VLAN配置实例详解

1、图文笔记二十VLAN配置实例详解这篇文章介绍一下VLAN相关技术，通过几个实例来演示VLAN干线、VLAN的封装和工作方 式、VLAN配置、VLAN间路由等。（本文中的大部分实验均可在” Cisco Packet Tracer 5.3中 完成） 文章目录-*1*.VLAN 介绍VLAN （Virtual Local Area Network,虚拟局域网），通过在支持VLAN的交换机上添加VLAN, 并且动态的调整每个端口所属VLAN （默认端口都属于VLAN1）,实现一台物理交换机上可以 有多个LAN,每个LAN称作VLAN, VLAN之间的广播互不可达，VLAN间互不影响。每个VLAN 是一

2、个独立的广播域，如果不同VLAN中的结点想要互相访问，需要通过一台三层或三层以 上设备才能实现（比如路由器、三层交换机、防火墙等）。这样就增加了安全性，可以在三 层设备上配置访问列表来达到流量控制的目的。*2*.VLAN 干线 什么是VLAN干线干线（丁小门的就是在两台交换机之间可以传输多个VLAN的信息的那条线缆，干线又称主干。 下图是没有使用干线的情况，在SW1和SW2上划分了两个VLAN （VLAN1、VLAN2）, PC1和 PC2属于VLAN2, PC3和PC4属于VLAN3,在没有使用主干线路的时候，需要在SW1和SW2 之间使用两条线缆，将一条线缆的两个端口划分到VLAN2,另一

3、条线缆的两个端口划分到 VLAN3，这样PC1和PC2才能正常通信，PC3和PC4也能正常通信。在没有使用间路由的情 况下，VLAN2中的PC1和PC2无法和VLAN3中的PC3和PC4通信。1*.VLAN 介绍-*2*.VLAN 干线什么是VLAN干线-干线协议介绍交换机间VLAN通信过程-DTP协议-*3*.VLAN配置实例创建VLAN把端口加入VLAN酉己置主干端口 （Trunk）本地VLAN语音VLANVLAN维护操作在GNS3上模拟配置VLAN*4*.VLAN 间路由基于路由器物理接口的VLAN间路由基于路由器子接口的VLAN间路由（单臂路由）交换机上的端口类型基于三层交换机的VLA

4、N间路由路由器和三层交换机在实现VLAN间路由上的区别PC2:fO/2f 0/2VLAN2PC4没有使用主干的情况VlAiT3ftl/hfO/1下图是使用了主干线路的情况，只需要在SW1和SW2之间使用一条线缆，并且设置这条线缆 为主干，这样这条主干线缆就能同时传输多个VLAN的数据了。PC1和PC2能正常通信，PC3 和PC4也能正常通信。在没有使用间路由的情况下，VLAN2中的PC1和PC2无法和VLAN3 中的PC3和PC4通信。使用了主干的暗况最后需要注意的是，现在只有100Mb/s以上（包括100Mb/s）的线路才支持Trunko*干线协议介绍对于VLAN交换机来说，干线就是交换机之

5、间的连线，它在两个或两个以上的VLAN之间传 输业务流。每个交换机必须确定它所收到的数据帧属于哪个VLANo在传统的交换机中，当一个帧进入交换机时，交换机只检查目的MAC,然后根据自己的MAC 表进行转发或者泛洪。在VLAN中除了需要知道目的MAC做转发决定外，还要考虑帧的源 地址，因为帧的源地址通常会影响它所属VLAN，并可能影响它被转发出去的端口。追踪一 个帧的源地址有两种常用的方式：-帧标记（又称显式标记）：根据数据进入交换机的端口属于哪个VLAN来标记一个帧。 当一个帧进入交换机的时候，根据那个端口所属VLAN，为帧添加一个包含VLAN标 识的域（VLAN着色），这种方式的缺点就是大多

6、数不支持VLAN的设备会将这种更 改后的帧当成无效帧丢弃。但现在这种技术已经形成了一个IEEE802.1Q的标准，这 个标准解决了不同厂商进行帧标记时候的兼容性问题。-帧过滤（又称隐式标记）：这种方法为每个VLAN保持一张MAC地址表，确定目标 后就做出转发决定。这种方式的好处就是不更改原来的帧格式，帧通过不同的网络 设备都不会出现问题。这种方式的缺点就是每个VLAN交换机都要保存一张MAC地 址表，这张表还要包含每个MAC所属VLAN的信息，并且能根据源地址的VLAN以 及MAC进行过滤转发。现阶段最常使用的干线协议是802.1Q和ISL （在不同厂商设备混用的情况下一定要使用802.1Q）

