網(wǎng)絡(luò)工程師培訓(xùn)第一單元

1、網(wǎng)絡(luò)工程師培訓(xùn)課程網(wǎng)絡(luò)工程師培訓(xùn)課程 第一部分 一、計(jì)算機(jī)網(wǎng)絡(luò)的組成 H1 H5 H2 H4 H3 H6 路由器 網(wǎng)絡(luò) 網(wǎng)絡(luò)核心部分 主機(jī) 計(jì)算機(jī)網(wǎng)絡(luò)由兩個(gè)部分組成： n通信子網(wǎng)：由各個(gè)局域網(wǎng)（Intranet）和路由 器及線路組成。 n資源子網(wǎng)：由終端、主機(jī)和服務(wù)器等組成 二、計(jì)算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu) n應(yīng)用層(application layer) n運(yùn)輸層(transport layer) n網(wǎng)絡(luò)層(network layer) n數(shù)據(jù)鏈路層(data link layer) n物理層(physical layer) 數(shù)據(jù)鏈路層 5 應(yīng)用層 4 運(yùn)輸層 3 網(wǎng)絡(luò)層 2 數(shù)據(jù)鏈路層 1 物理層

2、三、網(wǎng)絡(luò)工程的分層設(shè)計(jì) 目前在規(guī)模較小的局域網(wǎng)設(shè)計(jì)中主要采用單一 的星型拓?fù)浣Y(jié)構(gòu)，而在企業(yè)網(wǎng)設(shè)計(jì)中則主要采 用由星型結(jié)構(gòu)中心點(diǎn)通過級連擴(kuò)展形成的樹型 拓?fù)浣Y(jié)構(gòu)。一般可以將這種樹型拓?fù)浣Y(jié)構(gòu)劃分 為三個(gè)層次，即核心層、匯聚層和接入層，如 圖所示。 樹型網(wǎng)絡(luò)的分層結(jié)構(gòu)樹型網(wǎng)絡(luò)的分層結(jié)構(gòu) 1、核心層設(shè)計(jì) 在目前的核心層設(shè)計(jì)中，在經(jīng)費(fèi)允許的情況下， 會(huì)采用雙星型拓?fù)浣Y(jié)構(gòu)，即采用兩臺(tái)同樣的核 心交換機(jī)，與匯聚層或接入層交換機(jī)分別連接。 雙星型拓?fù)浣Y(jié)構(gòu)不但可以解決單點(diǎn)故障導(dǎo)致網(wǎng) 絡(luò)失效的問題，而且可以通過端口聚合技術(shù)實(shí) 現(xiàn)負(fù)載均衡。 星型結(jié)構(gòu)和雙星型結(jié)構(gòu)星型結(jié)構(gòu)和雙星型結(jié)構(gòu) 2、匯聚層設(shè)計(jì) 匯聚層是接入層和

3、核心層之間的路由選擇邊界， 也是遠(yuǎn)程站點(diǎn)和核心層之間的連接點(diǎn)，其存在 與否，可取決于網(wǎng)絡(luò)規(guī)模的大小。根據(jù)對網(wǎng)絡(luò) 穩(wěn)定性、帶寬等要求的不同，匯聚層交換機(jī)與 接入層交換機(jī)之間既可以采用冗余連接，也可 以采用簡單連接。 匯聚層端口聚合連接方式匯聚層端口聚合連接方式 3、接入層設(shè)計(jì) n接入層是連接終端設(shè)備的網(wǎng)絡(luò)邊緣，用于控制 用戶對網(wǎng)絡(luò)資源的訪問。接入層服務(wù)和設(shè)備位 于網(wǎng)絡(luò)覆蓋范圍的每棟大樓、每個(gè)遠(yuǎn)程站點(diǎn)和 服務(wù)器群。接入層通常使用二層交換技術(shù)來提 供網(wǎng)絡(luò)接入。接入可通過永久性有線基礎(chǔ)設(shè)施 實(shí)現(xiàn)，也可通過無線接入點(diǎn)實(shí)現(xiàn)。由于以太網(wǎng) 對傳輸距離有一定的限制，因此設(shè)備的物理位 置是接入層設(shè)計(jì)的重要內(nèi)容。

4、（1）對于接入計(jì)算機(jī)數(shù)量很大的場所，應(yīng)采用 可堆疊交換機(jī)，以提供大量的接入端口，并借 助高速鏈路實(shí)現(xiàn)與匯聚層交換機(jī)之間的連接 接入層堆疊連接方式接入層堆疊連接方式 （2）如果接入層交換機(jī)不支持堆疊，并且所連 接的計(jì)算機(jī)數(shù)量較多，那么也可以使用端口聚 合的方式實(shí)現(xiàn)接入層交換機(jī)之間的高速連接。 接入層端口聚合連接方式接入層端口聚合連接方式 四、網(wǎng)絡(luò)服務(wù)器連接設(shè)計(jì) n服務(wù)器系統(tǒng)是網(wǎng)絡(luò)應(yīng)用的核心，是網(wǎng)絡(luò)中信息 流較集中的設(shè)備，數(shù)據(jù)吞吐量大，傳輸速率要 求高 。服務(wù)器一般分為兩類，一類是為全網(wǎng) 提供服務(wù)，此類服務(wù)器適合放置于網(wǎng)絡(luò)管理中 心，由網(wǎng)絡(luò)管理中心進(jìn)行管理維護(hù)；另一個(gè)類 是為某部門提供服務(wù)，如大學(xué)

