3.2 实验1静态路由

3.2实验1:静态路由1.路由器上配置IP地址R1(config)#intloopback0//环形网络R1(config-if)#ipaddressR1(config)#ints0/0/0//接口R1(config-if)#ipaddressR1(config-if)#noshutdown时钟R2(config)#ints0/0/0R2(config-if)#clockrate1280002.配置静态路由R1(config)#iproutes0/0/0（）//最好不要用接口形式//下一跳为接口形式，s0/0/0是点对点的链路，注意应该是R1上的s0/0/0接口R1(config)#iproute//下一跳为IP地址形式，是R2上的IP地址3.在R1、R2、R3上查看路由表R1#showiproute从各路由器的环回口ping其他路由器的环回口：R1#ping虽然从R1的loopback0可以ping通R3的loopback0，数据需要经过/24网络，但是在R1上我们并没有添加/24的路由。路由器转发数据包完成是根据路由表的，并且数据是一跳一跳地被转发的，就像接力赛似的。从R1的loopback0口pingR3的loopback0口时，IP数据包的源IP为，目的IP为。R1路由器首先查路由表，数据包被发到了R2；R2路由器也查路由表（/24路由），数据包被发到了R3；R3知道这是直连路由。R3响应R1的数据包进行类似的过程。删除原有静态路由R1(config)#noiprouteSerial0/0/0配置默认路由R1(config)#iproutes0/0/0网络邻居广播（RIPv1）或组播（RIPv2）路由更新RIPv1和RIPv2的区别RIPv1RIPv2在路由更新的过程中不携带子网信息在路由更新的过程中携带子网信息不提供认证提供明文和MD5认证不支持VLSM和CIDR支持VLSM和CIDR采用广播更新采用组播（）更新有类别（Classful）路由协议无类别（Classless）路由协议4.2.1实验1：RIPv1基本配置配置路由器R1R1(config)#routerrip//启动RIP进程R1(config-router)#version1//配置RIP版本1R1(config-router)#network//通告网络R1(config-router)#networkshowiproute该命令用来查看路由表。R/8[120/3]via,00:00:03,Serial0/0/0R/24[120/1]via,00:00:03,Serial0/0/0R/24[120/2]via,00:00:03,Serial0/0/0以上输出表明路由器R1学到了3条RIP路由，其中路由条目“R/8[120/3]via,00:00:03,Serial0/0/0”①R：路由条目是通过RIP路由协议学习来的；②/8：目的网络；③120：RIP路由协议的默认管理距离；④3:度量值，从路由器R1到达网络/8的度量值为3跳；⑤：下一跳地址；⑥00:00:03：距离下一次更新还有27（30-3）秒；⑦Serial0/0/0：接收该路由条目的本路由器的接口。同时通过该路由条目的掩码长度可以看到，RIPv1确实不传递子网信息。showipprotocols该命令查看IP路由协议配置和统计信息。debugiprip该命令可以查看RIP路由协议的动态更新过程。R1#cleariproute*R1#debugiprip通过以上输出，可以看到RIPv1采用广播更新（55）,分别向Loopback0和s0/0/0发送路由更新，同时从s0/0/0接收三条路由更新，分别是，度量值是3跳；,度量值是2跳；，度量值是1跳。4.3.1实验4：RIPv2配置路由器R1R1(config)#routerripR1(config-router)#version2R1(config-router)#noauto-summaryR1(config-router)#networkR1(config-router)#networkshowiprouteR1#showiprouteR/24[120/3]via,00:00:22,Serial0/0/0R/24[120/1]via,00:00:22,Serial0/0/0R/24[120/2]via,00:00:22,Serial0/0/0从上面输出的路由条目“/24”，可以看到RIPv2路由更新是携带子网信息的。showipprotocolsR1#showipprotocolsOSPF（OpenShortestPathFirst,开放最短链路优先）路由协议是典型的链路状态路由协议。OSPF作为一种内部网关协议（InteriorGatewayProtocol，IGP），用于在同一个自治系统（AS）中的路由器之间交换路由信息。OSPF将网络划分为四种类型：广播多路访问型（BMA）、非广播多路访问型（NBMA）、点到点型（Point-to-Point）、点到多点型（Point-to-MultiPoint）。6.2实验1:点到点链路上的OSPF配置路由器R1R1(config)#routerospf1R1(config-router)#router-idR1(config-router)#networkarea0R1(config-router)#networkarea0showiprouteR2#showiproute输出结果表明同一个区域内通过OSPF路由协议学习的路由条目用代码“O”表示。