交换机的工作原理及其配置

冲突域物理上连在一起可能发生冲突的网络分段。一个冲突域的典型特征就是同一时刻只允许一台主机发送数据，否则冲突就会产生。分割或者隔离冲突域的行为称之为分段（segmentation）典型特征：只允许一个主机发送数据广播域广播域是指网段上所有设备的集合，这些设备收听该网络中所有的广播。当网络中一台主机发送广播时，网络上的每个设备必须收听并且处理此广播，即使这个广播对接收它的设备没有任何的帮助!在一个安静的教室中，同学A向所有人大声的说了一句话。他的传播范围称之为广播域。因为他的接收者是所有人。而且广播的另外一个特征是接收者必须听他所说的内容，这是强制的。注：广播的特征除了传播范围面向所有设备外，强制性也是它的特征。路由器工作在的第OSI三层，用来分割广播域，路由器的每个端口连接的网络就是一个单独的广播域。交换机工作在OSI第二层，数据链路层，互联的多个网络仍然属于同一个，也就是说属于同一个广播域。交换机可以分割冲突域，但不能分割广播域。集线器工作在OSI的第一层，连接在集线器上的多个网络上的所有主机即属于同一个冲突域，又属于同一个广播域。集线器会导致网络中的拥塞增加，降低网络带宽的使用率。缩减网络流量

使用路由器，大多数的流量将会被限制在本地网络中，而只有那些被标明发送其他网络的数据包，才会通过路由器。路由器创建了广播域。

广播域的减小，创建的广播域越多，其广播域的规模就越小，并且在每个网络段上流量也就会越低。引言传统的交换机不能够分割广播域，如果A主机发送一个广播，那么下图网络中所有主机都能够收到广播。如果要分割广播域必须使用路由器！！！问题，能否有一种不使用路由器，却能够在交换式网络中限制广播的方法？？？采用VLAN 技术可以分割广播域。即一个VLAN即是一个广播域。在一个VLAN中所有的机器都能够接收到广播，其它的VLAN则不能够接收。就像路由器的一个端口划分一个广播域一样。主机A、C、D在同一个VLAN2中，如果主机A发送一个单播给主机D，C是否能够收到？不能够如果主机A发送一个广播，谁能够收到？C、D均可以VLAN２VLAN技术VLAN（VirtualLocalAreaNetwork）VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制；VLAN有着和普通物理网络同样的属性；第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。VLAN只是分割广播域，不会改变广播、单播的实质。增加了广播域的个数，减少了广播域的大小。VLAN技术1234广播帧广播帧广播域广播域交换机收到广播帧后，只转发到属于同一VLAN的其他端口。隔离的广播域VLAN10VLAN20VLAN30一个VLAN相当于一个逻辑网络（子网）。意味着在一个VLAN中的所有的主机间通信相当于是接在同一个交换机上主机通信一样，通过目的MAC地址就可以了。而在不同VLAN中的主机间通信相当于在不同LAN间通信需要通过路由器选择路由，或者是具有路由功能设备（三层交换机），主机间不能够随意访问，从某种程度上说，增加了网络的安全性。AVLAN=ABroadcastDomain=LogicalNetwork(Subnet)一个VLAN＝一个广播域＝一个逻辑网络（子网）

VLAN与网络管理由于实现了广播域分隔，VLAN可以将广播风暴控制在一个VLAN内部，划分VLAN后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例大大降低，网络性能得到显著提高；不同的VLAN间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络；同时，由于VLAN是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。VLAN具有的功能控制网络广播、提高网络性能；分隔网段、确保网络安全；简化网络管理、提高组网灵活性。VLAN划分方法基于端口的VLAN（Port-Based）基于协议的VLAN（Protocol-Based）基于MAC层分组的VLAN（MAC-LayerGrouping）基于网络层分组的VLAN（Network-LayerGrouping）基于IP组播分组的VLAN（IPMulticastGrouping）基于策略的VLAN（Policy-Based）基于端口的静态VLAN基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法，它实际上是某些交换机端口的集合，网络管理员只需要管理和配置交换机端口，而不管交换机端口连接什么设备；这种划分VLAN的方法是根据以太网交换机的端口来划分的，是目前业界定义VLAN最广泛的方法；IEEE802.1Q规定了这种划分VLAN的国际标准。VLAN的基本配置命令基于端口的VLAN在实现上包括两个步骤：首先启用VLAN（用VLANID标识）；而后将交换机端口指定到相应VLAN下。VLAN的基本配置命令vlan命令语法格式为：vlan