5、的圖書館服務(wù)器 和企業(yè)的財(cái)務(wù)部服務(wù)器，此類服務(wù)器適合放置 于部門子網(wǎng)中，由相關(guān)部門管理維護(hù)。 一種服務(wù)器群集連接方案的拓?fù)浣Y(jié)構(gòu)圖一種服務(wù)器群集連接方案的拓?fù)浣Y(jié)構(gòu)圖 五、綜合布線系統(tǒng)的結(jié)構(gòu)和組成 綜合布線系統(tǒng)的設(shè)置示意圖綜合布線系統(tǒng)的設(shè)置示意圖 1 綜合布線系統(tǒng)的基本組成： 1. 工作區(qū)工作區(qū) 工作區(qū)應(yīng)由配線子系統(tǒng)的信息插座模塊（工作區(qū)應(yīng)由配線子系統(tǒng)的信息插座模塊（TO）延伸到終端設(shè)備處的連）延伸到終端設(shè)備處的連 接纜線及適配器組成。接纜線及適配器組成。 2. 配線子系統(tǒng)配線子系統(tǒng) 配線子系統(tǒng)由工作區(qū)的信息插座模塊至電信間配線設(shè)備（配線子系統(tǒng)由工作區(qū)的信息插座模塊至電信間配線設(shè)備（FD）的配線）

6、的配線 電纜和光纜、電信間的配線設(shè)備及設(shè)備纜線和跳線等組成。電纜和光纜、電信間的配線設(shè)備及設(shè)備纜線和跳線等組成。 3. 干線子系統(tǒng)干線子系統(tǒng) 干線子系統(tǒng)應(yīng)由設(shè)備間至電信間的干線電纜和光纜，安裝在設(shè)備間的干線子系統(tǒng)應(yīng)由設(shè)備間至電信間的干線電纜和光纜，安裝在設(shè)備間的 建筑物配線設(shè)備（建筑物配線設(shè)備（BD）及設(shè)備纜線和跳線組成。）及設(shè)備纜線和跳線組成。 4. 建筑群子系統(tǒng)建筑群子系統(tǒng) 建筑群子系統(tǒng)應(yīng)由連接多個(gè)建筑物之間的主干電纜和光纜、建筑群配建筑群子系統(tǒng)應(yīng)由連接多個(gè)建筑物之間的主干電纜和光纜、建筑群配 線設(shè)備（線設(shè)備（CD）及設(shè)備纜線和跳線組成。）及設(shè)備纜線和跳線組成。 5. 設(shè)備間設(shè)備間 設(shè)備間

7、是在每幢建筑物的適當(dāng)?shù)攸c(diǎn)進(jìn)行網(wǎng)絡(luò)管理和信息交換的場地。設(shè)備間是在每幢建筑物的適當(dāng)?shù)攸c(diǎn)進(jìn)行網(wǎng)絡(luò)管理和信息交換的場地。 6. 進(jìn)線間進(jìn)線間 進(jìn)線間是建筑物外部通信和信息管線的入口部位，并可作為入口設(shè)施進(jìn)線間是建筑物外部通信和信息管線的入口部位，并可作為入口設(shè)施 和建筑群配線設(shè)備的安裝場地。和建筑群配線設(shè)備的安裝場地。 7. 管理管理 管理應(yīng)對工作區(qū)、電信間、設(shè)備間、進(jìn)線間的配線設(shè)備、纜線、信息管理應(yīng)對工作區(qū)、電信間、設(shè)備間、進(jìn)線間的配線設(shè)備、纜線、信息 插座模塊等設(shè)施按一定的模式進(jìn)行標(biāo)識(shí)和記錄。插座模塊等設(shè)施按一定的模式進(jìn)行標(biāo)識(shí)和記錄。 2 綜合布線系統(tǒng)拓?fù)浣Y(jié)構(gòu) 綜合布線系統(tǒng)主要采用由星型結(jié)構(gòu)中心