showipprotocolsR2#showipprotocolsshowipospf该命令显示OSPF进程及区域的细节，如路由器运行SPF算法的次数等。R2#showipospf1showipospfinterfaceR2#showipospfinterfaces0/0/0showipospfneighborR2#showipospfneighborNeighborIDPri0FULL/-00:00:35Serial0/0/0FULL/-00:00:38Serial0/0/0以上输出表明路由器R2有两个邻居，它们的路由器ID分别为和,其它参数解释如下：①Pri：邻居路由器接口的优先级；②State：当前邻居路由器接口的状态；③DeadTime：清除邻居关系前等待的最长时间；④Address：邻居接口的地址；⑤Interface：自己和邻居路由器相连接口；⑥“-”：表示点到点的链路上OSPF不进行DR选举。showipospfdatabaseR2#showipospfdatabaseOSPFRouterwithID()(ProcessID1)RouterLinkStates(Area0)LinkIDADVRouterAgeSeq#ChecksumLinkcount2400x800000050x00BA3513080x800000080x00D7C13100x800000070x00282D440x800000040x009AFE3以上输出是R2的区域0的拓扑结构数据库的信息，标题行的解释如下：①LinkID：是指LinkStateID,代表整个路由器，而不是某个链路；②ADVRouter：是指通告链路状态信息的路由器ID；③Age：老化时间；④Seq#：序列号；⑤Checksum：校验和；⑥Linkcount：通告路由器在本区域内的链路数目。6.3实验2:广播多路访问链路上的OSPF配置路由器R1R1(config)#routerospf1R1(config-router)#router-idR1(config-router)#networkarea0R1(config-router)#networkarea0R1(config-router)#auto-costreference-bandwidth1000“auto-costreference-bandwidth”命令是修改参考带宽的//这里默认showipospfneighborR1#showipospfneighborNeighborIDPri1FULL/BDR00:00:37GigabitEthernet0/01FULL/DROTHER00:00:37GigabitEthernet0/01FULL/DROTHER00:00:34GigabitEthernet0/0以上输出表明在该广播多路访问网络中，R1是DR,R2是BDR,R3和R4为DROTHER。（1）为了避免路由器之间建立完全邻接关系而引起的大量开销，OSPF要求在多路访问的网络中选举一个DR，每个路由器都与之建立邻接关系。选举DR的同时也选举出一个BDR，在DR失效的时候，BDR担负起DR的职责，而且所有其它路由器只与DR和BDR建立邻接关系；（2）DR和BDR有它们自己的组播地址；（3）DR和BDR的选举是以各个网络为基础的，也就是说DR和BDR选举是一个路由器的接口特性，而不是整个路由器的特性；重新选举DR的方法有两种，一是路由器重新启动，二是执行“clearipospfprocess”命令showipospfinterface分别在路由器R1和R4上执行该命令：R1#showipospfinterfaceg0/0从上面的路由器R1和R4的输出得知，邻居关系和邻接关系是不能混为一谈的，邻居关系是指达到2WAY状态的两台路由器，而邻接关系是指达到FULL状态的两台路由器。debugipospfadj该命令显示OSPF邻接关系创建或中断的过程。R2#debugipospfadjOSPFadjacencyeventsdebuggingisonR2#clearipospfprocessResetALLOSPFprocesses?[no]:y输出表明：DR重新选举的过程和结果自动配置IP地址。DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）。DHCP服务器能够从预先设置的IP地址池里自动给主机分配IP地址，它不仅能够保证IP地址不重复分配，也能及时回收IP地址以提高IP地址的利用率。在动态IP地址的方案中，每台计算机并不设定固定的IP地址，而是在计算机开机时才被分配一个IP地址，这台计算机被称为DHCP客户端。而负责给DHCP客户端分配IP地址的计算机称为DHCP服务器。也就是说DHCP是采用客户/服务器(Client/Server)模式，有明确的客户端和服务器角色的划分。10.2实验1：DHCP基本配置1.配置路由器R1提供DHCP服务R1(config)#servicedhcp//开启DHCP服务//默认打开，不用写R1(config)#noipdhcpconflictlogging//关闭DHCP冲突日志//默认打开，不用写R1(config)#ipdhcppoolccie//定义地址池R1(dhcp-config)#network//DHCP服务器要分配的网络和掩码R1(dhcp-config)#default-router//默认网关，这个地址要和相应网络所连接的路由器的以太口地址相同R1(dhcp-config)#dns-server//DNS服务器R1(dhcp-config)#option150ip//TFTP服务器R1(config)#ipdhcpexcluded-address//排除的地址段2.