《计算机组网实验教程》课件第9章

第9章VLAN的配置与测试9.1VALN概述9.2VLAN的分类9.3干道链路及VLAN的标识9.4VLAN干道协议(VTP)9.5VLAN间路由

9.1VALN概

述

VLAN(VirtualLAN)即“虚拟局域网”，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新兴技术。在交换式以太网中，交换机连接只能构建单一的广播域，随着广播域内计算机数量的增多，广播帧的数量也会急剧增加，网络的传输效率将会明显下降。如果由于节点故障而产生广播风暴，则其他节点无法传输。因此，当网络内的计算机数目达到一定数量后，就必须将一个大的广播域分隔成若干个小的广播域，以减少广播可能造成的损害。

如何分隔大的广播域呢？最简单的方案就是物理分隔，即将一个完整的网络物理地分隔成两个或多个子网络，然后通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法外，就是在交换机上采用逻辑分隔的方式，将一个大的局域网划分为若干个小的虚拟子网，即VLAN，从而使每一个子网都成为一个单独的广播域，子网之间进行通信也必须通过路由设备。当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理地分割了。也就是说，连接到同一交换机，但处于不同VLAN的设备，就如同被物理地连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备，否则，它们之间将无法得知对方的存在，也无法进行任何联系。

VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分成一个个相对独立的工作组。每个用户主机都连接在一个支持VLAN的交换机端口上并附属于这个VLAN。同一个VLAN中的成员共享广播，形成一个广播域，而不同VLAN之间的广播信息是相互隔离的，这样整个网络可以被分割成多个不同的广播域。

采用VLAN技术的优点主要体现在以下几个方面：增加了网络连接的灵活性。

(2)控制网络上的广播。

(3)增加网络的安全性。

9.2VLAN的分类

9.2.1静态VLAN静态VLAN又被称为基于端口的VLAN(PortBasedVLAN)，顾名思义，就是明确指定各端口属于哪个VLAN的设定方法，这是根据以太网交换机的端口来划分的，比如Catalyst2950的1、2端口为VLANA，3、4为VLANB，当然这些属于同一VLAN的端口可以不连续，如何配置由管理员决定。如果有多个交换机的话，例如可以指定交换机SwitchA的1～6端口和交换机SwitchB的1～4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机。

根据端口划分是目前定义VLAN的最常用的方法。IEEE802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是如果VLANA的用户离开了原来的端口到了一个新的交换机的某个端口，就必须重新定义。形成静态VLAN的过程就是将端口强制性地分配给VLAN的过程，如图9.1所示。

图9.1基于端口的VLAN9.2.2动态VLAN

1)基于MAC地址的VLAN这种划分VLAN的方法是基于每个主机的MAC地址的。其最大优点就是当用户物理位置移动时，即从一个交换机换到其他交换机时，VLAN不用重新配置，因此，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，如图9.2所示。

图9.2基于MAC地址的VLAN

2)基于子网的VLAN基于子网的VLAN是通过所连计算机的IP地址，来决定端口所属VLAN的。它不像基于MAC地址的VLAN，即使计算机因为更换了网卡或是其他原因导致MAC地址改变，只要其IP地址不变，就仍可以加入原先设定的VLAN。这种划分VLAN的方法是基于每个主机的网络层地址或协议类型(如果支持多协议)的。虽然这种划分方法可能是根据网络地址，比如IP地址，但VLAN不是路由。虽然VLAN查看每个数据包的IP地址，但由于它不是路由，因此没有RIP、

OSPF等路由协议，而是根据生成树算法进行桥交换，如图9.3所示。

图9.3基于子网的VLAN

3)基于用户的VLAN基于用户的VLAN根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。

9.2.3实验

VLAN的简单配置1．实验要求(1)熟悉超级终端的使用。(2)熟悉交换机的命令以及命令模式。(3)学会利用交换机进行VLAN的简单配置(基于端口的划分)。2．实验设备(1)计算机4台(装有Windows2000操作系统)。(2)交换机2台(以Cisco2950交换机为例)。(3)双绞线若干。