7、:1,802.1Q802.1Q是IEEE提出的一个通用标准，也是现在大部分厂商的默认干线传输协议，通过在原 来的以太网帧头部添加一个4字节的802.1Q头部，然后重新计算FCS （帧效验序列）来实现，如下图:（目物IAC）长度/类型）I （数据）IC占12bit）: r amHMmMBHM令聘环利封釜标记 （占Ibit ）优先缀占 3 bit）irce 皿AC f LeiLgth/Type : Data （源 MAC）QingSword.C本文中的配置均以802.1Q为例。2,ISL（Interior Switching Link,交换机间链路）ISL是思科私有的干线传输协议，这里不做过多介绍

8、。*交换机间VLAN通信过程这一部分结合“*什么是VLAN干线”中的第二张图片，讲解一下802.1Q干线协议的工作 流程：图中PC1和PC2属于VLAN2，PC3和PC4属于VLAN3，SW1和SW2通过干线相连，干线运 行的是802.1Q协议。1,假设PC1发送消息给PC2，刚开始PC1不知道PC2的MAC地址，所以它首先发送ARP查 询包，查询PC2的MAC地址，ARP查询包以广播形式发送。2，交换机SW1收到PC1发送过来的ARP查询广播包，SW1知道数据是从fa0/0接收到的， fa0/0被划分到VLAN2中，是一个接入端口，SW1知道这是一个来自VLAN2的广播包，SW1 在MAC地

9、址表中加入PC1的MAC和VLAN号以及对应的端口号，非VLAN交换机和VLAN 交换机都会根据数据的源地址进行学习，只不过VLAN交换机除了记录源MAC地址，还需 要记录源MAC所对应的VLAN号。3，SW1在收到的数据帧中加入VLAN2的标识（VLAN交换机从Access （接入）端口收到数 据时需要插入VLAN标识），接着SW1将这个VLAN2的广播包从除接收端口以外的所有属于 VLAN2的接口以及主干发送出去，在从所有属于VLAN2的接入接口发送出去前需要去掉 VLAN标识（VLAN交换机从Access将数据发出时要去掉VLAN标识，否则其他计算机不能识 别这个加了标识的帧），从主干发

10、送出去的帧不需要去掉VLAN标识（后面介绍到的本地VLAN 除外）。也就是说如果此时SW1上还有一个非主干端口也被分配到VLAN2中，这个广播从 这接入端口送出前要去掉VLAN标识，而从SW1的fa0/2发往SW2的数据帧不需要去掉VLAN 标识（本地VLAN除外）。4，PC3接收不到PC1发出的ARP广播请求，因为连接PC3的端口被划分到VLAN3中了，不 属于VLAN2，一个VLAN是一个广播域。5,当SW2从自己的fa0/2接口（主干接口）接收到一个数据帧时，SW2查看数据帧中的 VLAN标识，并在本地MAC地址表中添加了帧中源MAC地址、VLAN号以及对应的端口号 fa0/2。接下来S

11、W2将决定往哪转发这个收到的数据帧,SW2通过查看VLAN标识和目的MAC地址，知道这是一个VLAN2的广播ARP查询包，SW2将这个包从除接收接口（fa0/2）以外 的所有属于VLAN2的接口以及其他的主干接口（如果有）发送出去，同理，在发出去之前， 如果接口属于接入接口，则去掉VLAN标识，如果是主干端口则保留VLAN标识。PC4是收不到这个广播包的，因为不属于VLAN2,这个时候PC2收到了这个ARP请求包， 发现请求的是自己的MAC地址，PC2封装ARP应答包发给SW2。SW2收到这个应答包，首先学习PC2的MAC地址和VLAN号以及对应端口到自己的MAC 地址表，然后给这个数据帧添加

12、VLAN2标识，之后SW2查询MAC地址表，找到PC1对应 的MAC号、VLAN号和端口号，SW2比较数据帧的源MAC和目的MAC在同一个VLAN2中， SW2将数据帧从目的MAC对应的fa0/2接口发出（PC1的MAC是第5步中收到SW1发来的 数据帧的时候记录的）。SW1收到这个数据帧，首先也是对源MAC、VLAN号以及对应端口进行学习，然后查看 数据帧中的目的MAC,之前已经保存过PC1的MAC, SW1将目的MAC所在VLAN号和源 MAC所在VLAN号进行对比，发现他们处于同一个VLAN2下，SW2将这个数据帧中的VLAN 标记去除并直接从目的MAC（PC1的MAC）所对应的端口 f

