網(wǎng)絡(luò)工程案例綜合實(shí)戰(zhàn)訓(xùn)練營-交換技術(shù)

網(wǎng)絡(luò)工程案例綜合實(shí)戰(zhàn)訓(xùn)練營交換技術(shù)本章內(nèi)容使用SVI實(shí)現(xiàn)VLAN間通信使用單臂路由實(shí)現(xiàn)VLAN間通信多生成樹協(xié)議虛擬路由冗余協(xié)議（VRRP）協(xié)議課程議題SVI實(shí)現(xiàn)VLAN間通信劃分VLAN的問題劃分VLAN的問題在交換機(jī)上劃分VLAN后，帶來了隔離廣播、提高安全性、隔離故障的好處，但是，問題是不同VLAN之間無法通過二層設(shè)備互相通信。解決辦法通過三層設(shè)備實(shí)現(xiàn)VLAN間路由。F0/3F0/1F0/2SVI實(shí)現(xiàn)不同VLAN間相互通信三層交換機(jī)上配置SVI接口地址各VLAN中主機(jī)將三層交換機(jī)上相應(yīng)VLAN的SVI接口地址作為本VLAN網(wǎng)關(guān)數(shù)據(jù)到達(dá)三層交換機(jī)后利用路由功能轉(zhuǎn)發(fā)到其他VLAN配置SVI步驟1開啟路由功能（默認(rèn)）

Switch(config)#iprouting 步驟2創(chuàng)建VLANSwitch(config)#vlan

vlan-id步驟3進(jìn)入VLAN的SVI接口配置模式 Switch(config)#interfacevlanvlan-id步驟4給SVI接口配置IP地址Switch(config-if)#ipaddress

ip-addressmask

課程議題使用單臂路由實(shí)現(xiàn)VLAN間通信路由器實(shí)現(xiàn)VLAN間路由在路由器上為每個VLAN劃分一個子接口每個子接口配置IP地址，作為相應(yīng)VLAN的網(wǎng)關(guān)利用路由器的路由功能，實(shí)現(xiàn)不同子接口數(shù)據(jù)的轉(zhuǎn)發(fā)缺點(diǎn)是：部署不靈活，形成網(wǎng)絡(luò)瓶頸。單臂路由配置步驟1：創(chuàng)建以太網(wǎng)子接口Router(config)#interface

interface.sub-port步驟2：為子接口封裝802.1q協(xié)議，并指定接口所屬的VLANRouter(config-subif)#encapsulationdot1q

vlan-id步驟3：為子接口配置IP地址Router(config-subif)#ipaddress

ip-address

mask-address步驟4：啟用子接口Router(config-subif)#noshutdown單臂路由配置示例Router(config)#interfacefastEthernet0/0.1Router(config-subif)#encapsulationdot1q10Router(config-subif)#ipaddress192.168.1.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.2Router(config-subif)#encapsulationdot1q20Router(config-subif)#ipaddress192.168.2.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#end課程議題PrivateVLAN劃分VLAN的問題可分配的VLAN編號是1-4094，需要劃分更多的VLAN怎么辦每一個VLAN都劃分一個子網(wǎng)，當(dāng)劃分多個VLAN時，導(dǎo)致地址的浪費(fèi)F0/1F0/2F0/3PrivateVLANPrivateVLAN（私有VLAN，PVLAN）是能夠?yàn)橄嗤琕LAN內(nèi)不同端口提供隔離的VLAN。F0/1F0/2F0/3PraviteVLAN的組成PVLAN可以將一個VLAN的二層廣播域劃分成多個子域，每個子域都由一對VLAN組成：PrimaryVLAN（主VLAN）和SecondaryVLAN（輔助VLAN組成）。SecondaryVLANF0/2F0/1SecondaryVLANPrimaryVLANPraviteVLAN的組成主VLAN：主VLAN是PVLAN的高級VLAN，每個PVLAN中只有一個主VLAN。輔助VLAN：輔助VLAN是PVLAN中的子VLAN，并且映射到一個主VLAN。每臺接入設(shè)備都連接到輔助VLAN。隔離VLAN（IsolatedVLAN）：同一個隔離VLAN中的端口互相不能進(jìn)行二層通信，一個私有VLAN域中只有一個隔離VLAN。團(tuán)體VLAN（CommunityVLAN）：同一個團(tuán)體VLAN中的端口可以進(jìn)行二層通信，但是不能與其他團(tuán)體VLAN中的端口進(jìn)行二層通信，一個私有VLAN中可以有多個團(tuán)體VLAN。PraviteVLAN的端口類型混雜端口（PromiscuousPort）：混雜端口為主VLAN中的端口，可以與任意端口通信，包括同一個PVLAN中的隔離端口和團(tuán)體端口。隔離端口（IsolatedPort）：隔離端口為隔離VLAN中的端口，隔離端口只能與混雜端口進(jìn)行通信。團(tuán)體端口（CommunityPort）：團(tuán)體端口為團(tuán)體VLAN中的端口，同一個團(tuán)體VLAN中的團(tuán)體端口之間可以互相通信，并且團(tuán)體端口可以與混雜端口通信，但是不能與其他團(tuán)體VLAN的端口進(jìn)行通信。PrivateVLAN的實(shí)現(xiàn)主VLAN中的混雜端口用于連接到網(wǎng)關(guān)設(shè)備，可以和本VLAN中所有端口通信隔離VLAN中的各端口均為隔離端口，互相不可通信，也不可與其他隔離VLAN或團(tuán)體VLAN通信團(tuán)體VLAN中的端口均為團(tuán)體端口，可與本團(tuán)體端口通信，不可與其他團(tuán)體端口或隔離端口通信配置PrivateVLAN配置PrivateVLAN主要包括以下幾個步驟：配置主VLAN與輔助VLAN關(guān)聯(lián)輔助VLAN到主VLAN將輔助VLAN映射到主VLAN的3層接口配置主機(jī)端口配置混雜端口配置PrivateVLAN配置主VLAN與輔助VLAN步驟1：進(jìn)入配置模式Switch#configureterminal步驟2：進(jìn)入VLAN配置模式Switch(config)#vlanvid步驟3：配置私有VLAN類型Switch(config-vlan)#private-vlan{community|isolated|primary}

