网络设备安装与调试技术 课件 （秦燊）第3章 局域网和虚拟局域网

第3章

局域网和虚拟局域网编著：

秦燊同一楼层、同一建筑方圆几米到几千米范围之内的计算机通信网络通常称为局域网（LAN）。常见的局域网技术包括以太网Ethernet、令牌环TokenRing、光纤分布式数据接口FDDI等，以太网是一种基于CSMA/CD的共享通信介质的数据网络通信技术，传输速率从早期的10Mbps的标准以太网，发展到了100Mbps的快速以太网、1Gbps的吉比特以太网和10Gbps的万兆以太网，成为局域网技术的主流。3.1冲突域和广播域早期采用同轴电缆或集线器组成的网络属于共享式以太网，网络中的所有终端主机都处于同一冲突域中，网络的带宽是由接入的主机共享的，接入的主机越多，每台主机获得的带宽就越少，冲突发生的频率也越高。采用交换机组成的网络则属于交换式以太网，各端口处于不同冲突域中，各端口可同时转发数据而不引发冲突，提高了转发效率和转发质量。交换机和集线器的冲突域不同，但它们的广播域却类似。不论是交换机还是集线器，它们的端口都处在各自的同一个广播域中。3.1.1.抓包探究冲突域如图3-1所示，打开PacketTracer8，分别用交换机和集线器连接电脑组成两个不同的网络，即图中5号位的“交换机网络”和8号位的“集线器网络”。给同一网络中的电脑规划和配置同一网段的IP地址，此处两个网络都取192.168.1.0/24网段。下面，通过实验抓包验证ICMP单播包在集线器与交换机下转发时的异同。图3-1集线器网络和交换机网络的ICMP单播包1.在Realtime模式下（图中1号位），清空并查看“交换机网络”中（图中5号位）交换机的MAC地址表。命令如下；Switch#clearmac-address-tableSwitch#showmac-address-table2.切换到simulation模式（图中2号位），然后点击“ShowAll/None”按钮（图中3号位）清空所有抓包选项，再点击“EditFilters”按钮，选中“ICMP”抓包选项。然后在“交换机网络”上（图中5号位），点击PC4，在PC4的命令行界面pingPC6，即在PC4上运行ping192.168.1.3命令，构造形成和准备发送第一个ICMP包。3.点击图中4号位的播放按钮，触发ping命令的执行和继续抓包。抓包结束后，通过点击图中4号位的前进和后退按钮定位到ping命令执行的不同阶段，查看ping的详细执行过程。可以看到，交换机转发第一个ICMP数据帧时，将数据帧广播给PC5、PC6、PC7；PC6接收到PC4发来的数据帧后，发现是发给自己的，随即向PC4回复ICMP单播帧；PC5和PC7发现数据帧不是发给自己的，将其丢弃。原因分析如下：第一个ICMP数据帧之所以通过广播的形式转发，是因为交换机的MAC表最初为空，无法查到目标PC6所在的端口。随着交换机依次学到PC4和PC6的MAC地址并记录到MAC地址表中，从第二个ICMP数据帧开始，交换机都会根据MAC地址表选择出端口、以单播的方式转发。图中7号位记录的是PC6收到PC4发来的第二个ICMP单播帧的时刻，是点击图中6号位的眼睛后面的Switch0后，显示PC6接收到PC4发来的ICMP单播帧的内容（图中7号位左边）以及回复给PC4的ICMP单播帧的内容（图中7号位右边）。4.按照步骤2和步骤3的方法，对“集线器网络”（图中8号位）进行PC0pingPC2的ICMP抓包实验。通过在PC0的命令行界面运行“ping192.168.1.3”命令并进行抓包，可以看到，不论是第一个ICMP包，还是后续的ICMP包，所有阶段集线器都是以广播的方式转发的。这是因为集线器属于物理层设备，不认识MAC地址，也不具备MAC地址表。以上实验结果验证了：由于集线器属于物理层设备，不能识别MAC地址，只能通过广播数据帧的方式转发数据，整个集线器处于同一个冲突域中；交换机属于数据链路层设备，能识别MAC地址。3.1.2抓包探究广播域

如图3-2所示，打开PacketTracer8，分别用集线器和交换机连接电脑组成两个不同的网络,包括5号位的“集线器网络”和8号位的“交换机网络”。给同一网络中的电脑规划和配置同一网段的IP地址（此处取192.168.1.0/24网段）。下面，通过实验抓包验证ping命令引发的ARP广播包在集线器与交换机下转发时的异同。图3-2集线器网络和交换机网络的ARP广播包

1.在Realtime模式下（图中1号位），清空并查看“集线器网络”中（图中5号位）PC0的ARP缓存表。点击PC0，在PC0的命令行界面输入以下命令：C:\>arp-dC:\>arp-a