13、a0/0发给PC1。PC1成功收到ARP应答包，接下来的通信过程和这个步骤类似。总结：交换机何时添加802.1Q标签头（VLAN标签）与交换机的接口有关，如果交换机的接 口接的是一台计算机，那么这个端口是接入端口，在数据帧进入时被添加802.1Q标签头， 数据帧从接入端口发出时去掉标签头；如果交换机的接口接的是另外一台交换机，那么这个 接口就属于主干接口（Trunk）,数据从这种接口发出一般不会去掉标签头（后面演示的Native VLAN除外）。* DTP协议DTP（Dynamic Trunking Protocol动态主干协议），是思科私有的协议，其它厂商不支持该协 议，当交换机上某些端口被

14、配置成主干模式时，DTP自动运行，用来协商链路能否成为主干 链路。DTP支持802.1Q和ISL封装的主干链路协商。下面是思科交换机端口的几种主干模式：OFF（关闭）：使用”switchport mode access”命令，静态配置交换机端口为接入端口（非 主干端口）。ON（打开）：使用” switchport mode trunk”命令静态配置交换机端口为主干端口。Dynamic auto （动态自动）：使用” switchport mode dynamic auto”命令，静态配置交 换机端口为动态自动模式。Dynamic desirable （动态期望）：使用” switchport

15、mode dynamic desirable”命令，静 态配置交换机端口为动态期望模式。Nonegotiate （关闭 DTP 协议）：使用” switchport nonegotiate” 命令，将关闭 DTP 协 议。思科交换机的接口可以配置以上五种模式。下表显示了，交换机和交换机之间相连，在什么 情况下能建立起主干链路，什么情况下不能建立起主干线路：注:Access是链路通过DTP协议协商后成为了非主干链路；Trunking是指链路协商后成为了 主干线路；错误是指有故障的链路，协商失败。OFFONON and HonegotdateDyriacnii c aut oDynaOFFAcce

16、ss靖滨惜谟Access错误Trurdcing：TrunkingTrunking；OM and MonegntiateTrunJcing：Trunking信误；Dynamic autoAccessTrunking错误Access；Dynamic desirableAccessTrunking错误Trunking. QingSwt举一个例子：两台交换机相连，一端使用命令” switchport mode dynamic autc”，另外一端使 用命令” switchport mode trunk”，那么根据这张表，最后的协商结果就是Trunking,也就是成 功协商成主干链路。后面”配置主干端口

17、 ”会演示到DTP，这个表可以作为参考。*3*.VLAN配置实例这个实例的配置环境是在” Cisco Packet Tracer 5.3模拟器中进行，实验拓扑如下：五台计算机，子网24位，IP地址如图所示，其中PC1、PC2连接在SW1上，PC1和交换机 之间还连接了一台IP电话，PC3、PC4连接在SW2上，PC5连接在一台集线器上，SW1和 SW2也连接在这台集线器上，在没有划分VLAN前，整个网络属于同一个广播域，PC1-5互 相能够ping通；现在要将PC1、PC3、PC5划分到VLAN2里面，将PC2、PC4划分到VLAN3里面，配置主干、本地VLAN、语音VLAN。(注意交换机和集

18、线器之间的连线需要使用交叉 线，其他全部使用直通线)*创建VLAN打开SW1和SW2的CLI界面(点击交换机图标，然后选择CLI,就可以输入命令了)，首先创建VLAN2 和 VLAN3:SW1配置：SwitchenSwitch#conf tSwitch(config)#host SW1SW1(config)#vlan 2/*创建 VLAN2*/SW1(config-vlan)#name vlan2name /*给 VLAN2 命名*/SW1(config-vlan)#vlan 3/*创建 VLAN3*/SW1(config-vlan)#name vlan3name /*给 VLAN3 命名*/

19、SW1(config-vlan)#end TOC o 1-5 h z SW1#10/*查看VLAN信息，可以看到默认情况下所有端口都属于VLAN1，* VLAN1也是交换机上默认存在的VLAN。*下面是我们新建的VLAN2和VLAN3。* VLAN1002-1005也是交换机上默认存在的VLAN，有特殊用途，这里暂且不用理会。*/SW1#show vlan2021 VLAN NameStatus Ports22 23 1defaultactive Fa0/1, Fa0/2, Fa0/3, Fa0/424Fa0/5, Fa0/6, Fa0/7, Fa0/825Fa0/9, Fa0/10, Fa0