设置windows客户端首先在Windows下把TCP/IP地址设置为自动获得（如图10-2所示），如果DHCP服务器还提供DNS、WINS等，也把它们设置为自动获得在客户端测试C:\>ipconfigshowipdhcppool该命令用来查看DHCP地址池的信息。R1#showipdhcppoolshowipdhcpbinding该命令用来查看DHCP的地址绑定情况。R1#showipdhcpbinding10.3实验2：DHCP中继本实验中，R1仍然担任DHCP服务器的角色，负责向PC1所在网络和PC2所在网络的主机动态分配IP地址，所以R1上需要定义两个地址池。整个网络运行RIPv2协议，确保网络IP连通性。1.配置路由器R1提供DHCP服务R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#routerripR1(config-router)#version2R1(config-router)#noauto-summaryR1(config-router)#networkR1(config-router)#networkR1(config)#ipdhcppoolccie//定义第一个地址池R1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-serverR1(dhcp-config)#option150ipR1(config)#ipdhcpexcluded-address2.配置路由器R2R2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddressR2(config-if)#iphelper-address//配置帮助地址R2(config-if)#noshutdownR2(config)#routerripR2(config-router)#version2R2(config-router)#noauto-summaryR2(config-router)#networkR2(config-router)#network通过使用帮助地址，路由器可以被配置为接受对UDP服务的广播请求，然后将之以单点传送的方式发给某个具体的IP地址，或者以定向广播的形式向某个网段转发这些请求，这就是中继。showipdhcpbinding在PC1和PC2上自动获取IP地址后，在R1上执行：R1#showipdhcpbinding以上输出表明两个地址池都为相应的网络上的主机分配了IP地址。showipinterfaceR2#showipinterfacegigabitEthernet0/0NAT技术使得一个私有网络可以通过Internet注册IP连接到外部世界，位于Inside网络和Outside网络中的NAT路由器在发送数据包之前，负责把内部IP地址翻译成外部合法IP地址。NAT将每个局域网节点的IP地址转换成一个合法IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，对内部网络设备起到保护的作用，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。NAT有三种类型：静态NAT、动态NAT和端口地址转换（PAT）静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。动态NAT首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。动态NAT是动态一对一的映射。PAT则是把内部地址映射到外部网络的IP地址的不同端口上,从而可以实现多对一的映射。PAT对于节省IP地址是最为有效的。11.2实验1：静态NAT配置配置路由器R1提供NAT服务R1(config)#ipnatinsidesourcestatic//配置静态NAT映射R1(config)#ipnatinsidesourcestaticR1(config)#interfaceg0/0R1(config-if)#ipnatinside//配置NAT内部接口R1(config)#interfaces0/0/0R1(config-if)#ipnatoutside//配置NAT外部接口R1(config)#routerripR1(config-router)#version2R1(config-router)#noauto-summaryR1(config-router)#networkdebugipnat该命令可以查看地址翻译的过程。在PC1和PC2上Ping（路由器R2的环回接口），此时应该是通的，路由器R1的输出信息如下：R1#debugipnatR1#debugipnat*Mar402:02:12.779:NAT*:s=->,d=[20240]*Mar402:02:12.791:NAT*:s=,d=->[14435]......*Mar402:02:25.563:NAT*:s=->,d=[25]*Mar402:02:25.579:NAT*:s=,d=->[25]......以上输出表明了NAT的转换过程。首先把私有地址“”和“192.168.分别转换成公网地址“”和“”访问地址“”，然后回来的时候把公网地址“”和“202.96.“”showipnattranslations该命令用来查看NAT表。静态映射时，NAT表一直存在。R1#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal------------------以上输出表明了内部全局地址和内部局部地址的对应关系。①内部局部（insidelocal）地址：在内部网络使用的地址，往往是RFC1918地址；②内部全局（insideglobal）地址：用来代替一个或多个本地IP地址的、对外的、向NIC注册过的地址；③外部局部（outsidelocal）地址：一个外部主机相对于内部网络所用的IP地址。不一定是合法的地址；④外部全局（outsideglobal）地址：外部网络主机的合法IP地址。11.3实验2：动态NAT配置路由器R1提供NAT服务R1(config)#ipnatpoolNAT00netmask//配置动态NAT转换的地址池R1(config)#ipnatinsidesourcelist1poolNAT//配置动态NAT映射R1(config)#access-list1permit55//允许动态NAT转换的内部地址范围R1(config)#interfaceg0/0R1(config-if)#ipnatinsideR1(config-if)#interfaces0/0/0R1(config-if)#ipnatoutside在PC1上访问（路由器R2的环回接口）的WWW服务，在PC2上分别telnet和ping（路由器R2的环回接口），调试结果如下：（1）debugipnatR1#debugipnatIPNATdebuggingisonR1#clearipnattranslation*//清除动态NAT表showipnattranslationsR1#showipnattranslations以上信息表明当PC1和PC2第一次访问“”地址的时候,NAT路由器R1为主机PC1和PC2动态分配两个全局地址“”和“”，在NAT表表中生成两条动态映射的记录，同时会在NAT表中生成和应用向对应的协议和端口号的记录（过期时间为60秒）。在动态映射没有过期（过期时间为86400秒）之前，再有应用从相同主机发起时，NATshowipnatstatistics该命令用来查看NAT转换的统计信息。R1#showipnatstatistics11.4实验3：PAT配置配置路由器R1提供NAT服务R1(config)#ipnatpoolNAT00netmaskR1(config)#ipnatinsidesourcelist1poolNAToverload//配置PATR1(config)#access-list1permit55R1(config)#interfaceg0/0R1(config-if)#ipnatinsideR1(config-if)#interfaces0/0R1(config-if)#ipnatoutside在PC1上访问（路由器R2的环回接口）的WWW服务，在PC2上分别telnet和ping（路由器R2的环回接口），调试结果如下：debugipnatshowipnattranslationsR1#showipnattranslations以上输出表明进行PAT转换使用的是同一个IP地址的不同端口号。showipnatstatistics交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。交换机是第二层的设备，可以隔离冲突域交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作。交换机的作用主要有这么两个：一个是维护CAM（ContextAddressMemory）表，该表是MAC地址和交换机端口的映射表；另一个是根据CAM来进行数据帧的转发。12.3实验2:交换机端口安全交换机端口安全特性，可以让我们配置交换机端口，使得非法的MAC地址的设备接入时，交换机自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。我们这里限制f0/1接口只允许R1接入。检查R1的g0/0接口的MAC地址R1(config)#intg0/0R1(config-if)#noshutdownR1(config-if)#ipaddress01R1#showintg0/0GigabitEthernet0/0isup,lineprotocolisupHardwareisMV96340Ethernet,addressis0019.5535.b828(bia0019.5535.b828)//这里可以看到g0/0接口的MAC地址，记下它配置交换机端口安全S1(config)#intf0/1S1(config-if)#shutdownS1(config-if)#switchmodeaccess//以上命令把端口改为访问模式，即用来接入计算机，在下一章详细介绍该命令的含义。S1(config-if)#switchport-security//以上命令是打开交换机的端口安全功能。