项目3-交换机配置

项目3交换机配置学习目标：（1）交换机的CLI配置界面（2）交换机的接口配置（3）交换机的口令配置3．1任务1交换机的基本配置3．1．1任务分析虽然构建企业网络时会同时用到路由器和交换机，但大多数企业的网络主要依赖于交换机。交换机是适应性极强的网络互联设备，在我们的工作和学习生活中对交换机的配置就显得很重要。那么如何对交换机进行配置呢？通过什么样的方法能使交换机在网络中发挥出最大的作用？通过本项目的训练，应能完成对交换机的名字、IP地址、接口、VLAN等基本配置。3．1．2相关知识1、硬件连接要配置交换机，首先要给交换机加电。交换机加电的三个基本步骤为：（1）检查组件（2）连接交换机电缆（3）打开交换机电源2、交换机的IOS3、交换机的命令模式要配置交换机，可以通过多种方法来进行访问。最常用的方法有：（1）控制台（2）Telnet或SSH（3）辅助端口在本书中，我们主要介绍控制台也就是命令行的方法来对交换机进行配置。4、配置模式CiscoIOS设计为模式化操作系统。模式化表示的操作系统具有多种工作模式，每种模式有各自的工作领域。对于这些模式，CLI采用了层次结构。主要的模式有（按照从上到下的顺序排列）：（1）用户执行模式（2）特权执行模式（3）全局配置模式（4）接口其它特定配置模式每种模式用于完成特定任务，并具有可在该模式下使用的特定命令集。例如，要配置某个接口，用户必须进入接口配置模式。在接口配置模式下输入的所有配置仅应用到该接口。某些命令可供所有用户使用，还有些命令仅在用户进入提供该命令的模式后才可执行。每种模式都具有独特的提示符，且只有适用于相应模式的命令才能执行。（1）用户执行模式用户执行：只允许用户访问有限量的基本监视命令。用户执行模式是在从CLI登录到Cisco交换机后所进入的默认模式。用户执行模式由>提示符标识。（2）特权执行模式特权执行：允许用户访问所有设备命令，如用于配置和管理的命令，特权执行模式可采用口令加以保护，使得只有获得授权的用户才能访问设备。特权执行模式由#提示符标识。要从用户执行模式切换到特权执行模式，请输入enable命令。要从特权执行模式切换到用户执行模式，请输入disable命令。在实际网络中，交换机将提示输入口令。请输入正确的口令。默认情况下未配置口令。图3-5中显示了用于在用户执行模式和特权执行模式之间来回切换的CiscoIOS命令。图3-5用户执行模式和特权执行模式（3）全局配置模式在图3-6中，交换机先从特权执行模式开始。要配置全局交换机参数（例如用于交换机管理的交换机主机名或交换机IP地址），应使用全局配置模式。要访问全局配置模式，请在特权执行模式下输入configureterminal命令。提示符将更改为(config)#。（4）接口配置模式配置特定于接口的参数是常见的任务。要从全局配置模式下访问接口配置模式，请输入interface<interfacename>命令。提示符将更改为(config-if)#。要退出接口配置模式，请使用exit命令。提示符恢复为(config)#，提醒您已处于全局配置模式。要退出全局配置模式，请再次使用exit命令。提示符切换为#，表示已进入特权执行模式。5、基本IOS命令结构每个IOS命令都具有特定的格式或语法，并在相应的提示符下执行。常规命令语法为命令后接相应的关键字和参数。某些命令包含一个关键字和参数子集，此子集可提供额外功能。图3-7中所示为命令的三个部分。图3-7IOS命令的基本结构6、交换机端口表示Cisco交换机端口表示方式的格式为“端口类型模块号/端口号”。常用的端口类型有:EtherNet端口、FastEthernet端口、Serial端口等，例如，交换机面板上第1个模块的第2个快速以太网就可以表示为FastEthernet1/2，也可以简单表示为F1/2。3．1．3任务实施1、任务实施环境：计算机网络实验室提供进行正常的网络实验设备和相应的软件环境。实验室每组有思科交换机28系列，两台；PC，四台；console线两条，网线以及与各种网络实验相关的配件资料和设施，可满足20－30人同时进行网络实验的需求。2、任务实施步骤：1）配置设备名称CLI提示符中会使用主机名。如果未明确配置主机名，则交换机的出厂默认主机名为"Switch"。想象一下，如果网际网络中的多个交换机都采用默认名称"Switch"，将会在网络配置和维护时造成多大的混乱。配置主机名从特权执行模式中输入configureterminal命令访问全局配置模式：Switch#configureterminal命令执行后，提示符会变为：Switch(config)#在全局配置模式下，输入主机名：Switch(config)#hostnameAtlantaHQ命令执行后，提示符会变为：AtlantaHQ(config)#如图3-8所示。图3-8配置交换机的名字请注意，该主机名出现在提示符中。