《交换与路由器配置与管理第3章课件》由会员分享,可在线阅读,更多相关《交换与路由器配置与管理第3章课件(51页珍藏版)》请在金锄头文库上搜索。
1、交换机路由器配置与管理交换机路由器配置与管理第第3 3章章 虚拟局域网及其配置虚拟局域网及其配置交换机交换机/ /路由器配置与管路由器配置与管理理3.1 虚拟局域网简介虚拟局域网简介 虚拟局域网(Virtual Local Area Network)通常简称为VLAN。它是将局域网从逻辑上划分为一个个的网段,从而实现虚拟工作组的一种交换技术。使用集线器或交换机所构成的一个物理局域网,整个网络属于同一个广播域。网桥、集线器和交换机设备都会转发广播帧,因此任何一个广播帧或多播帧(Multicast Frame)都将被广播到整个局域网中的每一台主机。在网络通讯中,广播信息是普遍存在的 ,这些广播帧将
2、占用大量的网络带宽,导致网络速度和通讯效率的下降,并额外增加了网络主机为处理广播信息所产生的负荷。目前,蠕虫病毒相当泛滥,如果不对局域网进行有效的广播域隔离,一旦病毒发起泛洪广播攻击,将会很快占用完网络的带宽,导致网络的阻塞和瘫痪。 交换机交换机/ /路由器配置与管路由器配置与管理理路由器具有路由转发、防火墙和隔离广播的作用,路由器不会转发广播帧,因此,要实现对网络的分段和广播域的隔离,应使用路由器来实现。可以使用路由器上的以太网接口为单位来划分网段,从而实现对广播域的分割和隔离。路由器所能划分出的网段,取决于路由器上以太网接口的数目,但通常情况下,路由器所带的以太网接口数量很少,一般为14个
3、,远远不能满足对网络分段的需要,而交换机则配备有较多的以太网端口,为了实现利用交换机端口来对网络进行分段隔离,从而诞生了VLAN交换技术。 一个VLAN就是一个网段,通过在交换机上划分VLAN,可将一个大的局域网划分成若干个网段,每个网段内所有主机间的通讯和广播仅限于该VLAN内,广播帧不会被转发到其他网段,即一个VLAN就是一个广播域,VLAN间是不能进行直接通信的,从而就实现了对广播域的分割和隔离。交换机交换机/ /路由器配置与管路由器配置与管理理若要实现VLAN间的通讯,就必须为VLAN设置路由,这可使用路由器或三层交换机来实现。二层交换机可以划分VLAN,若没有路由器,则无法实现VLA
4、N间的通讯,由于三层交换机具备路由功能,在实际应用中,通常在三层交换机中来划分VLAN,以支持VLAN间的相互通讯。从中可见,通过在局域网中划分VLAN,可起到以下方面的作用: v控制网络的广播,增加广播域的数量,减小广播域的大小。 v便于对网络进行管理和控制。VLAN是对端口的逻辑分组,不受任何物理连接的限制,同一VLAN中的用户,可以连接在不同的交换机,并且可以位于不同的物理位置,增加了网络连接、组网和管理的灵活性。 交换机交换机/ /路由器配置与管路由器配置与管理理v增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在
5、一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。 交换机交换机/ /路由器配置与管路由器配置与管理理3.2 静态静态VLAN与动态与动态VLAN VLAN创建后,接下来就可指定端口所属的VLAN,默认情况下,交换机的所有端口均属于VLAN1,VLAN1是交换机默认创建和管理的VLAN。 1静态VLAN静态VLAN就是明确指定各端口所属VLAN的设定方法,通常也称为基于端口的VLAN,其特点是将交换机按端口进行分组,每一组定义为一个VLAN
6、,属于同一个VLAN的端口,可来自一台交换机,也可来自多台交换机,即可以跨越多台交换机设置VLAN。基于端口的VLAN划分如下图所示。 交换机交换机/ /路由器配置与管路由器配置与管理理静态指定各端口所属的VLAN,需要一个端口一个端口地进行设置,当要设定的端口数目较多时,工作量会比较大,通常适合于网络拓扑结构不是经常变化的情况。静态VLAN是目前最常用的一种VLAN端口划分方式。 2动态VLAN动态VLAN是根据每个端口所连的计算机,动态设置端口所属VLAN的设定方法。动态VLAN通常可分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN。基于MAC地址的VLAN,就是根据端
7、口所连计算机的网卡MAC地址,来决定该端口所属的VLAN。在这种方式下,端口所属的VLAN,不是事先固定的,而是由所连计算机的MAC地址来决定的。比如,若MAC地址为“00-0C-6E-E1-1B-36”的计算机被设置为属于VLAN2,则该台计算机无论接到交换机的哪个端口,其所连端口就会被自动划归为VLAN2。基于子网的VLAN,是根据端口所连计算机的IP地址,来决定端口所属的VLAN。基于用户的VLAN,是根据端口所连计算机的当前登录用户,来决定该端口所属的LAN。 交换机交换机/ /路由器配置与管路由器配置与管理理3.3 VLAN的汇聚链接与封装协议的汇聚链接与封装协议 在实际应用中,通常
