網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（虛擬仿真PT）課件 項目2

*網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（虛擬仿真PT版）

網(wǎng)絡(luò)信息安全人才培養(yǎng)校企合作系列教材*項目2交換技術(shù)配置項目描述

交換技術(shù)在現(xiàn)代高速網(wǎng)絡(luò)中承擔著舉足輕重的角色，企業(yè)網(wǎng)絡(luò)依賴交換機分隔網(wǎng)段并實現(xiàn)高速連接。交換機是適應(yīng)性極強的第二層設(shè)備，在簡單場景中，可以替代集線器作為多臺主機的中心連接點；在復(fù)雜應(yīng)用中，交換機可以連接一臺或多臺其他交換機，從而建立、管理和維護冗余鏈路及VLAN連通性。對于網(wǎng)絡(luò)學習者而言，熟悉交換機的配置、熟練掌握交換機的管理是必備的知識和技能。

本項目重點介紹交換機的基本配置、交換機的VLAN配置、交換機的常用技術(shù)配置等內(nèi)容。*項目2交換技術(shù)配置*項目2交換技術(shù)配置任務(wù)1交換機的基本配置

任務(wù)任務(wù)1交換機的基本配置交換機的基本配置主要包括給設(shè)備命名、登錄信息、設(shè)置特權(quán)密碼、VTY密碼及Telnet、SSH遠程管理、接口配置等。本任務(wù)分為以下3個活動展開介紹?；顒?交換機的幾種配置模式。

活動2交換機的基本配置。

活動3交換機的遠程配置。*任務(wù)1交換機的基本配置活動1交換機的幾種配置模式

任務(wù)描述

為組建局域網(wǎng)，海成公司新購置了一批CiscoCatalyst2960系列以太網(wǎng)交換機，以實現(xiàn)設(shè)備的接入。在接入之前需要先熟悉交換機的配置模式及基本配置命令?；顒?交換機的幾種配置模式

交換機的配置模式主要包括用戶配置模式、特權(quán)模式、全局配置模式、接口配置模式和VLAN配置模式等。熟練掌握交換機各種配置模式的進入與切換，了解各種模式下的配置命令，將為以后的學習打下良好的基礎(chǔ)。任務(wù)分析

在工作區(qū)中添加一臺CiscoCatalyst2960交換機和一臺計算機，交換機的Console接口與計算機的COM1接口互連，使用交換機出廠隨機配置的專用控制線連接，此時交換機為出廠配置，使用交換機管理界面中的“命令提示符”進行操作，練習交換機的多種配置模式的切換。

交換機配置模式的拓撲圖如圖2.1.1所示?；顒?交換機的幾種配置模式圖2.1.1交換機配置模式的拓撲圖

具體要求如下：（1）在工作區(qū)中添加一臺交換機，使用計算機的終端連接交換機。（2）使用交換機管理界面中的“命令提示符”進行操作。（3）了解交換機的各種配置模式。（4）掌握各種配置模式之間的切換方法。（5）掌握交換機IOS的基本操作命令。任務(wù)實施活動1交換機的幾種配置模式

活動1交換機的幾種配置模式任務(wù)實施

步驟1：單擊PC0，在打開的窗口中選擇“桌面”選項卡，進入如圖2.1.2所示界面，選擇“終端”選項，將其打開。

圖2.1.2PC0“桌面”選項卡界面

活動1交換機的幾種配置模式任務(wù)實施

步驟2：在彈出的“終端配置”對話框中，調(diào)整超級終端的參數(shù)，如圖2.1.3所示，然后單擊“確定”按鈕。

圖2.1.3“終端配置”對話框

活動1交換機的幾種配置模式任務(wù)實施

步驟

3：在計算機的終端連接上交換機設(shè)備后，就可以對交換機進行配置了，如圖

2.1.4所示。

圖2.1.4計算機的終端連接上交換機

活動1交換機的幾種配置模式任務(wù)實施步驟4：進入交換機配置頁面，等待交換機裝載系統(tǒng)文件，當出現(xiàn)如下提示時，表示系統(tǒng)啟動完成。

圖2.1.4計算機的終端連接上交換機

活動1交換機的幾種配置模式

步驟5：此時按下Enter鍵即可進入交換機的用戶配置模式。此時顯示交換機的默認主機名為Switch，且用戶配置模式的提示符為“>”。在該模式下可以使用的命令比較少，可以使用?命令顯示用戶配置模式下的所有命令。

活動1交換機的幾種配置模式任務(wù)實施

步驟6：在用戶配置模式下輸入enable命令，進入特權(quán)模式。特權(quán)模式的提示符為#，所以該模式也被稱為#模式。在特權(quán)模式下可以對交換機的配置文件進行管理，如查看交換機的配置信息、進行網(wǎng)絡(luò)的測試和調(diào)試等。輸入?命令可以查看特權(quán)模式下的所有命令。

活動1交換機的幾種配置模式任務(wù)實施

步驟7：在全局配置模式下可以配置交換機的全局性參數(shù)。在特權(quán)模式下輸入configterminal或configt或conft命令即可進入全局配置模式。全局配置模式也稱config模式，在此配置模式下輸入的命令會影響整個交換機的運行環(huán)境。

活動1交換機的幾種配置模式任務(wù)實施

步驟8：在接口配置模式下可以對交換機的接口進行參數(shù)配置。一般交換機擁有許多接口，還可以添加不同的模塊。在默認情況下，交換機的所有接口都是以太網(wǎng)接口類型。當進入接口配置模式時，需要使用interfaceethernet

<接口ID>命令。

活動1交換機的幾種配置模式任務(wù)實施

步驟9：交換機各模式之間的切換可以通過exit和end命令完成。

雖然構(gòu)建企業(yè)網(wǎng)絡(luò)時會用到路由器和交換機，但是大多數(shù)企業(yè)的網(wǎng)絡(luò)主要依賴于交換機。交換機每個接口的成本低于路由器，而且能夠以線速快速轉(zhuǎn)發(fā)幀。

交換機可以根據(jù)幀中的目的MAC地址，將消息流從一個接口轉(zhuǎn)發(fā)到另一個接口。交換機不能在不同的局域網(wǎng)之間轉(zhuǎn)發(fā)數(shù)據(jù)流量。在OSI模型中，交換機執(zhí)行第2層（數(shù)據(jù)鏈路層）功能。

1．CiscoCatalyst2960系列獨立交換機

CiscoCatalyst2960系列交換機是固定配置的獨立設(shè)備，不支持模塊和閃存卡插槽。由于不能改變固定配置的交換機的物理配置，因此必須根據(jù)所需的接口數(shù)和接口類型來決定是否使用此類交換機。CiscoCatalyst2960系列智能以太網(wǎng)交換機適用于中型和小型網(wǎng)絡(luò)。此系列的交換機支持10/100b/s快速以太網(wǎng)以及10/100/1000b/s千兆以太網(wǎng)LAN連接。CiscoCatalyst2960系列交換機的前面板如圖2.1.5所示?；顒?交換機的幾種配置模式知識鏈接圖2.1.5CiscoCatalyst2960系列交換機的前面板該系列的交換機使用CiscoIOS，用戶可以使用基于GUI的CiscoNetworkAssistant或通過CLI對其進行配置。2．多層交換機第2層交換機基于硬件。此類交換機通過內(nèi)部電路在接口之間建立物理連接，以線速轉(zhuǎn)發(fā)流量，并且在轉(zhuǎn)發(fā)流量時會用到MAC地址及MAC表中存在的目的MAC地址。第2層交換機只能在一個網(wǎng)段或子網(wǎng)內(nèi)轉(zhuǎn)發(fā)流量。第3層交換機也稱多層交換機（MultilayerSwitching），其在同一臺設(shè)備中集成了基于硬件的交換和基于硬件的路由。多層交換機同時兼具第2層交換機和第3層路由器的功能。多層交換機通常會保存（或稱“緩存”）會話中第一個數(shù)據(jù)包的源和目的路由信息。這樣，后續(xù)數(shù)據(jù)包就無須執(zhí)行路由查找，因為它們可以直接在內(nèi)存中找到路由信息。這一緩存功能提升了設(shè)備的性能。3．IOS特性在CiscoPacketTracer7.3模擬器中網(wǎng)絡(luò)設(shè)備IOS具有以下特性，掌握這些特殊的操作方法，將對后面進行網(wǎng)絡(luò)實驗有很大的幫助。1）學習?命令的3種用法直接輸入?命令，顯示出該模式下的所有命令。在全局配置模式下，輸入i?命令，顯示出所有以i字母開頭的命令。在全局配置模式下，輸入interface?命令，顯示出該命令的后續(xù)參數(shù)。2）利用Tab鍵可以自動補全命令I(lǐng)OS在有歧義的情況下，Tab鍵將沒有任何的作用。例如，在全局配置模式下，以i字母開頭的有ip和interface命令。在全局配置模式下，以i字母開頭的有ip和interface命令。在命令行中輸入in并按下Tab鍵，此時系統(tǒng)將該命令沒有歧義地自動補全為interface。執(zhí)行代碼如下：活動1交換機的幾種配置模式活動1交換機的幾種配置模式

