计算机网络管理技术

a1计算机网络管理技术第1章网络管理技术概述第2章SNMP网络管理架构第3章网络流量监控技术与方法第4章磁盘管理第5章用户管理第6章组策略管理第7章补丁管理第8章IP地址管理第9章VLAN管理第10章网络存储管理计算机网络管理技术全文共130页，当前为第1页。a2计算机网络管理技术第9章VLAN管理VLAN（VirtualLocalAreaNetwork，虚拟局域网）是在一个物理网络上划分出来的逻辑网络。对应于OSI模型的第二层（数据链路层）。划分不受网络端口的实际物理位置的限制，但有着与普通物理网络同样的属性。第二层的单播、组播和广播帧在同一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。VLAN的应用有助于控制流量、减小设备投资、简化网络管理、提高网络的安全性。计算机网络管理技术全文共130页，当前为第2页。a3计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第3页。a4计算机网络管理技术9.1VLAN的概念传统的共享介质的以太网和交换式的以太网中，对广播风暴的控制和网络安全只能在第三层的路由器上实现，因为默认情况下路由器不会转发广播消息。计算机网络管理技术全文共130页，当前为第4页。a5计算机网络管理技术交换机也提供了一种VLAN的广播域分段方法。在交换机中，一个VLAN被定义成一个广播域，广播消息会被不属于同一VLAN的端口或设备过滤掉。

在下图中，定义了3个VLAN，每个交换机被逻辑地划分成两个虚拟网桥。计算机网络管理技术全文共130页，当前为第5页。a6计算机网络管理技术网桥（GateBridge）：工作在OSI模型第二层（数据链路层）具有在不同网段之间再生信号的功能，有效地联接两个局域网，使本地通信限制在本网段内，并转发相应的信号到另一网段。通常用于联接数量不多的、同一类型的网段。已被交换机取代。VLAN：是一个逻辑网段（IP子网，或网络），传统的物理网段的概念是有区别。物理网段是指连接在同一个物理介质上的设备组成的网段。VLAN设备可能连接在不同的物理介质上。一个VLAN可以在一个交换机或者跨其他的交换机实现。计算机网络管理技术全文共130页，当前为第6页。a7计算机网络管理技术VLAN分组依据：可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。计算机网络管理技术全文共130页，当前为第7页。a8计算机网络管理技术VLAN特点：VLAN之间的通信必须通过路由器或者三层交换机来实现。在网络设计中，VLAN和IP子网是一一对应的关系。主机只知道它是某个IP子网的成员，它们并不知道交换机上存在着一个VLAN。交换机确保VLAN内部所有成员的通信。VLAN的成员关系有两种定义方法：一种是基于交换机的端口划分VLAN（静态VLAN）；另一种是基于站点的MAC地址动态地划分VLAN（动态VLAN）。计算机网络管理技术全文共130页，当前为第8页。a9计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第9页。a10计算机网络管理技术9.2VLAN在网络管理中的作用 9.2.1利用VLAN控制广播风暴 9.2.2利用VLAN提高网络整体的安全性 9.2.3利用VLAN方便网络管理 9.2.4VLAN应用实例计算机网络管理技术全文共130页，当前为第10页。a11计算机网络管理技术9.2.1利用VLAN控制广播风暴一个VLAN是一个逻辑广播域。任意一个VLAN的广播风暴不会影响其它VLAN的性能。网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著提高。广播风暴：是指在一个本地网段中，由一个站点（如计算机）产生的广播帧首先会被发送到本网段中的其他所有站点，在站点接收到广播帧后再继续进行发送（蠕虫病毒等），如此循环，在本网段中将形成大量无用的广播帧。计算机网络管理技术全文共130页，当前为第11页。a12计算机网络管理技术9.2VLAN在网络管理中的作用

9.2.1利用VLAN控制广播风暴

9.2.2利用VLAN提高网络整体的安全性 9.2.3利用VLAN方便网络管理 9.2.4VLAN应用实例计算机网络管理技术全文共130页，当前为第12页。a13计算机网络管理技术9.2.2利用VLAN提高网络整体的安全性共享式局域网中只要用户接入一个活动端口，就能访问网络。VLAN能够限制个别用户的访问，甚至能够锁定某台设备的MAC地址。通过VLAN访问控制列表等规则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN中计算机网络管理技术全文共130页，当前为第13页。a14计算机网络管理技术9.2VLAN在网络管理中的作用

9.2.1利用VLAN控制广播风暴 9.2.2利用VLAN提高网络整体的安全性

9.2.3利用VLAN方便网络管理 9.2.4VLAN应用实例计算机网络管理技术全文共130页，当前为第14页。a15计算机网络管理技术9.2.3利用VLAN方便网络管理对于以太网，如果要对某些用户重新进行网段分配，需要对网络系统的物理结构重新进行调整，甚至需要追加网络设备一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。计算机网络管理技术全文共130页，当前为第15页。a16计算机网络管理技术 如图9-6所示，每个楼层都有科技系、管理系、法律系的人员，但是我们可以通过使用VLAN技术，不受地理条件的限制，把他们逻辑地划分到一起。另外，VLAN具有灵活性和可扩展性等特点，可扩展性正是现代局域网设计必须实现的基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。计算机网络管理技术全文共130页，当前为第16页。a17计算机网络管理技术9.2VLAN在网络管理中的作用