vlan-id该命令执行于全局配置模式下，是进入VLAN配置模式的导航命令。使用该命令的no选项可以删除VLAN：novlan

vlan-id注意：缺省的VLAN（VLAN1）不允许删除。例如启用VLAN10，执行如下：

Switch(config)#vlan10

Switch(config-vlan)#VLAN的基本配置命令switchportaccess命令语法格式为：switchportaccessvlan

vlan-id

noswitchportaccessvlan该命令将端口设置为staticsaccessport，并将它指派为一个VLAN的成员端口；使用该命令的no选项将该端口指派到缺省的VLAN中；switchport缺省模式为access，缺省的VLAN为VLAN1；如果输入的是一个新的VLANID，则交换机会创建一个VLAN，并将该端口设置为该VLAN的成员；如果输入的是已经存在的VLANID，则增加VLAN的成员端口；例如将交换机F0/5端口指定到VLAN10的配置为：

Switch(config)#interfacefastEthernet0/5

Switch(config-if)#switchportaccessvlan10跨交换机的VLAN基于端口的VLAN（PortVLAN）将交换机按照端口的VLANID指定实现了逻辑划分，广播域被限定在相同VLAN的端口集合中，不同VLAN间不能直接通信；当使用多台交换机分别配置VLAN后，可以使用Trunk（干道）方式实现跨交换机的VLAN内部连通，交换机的Trunk端口不隶属于某个VLAN，而是可以承载所有VLAN的帧。跨交换机的VLAN

Trunk

FastEthernetSwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN这种实现跨交换机的VLAN技术在早期使用帧过滤，而目前的国际标准规定采用帧标记。网络管理的逻辑结构可以完全不受实际物理连接的限制，极大地提高了组网的灵活性。何谓TRUNKTrunk是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯；其中交换机之间互联用的端口就称为Trunk端口。访问链路：VLAN中每个主机接入到交换机的链路，该链路上传输的数据不携带VLAN标识。中继链路：需要同时承载多个VLAN数据的链路，如交换机间、交换机与路由器间有多个VLAN需要区分的链路。问题，一个主机接入到中继端口，能否通信？？在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。VLAN帧标识帧的格式分为两种：ISL：Inter-Switchlink，是Cisco交换机独有的协议IEEE802.1Q：是国际标准协议，被几乎所有的网络设备生产商所共同支持；frametagging(帧标记)实现原理:在每个帧被转发穿越网络中继链路（网络骨干networkbackbone）时，帧标记在每个帧的头部设置唯一的标识符。当帧离开中继链路时，交换机会在帧被传输到目的终端之前，删除这个标识符。帧标记的工作原理SRCDESSRCDataDESDESSRCFCSFCSDESSRCFCSVLANIDAB交换机1交换机2默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据；传输多个VLAN的信息；实现同一VLAN跨越不同的交换机。IEEE802.1Q标准1996年3月，IEEE802.1InternetWorking委员会结束了对VLAN初期标准的修订工作；统一了Frame-Tagging（帧标记）方式中不同厂商的标签格式，制定IEEE802.1QVLAN标准，进一步完善了VLAN的体系结构；802.1Q定义了VLAN的桥接规则，能够正确识别VLAN的帧格式，更好地支持多媒体应用；它为以太网提供了更好服务质量（QOS）保证和安全的能力。IEEE802.1Q标准IEEE802.1Q使用4Byte的标记头来定义Tag（标记）；Tag头中包括2Byte的VPID（VLANProtocolIdentifier）和2Byte的VCI（VLANControlInformation）。

