交換機(jī)上沒有某個(gè)VLAN的成員，情況也不例外。VTPpruning技術(shù)正可以消除這個(gè)多余流量，pruning技術(shù)可以自動(dòng)修剪掉不需要經(jīng)過Trunk的那些流量。修剪功能只需要在VTP服務(wù)器上打開，就可以實(shí)現(xiàn)整個(gè)域內(nèi)的多余VLAN流量的修剪。修剪功能只需要在VTP服務(wù)器上打開，就可以實(shí)現(xiàn)整個(gè)域內(nèi)的多余VLAN流量的修剪。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之間交換VLAN信息（15）前面的例子中加上VLAN修剪和VTP密碼，右邊的2960給VLAN20分配1-22端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——基于VTP協(xié)議在交換機(jī)之任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（1）1、企業(yè)網(wǎng)的VLAN劃分第一步：規(guī)劃VLAN及VLAN內(nèi)的地址VLANVLAN名IP網(wǎng)段默認(rèn)網(wǎng)關(guān)使用說明匯聚交換機(jī)1192.168.0.0/24192.168.0.254管理VLAN10jsj192.168.1.0/24192.168.1.254計(jì)算機(jī)室Distribute120qbs192.168.2.0/24192.168.2.254情報(bào)室30kyc192.168.3.0/24192.168.3.254科研處Distribute240jxs192.168.4.0/24192.168.4.254機(jī)械室50dys192.168.5.0/24192.168.5.254鍛壓室Distribute360clcj192.168.6.0/24192.168.6.254齒輪車間Distribute4200Server192.168.64.0/24192.168.64.254服務(wù)器群Distribute13這里為每個(gè)部門分配了一個(gè)C類地址，如果某個(gè)部門比較大，計(jì)算機(jī)數(shù)量比較多，可根據(jù)需要分配多個(gè)C類地址。地址分配一般使用連續(xù)地址，方便匯聚。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（2）第二步：在作為VTP服務(wù)器的交換機(jī)上創(chuàng)建VLAN

在網(wǎng)絡(luò)中的分布層交換機(jī)Distribute1上創(chuàng)建所有VLAN，其他交換機(jī)通過配置VTP協(xié)議來交換VLAN信息。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（3）任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（4）第三步：域內(nèi)的其他交換機(jī)通過VTP協(xié)議統(tǒng)一VLAN數(shù)據(jù)庫，接入交換機(jī)還要給各個(gè)VLAN分配成員接口以計(jì)算機(jī)室的接入交換機(jī)為例進(jìn)行配置，其他交換機(jī)可參照配置：任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（5）2、接入層交換機(jī)上聯(lián)分布層交換機(jī)企業(yè)在組建局域網(wǎng)時(shí)一般會(huì)采用核心層、分布層和接入層三層網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)接入層的所有端口處于同一個(gè)VLAN時(shí)，接入層交換機(jī)的上聯(lián)端口只需access端口，分布層上交換機(jī)的下聯(lián)接口也是access端口。當(dāng)接入層的每臺(tái)交換機(jī)劃分多個(gè)VLAN時(shí)，接入層交換機(jī)的上聯(lián)端口必須是Trunk端口，分布層上交換機(jī)的下聯(lián)接口也必須是Trunk端口。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——在企業(yè)網(wǎng)中劃分VLAN（任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（1）（1）每臺(tái)接入交換機(jī)只有一個(gè)VLAN的上聯(lián)

某企業(yè)采用Catalyst3550交換機(jī)作為每幢大樓的分布層交換機(jī)；每個(gè)部門采用一臺(tái)Catalyst2950交換機(jī)作為接入交換機(jī)，每個(gè)部門為一個(gè)VLAN；各個(gè)VLAN之間的通信由核心層交換機(jī)路由實(shí)現(xiàn)。

有幢大樓只有研發(fā)部和生產(chǎn)部，分布層交換機(jī)的快速以太網(wǎng)端口1-10連接研發(fā)部交換機(jī)，11-24連接生產(chǎn)部交換機(jī)，千兆口G0/1上聯(lián)核心交換機(jī)；研發(fā)部為VLAN20，生產(chǎn)部為VLAN30，每臺(tái)接入交換機(jī)均采用F0/24口上聯(lián)分布層交換機(jī)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（2）（2）每臺(tái)接入交換機(jī)多個(gè)VLAN的上聯(lián)

某企業(yè)采用Catalyst3550交換機(jī)作為每幢大樓的分布層交換機(jī)，每個(gè)樓層或幾個(gè)樓層采用一臺(tái)Catalyst2950交換機(jī)作為接入交換機(jī)；

每個(gè)部門為一個(gè)VLAN，各個(gè)VLAN之間的通信由核心層交換機(jī)路由實(shí)現(xiàn)。

有幢樓有20層，只有研發(fā)部和生產(chǎn)部，但大多數(shù)樓層都有這兩個(gè)部門的人員工作。分布層用百兆口下聯(lián)接入交換機(jī)，用千兆口G0/1通過單模光纖上聯(lián)核心交換機(jī)；研發(fā)部為VLAN20，生產(chǎn)部為VLAN30，每臺(tái)接入交換機(jī)均采用F0/24端口上聯(lián)分布層交換機(jī)，F(xiàn)0/1~10給研發(fā)部，F(xiàn)0/11~23給生產(chǎn)部。