3．实验过程和主要步骤1)连接网络按照图9.4正确搭建网络环境，并依据表9-1配置好网络的IP地址以及子网掩码，使之连通(检测网络全部连通的简便方法：利用任意一台PC依次去ping其他PC，如果能ping通则说明网络连通，否则检查各PC的IP地址是否设置正确，最终使其连通)，并且将PC1的COM1口通过console线与交换机A连接起来。

图9.4VLAN实验连接图

表9-1主机配置信息

2)配置交换机

(1)首先声明，Cisco交换机会在缺省的情况下，创建一个VLAN1，并且令所有的物理端口都属于VLAN1。可以在特权模式下键入“showvlan”来查看当前的VLAN划分情况。

(2)利用PC1的超级终端服务软件登录到SwitchA上，按照实验的要求建立VLAN。①创建VLAN2、VLAN3，命令如下：SwitchA#vlandatabase(进入VLAN数据库)SwitchA(vlan)#vlan2(建立VLAN2)VLAN2added:Name:VLAN0002SwitchA(vlan)#vlan3(建立VLAN3)VLAN3added:Name:VLAN0003SwitchA(vlan)#exit//退出VLAN配置模式APPLYcompleted.Exiting....

②

查看创建的VLAN

2、VLAN

3，命令如下：SwitchA#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24,Gi0/1Gi0/2

2VLAN0002active//创建的VLAN23VLAN0003active//创建的VLAN31002fddi-defaultactive1003token-ring-defaultactive1004fddinet-defaultactive1005trnet-defaultactive

VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1Trans2-----------------------------------------------------------------------------------------------1enet 1000011500-----100210032enet 1000021500-----003enet 1000031500-----001002fddi 1010021500-----110031003tr 10100315001005---srb110021004fdnet 1010041500--1ibm-001005trnet 1010051500--1ibm-00

③为VLAN2、VLAN3分配端口，命令如下：SwitchA(config)#intf0/3//将端口3划分到VLAN 2SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan2SwitchA(config-if)#exitSwitchA(config)#intf0/5 //将端口5划分到VLAN 3SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan3SwitchA(config-if)#exitSwitchA(config)#intf0/13 //将端口13划分到VLAN 2

SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan2SwitchA(config-if)#exitSwitchA(config)#intf0/15 //将端口15划分到VLAN 3SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan3SwitchA(config-if)#exitSwitchA(config)#exitSwitchA#

④再一次查看VLAN的分配，命令如下：SwitchA#showvlan

VLANNameStatusPorts-------------------------------------------------------------------------------1defaultactiveFa0/2,Fa0/4,Fa0/6,Fa0/7 Fa0/8,Fa0/9,Fa0/10,Fa0/11 Fa0/12,,Fa0/14, Fa0/16,Fa0/17,Fa0/18,Fa0/19 Fa0/20,Fa0/21,Fa0/22,Fa0/23 Fa0/24,Gi0/1,Gi0/2

2VLAN0002 active Fa0/3Fa0/133VLAN0003 active Fa0/5Fa0/151002fddi-default active1003token-ring-default active1004fddinet-default active1005trnet-default active

3)实验结果测试至此，完成了VLAN实验的配置。下面进行VLAN实验的验证。(1)在PC1上pingPC2查看实验结果，结果发现不能ping通；(2)同样，在PC1上pingPC3查看实验结果，发现能ping通；(3)同样，在PC1上pingPC4查看实验结果，发现不能ping通；(4)同样，在PC2上pingPC3查看实验结果，发现不能ping通；(5)同样，在PC2上pingPC4查看实验结果，发现能ping通；还可以在其他PC上进行测试。

4)结束实验为了不影响后面的实验的结果，清除本实验的VLAN配置，命令如下：SwitchA#erasestartup-config//删除配置文件Erasingthenvramfilesystemwillremoveallfiles!Continue?[confirm][OK]Eraseofnvram:completeSwitchA#SwitchA#delflash:vlan.dat//删除VLAN数据库Deletefilename[vlan.dat]?Deleteflash:vlan.dat?[confirm]SwitchA#