8、點(diǎn)通過級聯(lián)擴(kuò)展形成的樹型拓?fù)浣Y(jié) 構(gòu)，在實(shí)際應(yīng)用中可以根據(jù)需要通過配線連接靈活的轉(zhuǎn)換為其他結(jié)構(gòu)。目前 綜合布線系統(tǒng)的拓?fù)浣Y(jié)構(gòu)主要有以下兩種形式： （1）兩層結(jié)構(gòu) 這種形式以建筑物配線架BD為中心，配置若干個(gè)樓層配線架FD，每個(gè)樓 層配線架FD連接若干個(gè)通信出口TO，如圖所示。兩層結(jié)構(gòu)是單幢建筑物綜 合布線系統(tǒng)的基本結(jié)構(gòu)。 （2）三層結(jié)構(gòu) 這種形式以建筑群配線架CD為中心，以若干建筑物配線架BD為中間層， 相應(yīng)地有再下層的樓層配線架FD，如圖所示。三層結(jié)構(gòu)是建筑群綜 合布線系統(tǒng)的基本結(jié)構(gòu)。 3 綜合布線系統(tǒng)的布線距離 （1）綜合布線系統(tǒng)水平纜線與建筑物主干纜線 及建筑群主干纜線之和所構(gòu)成信道的總長

9、度不 應(yīng)大于2000m。 （2）建筑物或建筑群配線設(shè)備之間（FD與BD、 FD與CD、BD與BD、BD與CD之間）組成的 信道出現(xiàn)4個(gè)連接器件時(shí)，主干纜線的長度不 應(yīng)小于15m。 （3）配線子系統(tǒng)各纜線應(yīng)符合下列要求： n配線子系統(tǒng)信道的最大長度不應(yīng)大于100m。 n工作區(qū)設(shè)備纜線、電信間配線設(shè)備的跳線和設(shè) 備纜線之和不應(yīng)大于10m，當(dāng)大于10m時(shí)，水 平纜線長度（90m）應(yīng)適當(dāng)減少。 n樓層配線設(shè)備（FD）跳線、設(shè)備纜線及工作 區(qū)設(shè)備纜線各自的長度不應(yīng)大于5m。 六、配置與管理網(wǎng)絡(luò)連接 1、二層交換機(jī)基本配置 （1）按照網(wǎng)絡(luò)類型分類 按照支持的網(wǎng)絡(luò)類型，局域網(wǎng)交換機(jī)可以分為以太網(wǎng) 交換機(jī)、快

10、速以太網(wǎng)交換機(jī)、千兆位以太網(wǎng)交換機(jī)、 FDDI交換機(jī)和ATM交換機(jī)等。目前企業(yè)網(wǎng)絡(luò)中主要 使用快速以太網(wǎng)交換機(jī)和千兆位以太網(wǎng)交換機(jī)。 （2） 按照應(yīng)用規(guī)模分類 按照應(yīng)用規(guī)模，可將局域網(wǎng)交換機(jī)分為桌面交換機(jī)、 工作組級交換機(jī)、部門級交換機(jī)和企業(yè)級交換機(jī)。 （3） 按照設(shè)備結(jié)構(gòu)分類 按照設(shè)備結(jié)構(gòu)特點(diǎn)，局域網(wǎng)交換機(jī)可分為機(jī)架 式交換機(jī)、帶擴(kuò)展槽固定配置式交換機(jī)、不帶擴(kuò) 展槽固定配置式交換機(jī)和可堆疊交換機(jī)等類型。 （4）按照網(wǎng)絡(luò)體系結(jié)構(gòu)層次分類 按照網(wǎng)絡(luò)體系的分層結(jié)構(gòu)，交換機(jī)可以分為第2 層交換機(jī)、第3層交換機(jī)、第4層交換機(jī)和第7層 交換機(jī)。 以太網(wǎng)絡(luò)RJ-45端口 控制臺(tái)（Console）配置端口對

11、應(yīng)的端口的指示燈 背面電源插口和散熱風(fēng)扇口 若干模塊的插槽 2 交換機(jī)的管理訪問方式 1. 本地控制臺(tái)登錄方式 通常交換機(jī)上都提供了一個(gè)專門用于管理的接口 （Console端口），可使用專用線纜將其連接到計(jì) 算機(jī)串行口，然后即可利用計(jì)算機(jī)超級終端程序 對該交換機(jī)進(jìn)行登錄和配置。 2. 遠(yuǎn)程配置方式 為了實(shí)現(xiàn)交換機(jī)的遠(yuǎn)程配置，在第一次配置交換 機(jī)時(shí)，需為其配置管理地址、交換機(jī)名稱等參數(shù)， 并選擇啟動(dòng)交換機(jī)上的相關(guān)服務(wù)。 工作模式工作模式提示符提示符啟動(dòng)方式啟動(dòng)方式 用戶模式Switch開機(jī)自動(dòng)進(jìn)入 特權(quán)模式Switch#Switchenable 配 置 模 式 全局模式Switch(config