9.2.1利用VLAN控制广播风暴 9.2.2利用VLAN提高网络整体的安全性 9.2.3利用VLAN方便网络管理

9.2.4VLAN应用实例计算机网络管理技术全文共130页，当前为第17页。a18计算机网络管理技术9.2.4VLAN应用实例如图9-7所示的是一个单位的网络规划示意图，其中根据用户所属部门和工作性质的不同，分别创建了不同的VLAN，具体从VLAN10到VLAN60。每一个VLAN的IP地址即该VLAN中用户计算机的“网关”地址。例如，VLAN10的IP地址（其实是VLAN接口InterfaceVLAN的IP地址）为192.168.1.1。计算机网络管理技术全文共130页，当前为第18页。a19计算机网络管理技术 在接入层交换机（二层交换机）的端口配置时，根据如图9-7中的规划，将指定的端口分别添加到对应的VLAN中。计算机网络管理技术全文共130页，当前为第19页。a20计算机网络管理技术虽然VLAN是建立在二层交换机上，但是在二层交换机上不同VLAN之间是无法通信的。需要一台三层交换机提供不同VLAN之间的通信。并将汇聚后的数据通过路由器或防火墙接入Internet。在实际配置中，还需要在路由器或防火墙上配置NAT，从而实现使用私有IP地址的内部网络用户能够访问Internet。另外，内部用户使用的是192.168.0.0/24段的私有IP地址，该段地址最多可以提供256个地址段，即最多可以创建256个不同的VLAN，便于用户的扩展。当有新的VLAN被创建时，路由器或防火墙以及三层交换机上的主要配置信息（主要是路由信息）不需要进行修改，便于网络的扩充。计算机网络管理技术全文共130页，当前为第20页。a21计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第21页。a22计算机网络管理技术9.3VLAN的实现方式VLAN的实现方式有两种：静态VLAN动态VLAN动态VLAN的实际应用中较少使用.计算机网络管理技术全文共130页，当前为第22页。a23计算机网络管理技术9.3VLAN的实现方式 9.3.1什么是静态VLAN 9.3.2什么是动态VLAN计算机网络管理技术全文共130页，当前为第23页。a24计算机网络管理技术9.3.1什么是静态VLAN静态VLAN是指网络管理员将交换机端口分配给某一个VLAN。是一种最经常使用的配置方式。容易实现和监视，而且比较安全。属于同一VLAN的端口号可以是不连续的，具体如何分配，由管理员根据需要来决定。并且同一VLAN可以跨越多个交换机。

如图9-8所示，我们将某台24口Catalyst交换机的1～6端口划给VLAN10，7～12端口划给VLAN40，13～18端口划给VLAN20，19～24端口划给VLAN30。计算机网络管理技术全文共130页，当前为第24页。a25计算机网络管理技术静态VLAN中优缺点：静态VLAN中，每个端口只负责传输自己所属VLAN的数据。不能对另一个VLAN中的端口或者设备进行数据的发送或者接收。优点是：定义VLAN成员时非常简单，只需要将相应的端口都指定一下所属的VLAN就可以了。缺点是：如果某个用户离开了原来的交换机端口，到了一个新的交换机的某个端口，那么就必须重新定义。计算机网络管理技术全文共130页，当前为第25页。a26计算机网络管理技术9.3VLAN的实现方式

9.3.1什么是静态VLAN 9.3.2什么是动态VLAN计算机网络管理技术全文共130页，当前为第26页。a27计算机网络管理技术9.3.2什么是动态VLAN根据每个主机的MAC地址来划分。必须先建立一个较复杂的数据库，数据库中包含了要连接的网络设备的MAC地址及相应的VLAN号。需要使用相应管理软件来对VLAN数据库进行管理，例如MSSQLServer。动态VLAN的配置还可以是基于网络设备IP地址、应用或者所使用的协议的。在CiscoCatalyst交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。VMPS维护着一张MAC地址与VLAN的映射表。计算机网络管理技术全文共130页，当前为第27页。a28计算机网络管理技术优点：网络管理员只需维护管理相应的数据库，而不用关心用户使用哪一个端口。当用户物理位置移动时（例如从一个交换机换到其他的交换机），VLAN不用重新配置。缺点：在初始化时，必须对所有的用户进行配置，如果有几百个甚至上千个用户的话，这个配置是非常累的。这种划分的方法也导致了交换机执行效率的降低。如果网卡经常更换，VLAN就必须不停的进行配置。计算机网络管理技术全文共130页，当前为第28页。a29计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第29页。a30计算机网络管理技术9.4链路类型及管理方法 在VLAN管理中，有些链路主要用于用户计算机与交换机之间的连接，而有些链路主要用于交换机之间或交换机与路由器之间的连接。不同的链路类型在VLAN通信中对数据帧的要求也不一样。计算机网络管理技术全文共130页，当前为第30页。a31计算机网络管理技术9.4链路类型及管理方法 9.4.1什么是接入链路 9.4.2什么干道链路（trunk）计算机网络管理技术全文共130页，当前为第31页。a32计算机网络管理技术9.4.1什么是接入链路接收链路是指用于连接用户计算机与交换机端口之间的链路。在静态VLAN中，交换机上接入链路的端口被静态地分配给某个VLAN，并且这个端口也仅仅属于这个VLAN。连接到接入链路上的终端设备并不知道存在着一个VLAN，它只知道自己属于某个IP子网，这些设备无法鉴别带有VLAN标识的数据帧，因此交换机必须负责在帧被发送到接入链路之前拿掉VLAN标识。属于接入链路的端口不能直接对另外一个VLAN接收或者发送数据，VLAN间的通信必须通过第三层设备来实现。计算机网络管理技术全文共130页，当前为第32页。a33计算机网络管理技术9.4链路类型及管理方法