9.3干道链路及VLAN的标识

干道(Trunk)链路可以承载多个VLAN的信息，通常用来将交换机连接到其他交换机，或者将交换机连接到路由器。干道链路不属于某个具体的VLAN，它是在设备间承载VLAN，可以被配置为传输所有VLAN的数据帧，也可以被限制为只传输有限的VLAN信息。当在干道链路上接收到数据帧时，交换机必须有某种方法来识别数据帧是属于哪个VLAN。目前所使用的标识技术如下：

(1)Cisco交换机间链路(ISL)；

(2) IEEE802.1Q标准。

图9.5示出了在干道链路上添加VLAN标识信息，并在接入链路上去掉VLAN标识信息的过程。端口A和端口B均为访问链接端口，并且定义在同一交换机的同一VLAN中，均有用户通过接入链路接入。端口C被定义在同一VLAN中，但在不同的交换机中。由定义可知，端口A、B、C均不能接收带有VLAN标识的数据帧。交换机Y从端口A接收到要去往端口B的数据流时，将不会在这些数据帧上添加ISL封装。端口C通过一条接入链路连接到交换机Z，它被定义为VLAN10的一个成员。如果端口A发送一个到端口C的数据帧，则交换机将进行以下工作(下面的步骤与图9.5中的标号相对应)：

①

交换机Y接收到数据帧，它通过端口A识别出它是要到端口C去的；②

交换机Y用标识着VLAN10的一个ISL头封装该数据帧，并在干道链路上通过中间交换机发送该数据帧。③

交换机Z接收这个数据帧，去掉ISL头，然后将它转发到端口C。

图9.5VLAN标识

假设有如图9.6所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。这时最关键的就是，若想在两个楼层间进行通信，交换机1和交换机2该如何连接，最简单的方法，自然是在交换机1和交换机2上各设一个分别对应两个VLAN的专用口并互联。但是，这个办法从扩展性和管理效率上都不好。为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是干道链接。干道链接能够转发多个不同VLAN的通信的端口。干道链路上流通的数据帧，都被附加了用于识别分属于某个VLAN的特殊信息。因此，用户只需要简单地将交换机间互联的端口设定为干道链接即可，如图9.7所示。

图9.6跨越多个交换机的VLAN图9.7通过干道链路连接跨越交换机的VLAN9.3.2VLAN帧标识方法

(1)交换机间链路((InterSwitchLink，ISL)：用于互连多台交换机的Cisco专有封装协议。该协议在Catalyst交换机和路由器上被支持。

(2) IEEE802.1Q：一种IEEE标准方法，它通过在帧头插入一个VLAN标识符来标识VLAN。

(3) 802.10：在标准802.10帧(光纤分布式数据接口FDDI)内传输VLAN信息的一种Cisco专有方法。这种方法通常被用来通过FDDI骨干网传输VLAN。本节只讨论ISL和IEEE802.1Q的VLAN标识方法。

1．ISL

ISL协议是通过在帧外围增加封装而在干道链路上多路复用VLAN的一种方法。它是一种Cisco专有协议，用来支持跨越多台交换机的VLAN，并且当数据流在干道链路连接的交换机间传输时维护VLAN信息。

ISL帧主要由3部分组成：头部、原始以太网帧和尾部的帧校验序列(FCS)。采用ISL时，以太网帧被封装上一个在交换机间或交换机和路由器间传输VLANID的头部，长度为26B，其中包括一个10b的VLANID。此外，一个4B的尾部也被添加到帧上以进行循环冗余校验(CRC)，该CRC是原以太网帧所执行帧校验之外的校验。图9.8显示了一个ISL帧，采用ISL帧封装在标准以太网帧上添加了30B。