20、/11, Fa0/1226Fa0/13, Fa0/14, Fa0/15, Fa0/1627Fa0/17, Fa0/18, Fa0/19, Fa0/2028Fa0/21, Fa0/22, Fa0/23, Fa0/2429Gig1/1, Gig1/230 2vlan2nameactive31 3vlan3nameactive1002fddi-32default act/unsup1003token-ringdefault act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupSW2配置：SwitchenSwitch#c

21、onf tSwitch(config)#host SW2SW2(config)#vlan 2SW2(config-vlan)#name vlan2nameSW2(config-vlan)#vlan 3SW2(config-vlan)#name vlan3nameSW2(config-vlan)#endSW2#这样VLAN2和VLAN3就创建好了，继续下一步。*把端口加入VLAN默认情况下所有端口都属于VLAN1，根据拓扑要求，我们需要调整SW1和SW2上的端口， 在SW1上将和PC1相连的端口静态的分配给VLAN2，将于PC2相连的端口静态的分配给 VLAN3，同理SW2上也要做出调整：SW1

22、配置：SW1#conf tSW1(config)#int fa 0/1 /*进入和 PC1 相连的端口*/3/*交换机默认的端口模式是Dynamic auto,由于这个端口连接的是终端设备，所以要配置 成接入接口 */SW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 2 /*将这个接口划分到 VLAN2*/SW1(config-if)#int fa 0/2 /*进入和 PC2 相连的端口*/SW1(config-if)#swi mod acc /*同上，这是简写形式*/SW1(config-if

23、)#swi acc vlan 3SW1(config-if)#endSW1#11/*查看VLAN分配情况，可以看到Fa0/1和Fa0/2被分配到了对应的VLAN下*/SW1#show vlan brief1617 1 defaultactive Fa0/3, Fa0/4, Fa0/5, Fa0/618Fa0/7, Fa0/8, Fa0/9, Fa0/1019Fa0/11, Fa0/12, Fa0/13, Fa0/1420Fa0/15, Fa0/16, Fa0/17, Fa0/1821Fa0/19, Fa0/20, Fa0/21, Fa0/2222Fa0/23, Fa0/24, Gig1/1,

24、Gig1/223 2 vlan2nameactive Fa0/124 3 vlan3nameactive Fa0/225 1002 fddi-defaultactive100326 default activetoken-ring-1004fddinet-27 default active28 1005 trnet-defaultactive15 VLAN NameStatus Ports29 SW1#SW2配置：SW2#conf tSW2(config)#int fa 0/1SW2(config-if)#swi mod accSW2(config-if)#swi acc vlan 2SW2(

25、config-if)#int fa 0/2SW2(config-if)#swi mod accSW2(config-if)#swi acc vlan 3SW2(config-if)#endSW2#端口分配完毕后，在PC1上Ping拓扑中任意一台其他的PC,都Ping不通；PC1 ping不通PC2 是因为他们不在一个VLAN中，ping不通其他几台是因为SW1的fa0/24端口默认属于VLAN1， 并且是一个接入端口，该端口只转发VLAN1的数据包，而PC1在VLAN2中，所以ping不通。 继续下一步，配置主干。*配置主干端口 (TRUNK)在SW1和SW2上配置fa0/24为主干端口 ：S

26、W1配置：SW1#conf tSW1(config)#int fa 0/244/*配置主干模式，这种模式就是前面DTP协议协商图中的ON and Nonegotiate,*交换机两端都配置成这种模式，协商的结果就是Trunking，即主干。*/SW1(config-if)#switchport mode trunkSW1(config-if)#switchport nonegotiate1011/*配置主干允许传输的VLAN，用？查看一下可以执行的操作。*/SW1(config-if)#switchport trunk allowed vlan ?WORD VLAN IDs of the al

27、lowed VLANs when this port is in trunking modeadd add VLANs to the current listall all VLANsexcept all VLANs except the followingnone no VLANsremove remove VLANs from the current list19/*本例设置成允许所有VLAN的传输。*如果只允许VLAN1、3、1002-1005，可以像下面这样写，* switchport trunk allowed vlan 1,3,1002-1005*如果想追加新的VLAN2被允许可以

28、这样写：* switchport trunk allowed vlan add 2*/SW1(config-if)#switchport trunk allowed vlan allSW1(config-if)#endSW1#SW2配置：SW2(config)#int fa 0/242/*SW2 的 fa0/24 也配置成ON and Nonegotiate模式*/SW2(config-if)#swi mod trunkSW2(config-if)#swi nonegotiate6SW2(config-if)#swi trunk allowed vlan allSW2(config-if)#e