9.4.1什么是接入链路 9.4.2什么干道链路（trunk）计算机网络管理技术全文共130页，当前为第33页。a34计算机网络管理技术9.4.2什么干道链路（trunk） 干道链路用于交换机的级联以及交换机与路由器之间的连接，它可以承载多个VLAN的信息，属于VLAN通信的公共通道。当通过交换机转发数据时，交换机在干道链路上为数据帧添加VLAN标识，在接入链路上拿掉VLAN标识。 如图9-9所示，交换机A的1、2端口都被定义为属于VLAN20的接入链路。根据定义，它们只能属于VLAN20。因此当交换机A的端口1发送的数据帧到达端口2时，帧没有被加上VLAN标识。计算机网络管理技术全文共130页，当前为第34页。a35计算机网络管理技术计算机网络管理技术全文共130页，当前为第35页。a36计算机网络管理技术1．干道封装以太网上实现干道可使用下面两种封装类型：·ISL(InnerSwitchLink)·IEEE802.1q。（1）ISL封装ISL是Cisco特有的标记方法，只有Cisco的设备才可以理解ISL封装的数据帧必须确保网段中的交换设备全是Cisco的并且都支持ISL封装。计算机网络管理技术全文共130页，当前为第36页。a37计算机网络管理技术 ISL是一种外部封装方法，即ISL在不改变原始帧的基础上对以太网帧进行封装，如图9-10所示。

ISL封装在原始帧的头部加上ISL头（包含了VLAN相关的信息），在原始帧的尾部加上FCS（用于CRC校验），这意味着ISL封装改变了数据帧的大小，但是它并没有对原始数据本身进行修改。ISL头(26字节)原始数据帧FCS计算机网络管理技术全文共130页，当前为第37页。a38计算机网络管理技术（2）IEEE802.1q封装一种标准的VLAN标记方法、可以用于不同厂商设备之间的互联。使用的是一种内部标记，即用VLAN标识修改现有的以太网数据帧，因此通过IEEE802.1q封装的以太网数据帧依然保持着标准以太网数据帧的格式。计算机网络管理技术全文共130页，当前为第38页。a39计算机网络管理技术IEEE于1999年正式发布了802.1q标准，即VirtualBridgedLocalAreaNetworks协议规定了一段新的以太网祯字段，与标准的以太网帧相比，VLAN帧格式在源地址后增加了一个4字节的802.1q标签。2个字节的标签协议标识（TagProtocolIdentifier，TPID），它的值是为8100。另外是2个字节的标签控制信息（TagControlInformation，TCI）。TPID是IEEE定义的新的类型，表明这是一个加了802.1q标签的数据帧。其中：·VLANIdentified（VLANID）：这是一个12位的域，指明VLAN的ID，一共有4096个。·CanonicalFormatIndicator（CFI）：标明MAC地址是否为正规格式。·Priority：这3位指明帧的优先级。一共有8种优先级，主要用于当交换机发生阻塞时，优先发送优先级高的数据帧。计算机网络管理技术全文共130页，当前为第39页。a40计算机网络管理技术目前使用的大多数计算机并不支持802.1q。在交换机中，直接与计算机相连的端口无法识别802.1q，称为访问（Access）端口。交换机之间以及交换机与路由器之间的连接端口，可以识别和发送802.1q数据帧，这种端口称为带VLANID的端口。计算机网络管理技术全文共130页，当前为第40页。a41计算机网络管理技术在交换机中的数据帧转发过程中：如前图，定义交换机中的2端口属于VLAN20，且该端口类型为Access，当2端口接收到一个数据帧后，交换机会查看该帧中没有802.1q标签，那么交换机根据2端口所属的VLAN20，自动给该数据帧添加一个VLAN20的标签头，再将数据帧交给数据库查询模块，数据库查询模块会根据数据帧的目的地址和所属的VLAN进行查找，之后交给转发模块，转发模块看到这是一个包含标签头的数据帧，根据帧的目的端口来决定是否保留还是去掉标签头。如果目的端口是Tag端口，则保留标签，否则删除标签。一般情况下，两个交换机互连的端口一般都是Tag端口，交换机和交换机之间交换数据帧时是没有必要去掉标签的。

注意：Catalyst2950交换机只支持IEEE802.1q的封装格式，Catalyst3550及以上型号的交换机同时支持ISL和IEEE802.1Q两种封装格式。计算机网络管理技术全文共130页，当前为第41页。a42计算机网络管理技术2．DTP动态干道协议 动态干道协议用于交换机之间的干道协商，协商某个链路是否成为Trunk（干道）。这有些类似于以太网链路的自动协商功能。交换机链路可配置为三种工作方式：·Access（访问）――直接定义链路类型为接入链路。·Dynamic（动态）――动态协商·Trunk（干道）――直接定义链路类型为干道链路。