图9.8ISL封装的帧结构

只有当帧被转发到配置为干道链路的端口时，VLANID才被添加到帧上。当帧被转发到配置为接入链路的端口时，ISL封装将被去掉。ISL犹如用ISL头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN(EncapsulatedVLAN)”。

2．IEEE802.1Q

IEEE802.1Q协议的正式名称是虚拟桥接局域网标准。该协议指出可以通过一条缆线承载一个以上子网数据流，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。

IEEE802.1Q不是对原以太网帧进行封装，而是支持帧标记，即把VLAN识别信息插入到原以太网帧内。它所附加的VLAN识别信息位于数据帧中“源MAC地址”与“类别域(TypeField)”之间。具体内容为2B的TPID和2B的TCI，共计4B，如图9.9所示。

图9.9IEEE802.1Q的帧结构

ISL和IEEE802.1Q标记都是显式标记，意味着帧被显式标记了VLAN信息，然而它们的标记机制却不同。IEEE802.1Q使用一种内部标记过程，即用VLAN标识修改现有的以太网帧。因为IEEE802.1Q是以标准以太网帧的形式出现的，所以其帧标识过程可以同时工作在接入链路和干道链路上。

ISL采用一种外部标记过程。使用ISL外部标记时，不改变原始帧，而是把它用一个新的26BISL头(标记)进行封装，同时在帧的末尾也添加了额外的4BFCS。这意味着只有支持ISL的设备才能够解释这个帧，也意味着帧可以违反比如1518B的最大传输单元的普通以太网惯例。

9.3.3干道链路的配置要建立或配置一条VLAN干道，可以通过将链路两端的端口配置为干道端口，并指出在这条干道上传输的VLAN来完成。干道本来可以传输所有的VLAN，但是在有些情况下却不允许，比如广播抑制，即所有广播必须发送到一个VLAN中的所有端口。因为干道链路是VLAN的一个成员端口，所以它必须让所有的广播通过，如果在干道的另一端没有这个VLAN的成员端口，那么带宽和处理时间将会浪费。

可以通过如下命令来配置干道链路：

Switch(config)#Interfacefastethernet0/port_num

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunkallowedvlan[vlan_id|all|add|Except|remove]通过对干道端口的配置，可以完成对干道链路各个属性的配置。当对端口的配置完成后，也基本上完成了对干道链路的配置。检验干道链路的配置是通过对交换机端口的状态检验来完成的，可以通过如下命令来完成：Switch#Showinterfacestatus或Switch#ShowinterfaceTrunk

9.4VLAN干道协议(VTP)

VTP有以下优点：

(1)整个网络VLAN配置具有一致性；

(2)支持通过混合介质主干将以太网VLAN映射到高速主干VLAN，比如ATMLANE或FDDI的映射方案，它使VLAN可以通过混合介质中继；

(3)能够对VLAN进行准确跟踪和监督；

(4)能够动态报告网络中增加的VLAN；

(5)当添加新VLAN时可“即插即用”地进行配置。

为了在园区网交换机上创建VLAN，必须首先建立一个VTP管理域以使它能够检验网络上当前的VLAN。在同一管理域中的所有交换机能共享VLAN信息，并且一个交换机只能参加到一个管理域。不同域中的交换机不能共享VLAN信息。通过VTP，每台交换机都将下面的内容通告到它的干道端口上：(1)管理域；(2)配置版本号；(3)已知VLAN和具体参数。

9.4.1VTP介绍一个VTP域是由一台或多台共享同一VTP域名的互连设备组成。一台交换机只能被配置在一个VTP域内。全局VLAN信息是通过互连的交换机干道端口进行传播的。可以将交换机配置为以下几种VTP操作模式：

(1)服务器(Server)模式：在VTP服务器模式中，可以建立、修改和删除VLAN，也可以为整个VTP域规定其他配置参数。VTP服务器向同一VTP域中的所有交换机通告它们的VLAN配置，并根据从干道链路上收到的信息与其他交换机进行VLAN配置的同步。在交换机配置中，VTP服务器模式是缺省配置模式。

(2)客户机(Client)模式：VTP的客户机同VTP服务器的行为一样，但在VTP客户机上不能建立、改变或删除VLAN；客户机只能接收服务器通告的VTP信息，如果接收到的VTP配置版本号高于自己的VTP配置版本号，则用接收到的VTP信息覆盖自己内部存储的VTP信息，达到域服务器的同步。

(3)透明(Transparent)模式：若把交换机配置为透明模式，则这些交换机将不参与VTP，亦不接收VTP信息。一台VTP透明交换机不通告它自己的VLAN配置，同时也不根据接收到的通告来同步它的VLAN配置，但是，透明交换机可以在它们的干道端口上转发接收到的VTP通告。

向一个已存在的域中添加交换机，可以按以下几步进行：

(1)用“clearconfigureall”命令去掉现存的配置。这将不会清除VTP配置版本号。

(2)对交换机重新上电以清除VTPNVRAM。这会将配置版本号重新复位为0，以保证该新交换机不会通告不正确的信息。注：VTP有它自己的非易失性随机访问存储器(NVRAM)，因此，“Clearconfigureall”命令不能真正清除整个配置。具体地说，VTP信息仍会保留，包括配置版本号。当交换机重新加电时，配置版本号被清除或重新设置为0。

(3)确定该交换机的VTP操作模式，并在交换机上设置VTP域信息时，将该模式包括在内。交换机的缺省模式是服务器模式。如果让交换机保持服务器模式，要在该交换机加入到VTP域之前，确定该交换机的原VTPNVRAM已被清除。

9.4.2VTP配置在网络上配置VTP和VLAN的基本任务有以下几个。

1．选择VTP版本两种不同的VTP版本——VTP版本1和VTP版本2——可以在管理域中运行，这两种版本不能互操作。如果我们选择将一个VTP域中的某个交换机配置为VTP版本2，就必须将该管理域中的所有交换机都配置为VTP版本2。VTP版本1是缺省配置。

2．确定VTP管理域和模式对于网络中的第一台交换机，需要为其创建管理域。如果有其他交换机存在，可能需要将新交换机加入到已有的管理域内。处于同一管理域内的交换机，必须有相同的VTP管理域名。要想创建一个管理域或加入到一个管理域，可以使用下面的命令：Switch>enableSwitch#configureSwitch(config)#vtpdomaindomain_name域名的长度可达32个字符。

3．配置VTP并为交换机选择一个VTP模式在交换机上建立好VTP后，需要为交换机从3个可用的模式中选择一种。如果一台交换机是某个管理域中的第一台交换机，而且还想再加入更多的交换机，那么应该将其模式设置为服务器模式。后加的交换机将会接收到配置为服务器模式的交换机的通告信息。至少应该有一台交换机被配置为服务器模式，也可以将新加的交换机设置为客户机模式，但均应该注意防止新加入的交换机向已经存在的网络中通告错误的VLAN信息。

要为交换机设置正确的模式，可使用下面的命令：

Switch(config)#vtpmode[server|client|transparent]也可以在一条命令中设置所有这些选项：

Switch(config)#vtpdomaindomain_namemode[server|client|transparent]完成上面两步后，对VTP的配置也就完成了，下面用Show命令显示VTP的配置：

Switch#Showvtpstatus

9.4.3实验

跨越交换机的VLAN1．实验要求

(1)熟悉交换机的命令以及命令模式。(2)了解VTP的3种模式。(3)创建跨越2台交换机的VLAN。2．实验设备(1)计算机4台(装有Windows2000操作系统)。(2)交换机2台(以Cisco2950交换机为例)。(3)带水晶头的双绞线若干。

3．实验过程和主要步骤1)连接网络按照图9.10正确搭建网络环境，依据表9-2配置好网络IP地址以及子网掩码，使之连通(检测网络全部连通的简便方法：利用任意一台PC依次去ping其他PC，如果能ping通则说明网络连通，否则检查各PC的IP地址是否设置正确，最终使其连通)，并且将PC1、PC3的COM1口分别通过console线与交换机A、B连接起来。

图9.10跨越多交换机的VLAN实验图

表9-2主机配置信息

2)配置交换机

(1)利用PC1的超级终端服务软件登录到SwitchServer上。首先，需要将上次的实验配置擦除，命令如下：Switch#erasestartup-configErasingthenvramfilesystemwillremoveallfiles!Continue?[confirm][OK]Eraseofnvram:completeSwitch#delflash:vlan.datDeletefilename[vlan.dat]?Deleteflash:vlan.dat?[confirm]Switch#rreload之后，交换机会重新启动。

(2)交换机重新启动后，开始配置交换机SwitchServer，命令如下：Switch>enSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameSwitchServerSwitchServer(config)#exitSwitchServer#vlandatabase//进入VLAN配置子模式SwitchServer(vlan)#vtpserver//设置本交换机为Server模式DevicemodealreadyVTPSERVER.SwitchServer(vlan)#vtpdomainvtpserver//设置域名

ChangingVTPdomainnamefromNULLtovtpserverSwitchServer(vlan)#vtppruning //启用修剪功能PruningswitchedONSwitchServer(vlan)#exit //退出VLAN配置模式APPLYcompleted.Exiting....SwitchServer#showvtpstatus //查看VTP设置信息VTPVersion :2ConfigurationRevision :2MaximumVLANssupportedlocally :250

NumberofexistingVLANs :7VTPOperatingMode :ServerVTPDomainName :vtpserverVTPPruningMode :EnabledVTPV2Mode :DisabledVTPTrapsGeneration :DisabledMD5digest:0xFD0xAC0xF10x2A0xF90xDF0x460x76Configurationlastmodifiedby0.0.0.0at3-1-9300:07:38

LocalupdaterIDis0.0.0.0(novalidinterfacefound)SwitchServer#configt

SwitchServer(config)#intf0/23 //进入23端口配置模式SwitchServer(config-if)#switchportmodetrunk//设置当前端口为trunk模式SwitchServer(config-if)#switchporttrunkallowedvlanall //设置允许从该端口交换数据的VLANSwitchServer(config-if)#exitSwitchServer(config)#exit

SwitchServer#vlandatabaseSwitchServer(vlan)#vlan2 //创建一个VLAN2VLAN2added:Name:VLAN0002 //系统自动命名SwitchServer(vlan)#vlan3VLAN3added: //创建一个VLAN3Name:VLAN0003SwitchServer(vlan)#exitSwitchServer#

SwitchServer#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SwitchServer(config)#intf0/3//进入端口3的配置子模式SwitchServer(config-if)#switchportmodeaccess //设置端口为静态VLAN访问子模式

SwitchServer(config-if)#switchaccessvlan2 //把端口3分配给VLAN2SwitchServer(config-if)#exitSwitchServer(config)#intf0/5SwitchServer(config-if)#switchportmodeaccessSwitchServer(config-if)#switchportaccessvlan3SwitchServer(config-if)#exitSwitchServer(config)#exitSwitchServer#showvlan

利用PC3的超级终端服务软件登录到SwitchClient上。同样，首先需要擦除上次的实验配置，命令如下：Switch#erasestartup-configErasingthenvramfilesystemwillremoveallfiles!Continue?[confirm][OK]Eraseofnvram:completeSwitch#delflash:vlan.datDeletefilename[vlan.dat]?Deleteflash:vlan.dat?[confirm]Switch#rreload之后，交换机会重新启动。

(3)交换机重新启动后，开始配置交换机SwitchClient，命令如下：Switch>enSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameSwitchClientSwitchClient#exitSwitchClient#vlandatabaseSwitchClient(vlan)#vtpclientSettingdevicetoVTPCLIENTmode.SwitchClient(vlan)#exitSwitchClient#

