網(wǎng)絡設備安裝與調(diào)試技術 課件 （秦燊）第3章 局域網(wǎng)和虛擬局域網(wǎng)

第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦燊同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計算機通信網(wǎng)絡通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡通信技術，傳輸速率從早期的10Mbps的標準以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬兆以太網(wǎng)，成為局域網(wǎng)技術的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡屬于共享式以太網(wǎng)，網(wǎng)絡中的所有終端主機都處于同一沖突域中，網(wǎng)絡的帶寬是由接入的主機共享的，接入的主機越多，每臺主機獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機組成的網(wǎng)絡則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機還是集線器，它們的端口都處在各自的同一個廣播域中。3.1.1.抓包探究沖突域如圖3-1所示，打開PacketTracer8，分別用交換機和集線器連接電腦組成兩個不同的網(wǎng)絡，即圖中5號位的“交換機網(wǎng)絡”和8號位的“集線器網(wǎng)絡”。給同一網(wǎng)絡中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址，此處兩個網(wǎng)絡都取192.168.1.0/24網(wǎng)段。下面，通過實驗抓包驗證ICMP單播包在集線器與交換機下轉(zhuǎn)發(fā)時的異同。圖3-1集線器網(wǎng)絡和交換機網(wǎng)絡的ICMP單播包1.在Realtime模式下（圖中1號位），清空并查看“交換機網(wǎng)絡”中（圖中5號位）交換機的MAC地址表。命令如下；Switch#clearmac-address-tableSwitch#showmac-address-table2.切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ICMP”抓包選項。然后在“交換機網(wǎng)絡”上（圖中5號位），點擊PC4，在PC4的命令行界面pingPC6，即在PC4上運行ping192.168.1.3命令，構(gòu)造形成和準備發(fā)送第一個ICMP包。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過點擊圖中4號位的前進和后退按鈕定位到ping命令執(zhí)行的不同階段，查看ping的詳細執(zhí)行過程?？梢钥吹剑粨Q機轉(zhuǎn)發(fā)第一個ICMP數(shù)據(jù)幀時，將數(shù)據(jù)幀廣播給PC5、PC6、PC7；PC6接收到PC4發(fā)來的數(shù)據(jù)幀后，發(fā)現(xiàn)是發(fā)給自己的，隨即向PC4回復ICMP單播幀；PC5和PC7發(fā)現(xiàn)數(shù)據(jù)幀不是發(fā)給自己的，將其丟棄。原因分析如下：第一個ICMP數(shù)據(jù)幀之所以通過廣播的形式轉(zhuǎn)發(fā)，是因為交換機的MAC表最初為空，無法查到目標PC6所在的端口。隨著交換機依次學到PC4和PC6的MAC地址并記錄到MAC地址表中，從第二個ICMP數(shù)據(jù)幀開始，交換機都會根據(jù)MAC地址表選擇出端口、以單播的方式轉(zhuǎn)發(fā)。圖中7號位記錄的是PC6收到PC4發(fā)來的第二個ICMP單播幀的時刻，是點擊圖中6號位的眼睛后面的Switch0后，顯示PC6接收到PC4發(fā)來的ICMP單播幀的內(nèi)容（圖中7號位左邊）以及回復給PC4的ICMP單播幀的內(nèi)容（圖中7號位右邊）。4.按照步驟2和步驟3的方法，對“集線器網(wǎng)絡”（圖中8號位）進行PC0pingPC2的ICMP抓包實驗。通過在PC0的命令行界面運行“ping192.168.1.3”命令并進行抓包，可以看到，不論是第一個ICMP包，還是后續(xù)的ICMP包，所有階段集線器都是以廣播的方式轉(zhuǎn)發(fā)的。這是因為集線器屬于物理層設備，不認識MAC地址，也不具備MAC地址表。以上實驗結(jié)果驗證了：由于集線器屬于物理層設備，不能識別MAC地址，只能通過廣播數(shù)據(jù)幀的方式轉(zhuǎn)發(fā)數(shù)據(jù)，整個集線器處于同一個沖突域中；交換機屬于數(shù)據(jù)鏈路層設備，能識別MAC地址。3.1.2抓包探究廣播域

如圖3-2所示，打開PacketTracer8，分別用集線器和交換機連接電腦組成兩個不同的網(wǎng)絡,包括5號位的“集線器網(wǎng)絡”和8號位的“交換機網(wǎng)絡”。給同一網(wǎng)絡中的電腦規(guī)劃和配置同一網(wǎng)段的IP地址（此處取192.168.1.0/24網(wǎng)段）。下面，通過實驗抓包驗證ping命令引發(fā)的ARP廣播包在集線器與交換機下轉(zhuǎn)發(fā)時的異同。圖3-2集線器網(wǎng)絡和交換機網(wǎng)絡的ARP廣播包

1.在Realtime模式下（圖中1號位），清空并查看“集線器網(wǎng)絡”中（圖中5號位）PC0的ARP緩存表。點擊PC0，在PC0的命令行界面輸入以下命令：C:\>arp-dC:\>arp-a