要退出全局配置模式，请使用exit命令。每次添加或修改设备时，请确保更新相关文档。请在文档中通过地点、用途和地址来标识设备。注意:要消除命令的影响，请在该命令前面添加no关键字。例如，要删除某设备的名称，请使用：AtlantaHQ(config)#nohostnameSwitch(config)#我们可以看到，nohostname命令使该路由器恢复到其默认主机名“Switch”。2）限制设备访问—配置口令使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法，但口令仍是防范未经授权的人员访问网络设备的主要手段。必须从本地为每台设备配置口令以限制访问。在此介绍的口令有：控制台口令—用于限制人员通过控制台连接访问设备使能口令—用于限制人员访问特权执行模式使能加密口令—经加密，用于限制人员访问特权执行模式VTY口令—用于限制人员通过Telnet访问设备（1）控制台口令CiscoIOS设备的控制台端口具有特别权限。作为最低限度的安全措施，必须为所有网络设备的控制台端口配置强口令。这可降低未经授权的人员将电缆插入实际设备来访问设备的风险。可在全局配置模式下使用下列命令来为控制台线路设置口令：Switch(config)#lineconsole0Switch(config-line)#password密码Switch(config-line)#login命令lineconsole0用于从全局配置模式进入控制台线路配置模式。零(0)用于代表路由器的第一个（而且在大多数情况下是唯一的一个）控制台接口。第二个命令password用于为一条线路指定口令。login命令用于将路由器配置为在用户登录时要求身份验证。当启用了登录且设置了口令后，设备将提示用户输入口令。一旦这三个命令执行完成后，每次用户尝试访问控制台端口时，都会出现要求输入口令的提示。（2）使能口令和使能加密口令为提供更好的安全性，请使用enablepassword命令或enablesecret命令。这几个口令都可用于在用户访问特权执行模式（使能模式）前进行身份验证。以下命令用于设置口令：Switch(config)#enablepassword密码Switch(config)#enablesecret密码注意:如果使能口令或使能加密口令均未设置，则IOS将不允许用户通过Telnet会话访问特权执行模式。若未设置使能口令，Telnet会话将作出如下响应：Switch>enable%NopasswordsetSwitch>（3）VTYPasswordVTY线路使用户可通过Telnet访问路由器。许多Cisco设备默认支持五条VTY线路，这些线路编号为从0到4。所有可用的VTY线路均需要设置口令。可为所有连接设置同一个口令。然而，理想的做法是为其中的一条线路设置不同的口令，这样可以为管理员提供一条保留通道，当其它连接均被使用时，管理员可以通过此保留通道访问设备以进行管理工作。下列命令用于为VTY线路设置口令：Switch(config)#linevty04Switch(config-line)#password密码Switch(config-line)#login默认情况下，IOS自动为VTY线路执行了login命令。这可防止设备在用户通过Telnet访问设备时不事先要求其进行身份验证。如果用户错误的使用了nologin命令，则会取消身份验证要求，这样未经授权的人员就可通过Telnet连接到该线路。这是一项重大的安全风险。（4）加密显示口令还有一个很有用的命令，可在显示配置文件时防止将口令显示为明文。此命令是password-encryption。它可在用户配置口令后使口令加密显示。servicepassword-encryption命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适service用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。如果在尚未执行servicepassword-encryption命令时执行showrunning-config或showstartup-config命令，则可在配置输出中看到未加密的口令。然后可执行servicepassword-encryption命令，执行完成后，口令即被加密。口令一旦加密，即使取消加密服务，也不会消除加密效果。3）管理配置文件（1）配置文件（2）管理配置文件4）访问命令历史记录CiscoCLI提供已输入命令的历史记录。这种功能称为命令历史记录，它对于重复调用较长或较复杂的命令或输入项特别有用。默认情况下，命令历史记录功能启用，系统会在其历史记录缓冲区中记录最新输入的10条命令。可以使用showhistory命令来查看最新输入的执行命令。如图3-9所示。