计算机网络管理技术全文共130页，当前为第42页。a43计算机网络管理技术其中Dynamic（动态）方式又分为两种：·Auto（自动）――使端口自动适应对方端口的工作方式，如果对方的端口被设置为trunk或者desirable的话，该链路就会变为trunk。·Desirable（期望的）――顾名思义，该端口期望成为trunk,只要对方的端口不是被直接定义为access（接入链路），该链路就能成为trunk。 通过上面的介绍，我们对干道协商进行一下总结：·如果两个端口都被设置为dynamicauto，那么这条链路永远不能成为trunk。·如果两个端口都被设置为dynamicdesirable，那么这条链路将成为trunk。计算机网络管理技术全文共130页，当前为第43页。a44计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第44页。a45计算机网络管理技术9.5实验操作1：VLAN的配置 通过本章前面内容的学习，读者对VLAN已经有了一个总体的认识。在此基础上，本节将详细介绍VLAN的配置方法，其中实际操作中使用了目前广泛应用的CiscoCatalyst2950系列交换机。其中品牌交换机的具体命令可有有所不同，但配置思路和方法是相同的。CiscoCatalyst交换机中的VLAN号1、1002、1003、1004、1005是自动生成的并且不能被去掉。VLAN号从1~1005的配置被写到文件vlan.dat中，可以用showvlan命令查VLAN的配置，vlan.dat文件存放在flash中。计算机网络管理技术全文共130页，当前为第45页。a46计算机网络管理技术9.5实验操作1：VLAN的配置

9.5.1VLAN的创建和删除

9.5.2静态VLAN的划分 9.5.3动态VLAN配置简述 9.5.4验证VLAN的配置计算机网络管理技术全文共130页，当前为第46页。a47计算机网络管理技术9.5.1VLAN的创建和删除CiscoCatalyst系列交换机为我们建立和删除VLAN提供了两种方法：在全局配置模式下进行配置和在VLANDatabase模式下进行配置。1．在全局配置模式下进行配置 在全局模式下创建VLAN的过程如例15-1所示： 例15-1在全局模式下创建VLAN Switch#configureterminal Switch(config)#vlan20 Switch(config-vlan)#nametest20 Switch(config-vlan)#end Switch#计算机网络管理技术全文共130页，当前为第47页。a48计算机网络管理技术 表9-1对例15-1中的操作进行了说明。计算机网络管理技术全文共130页，当前为第48页。a49计算机网络管理技术当一个VLAN不再需要时，可以将其删除，删除VLAN的过程如下：例15-2VLAN的删除方法： Switch#configureterminal Switch(config)#novlan20 Switch(config)#end表9-2对例15-2中的命令进行了说明。

计算机网络管理技术全文共130页，当前为第49页。a50计算机网络管理技术2．在VLANDatabase模式下进行配置在Database模式下，可以通过以下的方法创建或删除VLAN。 例15-3在Database模式下创建VLAN Switch#vlandatabase Switch(vlan)#vlan20nametest20 VLAN20added: Name:test20 Switch(vlan)#exit APPLYcompleted. Exiting Switch# 表9-3对例15-3的每一步进行了说明。计算机网络管理技术全文共130页，当前为第50页。a51计算机网络管理技术计算机网络管理技术全文共130页，当前为第51页。a52计算机网络管理技术在Database模式下，可以通过以下的方法删除VLAN。 例15-4在Database模式下删除VLAN Switch#vlandatabase Switch(vlan)#novlan20 DeletingVLAN20... Switch(vlan)#exit APPLYcompleted. Exiting Switch#计算机网络管理技术全文共130页，当前为第52页。a53计算机网络管理技术 表9-4对例15-4的每一步进行了说明。计算机网络管理技术全文共130页，当前为第53页。a54计算机网络管理技术9.5实验操作1：VLAN的配置 9.5.1VLAN的创建和删除 9.5.2静态VLAN的划分 9.5.3动态VLAN配置简述 9.5.4验证VLAN的配置计算机网络管理技术全文共130页，当前为第54页。a55计算机网络管理技术9.5.2静态VLAN的划分 静态VLAN的划分方法是最常使用的VLAN划分方法，也是本书介绍的重点。静态VLAN的划分主要分为接入链路的定义和干道链路的定义两部分。1．接入链路上的定义 下面是接入链路的配置样例。计算机网络管理技术全文共130页，当前为第55页。a56计算机网络管理技术 例15-5接入链路的配置方法 Switch#configureterminal Switch(config)#vlan20 Switch(config-vlan)#namecisco Switch(config-vlan)#exit Switch(config)#interfacefastethernet0/1 Switch(config-if)#switchportmodeaccess Switch(config-if)#switchportaccessvlan20 Switch(config-if)#end Switch#计算机网络管理技术全文共130页，当前为第56页。a57计算机网络管理技术表9-5对接入链路的配置步骤进行了说明。计算机网络管理技术全文共130页，当前为第57页。a58计算机网络管理技术 在将某个端口分配给某个VLAN之前应先定义那个VLAN，如果我们将某个端口分配给一个不存在的VLAN，交换机会自动创建那个VLAN。 例15-6交换机自动创建VALN Switch#conft Switch(config)#interfacefastethernet0/2 Switch(config-if)#switchportaccessvlan30 %AccessVLANdoesnotexist.Creatingvlan30 Switch(config-if)#end计算机网络管理技术全文共130页，当前为第58页。a59计算机网络管理技术2．干道链路上的定义下面是干道链路的配置样例。 例15-7道链路的配置 Switch#configureterminal Switch(config)#interfacefastethernet0/12 Switch(config-if)#switchportmodetrunk Switch(config-if)#switchporttrunkencapsulationdot1q Switch(config-if)#switchporttrunkallowedvlanall Switch(config-if)#end计算机网络管理技术全文共130页，当前为第59页。a60计算机网络管理技术表9-6对例15-7的操作步骤进行了说明计算机网络管理技术全文共130页，当前为第60页。a61计算机网络管理技术 对于switchporttrunkallowedvlan{add|all|except|remove}vlan-list命令我们举个例子，假如我们在交换机上进行了如下配置： Switch(config)#interfacefastethernet0/1 Switch(config-if)#switchportmodetrunk Switch(config-if)#switchporttrunkallowedvlanall Switch(config-if)#switchporttrunkallowedvlan remove2,3,5,9计算机网络管理技术全文共130页，当前为第61页。a62计算机网络管理技术 然后我们使用showrunning-config命令查看接口 fastethernet0/1上的配置： Switch#showrunning-config Buildingconfiguration... ………… interfaceFastEthernet0/1 switchporttrunkallowedvlan1,4,6-8,10-4094 switchportmodetrunk …………计算机网络管理技术全文共130页，当前为第62页。a63计算机网络管理技术在配置文件中我们可以看到我们输入的两条命令： switchporttrunkallowedvlanall switchporttrunkallowedvlanremove2,3,5,9相当于：switchporttrunkallowedvlan1,4,6-8,10-4094。 注意：由于Catalyst2950只支持802.1q的trunk封装类型，所以在对Catalyst2950进行配置时，不需要特别指定trunk的封装类型。计算机网络管理技术全文共130页，当前为第63页。a64计算机网络管理技术9.5实验操作1：VLAN的配置 9.5.1VLAN的创建和删除 9.5.2静态VLAN的划分