2.點擊切換到simulation模式（圖中2號位），然后點擊“ShowAll/None”按鈕（圖中3號位）清空所有抓包選項，再點擊“EditFilters”按鈕，選中“ARP”抓包選項。然后在PC0上pingPC2，即在PC0上運行ping192.168.1.3命令，封裝形成和準備發(fā)送第一個ICMP包，一旦點擊播放按鈕（圖中4號位），將觸發(fā)ping命令的繼續(xù)執(zhí)行，而ping命令將觸發(fā)ARP協(xié)議的執(zhí)行，即發(fā)出查詢目標IP地址192.168.1.3對應的MAC地址的廣播幀。Ping命令觸發(fā)廣播的原因如下：ping命令構(gòu)造的ICMP包從PC0發(fā)出前，要先在第三層（網(wǎng)絡層）套上內(nèi)層信封，寫上原始發(fā)件人的源IP地址和最終收件人的目的IP地址，再下放到第二層（數(shù)據(jù)鏈路層），套上外層信封，寫上當前發(fā)件人的源MAC地址和下一跳收件人的目的MAC地址。但封裝第一個ICMP幀時，只知道目標PC1的IP地址，對應的MAC地址未知，所以會觸發(fā)ARP協(xié)議發(fā)出廣播，詢問目標IP地址對應的MAC地址?？梢钥吹郊€器收到廣播幀后，將其從所有端口轉(zhuǎn)發(fā)了出去。當然，集線器對于單播幀也會將其從所有端口轉(zhuǎn)發(fā)出去，這在“沖突域”實驗中已經(jīng)驗證過了。3.點擊圖中4號位的播放按鈕，觸發(fā)ping命令的執(zhí)行和繼續(xù)抓包。抓包結(jié)束后，通過點擊圖中4號位的前進和后退按鈕，定位到ping命令執(zhí)行的不同階段，查看和分析執(zhí)行過程。圖中5號位和6號位展示的是“PC1、PC2、PC3同時收到廣播幀”的時刻?？梢钥吹?，PC1和PC3收到廣播幀后將其丟棄，而PC2收到廣播幀后發(fā)現(xiàn)廣播幀的內(nèi)容是在詢問自己的MAC地址，于是將自己的MAC地址回復給PC0。圖中的7號位，是點擊6號位中的第3個眼睛后面的Hub0后，顯示PC3收到的ARP廣播幀的內(nèi)容。4.按照步驟1到步驟3（觀察“集線器網(wǎng)絡”廣播域）的方法，對圖中8號位的“交換機網(wǎng)絡”進行ARP廣播幀的抓包和觀察。可以看到，當交換機收到目的MAC地址是FFFF-FFFF-FFFF的廣播幀時，會將其從除源端口之外的其余端口轉(zhuǎn)發(fā)出去?？梢娊粨Q機和集線器的廣播域一樣，所有的端口都處于同一個廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡資源，還影響到網(wǎng)絡安全；當有網(wǎng)絡設備發(fā)生故障，導致廣播幀不停發(fā)送時，更會導致廣播風暴，影響正常的網(wǎng)絡通信。因此，有必要按網(wǎng)絡規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡分別連接到不同的交換機，交換機再通過路由器連接到一起，實現(xiàn)不同網(wǎng)絡的互聯(lián)。這種情況下，當本地廣播包經(jīng)過路由器時，路由器會將其攔截，實現(xiàn)了對本地廣播的隔離。但這種通過引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們詳細學習VLAN的相關知識。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術是從邏輯上將一個局域網(wǎng)（LAN）劃分為多個邏輯上獨立的虛擬局域網(wǎng)（VLAN），從而達到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標簽的數(shù)據(jù)幀上添加4個字節(jié)的802.1Q標簽，其中的12比特用于存放VLANID，標識不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒創(chuàng)建新VLAN之前，交換機的所有端口都默認屬于VLAN1，VLAN1是默認存在且不能被刪除的。下面通過案例來分析VLAN的劃分。

3.2.1思科設備配置VLAN

如圖3-3所示，學校某棟樓一樓和二樓的交換機都連接了信工學院、機電學院和財務處的電腦，兩臺交換機的f0/1-9端口劃分給信工學院、f0/10-19端口劃分給機電學院、f0/20-23劃分給財務處，樓層間兩臺交換機的f0/24端口通過交叉線連接。圖3-3樓層間兩臺思科交換機相連的網(wǎng)絡拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。2.為加強安全，避免部門間廣播幀的干擾，決定將信工學院保留在VLAN1、機電學院劃分到VLAN10、財務處劃分到VLAN100。（1）為1樓交換機劃分VLAN，將各端口加入到相應VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#namejiDian//將VLAN10命名為jidianSW1(config-vlan)#exitSW1(config)#vlan100//創(chuàng)建VLAN100SW1(config-vlan)#namecaiWu//將VLAN100命名為caiwuSW1(config-vlan)#exitSW1(config)#interfacerangefastEthernet0/10-19//進入端口配置模式SW1(config-if-range)#switchportmodeaccess//將端口f0/10-19設置為access模式SW1(config-if-range)#switchportaccessvlan10//將端口f0/10-19劃分給vlan10SW1(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/20-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan100SW1(config-if-range)#endSW1#showvlanbrief//查看VLAN信息VLANNameStatus Ports---------------------- -------------------------------1defaultactive Fa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/2410jiDianactive Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19100caiWuactive Fa0/20,Fa0/21,Fa0/22,Fa0/23可以看到，配置完成后，f0/1~f0/9保留在VLAN1，可用于連接信工學院的電腦，VLAN1的默認名稱是default，不能更改；f0/24也保留在了VLAN1，用于將一樓的交換機連接到二樓的交換機；f0/10-19被劃分到VLAN10，命名為jiDian（機電），用于連接機電學院的電腦；f0/20-23被劃分到VLAN20，命名為caiWu（財務），用于連接財務處的電腦。通過ping測試，發(fā)現(xiàn)一樓同一部門的電腦可以互通，不同部門的電腦因為屬于不同VLAN，已無法互通。