2.点击切换到simulation模式（图中2号位），然后点击“ShowAll/None”按钮（图中3号位）清空所有抓包选项，再点击“EditFilters”按钮，选中“ARP”抓包选项。然后在PC0上pingPC2，即在PC0上运行ping192.168.1.3命令，封装形成和准备发送第一个ICMP包，一旦点击播放按钮（图中4号位），将触发ping命令的继续执行，而ping命令将触发ARP协议的执行，即发出查询目标IP地址192.168.1.3对应的MAC地址的广播帧。Ping命令触发广播的原因如下：ping命令构造的ICMP包从PC0发出前，要先在第三层（网络层）套上内层信封，写上原始发件人的源IP地址和最终收件人的目的IP地址，再下放到第二层（数据链路层），套上外层信封，写上当前发件人的源MAC地址和下一跳收件人的目的MAC地址。但封装第一个ICMP帧时，只知道目标PC1的IP地址，对应的MAC地址未知，所以会触发ARP协议发出广播，询问目标IP地址对应的MAC地址。可以看到集线器收到广播帧后，将其从所有端口转发了出去。当然，集线器对于单播帧也会将其从所有端口转发出去，这在“冲突域”实验中已经验证过了。3.点击图中4号位的播放按钮，触发ping命令的执行和继续抓包。抓包结束后，通过点击图中4号位的前进和后退按钮，定位到ping命令执行的不同阶段，查看和分析执行过程。图中5号位和6号位展示的是“PC1、PC2、PC3同时收到广播帧”的时刻。可以看到，PC1和PC3收到广播帧后将其丢弃，而PC2收到广播帧后发现广播帧的内容是在询问自己的MAC地址，于是将自己的MAC地址回复给PC0。图中的7号位，是点击6号位中的第3个眼睛后面的Hub0后，显示PC3收到的ARP广播帧的内容。4.按照步骤1到步骤3（观察“集线器网络”广播域）的方法，对图中8号位的“交换机网络”进行ARP广播帧的抓包和观察。可以看到，当交换机收到目的MAC地址是FFFF-FFFF-FFFF的广播帧时，会将其从除源端口之外的其余端口转发出去。可见交换机和集线器的广播域一样，所有的端口都处于同一个广播域中。一些不必要的广播帧不但占用网络资源，还影响到网络安全；当有网络设备发生故障，导致广播帧不停发送时，更会导致广播风暴，影响正常的网络通信。因此，有必要按网络规模和需求将广播隔离在必要的范围内。隔离广播的一种方法是物理隔离，即将需要隔离广播的网络分别连接到不同的交换机，交换机再通过路由器连接到一起，实现不同网络的互联。这种情况下，当本地广播包经过路由器时，路由器会将其拦截，实现了对本地广播的隔离。但这种通过引入路由器隔离广播的方法增加了成本；而且中低端路由器采用的是软件转发，转发的性能不高，是高成本、低性能的方案，并不可取。隔离广播的另一种方法是划分虚拟局域网(VLAN)。下面，我们详细学习VLAN的相关知识。3.2虚拟局域网

虚拟局域网（VLAN）技术是从逻辑上将一个局域网（LAN）划分为多个逻辑上独立的虚拟局域网（VLAN），从而达到隔离广播的目的。IEEE802.1q协议规定了VLAN的实现方法，即在传统的不带VLAN标签的数据帧上添加4个字节的802.1Q标签，其中的12比特用于存放VLANID，标识不同的VLAN。12比特的取值范围是0~4095，其中0和4095被保留，能分配给用户使用的VLANID范围是1~4094。

VLAN的类型有基于MAC地址的VLAN、基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN等。在还没创建新VLAN之前，交换机的所有端口都默认属于VLAN1，VLAN1是默认存在且不能被删除的。下面通过案例来分析VLAN的划分。

3.2.1思科设备配置VLAN

如图3-3所示，学校某栋楼一楼和二楼的交换机都连接了信工学院、机电学院和财务处的电脑，两台交换机的f0/1-9端口划分给信工学院、f0/10-19端口划分给机电学院、f0/20-23划分给财务处，楼层间两台交换机的f0/24端口通过交叉线连接。图3-3楼层间两台思科交换机相连的网络拓扑

1.各电脑的地址依图所示配置。划分vlan前，所有电脑都连接到了VLAN1，测试所有电脑都能互相ping通。2.为加强安全，避免部门间广播帧的干扰，决定将信工学院保留在VLAN1、机电学院划分到VLAN10、财务处划分到VLAN100。（1）为1楼交换机划分VLAN，将各端口加入到相应VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW1SW1(config)#vlan10//创建VLAN10SW1(config-vlan)#namejiDian//将VLAN10命名为jidianSW1(config-vlan)#exitSW1(config)#vlan100//创建VLAN100SW1(config-vlan)#namecaiWu//将VLAN100命名为caiwuSW1(config-vlan)#exitSW1(config)#interfacerangefastEthernet0/10-19//进入端口配置模式SW1(config-if-range)#switchportmodeaccess//将端口f0/10-19设置为access模式SW1(config-if-range)#switchportaccessvlan10//将端口f0/10-19划分给vlan10SW1(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/20-23SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan100SW1(config-if-range)#endSW1#showvlanbrief//查看VLAN信息VLANNameStatus Ports---------------------- -------------------------------1defaultactive Fa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/2410jiDianactive Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19100caiWuactive Fa0/20,Fa0/21,Fa0/22,Fa0/23可以看到，配置完成后，f0/1~f0/9保留在VLAN1，可用于连接信工学院的电脑，VLAN1的默认名称是default，不能更改；f0/24也保留在了VLAN1，用于将一楼的交换机连接到二楼的交换机；f0/10-19被划分到VLAN10，命名为jiDian（机电），用于连接机电学院的电脑；f0/20-23被划分到VLAN20，命名为caiWu（财务），用于连接财务处的电脑。通过ping测试，发现一楼同一部门的电脑可以互通，不同部门的电脑因为属于不同VLAN，已无法互通。