8、需要跨越多台交换机的多个端口划分VLAN,比如,同一个部门的员工,可能会分布在不同的建筑物或不同的楼层中,此时的VLAN,就将跨越多台交换机 。跨越多台交换机的VLAN 交换机交换机/ /路由器配置与管路由器配置与管理理VLAN内的主机彼此间应可以自由通讯,当VLAN成员分布在多台交换机的端口上时,如何才能实现彼此间的通讯呢?解决的办法就是在交换机上各拿出一个端口,用于将两台交换机级联起来,专门用于提供该VLAN内的主机跨交换机相互通讯。有多少个VLAN,就对应地需要占用多少个端口,用来提供VLAN内主机的跨交换机相互通讯,如下图所示。 VLAN内的主机在交换机间的通讯 交换机交换机/ /路由
9、器配置与管路由器配置与管理理这种方法虽然解决了VLAN内主机间的跨交换机通讯,但每增加一个VLAN,就需要在交换机间添加一条互联链路,并且还要额外占用交换机端口,这对保贵的交换机端口而言,是一种严重的浪费,而且扩展性和管理效率都很差。为了避免这种低效率的连接方式和对交换机端口的大量占用,人们想办法让交换机间的互联链路汇集到一条链路上,让该链路允许各个VLAN的通讯流经过,这样就可解决对交换机端口的额外占用,这条用用于于实实现现各各VLAN在在交交换换机机间间通通讯讯的的链链路路,称称为为交交换换机机的的汇汇聚聚链链路路或或主主干干链链路路(Trunk Link),如下图所示。用于提供汇聚链路的
10、端口,称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量,因此要求只有通讯速度在100Mbps或以上的端口,才能作为汇聚端口使用。交换机交换机/ /路由器配置与管路由器配置与管理理在引入VLAN后,交换机的端口按用途就分为了访问连接端口(Access Link)和汇聚连接(Trunk Link)端口两种。访问连接端口通常用于连接客户PC机,以提供网络接入服务。该种端口只属于某一个VLAN,并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连接端口属于所有VLAN共有,承载所有VLAN在交换机间的通讯流量。利用汇聚链路实现各VLAN内主机跨交换机的通
11、讯 交换机交换机/ /路由器配置与管路由器配置与管理理由于汇聚链路承载了所有VLAN的通讯流量,为了标识各数据帧属于哪一个VLAN,为此,需要对流经汇聚链接的数据帧进行打标(tag)封装,以附加上VLAN信息,这样交换机就可通过VLAN标识,将数据帧转发到对应的VLAN中。 目前交换机支持的打标封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议,属于国际标准协议,适用于各个厂商生产的交换机,该协议通常也简称为dot1q。IEEE802.1Q所附加的VLAN识别信息,位于数据帧中“发送源MAC地址”和“类别域(Type Fiel
12、d)”之间,所添加的内容为2字节的TPID和2字节的TCI,共计4个字节,其对数帧的封装过程如下图所示。 交换机交换机/ /路由器配置与管路由器配置与管理理IEEE802.1Q协议对数据帧的打标封装 交换机交换机/ /路由器配置与管路由器配置与管理理ISL是Inter Switch Link的缩写,是Cisco系列交换机支持的一种与IEEE802.1Q类似的,用于在汇聚链路上附加VLAN信息的协议,可用于以太网和令牌环网。ISL对数据帧进行打标封装时,采取在数据帧的头部附加26字节的ISL包头(ISL Header),并且在数据帧的尾部带上对包括ISL包头在内的整个数据帧进行计算后得到的4字节
13、的CRC值,即ISL协议保留数据帧原来的CRC,然后再附加上一个新的CRC,即封装时总共增加了30个字节的信息。当数据帧离开汇聚链路时,ISL只需简单地去除ISL包头和新CRC就可以了,由于数据帧原来的CRC被完整保留,因此无需重新计算。大多数Cisco设备都支持ISL。ISL与IEEE802.1Q协议互不兼容,ISL是Cisco独有的协议,只能用于Cisco网络设备之间的互联。交换机交换机/ /路由器配置与管路由器配置与管理理3.4 VLAN间主机的通讯间主机的通讯 同一个VLAN属于同一个广播域,主机彼此间可相互自由通讯。不同VLAN的主机若要相互通讯,则必须为VLAN指定路由,这可通过三
14、层交换机的路由交换模块或借助外部的路由器来实现。 对于没有路由功能的二层交换机,若要实现VLAN间的相互通信,就要借助外部的路由器来为VLAN指定默认路由,此时路由器的快速以太网接口与交换机的快速以太网端口,应以汇聚链路的方式相连,并在路由器的快速以太网接口上,为每一个VLAN创建一个对应的虚拟子接口,并设置虚拟子接口的IP地址,该IP地址以后就成为该VLAN的默认网关(路由)。由于这些虚拟子接口是直接连接在路由器上的,设置IP地址后,路由器会自动在路由表中,为各VLAN添加路由,从而实现VLAN间的路由转发,如下图所示。 交换机交换机/ /路由器配置与管路由器配置与管理理二层交换机借助外部路