（2）以機電學院的兩臺電腦PC2和PC3互相通信為例進行VLAN流量分析。這兩臺電腦分別連接在交換機的f0/10和f0/11端口上。電腦上的數(shù)據(jù)幀是不帶VLAN標簽的，電腦PC2發(fā)給PC3的數(shù)據(jù)幀從Access類型的端口f0/10進入交換機時，會被打上該端口所屬VLAN的標簽VLAN10；交換機內(nèi)帶有VLAN10標簽的數(shù)據(jù)幀可以在端口f0/10~f0/19范圍內(nèi)進出。帶VLAN標簽的數(shù)據(jù)幀從Access端口離開交換機時，VLAN標簽會被剝離，電腦是無法識別帶有VLAN標簽的數(shù)據(jù)幀的。PC2發(fā)往PC3的數(shù)據(jù)幀從f0/11端口離開交換機去往PC3時，VLAN10的標簽會被剝離，PC3收到的是不帶標簽的數(shù)據(jù)幀。

（3）為2樓交換機劃分VLAN，按規(guī)劃將相應端口加入到相應VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#namejiDianSW2(config-vlan)#exitSW2(config)#vlan100SW2(config-vlan)#namecaiWuSW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/10-19SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangefastEthernet0/20-23SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan100SW2(config-if-range)#end

3.查看交換機SW2的VLAN信息，命令如下：SW2#showvlanbrief可以看到用于連接信工學院電腦的f0/1-9端口屬于VLAN1、用于連接一樓交換機的f0/24端口也屬于VLAN1等信息。

4.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學院電腦能互通，1樓和2樓間機電學院的電腦不能互通，1樓和2樓間財務處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是f0/24，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.3跨交換機的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機之間通過屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過，其它VLAN的流量無法通過。若要使其它VLAN的流量也能跨越交換機在樓層間傳輸，需要為每個VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設為Access模式，并把相應端口劃分給該VLAN。這樣的話，有幾個VLAN要跨越交換機傳輸，交換機間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實的。那么，交換機間的一根網(wǎng)線能否同時允許各VLAN通過呢？答案是肯定的。這就需要用到交換機端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個VLAN，只有該VLAN能通過該端口，其它VLAN是無法通過的，這種模式的端口通常用來連接電腦；Trunk模式的端口則可設置成允許部分VLAN或所有VLAN都通過，這種模式的端口通常用于交換機間的互連。3.3.1思科設備配置Trunk（一）Trunk的配置思科交換機Trunk模式的端口默認允許所有VLAN通過，也可使用命令精確指定只允許哪些VLAN通過。例如在接口模式下執(zhí)行命令“switchporttrunkallowedvlan10,100”,表示只允許VLAN10和VLAN100通過。為了實現(xiàn)跨越交換機的各樓層相同VLAN的電腦互通，一樓和二樓交換機間互連的端口f0/24除了要允許VLAN1的流量通過，也要允許VLAN10和VLAN100的流量通過。方法是將交換機之間互連的端口f0/24改為trunk模式。1.一樓交換機SW1的配置命令如下：SW1#configureterminalSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk//將端口f0/24設置為trunk模式SW1(config-if-range)#endSW1#showinterfacestrunk//查看交換機的trunk信息2.二樓交換機SW2的配置命令如下：SW2#configureterminalSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if-range)#endSW2#showinterfacestrunk配置完成后，經(jīng)ping測試，可以看到各部門內(nèi)部的電腦都可以跨樓層互通了，說明兩臺交換機互連的端口的類型改為Trunk模式后各vlan都能通過了。（二）本征VLANTrunk鏈路中的缺省VLAN也叫做本征VLAN（即NativeVLAN），其VLANID也稱為PVID（Port-baseVLANID），PVID默認為1，可通過命令改變。例如，在接口模式下執(zhí)行命令“switchporttrunknativevlan10”可將本征VLAN改為VLAN10。數(shù)據(jù)幀準備從Trunk類型的端口離開交換機時，若屬于允許的VLAN范圍，則除了本征VLAN外的所有數(shù)據(jù)幀都要帶著VLAN標簽離開，屬于本征VLAN的數(shù)據(jù)幀則會被剝離VLAN標簽后再離開。當數(shù)據(jù)幀從Trunk類型的端口進入交換機時，不帶標簽的數(shù)據(jù)幀會被打上該端口的本征VLAN標簽，然后和已經(jīng)帶有VLAN標簽的數(shù)據(jù)幀一起，接受其VLANID是否屬于該端口允許通過范圍的檢查，若允許通過，則攜帶該標簽進入，否則丟棄。（三）VLAN數(shù)據(jù)幀的處理過程分析以信工學院一樓電腦PC0與二樓電腦PC6通信為例，分析交換機對數(shù)據(jù)幀的處理過程：PC0發(fā)給PC6的數(shù)據(jù)幀進入一樓交換機的f0/1端口時，會被打上VLAN1的標簽；從一樓交換機的f0/24端口出來時，由于VLAN1屬于本征VLAN，數(shù)據(jù)幀的VLAN1標簽會被剝離。數(shù)據(jù)幀到達二樓交換機的f0/24端口時，會被打上該端口本征VLAN的標簽VLAN1，再被檢測是否屬于允許通過的VLAN范圍,確認后進入。進入后，交換機根據(jù)數(shù)據(jù)幀的目的MAC地址查詢MAC地址表，找到出端口是f0/1，于是將其從f0/1端口送出來，出來前先剝離數(shù)據(jù)幀的VLAN1標簽，再發(fā)送給二樓信工學院的電腦PC6。3.4VLAN同步及動態(tài)注冊