S1(config-if)#switchport-securitymaximum1S1(config-if)#switchportport-securitymac-address0019.5535.b828//允许R1路由器从f0/1接口接入S1(config-if)#noshutdownS1(config)#intvlan1S1(config-if)#noshutdownS1(config-if)#ipaddress//以上配置交换机的管理地址检查MAC地址表S1#showmacaddress-tableMacAddressTable-------------------------------------------（此处省略）VlanMacAddressTypePorts----------------------------All0100.0ccc.ccccSTATICCPU10018.ba11.eb91DYNAMICFa0/1510019.5535.b828STATICFa0/1TotalMacAddressesforthiscriterion:24//R1的MAC已经被登记在f0/1接口，并且表明是静态加入的模拟非法接入这时从R1ping交换机的管理地址，可以ping通R1(config)#intg0/0R1(config-if)#mac-address12.12.12几秒钟后，则在S1上，出现：01:09:39:%PM-4-ERR_DISABLE:psecure-violationerrordetectedonFa0/1,puttingFa0/1inerr-disablestate01:09:39:%PORT_SECURITY-2-PSECURE_VIOLATION:Securityviolationoccurred,causedbyMACaddress0012.0012.0012onportFastEthernet0/1.01:09:40:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown//以上提示f0/1接口被关闭S1#showintf0/1//以上表明f0/1接口因为错误而被关闭。非法设备移除后，在f0/1接口下，执行“shutdown”和“noshutdown”命令可以重新打开该接口。S1#showport-security可以查看端口安全的设置情况有了VLAN，交换机之间的级联链路就需要Trunk技术来保证该链路可以同时传输多个VLAN的数据。VLAN虚拟局域网VLAN(VirtualLAN)是交换机端口的逻辑组合。VLAN工作在OSI的第2层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。Trunk当一个VLAN跨过不同的交换机时，在同一VLAN上但是却是在不同的交换机上的计算机进行通信时需要使用Trunk。Trunk技术使得在一条物理线路上可以传送多个VLAN的信息，交换机从属于某一VLAN（例如VLAN3）的端口接收到数据，在Trunk链路上进行传输前，会加上一个标记，表明该数据是VLAN3的；到了对方交换机，交换机会把该标记去掉，只发送到属于VLAN3的端口上。Cisco交换机之间的链路是否形成Trunk是可以自动协商，这个协议称为DTP（DynamicTrunkProtocol），DTP还可以协商Trunk链路的封装类型。VTPVTP（VLANTrunkProtocol）提供了一种用于在交换机上管理VLAN的方法，该协议使得我们可以一个或者几个中央点（Server）上创建、修改、删除VLAN，VLAN信息通过Trunk链路自动扩散到其他交换机，任何参与VTP的交换机就可以接受这些修改，所有交换机保持相同的VLAN信息。根据交换机在VTP域中的作用不同，VTP可以分为三种模式：（1）服务器模式(Server)：在VTP服务器上能创建、修改、删除VLAN，同时这些信息会通告给域中的其他交换机。默认情况下，交换机是服务器模式。每个VTP域必须至少有一台服务器，域中的VTP服务器可以有多台。（2）客户机模式(Client)：VTP客户机上不允许创建、修改、删除VLAN，但它会监听来自其他交换机的VTP通告并更改自己的VLAN信息。接收到的VTP信息也会在Trunk链路上向其他交换机转发，因此这种交换机还能充当VTP中继。（3）透明模式(Transparent)：这种模式的交换机不参与VTP。可以在这种模式的交换机上创建、修改、删除VLAN，但是这些VLAN信息并不会通告给其他交换机，它也不接受其他交换机的VTP通告而更新自己的VLAN信息。然而需要注意的是，它会通过Trunk链路转发接收到的VTP通告从而充当了VTP中继的角色，因此完全可以把该交换机看成是透明的。VTP通告是以组播帧的方式发送的，VTP通告中有一个字段称为修订号（Revision），初始值为0。只要在VTPServer上创建、修改、删除VLAN，通告的Revision就增加1，通告中还包含了VLAN的变化信息。需要注意的是：高Revision的通告会覆盖低Revision的通告，而不管谁是Server还是Client。交换机只接受比本地保存的Resivison号更高的通告；如果交换机收到Resivison号更低的通告，会用自己的VLAN信息反向覆盖。EtherChannelEtherChannel（以太通道）是由Cisco公司开发的，应用于交换机之间的多链路捆绑技术。它的基本原理是：将两个设备间多条快速以太或千兆以太物理链路捆绑在一起组成一条逻辑链路，从而达到带宽倍增的目的。除了增加带宽外，EtherChannel还可以在多条链路上均衡分配流量，起到负载分担的作用；在一条或多条链路故障时，只要还有链路正常，流量将转移到其他的链路上，整个过程在几毫秒内完成，从而起到冗余的作用，增强了网络的稳定性和安全性。