12、)#Switch#config VLAN模式Switch(config-vlan)#Switch(config)#vlan 100 接口模式Switch(config-if)# Switch(config)#interface fo/o 線程模式Switch(config-line)# Switch(config)#line console 0 3 配置交換機(jī)基本信息 1. 配置交換機(jī)主機(jī)名 默認(rèn)情況下，交換機(jī)的主機(jī)名默認(rèn)為“Switch”。 當(dāng)網(wǎng)絡(luò)中使用了多個(gè)交換機(jī)時(shí)，為了以示區(qū)別， 通常應(yīng)根據(jù)交換機(jī)的應(yīng)用場地，為其設(shè)置一個(gè) 具體的主機(jī)名。例如，若要將交換機(jī)的主機(jī)名 設(shè)置為“S2960”，則

13、設(shè)置命令為： Switch(config)#hostname S2960 /設(shè)置主機(jī) 名為S2960 S2960(config)# 2. 配置交換機(jī)管理地址及相關(guān)口令 （1）配置管理地址 二層交換機(jī)中，IP地址僅用于遠(yuǎn)程登錄配置交換機(jī)。默認(rèn)情況下， 交換機(jī)的所有端口均屬于VLAN 1，VLAN 1是交換機(jī)自動(dòng)創(chuàng)建和 管理的。每個(gè)VLAN可以有一個(gè)活動(dòng)的管理地址，因此，設(shè)置管理 IP地址之前，應(yīng)首先選擇VLAN 1接口。具體設(shè)置命令為： S2960(config)#interface vlan 1 /進(jìn)入VLAN1接口 配置模式 S2960(config-if)#ip address 192.1

14、68.1.254 /設(shè) 置IP地址和子網(wǎng)掩碼 S2960(config-if)#ip default-gateway /設(shè)置默認(rèn) 網(wǎng)關(guān) S2960(config-if)#no shutdown /啟動(dòng)接口使配置生效 （2）設(shè)置控制臺(tái)登錄口令 交換機(jī)的Console端口的編號(hào)為0，為了安全起見，應(yīng) 為該端口的設(shè)置登錄口令，配置命令為： S2960(config)#line console 0 /進(jìn)入控制端 口的line配置模式 S2960(config-line)#password 1234abcd /設(shè)置登 錄密碼為1234abcd S296

15、0(config-line)#login /使密碼生效 （3）設(shè)置特權(quán)模式口令 設(shè)置進(jìn)入特權(quán)模式口令，可以使用以下兩種配置命令： S2960(config)#enable password abcdef4567 /設(shè) 置特權(quán)模式口令為abcdef4567 S2960(config)#enable secret abcdef4567 /設(shè)置 特權(quán)模式口令為abcdef4567 3. 啟用交換機(jī)遠(yuǎn)程管理方式 交換機(jī)支持多個(gè)虛擬終端（一般為16個(gè)），只 有設(shè)置了登錄口令的虛擬終端才允許遠(yuǎn)程登錄。 如果要設(shè)置交換機(jī)同時(shí)允許4個(gè)Telnet登錄連 接，則配置命令為： S2960(config)#line

16、 vty 0 3 /對03 共4條虛擬終端線路進(jìn)行設(shè)置 S2960(config-line)#password aaa111bbbb / 設(shè)置遠(yuǎn)程登錄口令為aaa111bbbb S2960(config-line)#login /使密碼生效 4 配置HTTP遠(yuǎn)程訪問 n可以在全局配置模式下使用命令“ip http server”啟用HTTP服務(wù)器功能。另外，在 Cisco IOS 12.2（15）T及后續(xù)版本中，增加 了HTTPS（安全HTTP）服務(wù)器特性，因此也 可以在全局配置模式下使用命令“ip http secure-server”啟用HTTPS服務(wù)器功能。 n【注意】如果不使用HTTP

17、和HTTPS服務(wù)，一 定要在全局配置模式下用命令“no ip http server”和“no ip http secure-server”將其禁用。 5. 保存交換機(jī)配置信息 在交換機(jī)上配置的文件（即當(dāng)前配置文件running- config）會(huì)被保存在DRAM中，當(dāng)交換機(jī)斷電后，該 配置文件將丟失。因此配置好交換機(jī)后，必須把配置 文件保存在NVRAM中，即保存在配置文件startup- config中。保存配置信息的命令為： S2960#write memory /保存配置信息 S2960#copy running-config startup-config /保存 配置信息 6. 恢復(fù)交

18、換機(jī)的出廠設(shè)置 如果要恢復(fù)交換機(jī)的出廠設(shè)置，可以使用以下命令： S2960#erase startup-config /刪除配置文件 S2960#reload /重新啟動(dòng)交換機(jī)，交換機(jī)在 啟動(dòng)時(shí)，加載出廠配置 7. 查看交換機(jī)配置信息 （1）查看當(dāng)前配置信息 要查看交換機(jī)的當(dāng)前配置信息，可以在特權(quán)模式運(yùn)行 “show running-config”命令，此時(shí)將顯示當(dāng)前正在運(yùn) 行的配置 。 如果在特權(quán)模式運(yùn)行“show startup-config”命令，則 可以顯示保存在NVRAM中的交換機(jī)啟動(dòng)配置信息。 （2）查看交換機(jī)的其他信息 在特權(quán)模式下，還可以使用show命令查看交換機(jī)的 其他信息，