9.5.3动态VLAN配置简述 9.5.4验证VLAN的配置计算机网络管理技术全文共130页，当前为第64页。a65计算机网络管理技术9.5.3动态VLAN配置简述 动态VLAN的配置不是本书的重点，因此在这里只作简单介绍，有兴趣的读者，可以去Cisco的网站上搜索与VMPS相关的资料。 动态VLAN由三大部分组成：动态VLAN数据库文件、动态VLAN服务器、动态VLAN客户机，我们只介绍动态VLAN中客户机的配置方法。 在客户机上设置VMPS服务器地址，命令格式为：vmpsserverip-address[primary]，其中primary参数可以将服务器指定为主VMPS服务器，我们最多可以为客户机指定四台VMPS服务器。计算机网络管理技术全文共130页，当前为第65页。a66计算机网络管理技术例15-8利用vmpsserver命令在客户机上设置VMPS服务器地址 Switch(config)#vmpsserverip-address[primary] 接下来的工作就是将交换机的端口配置为动态VLAN，可以在接口配置模式下使用命令：switchportaccessdynamic进行配置。 例15-9在接口配置模式下使用switchportaccessdynamic命令将交换机端口配置为动态VLAN Switch(config)#interfacefa0/1 Switch(config-if)#switchportaccessdynamic计算机网络管理技术全文共130页，当前为第66页。a67计算机网络管理技术9.5实验操作1：VLAN的配置

9.5.1VLAN的创建和删除 9.5.2静态VLAN的划分 9.5.3动态VLAN配置简述

9.5.4验证VLAN的配置计算机网络管理技术全文共130页，当前为第67页。a68计算机网络管理技术9.5.4验证VLAN的配置 在配置了VLAN后，为了保证配置的正确性，需要对VLAN进行校检。在配置VLAN的过程中，也经常需要校检VLAN，以验证每一步的操作是否正确。1．ShowVLAN[idvlan-id] ShowVLAN命令显示了我们所定义的VLAN，以及为每个VLAN所分配的端口和每个VLAN的详细配置（如MTU），该命令的格式为：ShowVLAN[idvlan-id]。计算机网络管理技术全文共130页，当前为第68页。a69计算机网络管理技术 例15-10利用showvlan命令显示已定义的VLANSwitch#shvlanVLANNameStatusPorts

1defaultactiveFa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/11,Fa0/12,Gi0/1,Gi0/220ciscoactiveFa0/1,Fa0/2303comactiveFa0/7,Fa0/8,Fa0/9,Fa0/101002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2

计算机网络管理技术全文共130页，当前为第69页。a70计算机网络管理技术

1enet1000011500-----0020enet1000201500-----0030enet1000301500-----001002fddi1010021500-----001003tr1010031500-----001004fdnet1010041500---ieee-001005trnet1010051500---ibm-00RemoteSPANVLANsPrimarySecondaryTypePorts

Switch#计算机网络管理技术全文共130页，当前为第70页。a71计算机网络管理技术 从输出样例中，我们可以看出VLAN1、1002、1003、1004、1005都是默认存在的，其中VLAN1为默认VLAN、VLAN1002为FDDI预留、1003为令牌环预留、1004为fdnet预留、1005为trnet预留。这些默认VLAN是无法删除的，它们永远存在。 我们也可以指定某个VLAN的号码，让交换机只输出那个VLAN的配置信息。 例15-11利用Showvlan命令只显示某个VALN的信息计算机网络管理技术全文共130页，当前为第71页。a72计算机网络管理技术Switch#shvlanid20VLANNameStatusPorts