13.2实验1:划分VLAN要配置VLAN，首先要先创建VLAN，然后才把交换机的端口划分到特定的端口上：(1)步骤1：在划分VLAN前，配置R1和R2路由器的g0/0接口，从R1ping。默认时，交换机的全部接口都在VLAN1上，R1和R2应该能够通信；(2)步骤2：在S1上创建VLANS1#vlandatabase//进入到VLAN配置模式S1(vlan)#vlan2nameVLAN2VLAN2added:Name:VLAN2//以上创建vlan,2就是vlan的编号，VLAN号的范围为1～1001，VLAN2是该VLAN的名字：S1(vlan)#vlan3nameVLAN3VLAN3added:Name:VLAN3S1(vlan)#exitAPPLYcompleted.Exiting....//退出VLAN模式，创建的VLAN立即生效（或者新的IOS版本中，可以在全局配置模式中创建VLAN，如下：S1(config)#vlan2S1(config-vlan)#nameVLAN2S1(config-vlan)#exitS1(config)#vlan3S1(config-vlan)#nameVLAN3）步骤3：把端口划分在VLAN中S1(config)#interfacef0/1S1(config-if)#switchmodeaccess//以上把交换机端口的模式改为access模式，说明该端口是用于连接计算机的，而不是用于trunkS1(config-if)#switchaccessvlan2//然后把该端口f0/1划分到VLAN2中S1(config)#interfacef0/2S1(config-if)#switchmodeaccessS1(config-if)#switchaccessvlan3如果要删除VLAN，使用“novlan2”命令即可。删除某一VLAN后，要记得把该VLAN上的端口重新划分到别的VLAN上，否则将导致端口的“消失”查看VLANSW1#showvlan2VLAN2active3VLAN3active//在交换上，VLAN1是默认VLAN，不能删除，也不能改名。此外还有1002、1003等VLAN的存在。VLAN间的通信由于f0/1和f0/2属于不同的VLAN，从R1ping应该不能成功了。13.2实验2:trunk配置根据实验1的步骤在S2上创建VLAN，并把接口划分在图13-3所示的VLAN中（2）配置trunk：S1(config)#intf0/13S1(config-if)#switchporttrunkencapsulationdot1q//以上是配置trunk链路的封装类型，同一链路的两端封装要相同。有的交换机，例如2950只能封装dot1q，因此无需执行该命令。S1(config-if)#switchmodetrunk//以上是把接口配置为trunkS2(config)#intf0/13S2(config-if)#switchporttrunkencanpsulationdot1qS2(config-if)#switchmodetrunk（3）检查trunk链路的状态，测试跨交换机、同一VLAN主机间的通信使用“showinterfacetrunk”可以查看交换机端口的trunk状态，如下：PortModeEncapsulationStatusNativevlanFa0/13on802.1qtrunking1//f0/13接口已经为trunk链路了，封装为802.1q需要在链路的两端都确认trunk的形成。测试R1和R3、R2和R4之间的通信。由于R1和R3在同一VLAN，所以R1应该能ping通R3。（4）配置NativeVLAN：S1(config)#intf0/13S1(config-if)#switchporttrunknativevlan2//以上是在Trunk链路上配置NativeVLAN，我们把它改为VLAN2了，默认是VLAN1。S2(config)#intf0/13S2(config-if)#switchporttrunknativevlan2S1#showinterfacetrunkPortModeEncapsulationStatusNativevlanFa0/13on802.1qtrunking2//可以查看trunk链路的NativeVLAN改为2了。13.4实验3:VTP配置（1）把三台交换机的配置清除干净，重启交换机//实际因为是新选的交换机不需要这一步S1#deleteflash:vlan.datS1#erasestartup-configS1#reload（2）检查S1和S3之间、S3和S2之间链路trunk是否自动形成，如果没有请参照实验2步骤配置trunk（3）配置S1为VTPserverS1(config)#vtpmodeserverDevicemodealreadyVTPSERVER.//以上配置S1为VTPserver，实际上这是默认值S1(config)#vtpdomainVTP-TESTChangingVTPdomainnamefromNULLtoVTP-TEST//以上配置VTP域名S1(config)#vtppasswordciscoSettingdeviceVLANdatabasepasswordtocisco//以上配置VTP的密码，目的是为了安全，防止不明身份的交换机加入到域中（4）配置S3为VTPtransparentS3#vlandatabaseS3(vlan)#vtptransparentSettingdevicetoVTPTRANSPARENTmode.S3(vlan)#vtpdomainVTP-TESTDomainnamealreadysettoVTP-TEST.S3(vlan)#vtppasswordciscoSettingdeviceVLANdatabasepasswordtocisco.