在多臺交換機需要配置相同VLAN信息的網(wǎng)絡環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進行交換機間VLAN的同步、簡化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機可組成一個VTP域（VTPDomain），VTP域中一臺交換機上的VLAN創(chuàng)建或修改信息可自動同步到其它交換機上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來實現(xiàn)，VTP通告攜帶32位的修訂號（Revision）來代表修訂級別，修訂號的初始值是0，它會不斷增加，新修訂號的VLAN信息會覆蓋舊修訂號的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國際標準協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊協(xié)議）的一個應用，GARP是一個通用協(xié)議的模板，用于屬性的動態(tài)注冊和注銷，GVRP則用于VLAN信息的動態(tài)注冊和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動態(tài)地劃分到VLAN，即通過VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。

GARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相應的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協(xié)議）。MVRP可兼容GVRP。3.4.1思科設備配置VTP如圖3-6所示，在PacketTracer8中搭建拓撲，進行配置和測試。一、配置VTPServer1.由于VTP是在Trunk鏈路上傳輸?shù)?，所以交換機之間要創(chuàng)建Trunk鏈路。配置命令如下：SW1(config)#interfacefastEthernet0/1//SW1的配置SW1(config-if)#switchportmodetrunkSW1(config-if)#endSW2(config)#interfacerangefastEthernet0/1-2//SW2的配置SW2(config-if-range)#switchportmodetrunkSW2(config-if)#endSW3(config)#interfacefastEthernet0/2//SW3的配置SW3(config-if)#switchportmodetrunkSW3(config-if)#end圖3-6思科交換機配置VTP的網(wǎng)絡拓撲2.在SW2上查看Trunk鏈路是否正常，命令如下：SW2#showinterfacestrunk3.在SW1上查看默認的VTP狀況的命令如下：SW1#showvtpstatusVTPDomainName://VTP域名為空VTPOperatingMode:Server//VTP模式為ServerConfigurationRevision:0//修訂號為0可以看到，默認情況下，交換機處于Server模式。交換機在VTP域中的角色可以分為服務器模式（Server）、客戶機模式（Client）和透明模式（Transparent）。4.交換機加入到相同的VTP域后，可以相互學習VLAN信息。在VTPServer上配置VTP域名的命令如下：SW1#configureterminalSW1(config)#vtpmodeserver//將VTP模式配置為Server，這是默認值，可以省略。SW1(config)#vtpdomainVTP01//將VTP域名配置為VTP01。域名默認為空。其它交換機域名初始時VTP域名也為空。域名為空的其它交換機將會學習到這個域名并加入這個域。5.在SW2和SW3上查看VTP狀態(tài)，觀察SW2和SW3都學到并加入到VTP01域中。以SW2為例，命令如下：SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:06.在VTPServer上創(chuàng)建VLAN，觀察其他交換機是否能學習到新建的VLAN。（1）在SW1的配置創(chuàng)建VLAN2，命令如下：SW1(config)#vlan2SW1(config-vlan)#endSW1#showvlan（2）在SW2查看是否學到了VLAN2，命令如下：SW2#showvlanb//查看SW2學習到VLAN2SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1（3）在SW3查看是否學到了VLAN2，命令如下：SW3#showvlanb//查看SW3學習到VLAN2SW3#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修訂號從0變成了1二、配置VTP密碼配置VTP密碼，可以避免身份不明的交換機加入到VTP域中，從而提高安全性。1.SW1的配置命令如下：SW1(config)#vtppassword123//在SW1上配置VTP密碼為123。SW1(config)#exitSW1#showvtppasswordSW1(config)#vlan3SW1(config-vlan)#endSW1#showvlanbrief//查看SW1新增了VLAN3SW1#showvtpstatus//查看SW1的VTP修訂號從1變成了22.SW2的配置命令如下：SW2#showvlanbrief//查看設置VTP密碼前，SW2并未學到新增的VLANSW2#showvtpstatus//查看設置VTP密碼前，SW2的VTP修訂號保持為1SW2#configureterminalSW2(config)#vtppassword123//將SW2的VTP密碼配置為123SW2(config)#exitSW2#showvlanbrief//查看設置VTP密碼后，SW2學到了VLAN3SW2#showvtpstatus//查看設置VTP密碼后，SW2的VTP修訂號變成了23.SW3的配置的配置命令如下：SW3#configureterminalSW3(config)#vtppassword123SW3(config)#exitSW3#showvlanbriefSW3#showvtpstatus三、配置VTPTransparentTransparent模式的交換機不參與VTP，但可以轉(zhuǎn)發(fā)VTP通告。1.將SW2配置為VTPTransparent，并創(chuàng)建VLAN4，命令如下：SW2#configureterminalSW2(config)#vtpmodetransparent//將SW2配置為VTPTransparent。SW2(config)#doshowvtpstatusSW2(config)#doshowvlanbriefSW2(config)#vlan4//創(chuàng)建VLAN4SW2(config-vlan)#endSW2#showvlanbrief2.在SW1和SW3上查看是否學到VLAN4，命令如下：SW1#showvlanbrief//SW1沒學到VLAN4。SW3#showvlanbrief//SW3也沒有學習到VLAN4。3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief3.在SW3上創(chuàng)建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief4在SW2和SW1上查看是否學到VLAN5，命令如下：SW2#showvlanbrief//SW2沒學到VLAN5SW1#showvlanbrief//SW1學習到了VLAN5四、配置VTPClientVTPClient模式的交換機不能創(chuàng)建、修改和刪除VLAN，但能偵聽、學習和轉(zhuǎn)發(fā)VTP通告。下面，配置SW2和SW3為VTPClient模式，并測試其作用。1.將SW2設置為VTPClient模式，命令如下：SW2#configureterminalSW2(config)#vtpmodeclientSW2(config)#end2.將SW3設置為VTPClient模式，命令如下：SW3#configureterminalSW3(config)#vtpmodeclientSW3(config)#end3.在SW2上創(chuàng)建VLAN6，命令如下：SW2#showvtpstatusSW2#configureterminalSW2(config)#vlan6//提示SW2是Client模式，無法創(chuàng)建VLAN4.在SW1上創(chuàng)建VLAN7，命令如下：SW1#configureterminalSW1(config)#vlan7SW1(config-vlan)#end5.在SW1、SW2、SW3上查看VLAN信息，命令如下：SW1#showvlanbriefSW2#showvlanbrief//SW2學到了VLAN7SW3#showvlanbrief//SW3也都學到了VLAN7可以看到，SW2和SW3都學到了VLAN7。五、如何在已有的網(wǎng)絡中添加交換機在已有的網(wǎng)絡中添加交換機時，為了避免新加入的交換機的修訂號大于現(xiàn)網(wǎng)交換機的修訂號、導致現(xiàn)網(wǎng)VLAN信息丟失、造成網(wǎng)絡中斷，一定要將準備加入的交換機的配置清除干凈后再加入，即在準備加入的交換機上執(zhí)行“deleteflash:vlan.dat”和“erasestartup-config”命令，重啟后，再加入。3.5Hybrid端口和PrivateVLAN技術