图3-9查看命令历史5）配置登录标语6）VLAN的创建无论VLAN是静态创建还是动态创建的，VLAN的最大数量都取决于交换机和IOS的类型。默认情况下，VLAN1是管理VLAN。创建VLAN后，VLAN会分配到一个编号和名称。VLAN编号是交换机上可用范围内的任意编号，但不能使用VLAN1。某些交换机支持约1000个VLAN，有些则支持4000多个。为了便于网络管理，最好对VLAN命名。（1）在全局配置模式下使用以下命令创建VLAN：Switch(config)#vlanvlan_numberSwitch(config-vlan)#namevlan_nameSwitch(config-vlan)#exit指定作为VLAN成员的端口。默认情况下，所有端口最初都是VLAN1的成员。一次指定一个端口或一个端口范围。（2）使用以下命令将各个端口指定给VLAN：Switch(config)#interfacefa#/#Switch(config-if)#switchportaccessvlanvlan_numberSwitch(config-if)#exit（3）使用以下命令将一个范围内的端口指定给VLAN：Switch(config)#interfacefa#/start_of_range-end_of_rangeSwitch(config-if)#switchportaccessvlanvlan_numberSwitch(config-if)#exit具体配置如图3-10所示。range图3-10VLAN的创建（4）要检验、维护和排查VLAN故障，必须要掌握CiscoIOS提供的重要show命令。以下命令可用于检验和维护VLAN：showvlan显示交换机上所有VLAN的编号以及名称的详细列表，并会显示每个VLAN关联的端口当STP是根据VLAN进行配置时，还会显示STP统计信息。showvlanbrief显示摘要列表，其中仅提供活动VLAN以及各个VLAN关联的端口。showvlanidid_number根据ID号显示具体VLAN的相关信息showvlannamevlan_name根据名称显示具体VLAN的相关信息（5）删除VLAN：Switch(config)#novlanvlan_number要取消端口与特定VLAN的关联：Switch(config)#interfacefa#/#Switch(config-if)#noswitchportaccessvlanvlan_number7）配置交换机IP地址、缺省网关、域名这里所设置的IP地址、网关、域名等信息是为交换机本身所设置的，配置了IP地址以后，我们就可以从网络的任何地方Telnet到交换机对其进行管理。并且还可以通过WEB访问交换机对其进行管理。该IP地址和连接在该交换机上的计算机或其他网络设备无关。也就是说，所有与交换机连接的主机都应该设置自身的域名、网关等信息。先进入到配置模式Switch#configterminal设置IP地址Switch(config)#ip设置缺省网关Switch(config)#ip设置域名Switch(config)#ipdomain-nameSwitch(config)#endSwitch#8）配置VTPVTP是一种客户端/服务器消息协议，它能够在单个VTP域中增加、删除和重命名VLAN。同一管理区域内的所有交换机都是域的一部分。每个域都有其唯一的名称。VTP交换机仅与相同域中的其它交换机共享VTP消息。default-gatewayaddressVTP有三种模式：服务器模式、客户端模式和透明模式。默认情况下，所有交换机都使用服务器模式。建议一个网络中至少将两台交换机配置为服务器，以便提供备份和冗余功能。默认情况下交换机配置为服务器模式。如果服务器模式下的交换机发出的更新中包含的修订版号比当前更高，则所有交换机都将修改其数据库以与新交换机匹配。当向现有VTP域添加新交换机时，执行以下步骤：步骤1：离线配置VTP（第1版）Switch(config)#vtpdomaindomain_nameSwitch(config)#vtp{sever|client|taansparent}Switch(config)#vtppassword密码Switch#copyrunning-configstartup-config步骤2：检验VTP配置。Switch#showvtpstatus步骤3：重新启动交换机。Switch#reloadSwitch#showvtppasswordSwitch#showvtpcountersmode3．1．4任务总结与回顾本任务中，我们讨论了交换机的口令配置、IP地址、接口等问题。备份和恢复交换机配置是任何交换机管理人员的关键技能。本次任务主要是完成对交换机的基本配置，为后面的几个任务的完成打下基础。3．1．5习题3.2任务交换机的端口隔离3.2.1任务分析VLAN（VirtualLocalAreaNetwork）——是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。VLAN最大的特点是不受物理位置的限制，可以灵活的划分。相同的VLAN可以互相进行通信，不同的VLAN间的主机不可以直接进行通信，必须通过路由器才可以进行通信。作用：可以限制广播流量的转播，广播数据包只在VLAN进行转播，不能转到其他的VLAN中。PortVlan是实现Vlan的方式之一，PortVlan是利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN。3.2.2相关知识1、端口隔离的功能交换机端口隔离功能是在端口级的操作，一般整个设备有（而且只有）一个隔离群组，每个端口可以选择加入到这个群组里面来，加入到群组里面来的端口和群组外面的端口可以正常互通，群组内端口之间不能互通，不管它们具有怎样的vlan关系。但是，镜像报文不能被隔离开。2、使用端口隔离的意义：3.2.3任务实施1、任务实施环境：计算机网络实验室提供进行正常的网络实验设备和相应的软件环境。实验室有计算机，接入路由器，接入交换机以及与各种网络实验相关的配件资料和设施，可满足20－30人同时进行网络实验的需求。2、任务实施要求：(1)(2)(3)在交换机上创建VLAN交换机的VLAN划分掌握实现交换机端口隔离的基本技术3、任务实施步骤：（1）在交换机上划分两个VLANswitch>enableswitch#configureterminalswitch(config)#vlan10switch(config-vlan)#nametest10switch(config-vlan)#exitswitch(config)#vlan20switch(config-vlan)#nametest20switch(config-vlan)#endswitch#showvlan（2）将接口分配到VLAN中switch#configureterminalswitch(config)#interfacefastethernet0/5switch(config-if)#switchportaccessvlan10switch(config-if)#exitswitch(config)#interfacefastethernet0/15switch(config-if)#switchportaccessvlan20switch(config-if)#endswitch#showvlan（3）PC1与PC2不能PING通就为成功。3.2.4任务总结与回顾本次任务中，通过使用PortVLAN完成了交换机的端口隔离。注意：(1)VLAN1属于系统默认的VLAN，不可以被删除(2)删除某个VLAN，使用no命令。例如：switch(config)#novlan10(3)删除当前某个VLAN时，注意先将属于该VLAN的端口加入别的VLAN，再删除VLAN。3.2.5习题拓扑结构如图3-12所示，请按照拓扑图完成端口隔离。图3-12端口隔离拓扑结构3.3任务3跨交换机实现VLAN3.3.1任务分析如果你是企业的网管，企业有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离。这时，我们需要进行跨交换技实现VLAN。3.3.2相关知识TagVlan是基于交换机端口的另外一种类型，主要用于实现跨交换机的相同VLAN内主机之间可以直接访问，同时对不同的VLAN的主机进行隔离，起到数据安全的传输。TagVlan遵循了IEEE802.1Q协议的标准。在利用配置了TagVlan的接口进行数据传输时，需要在数据侦添加4个字节的802.1Q标签信息，用与标志该数据帧属于哪一个VLAN，以便于对端交换机接收到的数据帧后进行准确的过滤。TagVlan在同一VLAN里的计算机系统能跨交换机进行相互通信，而在不同的VLAN里的计算机系统不能进行相互通信。3.3.3任务实施1、任务实施环境每组应含有的设备：（1）两台Cisco2960交换机或同类交换机（2）两台基于Windows的计算机，其中装有终端仿真程序（3）至少一根RJ-45转DB-9连接器控制台电缆，用以配置交换机和路由器（4）三根直通以太网电缆，用以连接计算机和交换机（5）一根交叉以太网电缆，用以连接S1和S22、任务实施要求：（1）观察默认交换机的VLAN配置和操作（2）在交换机上配置静态VLAN（3）检查VLAN的配置和操作（4）配置交换机之间的中继3、任务实施步骤：拓扑如图3-13：图3-13跨交换机实现VLAN拓扑图（1）连接设备①用交叉电缆将Switch1的Fa0/1接口连接到Switch2的Fa0/1接口；②用直通电缆将Host1a的以太网接口连接到Switch1的Fa0/2接口；③用直通电缆将Host1b的以太网接口连接到Switch1的Fa0/3接口；④用直通电缆将Host2的以太网接口连接到Switch2的Fa0/2接口；⑤用控制台电缆连接计算机，配置交换机；（2）执行Switch1和Switch2的基本配置①将计算机连接到交换机的控制台端口，以使用终端仿真程序执行配置；②配置Switch1的主机名和控制台以及特权口令并保存配置；③配置Switch2的主机名和控制台以及特权口令并保存配置。（3）检验默认VLAN配置和连通性在本任务中，直接连接某些交换机时，交换机端口会自动自行配置以实施中继。为避免这种情况，请手动配置交换机端口以在S1和S2上正常操作。（4）创建并检查VLAN配置在两台交换机上创建并命名VLAN2和3。（5）配置和检验中继为了让跨越多台交换机的多个VLAN内部连通，可以配置中继。若没有中继，每个VLAN都需要在交换机之间建立独立的物理连接。在S1和S2上配置中继。S1的端口Fa0/1已经连接到S2的端口Fa0/1。（6）观察交换机的默认中继行为在本实验的前面部分，已经手动配置交换机的Fa0/1接口进行中继。使用noswitchportmodetrunk命令删除该配置。3.3.4任务总结与回顾在本次任务中，我们学会配置了跨交换机实现VLAN。完成任务的过程中，可能会使用到no**命令，这是个常用且容易出问题的命令，在以后对交换机和路由器的使用要多加注意。3.3.5习题请参照图3-14，在两台交换机中配置VLAN10、VLAN20，并实现跨交换机的VLAN间通信。图3-14拓扑图3.4任务4利用三层交换机实现VLAN间通信3.4.1任务分析在校园网络发展的初期，网络中只有10%~20%的信息在VLAN之间传播，但随着多媒体技术在校园网络中应用的迅速普及，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。本次任务，我们将实现使用三层交换机完成VLAN间的通信3.4.2相关知识1、三层交换的概念简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。2、VLAN间通信如图3-15所示，VLAN10中的PC1要与VLAN20中的PC5通信。与另一个VLAN中的设备通信称为VLAN间通信。图3-15VLAN间通信注意：交换机S1与路由器之间有两条连接：一条用于将VLAN10上的流量传输到达路由器接口，另一条用于传输VLAN20的流量传输到路由器接口。3.4.3任务实施1、任务实施环境：每组中要含有一台具备三层交换功能的核心交换机；3台分支交换机(不一定具备三层交换能力)；3台PC机。2、任务实施要求：（1）设置vtpdomain（2）配置中继（3）创建vlan（4）将交换机端口划入vlan（5）配置三层交换3、任务实施步骤：首先给核心交换机起名为：COM；分支交换机分别为：PAR1、PAR2、PAR3，分别与核心交换机相连；并且假设VLAN名称分别为counter、market、managing。（1）设置VTPDOMAINvtpdomain称为管理域。交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的vlan列表。com#vlandatabase//进入vlan配置模式com(vlan)#vtpdomaincom//设置vtp管理域名称comcom(vlan)#vtpserver//设置交换机为服务器模式par1#vlandatabase//进入vlan配置模式par1(vlan)#vtpdomaincom//设置vtp管理域名称compar1(vlan)#vtpclient//设置交换机为客户端模式par2#vlandatabase//进入vlan配置模式par2(vlan)#vtpdomaincom//设置vtp管理域名称compar2(vlan)#vtpclient//设置交换机为客户端模式par3#vlandatabase//进入vlan配置模式par3(vlan)#vtpdomaincom//设置vtp管理域名称compar3(vlan)#vtpclient//设置交换机为客户端模式注意：这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数，同步本vtp域中其他交换机传递来的最新的vlan信息；client模式是指本交换机不能创建、删除、修改vlan配置，也不能在nvram中存储vlan配置，但可同步由本vtp域中其他交换机传递来的vlan信息。（2）配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的isl封装协议。isl（inter－switchlink）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议，通过在交换机直接相连的端口配置isl封装，即可跨越交换机进行整个网络的vlan分配和进行配置。在核心交换机端配置如下：com(config)#interfacegigabitethernet2/1com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中继协议com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/2com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中继协议com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/3com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl//配置中继协议com(config-if)#switchportmodetrunk在分支交换机端配置如下：par1(config)#interfacegigabitethernet0/1par1(config-if)#switchportmodetrunkpar2(config)#interfacegigabitethernet0/1par2(config-if)#switchportmodetrunkpar3(config)#interfacegigabitethernet0/1par3(config-if)#switchportmodetrunk此时，管理域设置完毕。（3）创建vlan一旦建立了管理域，就可以创建vlan了。配置过程如下：com(vlan)#vlan10namecounter创建了一个编号为10名字为counter的vlancom(vlan)#vlan11namemarket创建了一个编号为11名字为market的vlancom(vlan)#vlan12namemanaging创建了一个编号为12名字为managing的vlan注意，这里的vlan是在核心交换机上建立的，只要是在管理域中的任何一台vtp属性为server的交换机上建立vlan，它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan，就必须在该端口所属的交换机上进行设置。（4）将交换机端口划入vlan在此实训中，我们将par1、par2、par3分支交换机的端口1划入countervlan，端口2划入marketvlan，端口3划入managingvlan中。具体配置如下：par1(config)#interfacefastethernet0/1//配置端口1par1(config-if)#switchportaccessvlan10//归属countervlanpar1(config)#interfacefastethernet0/2//配置端口2par1(config-if)#switchportaccessvlan11//归属marketvlanpar1(config)#interfacefastethernet0/3//配置端口3par1(config-if)#switchportaccessvlan12//归属managingvlanpar2(config)#interfacefastethernet0/1//配置端口1par2(config-if)#switchportaccessvlan10//归属countervlanpar2(config)#interfacefastethernet0/2//配置端口2par2(config-if)#switchportaccessvlan11//归属marketvlanpar2(config)#interfacefastethernet0/3//配置端口3par2(config-if)#switchportaccessvlan12//归属managingvlanpar3(config)#interfacefastethernet0/1//配置端口1par3(config-if)#switchportaccessvlan10//归属countervlanpar3(config)#interfacefastethernet0/2//配置端口2par3(config-if)#switchportaccessvlan11//归属marketvlanpar3(config)#interfacefastethernet0/3//配置端口3par3(config-if)#switchportaccessvlan12//归属managingvlan（5）配置三层交换到这里，vlan已经基本划分完毕。但是，vlan间如何实现三层（网络层）交换呢？这时就要给各vlan分配网络（IP）地址了。给vlan分配IP地址分两种情况，其一，给vlan所有的节点分配静态IP地址；其二，给vlan所有的节点分配动态IP地址。我们主要介绍静态地址的分配。我们给vlancounter分配的接口ip地址为，网络地址为：，vlanmarket分配的接口IP地址为，网络地址为：，vlanmanaging分配接口ip地址为，网络地址为。具体配置如下：com(config)#interfacevlan10com(config)#interfacevlan11com(config)#interfacevlan12//vlan12接口ip再在各接入vlan的计算机上设置与所属vlan的网络地址一致的IP地址，并且把默认网关设置为该vlan的接口地址。这样，所有的vlan也可以互访了。3.4.4任务总结与回顾//vlan11接口ip//vlan10接口ip在本次任务中，我们有需要注意的地方：对于三层交换机要启动它的路由功能iprouting，否则实验是不能成功的，通过showiproute我们可以看见路由表是建立起来了的。具体操作如下：com(config)#iproutingcom(config)#showiproute3.4.5习题某企业有两个主要部门：销售部和技术部，其中销售部的个人计算机系统分散连接在两台交换机上，如图3-16所示。他们之间需要相互进行通信，销售部和技术部也需要进行相互通信，现要在交换机上做适当配置来实现这一目标。图3-16拓扑图3.5任务生成树协议配置3.5.1任务分析对大多数中小型企业而言，计算机网络显然是其不可或缺的重要部分，这也是IT管理员需要在分层网络中设置冗余功能的原因所在。不过，对网络中的交换机和路由器添加多余的链路会在网络中引入需要动态管理的通信环路；当一条交换机连接断开时，另一条链路要能迅速取代它的位置，同时不造成新的通信环路。本次任务，我们要学习生成树协议(STP)如何防止网络中的环路问题，以及STP协议的发展过程，了解其如何通过快速计算应阻塞的端口来确保基于VLAN的网络不会产生通信环路。3.5.2相关知识1、冗余功能2、生成树协议冗余功能可防止网络因单个故障点（例如网络电缆或交换机故障）而无法运行，以此提升网络拓扑的可用性。向第2层设计引入冗余功能时，环路和重复帧现象也可能随之而出现。环路和重复帧对网络有着极为严重的影响。生成树协议(STP)便旨在解决这些问题。2.STP针对网络故障的调整3.5.3任务实施1、任务实施环境：每一个小组应含有设备：三台交换机（cisco的2960交换机）、三台PC机。2、任务实施要求：（1）完成交换机上的基本配置（2）在所有交换机上配置VLAN中继协议(VTP)（3）改变生成树根的位置（4）观察对生成树拓扑变化的响应（5）配置快速STP(802.1W)3、任务实施步骤：（1）布置网络按照拓扑图3-20，进行网络连接。图3-20拓扑图首先，清除NVRAM、删除vlan.dat文件并重新加载交换机。重新加载完成后，使用showvlan特权执行命令确认只存在默认VLAN，并且所有端口都已分配给VLAN1。然后，使用shutdown命令禁用所有端口。具体配置如下：Switch#showvlanSwitch(config)#interfacerangefa0/1-24Switch(config-if-range)#shutdownSwitch(config-if-range)#interfacerangegi0/1-2Switch(config-if-range)#shutdown（2）执行基本的交换机配置对于每一个交换机S1、S2和S3，要做如下的配置：•配置交换机主机名。•禁用DNS查找。•将执行模式口令配置为class。•为控制台连接配置口令cisco。•为vty连接配置口令cisco。以交换机S1为例，具体配置如下：Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnameS1S1(config)#enablesecretclassS1(config)#noipdomain-lookupS1(config)#lineconsole0S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#linevty015S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleS1#copyrunning-configstartup-configDestinationfilename[startup-config]?Buildingconfiguration...[OK]（3）配置主机PC按下表中的IP地址、子网掩码和网关配置PC1、PC2和PC3的以太网接口。如表3-1。表3-1地址表设备（主机名）S1VLAN99172.17.9255.255.9.11255.0接口IP地址子网掩码默认网关S2S3PC1PC2PC3VLAN99VLAN99NICNICNIC172.17.9255.255.9.129.130.210.220.23255.0255.0255.0255.0255.00.120.120.12172.17.9255.255.（4）配置VLAN第一步，配置VTP。在三台交换机上使用下表配置VTP。记住，VTP域名和口令都区分大小写。默认的工作模式为服务器。如表3-2。表3-2VTP配置交换机名称VTP工作模式S1S2S3服务器客户端客户端具体配置如下：Lab5Lab5Lab5ciscociscociscoVTP域VTP口令第二步，配置中继链路和本征VLAN。将每台交换机的端口Fa0/1至Fa0/4配置为中继端口。将VLAN99指定为这些中继的本征VLAN。在全局配置模式下使用interface-range命令来简化此项任务。要注意，我们在前面的步骤中禁用了这些端口，所以现在必须使用noshutdown命令来重新启用。配置如下：第三步，我们要在VTP服务器上配置VLAN。VTP能够将在VTP服务器上配置的VLAN传播到域中的VTP客户端，从而确保网络中VLAN配置的一致性。在VTP服务器上配置下列VLAN，如表3-3：表3-3VLAN配置VLANVLAN99VLAN10VLAN20VLAN30VLAN名称managementfaculty-staffstudentsguest第四步，检验VLAN。在S2和S3上使用showvlanbrief命令，检查四个VLAN是否均已发布到客户端交换机。配置如下：S2#showvlanbrief第五步，在所有三台交换机上配置管理接口地址。配置如下：在交换机之间执行ping操作，检查其配置是否正确。S1pingS2和S3的管理接口。S2pingS3从从的管理接口。第六步，为VLAN分配交换机端口。按照下表，在S2上为VLAN分配端口。第七步，重新启用S2上的用户端口。参考拓扑图，确定S2上供最终用户设备接入的交换机端口有哪些。通过noshutdown命令启用这三个端口。S2(config)#interfacerangefa0/6,fa0/11,fa0/18S2(config-if-range)#noshutdown（5）配置生成树检查802.1DSTP的默认配置。在每台交换机上，使用showspanning-tree命令列出其上的生成树表。S1#showspanning-tree注意每台交换机上有五个生成树实例。Cisco交换机上的默认STP配置是每VLAN生成树(PVST+)，此配置会为每个VLAN（VLAN1和任何用户配置的VLAN）创建单独的生成树。检查所有三台交换机上的VLAN99生成树：S1#showspanning-treevlan99S2#showspanning-treevlan99S3#showspanning-treevlan99（6）优化STP由于每个活动VLAN上都有一个单独的生成树实例，因此每个实例上都会独立进行根桥选举。如果根桥选举过程使用默认交换机优先级，那么每个生成树实例都会将同一台交换机选举为根桥，如我们之前所见。这可能导致所设计的网络性能不佳。根交换机选举是通过更改VLAN的生成树优先级来实现的。因为在实验环境中默认根交换机可能有所不同，我们将S1和S3配置为特定VLAN的根交换机。如之前所见，默认优先级是32768加上VLANID。值越低表示在根桥选举中的优先级越高。将S3在VLAN99中的优先级设置为4096。S3(config)#spanning-treevlan99priority?<0-61440>bridgepriorityinincrementsof4096S3(config)#spanning-treevlan99priority4096S3(config)#exit将S1在VLAN1、10、20和30的优先级设置为4096。同样，值越低表示在根网桥选举中的优先级越高。S1(config)#spanning-treevlan1priority4096S1(config)#spanning-treevlan10priority4096S1(config)#spanning-treevlan20priority4096S1(config)#spanning-treevlan30priority4096S1(config)#exit此时请稍等片刻，以便交换机有时间重新计算生成树。然后在交换机S1和交换机S3上检查VLAN99的生成树。S1#showspanning-treevlan99S3#showspanning-treevlan99S3#showspanning-treevlan10（7）观察802.1DSTP对拓扑变化的响应为了观察LAN在拓扑改变期间的连续性，首先使用IP地址3重新配置连接到端口S2Fa0/6的PC3。然后将S2端口Fa0/6重新分配给VLAN99。这样您便可通过主机在LAN上连续执行ping操作。S2(config)#interfacefa0/6S