15、由器实现VLAN间通讯 交换机交换机/ /路由器配置与管路由器配置与管理理VLAN间的主机通讯,遵循以下通讯过程:源主机源主机交换机交换机路由器路由器交换机交换机目的主机目的主机 交换机使用ASIC(Application Specified Integrated Circuit)专用硬件芯片来处理数据帧的交换,从而可以实现以线缆速度(Wired Speed)来交换数据。三层交换机是带有路由功能的交换机,其路由模块与交换模块共同使用ASIC硬件芯片,可实现高速度的路由,并且在对第一个数据帧进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据帧再次通过时,交换机会直接从二层转发,而
16、不用再路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。另一方面,交换机的路由模块与交换模块是在交换机内部直接汇聚连接的,可以提供相当高的带宽,因此,使用三层交换机来配置VLAN和提供VLAN间的通讯,比使用二层交换机和路由器更好,配置和使用也更方便。 交换机交换机/ /路由器配置与管路由器配置与管理理3.5 VLAN的配置方法的配置方法 在进行VLAN配置时,首先应根据应用需求,规划设计好网络拓扑结构,并进行VLAN划分和IP地址分配规划,最后才开始着手VLAN的配置和调试。 3.5.1 创建VTP管理域 1VTP简介 VTP是VLAN Trunking Proto
17、col的缩写,称为VLAN链路聚集协议,它是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议,以在同一个VTP域中维持VLAN配置的一致性。在同一个VTP域中的交换机,可通过VTP协议来互相学习VTP信息。VTP协议对于运行ISL或IEEE802.1Q封装协议的汇聚链路也都适用。 在创建VLAN之前,应先定义VTP管理域,VTP消息能在同一个VTP管理域内,同步和传递VLAN配置信息。另外,利用VTP协议,还能实现从汇聚链路中,裁剪掉不需要的VLAN流量。交换机交换机/ /路由器配置与管路由器配置与管理理VTP有server、client和transparent(透明)三种工作
18、模式,这些工作模式决定了是否允许指定的交换机管理VLAN、VTP如何传送和同步VLAN配置。 server模式server模式是交换机默认的工作模式,运行在该模式的交换机,允许创建、修改和删除本地VLAN数据库中的VLAN,并允许设置一些对整个VTP域的配置参数。在对VLAN进行创建、修改或删除之后,VLAN数据库的变化将传递到VTP域内所有处于server或client模式的其他交换机,以实现对VLAN信息的同步。另外,server模式的交换机也可接收同一个VTP域内其他交换机发送来的同步信息。 client模式处于该模式下的交换机不能创建、修改和删除VLAN,也不能在NVRAM中存储VLA
19、N配置,如果掉电,将丢失所有的VLAN信息。该模式下的交换机,主要通过VTP域内其他交换机的VLAN配置信息来同步和更新自己的VLAN配置。交换机交换机/ /路由器配置与管路由器配置与管理理 transparent模式transparent模式也可以创建、修改和删除本地VLAN数据库中的VLAN,但与server模式不同的是,对VLAN配置的变化,不会传播给其他交换机,即对VLAN的配置改变,仅对处于透明模式的交换机自身有效。 2创建VTP管理域要在交换机上激活启动VTP,应先创建VTP管理域,然后再设置VTP的工作模式,最后还要配置和启动汇聚链路。VTP信息只通过汇聚链路传送,如果交换机之间
20、没有配置启动一条汇聚链路,则两台交换机之间是无法完成VLAN配置信息的交换更新的。 交换机交换机/ /路由器配置与管路由器配置与管理理 创建VTP管理域 配置命令:vtp domain domain_name该配置命令在vlan配置模式下运行,用于创建一个vtp管理域。只有属于同一个vtp域的交换机彼此间才能交换VLAN信息。一个交换机只能同时属于某一个VTP域。 domain_name代表要创建的vtp管理域。注意该域名称是区分大小写的,vtp域名不会隔断广播域,仅用于同步VLAN配置信息。例如,若要在Cisco Catalyst 3550交换机中创建一个名为cqddvtpdomain的管理