IEEE802.1QTagVLAN基于802.1QTagVLAN用VID来划分不同VLAN，当数据帧通过交换机的时候，交换机根据数据帧中Tag的VID信息来识别它们所在的VLAN（若帧中无Tag头，则应用帧所通过端口的默认VID来识别它们所在的VLAN）；这使得所有属于该VLAN的数据帧，不管是单播帧、组播帧还是广播帧，都将被限制在该逻辑VLAN中传输。当使用多台交换机分别配置VLAN后，可以使用Trunk方式实现跨交换机的VLAN内部连通，交换机的Trunk端口不隶属于某个VLAN，而是可以承载所有VLAN的帧；Tag端口和Access端口PortVLAN和TagVLAN

在VLAN配置中，我们使用switchportmode命令来指定一个二层接口（switchport）的模式，可以指定该接口为accessport或者为trunkport。使用该命令的no选项将该接口的模式恢复为缺省值（access）。其命令执行在接口模式下，语法格式如下：

switchportmode{access|trunk} noswitchportmodePortVLAN和TagVLAN如果一个switchport的模式是access，则该接口只能为一个VLAN的成员；可以使用switchportaccessvlan命令指定该接口是哪一个VLAN的成员，这种接口又称为PortVLAN；如果一个switchport的模式是trunk，则该接口可以是多个VLAN的成员，这种配置被称为TagVLAN。Trunk接口默认可以传输本交换机支持的所有VLAN（1～4094），但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个trunk口。在Trunk口修改许可VLAN列表的命令如下：switchporttrunkallowedvlan{all|[add|remove|except]vlan-list}

跨交换机的VLAN划分实例假设，计算机PC1和PC3属于教务处，PC2和PC4属于财务处，PC1和PC2连接在S2126-1上，PC3和PC4连接在S2126-2上，而两个部门要求互相隔离，本实验的目的是实现跨两台交换机将不同端口划归不同的VLAN。跨交换机的VLAN划分实例步骤一：配置

（1）在交换机S2126G-1上创建Vlan10，并将F0/1端口划分到Vlan10中。S2126G-1>en14Password:S2126G-1#configureterminalS2126G-1(config)#vlan10S2126G-1(config-vlan)#namecaiwuchuS2126G-1(config)#interfacefastEthernet0/1S2126G-1(config-if)#switchportaccessvlan10S2126G-1#showvlanid10VLANNameStatusPorts--------------------------------------------------------10salesactiveFa0/1（2）在交换机S2126G-1上创建Vlan20，并将F0/2端口划分到Vlan20中。S2126G-1#configure

terminalS2126G-1(config)#vlan20S2126G-1(config-vlan)#namejiaowuchuS2126G-1(config)#interfacefastEthernet0/2S2126G-1(config-if)#switchportaccessvlan20S2126G-1#showvlanid20VLANNameStatusPorts----------------------------------------------------20technicalactiveFa0/2步骤一：配置（3）在交换机S2126G-2上创建Vlan10，并将F0/1端口划分到Vlan10中。S2126G-2#configureterminalS2126G-2(config)#vlan10S2126G-2(config-vlan)#namecaiwuchuS2126G-2(config)#interfacefastEthernet0/1S2126G-2(config-if)#switchportaccessvlan10S2126G-2#showvlanid10VLANNameStatusPorts--------------------------------------------------------10salesactiveFa0/1步骤一：配置步骤一：配置（4）在交换机S2126G-2上创建Vlan20，并将F0/2端口划分到Vlan20中。S2126G-2#configureterminalS2126G-2(config)#vlan20S2126G-2(config-vlan)#namejiaowuchuS2126G-2(config)#interfacefastEthernet0/2S2126G-2(config-if)#switchportaccessvlan20S2126G-2#showvlanid20VLANNameStatusPorts----------------------------------------------------20technicalactiveFa0/2步骤一：配置（5）把S2126G-1和S2126G-2相连的端口F0/6定义为tagvlan模式S2126G-1#configureterminalS2126G-1(config)#interfacefastEthernet0/6S2126G-1(config-if)#switchportmodetrunkS2126G-1#show

interfacesfastEthernet0/6switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists----------------------------------------------------------Fa0/6EnabledTrunk11DisabledAll步骤一：配置（6）把S2126G-2端口F0/6定义为tagvlan模式S2126G-2#configure

terminalS2126G-2(config)#interfacefastEthernet0/6S2126G-2(config-if)#switchportmodetrunkS2126G-2#showinterfacesfastEthernet0/6switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists--------------------------------------------------------Fa0/6EnabledTrunk11DisabledAll（7）显示总的配置结果。S2126G-2#showvlanS2126G-2#showrunning步骤二：验证