3）命令簡寫

為了方便記憶和便于輸入，IOS支持命令的簡寫輸入，通常僅需輸入配置命令的前幾個字母即可。例如：在用戶配置模式下輸入enable命令與輸入ena命令的效果是一樣的。在全局配置模式下輸入configureterminal命令與輸入conft命令的效果是一樣的。在命令行中interfacefastEthernet0/0命令可以簡寫為inf0/0命令，達到的效果是一樣的。

執(zhí)行代碼如下：4）使用show命令show命令能夠有針對性地查看用戶想要了解的信息，如設(shè)備的版本、當前的運行配置、某個接口的狀態(tài)等。show命令是日常網(wǎng)絡(luò)維護中非常重要的命令。例如：顯示配置信息：showrunning-config，該命令可以簡寫為shru。顯示系統(tǒng)版本：showversion，該命令可以簡寫為shver。顯示接口信息：showinterfacesfastEthernet0/0，該命令可以簡寫為shinf0/0。顯示路由表：showiproute，該命令可以簡寫為shipro。顯示系統(tǒng)時間：showclock，該命令可以簡寫為shcl。活動1交換機的幾種配置模式任務(wù)小結(jié)

本活動介紹了交換機的各個配置模式之間的層次關(guān)系，每個模式下均有許多不同的命令，可以完成不同的配置。例如，使用exit命令可以返回上一級模式，使用end命令可以直接返回特權(quán)模式。活動1交換機的幾種配置模式*任務(wù)1交換機的基本配置活動2交換機的基本配置

活動2交換機的基本配置

交換機的基本配置是指對新購買的交換機進行的基本設(shè)置，主要包括交換機的設(shè)備命名、時間設(shè)置、密碼設(shè)置、IP地址配置及默認網(wǎng)關(guān)、遠程管理配置等。

任務(wù)描述

為了組建局域網(wǎng)，海成公司新購置了一批CiscoCatalyst2960系列以太網(wǎng)交換機，網(wǎng)絡(luò)管理員已經(jīng)熟悉了交換機的配置模式，下一步需要對交換機進行基本配置以便進行管理?；顒?交換機的基本配置活動2交換機的基本配置任務(wù)分析為了保障交換機的管理安全，需要為交換機配置主機名和密碼。在給交換機分配地址時，必須將地址分配給虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）接口。VLAN允許將多個物理接口以邏輯形式組合在一起。交換機的基本配置拓撲圖如圖2.1.6所示。圖2.1.6交換機的基本配置拓撲圖具體要求如下：（1）將交換機的主機名設(shè)置為SWA。（2）將交換機的系統(tǒng)時間設(shè)置為2021年3月22日中午12:00:00。（3）將交換機的Console接口密碼設(shè)置為123，并設(shè)置成密文存儲。（4）將交換機的特權(quán)密碼設(shè)置為123456，并設(shè)置成密文存儲。（5）配置交換機VLAN1的接口IP地址為192.168.1.1/24。（6）配置交換機接口雙工模式和速度。任務(wù)實施

活動2交換機的基本配置步驟1：交換機命名。在全局配置模式下，可以使用hostname命令將交換機的主機名設(shè)置為SWA。Switch> //用戶配置模式Switch>enable //特權(quán)模式Switch#configt //全局配置模式Switch(config)#hostnameSWA //配置主機名稱SWA(config)#

步驟2：交換機在網(wǎng)絡(luò)中工作時需要給設(shè)備設(shè)置準確的系統(tǒng)時間，才能與其他設(shè)備保持一致。系統(tǒng)時間應(yīng)在交換機的特權(quán)模式下進行設(shè)置。配置交換機的系統(tǒng)時間為2021年3月22日12:00:00。SWA#Clock

set?

//當不清楚命令格式或參數(shù)要求時，可以輸入?命令查看hh:mm:ssCurrentTime

//系統(tǒng)提示命令的格式及參數(shù)要求SWA#Clockset12:00:0022Mar2021

//配置系統(tǒng)時間為當前時間SWA#任務(wù)實施

活動2交換機的基本配置

步驟3：配置交換機的控制臺密碼。為交換機配置一個控制臺密碼，避免Console接口被惡意訪問。網(wǎng)絡(luò)管理員通過Console接口進行配置時需要輸入此密碼驗證身份。因為Console接口只有一個，所以默認后面以0來表示接口ID，操作代碼如下：步驟4：配置交換機的特權(quán)密碼。任務(wù)實施活動2交換機的基本配置任務(wù)實施

活動2交換機的基本配置步驟5：加密所有密碼。enablesecret命令只加密特權(quán)密碼。如果需要對系統(tǒng)所有密碼進行加密存儲，則可以使用全局配置命令servicepassword-encryption。步驟6：配置交換機的接口IP地址和默認網(wǎng)關(guān)。交換機的接口IP地址的設(shè)置是在全局配置模式下進行的。在默認情況下，二層交換機只有一個VLAN1接口，如果想要配置交換機的接口IP地址，則可以直接對VLAN1接口進行IP地址的設(shè)置。任務(wù)實施

活動2交換機的基本配置

步驟7：配置交換機接口雙工模式和速度。

因為CiscoCatalyst2960系列的交換機的接口是支持10Mbit/s、100Mbit/s、1000Mbit/s多種速率的，在與其他設(shè)備互連時，可以使用duplex接口配置命令來指定交換機接口的雙工模式操作模式?？梢灾付p工和速度為auto，和對端設(shè)備進行協(xié)商；也可以手動指定交換機接口的雙工模式為full（全雙工）或half（半雙工），速度可以指定為100Mbit/s或10Mbit/s，以避免廠商間的自動協(xié)商問題。任務(wù)實施

活動2交換機的基本配置

步驟8：保存交換機的配置。

以上步驟所進行的配置默認保存在交換機的運行配置文件running-config中，如果交換機關(guān)機或掉電則配置失效，可以把運行配置文件中的內(nèi)容保存到開機配置文件startup-config中，以便永久有效。此操作在特權(quán)模式下進行，代碼如下：任務(wù)驗收

活動2交換機的基本配置1．測試計算機與交換機之間的連通性

在設(shè)置好交換機的接口IP地址后，再設(shè)置計算機的IP地址為交換機接口IP地址同網(wǎng)段的IP地址，如192.168.1.2，并利用計算機來測試其與交換機之間的連通性。計算機的“IP配置”對話框如圖2.1.7所示，默認網(wǎng)關(guān)和交換機的網(wǎng)關(guān)相同，為192.168.1.254，DNS服務(wù)器不用設(shè)置。在輸入完成后，單擊“關(guān)閉“按鈕即可。

在配置完計算機的IP地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)等參數(shù)后，可以選擇計算機管理界面中“桌面”選項卡中的“命令提示符”選項，在彈出的“命令行”對話框中使用ping命令進行測試。如圖2.1.8所示，輸入ping192.168.1.1命令，按下Enter鍵。圖2.1.7

計算機的“IP配置”對話框

圖2.1.8測試計算機與交換機之間的連通性任務(wù)驗收活動2交換機的基本配置

2．密碼驗證

退出交換機的工作模式，當重新進入用戶配置模式和特權(quán)模式時，系統(tǒng)就會要求用戶輸入正確的密碼。用戶有3次輸入密碼的機會，如果輸入正確，則直接進入相應(yīng)模式；否則退出。界面如圖2.1.9所示。任務(wù)驗收活動2交換機的基本配置

3．查看交換機的配置文件

在特權(quán)模式下輸入showrunning-config命令，也可以輸入該命令的簡寫形式：showrun，即可查看運行配置文件，驗證自己的配置是否正確。知識鏈接活動2交換機的基本配置

在默認情況下，交換機中預(yù)配置了一個VLAN（名稱為VLAN1），用于訪問管理功能。

所有交換機都支持半雙工模式或全雙工模式。

當接口處于半雙工模式時，在任意指定的時間內(nèi)，它只能發(fā)送或接收數(shù)據(jù)，兩者不能同時進行。當接口處于全雙工模式時，它能夠同時發(fā)送和接收數(shù)據(jù)，吞吐量為半雙工情況下的2倍。

接口及其所連接的設(shè)備必須設(shè)置為相同的雙工模式。如果設(shè)置不相同，則會造成雙工不匹配的情況，從而產(chǎn)生大量的沖突，降低通信質(zhì)量。

交換機接口的速度和雙工模式可以手動設(shè)置，也可以自動協(xié)商。自動協(xié)商允許交換機自動檢測與接口連接的設(shè)備的速度和雙工模式。許多Cisco交換機上都默認啟用自動協(xié)商。

如果想要使自動協(xié)商能夠成功，則互連的兩臺設(shè)備必須同時支持該功能。如果交換機啟用了自動協(xié)商，但是其所連接的設(shè)備不支持該功能，則交換機會使用所連接設(shè)備的速度（如10Mbit/s、100Mbit/s或1000Mbit/s）并進入半雙工模式。如果沒有啟用自動協(xié)商的設(shè)備設(shè)置為全雙工模式，則默認進入半雙工模式