在802.1qVLAN中，有成員端口的VLAN不能配置為私有VLAN。VLAN1不能配置為私有VLAN。配置PrivateVLAN關(guān)聯(lián)輔助VLAN到主VLAN

步驟1：進(jìn)入主VLAN的VLAN配置模式Switch(config)#vlan

p_vid步驟2：關(guān)聯(lián)輔助VLAN到主VLANSwitch(config-vlan)#private-vlanassociation[add|remove]svlist將輔助VLAN映射到主VLAN的三層接口步驟1：進(jìn)入主VLAN的VLAN接口模式Switch(config)#interfacevlan

p_vid步驟2：映射輔助VLAN到主VLAN的三層接口Switch(config-if)#private-vlanmapping[add|remove]svlist配置PrivateVLAN配置主機(jī)端口步驟1：進(jìn)入主機(jī)端口Switch(config)#interface

port-typeport步驟2：配置端口為主機(jī)端口Switch(config-if)#switchportmodeprivate-vlanhost步驟3：關(guān)聯(lián)主機(jī)端口到PVLANSwitch(config-if)#switchport

private-vlan

host-associationp_vids_vid配置混雜端口步驟1：進(jìn)入主機(jī)端口Switch(config)#interface

interface步驟2：配置端口為混雜端口Switch(config-if)#switchportmodeprivate-vlanpromiscuous步驟3：配置混雜端口所在的主VLAN以及關(guān)聯(lián)的輔助VLANSwitch(config-if)#switchportprivate-vlanmapping

p_vid[add|remove]svlist配置PrivateVLAN配置PrivateVLAN注意事項(xiàng)一個PrivateVLAN處于Active狀態(tài)必須滿足下列條件：具有主VLAN具有輔助VLAN輔助VLAN和主VLAN進(jìn)行關(guān)聯(lián)主VLAN內(nèi)有混雜端口配置PrivateVLAN示例配置PrivateVLAN示例Swich#configureterminalSwitch(config)#vlan10Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunitySwitch(config-vlan)#exitSwitch(config)#vlan30Switch(config-vlan)#private-vlanisolatedSwitch(config-vlan)#exitSwitch(config)#vlan10Switch(config-vlan)#private-vlanassociationadd20,30Switch(config-vlan)#exit配置PrivateVLAN示例Switch(config)#interfacerangefastEthernet0/1-2Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1030Switch(config-if-range)#exitSwitch(config-if)#interfacerangefastEthernet0/3-4Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1020Switch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/5Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10add20,30Switch(config-if)#end課程議題SuperVLANSuperVLANSuperVLAN又稱為VLAN聚合，是一種專門優(yōu)化IP地址管理的技術(shù)可以將一個網(wǎng)段的IP分給不同的子VLAN（SubVLAN），這些SubVLAN同屬于一個SuperVLAN。SubVLANF0/2F0/1SubVLANSuperVLANIP子網(wǎng)SuperVLANSuperVLAN特點(diǎn)每一個SubVLAN都是獨(dú)立的廣播域?qū)儆谕籗uperVLAN的SubVLAN在同一子網(wǎng)中SubVLAN間的用戶需要進(jìn)行通信時，將使用SuperVLAN的VLAN接口的IP地址作為網(wǎng)關(guān)地址不同SubVLAN間的互通及SubVLAN與其他網(wǎng)絡(luò)的互通，需要利用ARP代理（ProxyARP）功能SubVLAN通信過程同一SubVLAN中主機(jī)的通信可以直接進(jìn)行不同SuperVLAN中的主機(jī)通信時，需要經(jīng)過交換機(jī)進(jìn)行ARP代理SuperVLAN注意事項(xiàng)部署SubVLAN的注意事項(xiàng)：SuperVLAN不能包含任何成員端口，只能包含SubVLAN。SubVLAN包含物理端口。SuperVLAN不能作為其他SuperVLAN的SubVLAN。PVLAN主要用于解決VLAN數(shù)量受限制的問題，SuperVLAN主要用于節(jié)省IP地址。SuperVLAN不能當(dāng)正常的802.1qVLAN來使用。VLAN1不能作為SuperVLAN。針對SubVLAN不能創(chuàng)建VLAN接口并分配IP地址。SuperVLAN不能使用VRRP，不支持多播?；赟uperVLAN接口的ACL和QoS配置不對SubVLAN生效。配置SuperVLAN配置SuperVLAN主要分為以下幾個步驟：定義SuperVLAN配置SuperVLAN的SubVLAN設(shè)置SubVLAN的地址范圍配置SuperVLAN的SVI地址劃分接口到SubVLAN配置SuperVLAN定義SuperVLAN步驟1：進(jìn)入VLAN配置模式Switch(config)#vlan

vlan-id步驟2：配置VLAN為SuperVLANSwitch(config-vlan)#supervlan配置SuperVLAN的SubVLAN

步驟1：進(jìn)入SuperVLAN的配置模式Switch(config)#vlanvlan-id步驟2：配置SuperVLAN的SubVLAN列表Switch(config-vlan)#subvlanvlan-id-list配置SuperVLAN配置SubVLAN的地址范圍步驟1：進(jìn)入SubVLAN的配置模式Switch(config)#vlanvlan-id步驟2：設(shè)置SubVLAN的地址范圍Switch(config)#subvlan-address-range

start-ipend-ip配置SuperVLAN的虛接口步驟1：進(jìn)入SuperVLAN的配置模式Switch(config)#interfacevlan

vlan-id步驟2：配置SuperVLAN的虛接口Switch(config-if)#ipaddress

ip-addressmask配置SuperVLAN配置VLAN的代理ARP功能步驟1：進(jìn)入VLAN配置模式Switch(config)#vlanvlan-id步驟2：打開VLAN的ARP代理功能Switch(config-vlan)#proxy-arp查看SuperVLAN配置Switch#showsupervlan

課程議題多生成樹協(xié)議MSTP多生成樹實(shí)例Instance:一臺交換機(jī)的一個或多個Vlan的集合因?yàn)楹芏郪lan采用一個Vlan實(shí)例，可實(shí)現(xiàn)預(yù)期的負(fù)載均衡交換機(jī)只運(yùn)行二個實(shí)例，減少交換機(jī)系統(tǒng)的資源配置MSTP——MSTP基本配置步驟1：啟用生成樹Switch(config)#spanning-tree步驟2：選擇生成樹模式為MSTPSwitch(config)#spanning-treemodemstp在銳捷交換機(jī)中，默認(rèn)情況下，當(dāng)啟用生成樹后，生成樹的運(yùn)行模式為MSTP。配置MSTP——MSTP屬性配置步驟1：進(jìn)入全局配置模式Switch#configureterminal步驟2：進(jìn)入MSTP配置模式Switch(config)#spanning-treemstconfiguration步驟3：在交換機(jī)上配置VLAN與生成樹示例的映射關(guān)系Switch(config-mst)#instance

instance-id

vlanvlan-range配置MSTP——MSTP屬性配置步驟4：配置MST區(qū)域的配置名稱Switch(config-mst)#namename步驟5：配置MST區(qū)域的修正號Switch(config-mst)#revisionnumber參數(shù)的取值范圍是0~65535，默認(rèn)值為0。步驟6：配置MST實(shí)例的優(yōu)先級SwitchA(config)#spanning-treemstinstanceprioritynumber配置MSTP——查看MSTP屬性看生成樹的全局配置及狀態(tài)信息Switch#showspanning-tree