（2）以机电学院的两台电脑PC2和PC3互相通信为例进行VLAN流量分析。这两台电脑分别连接在交换机的f0/10和f0/11端口上。电脑上的数据帧是不带VLAN标签的，电脑PC2发给PC3的数据帧从Access类型的端口f0/10进入交换机时，会被打上该端口所属VLAN的标签VLAN10；交换机内带有VLAN10标签的数据帧可以在端口f0/10~f0/19范围内进出。带VLAN标签的数据帧从Access端口离开交换机时，VLAN标签会被剥离，电脑是无法识别带有VLAN标签的数据帧的。PC2发往PC3的数据帧从f0/11端口离开交换机去往PC3时，VLAN10的标签会被剥离，PC3收到的是不带标签的数据帧。

（3）为2楼交换机划分VLAN，按规划将相应端口加入到相应VLAN中。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#namejiDianSW2(config-vlan)#exitSW2(config)#vlan100SW2(config-vlan)#namecaiWuSW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/10-19SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangefastEthernet0/20-23SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan100SW2(config-if-range)#end

3.查看交换机SW2的VLAN信息，命令如下：SW2#showvlanbrief可以看到用于连接信工学院电脑的f0/1-9端口属于VLAN1、用于连接一楼交换机的f0/24端口也属于VLAN1等信息。

4.通过在电脑上执行ping测试，检测1楼和2楼间只有属于VLAN1的信工学院电脑能互通，1楼和2楼间机电学院的电脑不能互通，1楼和2楼间财务处的电脑也不能互通。这是因为连接1楼和2楼的两个交换机的端口都是f0/24，都属于VLAN1，只有VLAN1的流量能在1楼和2楼间传输。3.3跨交换机的VLAN连接

“划分VLAN”的案例中，一楼和二楼交换机之间通过属于VLAN1的Access类型的端口相连，只有VLAN1的流量通过，其它VLAN的流量无法通过。若要使其它VLAN的流量也能跨越交换机在楼层间传输，需要为每个VLAN都增加一根网线，网线两端的端口都设为Access模式，并把相应端口划分给该VLAN。这样的话，有几个VLAN要跨越交换机传输，交换机间就需要有几根连线。大量VLAN的情况下，这种做法是不现实的。那么，交换机间的一根网线能否同时允许各VLAN通过呢？答案是肯定的。这就需要用到交换机端口的一种称为Trunk的模式了。之前介绍的Access模式的端口只能属于某一个VLAN，只有该VLAN能通过该端口，其它VLAN是无法通过的，这种模式的端口通常用来连接电脑；Trunk模式的端口则可设置成允许部分VLAN或所有VLAN都通过，这种模式的端口通常用于交换机间的互连。3.3.1思科设备配置Trunk（一）Trunk的配置思科交换机Trunk模式的端口默认允许所有VLAN通过，也可使用命令精确指定只允许哪些VLAN通过。例如在接口模式下执行命令“switchporttrunkallowedvlan10,100”,表示只允许VLAN10和VLAN100通过。为了实现跨越交换机的各楼层相同VLAN的电脑互通，一楼和二楼交换机间互连的端口f0/24除了要允许VLAN1的流量通过，也要允许VLAN10和VLAN100的流量通过。方法是将交换机之间互连的端口f0/24改为trunk模式。1.一楼交换机SW1的配置命令如下：SW1#configureterminalSW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunk//将端口f0/24设置为trunk模式SW1(config-if-range)#endSW1#showinterfacestrunk//查看交换机的trunk信息2.二楼交换机SW2的配置命令如下：SW2#configureterminalSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if-range)#endSW2#showinterfacestrunk配置完成后，经ping测试，可以看到各部门内部的电脑都可以跨楼层互通了，说明两台交换机互连的端口的类型改为Trunk模式后各vlan都能通过了。（二）本征VLANTrunk链路中的缺省VLAN也叫做本征VLAN（即NativeVLAN），其VLANID也称为PVID（Port-baseVLANID），PVID默认为1，可通过命令改变。例如，在接口模式下执行命令“switchporttrunknativevlan10”可将本征VLAN改为VLAN10。数据帧准备从Trunk类型的端口离开交换机时，若属于允许的VLAN范围，则除了本征VLAN外的所有数据帧都要带着VLAN标签离开，属于本征VLAN的数据帧则会被剥离VLAN标签后再离开。当数据帧从Trunk类型的端口进入交换机时，不带标签的数据帧会被打上该端口的本征VLAN标签，然后和已经带有VLAN标签的数据帧一起，接受其VLANID是否属于该端口允许通过范围的检查，若允许通过，则携带该标签进入，否则丢弃。（三）VLAN数据帧的处理过程分析以信工学院一楼电脑PC0与二楼电脑PC6通信为例，分析交换机对数据帧的处理过程：PC0发给PC6的数据帧进入一楼交换机的f0/1端口时，会被打上VLAN1的标签；从一楼交换机的f0/24端口出来时，由于VLAN1属于本征VLAN，数据帧的VLAN1标签会被剥离。数据帧到达二楼交换机的f0/24端口时，会被打上该端口本征VLAN的标签VLAN1，再被检测是否属于允许通过的VLAN范围,确认后进入。进入后，交换机根据数据帧的目的MAC地址查询MAC地址表，找到出端口是f0/1，于是将其从f0/1端口送出来，出来前先剥离数据帧的VLAN1标签，再发送给二楼信工学院的电脑PC6。3.4VLAN同步及动态注册