，這樣可能會引發(fā)問題。

如果所連接的設(shè)備不支持自動協(xié)商，則可以在交換機上手動配置雙工設(shè)置，使其與所連接設(shè)備的雙工設(shè)置匹配。即使連接的接口不支持自動協(xié)商，速度參數(shù)也能夠進行自動調(diào)整。

交換機的接口設(shè)置默認為Auto-duplex（自動雙工）和Auto-speed（自動速度）。如果一臺裝有100Mbit/s網(wǎng)卡的計算機連接到該接口，則接口會自動進入全雙工100Mbit/s模式。如果是一臺集線器連接到該計算機接口，那么接口一般會進入半雙工10Mbit/s模式。任務(wù)小結(jié)本活動講述了交換機的命名方法，即在全局配置模式下使用hostname命令完成；特權(quán)密碼分為明文和密文兩種方式，密文方式更加安全；交換機的接口IP地址通過配置VLAN的IP地址進行設(shè)置；交換機的接口速度與雙工模式默認為自動調(diào)整，命令由手動指定會避免協(xié)商中引發(fā)的問題?；顒?交換機的基本配置*任務(wù)1交換機的基本配置活動3交換機的遠程配置

交換機配置了管理IP地址以后，在網(wǎng)絡(luò)聯(lián)通的情況下，可以使用遠程進行帶內(nèi)管理。這樣管理員可以遠程管理交換機，使網(wǎng)絡(luò)設(shè)備的管理更方便。

活動3交換機的遠程配置

海成公司在組建局域網(wǎng)時所購置的交換機已經(jīng)完成了基本配置，現(xiàn)在全部接入網(wǎng)絡(luò)并投入使用。為了方便對交換機進行維護和遠程管理，現(xiàn)在需要配置其Telnet或SSH功能。

活動3交換機的遠程配置任務(wù)描述

Telnet是Cisco交換機上支持VTY的默認協(xié)議。如果為Cisco交換機分配了管理IP地址，則可以使用Telnet客戶端連接到交換機。但是VTY線路并不安全，因此可以為VTY線路配置密碼身份驗證來保護通過VTY線路對交換機的訪問。這樣可以提高Telnet服務(wù)的安全性。

SSH提供與Telnet相同類型的訪問，但是增加了安全性。SSH客戶端和SSH服務(wù)器之間的通信是加密的。

下面利用實驗來介紹交換機遠程配置的應(yīng)用及配置方法，交換機遠程配置的拓撲圖如圖2.1.10所示。圖2.1.10交換機遠程配置的拓撲圖活動3交換機的遠程配置任務(wù)分析

具體要求如下：（1）添加1臺型號為2960-24TT的交換機和2臺計算機，將標簽名分別更改為SWA、PC1和PC2，并將交換機和計算機的名稱分別設(shè)置為SWA、PC1和PC2。（2）SWA的Fa0/1接口連接PC1的Fa0接口，SWA的Fa0/2接口連接PC2的Fa0接口。（3）根據(jù)如圖2.1.10所示的拓撲圖，使用直通線連接好所有計算機，并設(shè)置計算機的IP地址和子網(wǎng)掩碼。（4）在SWA上，在vty0~4線路配置Telnet遠程管理，使用PC1對其進行驗證；在vty5~15線路配置SSH遠程管理，使用PC2對其進行驗證?；顒?交換機的遠程配置任務(wù)分析

1．配置通過Telnet登錄交換機

步驟1：配置交換機的主機名稱和管理IP地址?；顒?交換機的遠程配置任務(wù)實施步驟2：設(shè)置特權(quán)模式密碼。步驟3：配置Telnet登錄的用戶名和密碼。在默認情況下，交換機已經(jīng)開啟了Telnet管理方式，但是不允許遠程登錄，因此還需要進行如下配置：活動3交換機的遠程配置任務(wù)實施步驟4：設(shè)置PC1的IP地址。打開PC1的管理界面，在“桌面”選項卡中選擇“IP配置”選項，選中“靜態(tài)”單選按鈕，設(shè)置PC1的IP地址為192.168.1.1，子網(wǎng)掩碼為255.255.255.0，如圖2.1.11所示。圖2.1.11設(shè)置PC1的IP地址和子網(wǎng)掩碼活動3交換機的遠程配置

2．配置通過SSH登錄交換機

SSH功能有SSH服務(wù)器和SSH集成客戶端，后者是在交換機上運行的應(yīng)用程序?？梢允褂糜嬎銠C上運行的任意SSH客戶端或交換機上運行的CiscoSSH客戶端來連接運行SSH服務(wù)器的交換機。

對于服務(wù)器組件，交換機支持SSHv1或SSHv2。對于客戶端組件，交換機只支持SSHv1。

步驟1：配置交換機的域名。

步驟2：設(shè)置特權(quán)模式密碼?；顒?交換機的遠程配置步驟3：生成RSA密鑰。在交換機上啟用SSH服務(wù)器以進行本地和遠程身份驗證，然后使用cryptokeygeneratersa命令生成RSA密鑰對。步驟4：配置SSH服務(wù)器的版本。當全局模式下使用ipsshversion[1|2]命令將交換機配置為運行SSHv1或SSHv2?；顒?交換機的遠程配置步驟5：保存設(shè)置?；顒?交換機的遠程配置

步驟6：設(shè)置PC2的IP地址。打開PC2的管理窗口，在“桌面”選項卡中選擇“IP配置”選項，選中“靜態(tài)”單選按鈕，設(shè)置PC2的IP地址為192.168.1.2，子網(wǎng)掩碼為255.255.255.0，如圖2.1.12所示。圖2.1.12設(shè)置PC2的IP地址和子網(wǎng)掩碼

活動3交換機的遠程配置任務(wù)驗收

1．測試交換機的Telnet服務(wù)（1）測試PC1與交換機之間的連通性。

選擇PC1管理界面中“桌面”選項卡中的“命令提示符”選項，在彈出的“命令行”對話框中使用ping命令進行測試。如圖2.1.13所示，輸入ping192.168.1.254命令，按下Enter鍵。（2）測試交換機的Telnet服務(wù)。

選擇PC1的“命令提示符”選項，在彈出的“命令行”對話框中輸入

telnet192.168.1.254命令進行測試。執(zhí)行效果如圖2.1.14所示。圖2.1.13測試PC1與交換機之間的連通性圖2.1.14使用Telnet登錄管理交換機活動3交換機的遠程配置任務(wù)驗收

2．測試交換機的SSH服務(wù)（1）測試PC2與交換機之間的連通性。

選擇PC2管理界面中“桌面”選項卡中的“命令提示符”選項，在彈出的“命令行”對話框中使用ping命令進行測試。如圖2.1.15所示，輸入ping192.168.1.254命令，按下Enter鍵。圖2.1.15測試PC2與交換機之間的連通性活動3交換機的遠程配置任務(wù)驗收（2）測試交換機的SSH服務(wù)。

選擇PC2的“命令提示符”選項，在彈出的“命令行”對話框中輸入ssh-ladmin192.168.1.254命令進行測試（測試前先關(guān)掉交換機上的Telnet服務(wù)）。執(zhí)行效果如圖2.1.16所示。圖2.1.16

使用SSH登錄管理交換機活動3交換機的遠程配置知識鏈接

遠程訪問Cisco交換機上的VTY接口有兩種選擇：Telnet與SSH。老式交換機可能不支持使用SSH的安全通信。

Telnet起源于ARPANet，是最古老的Internet應(yīng)用之一。Telnet給用戶提供了一種通過網(wǎng)絡(luò)上的終端遠程登錄服務(wù)器的方式。

Telnet使用TCP作為傳輸層協(xié)議，使用的端口號為23，Telnet協(xié)議采用客戶端/服務(wù)器模式。當用戶通過Telnet登錄遠程計算機時，實際上啟用了兩個程序：一個是Telnet客戶端程序，它運行在本地計算機上；另一個是Telnet服務(wù)器程序，它運行在要登錄的遠程設(shè)備上。因此，在遠程登錄過程中，用戶的本地計算機是一個客戶端，而提供服務(wù)的遠程計算機則是一臺服務(wù)器。Telnet是早期型號的Cisco交換機上支持使用SSH的安全通信的最初方法。Telnet是用于終端訪問的常用協(xié)議，因為大部分最新的操作系統(tǒng)都附帶內(nèi)置的Telnet客戶端。但是Telnet不是訪問網(wǎng)絡(luò)設(shè)備的安全方法，因為它在網(wǎng)絡(luò)上以明文形式發(fā)送所有通信。攻擊者使用網(wǎng)絡(luò)監(jiān)視軟件可以讀取Telnet客戶端和Cisco交換機的Telnet服務(wù)器之間發(fā)送的每一個字符。由于Telnet協(xié)議存在安全性問題，因此SSH成為用于遠程訪問Cisco設(shè)備虛擬終端線路的首選協(xié)議。