29、nd配置完成后在SW1上查看主干链路状态：SW1#show interfaces fa 0/24 switchportName: Fa0/24Switchport: EnabledAdministrative Mode: trunk /*配置的端口模式是主干*/Operational Mode: trunk /*链路的状态是主干*/Administrative Trunking Encapsulation: dot1q /*主干默认封装协议 dot1q(802.1Q)*/Operational Trunking Encapsulation: dot1q /*有效的封装协议也是 dot1q*/N

30、egotiation of Trunking: Off /*DTP 协议关闭*/Access Mode VLAN: 1 (default) /*端 口默认 VLAN 是 VLAN1*/Trunking Native Mode VLAN: 1 (default) /*该主干端口 的本地 VLAN 是 VLAN1*/Voice VLAN: none/*没有配置语言 VLAN*/*以下输出省略*/SW1#查看SW1工作在主干模式的端口：SW1#show interfaces trunk2/*端口 模式 封装协议状态 本地VLAN号*/Port Mode Encapsulation Status Na

31、tive vlanFa0/24 on 802.1q trunking 1/*主干上允许传输的VLAN号*/Port Vlans allowed on trunkFa0/24 1-10058Port Vlans allowed and active in management domainFa0/24 1,2,311Port Vlans in spanning tree forwarding state and not prunedFa0/24 1,2,3SW1#在这一步，大家可以使用DTP协议部分介绍的命令，将交换机两端的模式替换成协商表里 面的其他模式，来测试DTP协议。现在，再次测试Pin

32、g，PC1和PC3可以互相Ping通，PC2和PC4可以互相Ping通，但是PC1 和PC3确Ping不通PC5，根据拓扑图，PC5也必须在VLAN2中，可以和PC1和PC3通信， 是什么原因造成这一情况的呢？继续往下看。PS： ” Cisco Packet Tracer 5.3不支持更改主干端口封装协议的命令，在真实交换机中可以通 过下面的命令来更改主干端口的封装协议：1 /*进入主干接口进行更改*/Switch(config-if)#switchport trunk encapsulationdot1q ./*802.1Q*/isl ./*思科私有的 ISL*/5/*将主干端口的封装协议改

33、成802.1Q*/Switch(config-if)#switchport trunk encapsulation dot1q*本地VLAN本地Vlan (Native Vlan)是主干端口的特征，使用802.1Q协议封装的主干端口，将数据帧从 主干发出时，如果数据帧中的VLAN标识与主干端口的本地VLAN号一致，那么交换机清除 数据帧中的VLAN标识，再从主干端口发出；使用802.1Q封装的主干端口，从主干端口接 收到数据帧时，如果数据帧中没有VLAN标识，交换机将给这个数据帧添加接收这个帧的主 干端口的本地VLAN号。理解了上面主干端口本地VLAN的工作方式后，就可以解释上面的问题7，PC

34、1属于VLAN2， PC1 ping PC5的时候，首先要获取PC5的MAC地址，ARP请求包被以广播的形式发送出去， 交换机SW1在广播帧上添加VLAN2标识，然后从fa0/24发出，fa0/24是主干端口默认情况 下该主干端口的默认本地VLAN号是1，和要发出去的数据帧中的VLAN号不一样，所以SW1 不做任何修改，直接将这个数据帧从主干端口发出，由于PC5连接在集线器上，集线器收到 这个数据帧后简单的放大信号，然后从除接收端口以外的所有端口发出，PC5收到这个数据 帧，由于数据帧是添加了 VLAN2标识的，PC5直接判断这是一个错误的帧，最后丢弃。在这种情况下，如果想让PC1和PC3能够

35、ping通PC5,其实可以将SW1和SW2的fa0/24这 个主干端口的本地VLAN号改成VLAN2,这样根据上面所说的本地VLAN的工作原理，当SW1 将VLAN2的数据帧从这个主干发出时，将去掉帧中的VLAN标记，那么PC5收到的就是一个 正常的帧了。SW1设置：SW2(config)#int fa 0/24 /*将主干端口 的本地 VLAN 改成 VLAN2*/SW2(config-if)#switchport trunk native vlan 2SW2(config-if)#endSW2#SW2设置：SW1(config)#int fa 0/24SW1(config-if)#swit