21、域,则配置命令为:S3550enableS3550#vlan databaseS3550 (vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.S3550 (vlan)#交换机交换机/ /路由器配置与管路由器配置与管理理 设置VTP模式配置命令:vtp server|client|transparent该命令在vlan数据库配置模式下运行,用于设置VTP的工作模式。例如,若要将Cisco Catalyst 3550交换机设置为server模式,则配置命令为:S3550 (vlan)#vtp serverS3550 (v
22、lan)#exit 查看VTP信息若要查看VTP的状态信息,可使用命令:show vtp statusS3550#show vtp status交换机交换机/ /路由器配置与管路由器配置与管理理3.5.2 配置配置trunking和封装方法和封装方法 在两个交换机上,用于实现汇聚链路的那个端口,都必须配置成具有trunking(链路聚集)功能的端口。Cisco交换机支持两种以太网链路聚集机制,即打标封装协议ISL和IEEE 802.1Q。要配置交换机的汇聚链路,应先选择要配置的交换机端口,并设置所用的封装协议,然后再通过switchport mode trunk配置命令来启用该端口的trunk
23、ing功能,其配置命令为: (global)interface type mod/port (interface)switchport (interface)switchport trunk encapsulation isl|dot1q (interface)switchport mode trunk 配置命令说明:(global)和(interface)分别代表该命令在全局配置模式和接口配置模式下运行。 switchport用于设置交换机的端口为2层端口。对于2层交换机不需要运行该命令,若是3层交换机,并且若端口处于3层端口,则应执行该命令,将端口设置为2层交换端口。 交换机交换机/ /路
24、由器配置与管路由器配置与管理理switchport trunk encapsulation用于设置汇聚链路采用的打标封装协议,isl代表ISL协议,dot1q代表IEEE 802.1Q协议。 switchport mode trunk命令用于激活启用端口的链路聚集功能。若要在该端口上禁用trunking功能,则使用no switchport mode trunk配置命令。 例例3.1 现有2台Cisco Catalyst 3550-24交换机,每台交换机均配有2个千兆的光纤模块,2台交换机通过长距离单模光纤相连在第1个光纤模块端口上,用于实现2个校区间的通讯。这2台交换机的主机名分别为benb
25、u和fenxiao,网络拓扑结构如下图所示。现要求将这2台交换机的第1个光纤模块端口,配置为汇聚链路端口,打标封装协议采用IEEE 802.1Q。交换机交换机/ /路由器配置与管路由器配置与管理理 分析: Cisco Catalyst 3550-24拥有24个100M以太网端口,同时可选配2个千兆位的光纤模块。所有端口均在模块0中,这2个千兆位的光纤模块端口的编号分别为1和2。要实现两个交换机间的汇聚连接,只需分别在这2个交换机的千兆位端口1上启用trunking功能即可。其配置步骤如下: 配置位于校本部的Cisco Catalyst 3550-24交换机,并设置为VTP Server工作模式
26、。 交换机交换机/ /路由器配置与管路由器配置与管理理benbuenable benbu#vlan databasebenbu(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain modified.benbu(vlan)#vtp serverbenbu(vlan)#exitbenbu#config tbenbu(config-if)#interface GigabitEthernet 0/1benbu(config-if)#switchportbenbu(config-if)#switchport trunk encapsulation
27、 dot1qbenbu(config-if)#switchport mode trunkbenbu(config-if)#endbenbu#show interface trunk benbu#write 交换机交换机/ /路由器配置与管路由器配置与管理理 配置位于分校区的Cisco 3550交换机,将其加入到名为cqddvtpdomain的VTP管理域中,并设置为vtp client工作模式。 fenxiaoenablefenxiao#vlan databasefenxiao(vlan)#vtp domain cqddvtpdomainVTP domain cqddvtpdomain mod