SSH提供與Telnet相同類型的訪問，但是增加了安全性。SSH客戶端和SSH服務(wù)器之間的通信是加密的。SSH已經(jīng)有多個版本，Cisco設(shè)備目前支持SSHv1和SSHv2。建議盡可能實施SSHv2，因為它使用了比SSHv1更強的安全加密算法。

SSH是SecureShell（安全外殼）的簡稱，標準協(xié)議端口號為22。SSH是一個網(wǎng)絡(luò)安全協(xié)議，通過對網(wǎng)絡(luò)數(shù)據(jù)的加密，在一個不安全的網(wǎng)絡(luò)環(huán)境中，提供了安全的遠程登錄和其他安全網(wǎng)絡(luò)服務(wù)，解決了遠程Telnet的安全性問題。SSH通過TCP協(xié)議進行數(shù)據(jù)交互，它在TCP之上構(gòu)建了一個安全的通道。另外，除了支持標準端口22，SSH還支持其他服務(wù)端口，以提高安全性，防止受到非法攻擊。任務(wù)小結(jié)

本活動講述了交換機的Telnet和SSH的基本配置，需要注意的是，交換機進行Telnet連接的前提條件是需要配置IP地址使網(wǎng)絡(luò)連通，訪問交換機VTY接口有兩種選擇：Telnet和SSH，但是由于Telnet采用明文形式傳送信息，不夠安全，而SSH使用密鑰加密后傳送信息，因此SSH是推薦使用的帶內(nèi)管理方式?；顒?交換機的遠程配置*任務(wù)2交換機的VLAN配置

項目2交換技術(shù)配置*任務(wù)2交換機的VLAN配置

VLAN技術(shù)在局域網(wǎng)互聯(lián)時得到了廣泛推廣和應(yīng)用。VLAN是指一個在物理網(wǎng)絡(luò)上根據(jù)用途、工作組、應(yīng)用等進行邏輯劃分的局域網(wǎng)絡(luò)，它是一個廣播域，與用戶的物理位置沒有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機來通信的。一個VLAN中的成員看不到另一個VLAN中的成員。

因此，劃分VLAN不僅能有效地控制網(wǎng)絡(luò)廣播風暴，提高網(wǎng)絡(luò)的安全可靠性，也是進行網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)流量控制的有效手段，還能實現(xiàn)不同地理位置的部門間的局域網(wǎng)通信，有效地節(jié)省了構(gòu)建網(wǎng)絡(luò)時所需網(wǎng)絡(luò)設(shè)備的費用。

本任務(wù)將分成以下3個活動展開介紹。

活動1交換機的VLAN劃分。

活動2交換機之間相同VLAN的通信。

活動3三層交換機實現(xiàn)VLAN間通信。*任務(wù)2交換機的VLAN配置活動1交換機VLAN的劃分

海成公司的局域網(wǎng)已經(jīng)搭建完成，為了提高網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量，現(xiàn)在需要財務(wù)部、工程部和技術(shù)部使用不同的網(wǎng)段，從而使其相互隔離?；顒?交換機VLAN的劃分邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則劃分,把一個物理上的網(wǎng)絡(luò)分成多個小的邏輯網(wǎng)絡(luò),這些邏輯網(wǎng)絡(luò)就是VLAN.在接入層交換機上劃分VLAN,可以使一臺交換機劃分多個VLAN,從而保證各部門間的安全通信。任務(wù)描述活動1交換機VLAN的劃分任務(wù)分析

為了保證3個部門的相對獨立，需要劃分對應(yīng)的VLAN，使交換機的某些接口屬于財務(wù)部、某些接口屬于工程部和某些接口屬于技術(shù)部，這樣就能保證它們之間的數(shù)據(jù)互不干擾，也不影響各自的通信效率。

下面使用一個實驗來驗證交換機VLAN的功能，交換機的VLAN劃分的拓撲圖如圖2.2.1所示。圖2.2.1

交換機的VLAN劃分的拓撲圖活動1交換機VLAN的劃分任務(wù)分析

具體要求如下：（1）添加6臺計算機，并將標簽名分別更改為PC1～PC6。（2）添加一臺型號為2960-24TT的二層交換機，并將標簽名設(shè)置為SWA。（3）交換機的VLAN劃分及接口分配情況如表2.2.1所示。（4）根據(jù)如圖2.2.1所示的拓撲圖，使用直通線連接好所有計算機，并為每一臺計算機設(shè)置好相應(yīng)的IP地址和子網(wǎng)掩碼。表2.2.1交換機的VLAN劃分及接口分配情況（5）驗證是否接入相同VLAN中的計算機能互相通信，而接入不同VLAN中的計算機則不能互相通信?；顒?交換機VLAN的劃分活動1交換機VLAN的劃分任務(wù)實施

步驟1：由于分配給每一臺計算機的IP地址都是192.168.1.0/24網(wǎng)段的IP地址，6臺計算機默認都在VLAN1中，因此所有計算機之間都是互相連通的。這里以測試PC1與PC3之間的連通性為例，如圖2.2.2所示。圖2.2.2劃分VLAN前測試PC1與PC3之間的連通性活動1交換機VLAN的劃分任務(wù)實施

步驟2：創(chuàng)建VLAN。

在交換機上創(chuàng)建VLAN10、VLAN20和VLAN30，并將Fa0/1和Fa0/2接口放入VLAN10中，將Fa0/3和Fa0/4接口放入VLAN20中，將Fa0/5和Fa0/6接口放入VLAN30中?；顒?交換機VLAN的劃分任務(wù)實施步驟3：分配VLAN接口。剛創(chuàng)建好的VLAN是不包含任何接口的?；顒?交換機VLAN的劃分任務(wù)實施步驟4：查看VLAN?？梢栽谔貦?quán)模式下，通過showvlan命令來查看接口的分配情況?；顒?交換機VLAN的劃分小貼士：VLAN操作命令有如下幾個。創(chuàng)建VLAN：vlan[vlanid]（如vlan10）。刪除VLAN：novlan[vlanid]（如novlan10）。除了用戶創(chuàng)建的VLAN，還有系統(tǒng)自帶的VLAN，如VLAN1、VLAN1001～VLAN1005，這些VLAN是無法刪除的。在默認情況下，交換機所有接口都屬于VLAN1，如果需要加入其他VLAN，則需要使用switchportaccessvlan<id>命令將接口顯式地

添加到VLAN中。

分組添加的方法：連續(xù)的接口使用range包括，不連續(xù)的接口使用逗號隔開，格式如下：//進入接口組Switch(config)#interfacerangefastEthernet0/3–6,fastethernet0/10 Switch(config-if-range)#switchportaccessvlan20在刪除一個VLAN后，VLAN中的接口無法訪問，也不能自動加入VLAN1，除非手動把這些接口加入其他VLAN?；顒?交換機VLAN的劃分任務(wù)驗收

在PC1上pingPC2的IP地址192.168.1.2，網(wǎng)絡(luò)是連通的，說明相同VLAN中的計算機能夠互相通信；而在PC1上pingPC3的IP地址192.168.1.13，網(wǎng)絡(luò)是不通的，說明不同VLAN中的計算機不能互相通信，如圖2.2.3所示。圖2.2.3連通性測試效果活動1交換機VLAN的劃分知識鏈接

1．交換機與廣播域

交換機可以根據(jù)幀中的目的MAC地址，將消息流從一個接口轉(zhuǎn)發(fā)到另一個接口。交換機根據(jù)MAC地址來傳送流量。每臺交換機都在被稱為內(nèi)容可尋址存儲器（CAM）的高速內(nèi)存中維護著一張MAC地址表。每次啟動交換機時，它都會使用傳入幀的源MAC地址，以及該幀進入交換機時所使用的接口號來重新創(chuàng)建MAC地址表，如在如圖

2.2.4所示的交換機網(wǎng)絡(luò)拓撲圖中，交換機創(chuàng)建的MAC地址表如表2.2.2所示。圖2.2.4交換機網(wǎng)絡(luò)拓撲圖表2.2.2交換機創(chuàng)建的MAC地址表活動1交換機VLAN的劃分知識鏈接

當單播幀進入接口時，交換機會找出該幀內(nèi)的源MAC地址，然后在MAC地址表中搜索與該地址匹配的條目。如果源MAC地址尚未存于表中，則交換機會將該MAC地址和接口號添加到表中，并設(shè)置老化計時器。如果源MAC地址已經(jīng)存于表中，則交換機會重置其老化計時器。

然后，交換機會在表中查找目的MAC地址。如果能找到，則交換機將幀從相應(yīng)的接口轉(zhuǎn)發(fā)出去。如果找不到，則交換機會向每個活動接口泛洪該幀，但是接收該幀的接口除外。

如果收到廣播幀，則交換機會像收到未知目的MAC地址時一樣，將其泛洪到所有活動接口。所有收到該廣播的設(shè)備便構(gòu)成了廣播域。相連接的交換機越多，則廣播域的規(guī)模就越大。