（1）按照拓扑图连接交换机与验证机

连接交换机,接入验证机：将两台交换机的TRUNK（F0/6）口用直连线相连，将PC1、PC2、PC3、PC4四台验证机按照拓扑规划图，接入交换机的向应端口。验证机所设置的IP地址分别设为：0、0、0、0，24位子网掩码。（2）验证PC1和PC3能互相通信，PC2和PC4能互相通信;但是PC2和PC3不能互相通信步骤二：验证

PC1PingPC3

C:\>ping0Pinging0with32bytesofdata:Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Pingstatisticsfor0:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms验证结论：PC1与PC3能互相通信；步骤二：验证

PC2PingPC4

C:\>ping0Pinging0with32bytesofdata:Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Replyfrom0:bytes=32time<10msTTL=128Pingstatisticsfor0:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms验证结论：PC2与PC4能互相通信；验证动画效果步骤二：验证

PC2PingPC3C:\>ping0Pinging0with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor0:Packets:Sent=4,Received=0,Lost=4(100%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms验证结论：PC2与PC3不通，因为进行了VLAN隔离。验证动画效果实验结论通过验证，可以得到结论：在同一VLAN10内的验证机PC1与PC3是连通的，同一VLAN20内的验证机PC2与PC4也是连通的；而PC1与PC4、PC2与PC3之间是不通的，因为他们属于不同的两个VLAN。这说明，VLAN创建以后，起到了隔离广播域的作用！VLAN间的路由VLAN间的路由VLAN之间的路由可以认为是不同网段之间的路由，因此，从原理上讲，凡是具有路由功能的软硬件设备均可担任VLAN之间的互连任务。实际在工程中常用的是下面的两种解决方案：三层交换机（交换机的虚拟接口）和单臂路由。交换机的虚拟接口（SwitchVirtualInterface）是一种第3层接口，它是为多层交换机上完成VLAN间路由选择而配置的接口。SVI是一种与VLANID相关联的虚拟VLAN接口，目的在于启用该VLAN上的路由选择功能。三层交换以CiscoCatalyst3550为例讲述三层交换的配置方法。图3-20三层交换拓扑结构三层交换如图3-20所示，假设在交换机内划分了3个VLAN，分别名为Teaching、Finance、Research，利用Catalyst3550-EMI三层交换机实现VLAN间路由。三层交换配置如下：switch>enableswitch#configtermswitch(config)#hostnameC3550C3550(config)#enablesecretciscoC3550(config)#vlan2C3550(config-vlan)#nameTeachingC3550(config-vlan)#vlan3C3550(config-vlan)#nameFinanceC3550(config-vlan)#vlan4C3550(config-vlan)#nameResearchC3550(config-vlan)#exitC3550(config)#interfacerangef0/1-4三层交换C3550(config-if)#switchportmodeaccessC3550(config-if)#switchportaccessvlan2C3550(config-if)#interfacerangef0/5-8C3550(config-if)#switchportmodeaccessC3550(config-if)#switchportaccessvlan3C3550(config-if)#interfacerangef0/9-12C3550(config-if)#switchportmodeaccessC3550(config-if)#switchportaccessvlan4C3550(config-if)#exitC3550(config)#interfacevlan2C3550(config-if)#noshutdownC3550(config-if)#ipaddress54三层交换C3550(config-if)#interfacevlan3C3550(config-if)#noshutdownC3550(config-if)#ipaddress54C3550(config-if)#interfacevlan4C3550(config-if)#noshutdownC3550(config-if)#ipaddress54C3550(config-if)#exitC3550(config)#iproutingC3550#copyrunning-configstartup-config三层交换sh

iproute命令可以查看路由表，启用了路由之后，应该可以看到类似如下的信息：Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexterna