网络工程案例综合实战训练营-交换技术

网络工程案例综合实战训练营交换技术本章内容使用SVI实现VLAN间通信使用单臂路由实现VLAN间通信多生成树协议虚拟路由冗余协议（VRRP）协议课程议题SVI实现VLAN间通信划分VLAN的问题划分VLAN的问题在交换机上划分VLAN后，带来了隔离广播、提高安全性、隔离故障的好处，但是，问题是不同VLAN之间无法通过二层设备互相通信。解决办法通过三层设备实现VLAN间路由。F0/3F0/1F0/2SVI实现不同VLAN间相互通信三层交换机上配置SVI接口地址各VLAN中主机将三层交换机上相应VLAN的SVI接口地址作为本VLAN网关数据到达三层交换机后利用路由功能转发到其他VLAN配置SVI步骤1开启路由功能（默认）

Switch(config)#iprouting 步骤2创建VLANSwitch(config)#vlan

vlan-id步骤3进入VLAN的SVI接口配置模式 Switch(config)#interfacevlanvlan-id步骤4给SVI接口配置IP地址Switch(config-if)#ipaddress

ip-addressmask

课程议题使用单臂路由实现VLAN间通信路由器实现VLAN间路由在路由器上为每个VLAN划分一个子接口每个子接口配置IP地址，作为相应VLAN的网关利用路由器的路由功能，实现不同子接口数据的转发缺点是：部署不灵活，形成网络瓶颈。单臂路由配置步骤1：创建以太网子接口Router(config)#interface

interface.sub-port步骤2：为子接口封装802.1q协议，并指定接口所属的VLANRouter(config-subif)#encapsulationdot1q

vlan-id步骤3：为子接口配置IP地址Router(config-subif)#ipaddress

ip-address

mask-address步骤4：启用子接口Router(config-subif)#noshutdown单臂路由配置示例Router(config)#interfacefastEthernet0/0.1Router(config-subif)#encapsulationdot1q10Router(config-subif)#ipaddress192.168.1.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.2Router(config-subif)#encapsulationdot1q20Router(config-subif)#ipaddress192.168.2.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#end课程议题PrivateVLAN划分VLAN的问题可分配的VLAN编号是1-4094，需要划分更多的VLAN怎么办每一个VLAN都划分一个子网，当划分多个VLAN时，导致地址的浪费F0/1F0/2F0/3PrivateVLANPrivateVLAN（私有VLAN，PVLAN）是能够为相同VLAN内不同端口提供隔离的VLAN。F0/1F0/2F0/3PraviteVLAN的组成PVLAN可以将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：PrimaryVLAN（主VLAN）和SecondaryVLAN（辅助VLAN组成）。SecondaryVLANF0/2F0/1SecondaryVLANPrimaryVLANPraviteVLAN的组成主VLAN：主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。辅助VLAN：辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。隔离VLAN（IsolatedVLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。团体VLAN（CommunityVLAN）：同一个团体VLAN中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN中可以有多个团体VLAN。PraviteVLAN的端口类型混杂端口（PromiscuousPort）：混杂端口为主VLAN中的端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和团体端口。隔离端口（IsolatedPort）：隔离端口为隔离VLAN中的端口，隔离端口只能与混杂端口进行通信。团体端口（CommunityPort）：团体端口为团体VLAN中的端口，同一个团体VLAN中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体VLAN的端口进行通信。PrivateVLAN的实现主VLAN中的混杂端口用于连接到网关设备，可以和本VLAN中所有端口通信隔离VLAN中的各端口均为隔离端口，互相不可通信，也不可与其他隔离VLAN或团体VLAN通信团体VLAN中的端口均为团体端口，可与本团体端口通信，不可与其他团体端口或隔离端口通信配置PrivateVLAN配置PrivateVLAN主要包括以下几个步骤：配置主VLAN与辅助VLAN关联辅助VLAN到主VLAN将辅助VLAN映射到主VLAN的3层接口配置主机端口配置混杂端口配置PrivateVLAN配置主VLAN与辅助VLAN步骤1：进入配置模式Switch#configureterminal步骤2：进入VLAN配置模式Switch(config)#vlanvid步骤3：配置私有VLAN类型Switch(config-vlan)#private-vlan{community|isolated|primary}

在802.1qVLAN中，有成员端口的VLAN不能配置为私有VLAN。VLAN1不能配置为私有VLAN。配置PrivateVLAN关联辅助VLAN到主VLAN

步骤1：进入主VLAN的VLAN配置模式Switch(config)#vlan

p_vid步骤2：关联辅助VLAN到主VLANSwitch(config-vlan)#private-vlanassociation[add|remove]svlist将辅助VLAN映射到主VLAN的三层接口步骤1：进入主VLAN的VLAN接口模式Switch(config)#interfacevlan

p_vid步骤2：映射辅助VLAN到主VLAN的三层接口Switch(config-if)#private-vlanmapping[add|remove]svlist配置PrivateVLAN配置主机端口步骤1：进入主机端口Switch(config)#interface

port-typeport步骤2：配置端口为主机端口Switch(config-if)#switchportmodeprivate-vlanhost步骤3：关联主机端口到PVLANSwitch(config-if)#switchport

private-vlan

host-associationp_vids_vid配置混杂端口步骤1：进入主机端口Switch(config)#interface

interface步骤2：配置端口为混杂端口Switch(config-if)#switchportmodeprivate-vlanpromiscuous步骤3：配置混杂端口所在的主VLAN以及关联的辅助VLANSwitch(config-if)#switchportprivate-vlanmapping

p_vid[add|remove]svlist配置PrivateVLAN配置PrivateVLAN注意事项一个PrivateVLAN处于Active状态必须满足下列条件：具有主VLAN具有辅助VLAN辅助VLAN和主VLAN进行关联主VLAN内有混杂端口配置PrivateVLAN示例配置PrivateVLAN示例Swich#configureterminalSwitch(config)#vlan10Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunitySwitch(config-vlan)#exitSwitch(config)#vlan30Switch(config-vlan)#private-vlanisolatedSwitch(config-vlan)#exitSwitch(config)#vlan10Switch(config-vlan)#private-vlanassociationadd20,30Switch(config-vlan)#exit配置PrivateVLAN示例Switch(config)#interfacerangefastEthernet0/1-2Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1030Switch(config-if-range)#exitSwitch(config-if)#interfacerangefastEthernet0/3-4Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1020Switch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/5Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10add20,30Switch(config-if)#end课程议题SuperVLANSuperVLANSuperVLAN又称为VLAN聚合，是一种专门优化IP地址管理的技术可以将一个网段的IP分给不同的子VLAN（SubVLAN），这些SubVLAN同属于一个SuperVLAN。SubVLANF0/2F0/1SubVLANSuperVLANIP子网SuperVLANSuperVLAN特点每一个SubVLAN都是独立的广播域属于同一SuperVLAN的SubVLAN在同一子网中SubVLAN间的用户需要进行通信时，将使用SuperVLAN的VLAN接口的IP地址作为网关地址不同SubVLAN间的互通及SubVLAN与其他网络的互通，需要利用ARP代理（ProxyARP）功能SubVLAN通信过程同一SubVLAN中主机的通信可以直接进行不同SuperVLAN中的主机通信时，需要经过交换机进行ARP代理SuperVLAN注意事项部署SubVLAN的注意事项：SuperVLAN不能包含任何成员端口，只能包含SubVLAN。SubVLAN包含物理端口。SuperVLAN不能作为其他SuperVLAN的SubVLAN。PVLAN主要用于解决VLAN数量受限制的问题，SuperVLAN主要用于节省IP地址。SuperVLAN不能当正常的802.1qVLAN来使用。VLAN1不能作为SuperVLAN。针对SubVLAN不能创建VLAN接口并分配IP地址。SuperVLAN不能使用VRRP，不支持多播。基于SuperVLAN接口的ACL和QoS配置不对SubVLAN生效。配置SuperVLAN配置SuperVLAN主要分为以下几个步骤：定义SuperVLAN配置SuperVLAN的SubVLAN设置SubVLAN的地址范围配置SuperVLAN的SVI地址划分接口到SubVLAN配置SuperVLAN定义SuperVLAN步骤1：进入VLAN配置模式Switch(config)#vlan

vlan-id步骤2：配置VLAN为SuperVLANSwitch(config-vlan)#supervlan配置SuperVLAN的SubVLAN

步骤1：进入SuperVLAN的配置模式Switch(config)#vlanvlan-id步骤2：配置SuperVLAN的SubVLAN列表Switch(config-vlan)#subvlanvlan-id-list配置SuperVLAN配置SubVLAN的地址范围步骤1：进入SubVLAN的配置模式Switch(config)#vlanvlan-id步骤2：设置SubVLAN的地址范围Switch(config)#subvlan-address-range

start-ipend-ip配置SuperVLAN的虚接口步骤1：进入SuperVLAN的配置模式Switch(config)#interfacevlan

vlan-id步骤2：配置SuperVLAN的虚接口Switch(config-if)#ipaddress

ip-addressmask配置SuperVLAN配置VLAN的代理ARP功能步骤1：进入VLAN配置模式Switch(config)#vlanvlan-id步骤2：打开VLAN的ARP代理功能Switch(config-vlan)#proxy-arp查看SuperVLAN配置Switch#showsupervlan

课程议题多生成树协议MSTP多生成树实例Instance:一台交换机的一个或多个Vlan的集合因为很多Vlan采用一个Vlan实例，可实现预期的负载均衡交换机只运行二个实例，减少交换机系统的资源配置MSTP——MSTP基本配置步骤1：启用生成树Switch(config)#spanning-tree步骤2：选择生成树模式为MSTPSwitch(config)#spanning-treemodemstp在锐捷交换机中，默认情况下，当启用生成树后，生成树的运行模式为MSTP。配置MSTP——MSTP属性配置步骤1：进入全局配置模式Switch#configureterminal步骤2：进入MSTP配置模式Switch(config)#spanning-treemstconfiguration步骤3：在交换机上配置VLAN与生成树示例的映射关系Switch(config-mst)#instance

instance-id

vlanvlan-range配置MSTP——MSTP属性配置步骤4：配置MST区域的配置名称Switch(config-mst)#namename步骤5：配置MST区域的修正号Switch(config-mst)#revisionnumber参数的取值范围是0~65535，默认值为0。步骤6：配置MST实例的优先级SwitchA(config)#spanning-treemstinstanceprioritynumber配置MSTP——查看MSTP属性看生成树的全局配置及状态信息Switch#showspanning-tree

查看MSTP的配置结果Switch#showspanning-treemstconfiguration

查看特定实例的信息Switch#showspanning-treemstinstance

查看特定端口在相应实例中的状态信息Switch#showspanning-treemstinstance

interface配置MSTP——实现负载分担通过配置使得不同实例中具有不同的根交换机，可以实现负载分担课程议题虚拟路由冗余协议（VRRP）技术什么是VRRP什么是VRRP？VRRP(VirtualRouterRedundancyProtocol)：虚拟路由冗余协议是用于实现路由器冗余的协议，最新协议在RFC3768中定义。VRRP的定义在该协议中，对共享多存取访问介质（如以太网）上终端IP设备的默认网关(DefaultGateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。VRRP术语VRRP路由器是指运行VRRP的路由器，是物理实体。虚拟路由器是指VRRP协议创建的，是逻辑概念。主控路由器和备份路由器一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。VRRP术语VRRP组VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。IP协议号为112；IP包的TTL值必须为255。VRRP状态组成虚拟路由器的路由器会有三种状态InitializeMasterBackupInitialize状态系统启动后进入此状态，当收到接口startup的消息，将转入Backup（优先级不为255时）或Master状态（优先级为255时）。在此状态时，路由器不会对VRRP报文做任何处理。Master状态定期发送VRRP组播报文，发送免费（gratuitous）ARP报文响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize。BackUP状态接收Master发送的VRRP组播报文从中了解Master的状态对虚拟IP地址的ARP请求不做响应丢弃目的MAC地址为虚拟MAC地址的IP报文丢弃目的IP地址为虚拟IP地址的IP报文VRRP选举VRRP的路由器都会发送和接收VRRP通告消息VRRP优先级接口的IP地址VRRP定时器通告间隔和主路由器失效（master-down）间隔。通告间隔是通告之间的间隔时间（秒），默认为1秒。主路由器失效间隔指的是多长时间没有收到通告后，备用路由器将认为主路由器已失效，单位为秒。主路由器失效间隔是不能配置的，其值至少是为通告间隔的3倍。VRRP配置命令配置VRRP组命令参数如下表vrrp

grou-numberip

IP-address

secondarySwitch(config-if)#参数描述group-number取值范围为0～255之间,vrrp组号IP-address虚拟路由器IP地址，可以是一台真实路由器的地址，也可以虚拟的路由器地址secondary标明是该虚拟路由器的次IP地址VRRP基本配置示例VRRP基本配置示例（续）使用命令showvrrpbrief来查看VRRP组的状态调整VRRP优先级配置VRRP组优先级其中参数Priority-value的取值范围为0～254，0是系统保留给ADVERTISEMENT报文专，255是保留给IP地址拥有者只有当VRRP路由器的IP地址和虚拟路由器的接口相同时，则其优先级为255。vrrp

group-number

priority

priority-valueSwitch(config-if)#接口跟踪与配置vrrp

group-numbertrackinterface[priority-decrement]Switch(config-if)#接口跟踪与配置（续）抢占模式配置配置VRRP抢占其中参数delay的取值范围为1～255之间，如果不配置delay时间，那么其默认值为0秒。delay-time为延迟抢占的时间即从该路由器发现自己的优先级大于MASTER的优先级开始经过delay-time这样长的一段时