VLAN技術(shù)實現(xiàn)了廣播域的劃分，使廣播不會在不同VLAN間轉(zhuǎn)發(fā)。

在交換機上可以使用showmac-address-table命令來查看MAC地址表，本任務(wù)中劃分了3個VLAN，查看到的MAC地址表如圖2.2.5所示。圖2.2.5查看到的MAC地址表任務(wù)小結(jié)

本活動介紹了在一臺交換機上如何劃分

VLAN，所有計算機設(shè)置了同一個網(wǎng)段的IP地址，只有相同VLAN中的計算機可以互相通信，而不同VLAN中的計算機不能互相通信。通過VLAN的劃分，可以實現(xiàn)廣播域的控制?；顒?交換機VLAN的劃分*任務(wù)2交換機的VLAN配置活動2交換機之間相同VLAN的通信

任務(wù)描述

海成公司有財務(wù)部、市場部等部門，其中在不同樓層內(nèi)都有財務(wù)部和市場部的員工計算機，為了使公司的管理更加安全與便捷，公司的領(lǐng)導(dǎo)想讓網(wǎng)絡(luò)管理員組建公司局域網(wǎng)，使各個部門內(nèi)部的主機之間的業(yè)務(wù)往來可以通信，但是基于安全性的考慮，禁止部門之間互相訪問?；顒?交換機之間相同VLAN的通信

同一臺交換機上相同VLAN內(nèi)的計算機可以通信，則不同VLAN內(nèi)的計算機被隔離無法通信。但是由于網(wǎng)絡(luò)規(guī)模的增大或地域范圍的限制，相同

VLAN

內(nèi)的用戶可能跨接在不同交換機上，因此需要配置跨交換機鏈路實現(xiàn)交換機之間相同VLAN的通信。任務(wù)分析

通過劃分VLAN使得財務(wù)部和市場部之間不可以自由訪問，但是部門內(nèi)的計算機分布在不同樓層的交換機上，又要互相訪問，這就需要使用802.1Q進行跨交換機的相同部門的訪問，即在兩臺交換機之間開啟Trunk進行通信。

下面通過實驗來驗證和實現(xiàn)交換機之間相同VLAN中的計算機互相通信，交換機之間相同VLAN的通信的拓撲圖如圖2.2.6所示?；顒?交換機之間相同VLAN的通信圖2.2.6交換機之間相同VLAN的通信的拓撲圖

具體要求如下：（1）添加4臺計算機，將將標簽名分別更改為PC1、PC2、PC3和PC4。（2）添加兩臺型號為2960-24TT的交換機，將標簽名分別設(shè)置為SWA和SWB，并將交換機的名稱分別設(shè)置為SWA和SWB。（3）PC1連接SWA的Fa0/1接口，PC3連接SWA的Fa0/5接口，PC2連接SWB的Fa0/1接口，PC4連接SWB的Fa0/5接口，兩臺交換機通過各自的G0/1接口互連。

（4）根據(jù)如圖2.2.6所示的拓撲圖，使用直通線連接好所有計算機，并設(shè)置每臺計算機的IP地址和子網(wǎng)掩碼。（5）在SWA和SWB上分別劃分兩個VLAN（VLAN10和VLAN20），則接口分配情況如表2.2.2所示。

活動2交換機之間相同VLAN的通信（6）實現(xiàn)PC1與PC2互相通信，PC3與PC4互相通信，其他組合不能互相通信。表2.2.2兩臺交換機的VLAN劃分和接口分配情況任務(wù)實施活動2交換機之間相同VLAN的通信步驟1：創(chuàng)建VLAN及接口分配。對兩個交換機進行相同的VLAN劃分，下面是SWA的配置過程，同理可以實現(xiàn)SWB的配置?；顒?交換機之間相同VLAN的通信當兩臺交換機都按照上面的命令配置完成后，再測試一下可以發(fā)現(xiàn)，現(xiàn)在4臺計算機之間都不能互相通信了。找一下原因，發(fā)現(xiàn)交換機是通過G0/1接口進行相連的，而G0/1接口并不在VLAN10和VLAN20中?？梢栽囈幌掳雅c交換機互連的改接口為Fa0/2（VLAN10的)接口相連，再測試時可以發(fā)現(xiàn)PC1和PC2可以互相訪問了，而PC3和PC4仍然不能互相訪問。同樣地，接到VLAN20的進接口行相連，情況相反。步驟2：配置SWA和SWB的G0/1為接口Trunk接口。想要解決上述難題，仍然采用G0/1接口相連兩臺交換機，可以將G0/1接口設(shè)置為Trunk類型。因為Trunk類型的接口可以允許單個、多個或交換機上劃分的所有VLAN通過它進行通信。在默認情況下，Trunk接口允許所有VLAN通過。（1）在SWA上的設(shè)置方法如下：活動2交換機之間相同VLAN的通信（2）在SWB上的設(shè)置方法如下：（3）在特權(quán)模式下利用showvlan命令查看接口的分配情況將發(fā)現(xiàn)，G0/1商品不出現(xiàn)在任何一個VLAN中了?；顒?交換機之間相同VLAN的通信步驟3：查看SWA配置的Trunk類型。

至此，本實驗配置完成。雖然在利用showvlan命令查看的接口分配情況時，G0/1并接口不顯示在任何一個VLAN中，但這時兩個交換機中的相同VLAN中的計算機已經(jīng)可以通信了。任務(wù)驗收活動2交換機之間相同VLAN的通信

在PC1上pingPC2的IP地址192.168.10.2，網(wǎng)絡(luò)是連通的，則表明交換機之前的Trunk鏈路已經(jīng)成功建立；在PC1上pingPC3的IP地址192.168.10.3，網(wǎng)絡(luò)不通，則表明不同VLAN間無法通信，如圖2.2.7所示。圖2.2.7

驗證交換機之間相同VLAN的通信知識鏈接活動2交換機之間相同VLAN的通信

Cisco交換機的接口狀態(tài)有3種模式：Access、Trunk和Auto，分別對應(yīng)接入模式、中繼模式和自動協(xié)商模式，默認為Auto模式。如果某個接口連接計算機，則應(yīng)該配置為Access模式，即將接口分配給某個VLAN。如果交換機接口連接的是另一臺交換機，而且存在多個VLAN需要跨交換機通信，則此接口需要承載多個VLAN的數(shù)據(jù)，應(yīng)設(shè)置為Trunk模式。當某接口連接Cisco交換機時，如果接口處于Auto模式，則會讓鏈路與接口成為自動協(xié)商狀態(tài)。此例中兩臺Cisco交換機互連，一端配置為Trunk模式后，另一端默認為Auto模式，則協(xié)商后自動轉(zhuǎn)換為Trunk模式，所以不需要手動配置。如果Cisco交換機與非Cisco交換機互連，則不能自動協(xié)商，需要在兩端手動配置為trunk模式。

如果想要將某臺交換機的接口從VLAN10中刪除，并將接口重新分配給VLAN1，則可以在接口配置模式下使用noswitchportaccessvlan命令。

靜態(tài)接入接口只能擁有一個VLAN。通過使用CiscoIOS，不需要將接口從VLAN中刪除，即可將其分配給其他VLAN。當將靜態(tài)接入接口重新分配給現(xiàn)有的VLAN時，該VLAN會自動從原來的接口上刪除。也可以在特權(quán)模式下使用deleteflash:vlan.dat命令來刪除整個vlan.dat文件。在交換機重新加載后，先前配置的VLAN將不存在。這種方法能有效地將交換機的VLAN配置還原為“出廠默認設(shè)置”。

在刪除VLAN前，務(wù)必將所有成員接口重新分配給其他VLAN。在刪除VLAN后，任何未轉(zhuǎn)移到活動VLAN的接口都將無法與其他站點通信。任務(wù)小結(jié)活動2交換機之間相同VLAN的通信

本活動介紹了在一個網(wǎng)絡(luò)上存在兩個或兩個以上的交換機互連時，且交換機都進行了相同的VLAN配置，設(shè)置交換機相連的接口為Trunk類型，并允許相應(yīng)的VLAN通過，可以實現(xiàn)交換機之間相同VLAN上的計算機的互相通信。*任務(wù)2交換機的VLAN配置活動3三層交換機實現(xiàn)VLAN間通信

活動3三層交換機實現(xiàn)VLAN間通信

三層交換機即內(nèi)置了路由功能的交換機，在轉(zhuǎn)發(fā)數(shù)據(jù)幀的同時，還可以在不同網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)包。在交換式局域網(wǎng)中，三層交換機可以配置多個虛擬VLAN接口（SVI）作為VLAN內(nèi)計算機設(shè)備的網(wǎng)關(guān)，同時轉(zhuǎn)發(fā)數(shù)據(jù)包，實現(xiàn)不同VLAN之間的通信。任務(wù)描述任務(wù)分析