19、例如： S2960#show interface fa 0/1 /顯示交換機(jī)0號(hào)模 塊1號(hào)快速以太網(wǎng)端口信息 S2960#show ip interface brief /顯示接口IP信息 S2960#show vlan /顯示所有VLAN信息 4 配置交換機(jī)端口 1. 選擇交換機(jī)端口 對于使用IOS的交換機(jī)，交換機(jī)端口（port）也稱為接口 （interface），由端口類型、模塊號(hào)和端口號(hào)共同進(jìn)行標(biāo)識(shí)。例如 Cisco 2960-24交換機(jī)只有一個(gè)模塊，模塊編號(hào)為0，該模塊有24 個(gè)快速以太網(wǎng)端口，若要選擇其第8號(hào)端口，則配置命令為： S2960(config)# interface fa

20、 0/8 對于Cisco2960、Cisco 3560等交換機(jī)，可以使用range關(guān)鍵字， 來指定端口范圍，從而選擇多個(gè)端口，并對其進(jìn)行統(tǒng)一配置。配 置命令為： S2960(config)#interface range fa0/1-24 /選擇交換機(jī)的第1至第 24口的快速以太網(wǎng)端口 S2960(config-if-range)# /交換機(jī)多端口配置模式提示符 2. 啟用或禁用端口 對于沒有連接的交換機(jī)端口，其狀態(tài)始終是處于shutdown（禁用）。對于正在工 作的端口，可根據(jù)需要，進(jìn)行啟用或禁用。比如，若發(fā)現(xiàn)連接在某一端口的計(jì)算機(jī)， 因感染病毒，正大量向外發(fā)包，此時(shí)就可禁用該端口。啟用或禁

21、用端口的配置命令 為： S2960(config)# interface fa 0/8 S2960(config-if)#shutdown /禁用端口 S2960(config-if)#no shutdown /啟用端口 3. 配置端口通信模式 默認(rèn)情況下，交換機(jī)的端口通信模式為auto（自動(dòng)協(xié)商），此時(shí)鏈路的兩個(gè)端點(diǎn)將 協(xié)商選擇雙方都支持的最大速度和單工或雙工通信模式。配置端口通信模式的主要 命令為： S2960(config)#interface fa 0/8 S2960(config-if)#duplex full /將該端口設(shè)置為全雙工模式，half為半雙工，auto為自動(dòng)協(xié)商 S29

22、60(config-if)#speed 100 /將該端口的傳輸速度設(shè)置為100Mb/s，10為10Mb/s，auto為自動(dòng)協(xié)商 【注意】交換機(jī)端口的通信模式必須和與其連接的計(jì)算機(jī)網(wǎng)卡相同，否則將無法通 信。 4. 優(yōu)化端口 當(dāng)確定交換機(jī)某一端口僅用于連接計(jì)算機(jī)時(shí)，可對該端口進(jìn) 行優(yōu)化，以減少因STP（生成樹協(xié)議）或Trunk協(xié)商而導(dǎo)致 的端口啟動(dòng)延遲。配置命令為： S2960(config)#interface range fa0/1-24 S2960(config-if-range)#switchport mode access /強(qiáng)制交換機(jī)端口為Access模式（接入模式），該模式主要

23、用于靜態(tài)接入計(jì)算機(jī) S2960(config-if-range)#spanning-tree portfast /指定端口為portfast模式，不運(yùn)行生成樹協(xié)議STP，以加快 建立連接的速度。 S2960(config-if-range)#no channel-group /禁用端口聚合 5. 配置端口聚合 端口聚合是通過配置軟件的設(shè)置，將多物理連接當(dāng)作一個(gè)單 一的邏輯連接來處理。端口聚合技術(shù)可以以較低的成本通過 捆綁多端口提高帶寬，還具有容錯(cuò)功能，當(dāng)端口聚合中的某 條鏈路出現(xiàn)故障時(shí)，該鏈路的流量將自動(dòng)轉(zhuǎn)移到其余鏈路上。 參與聚合的端口必須具備相同的屬性，如相同的速度、單雙 工模式、Trun

24、k模式、Trunk封裝方式等。 在下圖所示的網(wǎng)絡(luò)環(huán)境中，試將兩臺(tái)Cisco 2960交換機(jī) SWA和SWB分別通過第23號(hào)和第24號(hào)快速以太網(wǎng)端口進(jìn)行 連接，并實(shí)現(xiàn)端口聚合。 在交換機(jī)SWA上的配置過程為： SWA(config)#interface Port-channel 1 /創(chuàng)建交換機(jī)的EtherChannel SWA(config-if)#switchport mode trunk /設(shè)置EtherChannel為Trunk模 式 SWA(config-if)#interface fa 0/23 SWA(config-if)#channel-group 1 mode on /將交換機(jī)

25、端口加入EtherChannel 1。on表示使用EtherChannel，但不發(fā) 送PagP分組， SWA(config-if)#interface fa 0/24 SWA(config-if)#channel-group 1 mode on 在交換機(jī)SWB上的配置過程與SWA相同 。 5 劃分虛擬局域網(wǎng) 1、VLAN的作用 VLAN是將局域網(wǎng)從邏輯上劃分為一個(gè)個(gè)的網(wǎng)段（廣播域）， 從而實(shí)現(xiàn)虛擬工作組的一種交換技術(shù)。 n控制網(wǎng)絡(luò)的廣播，增加廣播域的數(shù)量，減小廣播域的大小。 n便于對網(wǎng)絡(luò)進(jìn)行管理和控制。VLAN是對端口的邏輯分組， 不受任何物理連接的限制，同一VLAN中的用戶，可以連 接在不同

26、的交換機(jī)，并且可以位于不同的物理位置，增加 了網(wǎng)絡(luò)連接、組網(wǎng)和管理的靈活性。 n增加網(wǎng)絡(luò)的安全性。默認(rèn)情況下，VLAN間是相互隔離的， 不能直接通信。管理員可以通過應(yīng)用VLAN的訪問控制列 表，來實(shí)現(xiàn)VLAN間的安全通信。 2、VLAN的實(shí)現(xiàn)方式 （1） 靜態(tài)VLAN 靜態(tài)VLAN就是明確指定各端口所屬VLAN的設(shè)定方法，通常 也稱為基于端口的VLAN，其特點(diǎn)是將交換機(jī)按端口進(jìn)行分組， 每一組定義為一個(gè)VLAN，屬于同一個(gè)VLAN的端口，可來自 一臺(tái)交換機(jī)，也可來自多臺(tái)交換機(jī)，即可以跨越多臺(tái)交換機(jī) 設(shè)置VLAN。 （2.）動(dòng)態(tài)VLAN 動(dòng)態(tài)VLAN是根據(jù)每個(gè)端口所連的計(jì)算機(jī)的情況，動(dòng) 態(tài)設(shè)置端

27、口所屬VLAN的方法。動(dòng)態(tài)VLAN通常有以 下幾種實(shí)現(xiàn)方式。 A、基于MAC地址的VLAN：根據(jù)端口所連計(jì)算機(jī)的 網(wǎng)卡MAC地址決定端口所屬的VLAN。 B、基于子網(wǎng)的VLAN：根據(jù)端口所連計(jì)算機(jī)的IP地 址決定端口所屬的VLAN。 C、基于用戶的VLAN：根據(jù)端口所連計(jì)算機(jī)的登錄 用戶決定該端口所屬的VLAN。 3、VLAN的匯聚鏈接（Trunk） 用于實(shí)現(xiàn)各VLAN在交換機(jī)間通信的鏈路，稱為匯聚鏈路或主干鏈 路（Trunk Link）。用于提供匯聚鏈路的端口，稱為匯聚端口。由于匯 聚鏈路承載了所有VLAN的通信流量，因此要求只有通信速度在 100Mb/s或以上的端口，才能作為匯聚端口使用。

28、 SWA(config)#interface f0/5 SWA(config-if)# switchport mode trunk 4、VTP VTP（VLAN Trunking Protocol，VLAN鏈路聚集協(xié)議）是在 建立了匯聚鏈路的交換機(jī)之間同步和傳遞VLAN配置信息的協(xié) 議，以在同一個(gè)VTP域中維持VLAN配置的一致性。在創(chuàng)建 VLAN之前，應(yīng)先定義VTP管理域，VTP消息能在同一個(gè)VTP 管理域內(nèi)，同步和傳遞VLAN配置信息。VTP有以下三種工作 模式： （1）Server模式 Server模式是交換機(jī)默認(rèn)的工作模式，運(yùn)行在該模式的交換 機(jī)，允許創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫

29、中的VLAN，并 允許設(shè)置一些對整個(gè)VTP域的配置參數(shù)。在對VLAN進(jìn)行創(chuàng)建、 修改或刪除之后，VLAN數(shù)據(jù)庫的變化將傳遞到VTP域內(nèi)所有 處于Server或client模式的其他交換機(jī)，以實(shí)現(xiàn)對VLAN信息的 同步。另外，Server模式的交換機(jī)也可接收同一個(gè)VTP域內(nèi)其 他交換機(jī)發(fā)送來的同步信息。 （2） Client模式 處于該模式下的交換機(jī)不能創(chuàng)建、修改和刪除VLAN，也不 能在NVRAM中存儲(chǔ)VLAN配置，如果掉電，將丟失所有的 VLAN信息。該模式下的交換機(jī)，主要通過VTP域內(nèi)其他交 換機(jī)的VLAN配置信息來同步和更新自己的VLAN配置。 （3） Transparent模式 Tra