（5）配置S2为VTPclientS2(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.S2(config)#vtpdomainVTP-TESTDomainnamealreadysettoVTP-TEST.S2(config)#vtppasswordcisco在S1上创建VLAN，检查S2、S3上的VLAN信息S1(config)#vlan2S1(config)#vlan3（S1(config)#vlan2S1(config-vlan)#nameVLAN2S1(config-vlan)#exitS1(config)#vlan3S1(config-vlan)#nameVLAN3）S2#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/82VLAN0002active3VLAN0003active1002fddi-defaultact/unsup//可以看到S2已经学习到了在S1上创建的VLAN了。S3#showvlan//可以看到S2上有了VLAN2和VLAN3，而S3上并没有，因为S3是透明模式。查看VTP信息S1#showvtpstatusVTPVersion:2//该VTP支持版本2ConfigurationRevision:2//修订号为2，该数值非常重要NumberofexistingVLANs:7//VLAN数量VTPPruningMode:Disabled//VTP修剪没有启用VTPV2Mode:Disabled//VTP版本2没有启用，现在是版本1VTPTrapsGeneration:Disabled观察VTP的revision数值在S1上，修改、创建或者删除VLAN，在S2、S3上观察revision数值是否增加1。（4）配置版本2//vtppruning修剪不好用S1(config)#vtpversion2S1#showvtpstatusVTP修剪和VTP版本只需要在一个VTPserver进行即可，其他server或者client会自动跟着更改。VTP修剪是为了防止不必要的流量从trunk链路上通过，通常需要启用。13.5实验4:EtherChannel配置构成EtherChannel的端口必须具有相同的特性，如双工模式、速度、Trunking的状态等。配置EtherChannel有手动配置和自动配置（PAGP或者LAGP）两种方法，自动配置就是让EtherChannel协商协议自动协商EtherChannel的建立。(1)手动配置EtherChannelS1(config)#interfaceport-channel1//以上是创建以太通道，要指定一个唯一的通道组号，组号的范围是1～6的正整数。要取消EtherChannel时用“nointerfaceport-channel1S1(config)#interfacef0/13S1(config-if)#channel-group1modeonS1(config)#interfacef0/14S1(config-if)#channel-group1modeon//以上将物理接口指定到已创建的通道中。S1(config)#intport-channel1S1(config-if)#switchporttrunkencapsulationdotlqS1(config-if)#switchmodetrunkS1(config-if)#speed100//以上配置通道中的物理接口的属性S2(config)#interfaceport-channel1S2(config)#interfacef0/13S2(config-if)#channel-group1modeonS2(config)#interfacef0/14S2(config-if)#channel-group1modeonS2(config)#intport-channel1S1(config-if)#switchporttrunkencapsulationdotlqS1(config-if)#switchmodetrunkS2(config-if)#speed100S1(config)#port-channelload-balancedst-macS2(config)#port-channelload-balancedst-mac//以上是配置EtherChannel的负载平衡方式，命令格式为“port-channelload-balancemethod”，负载平衡的方式有：dst-ip、dst-mac、src-dst-ip、src-dst-mac等。（3）查看etherchannel信息S1#showetherchannelsummary1Po1(SU)-Fa0/13(P)Fa0/14(P)//可以看到EtherChannel已经形成，“SU”表示EtherChannel正常，如果显示为“SD”，把EtherChannel接口关掉重新开启。