海成公司由于業(yè)務(wù)的需要，公司內(nèi)部辦公系統(tǒng)需要控制不同業(yè)務(wù)部門之間的訪問。公司準備使用一臺CiscoCatalyst3560交換機作為路由設(shè)備來實現(xiàn)不同部門之間的互相訪問需求。將不同業(yè)務(wù)部門劃分到不同VLAN中，管理更為合理、安全，但有時又需要部門間相互通信，這可以通過三層交換機設(shè)備來實現(xiàn)。下面通過實驗來驗證和實現(xiàn)三層交換機實現(xiàn)VLAN間的計算機互相通信，三層交換機實現(xiàn)VLAN間通信的拓撲圖如圖2.2.8所示。圖2.2.8三層交換機實現(xiàn)VLAN間通信的拓撲圖活動3三層交換機實現(xiàn)VLAN間通信

具體要求如下：（1）添加2臺計算機，并將標簽名分別更改為PC1和PC2。（2）添加1臺型號為3650-24PS的三層交換機，添加AC-POWER-SUPPLY電源模塊，用于設(shè)備供電。（3）將型號為3650-24PS的三層交換機的標簽名更改為SWA。（4）PC1連接SWA的G1/0/1接口，PC2連接SWA的G1/0/5接口。（5）在SWA上劃分兩個VLAN（VLAN10、VLAN20），詳細參數(shù)如表2.2.4所示。表2.2.4三層交換機的VLAN參數(shù)（6）根據(jù)如圖2.2.8所示的拓撲圖，使用直通線連接好所有計算機，并設(shè)置每臺計算機的IP地址和子網(wǎng)掩碼，網(wǎng)關(guān)（GW）預(yù)留。（7）開啟SWA交換機的路由功能?；顒?三層交換機實現(xiàn)VLAN間通信任務(wù)實施

如果想要實現(xiàn)2臺計算機之間都能通信，且不借助其他設(shè)備，就要在交換機上劃分不同網(wǎng)絡(luò)的廣播域，即劃分VLAN，并開啟三層交換機的路由功能，從而實現(xiàn)不同VLAN間及不同網(wǎng)絡(luò)間的路由轉(zhuǎn)發(fā)、尋址功能。

步驟1：在三層交換機上設(shè)置主機名稱、創(chuàng)建VLAN并添加接口?；顒?三層交換機實現(xiàn)VLAN間通信步驟2：在SWA上配置VLAN10和VLAN20的IP地址。步驟3：開啟三層交換機SWA的路由功能?；顒?三層交換機實現(xiàn)VLAN間通信

步驟4：設(shè)置計算機的網(wǎng)關(guān)，實現(xiàn)不同VLAN間的通信。

計算機之間在要實現(xiàn)跨網(wǎng)絡(luò)互聯(lián)時，必須要通過網(wǎng)關(guān)進行路由轉(zhuǎn)發(fā)，所以實現(xiàn)交換機VLAN間的路由，還要為每一臺計算機配置網(wǎng)關(guān)。

設(shè)置計算機的網(wǎng)關(guān)時應(yīng)該選擇該計算機的上連設(shè)備IP地址，也可以稱為下一跳地址。對于本實驗的拓撲圖，PC1連接設(shè)備SWA的VLAN10，而VLAN10的接口IP地址為192.168.10.254，那么VLAN10的接口IP地址為PC1的下一跳地址。因此，PC1的網(wǎng)關(guān)就應(yīng)設(shè)置為192.168.10.254。同理，PC2的網(wǎng)關(guān)為VLAN20的接口IP地址192.168.20.254。

配置網(wǎng)關(guān)在計算機“桌面”選項卡中的“IP配置”對話框中完成。圖2.2.9所示為設(shè)置PC1的網(wǎng)關(guān)。圖2.2.9設(shè)置PC1的網(wǎng)關(guān)活動3三層交換機實現(xiàn)VLAN間通信任務(wù)驗收

1．驗證SWA的配置活動3三層交換機實現(xiàn)VLAN間通信

2．測試計算機之間的連通性

在PC1上選擇“桌面”選項卡中的“命令提示符”選項，在彈出的“命令行”對話框中使用ping命令去測試PC1與PC2之間的連通性。圖2.2.10所示為在PC1上測試其與PC2之間的連通性的結(jié)果。圖2.2.10測試計算機之間的連通性活動3三層交換機實現(xiàn)VLAN間通信知識鏈接

三層交換技術(shù)就是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標準模型中的第二層（數(shù)據(jù)鏈路層）進行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。應(yīng)用三層交換技術(shù)既可以實現(xiàn)網(wǎng)絡(luò)路由功能，又可以根據(jù)不同的網(wǎng)絡(luò)狀況做到最優(yōu)的網(wǎng)絡(luò)性能。

三層交換機也具有路由功能，并且與傳統(tǒng)路由器的路由功能從總體上來說是一致的。雖然如此，三層交換機與路由器還是存在相當大的本質(zhì)區(qū)別的。

VLAN將一個物理的LAN在邏輯上劃分成多個廣播域。VLAN內(nèi)的主機之間可以直接通信，而VLAN之間不能直接互相通信。

在現(xiàn)實網(wǎng)絡(luò)中，經(jīng)常會遇到需要跨VLAN互相訪問的情況，工程師通常會選擇一些方法來實現(xiàn)不同VLAN之間主機的互相訪問，如單臂路由。但是單臂路由技術(shù)由于存在一些局限性，如帶寬、轉(zhuǎn)發(fā)效率等，因此這項技術(shù)應(yīng)用較少。

三層交換機在原有二層交換機的基礎(chǔ)之上增加了路由功能，同時由于數(shù)據(jù)沒有像單臂路由那樣經(jīng)過物理線路進行路由，因此很好地解決了帶寬瓶頸的問題，為網(wǎng)絡(luò)設(shè)計提供了一個靈活的解決方案。

在實際應(yīng)用中，三層交換機經(jīng)常上連路由器等出口設(shè)備，可以把上連口啟用三層功能，配置IP地址，參與路由。

當三層交換機物理接口配置IP地址時，需要在接口配置模式下先啟用三層功能，才可以配置IP地址，命令如下：活動3三層交換機實現(xiàn)VLAN間通信任務(wù)小結(jié)

本活動介紹了如何在三層交換機上實現(xiàn)不同部門之間的通信，在二層交換機配置VLAN后，只能實現(xiàn)相同VLAN內(nèi)的通信，而如果想實現(xiàn)VLAN間的通信，則必須借助三層設(shè)備（三層交換機或路由器），路由器實現(xiàn)VLAN間的通信，將在后面的項目中進行介紹。*任務(wù)3交換機的常用技術(shù)配置

項目2交換技術(shù)配置任務(wù)三交換機的常用技術(shù)配置

交換機在現(xiàn)代高速網(wǎng)絡(luò)中應(yīng)用非常廣泛，相關(guān)的應(yīng)用除了常用的VLAN技術(shù)，還包括鏈路聚合、VTP協(xié)議、生成樹技術(shù)、DHCP服務(wù)和冗余網(wǎng)關(guān)HSRP等。本任務(wù)重點介紹交換機的5個常用技術(shù)，因此設(shè)計了5個活動來展開介紹。

活動1交換機的鏈路聚合技術(shù)。

活動2交換機的VTP技術(shù)。

活動3交換機的生成樹協(xié)議。

活動4交換機的DHCP技術(shù)。

活動5交換機的HSRP技術(shù)。*活動1交換機的鏈路聚合技術(shù)

任務(wù)3交換機的常用技術(shù)配置活動1交換機的鏈路聚合技術(shù)任務(wù)描述

鏈路聚合又稱端口匯聚，是指兩臺交換機之間在物理上將兩個或多個接口連接起來，使多條鏈路聚合成一條邏輯鏈路，從而增大鏈路帶寬，多條物理鏈路之間能夠相互冗余備份。

海成公司的局域網(wǎng)已經(jīng)投入使用，在功能上完全滿足公司辦公和業(yè)務(wù)需求。但有時會出現(xiàn)上網(wǎng)高峰期訪問服務(wù)器或外部網(wǎng)絡(luò)時速度降低，影響辦公效率的情況。網(wǎng)絡(luò)管理員需要想辦法增加交換機上連接口的帶寬?；顒?交換機的鏈路聚合技術(shù)任務(wù)分析

鏈路聚合技術(shù)可以將交換機與核心交換機之間的多個接口并行連接，使多條鏈路聚合成一條邏輯鏈路，從而增加鏈路帶寬，解決交換網(wǎng)絡(luò)中因帶寬引起的網(wǎng)絡(luò)瓶頸問題，其中任意一條鏈路斷開，都不會影響其他鏈路正常轉(zhuǎn)發(fā)數(shù)據(jù)。

下面利用兩臺交換機搭建網(wǎng)絡(luò)實驗環(huán)境，以驗證交換機的鏈路聚合功能，交換機鏈路聚合拓撲圖如圖2.3.1所示。圖2.3.1交換機鏈路聚合拓撲圖