在多台交换机需要配置相同VLAN信息的网络环境中，可采用VTP、GVRP或MVRP等协议进行交换机间VLAN的同步、简化操作步骤。VTP协议（VLANTrunkProtocol）是思科的私有协议。需要共享和同步VLAN信息的思科交换机可组成一个VTP域（VTPDomain），VTP域中一台交换机上的VLAN创建或修改信息可自动同步到其它交换机上。VLAN信息的同步需要借助Trunk链路传播VTP通告来实现，VTP通告携带32位的修订号（Revision）来代表修订级别，修订号的初始值是0，它会不断增加，新修订号的VLAN信息会覆盖旧修订号的VLAN信息。

与思科VTP协议类似的有IEEE定义的国际标准协议GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）、华为的私有协议VCMP（VLANCentralManagementProtocol，VLAN集中管理协议）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用属性注册协议）的一个应用，GARP是一个通用协议的模板，用于属性的动态注册和注销，GVRP则用于VLAN信息的动态注册和注销。

与GVRP协议相比，VCMP只能同步VLAN配置，而不能将端口动态地划分到VLAN，即通过VCMP创建的VLAN是静态VLAN，而通过GVRP创建的VLAN是动态VLAN。

GARP的升级版是MRP（MultipleRegistrationProtocol，多属性注册协议），相应的，GVRP的升级版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注册协议）。MVRP可兼容GVRP。3.4.1思科设备配置VTP如图3-6所示，在PacketTracer8中搭建拓扑，进行配置和测试。一、配置VTPServer1.由于VTP是在Trunk链路上传输的，所以交换机之间要创建Trunk链路。配置命令如下：SW1(config)#interfacefastEthernet0/1//SW1的配置SW1(config-if)#switchportmodetrunkSW1(config-if)#endSW2(config)#interfacerangefastEthernet0/1-2//SW2的配置SW2(config-if-range)#switchportmodetrunkSW2(config-if)#endSW3(config)#interfacefastEthernet0/2//SW3的配置SW3(config-if)#switchportmodetrunkSW3(config-if)#end图3-6思科交换机配置VTP的网络拓扑2.在SW2上查看Trunk链路是否正常，命令如下：SW2#showinterfacestrunk3.在SW1上查看默认的VTP状况的命令如下：SW1#showvtpstatusVTPDomainName://VTP域名为空VTPOperatingMode:Server//VTP模式为ServerConfigurationRevision:0//修订号为0可以看到，默认情况下，交换机处于Server模式。交换机在VTP域中的角色可以分为服务器模式（Server）、客户机模式（Client）和透明模式（Transparent）。4.交换机加入到相同的VTP域后，可以相互学习VLAN信息。在VTPServer上配置VTP域名的命令如下：SW1#configureterminalSW1(config)#vtpmodeserver//将VTP模式配置为Server，这是默认值，可以省略。SW1(config)#vtpdomainVTP01//将VTP域名配置为VTP01。域名默认为空。其它交换机域名初始时VTP域名也为空。域名为空的其它交换机将会学习到这个域名并加入这个域。5.在SW2和SW3上查看VTP状态，观察SW2和SW3都学到并加入到VTP01域中。以SW2为例，命令如下：SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:06.在VTPServer上创建VLAN，观察其他交换机是否能学习到新建的VLAN。（1）在SW1的配置创建VLAN2，命令如下：SW1(config)#vlan2SW1(config-vlan)#endSW1#showvlan（2）在SW2查看是否学到了VLAN2，命令如下：SW2#showvlanb//查看SW2学习到VLAN2SW2#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修订号从0变成了1（3）在SW3查看是否学到了VLAN2，命令如下：SW3#showvlanb//查看SW3学习到VLAN2SW3#showvtpstatusVTPDomainName:VTP01ConfigurationRevision:1//SW2的修订号从0变成了1二、配置VTP密码配置VTP密码，可以避免身份不明的交换机加入到VTP域中，从而提高安全性。1.SW1的配置命令如下：SW1(config)#vtppassword123//在SW1上配置VTP密码为123。SW1(config)#exitSW1#showvtppasswordSW1(config)#vlan3SW1(config-vlan)#endSW1#showvlanbrief//查看SW1新增了VLAN3SW1#showvtpstatus//查看SW1的VTP修订号从1变成了22.SW2的配置命令如下：SW2#showvlanbrief//查看设置VTP密码前，SW2并未学到新增的VLANSW2#showvtpstatus//查看设置VTP密码前，SW2的VTP修订号保持为1SW2#configureterminalSW2(config)#vtppassword123//将SW2的VTP密码配置为123SW2(config)#exitSW2#showvlanbrief//查看设置VTP密码后，SW2学到了VLAN3SW2#showvtpstatus//查看设置VTP密码后，SW2的VTP修订号变成了23.SW3的配置的配置命令如下：SW3#configureterminalSW3(config)#vtppassword123SW3(config)#exitSW3#showvlanbriefSW3#showvtpstatus三、配置VTPTransparentTransparent模式的交换机不参与VTP，但可以转发VTP通告。1.将SW2配置为VTPTransparent，并创建VLAN4，命令如下：SW2#configureterminalSW2(config)#vtpmodetransparent//将SW2配置为VTPTransparent。SW2(config)#doshowvtpstatusSW2(config)#doshowvlanbriefSW2(config)#vlan4//创建VLAN4SW2(config-vlan)#endSW2#showvlanbrief2.在SW1和SW3上查看是否学到VLAN4，命令如下：SW1#showvlanbrief//SW1没学到VLAN4。SW3#showvlanbrief//SW3也没有学习到VLAN4。3.在SW3上创建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief3.在SW3上创建VLAN5，命令如下：SW3(config)#vlan5SW3(config-vlan)#endSW3#showvlanbrief4在SW2和SW1上查看是否学到VLAN5，命令如下：SW2#showvlanbrief//SW2没学到VLAN5SW1#showvlanbrief//SW1学习到了VLAN5四、配置VTPClientVTPClient模式的交换机不能创建、修改和删除VLAN，但能侦听、学习和转发VTP通告。下面，配置SW2和SW3为VTPClient模式，并测试其作用。1.将SW2设置为VTPClient模式，命令如下：SW2#configureterminalSW2(config)#vtpmodeclientSW2(config)#end2.将SW3设置为VTPClient模式，命令如下：SW3#configureterminalSW3(config)#vtpmodeclientSW3(config)#end3.在SW2上创建VLAN6，命令如下：SW2#showvtpstatusSW2#configureterminalSW2(config)#vlan6//提示SW2是Client模式，无法创建VLAN4.在SW1上创建VLAN7，命令如下：SW1#configureterminalSW1(config)#vlan7SW1(config-vlan)#end5.在SW1、SW2、SW3上查看VLAN信息，命令如下：SW1#showvlanbriefSW2#showvlanbrief//SW2学到了VLAN7SW3#showvlanbrief//SW3也都学到了VLAN7可以看到，SW2和SW3都学到了VLAN7。五、如何在已有的网络中添加交换机在已有的网络中添加交换机时，为了避免新加入的交换机的修订号大于现网交换机的修订号、导致现网VLAN信息丢失、造成网络中断，一定要将准备加入的交换机的配置清除干净后再加入，即在准备加入的交换机上执行“deleteflash:vlan.dat”和“erasestartup-config”命令，重启后，再加入。3.5Hybrid端口和PrivateVLAN技术

小区宽带采用LAN方式接入时，为了保障接入用户的隐私、安全和便于管理计费，可通过划分VLAN对各接入用户进行隔离，并为每个VLAN分配一个网段，但这样做IP地址消耗过大；另根据IEEE802.1q协议，可用的VLAN数只有4094个，若为每个用户划分一个VLAN，VLAN的数量是远远不够的。

所以需要有技术将一个VLAN再次细分成多个VLAN，对上层屏蔽下层的VLAN，让接入层的VLAN对运营商屏蔽，让运营商只看到汇聚层的VLAN。同时，让上层主端口的VLANIF地址和下层各从端口所连接电脑的地址处于同一网段，以节省地址空间。

Hybrid端口技术、PrivateVLAN（PVLAN，专用虚拟局域网）技术、MultiplexVLAN（MUX，复合VLAN）技术等，都能较好的实现相关功能。3.5.3思科交换机配置PrivateVLAN

在EVE-NG中搭建如图3-11所示的实验拓扑（PacketTracer不支持PrivateVLAN）。需求如下：VLAN10与VLAN100能互访，VLAN20与VLAN100能互访，但VLAN10与VLAN20之间不能互访。VLAN10内部不能互访；VLAN20内部能互访。图3-11思科交换机配置PrivateVLAN的网络拓扑

思科的PrivateVLAN包含主VLAN（primaryVLAN）和辅助VLAN（SecondaryVLAN）。辅助VLAN又分为团体VLAN（communityVLAN）和隔离VLAN（isolatedVLAN），一个主VLAN可以映射多个团体VLAN，但只能映射一个隔离VLAN。隶属于主VLAN的端口称为混杂端口（PromiscuousPort），隶属于辅助VLAN的端口称为主机端口（HostPort）。主机端口根据所属辅助VLAN的属性，又分为团体端口和隔离端口。辅助VLAN与主VLAN的主机能互访，团体VLAN中的主机可以互访，隔离VLAN中的主机不能互访。

1.思科的PrivateVLAN要求交换机的VTP模式必须设置成透明模式，命令如下：Switch>enableSwitch#configureterminalSwitch(config)#vtpmodetransparent

2.将VLAN10和VLAN20设置成辅助VLAN，其中vlan10设为隔离VLAN，vlan20设为团体VLAN。命令如下：Switch(config)#vlan10Switch(config-vlan)#private-vlanisolated//设置vlan10为隔离VLANSwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunity//设置vlan20为团体VLANSwitch(config-vlan)#exit

3.设置vlan100为主VLAN，命令如下：Switch(config)#vlan100Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#private-vlanassociation10,20Switch(config-vlan)#exit

4.设置属于辅助VLAN的主机端口。其中，g0/0和g0/1设置为属于隔离VLAN10的隔离端口，g0/2和g0/3设置为属于团体VLAN20的团体端口。命令如下：Switch(config)#intrangeg0/0-1//将g0/0-1设置为属于VLAN10的隔离端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10010Switch(config-if-range)#exitSwitch(config)#intrangeg0/2-3//将g0/2-3设置为属于VLAN20的团体端口Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association10020Switch(config-if-range)#exit

5.将g1/0设置为属于主VLAN100的混杂端口，可以和辅助VLAN通信。命令如下：Switch(config)#intg1/0Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10010,20

6.测试可以看到，VPC1可以ping通VPC5，但ping不通其它VPC。VPC3可以ping通VPC4和VPC5，但ping不通其它VPC。3.6交换机端口类型的自动协商

除了可以手动指定交换机的端口类型外，还可以通过思科的DTP（DynamicTrunkProtocol，动态Trunk协议）或华为的LNP（Link-typeNegotiationProtocol，链路类型协商协议）进行动态协商。DTP是思科的专有协议，端口处于协商状态时，配置了DTP的端口通过发送DTP协商包与邻接端口进行协商，协商它们之间的链路是否形成Trunk。

华为的LNP协议也支持交换机端口类型的自动协商。华为交换机支持的以太网端口的链路类型有Access、Hybrid、Trunk等。

因为DTP和LNP都是私有协议，所以两者不可以对接，只能替换。以思科的DTP为例，在PacketTracer中搭建如图3-12所示拓扑。图3-12思科DTP配置的网络拓扑

1.思科交换机端口的模式有access、trunk和dynamic（动态协商）模式。思科端口默认处于dynamic模式。dynamic模式又分为auto和desirable两种，其中，auto是被动的，desirable是主动的。查看端口有哪些模式及类型，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmode?//查看端口有哪些模式accessSettrunkingmodetoACCESSunconditionally

dynamicSettrunkingmodetodynamicallynegotiateaccessortrunkmodetrunkSettrunkingmodetoTRUNKunconditionallySW1(config-if)#switchportmodedynamic?//查看dynamic模式的类型

autoSettrunkingmodedynamicnegotiationparametertoAUTOdesirableSettrunkingmodedynamicnegotiationparametertoDESIRABLE

2.当对端设备不支持DTP帧（例如非思科设备）时，可将本端设为非协商状态，处于非协商状态的端口无法产生DTP协商包。

（1）将端口设为dynamicauto模式，命令如下：SW1(config-if)#switchportmodedynamicauto

（2）尝试直接将dynamic模式的端口置于非协商状态，命令如下：SW1(config-if)#switchportnonegotiateCommandrejected:Conflictbetween'nonegotiate'and'dynamic'status.提示说不成功，dynamic模式的端口无法更改为非协商状态。只有手动将其配成trunk模式后，才能改为非协商状态。

（3）先手动将端口配置为trunk模式，再将端口置于非协商状态，命令如下：SW1(config-if)#switchportmodetrunk//将端口配置为trunk模式SW1(config-if)#switchportnonegotiate//将端口配置为非协商此时，本端为手动trunk模式，且处于非协商状态，当邻接端口也手动设为trunk模式时，双方会形成trunk链路；若邻接端口为动态desirable或者auto模式，则邻接端口最终会成为access端口。

（4）将交换机端口改回协商状态，命令如下：SW1(config-if)#noswitchportnonegotiate

3.双方动态协商成为trunk的条件：（1）本端为dynamicauto模式，对端为trunk模式或dynamicdesirable模式之一；（2）本端为dynamicdesirable模式，对端为trunk模式或dynamicdesirable模式或dynamicauto模式之一。

4.观察dynamicdesirable模式与dynamicauto模式端口之间协商的效果，方法如下：

（1）将交换机RS1的f0/1端口设为动态协商的desirable模式，命令如下：RS1(config)#interfacefastEthernet0/1RS1(config-if)#switchportmodedynamicdesirable

（2）将交换机SW1的f0/1端口设为动态协商的auto模式，命令如下：SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportmodedynamicauto

（3）查看SW1和RS1端口的trunk状态，命令如下：SW1#showinterfacestrunk//查看SW1的端口trunk状态PortModeEncapsulationStatusNativevlanFa0/1auton-802.1qtrunking1RS1#showinterfacestrunk//查看RS1的端口trunk状态PortModeEncapsulationStatusNativevlanFa0/1desirablen-802.1qtrunking1可以看到，RS1与SW1之间的trunk链路协商成功。

5.观察dynamicauto模式端口与dynamicauto模式端口之间协商的效果，方法如下：

（1）将交换机RS1的f0/1端口改为动态auto模式，命令如下：RS1(config)#defaultinterfacefastEthernet0/1//清除f0/1端口的配置RS1(config)#intfastEthernet0/1RS1(config-if)#switchportmodedynamicauto

（2）交换机SW1的fastEthernet0/1端口保留为动态auto模式。

（3）观察它们之间的trunk链路能否协商成功，命令如下：RS1#showinterfacestrunk

发现处于trunk的端口为空，表示两端都为auto模式时，双方无法建立trunk链路。3.7CDP和LLDP协议

为便于管理，让设备在网络中能互相发现和交互，CDP、LLDP等协议相继推出。其中，CDP（CiscoDiscoveryProtocol，思科发现协议）是思科开发的专有协议，通过它，相邻的、直连的思科设备能互相发现。LLDP（LinkLayerDiscoveryProtocol，链路层发现协议）则是一种国际通用的标准链路层发现协议，它是华为、华三等设备在网络中互相发现和交互各自系统和配置信息的协议。3.7.1思科设备配置CDP

CDP是数据链路层协议，默认是启动的。思科设备默认每60秒发送一次通告，通告中包含了自身的主机名、硬件型号、软件版本和CDP通告有效时间等信息。

搭建如图3-13所示的拓扑。图3-13思科CDP配置的网络拓扑

1.RS1、R1、R2的基本配置，命令如下：Switch>enable//RS1的配置Switch#configureterminalSwitch(config)#hostnameRS1RS1(config)#exitRouter>enable//R1的配置Router#configureterminalRouter(config)#hostnameR1R1(config)#interfacerangegigabitEthernet0/0-1R1(config-if-range)#noshutdownR1(config-if-range)#endRouter>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacegigabitEthernet0/0R2(config-if)#noshutdownR2(config-if)#end

2.查看CDP的默认运行状态，命令如下：R1#showcdpGlobalCDPinformation:SendingCDPpacketsevery60secondsSendingaholdtimevalueof180secondsSendingCDPv2advertisementsisenabled可以查看到，默认情况下，CDP是运行的，思科设备每60秒发送一次CDP消息，邻居收到后保存180秒，当前CDP版本是v2。

3.查看R1的哪些接口在运行CDP协议，命令如下：R1#showcdpinterfaceVlan1isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/0isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/1isup,lineprotocolisupSendingCDPpacketsevery60secondsHoldtimeis180secondsGigabitEthernet0/2isadministrativelydown,lineprotocolisdownSendingCDPpacketsevery60secondsHoldtimeis180seconds以上显示了哪些接口在运行CDP协议。

4.查看R1的CDP邻居，命令如下：R1#showcdpneighborsCapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDR2Gig0/1125RC2900Gig0/0RS1Gig0/01793560Gig0/1可以看到R1两个邻居的信息。

5.查看CDP的详细信息，命令如下：R1#showcdpentryRS1R1#showcdpentryR2以上命令可以查看到CDP邻居RS1和R2的详细信息，如邻居的IOS版本等。

6.CDP的开启和关闭的命令如下：R1#configureterminalR1(config)#nocdprun//在整个路由器上关闭CDPR1(config)#cdprun//在整个路由器上开启CDPR1(config)#interfacegigabitEthernet0/0R1(config-if)#nocdpenable//在g0/0接口上关闭CDPR1(config-if)#cdpenable//在g0/0接口上打开CDP谢谢欣赏第3章

局域网和虚拟局域网编著：

秦燊

同一楼层、同一建筑方圆几米到几千米范围之内的计算机通信网络通常称为局域网（LAN）。常见的局域网技术包括以太网Ethernet、令牌环TokenRing、光纤分布式数据接口FDDI等，以太网是一种基于CSMA/CD的共享通信介质的数据网络通信技术，传输速率从早期的10Mbps的标准以太网，发展到了100Mbps的快速以太网、1Gbps的吉比特以太网和10Gbps的万兆以太网，成为局域网技术的主流。3.1冲突域和广播域早期采用同轴电缆或集线器组成的网络属于共享式以太网，网络中的所有终端主机都处于同一冲突域中，网络的带宽是由接入的主机共享的，接入的主机越多，每台主机获得的带宽就越少，冲突发生的频率也越高。采用交换机组成的网络则属于交换式以太网，各端口处于不同冲突域中，各端口可同时转发数据而不引发冲突，提高了转发效率和转发质量。交换机和集线器的冲突域不同，但它们的广播域却类似。不论是交换机还是集线器，它们的端口都处在各自的同一个广播域中。一些不必要的广播帧不但占用网络资源，还影响到网络安全；当有网络设备发生故障，导致广播帧不停发送时，更会导致广播风暴，影响正常的网络通信。因此，有必要按网络规模和需求将广播隔离在必要的范围内。隔离广播的一种方法是物理隔离，即将需要隔离广播的网络分别连接到不同的交换机，交换机再通过路由器连接到一起，实现不同网络的互联。这种情况下，当本地广播包经过路由器时，路由器会将其拦截，实现了对本地广播的隔离。但这种通过引入路由器隔离广播的方法增加了成本；而且中低端路由器采用的是软件转发，转发的性能不高，是高成本、低性能的方案，并不可取。隔离广播的另一种方法是划分虚拟局域网(VLAN)。下面，我们详细学习VLAN的相关知识。3.2虚拟局域网

虚拟局域网（VLAN）技术是从逻辑上将一个局域网（LAN）划分为多个逻辑上独立的虚拟局域网（VLAN），从而达到隔离广播的目的。IEEE802.1q协议规定了VLAN的实现方法，即在传统的不带VLAN标签的数据帧上添加4个字节的802.1Q标签，其中的12比特用于存放VLANID，标识不同的VLAN。12比特的取值范围是0~4095，其中0和4095被保留，能分配给用户使用的VLANID范围是1~4094。

VLAN的类型有基于MAC地址的VLAN、基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN等。在还没创建新VLAN之前，交换机的所有端口都默认属于VLAN1，VLAN1是默认存在且不能被删除的。下面通过案例来分析VLAN的划分。

3.2.2华为设备配置VLAN

如图3-4所示，学校一楼和二楼的交换机都连接了信工学院、机电学院和财务处的电脑，两台交换机的e0/0/1-e0/0/9端口划分给信工学院，e0/0/10-e0/0/19端口划分给机电学院，e0/0/20-e0/0/22划分给财务处，楼层间两台交换机的g0/0/1端口通过交叉线连接。

图3-4楼层间两台华为交换机相连的网络拓扑

1.各电脑的地址依图所示配置。划分vlan前，所有电脑都连接到了VLAN1，测试所有电脑都能互相ping通。

2.为加强安全，避免部门间广播帧的干扰，决定将信工学院保留在VLAN1、机电学院划分到VLAN10、财务处划分到VLAN100。3.为1楼交换机划分VLAN，将各端口加入到相应VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//进入VLAN1配置视图[SW1-vlan1]descriptionxinGong//描述VLAN1为xinGong[SW1-vlan1]quit[SW1]vlan10//创建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10为jiDian[SW1-vlan10]quit[SW1]vlan100//创建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100为caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//将端口E0/0/1-E0/0/9组成端口组，以便进行统一配置[SW1-port-group]portlink-typeaccess//统一将这些端口类型设置为ACCESS模式[SW1-port-group]portdefaultvlan1//设置端口PVID为1，将这些端口划分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.为2楼交换机划分VLAN，按规划将相应端口加入到相应VLAN中。配置命令与1楼交换机配置命令相同。

5.查看交换机SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于连接信工学院电脑的e0/0/1-e0/0/9端口属于VLAN1、用于连接一楼交换机的g0/0/1端口也属于VLAN1等信息。

6.通过在电脑上执行ping测试，检测1楼和2楼间只有属于VLAN1的信工学院电脑能互通，1楼和2楼间机电学院的电脑不能互通，1楼和2楼间财务处的电脑也不能互通。这是因为连接1楼和2楼的两个交换机的端口都是g0/0/1，都属于VLAN1，只有VLAN1的流量能在1楼和2楼间传输。3.3跨交换机的VLAN连接

“划分VLAN”的案例中，一楼和二楼交换机之间通过属于VLAN1的Access类型的端口相连，只有VLAN1的流量通过，其它VLAN的流量无法通过。若要使其它VLAN的流量也能跨越交换机在楼层间传输，需要为每个VLAN都增加一根网线，网线两端的端口都设为Access模式，并把相应端口划分给该VLAN。这样的话，有几个VLAN要跨越交换机传输，交换机间就需要有几根连线。大量VLAN的情况下，这种做法是不现实的。那么，交换机间的一根网线能否同时允许各VLAN通过呢？答案是肯定的。这就需要用到交换机端口的一种称为Trunk的模式了。之前介绍的Access模式的端口只能属于某一个VLAN，只有该VLAN能通过该端口，其它VLAN是无法通过的，这种模式的端口通常用来连接电脑；Trunk模式的端口则可设置成允许部分VLAN或所有VLAN都通过，这种模式的端口通常用于交换机间的互连。3.3.2华为设备配置Trunk下面介绍华为设备配置trunk的方法：1.将一楼交换机SW1的端口g0/0/1设置为trunk类型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//将端口g0/0/1设置为trunk类型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允许VLAN10、VLAN100和默认的本征VLAN1通过。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交换机各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被设置成立trunk类型，VLAN1是本征VLAN，允许通过的VLAN有VLAN1、VLAN10和VLAN100。2.二楼交换机的配置和测试。与一楼交换机的配置和测试命令一样。3.在电脑上进行ping测试，观察各部门内部的电脑可以跨楼层互通。3.3.3华三设备配置Trunk1.将一楼交换机SW1的端口fg1/0/53设置为trunk类型,命令如下：[SW1]interfaceFortyGigE1/0/53//进入fg1/0/53端口配置视图[SW1-FortyGigE1/0/53]portlink-typetrunk//将端口fg1/0/53设置为trunk类型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允许所有VLAN通过[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk类型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的类型为trunk，VLAN1是本征VLAN，允许通过的VLAN有VLAN1、VLAN10和VLAN100。2.二楼交换机的配置和测试与一楼交换机的配置和测试命令一样。3.在电脑上进行ping测试，观察各部门内部的电脑可以跨楼层互通。3.4VLAN同步及动态注册

在多台交换机需要配置相同VLAN信息的网络环境中，可采用VTP、GVRP或MVRP等协议进行交换机间VLAN的同步、简化操作步骤。VTP协议（VLANTrunkProtocol）是思科的私有协议。需要共享和同步VLAN信息的思科交换机可组成一个VTP域（VTPDomain），VTP域中一台交换机上的VLAN创建或修改信息可自动同步到其它交换机上。VLAN信息的同步需要借助Trunk链路传播VTP通告来实现，VTP通告携带32位的修订号（Revision）来代表修订级别，修订号的初始值是0，它会不断增加，新修订号的VLAN信息会覆盖旧修订号的VLAN信息。

与思科VTP协议类似的有IEEE定义的国际标准协议GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）、华为的私有协议VCMP（VLANCentralManagementProtocol，VLAN集中管理协议）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用属性注册协议）的一个应用，GARP是一个通用协议的模板，用于属性的动态注册和注销，GVRP则用于VLAN信息的动态注册和注销。

与GVRP协议相比，VCMP只能同步VLAN配置，而不能将端口动态地划分到VLAN，即通过VCMP创建的VLAN是静态VLAN，而通过GVRP创建的VLAN是动态VLAN。

GARP的升级版是MRP（MultipleRegistrationProtocol，多属性注册协议），相应的，GVRP的升级版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注册协议）。MVRP可兼容GVRP。3.4.2华为设备配置GVRPGVRP可用于交换机间端口VLAN信息的动态注册和注销。GVRP通过trunk口交互。如图3-7所示，在eNSP中搭建拓扑。图3-7华为交换机配置GVRP的网络拓扑一、基本配置1.各PC的地址按拓扑中的规划进行配置。2.在SW1和SW3上创建VLAN10，将g1/0/1端口加入VLAN10；将交换机间的链路设置为trunk链路，允许所有vlan通过。（1）交换机的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）进行跨交换机的属于VLAN10的PC互ping测试，在PC1上ping192.168.1.20，发现无法ping通。（3）查看交换机的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)