36、chport trunk native vlan 2SW1(config-if)#endSW1#现在再次测试PC1以及PC3 ping PC5,都能够成功Ping通。根据本地VLAN的工作原理，PC5 去ping PC2和PC4是ping不通的，因为当SW1或SW2从自己的主干接收到一个没有打标 记的VLAN帧后，它会给这个帧打上这个接收端口的本地VLAN标记，即VLAN2的标记，而 PC2和PC4属于VLAN3，这个数据帧不会送给任何被划分到VLAN3的端口。大家可能注意到拓扑图中SW1和PC1之间连接了一台IP电话，下面继续配置语音VLAN。*语音VLANIP语音电话需要带宽保证、优先传输

37、、拥塞避免并且要求穿过整个网络的延时小于150毫 秒，思科IP电话机一般有两个接口，一个接口可以接交换机，一个接口可以接PC， IP电话 可以单独连接在交换机上，有时为了节约端口，可以连接IP电话后再连接计算机，本例就 使用了这种方式。下面简单的介绍一下VoIP的配置，在SW1上执行下面的命令：1/*在没有配置语音VLAN前，IP电话和PC1处于同一个VLAN2中，* Cisco交换机支持一种独特的功能，*可以通过下面这条命令将IP电话和PC工作站划分到不同的VLAN中。*/SW1(config)#int fa 0/1SW1(config-if)#switchport voice vlan 5

38、0SW1(config-if)#endSW1#1011/*查看交换接口参数，可以看到Vioce VLAN变成了 50*/SW1#show int fa 0/1 switchportVoice VLAN： 50* VLAN维护操作可以在SW1上查看全局配置信息：SW1#show running- 1 configBuilding configuration.!interface FastEthernet0/1switchport access vlan 2switchport mode accessswitchport voice vlan 508!interface FastEthernet0

39、/2switchport access vlan 3switchport mode access!interface FastEthernet0/24switchport trunk native vlan 2switchport mode trunkswitchport nonegotiate!.从上面的输出中我们发现，找不到VLAN的创建信息，这是因为VLAN的创建信息是被单独 保存在vlan.dat文件中，可以使用下面的命令查看：1/* dir命令可以查看此交换机的Flash空间中的文件，*从命令的输出可以看到Flash空间中除了保存IOS外还保存了 vlan.dat文件。*/SW1#d

40、irDirectory of flash:/71 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin2 -rw- 676 vlan.dat1064016384 bytes total (59600787 bytes free) TOC o 1-5 h z SW1#使用” show vlan brief”可以查看交换机上VLAN配置信息；/*从配置信息可以看到，SW1上新建立了两个VLAN(vlan2和vlan3)，*每个VLAN中还包含了一个端口，Fa0/24是主干端口，不属于任何VLAN。*/SW1#show vlan brief67 VLAN NameS

41、tatus Ports89 1 defaultactive Fa0/3, Fa0/4, Fa0/5, Fa0/610Fa0/7, Fa0/8, Fa0/9, Fa0/1011Fa0/11, Fa0/12, Fa0/13, Fa0/1412Fa0/15, Fa0/16, Fa0/17, Fa0/1813Fa0/19, Fa0/20, Fa0/21, Fa0/2214Fa0/23, Gig1/1, Gig1/215 2 vlan2nameactive Fa0/116 3 vlan3nameactive Fa0/217 1002 fddi-defaultactive100318 default ac

42、tivetoken-ring-fddinet-default active1005 trnet-default activeSW1#使用” reload ”命令重启SW1:SW1#reloadProceed with reload? confirm3/*在真实交换机上还会出现下面的提示信息，输Ano,不保存配置*/System configuration has been modified. Save?yes/no:no重启完成后再次查看VLAN配置：1/*从下面的输出可以看到，虽然没有保存配置文件，但是创建的VLAN还在，*这是因为创建的VLAN信息是默认保存在Flash的vlan.dat里

43、面的，*但是端口的分配信息是保存在配置文件中的，所以端口分配信息丢失了。*/Switch#show vlan brief8 VLAN NameStatus Ports9101 defaultactive11Fa0/5, Fa0/6, Fa0/7, Fa0/812Fa0/9, Fa0/10, Fa0/11, Fa0/1213Fa0/13, Fa0/14, Fa0/15, Fa0/1614Fa0/17, Fa0/18, Fa0/19, Fa0/2015Fa0/21, Fa0/22, Fa0/23, Fa0/2416Gig1/1, Gig1/217 2 vlan2nameactive18 3 vla