具體要求如下：（1）添加兩臺計算機，并將標簽名分別更改為PC1和PC2。（2）添加兩臺型號為2960-24TT的二層交換機，并將標簽名分別設(shè)置為SWA、SWB。（3）PC1連接SWA的Fa0/1接口，PC2連接SWB的Fa0/1接口。（4）將兩臺交換機的G0/1接口和G0/2接口設(shè)置為聚合端口，從而實現(xiàn)鏈路聚合功能?；顒?交換機的鏈路聚合技術(shù)任務(wù)實施步驟1：配置SWA的名稱和劃分VLAN10，并將Fa0/1接口加入VLAN10中。步驟2：配置SWB的名稱和劃分VLAN10，并將Fa0/1接口加入VLAN10中?；顒?交換機的鏈路聚合技術(shù)步驟3：在SWA上配置聚合端口，G0/1接口和G0/2接口為聚合組，并開啟Trunk模式。步驟4：在SWB上配置鏈路聚合，G0/1端口和G0/2接口為聚合組，并開啟Trunk模式?；顒?交換機的鏈路聚合技術(shù)步驟5：在SWA上驗證鏈路聚合。活動1交換機的鏈路聚合技術(shù)任務(wù)驗收1．測試計算機之間的連通性在PC1上測試與PC2的連通性，如圖2.3.2所示。圖2.3.2測試PC1與PC2之間的連通性活動1交換機的鏈路聚合技術(shù)2．改變拓撲結(jié)構(gòu)重新測試當交換機之間的任意一條鏈路斷開時，PC1與PC2仍能互相通信，計算機之間的連通性沒有受到影響，如圖2.3.3所示。圖2.3.3連通性測試結(jié)果活動1交換機的鏈路聚合技術(shù)知識鏈接EtherChannel技術(shù)最初是由思科公司開發(fā)的，是一種將多個快速以太網(wǎng)或千兆以太網(wǎng)接口集合到一個邏輯通道中的LAN交換機到交換機技術(shù)。當配置EtherChannel時，所產(chǎn)生的虛擬接口稱為接口通道。物理接口捆綁在一起稱為一個接口通道接口。1．EtherChannel技術(shù)的優(yōu)點大多數(shù)配置任務(wù)可以在EtherChannel接口（而不是在每個接口）上完成，這能確保鏈路中的配置一致。EtherChannel依賴現(xiàn)有的交換機接口，無須將鏈路升級到擁有更高帶寬的更快、更昂貴的連接。負載均衡在屬于同一EtherChannel的鏈路之間進行。根據(jù)硬件平臺，可以實施一個或多個負載均衡方法。這些方法包括物理鏈路上源MAC地址到目的MAC地址的負載均衡和源IP地址到目的IP地址的負載均衡。EtherChannel

創(chuàng)建的聚合被視為一個邏輯鏈路。當兩臺交換機之間存在多個EtherChannel包時，STP可能會阻塞其中一個包，以防止交換環(huán)路。當STP阻塞其中一個冗余鏈路時，它會阻塞整個EtherChannel。這將阻塞屬于此EtherChannel鏈路的所有接口。如果只有一個EtherChannel鏈路，則EtherChannel中的所有物理鏈路都有效，因為STP只看到一條（邏輯）鏈路。EtherChannel可提供冗余，因為總體鏈路被視為一個邏輯連接。此外，通道內(nèi)一個物理鏈路的丟失不會造成拓撲的變化，因此不需要重新計算生成樹。假設(shè)至少存在一個物理鏈路，則EtherChannel將保持正常運行，雖然其總體吞吐量會因EtherChannel中的鏈路丟失而減少。2．EtherChannel的指導(dǎo)原則和限制EtherChannel支持：所有模塊上的所有以太網(wǎng)接口都必須支持EtherChannel，而不要求接口在物理上連續(xù)或位于同一模塊上。速度和雙工：將EtherChannel中的所有接口配置為以相同速度并在相同雙工模式下運行。VLAN匹配：必須將EtherChannel中的所有接口分配到相同VLAN中，或者配置為Trunk模式。VLAN范圍：在中繼EtherChannel中的所有接口上，EtherChannel都支持相同的VLAN允許范圍。如果VLAN的允許范圍不同，那么即使設(shè)置為自動或期望的模式，接口也不會形成EtherChannel。如果必須更改這些設(shè)置，則可以在接口通道接口配置模式下修改。當配置了接口通道接口后，任何應(yīng)用于接口通道接口的配置都會影響各個接口。但是，應(yīng)用于單個接口的配置不會影響接口通道接口。因此，對屬于EtherChannel鏈路的接口進行配置更改可能會導(dǎo)致接口兼容性問題?；顒?交換機的鏈路聚合技術(shù)任務(wù)小結(jié)

當連接好設(shè)備時，在交換機互連的兩條鏈路中，若有一條鏈路的標志是黃色的，則表示該鏈路處于關(guān)閉狀態(tài)，此時兩臺交換機之間并沒有實現(xiàn)鏈路聚合功能。當做完以上配置時，再次檢查網(wǎng)絡(luò)拓撲圖可以發(fā)現(xiàn)，這時交換機互連的兩條鏈路的標志都是綠色的，當交換機之間的一條鏈路斷開時，PC1與PC2仍能互相通信。*活動2交換機的VTP技術(shù)

任務(wù)3交換機的常用技術(shù)配置活動2交換機的VTP技術(shù)

虛擬局域網(wǎng)干道協(xié)議（VLANTrunkProtocol，VTP）即VLAN的中繼協(xié)議。VTP通過網(wǎng)絡(luò)保持VLAN配置的統(tǒng)一性。VTP實現(xiàn)了系統(tǒng)化管理，方便管理員增加、刪除和調(diào)整的VLAN操作。只要把交換機加入到同一個VTP域中，工作在服務(wù)器模式的交換機會自動地將VLAN配置信息向網(wǎng)絡(luò)中其他的交換機廣播，VTP客戶端會自動學習VTP服務(wù)器上的VLAN信息。此外，VTP還減小了那些可能導(dǎo)致安全問題的配置，便于管理。

海成公司的局域網(wǎng)在使用過程中，由于業(yè)務(wù)的改變經(jīng)常需要增加或刪除VLAN。而由于交換機的數(shù)量較多，且位置分散，因此為了能夠保證VLAN配置的統(tǒng)一性，管理員需要花費較多的時間來管理。為了解決這一問題，可以使用VTP技術(shù)。任務(wù)描述活動2交換機的VTP技術(shù)任務(wù)分析

對于多臺交換機的VLAN管理，使用VTP技術(shù)較為合適。設(shè)置核心層交換機為VTP服務(wù)器，并規(guī)劃相應(yīng)的VLAN。接入層交換機為VTP客戶機，使它們實現(xiàn)VLAN的中繼，自動創(chuàng)建與VTP服務(wù)器相同的VLAN規(guī)劃。配置交換機的互連接口為Trunk類型，并規(guī)劃接入層VLAN的接口分配，最終實現(xiàn)全網(wǎng)互通。

下面利用實驗來介紹交換機VTP技術(shù)的應(yīng)用及配置方法，交換機VTP技術(shù)配置拓撲圖如圖2.3.4所示。

具體要求如下：

（1）添加4臺計算機，并將標簽名分別更改為PC1～PC4。

（2）添加1臺型號為3650-24PS的三層交換機，并添加AC-POWER-SUPPLY電源模塊，用于為設(shè)備供電。

（3）將型號為3650-24PS的三層交換機的標簽名更改為SWA，作為VTP服務(wù)器。

（4）添加兩臺型號為2960-24TT的二層交換機，作為VTP客戶端，并將標簽名分別更改為SWB和SWC。

（5）在SWA上劃分兩個VLAN，劃分情況IP地址設(shè)置如表2.3.1所示?；顒?交換機的VTP技術(shù)圖2.3.4交換機VTP技術(shù)配置拓撲圖表2.3.1VTP服務(wù)器的VLAN劃分及IP地址設(shè)置（5）根據(jù)如圖

2.3.4所示，使用直通線連接所有網(wǎng)絡(luò)設(shè)備及計算機，并按圖設(shè)置所有計算機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。（6）設(shè)置SWA為VTPserver，設(shè)置SWB和SWC為VTPclient，使得SWB和SWC具有與SWA相同的VLAN配置?；顒?交換機的VTP技術(shù)任務(wù)實施步驟1：配置核心交換機SWA的主機名稱，將其設(shè)置為VTP服務(wù)器，并設(shè)置VTP服務(wù)器的域名與密碼?；顒?交換機的VTP技術(shù)步驟2：配置SWB的主機名稱，將其設(shè)置為VTP客戶端，域名和密碼與VTP服務(wù)器相同。使用同樣的方法，設(shè)置接入層交換機SWC為VTP客戶端。步驟3：配置VTP服務(wù)器端的VLAN規(guī)劃。根據(jù)實驗要求，在SWA上劃分兩個VLAN（VLAN10和VLAN20），不進行接口分配，并設(shè)置相應(yīng)的IP地址等參數(shù)和啟動路由功能?；顒?交換機的VTP技術(shù)步驟4：配置各交換機上的中繼鏈路。（1）在SWA上進行如下配置：（2）在SWB上進行如下配置：（3）在SWC上進行如下配置：活動2交換機的VTP技術(shù)步驟5：查看VTP客戶端交換機上的VLAN配置?？梢钥吹?，此時接入層交換機上已經(jīng)存在了兩個VLAN，即VLAN10和VLAN20?；顒?交換機的VTP技術(shù)步驟6：在SWB上把相應(yīng)接口加入VLAN中。步驟7：在SWC上把相應(yīng)接口加入VLAN中?；顒?交換機的VTP技術(shù)任務(wù)驗收