SwitchClient#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SwitchClient(config)#intf0/23SwitchClient(config-if)#switchportmodetrunkSwitchClient(config-if)#switchporttrunkallowedvlanallSwitchClient(config-if)#exit

SwitchClient(config)#intf0/3SwitchClient(config-if)#switchportmodeaccessSwitchClient(config-if)#switchaccessvlan2SwitchClient(config-if)#exit

SwitchClient(config)#intf0/5SwitchClient(config-if)#switchportmodeaccessSwitchClient(config-if)#switchportaccessvlan3SwitchClient(config-if)#exitSwitchClient(config)#exitSwitchClient#

3)实验结果测试实验配置完成后，用ping命令进行测试，可以得知PC1、PC3相互之间可以连通；PC2、PC4之间可以连通，但VLAN 2与VLAN 3中的主机相互之间不能连通。另外，也可以修改交换机的VTP模式进行配置并测试。

9.5

VLAN间路由

配置VLAN可以控制广播域的大小，并可以阻止数据流进入到其他VLAN。因此，位于不同VLAN内的网络设备之间如果不通过例如路由器这样的第三层设备，是不能互相进行通信的。当一个VLAN中的站点要与另一个VLAN中的站点进行通信时，需要用到第三层设备，由第三层设备实现在不同广播域之间的通信，这就是VLAN间的路由选择。第三层设备用来提供VLAN间的通信，用户主机将数据包发送到第三层设备，由它来识别该数据包是发往本VLAN的还是到其他网段去的。若是发往本地的其他主机，则由交换机直接转发到目的地；若是到其他网段的主机，则由路由器转发到该网段，并由交换机转发给目的主机，如图9.11所示。

图9.11VLAN间信息传输

9.5.1外部路由不同VLAN间的信息传输可以通过路由器来实现，这种方式称为外部路由。当使用外部路由器时，就会引出VLAN间路由选择的另一个问题。外部路由器的一个物理接口传统上只支持一个网络(或子网)。当使用传统技术时，外部路由器要为其负责路由交换的交换机上的每个VLAN单独建立一条到这台交换机的物理连接，如果这台交换机上有4个VLAN，则该交换机需要和外部路由器之间建立4条物理连接。为了解决多条物理连接的问题，外部路由器必须能在一条物理链路上识别出不同的VLAN。ISL协议可用来解决这一问题，它使在一条链路上传送多个VLAN信息成为现实。

在一条连路上传送多个VLAN信息的实现过程为：首先将用于连接路由器的交换机端口设为干道链接，而路由器上的端口也必须支持干道链路。双方用于干道链路的协议也必须均为ISL封装协议，并且在路由器的端口上定义对应于各个VLAN的“子接口(SubInterface)”，如图9.12所示。

图9.12基于路由器的VLAN连接

9.5.2内部路由只要能提供VLAN间路由，就能够使分属不同VLAN的计算机互相通信。但是，如果使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，很可能导致路由器成为整个网络的瓶颈。交换机使用ASIC专用硬件芯片处理数据帧的交换操作，在很多机型上都能实现线速交换。而路由器则基本上是基于软件处理的，即使以线速接收到数据包，也无法在不限速的条件下转发出去，因此会成为速度瓶颈。就VLAN间路由而言，流量会集中到路由器和交换机互连的干道链路部分，这一部分特别可能成为速度瓶颈。并且从硬件上看，由于需要分别设置路由器和交换机，在一些空间狭小的环境里可能连设置的场所都成问题。

为了解决上述问题，三层交换机应运而生。三层交换机，本质上就是“带有路由功能的(二层)交换机”。路由功能属于OSI参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。三层交换机的内部结构简图如图9.13所示。

图9.13三层交换机内部交换原理

9.5.3实验

VLAN间路由1．实验要求

(1)熟悉交换机、路由器的命令以及命令模式。(2)通过外部路由器实现不同VLAN之间的通信。2.实验设备(1)计算机4台(装有Windows2000操作系统)。(2)交换机1台(以Cisco2950交换机为例)。(3)路由器1台