小區(qū)寬帶采用LAN方式接入時，為了保障接入用戶的隱私、安全和便于管理計費，可通過劃分VLAN對各接入用戶進行隔離，并為每個VLAN分配一個網(wǎng)段，但這樣做IP地址消耗過大；另根據(jù)IEEE802.1q協(xié)議，可用的VLAN數(shù)只有4094個，若為每個用戶劃分一個VLAN，VLAN的數(shù)量是遠遠不夠的。

所以需要有技術將一個VLAN再次細分成多個VLAN，對上層屏蔽下層的VLAN，讓接入層的VLAN對運營商屏蔽，讓運營商只看到匯聚層的VLAN。同時，讓上層主端口的VLANIF地址和下層各從端口所連接電腦的地址處于同一網(wǎng)段，以節(jié)省地址空間。

Hybrid端口技術、PrivateVLAN（PVLAN，專用虛擬局域網(wǎng)）技術、MultiplexVLAN（MUX，復合VLAN）技術等，都能較好的實現(xiàn)相關功能。3.5.3思科交換機配置PrivateVLAN

在EVE-NG中搭建如圖3-11所示的實驗拓撲（PacketTracer不支持PrivateVLAN）。需求如下：VLAN10與VLAN100能互訪，VLAN20與VLAN100能互訪，但VLAN10與VLAN20之間不能互訪。VLAN10內(nèi)部不能互訪；VLAN20內(nèi)部能互訪。圖3-11思科交換機配置PrivateVLAN的網(wǎng)絡拓撲

思科的PrivateVLAN包含主VLAN（primaryVLAN）和輔助VLAN（SecondaryVLAN）。輔助VLAN又分為團體VLAN（communityVLAN）和隔離VLAN（isolatedVLAN），一個主VLAN可以映射多個團體VLAN，但只能映射一個隔離VLAN。隸屬于主VLAN的端口稱為混雜端口（PromiscuousPort），隸屬于輔助VLAN的端口稱為主機端口（HostPort）。主機端口根據(jù)所屬輔助VLAN的屬性，又分為團體端口和隔離端口。輔助VLAN與主VLAN的主機能互訪，團體VLAN中的主機可以互訪，隔離VLAN中的主機不能互訪。

1.思科的PrivateVLAN要求交換機的VTP模式必須設置成透明模式，命令如下：Switch>enableSwitch#configureterminalSwitch(config)#vtpmodetransparent

2.將VLAN10和VLAN20設置成輔助VLAN，其中vlan10設為隔離VLAN，vlan20設為團體VLAN。命令如下：Switch(config)#vlan10Switch(config-vlan)#private-vlanisolated//設置vlan10為隔離VLANSwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunity//設置vlan20為團體VLANSwitch(config-vlan)#exit

3.設置vlan100為主VLAN，命令如下：Switch(config)#vlan100Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#private-vlanassociation10,20Switch(config-vlan)#exit

4.設置屬于輔助VLAN的主機端口。其中，g0/0和g0/1設置為屬于隔離VLAN10的隔離端口，g0/2和g0/3設置為屬于團體VLAN20的團體端口。命令如下：Switch(config)#intrangeg0/0-1//將g0/0-1設置為屬于VLAN10的隔離端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10010Switch(config-if-range)#exitSwitch(config)#intrangeg0/2-3//將g0/2-3設置為屬于VLAN20的團體端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10020Switch(config-if-range)#exit

5.將g1/0設置為屬于主VLAN100的混雜端口，可以和輔助VLAN通信。命令如下：Switch(config)#intg1/0Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10010,20

6.測試可以看到，VPC1可以ping通VPC5，但ping不通其它VPC。VPC3可以ping通VPC4和VPC5，但ping不通其它VPC。3.6交換機端口類型的自動協(xié)商

除了可以手動指定交換機的端口類型外，還可以通過思科的DTP（DynamicTrunkProtocol，動態(tài)Trunk協(xié)議）或華為的LNP（Link-typeNegotiationProtocol，鏈路類型協(xié)商協(xié)議）進行動態(tài)協(xié)商。DTP是思科的專有協(xié)議，端口處于協(xié)商狀態(tài)時，配置了DTP的端口通過發(fā)送DTP協(xié)商包與鄰接端口進行協(xié)商，協(xié)商它們之間的鏈路是否形成Trunk。

華為的LNP協(xié)議也支持交換機端口類型的自動協(xié)商。華為交換機支持的以太網(wǎng)端口的鏈路類型有Access、Hybrid、Trunk等。

因為DTP和LNP都是私有協(xié)議，所以兩者不可以對接，只能替換。以思科的DTP為例，在PacketTracer中搭建如圖3-12所示拓撲。圖3-12思科DTP配置的網(wǎng)絡拓撲

1.思科交換機端口的模式有access、trunk和dynamic（動態(tài)協(xié)商）模式。思科端口默認處于dynamic模式。dynamic模式又分為auto和desirable兩種，其中，auto是被動的，desirable是主動的。查看端口有哪些模式及類型，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmode?//查看端口有哪些模式accessSettrunkingmodetoACCESSunconditionally

dynamicSettrunkingmodetodynamicallynegotiateaccessortrunkmodetrunkSettrunkingmodetoTRUNKunconditionallySW1(config-if)#switchportmodedynamic?//查看dynamic模式的類型

autoSettrunkingmodedynamicnegotiationparametertoAUTOdesirableSettrunkingmodedynamicnegotiationparametertoDESIRABLE

2.當對端設備不支持DTP幀（例如非思科設備）時，可將本端設為非協(xié)商狀態(tài)，處于非協(xié)商狀態(tài)的端口無法產(chǎn)生DTP協(xié)商包。

（1）將端口設為dynamicauto模式，命令如下：SW1(config-if)#switchportmodedynamicauto

（2）嘗試直接將dynamic模式的端口置于非協(xié)商狀態(tài)，命令如下：SW1(config-if)#switchportnonegotiateCommandrejected:Conflictbetween'nonegotiate'and'dynamic'status.提示說不成功，dynamic模式的端口無法更改為非協(xié)商狀態(tài)。只有手動將其配成trunk模式后，才能改為非協(xié)商狀態(tài)。

（3）先手動將端口配置為trunk模式，再將端口置于非協(xié)商狀態(tài)，命令如下：SW1(config-if)#switchportmodetrunk//將端口配置為trunk模式SW1(config-if)#switchportnonegotiate//將端口配置為非協(xié)商此時，本端為手動trunk模式，且處于非協(xié)商狀態(tài)，當鄰接端口也手動設為trunk模式時，雙方會形成trunk鏈路；若鄰接端口為動態(tài)desirable或者auto模式，則鄰接端口最終會成為access端口。

（4）將交換機端口改回協(xié)商狀態(tài)，命令如下：SW1(config-if)#noswitchportnonegotiate

3.雙方動態(tài)協(xié)商成為trunk的條件：（1）本端為dynamicauto模式，對端為trunk模式或dynamicdesirable模式之一；（2）本端為dynamicdesirable模式，對端為trunk模式或dynamicdesirable模式或dynamicauto模式之一。

4.觀察dynamicdesirable模式與dynamicauto模式端口之間協(xié)商的效果，方法如下：

（1）將交換機RS1的f0/1端口設為動態(tài)協(xié)商的desirable模式，命令如下：RS1(config)#interfacefastEthernet0/1RS1(config-if)#switchportmodedynamicdesirable