完成以上所有配置，已經(jīng)實現(xiàn)了全網(wǎng)互通的目標。為了驗證實驗結(jié)果，可以使用任何一臺計算機去測試其與其他計算機之間的連通性。

在PC1上分別測試其與PC3和PC4的連通性，結(jié)果如圖2.3.5所示。圖2.3.5驗證交換機VTP實驗活動2交換機的VTP技術(shù)活動2交換機的VTP技術(shù)知識鏈接

1．VTP的工作模式

VTP中的交換機有3種工作模式：服務(wù)器模式、客戶端模式和透明模式。在VTP服務(wù)器上可以定義和刪除VLAN，而客戶端交換機能夠自動進行同步配置。工作在VTP透明模式下的交換機不受影響，可以獨立配置，但是工作在VTP透明模式下的交換機參與傳輸VTP域中的信息。

2．VTP的狀態(tài)及參數(shù)

CiscoIOS中的showVTPstatus命令可以用于顯示VTP狀態(tài)。輸出信息顯示SWA默認為VTP服務(wù)器模式，并且沒有分配VTP域名。此輸出信息還顯示該交換機的最高可用VTP版本是第2版，并且VTP第2版被禁用。在網(wǎng)絡(luò)中配置和管理VTP時，會經(jīng)常用到showVTPstatus命令。下面簡要說明showVTPstatus命令的參數(shù)。

VTPVersion：顯示交換機可以運行的VTP版本。在默認情況下，交換機采用第1版，但是可以設(shè)置為第2版。

ConfigurationRevision：交換機上的當前配置修訂版號。后面將介紹更多有關(guān)修訂版號的知識。

MaximumVLANsSupportedLocally：本地支持的VLAN的最大數(shù)量。

NumberofExistingVLANs：現(xiàn)有VLAN的數(shù)量。

VTPOperatingMode：可以是服務(wù)器模式、客戶端模式或透明模式。

VTPDomainName：用于標識交換機管理域的名稱。

VTPPruningMode：顯示修剪模式是啟用還是禁用?；顒?交換機的VTP技術(shù)任務(wù)小結(jié)

本活動介紹了交換機VTP技術(shù)的應(yīng)用，VTP技術(shù)大大減輕了網(wǎng)絡(luò)管理員對VLAN的管理操作，使網(wǎng)絡(luò)管理員能方便地增加、刪除和調(diào)整網(wǎng)絡(luò)中的VLAN規(guī)劃，并保持網(wǎng)絡(luò)中VLAN規(guī)劃的統(tǒng)一性。*活動3交換機的生成樹協(xié)議任務(wù)3交換機的常用技術(shù)配置活動3交換機的生成樹協(xié)議任務(wù)描述

網(wǎng)絡(luò)的可靠性要求網(wǎng)絡(luò)設(shè)備能夠滿足7×24小時的不間斷工作，這就需要在網(wǎng)絡(luò)中增加冗余的鏈路。生成樹協(xié)議（SpanningTreeProtocol，STP）使網(wǎng)絡(luò)保持在一種無環(huán)、最優(yōu)的工作狀態(tài)，網(wǎng)絡(luò)管理員可以基于VLAN流量調(diào)整生成樹狀態(tài)，是達到網(wǎng)絡(luò)的負載均衡，使網(wǎng)絡(luò)達到最佳工作效率。

由于業(yè)務(wù)迅速發(fā)展和對網(wǎng)絡(luò)可靠性要求的提高，海成公司增加了設(shè)備間的備份鏈路，希望使網(wǎng)絡(luò)在不間斷的情況下能達到最佳的工作效率?；顒?交換機的生成樹協(xié)議任務(wù)分析

生成樹協(xié)議可以在交換機網(wǎng)絡(luò)中消除第二層環(huán)路，在網(wǎng)絡(luò)出現(xiàn)故障時，能及時補充有效鏈路，從而保障網(wǎng)絡(luò)的可用性。在網(wǎng)絡(luò)正常運行時，可以基于不同的VLAN進行轉(zhuǎn)發(fā)，起到負載均衡的作用，從而提高網(wǎng)絡(luò)的工作效率。

下面利用實驗來介紹交換機生成樹協(xié)議的應(yīng)用及配置方法，交換機生成樹協(xié)議配置拓撲如圖2.3.6所示。圖2.3.6

交換機生成樹協(xié)議配置拓撲圖活動3交換機的生成樹協(xié)議

具體要求如下：

（1）添加3臺型號為3650-24PS的三層交換機，并添加AC-POWER-SUPPLY電源模塊，用于為設(shè)備供電。

（2）將3臺型號為3650-24PS的三層交換機的標簽名分別更改為SWA、SWB和SWC。

（3）根據(jù)如圖2.3.6所示的拓撲圖，使用交叉線連接所有網(wǎng)絡(luò)設(shè)備。

（4）在SWA、SWB和SWC上均劃分VLAN10和VLAN20。

（5）在SWA和SWB上配置生成樹協(xié)議，實現(xiàn)VLAN的負載均衡，使得VLAN10內(nèi)的計算機在通信時走G1/0/23的鏈路，VLAN20內(nèi)的計算機在通信時走G1/0/24的鏈路?；顒?交換機的生成樹協(xié)議任務(wù)實施步驟1：配置SWA的主機名稱，并創(chuàng)建VLAN10和VLAN20步驟2：配置SWB的主機名稱，并創(chuàng)建VLAN10和VLAN20?；顒?交換機的生成樹協(xié)議步驟3：配置SWC的主機名稱，并創(chuàng)建VLAN10和VLAN20。

步驟4：在交換機上啟用生成樹協(xié)議。

在交換機上默認開啟生成樹協(xié)議，這里選擇rapid-pvst（每個VLAN快速生成樹，RSTP）生成樹協(xié)議，既可以達到快速收斂，又可以在每個VLAN上構(gòu)建生成樹，以達到負載均衡。（1）在SWA上啟用rapid-pvst（RSTP快速生成樹）。（2）在SWB上啟用rapid-pvst（RSTP快速生成樹）。（3）在SWC上啟用rapid-pvst（RSTP快速生成樹）?；顒?交換機的生成樹協(xié)議步驟5：在各交換機上完成Trunk中繼鏈路的配置。（1）SWA的配置如下：（2）SWB的配置如下：活動3交換機的生成樹協(xié)議（3）SWC的配置如下：步驟6：修改生成樹根網(wǎng)橋和優(yōu)先級。在本實驗中，設(shè)置SWA為VLAN10的根網(wǎng)橋，為VLAN20的備用。設(shè)置命令如下：在本實驗中，設(shè)置SWB為VLAN20的根網(wǎng)橋，為VLAN10的備用。設(shè)置命令如下：活動3交換機的生成樹協(xié)議

步驟7：查看和檢驗生成樹的配置。

查看生成樹的配置，可以在全局模式下使用showspanning-tree命令進行查看。下面是在SWA上查看到的生成樹信息。此信息會顯示交換機上所有VLAN的生成樹信息?；顒?交換機的生成樹協(xié)議

步驟8：配置VLAN的負載均衡。

生成樹不但提供了冗余備份鏈路，還可以為VLAN配置負載均衡，即為每一個VLAN配置一條指定的鏈路。在為VLAN配置負載均衡后，每個VLAN都有自己的根網(wǎng)橋，且每條鏈路只轉(zhuǎn)發(fā)所允許的VLAN數(shù)據(jù)幀，有兩種方法可以實現(xiàn)。

在本實驗中，為VLAN10配置交換機與G1/0/24接口互聯(lián)的鏈路，為VLAN20配置交換機與G1/0/23接口互連的鏈路。具體實施如下所述。

第一種方法：修改Cost值。第二種方法：修改端口的優(yōu)先級?；顒?交換機的生成樹協(xié)議任務(wù)驗收1．查看和檢驗修改Cost值后的STP的配置2．查看交換機接口指示燈的顏色在完成以上所有配置后，再次查看拓撲圖可以發(fā)現(xiàn)，交換機所有互連的接口全都為綠色了，不再存在黃色的標志?；顒?交換機的生成樹協(xié)議知識鏈接

收斂是生成樹過程中的一個重要環(huán)節(jié)。收斂是指網(wǎng)絡(luò)在一段時間內(nèi)確定作為根橋的交換機、經(jīng)過所有不同的接口狀態(tài)，并且將所有交換機接口設(shè)置為其最終的生成樹接口角色，而所有潛在的環(huán)路都被消除。收斂過程需要耗費一定的時間，這是因為其使用不同的計時器來協(xié)調(diào)整個過程。

STP收斂過程分為以下3個步驟。

步驟1：選舉根橋。根橋是所有生成樹路徑開銷計算的基礎(chǔ)，用