44、n3nameactive19 1002 fddi-defaultactive100320 default activetoken-ring-1004fddinet-21default active22 1005 trnet-defaultactive723 Switch#Fa0/1, Fa0/2, Fa0/3, Fa0/4其实vlan.dat文件中不仅仅包含了 VLAN信息，还包含了 VTP信息（下一篇文章中将会讲 到），可以通过下面这条命令删除vlan.dat文件：Switch#delete vlan.datDelete filename vlan.dat? /*回车确定*/Delete f

45、lash:/vlan.dat? confirm再次查看” show vlan brief”就看不到我们创建的VLAN信息了。*在GNS3上模拟配置VLAN这一部分使用GNS3模拟器来完成跨交换机的VLAN配置实验，实验中用到的命令和” CiscoPacket Tracer 5.3中稍有不同，实验拓扑如下：图中4台计算机分别用VPCS来模拟，两台交换机实际上是3640路由器上面增加了一个16 口的快速以太网交换模块”NM-16ESW”，实验要求VPC1和VPC3划分到VLAN2中，VPC2和 VPC4划分到VLAN3中，两台交换机SW1和SW2之间相连的线路设置成主干线路，实现VPC1 可以和V

46、PC3通信，VPC2可以和VPC4通信。VPCS配置：/*配置每台VPC的IP地址和子网掩码*/VPCS1 ip 24PC1 : VPCS1 2VPCS2 ip 24PC2 : VPCS2 3VPCS3 ip 24PC3 : VPCS3 4VPCS4 ip 24PC4 : 13/*查看配置是否生效*/VPCS4 show1617 NAME IP/CIDR GATEWAY MAC LPORT RPORTVPCS1/2418 00:50:79:66:68:00 20000 30000fe80:250:79ff:fe66:6800/64VPCS2 /24 00:50:79:66:68:01 2000

47、1 30001fe80:250:79ff:fe66:6801/64VPCS3 /24 00:50:79:66:68:02 20002 30002fe80:250:79ff:fe66:6802/64VPCS4 /24 00:50:79:66:68:03 20003 30003fe80:250:79ff:fe66:6803/64VPCS4SW1配置：RouterenRouter#conf tRouter(config)#host SW1 /*改个名字看起来像一点*/SW1(config)#end56/*GNS3中只支持数据库配置模式配置VLAN*/SW1#vlan databaseSW1(vlan

48、)#vlan 2 name vlan2 /*创建 VLAN2 并且起名为 vlan2*/VLAN 2 added:Name: vlan2SW1(vlan)#vlan 3 name vlan3 /*创建 VLAN3 并且起名为 vlan3*/VLAN 3 added:Name: vlan3SW1(vlan)#exit /*退出vlan数据库配置模式*/APPLY completed.Exiting.SW1#conf tSW1(config)#int fa 0/0SW1(config-if)#swi acc vlan 2 /*将 fa0/0 接入 vlan2*/SW1(config-if)#int

49、 fa 0/1SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3 /*将 fa0/1 接入 vlan3*/SW1(config-if)#int fa 0/15SW1(config-if)#swi mod trunk /*将 fa0/15 配置成主干模式*/SW1(config-if)#switchport trunk allowed vlan all /*允许所有 VLAN*/26/*GNS3模拟器上支持这条命令，更改主干线路封装协议为802.1Q (默认也是这个)*/SW1(config-if)#switchport trunk e

50、ncapsulation dot1qSW1(config-if)#endSW1#SW2配置：RouterRouterenRouter#conf tRouter(config)#host SW2SW2(config)#endSW2#vlan databaseSW2(vlan)#vlan 2 name vlan2VLAN 2 added:Name： vlan2SW2(vlan)#vlan 3 name vlan3VLAN 3 added:Name: vlan3SW2(vlan)#exitAPPLY completed.ExitingSW2#conf tSW2(config)#int fa 0/0S

51、W2(config-if)#swi acc vlan 2SW2(config-if)#int fa 0/1SW2(config-if)#swi acc vlan 3SW2(config-if)#int fa 0/15SW2(config-if)#swi mod trunkSW2(config-if)#swi trunk allowed vlan allSW2(config-if)#swi trunk encapsulation dot1qSW2(config-if)#endSW2#配置完成后，在VPCS上测试PING:/*VPC4可以和VPC2通信*/VPCS4 ping icmp_seq=1