（2）將交換機SW1的f0/1端口設為動態(tài)協(xié)商的auto模式，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmodedynamicauto

（3）查看SW1和RS1端口的trunk狀態(tài)，命令如下：SW1#showinterfacestrunk//查看SW1的端口trunk狀態(tài)PortModeEncapsulationStatusNativevlanFa0/1auton-802.1qtrunking1RS1#showinterfacestrunk//查看RS1的端口trunk狀態(tài)PortModeEncapsulationStatusNativevlanFa0/1desirablen-802.1qtrunking1可以看到，RS1與SW1之間的trunk鏈路協(xié)商成功。

5.觀察dynamicauto模式端口與dynamicauto模式端口之間協(xié)商的效果，方法如下：

（1）將交換機RS1的f0/1端口改為動態(tài)auto模式，命令如下：RS1(config)#defaultinterfacefastEthernet0/1//清除f0/1端口的配置RS1(config)#intfastEthernet0/1RS1(config-if)#switchportmodedynamicauto

（2）交換機SW1的fastEthernet0/1端口保留為動態(tài)auto模式。

（3）觀察它們之間的trunk鏈路能否協(xié)商成功，命令如下：RS1#showinterfacestrunk

發(fā)現(xiàn)處于trunk的端口為空，表示兩端都為auto模式時，雙方無法建立trunk鏈路。3.7CDP和LLDP協(xié)議

為便于管理，讓設備在網(wǎng)絡中能互相發(fā)現(xiàn)和交互，CDP、LLDP等協(xié)議相繼推出。其中，CDP（CiscoDiscoveryProtocol，思科發(fā)現(xiàn)協(xié)議）是思科開發(fā)的專有協(xié)議，通過它，相鄰的、直連的思科設備能互相發(fā)現(xiàn)。LLDP（LinkLayerDiscoveryProtocol，鏈路層發(fā)現(xiàn)協(xié)議）則是一種國際通用的標準鏈路層發(fā)現(xiàn)協(xié)議，它是華為、華三等設備在網(wǎng)絡中互相發(fā)現(xiàn)和交互各自系統(tǒng)和配置信息的協(xié)議。3.7.1思科設備配置CDP

CDP是數(shù)據(jù)鏈路層協(xié)議，默認是啟動的。思科設備默認每60秒發(fā)送一次通告，通告中包含了自身的主機名、硬件型號、軟件版本和CDP通告有效時間等信息。

搭建如圖3-13所示的拓撲。圖3-13思科CDP配置的網(wǎng)絡拓撲

1.RS1、R1、R2的基本配置，命令如下：Switch>enable//RS1的配置Switch#configureterminalSwitch(config)#hostnameRS1RS1(config)#exitRouter>enable//R1的配置Router#configureterminalRouter(config)#hostnameR1R1(config)#interfacerangegigabitEthernet0/0-1R1(config-if-range)#noshutdownR1(config-if-range)#endRouter>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacegigabitEthernet0/0R2(config-if)#noshutdownR2(config-if)#end

2.查看CDP的默認運行狀態(tài)，命令如下：R1#showcdpGlobalCDPinformation:SendingCDPpacketsevery60secondsSendingaholdtimevalueof180secondsSendingCDPv2advertisementsisenabled可以查看到，默認情況下，CDP是運行的，思科設備每60秒發(fā)送一次CDP消息，鄰居收到后保存180秒，當前CDP版本是v2。

3.查看R1的哪些接口在運行CDP協(xié)議，命令如下：R1#showcdpinterfaceVlan1isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/0isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/1isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/2isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180seconds以上顯示了哪些接口在運行CDP協(xié)議。

4.查看R1的CDP鄰居，命令如下：R1#showcdpneighborsCapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDR2Gig0/1125RC2900Gig0/0RS1Gig0/01793560Gig0/1可以看到R1兩個鄰居的信息。

5.查看CDP的詳細信息，命令如下：R1#showcdpentryRS1R1#showcdpentryR2以上命令可以查看到CDP鄰居RS1和R2的詳細信息，如鄰居的IOS版本等。

6.CDP的開啟和關閉的命令如下：R1#configureterminalR1(config)#nocdprun//在整個路由器上關閉CDPR1(config)#cdprun//在整個路由器上開啟CDPR1(config)#interfacegigabitEthernet0/0R1(config-if)#nocdpenable//在g0/0接口上關閉CDPR1(config-if)#cdpenable//在g0/0接口上打開CDP謝謝欣賞第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦燊

同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計算機通信網(wǎng)絡通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡通信技術，傳輸速率從早期的10Mbps的標準以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬兆以太網(wǎng)，成為局域網(wǎng)技術的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡屬于共享式以太網(wǎng)，網(wǎng)絡中的所有終端主機都處于同一沖突域中，網(wǎng)絡的帶寬是由接入的主機共享的，接入的主機越多，每臺主機獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機組成的網(wǎng)絡則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機還是集線器，它們的端口都處在各自的同一個廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡資源，還影響到網(wǎng)絡安全；當有網(wǎng)絡設備發(fā)生故障，導致廣播幀不停發(fā)送時，更會導致廣播風暴，影響正常的網(wǎng)絡通信。因此，有必要按網(wǎng)絡規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡分別連接到不同的交換機，交換機再通過路由器連接到一起，實現(xiàn)不同網(wǎng)絡的互聯(lián)。這種情況下，當本地廣播包經(jīng)過路由器時，路由器會將其攔截，實現(xiàn)了對本地廣播的隔離。但這種通過引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們詳細學習VLAN的相關知識。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術是從邏輯上將一個局域網(wǎng)（LAN）劃分為多個邏輯上獨立的虛擬局域網(wǎng)（VLAN），從而達到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標簽的數(shù)據(jù)幀上添加4個字節(jié)的802.1Q標簽，其中的12比特用于存放VLANID，標識不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒創(chuàng)建新VLAN之前，交換機的所有端口都默認屬于VLAN1，VLAN1是默認存在且不能被刪除的。下面通過案例來分析VLAN的劃分。