（4）配置PAGP或者LAGPS1(config)#interfacerangef0/13-14S1(config-if)#channel-group1modedesirableS2(config)#interfacerangef0/13-14S2(config-if)#channel-group1modedesirableS1#showetherchannelsummary1Po1(SU)PAgPFa0/13(P)Fa0/14(P)//可以看到etherchannel协商成功。注意应在链路的两端都进行检查，确认两端都形成以太通道才行。STPSTP可以让具有冗余结构的网络在故障时自动调整网络的数据转发路径。为了增加局域网的冗余性，我们常常会在网络中引入冗余链路，然而这样却会引起交换环路。交换环路会带来三个问题：广播风暴、同一帧的多个拷贝、交换机CAM表不稳定。STP基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。STP利用BPDU(BridgeProtocolDataUnit)和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。当网络的拓扑发生变化时，网络会从一个状态向另一个状态过渡，重新打开或阻断某些接口。交换机的端口要经过几种状态：禁用（Disable）、阻塞（Blocking）、监听状态(Listening)、学习状态（Learning）、最后是转发状态(Forwarding)。PVST当网络上有多个VLAN时，PVST(PerVlanSTP)会为每个VLAN构建一棵STP树。这样的好处是可以独立地为每个VLAN控制哪些接口要转发数据，从而实现负载平衡。缺点是如果VLAN数量很多，会给交换机带来沉重的负担。在交换机上划分VLAN后，VLAN间的计算机就无法通信了。VLAN间的通信需要借助第三层设备，我们可以使用路由器来实现这个功能，如果使用路由器通常会采用单臂路由模式。实践上，VLAN间的路由大多是通过三层交换机实现的，三层交换机可以看成是路由器加交换机，然而因为采用了特殊的技术，其数据处理能力比路由器要大得多。单臂路由路由器一个以太网接口和交换机连接，交换机的这个接口设置为Trunk接口。在路由器上创建多个子接口和不同的VLAN连接，子接口是路由器物理接口上的逻辑接口。当交换机收到VLAN1的计算机发送的数据帧后，从它的Trunk接口发送数据给路由器，由于该链路是Trunk链路，帧中带有VLAN1的标签，帧到了路由器后，如果数据要转发到VLAN2上，路由器将把数据帧的VLAN1标签去掉，重新用VLAN2的标签进行封装，通过Trunk链路发送到交换机上的Trunk接口；交换机收到该帧，去掉VLAN2标签，发送给VLAN2上的计算机，从而实现了VLAN间的通信。三层交换把三层交换机看成是二层交换机和路由器的组合。虚拟的路由器和每个VLAN都有一个接口进行连接，不过这个接口是VLAN1或VLAN2接口。CEF技术中，交换机利用路由表形成转发信息库（FIB），FIB和路由表是同步的，关键的是它的查询是硬件化，查询速度快得多。除了FIB，还有邻接表(AdjacencyTable)，该表和ARP表有些类似，主要放置了第二层的封装信息。FIB和邻接表都是在数据转发之前就已经建立准备好了，这样一有数据要转发，交换机就能直接利用它们进行数据转发和封装，不需要查询路由表和发送ARP请求，所以VLAN间的路由速率大大提高。15.2实验1:单臂路由实现VLAN间路由我们要用R1来实现分别处于VLAN1和VLAN2的PC1和PC2间的通信。（1）步骤1：在S1上划分VLANS1(config)#vlan2S1(config-vlan)#exitS1(config)#intf0/5S1(config-if)#switchportmodeaccessS1(config-if)#switchportaccessvlan1S1(config-if)#intf0/6S1(config-if)#switchportmodeaccessS1(config-if)#switchportaccessvlan2（2）步骤2：要先把交换机上的以太网接口配置成Trunk接口S1(config)#intf0/1S1(config-if)#switchtrunkencapdot1qS1(config-if)#switchmodetrunk（3）在路由器的物理以太网接口下创建子接口，并定义封装类型R1(config)#intg0/0R1(config-if)#noshutdownR1(config)#intg0/0.1R1(config-subif)#encapturedot1q1native//以上是定义该子接口承载哪个VLAN流量，由于交换机上的nativevlan是VLAN1，所以我们这里也要指明该VLAN就是nativevlan。实际上默认时nativevlan就是vlan1。R1(config-subif)#ipaddress54//在子接口上配置IP地址，这个地址就是VLAN1的网关了R1(config)#intg0/0.2R1(config-subif)#encapturedot1q2R1(config-subif)#ipaddress54在PC1和PC2上配置IP地址和网关，PC1的网关指向：54,PC1的网关指向：17.16.2.254。测试PC1和PC2的通信。注意：如果计算机有两个网卡，请去掉另一网卡上设置的网关。15.2实验2:三层交换实现VLAN间路由我们要用S1来实现分别处于VLAN1和VLAN2的PC1和PC2间的通信。（1）步骤1