30、nsparent模式也可以創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫 中的VLAN。與Server模式不同的是，Transparent模式的交 換機(jī)對VLAN配置的修改，僅對自身有效，不會(huì)傳播給其他 交換機(jī)。 5、VLAN間的通信 （1）借助路由器 （2）借助三層交換機(jī) 具體操作案例1:單交換機(jī)劃分VLAN 在如圖所示的由一臺(tái)Cisco 2960交換機(jī)組建的局域網(wǎng)中，若要將所有的計(jì)算機(jī)劃 分為4個(gè)VLAN，該交換機(jī)的1號(hào)快速以太網(wǎng)端口屬于一個(gè)VLAN；2號(hào)和3號(hào)快速 以太網(wǎng)端口屬于一個(gè)VLAN；4號(hào)快速以太網(wǎng)端口屬于一個(gè)VLAN；其他端口屬于 另一個(gè)VLAN，則配置步驟為： S2960#vlan da

31、tabase /進(jìn)入VLAN配置模式 S2960(vlan)#vlan 10 name stu1 /創(chuàng)建ID號(hào)為10，名稱為stu1的VLAN S2960(vlan)#vlan 20 name stu2 /創(chuàng)建ID號(hào)為20，名稱為stu2的VLAN S2960(vlan)#vlan 30 name stu3 /創(chuàng)建ID號(hào)為30，名稱為stu3的VLAN S2960(vlan)#exit S2960# configure terminal S2960(config)#interface fa 0/1 S2960(config-if)#switchport access vlan 10 /將Fa0

32、/1端口加入VLAN 10 S2960(config-if)#interface fa 0/2 S2960(config-if)#switchport access vlan 20 /將Fa0/2端口加入VLAN 20 S2960(config-if)#interface fa 0/3 S2960(config-if)#switchport access vlan 20 /將Fa0/3端口加入VLAN 20 S2960(config-if)#interface fa 0/4 S2960(config-if)#switchport access vlan 30 /將Fa0/4端口加入VLAN 3

33、0 S2960(config-if)#end S2960#show vlan /查看所有VLAN信息 具體操作案例2:跨交換機(jī)劃分VLAN 當(dāng)網(wǎng)絡(luò)中有跨交換機(jī)VLAN存在時(shí)，通常應(yīng)進(jìn)行 VTP的設(shè)置，基本步驟為： n啟用并設(shè)置VTP，實(shí)現(xiàn)交換機(jī)間的VLAN信息 交換； n啟用并配置Trunk； n創(chuàng)建VLAN； n將交換機(jī)端口加入VLAN； n當(dāng)網(wǎng)絡(luò)中有三層交換機(jī)時(shí)可配置VLAN間的路 由。 如圖所示的網(wǎng)絡(luò)由1臺(tái)具有三層交換功能的核心交換機(jī)（Cisco 3560）和3 臺(tái)接入交換機(jī)（Cisco 2960）組成，假設(shè)核心交換機(jī)的名稱為SWCORE， 接入交換機(jī)分別為SWA、SWB和SWC，接入交

34、換機(jī)通過千兆位以太網(wǎng)端口 與核心交換機(jī)相連?，F(xiàn)要將接入交換機(jī)的所有端口劃分為2個(gè)VLAN，劃分 方式和IP地址如圖中標(biāo)識(shí)。則具體配置過程為： 1. 設(shè)置VTP 在交換機(jī)SWCORE的配置過程為： SWCORE(config)#vtp domain SWCORE /創(chuàng)建VTP域名為 SWCORE SWCORE(config)#vtp mode server /配置交換機(jī)的VTP 模式為Server 在交換機(jī)SWA的配置過程為： SWA(config)#vtp domain SWCORE SWA(config)#vtp mode client /配置VTP模式為Client 在交換機(jī)SWB的配置過

35、程為： SWB(config)#vtp domain SWCORE SWB(config)#vtp mode client /配置VTP模式為Client 在交換機(jī)SWC的配置過程為： SWC(config)#vtp domain SWCORE SWC(config)#vtp mode client /配置VTP模式為Client 2 配置Trunk 在交換機(jī)SWCORE的配置過程為： SWCORE(config)#interface GigabitEthernet 2/1 SWCORE(config-if)#switchport /將端口設(shè)置為二層的交換端口 SWCORE(config-if

36、)#swithport trunk encapsulation dot1q /設(shè)置打標(biāo)封 裝協(xié)議 SWCORE(config-if)#swithport mode trunk /將端口設(shè)置為匯聚連接端口 SWCORE(config-if)#interface GigabitEthernet 2/2 SWCORE(config-if)#switchport SWCORE(config-if)# swithport trunk encapsulation dot1q SWCORE(config-if)#swithport mode trunk SWCORE(config-if)#interface

37、 GigabitEthernet 2/3 SWCORE(config-if)#switchport SWCORE(config-if)#swithport trunk encapsulation dot1q SWCORE(config-if)#swithport mode trunk 在交換機(jī)SWA的配置過程為： SWA(config)#interface GigabitEthernet 0/1 SWA(config-if)#swithport mode trunk 在交換機(jī)SWB、SWC的配置過程與SWA相同 3. 創(chuàng)建VLAN 在交換機(jī)SWCORE的配置過程為： SWCORE#vlan d