20ciscoactiveFa0/1,Fa0/2VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2

20enet1000201500-----00RemoteSPANVLANDisabledPrimarySecondaryTypePorts

计算机网络管理技术全文共130页，当前为第72页。a73计算机网络管理技术2．ShowVLANbrief Showvlanbrief输出了showvlan命令的前半部分，简洁明了的显示了VLAN的配置和端口的分配情况。 例15-12利用Showvlanbrief命令显示VLAN的前半部分信息计算机网络管理技术全文共130页，当前为第73页。a74计算机网络管理技术Switch#shvlanbriefVLANNameStatusPorts

1defaultactiveFa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/11,Fa0/12,Gi0/1,Gi0/220ciscoactiveFa0/1,Fa0/2303comactiveFa0/7,Fa0/8,Fa0/9,Fa0/101002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive计算机网络管理技术全文共130页，当前为第74页。a75计算机网络管理技术3．showVLANsummary Showvlansummary命令简要的输出了VLAN配置的总结信息。 例15-13利用Showvlansummary命令简单显示VLAN的配置信息 Switch#shvlansummary NumberofexistingVLANs:7 NumberofexistingVTPVLANs:7 NumberofexistingextendedVLANs:0计算机网络管理技术全文共130页，当前为第75页。a76计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第76页。a77计算机网络管理技术9.6VTP（VLAN干道协议）的应用和管理 在交换机上使用某个VLAN之前，必须先在本地交换机上创建这个VLAN。如果某个交换机不知道某个VLAN的存在，那么这台交换机就不能在任何端口上传输这个VLAN的流量。因此，我们必须保证网络中所有交换机上的VLAN信息是同步的。 为了保证在整个交换网络中对VLAN的删除、添加、修改等操作的一致性，Cisco开发了VLAN干道协议（VTP）。在一个VTP域内，VTP通过干道链路在交换机之间传送VLAN信息，从而使整个VTP域内交换机的VLAN信息得到同步。计算机网络管理技术全文共130页，当前为第77页。a78计算机网络管理技术 注意：在网络中实现VLAN并不一定要VTP，VTP只是在交换机之间维护一个一致的VLAN信息数据库，但是Cisco建议我们使用VTP协议来让VLAN更容易管理。 VTP信息的作用有些类似前面所讲的网桥冗余链路管理时用到的BPDU，它们都是用于保证所有交换机中某个数据库的一致性。总的说来VTP具有以下优点：·保持整个网络VLAN配置的一致性·对VLAN进行跟踪和监管·方便地添加、删除以及重命名VLAN Cisco公司建议：在交换机上创建VLAN之前，应先建立一个VTP管理域，以使交换机能够检测网络上当前的VLAN。处于同一VTP管理域中的交换机将共享VLAN信息，不同VTP域中交换机不能共享VTP信息。 在CiscoCatalyst系列交换机上，最多可以存在4094个VLAN，VTP只能学习到号码从1~1005间的VLAN的信息。计算机网络管理技术全文共130页，当前为第78页。a79计算机网络管理技术9.6VTP（VLAN干道协议）的应用和管理 9.6.1VTP通告信息 9.6.2VTP的修剪功能及应用计算机网络管理技术全文共130页，当前为第79页。a80计算机网络管理技术9.6.1VTP通告信息 使用VTP时，每台交换机每隔5分钟在其干道链路上以组播形式发送一次VTP通告，并且当VLAN信息发生改变时，交换机也发出VTP通告（触发式更新）。VTP通告信息中主要包含以下内容：· 管理域· 配置版本号· 已知VLAN和它们的详细参数计算机网络管理技术全文共130页，当前为第80页。a81计算机网络管理技术1.VTP管理域 一个VTP域由一台或多台被配置为同一VTP域名的交换设备组成。每台交换机只能属于一个VTP管理域。默认情况下，VTP管理域被设置为没有口令的非安全模式。因此，在用户创建VTP域时，最好为VTP域添加一个口令以使之进入安全模式。我们强烈建议为VTP设置密码，这样可以防止非授权的交换机加入到VTP域内。 VTP存在三种操作模式：· 服务器模式：在VTP服务器模式中，我们可以创建、删除、修改VLAN，也可以为整个VTP域配置其他全局参数（如：VTP版本、允许VTP修剪等）。·客户机模式：VTP客户机接收来自VTP服务器的VLAN配置，并且应用到自身，客户机不能创建、删除和修改VLAN。· 透明模式：处于透明模式的交换机不参与VTP，它不通告自己的VLAN配置也不接收和应用来自其他VTP服务器的配置。但是处于VTP透明模式的交换机可以在干道链路上转发自己收到的VTP通告，以保证其他交换机能够接收到VLAN的更新信息。计算机网络管理技术全文共130页，当前为第81页。a82计算机网络管理技术2．VTP配置版本号 VTP通告中最重要的就是配置版本号。每当VTP服务器修改其VTP数据库时，它将配置版本号加1，然后服务器用新的配置版本号向VTP域内的其他设备发送VTP通告。如果所通告的配置版本号比VTP域中其他设备所存储的配置版本号高，那么那些接收到通告的交换机（客户机模式）将向服务器发出请求，请求收到VLAN的详细配置。 有相同配置版本号的两个VLAN数据库不会互相产生影响，因为交换机认为只要配置版本号一致则数据库一致。VTP域中交换机的VLAN配置始终和拥有最高配置版本号的配置一致。计算机网络管理技术全文共130页，当前为第82页。a83计算机网络管理技术 例如，在图9-12中，管理员在VTP服务器上添加了某个VLAN，VTP服务器自动将配置版本号加1，然后向这个VTP域内的其他交换机发送VTP通告，并且在VTP通告中使用新的配置版本号。当VTP客户机收到这个通告时，它会向服务器发出请求，请求收到新的VTP配置；当被设置为透明模式的交换机收到通告时，它不会对自己的VTP数据库进行更新。计算机网络管理技术全文共130页，当前为第83页。a84计算机网络管理技术9.6VTP（VLAN干道协议）的应用和管理 9.6.1VTP通告信息