查看MSTP的配置結(jié)果Switch#showspanning-treemstconfiguration

查看特定實(shí)例的信息Switch#showspanning-treemstinstance

查看特定端口在相應(yīng)實(shí)例中的狀態(tài)信息Switch#showspanning-treemstinstance

interface配置MSTP——實(shí)現(xiàn)負(fù)載分擔(dān)通過配置使得不同實(shí)例中具有不同的根交換機(jī)，可以實(shí)現(xiàn)負(fù)載分擔(dān)課程議題虛擬路由冗余協(xié)議（VRRP）技術(shù)什么是VRRP什么是VRRP？VRRP(VirtualRouterRedundancyProtocol)：虛擬路由冗余協(xié)議是用于實(shí)現(xiàn)路由器冗余的協(xié)議，最新協(xié)議在RFC3768中定義。VRRP的定義在該協(xié)議中，對共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)(DefaultGateway)進(jìn)行冗余備份，從而在其中一臺路由設(shè)備宕機(jī)時，備份路由設(shè)備及時接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。VRRP術(shù)語VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體。虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。主控路由器和備份路由器一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負(fù)責(zé)ARP響應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。VRRP術(shù)語VRRP組VRRP控制報文只有一種：VRRP通告（advertisement)。它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為224.0.0.18，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。IP協(xié)議號為112；IP包的TTL值必須為255。VRRP狀態(tài)組成虛擬路由器的路由器會有三種狀態(tài)InitializeMasterBackupInitialize狀態(tài)系統(tǒng)啟動后進(jìn)入此狀態(tài)，當(dāng)收到接口startup的消息，將轉(zhuǎn)入Backup（優(yōu)先級不為255時）或Master狀態(tài)（優(yōu)先級為255時）。在此狀態(tài)時，路由器不會對VRRP報文做任何處理。Master狀態(tài)定期發(fā)送VRRP組播報文，發(fā)送免費(fèi)（gratuitous）ARP報文響應(yīng)對虛擬IP地址的ARP請求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實(shí)MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文在Master狀態(tài)中只有接收到比自己的優(yōu)先級大的VRRP報文時，才會轉(zhuǎn)為Backup。只有當(dāng)接收到接口的Shutdown事件時才會轉(zhuǎn)為Initialize。BackUP狀態(tài)接收Master發(fā)送的VRRP組播報文從中了解Master的狀態(tài)對虛擬IP地址的ARP請求不做響應(yīng)丟棄目的MAC地址為虛擬MAC地址的IP報文丟棄目的IP地址為虛擬IP地址的IP報文VRRP選舉VRRP的路由器都會發(fā)送和接收VRRP通告消息VRRP優(yōu)先級接口的IP地址VRRP定時器通告間隔和主路由器失效（master-down）間隔。通告間隔是通告之間的間隔時間（秒），默認(rèn)為1秒。主路由器失效間隔指的是多長時間沒有收到通告后，備用路由器將認(rèn)為主路由器已失效，單位為秒。主路由器失效間隔是不能配置的，其值至少是為通告間隔的3倍。VRRP配置命令配置VRRP組命令參數(shù)如下表vrrp

grou-numberip

IP-address

secondarySwitch(config-if)#參數(shù)描述group-number取值范圍為0～255之間,vrrp組號IP-address虛擬路由器IP地址，可以是一臺真實(shí)路由器的地址，也可以虛擬的路由器地址secondary標(biāo)明是該虛擬路由器的次IP地址VRRP基本配置示例VRRP基本配置示例（續(xù)）使用命令showvrrpbrief來查看VRRP組的狀態(tài)調(diào)整VRRP優(yōu)先級配置VRRP組優(yōu)先級其中參數(shù)Priority-value的取值范圍為0～254，0是系統(tǒng)保留給ADVERTISEMENT報文專，255是保留給IP地址擁有者只有當(dāng)VRRP路由器的IP地址和虛擬路由器的接口相同時，則其優(yōu)先級為255。vrrp

group-number

priority

priority-valueSwitch(config-if)#接口跟蹤與配置vrrp

group-numbertrackinterface[priority-decrement]Switch(config-if)#接口跟蹤與配置（續(xù)）搶占模式配置配置VRRP搶占其中參數(shù)delay的取值范圍為1～255之間，如果不配置delay時間，那么其默認(rèn)值為0秒。delay-time為延遲搶占的時間即從該路由器發(fā)現(xiàn)自己的優(yōu)先級大于MASTER的優(yōu)先級開始經(jīng)過delay-time這樣長的一段時