38、atabase SWCORE(vlan)#vlan 10 name VLAN10 SWCORE(vlan)#vlan 20 name VLAN20 4. 將交換機(jī)的端口劃入將交換機(jī)的端口劃入VLAN 在交換機(jī)在交換機(jī)SWA的配置過程為：的配置過程為： SWA(config)#interface range fa 0/1-12 SWA(config-if-range)#switchport access vlan 10 SWA(config-if-range)#interface range fa 0/13-24 SWA(config-if-range)#switchport access vl

39、an 20 在交換機(jī)在交換機(jī)SWB、SWC的配置過程與的配置過程與SWA相同相同。 5. 配置VLAN間路由 要實(shí)現(xiàn)網(wǎng)絡(luò)的通信，首先要給各VLAN分配IP地址。給VLAN 分配IP地址有靜態(tài)分配和動(dòng)態(tài)分配兩種方式。由于本例中的 核心交換機(jī)為三層交換機(jī)，因此只要在核心交換機(jī)上分別配 置各VLAN的接口IP地址，然后在接入各VLAN的PC上設(shè)置與 所屬VLAN網(wǎng)絡(luò)標(biāo)識(shí)一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該 VLAN的接口IP地址，就可以實(shí)現(xiàn)VLAN間的通信。在核心交 換機(jī)上配置各VLAN接口IP地址的配置過程為： SWCORE(config)#interface vlan 10 SWCORE(co

40、nfig-if)#ip address SWCORE(config-if)#no shutdown SWCORE(config-if)#interface vlan 20 SWCORE(config-if)#ip address SWCORE(config-if)#no shutdown 6 配置生成樹協(xié)議 1、生成樹協(xié)議的作用 在企業(yè)網(wǎng)絡(luò)通信中，為了確保網(wǎng)絡(luò)連接的可靠性和穩(wěn)定性，常常需要網(wǎng)絡(luò)提 供冗余鏈路和故障的快速恢復(fù)功能，因此會(huì)采用多條鏈路連接交換設(shè)備形成 備份鏈接的方式。例如在如

41、圖所示的網(wǎng)絡(luò)中，客戶機(jī)和服務(wù)器之間存在著兩 條鏈路，當(dāng)鏈路1發(fā)生故障時(shí)，客戶機(jī)和服務(wù)器之間仍然能夠通信。但是由 于在第二層網(wǎng)絡(luò)中不能使用路由協(xié)議，無法進(jìn)行路由選擇，因此這兩條鏈路 不能同時(shí)工作，否則會(huì)形成交換回路，從而導(dǎo)致多幀復(fù)制、MAC地址表不穩(wěn) 定，引發(fā)廣播風(fēng)暴。 RSTP、PVST和MSTP （1）RSTP STP的最大缺點(diǎn)是收斂時(shí)間太長，當(dāng)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)新 的配置消息要經(jīng)過一定的時(shí)延才能傳播到整個(gè)網(wǎng)絡(luò)，在所 有交換機(jī)收到這個(gè)變化的消息之前，可能存在臨時(shí)環(huán)路。 為了解決STP的缺陷，出現(xiàn)了快速生成樹協(xié)議RSTP。 （2）PVST 當(dāng)網(wǎng)絡(luò)上有多個(gè)VLAN時(shí)，必須保證每一個(gè)VLAN都不存

42、在環(huán) 路。Cisco的VLAN生成樹協(xié)議（Per VLAN Spanning Tree， PVST）會(huì)為每個(gè)VLAN構(gòu)建一棵STP樹 。 PVST是Cisco交換機(jī)的默認(rèn)模式。 （3）MSTP MSTP（Multiple Spanning Tree Protocol，多生成樹協(xié)議） 定義了“實(shí)例”的概念，所謂實(shí)例是多個(gè)VLAN的集合，每 個(gè)實(shí)例僅運(yùn)行一個(gè)快速生成樹。在使用時(shí)可以將多個(gè)相同 拓?fù)浣Y(jié)構(gòu)的VLAN映射到一個(gè)實(shí)例中。 案例1 在如圖所示的網(wǎng)絡(luò)中，兩臺(tái)Cisco 2960交換機(jī)分別命名為SWA和SWB，計(jì)算機(jī) PCA與PCB的IP地址分別為/24和/24，為了提高網(wǎng)絡(luò)的 可靠性，現(xiàn)使用2條鏈路將交換機(jī)互聯(lián)，要求在交換機(jī)上進(jìn)行適當(dāng)設(shè)置，使網(wǎng)絡(luò) 避免環(huán)路。 基本配置過程為： 1. 在每臺(tái)交換機(jī)上進(jìn)行端口配置 在交換機(jī)SWA上的配置過程為： SWA(config)#interface range fa