分析：由于大多數(shù)樓層的都有兩個(gè)部門的人，而且需要共用一臺(tái)接入交換機(jī)，所以，每臺(tái)接入交換機(jī)上就會(huì)有兩個(gè)相同的VLAN，這種重復(fù)劃分VLAN的工作沒必要，可以使用VTP協(xié)議來獲得。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交換機(jī)（3）分布層上創(chuàng)建VLAN，通過Trunk鏈路通告給域內(nèi)的接入層交換機(jī)和核心層交換機(jī)。由于有些樓層只有一個(gè)部門用戶，沒有必要接收其他VLAN的內(nèi)容，所以在分布層上設(shè)置VLAN修剪。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——接入層交換機(jī)上聯(lián)分布層交任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(1)一、實(shí)訓(xùn)名稱

虛擬終端遠(yuǎn)程配置交換機(jī)二、實(shí)驗(yàn)?zāi)康?、掌握交換機(jī)密碼的配置、取消和修改方法；2、掌握交換機(jī)的遠(yuǎn)程登錄配置方法；3、熟悉基于端口的VLAN配置指令和配制方法。三、實(shí)訓(xùn)內(nèi)容

交換機(jī)通過console口配置是新交換機(jī)必須的，但是，網(wǎng)絡(luò)的交換機(jī)只要設(shè)置了管理地址、網(wǎng)關(guān)，以及虛擬終端線路的密碼和特權(quán)密碼，就可以在網(wǎng)絡(luò)上的任意一臺(tái)計(jì)算機(jī)上，通過Telnet遠(yuǎn)程登錄到交換機(jī)上對(duì)交換機(jī)進(jìn)行配置。本實(shí)驗(yàn)是通過Telnet遠(yuǎn)程登錄進(jìn)行基于端口的VLAN創(chuàng)建指令練習(xí)。四、實(shí)訓(xùn)環(huán)境

一臺(tái)Catalyst2960交換機(jī)，1臺(tái)計(jì)算機(jī)。計(jì)算機(jī)通過局域網(wǎng)口用直通雙絞線連接交換機(jī)的普通端口；再用交換機(jī)附帶的配置電纜連接交換機(jī)的CONSOLE口和計(jì)算機(jī)的COM1口，該計(jì)算機(jī)需配置超級(jí)終端。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(2)五、實(shí)驗(yàn)步驟1、在本地配置模式為遠(yuǎn)程配置做好預(yù)配置。

將計(jì)算機(jī)的COM1口通過控制電纜連接連接交換機(jī)的console口，打開超級(jí)終端，配置好連接參數(shù)，做好本地配置準(zhǔn)備工作。2、查看FLASH的內(nèi)容，看看有沒有vlan.dat文件，如果有這個(gè)文件，說明被配置過VLAN，需要清除所有的VLAN，所以執(zhí)行第三步。沒有這個(gè)文件說明像新交換機(jī)一樣，就跳過第三步。3、在特權(quán)模式下執(zhí)行erasestartup-config命令，清除啟動(dòng)配置文件；執(zhí)行deleteflash:vlan.dat命令。然后在執(zhí)行reboot命令，重啟交換機(jī)。任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(3)4、配置交換機(jī)的管理地址和VTY密碼。

交換機(jī)要能進(jìn)行遠(yuǎn)程配置，必須提供管理地址。二層交換機(jī)的交換端口是不能設(shè)置IP地址的，只能對(duì)交換機(jī)的VLAN接口設(shè)置IP地址。新交換機(jī)的所有端口都屬于VLAN1，所以，一般就設(shè)置VLAN1的接口地址作為管理地址。

我們只設(shè)置了管理IP地址供同一網(wǎng)段的用戶遠(yuǎn)程管理，如果處于和VLAN1不同網(wǎng)段的計(jì)算機(jī)想?yún)⑴c交換機(jī)的管理的話，還需要給交換機(jī)設(shè)置默認(rèn)網(wǎng)關(guān)。SwitchA(config)#ipdefault-gateway192.168.0.254任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)訓(xùn)(4)5、用直通網(wǎng)線連接計(jì)算機(jī)的網(wǎng)卡和交換機(jī)的端口。6、開始遠(yuǎn)程配置。7、回到本地配置模式，添加enablepassword密碼test。8、現(xiàn)在可以通過Telnet方式遠(yuǎn)程配置了,因?yàn)楝F(xiàn)在有了enable密碼了。在Telnet方式遠(yuǎn)程配置模式下，刪除enablepassword密碼。 SwitchA(config)#noenablepassword任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置交換機(jī)實(shí)任務(wù)3：企業(yè)網(wǎng)絡(luò)劃分虛擬局域網(wǎng)

——虛擬終端遠(yuǎn)程配置