28、ified.fenxiao(vlan)#vtp clientfenxiao(vlan)#exitfenxiao#config tfenxiao(config)#interface GigabitEthernet 0/1fenxiao(config-if)#switchportfenxiao(config-if)#switchport trunk encapsulation dot1qfenxiao(config-if)#switchport mode trunkfenxiao(config-if)#endfenxiao#show interface trunkfenxiao#write交换机交
29、换机/ /路由器配置与管路由器配置与管理理3.5.3 创建创建VLAN 配置好VTP管理域、VTP模式和trunking链路后,接下来就可以在VTP Server工作模式的交换机上创建VLAN。创建后,就会通过VTP消息通告给整个管理域中的所有其他交换机,以让其他交换机同步和更新VLAN配置信息。 创建VLAN的配置命令在VLAN数据库配置模式下运行,其用法为: vlan vlan-id name vlan-name 其中vlan-id代表要创建的VLAN的id号,vlan-name代表该VLAN的名字,为可选项。默认情况下,交换机会自动创建和管理VLAN 1,所有交换机端口默认均属于VLAN
30、 1,用户不能删除该VLAN。 查看交换机的VLAN配置信息,可在特权EXEC模式下,执行show vlan命令,采用show vlan vlan-id命令用法,来显示指定VLAN的信息。 交换机交换机/ /路由器配置与管路由器配置与管理理 例例3.2 在例3.1的基础上,在名为benbu的Cisco 3550交换机上创建id号为2、3、4的3个VLAN,VLAN的名称分别为student、teacher和office。benbuenable benbu#vlan database benbu(vlan)#vlan 2 name studentVLAN 2 added: Name: stude
31、nt benbu(vlan)#vlan 3 name teacherVLAN 3 added: Name: teacher benbu(vlan)#vlan 4 name officeVLAN 4 added:Name: office benbu(vlan)#exit交换机交换机/ /路由器配置与管路由器配置与管理理3.5.4 划分划分VLAN端口端口 VLAN的创建可在任意一台工作在VTP Server模式的交换机上进行,但要将端口指派给某个VLAN,则必须在该端口所在的交换机上进行。要将一个端口设置为某个VLAN的成员,首先应选择该端口,然后在接口配置模式,通过以下配置命令来实现: swi
32、tchport access vlan vlan-id 其中,vlan-id为VLAN的id号,表示将端口划入哪一个VLAN。以上配置命令,将当前选择的端口划归为vlan-id指定的VLAN。 例例3.3 试将benbu交换机的26号端口以及fenxiao交换机的24号端口划入student VLAN,将benbu交换机的7-9端口和fenxiao交换机的5-9号端口划入teacher VLAN,将benbu交换机的10-12号端口和fenxiao交换机的10-12号端口划入office VLAN。 交换机交换机/ /路由器配置与管路由器配置与管理理 配置步骤: 分配benbu交换机各端口所属
33、的VLAN。 benbu#config t !选择端口benbu(config)#interface fa0/2!设置为访问连接端口benbu(config-if)#switchport mode access!设置端口使用portfast模式,以禁止运行生成树协议STPbenbu(config-if)#spanning-tree portfast !将端口划归到VLAN 2benbu(config-if)#switchport access vlan 2交换机交换机/ /路由器配置与管路由器配置与管理理benbu(config-if)#interface fa0/3benbu(config-
34、if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 2benbu(config-if)#interface fa0/12benbu(config-if)#switchport mode accessbenbu(config-if)#spanning-tree portfast benbu(config-if)#switchport access vlan 4 benbu(config-if)#end benbu#write benbu#