9.6.2VTP的修剪功能及应用计算机网络管理技术全文共130页，当前为第84页。a85计算机网络管理技术9.6.2VTP的修剪功能及应用 干道链路为所有的VLAN传输通信量，如果某个交换机上没有处于某个VLAN的端口，在这台交换机的干道链路上依然会泛洪这个VLAN的广播。也就是说，这个交换机的干道链路会传输最终可能被丢弃的数据流。VTP修剪可以提高带宽利用率，限制干道链路的泛洪通信量。 例如，在图9-13中只有交换机Cat-1和Cat-4的端口被划分给VLAN2，当站点B发送广播时，没有必要将这个广播流量泛洪给交换机Cat-3、Cat-5和Cat-6。因此，VLAN2的通信流量将在交换机Cat-4和Cat-2的链路上被修剪。计算机网络管理技术全文共130页，当前为第85页。a86计算机网络管理技术计算机网络管理技术全文共130页，当前为第86页。a87计算机网络管理技术 试想一下，假如交换机Cat-6上也连接着属于VLAN2的主机，那么交换机Cat-4将不能对VLAN2的数据流进行修剪，因为它必须将VLAN2的广播泛洪给交换机Cat-6，如图9-14所示。计算机网络管理技术全文共130页，当前为第87页。a88计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第88页。a89计算机网络管理技术9.7实验操作2：VTP的相关配置 通过前面的介绍，读者已经对VTP的概念和功能有了一定的认识。下面，将详细介绍VTP在Catalyst交换机上的实现方法。计算机网络管理技术全文共130页，当前为第89页。a90计算机网络管理技术9.7实验操作2：VTP的相关配置 9.7.1VTP的基本配置 9.7.2配置VTP修剪的配置 9.7.3校检VTP的配置计算机网络管理技术全文共130页，当前为第90页。a91计算机网络管理技术9.7.1VTP的基本配置 VTP的基本配置主要分以下几步：· 配置VTP操作模式· 创建VTP域并命名· 配置VTP域密码· 选择VTP版本计算机网络管理技术全文共130页，当前为第91页。a92计算机网络管理技术例15-14VTP的基本配置过程 Switch#conft Enterconfigurationcommands,oneperline.End withCNTL/Z. Switch(config)#vtpmodeserver DevicemodealreadyVTPSERVER. Switch(config)#vtpdomaincisco ChangingVTPdomainnamefromNULLtocisco Switch(config)#vtppasswordcisco SettingdeviceVLANdatabasepasswordtocisco. Switch(config)#vtpversion2 Switch(config)#end计算机网络管理技术全文共130页，当前为第92页。a93计算机网络管理技术 表9-7对例15-14中的配置步骤进行了说明。 注意：这里的VTP版本和VTP的配置版本号不是一个概念。VTP总共有两种版本：版本1和版本2，其中版本1是Catalyst交换机的缺省配置，版本2能够提供一些版本1没有的功能，例如对令牌环VLAN的支持等。如果一个VTP域中所有的交换机都支持VTP版本2，我们只需在其中一台交换机上启动版本2，整个域内的交换机就会全部使用VTP版本2。计算机网络管理技术全文共130页，当前为第93页。a94计算机网络管理技术9.7实验操作2：VTP的相关配置

9.7.1VTP的基本配置

9.7.2配置VTP修剪的配置 9.7.3校检VTP的配置计算机网络管理技术全文共130页，当前为第94页。a95计算机网络管理技术9.7.2配置VTP修剪的配置 我们可以使用vtppruning命令在交换机上启动VTP修剪功能。 例15-15利用vtppruning命令启动VTP修剪功能 Switch(config)#vtppruning Pruningswitchedon计算机网络管理技术全文共130页，当前为第95页。a96计算机网络管理技术9.7实验操作2：VTP的相关配置 9.7.1VTP的基本配置 9.7.2配置VTP修剪的配置