3.2.2華為設備配置VLAN

如圖3-4所示，學校一樓和二樓的交換機都連接了信工學院、機電學院和財務處的電腦，兩臺交換機的e0/0/1-e0/0/9端口劃分給信工學院，e0/0/10-e0/0/19端口劃分給機電學院，e0/0/20-e0/0/22劃分給財務處，樓層間兩臺交換機的g0/0/1端口通過交叉線連接。

圖3-4樓層間兩臺華為交換機相連的網(wǎng)絡拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學院保留在VLAN1、機電學院劃分到VLAN10、財務處劃分到VLAN100。3.為1樓交換機劃分VLAN，將各端口加入到相應VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//進入VLAN1配置視圖[SW1-vlan1]descriptionxinGong//描述VLAN1為xinGong[SW1-vlan1]quit[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10為jiDian[SW1-vlan10]quit[SW1]vlan100//創(chuàng)建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100為caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//將端口E0/0/1-E0/0/9組成端口組，以便進行統(tǒng)一配置[SW1-port-group]portlink-typeaccess//統(tǒng)一將這些端口類型設置為ACCESS模式[SW1-port-group]portdefaultvlan1//設置端口PVID為1，將這些端口劃分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應端口加入到相應VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于連接信工學院電腦的e0/0/1-e0/0/9端口屬于VLAN1、用于連接一樓交換機的g0/0/1端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學院電腦能互通，1樓和2樓間機電學院的電腦不能互通，1樓和2樓間財務處的電腦也不能互通。這是因為連接1樓和2樓的兩個交換機的端口都是g0/0/1，都屬于VLAN1，只有VLAN1的流量能在1樓和2樓間傳輸。3.3跨交換機的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機之間通過屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過，其它VLAN的流量無法通過。若要使其它VLAN的流量也能跨越交換機在樓層間傳輸，需要為每個VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設為Access模式，并把相應端口劃分給該VLAN。這樣的話，有幾個VLAN要跨越交換機傳輸，交換機間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實的。那么，交換機間的一根網(wǎng)線能否同時允許各VLAN通過呢？答案是肯定的。這就需要用到交換機端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個VLAN，只有該VLAN能通過該端口，其它VLAN是無法通過的，這種模式的端口通常用來連接電腦；Trunk模式的端口則可設置成允許部分VLAN或所有VLAN都通過，這種模式的端口通常用于交換機間的互連。3.3.2華為設備配置Trunk下面介紹華為設備配置trunk的方法：1.將一樓交換機SW1的端口g0/0/1設置為trunk類型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//將端口g0/0/1設置為trunk類型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允許VLAN10、VLAN100和默認的本征VLAN1通過。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交換機各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被設置成立trunk類型，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試。與一樓交換機的配置和測試命令一樣。3.在電腦上進行ping測試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.3.3華三設備配置Trunk1.將一樓交換機SW1的端口fg1/0/53設置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試與一樓交換機的配置和測試命令一樣。3.在電腦上進行ping測試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.4VLAN同步及動態(tài)注冊

在多臺交換機需要配置相同VLAN信息的網(wǎng)絡環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進行交換機間VLAN的同步、簡化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機可組成一個VTP域（VTPDomain），VTP域中一臺交換機上的VLAN創(chuàng)建或修改信息可自動同步到其它交換機上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來實現(xiàn)，VTP通告攜帶32位的修訂號（Revision）來代表修訂級別，修訂號的初始值是0，它會不斷增加，新修訂號的VLAN信息會覆蓋舊修訂號的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國際標準協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊協(xié)議）的一個應用，GARP是一個通用協(xié)議的模板，用于屬性的動態(tài)注冊和注銷，GVRP則用于VLAN信息的動態(tài)注冊和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動態(tài)地劃分到VLAN，即通過VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。

GARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相應的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協(xié)議）。MVRP可兼容GVRP。3.4.2華為設備配置GVRPGVRP可用于交換機間端口VLAN信息的動態(tài)注冊和注銷。GVRP通過trunk口交互。如圖3-7所示，在eNSP中搭建拓撲。圖3-7華為交換機配置GVRP的網(wǎng)絡拓撲一、基本配置1.各PC的地址按拓撲中的規(guī)劃進行配置。2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機間的鏈路設置為trunk鏈路，允許所有vlan通過。（1）交換機的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）進行跨交換機的屬于VLAN10的PC互ping測試，在PC1上ping192.168.1.20，發(fā)現(xiàn)無法ping通。（3）查看交換機的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)