35、show vlan交换机交换机/ /路由器配置与管路由器配置与管理理 benbu交换机的端口分配 以上配置方法,采用的是逐个端口逐个端口地进行VLAN指定,对于Cisco 3550交换机,可通过使用range关键字来选择一个端口范围,以简化对VLAN端口的指定,其配置命令为: 交换机交换机/ /路由器配置与管路由器配置与管理理benbu#config t benbu(config)#interface range fa0/2 - 6 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tre
36、e portfast benbu(config-if-range)#switchport access vlan 2 benbu(config-if-range)#interface range fa0/7 - 9 benbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 3 benbu(config-if-range)#interface range fa0/10 - 12 b
37、enbu(config-if-range)#switchport mode access benbu(config-if-range)#spanning-tree portfast benbu(config-if-range)#switchport access vlan 4 benbu(config-if-range)#end benbu#copy run start 交换机交换机/ /路由器配置与管路由器配置与管理理 配置fenxiao交换机各端口所属的VLAN。 fenxiao#config t fenxiao(config)#interface range fa0/2 - 4fenxi
38、ao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 2 fenxiao(config-if-range)#interface range fa0/5 - 9fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-
39、if-range)#switchport access vlan 3fenxiao(config-if-range)#interface range fa0/10 - 12fenxiao(config-if-range)#switchport mode accessfenxiao(config-if-range)#spanning-tree portfast fenxiao(config-if-range)#switchport access vlan 4交换机交换机/ /路由器配置与管路由器配置与管理理fenxiao(config-if-range)#end fenxiao#copy run
40、 start fenxiao#show vlanfenxiao交换机的端口分配 交换机交换机/ /路由器配置与管路由器配置与管理理VLAN间要实现3层交换和相互通讯,就必须在3层交换机上为每个VLAN创建一个虚拟的子接口,并设置接口的IP地址或同时设置DHCP服务器的地址,这样就可实现虚拟子接口之间的路由,从而实现VLAN间的通讯。各VLAN对应的虚拟子接口的IP地址,就成为该VLAN的默认网关地址。为虚拟子接口设置DHCP服务器的地址后,VLAN中的成员主机就可利用指定的DHCP服务器,自动获得IP地址,从而实现IP地址的动态分配。 1设置VLAN虚拟子接口IP地址 创建VLAN的虚拟子接口
41、,并为其设置IP地址的配置命令为: interface vlan vlan-id ip address adress netmask no shutdown3.5.5 实现实现VLAN间的通讯间的通讯 交换机交换机/ /路由器配置与管路由器配置与管理理其中interface vlan配置命令在全局配置模式下运行,用于选择指定VLAN的虚拟子接口。ip address配置命令用于为接口设置IP地址。 例如,若要给VLAN 2设置IP地址为192.168.2.1,子网掩码为255.255.255.0,则配置命令为: benbu#config t benbu(config)#interface vl
42、an 2 benbu(config-if)#ip benbu(config-if)#no shutdown 设置好VLAN虚拟子接口的IP地址后,路由模块会自动在路由表中添加相应的路由。 交换机交换机/ /路由器配置与管路由器配置与管理理2为虚拟子接口指定DHCP服务器地址 若VLAN中的主机要采用自动获得IP地址,则要为该VLAN的虚拟子接口设置指定DHCP服务器的地址,然后在DHCP服务器中,为该网段添加作用域,并设置可分配的IP地址池、IP地址的租用期、默认路由(设置为虚拟子接口的IP地址)和DNS服务器的地址等信息,这样VLAN中的主机在获得IP地址的同时,就可获得默认网关和DNS服务