52、 ttl=64 time=32.000 ms4/*VPC4不能和VLAN2中的任何计算机通信*/VPCS4 ping host () not reachableVPCS4 ping host () not reachable10/*切换到VPC3进行测试*/VPCS4 3VPCS3 ping icmp_seq=1 ttl=64 time=31.000 ms15VPCS3 ping host () not reachableVPCS3 ping host () not reachable在添加了交换模块的路由器上显示VLAN信息和在交换机上显示的命令有略微差异:/*使用下面的命令来查看VLAN信

53、息*/SW1#show vlan-switch brief3VLAN NameStatus Ports1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5Fa0/6, Fa0/7, Fa0/8, Fa0/9Fa0/10, Fa0/11, Fa0/12, Fa0/139Fa0/142 vlan210 0active Fa0/11 3 vlan3active Fa0/112 1002 fddi-defaultactive100313 default activetoken-ring-14 1004 fddinet-default active1005 trnet-

54、default activeSW1#除此命令外，其他命令都相同。*4*.VLAN 间路由在上面的试验中VLAN之间是不能互访的，VLAN间的互访需要借助路由器或三层交换机来 实现。*基于路由器物理接口的VLAN间路由如下图所示,PC1和PC2连接在SW1上,PC的IP和网关配置如图所示，PC1属于VLAN2，PC2 属于VLAN3,为了实现VLAN2能够和VLAN3通信，需要将SW1的Fa0/23划分到VLAN2中， 将Fa0/24划分到VLAN3中，并且在R1上配置对应的网关IP地址。IM IVLANSFG2IP-1G2.16S；2.If24 网吴:屈:? W 翱Fs0/O:19?z 1&8

55、. 17 54/2 4FsO/1 : 192. 168.2.：54/24IP:12.1BB.1.1/24Faa/2网1.254Fa0/23QlngSw6rd.COMSW1配置：SW1(config)#vlan 2 /*创建 VLAN*/SW1(config-vlan)#name vlan2SW1(config-vlan)#vlan 3SW1(config-vlan)#name vlan3SW1(config-vlan)#int fa 0/1 /*将端口划分到 VLAN*/SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(con

56、fig-if)#int fa 0/2SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#int fa 0/23SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(config-if)#int fa 0/24SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#endSW1#R1配置：R1(config)#int fa 0/0R1(config-if)#ip

57、add 54 R1(config-if)#no shutR1(config-if)#int fa 0/1R1(config-if)#ip add 54 R1(config-if)#no shutR1(config-if)#endR1#?aJ0/O. 1 :19. 168 1; 254/24 FMl/Cl.N: 19或 168.2254/24配置完成后在PC1上可以Ping通PC2, VLAN2和VLAN3通信成功。*基于路由器子接口的VLAN间路由(单臂路由)在上面的实例中，如果使用路由的物理接口来配置，那么交换机上有多少个VLAN就需要在 路由器上配置多少个物理接口来实现VLAN间的互访，这

58、样成本很高。现实中一般使用”单 臂路由”的形式，也就是使用路由器接口的子接口来实现VLAN间的互访。如下图所示：吟IP: 19&比&楚.L他 网关:192/166. 254网天；192, 16S. 1.254PC1和PC2的IP地址和网关如图所示，路由器R1的Fa0/0接口上配置两个子接口分别作为 VLAN2和VLAN3的网关,SW1的fa0/24接口需要配置成主干。SW1配置：SW1(config)#vlan 2SW1(config-vlan)#name vlan2 /*创建 VLAN*/SW1(config-vlan)#vlan 3SW1(config-vlan)#name vlan3SW

59、1(config-vlan)#int fa 0/1 /*分配端口到 VLAN*/SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 2SW1(config-if)#int fa 0/2SW1(config-if)#swi mod accSW1(config-if)#swi acc vlan 3SW1(config-if)#int fa 0/24 /*配置和R1相连的接口为主干模式*/SW1(config-if)#swi mod trunkSW1(config-if)#endSW1#R1配置：R1(config)#int fa0/0R1(c

60、onfig-if)#no shut /*主接口只需要打开即可*/R1(config-if)#int fa 0/0.1 /*创建子接口*/4/*子接口封装模式要和SW1的主干封装模式一致，*因为思科交换机主干默认的封装模式是802.1Q(dot1Q)，所以这里也要是这个。*在dot1Q后面的数字2要和VLAN号对应，这个子接口是针对VLAN2的，所以这里是82。*/R1(config-subif)#encapsulation dot1Q 2R1(config-subif)#ip add 54 R1(config-subif)#no shut /*其实子接口默认是打开的，这条命令可以省去*/R1(