9.7.3校检VTP的配置计算机网络管理技术全文共130页，当前为第96页。a97计算机网络管理技术9.7.3校检VTP的配置 校检VTP配置主要使用到两条命令：showvtpstatus和showvtpcounters。（1）showvtpstatus showvtpstatus显示了VTP的版本号、配置版本号、域名、操作模式等信息。下面是一个输出样例。计算机网络管理技术全文共130页，当前为第97页。a98计算机网络管理技术例15-16利用showvtpstatus命令显示VTP的配置信息Switch#shvtpstatusVTPVersion:2ConfigurationRevision:16MaximumVLANssupportedlocally:250NumberofexistingVLANs:7VTPOperatingMode:ServerVTPDomainName:ciscoVTPPruningMode:EnabledVTPV2Mode:EnabledVTPTrapsGeneration:DisabledMD5digest:0x220xA20xE80x000xD40xCE0x790x5EConfigurationlastmodifiedby10.21.9.99at3-1-9305:02:08计算机网络管理技术全文共130页，当前为第98页。a99计算机网络管理技术LocalupdaterIDis10.21.9.99oninterfaceVl1(lowestnumberedVLANinterfacefound)Switch#MD5digest:0x220xA20xE80x000xD40xCE0x790x5EConfigurationlastmodifiedby10.21.9.99at3-1-9305:02:08LocalupdaterIDis10.21.9.99oninterfaceVl1(lowestnumberedVLANinterfacefound)Switch#计算机网络管理技术全文共130页，当前为第99页。a100计算机网络管理技术（2）showvtpcounters 利用showvtpcounters命令可以显示VTP通告数据流的汇总信息。 例15-17利用showvtpcounters命令显示VTP通告数据流的汇总信息 Switch#shvtpcounters VTPstatistics: Summaryadvertisementsreceived:0 Subsetadvertisementsreceived:0 Requestadvertisementsreceived:0 Summaryadvertisementstransmitted:0 Subsetadvertisementstransmitted:0 Requestadvertisementstransmitted:0 Numberofconfigrevisionerrors:0 Numberofconfigdigesterrors:0计算机网络管理技术全文共130页，当前为第100页。a101计算机网络管理技术NumberofV1summaryerrors:0VTPpruningstatistics:TrunkJoinTransmittedJoinReceivedSummaryadvtsreceivedfromnon-pruning-capabledevice

Switch#计算机网络管理技术全文共130页，当前为第101页。a102计算机网络管理技术第9章VLAN管理9.1VLAN的概念9.2VLAN在网络管理中的作用9.3VLAN的实现方式9.4链路类型及管理方法9.5实验操作1：VLAN的配置9.6VTP（VLAN干道协议）的应用和管理9.7实验操作2：VTP的相关配置9.8实验操作3：VLAN应用综合实验计算机网络管理技术全文共130页，当前为第102页。a103计算机网络管理技术9.8实验操作3：VLAN应用综合实验 该实验是一个综合实验，包括了创建VLAN、将交换机端口添加到指定的VLAN，并利用三层交换机实验VLAN之间的通信等。在划分了VLAN后，位于同一VLAN内的不同端口之间是可以通信的，而不同VLAN的端口之间却无法直接通信，即系统默认不同VLAN之间是无法进行通信的。如果要实现不同VLAN之间的通信，需要路由器或三层交换机实现不同VLAN之间的数据转发。计算机网络管理技术全文共130页，当前为第103页。a104计算机网络管理技术9.8实验操作3：VLAN应用综合实验 9.8.1实验概述 9.8.2实验规划 9.8.3实验步骤 9.8.4结果验证计算机网络管理技术全文共130页，当前为第104页。a105计算机网络管理技术9.8.1实验概述 实现VLAN之间的通信，在配置过程中需要同时用到二层和三层设备，在二层上创建VLAN，并将端口添加到指定的VLAN中。在三层设备上创建VLAN后，设置VLAN的IP地址，该IP地址即为该VLAN中所有主机的网关地址。1．实验目的 在本章的实验2和实验3中介绍了VLAN的实现，这两个实验的实质都是基于端口的VLAN（PortVLAN）技术。在基于端口的VLAN中，不同VLAN之间的端口是无法实现通信的。如果要实现不同VLAN之间的通信，一般需要使用路由器或三层交换机，在目前的应用中以三层交换机居多。本实验将通过三层交换机来实现不同VLAN之间的通信。计算机网络管理技术全文共130页，当前为第105页。a106计算机网络管理技术2．实验原理 局域网内的通信是通过数据帧头部的目标主机的MAC地址来完成的。在使用TCP/IP协议的网络中，需要通过ARP地址解析协议来查找某一IP地址对应的MAC地址。而ARP是通过广播报文来实现的，如果广播报文无法到达目的地，那么就无法解析到MAC地址，进而无法直接通信。当计算机分别位于不同的VLAN时，就意味这些计算机分别属于不同的广播域，所以不同VLAN中的计算机由于收不到彼此的广播报文就无法直接互相通信。计算机网络管理技术全文共130页，当前为第106页。a107计算机网络管理技术 为了能够实现VLAN之间通信，需要利用网络层的信息（IP地址）来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机，在实际应用中以三层交换机最为广泛。三层交换机是在二层交换机的基础上集成了三层的路由功能。三层交换机基于“一次路由，多次交换”的特征，在局域网环境中数据转发性能远远高于路由器。而且三层交换机同时具备二层的功能，能够和二层的交换机进行很好的数据转发。三层交换机的以太网接口要比一般的路由器多，更加适合多个局域网段之间的互联。与二层交换机不同，我们可以在三层交换机的端口上设置IP地址。但多数三层交换机的端口在默认情况都属于二层端口，只有开启了路由功能后才能够给该端口配置IP地址。计算机网络管理技术全文共130页，当前为第107页。a108计算机网络管理技术 在三层交换机上实现不同VLAN之间的通信要用到直连路由的概念。所谓直连路由是指在三层设