43、器的地址信息。 为VLAN虚拟子接口设置指定DHCP服务器的地址,使用以下配置命令: ip helper-address dhcp-server其中的dhcp-server代表DHCP服务器的IP地址。若DHCP服务器与DHCP客户机不在同一个VLAN内,则必须使用ip helper-address配置命令为其指定DHCP服务器的地址。 例如,若DHCP服务器的IP地址为192.168.252.253,则配置命令为: benbu(config-if)#ip helper-address 192.168.252.253 交换机交换机/ /路由器配置与管路由器配置与管理理 例例3.4假设VLAN
44、2网段的IP地址为,默认网关为,VLAN中的主机采用自动获得IP地址方式,DHCP服务器的IP地址为;VLAN 3的网段地址为,默认网关为,采用静态IP地址分配方式;VLAN 4的网段地址为,默认网关为,采用自动获得IP地址方式,DHCP服务器的IP地址为。 配置步骤: 在主机名为benbu的三层交换机中进行配置。 benbu#config t benbu(config)#interface vlan 2 benbu(config-if)#ip benbu(config-if)#ipbenbu(config-if)#no shutdown benbu(config-if)#interface
45、vlan 3 benbu(connfig-if)#ipbenbu(config-if)#no shutdown交换机交换机/ /路由器配置与管路由器配置与管理理benbu(connfig-if)#interface vlan 4 benbu(connfig-if)#ip benbu(config-if)#ipbenbu(config-if)#no shutdown benbu(config-if)#end benbu#write benbu#exit 配置DHCP服务器,分别为192.168.2.0/24和192.168.3.0/24网段添加作用域。DHCP服务器IP地址静态设置为192.16
46、8.2.254。在设置192.168.2.0/24网段可分配的IP地址池时,注意不要将192.168.2.254地址添加到地址池中了,在设置IP地址池时,通常可保留一部分地址以备静态分配使用。 配置好DHCP服务器之后,VLAN 2和VLAN 4中的用户,开机之后就可访问本网段和其他网段的主机。对于采用静态IP地址分配的VLAN 3中的用户,必须手工设置主机的IP地址、默认网关和DNS服务器的地址。 交换机交换机/ /路由器配置与管路由器配置与管理理根据需要,可通过定义访问控制列表(Access Control List,简称ACL),来实现VLAN间通讯的Ip包过滤,从而实现访问策略的控制A
47、CL配置的基本步骤和方法为: 1配置访问列表 Cisco交换机与路由器配置访问列表的命令和方法均相同。IP访问列表分为标准的IP访问列表和扩展的IP访问列表,扩展IP访问列表允许使用更多的匹配项,即允许表达更多的过滤条件,实际应用中,通常采用扩展IP访问列表。配置定义的每个IP访问列表都有一个编号,标准的IP访问列表编号范围为199,扩展的IP访问列表编号范围为100199。配置访问列表在交换机的全局配置模式下,使用access-list配置命令来创建,允许创建多个访问列表编号不同的访问列表 。3.5.6 在在VLAN上应用访问列表上应用访问列表 交换机交换机/ /路由器配置与管路由器配置与管
48、理理2应用访问列表到端口 访问列表配置定义后,必须应用到指定的端口,才能实现对ip数据包的过滤功能。选择应用的端口后,然后再用以下配置命令应用指定的访问列表到该端口。ip access-group access-list-number in|out其中的access-list-number为前面定义的访问列表的编号。in|out二者任选其一,代表IP数据包的方向。in代表对通过接口进入的数据包应用包过滤规则,即仅对通过该端口流入的数据进行过滤。Out则相反,指对通过该端口流出的数据利用该规则进行过滤。若要取消应用访问列表,可执行配置命令:no ip access-group access-li
49、st-number in|out 交换机交换机/ /路由器配置与管路由器配置与管理理例例3.6 假设在Cisco 3550交换机上的第5、第6和第7端口属于VLAN 10,第5号端口用于连接局域网内网,第6号端口用于连接代理服务器的内网卡。现要求全部过滤掉从局域网内网,向代理服务器发起的对任何主机的135-145端口和对445端口的连接请求。 配置步骤: 创建VLAN,并划分VLAN端口。S3550#vlan databaseS3550(vlan)#vlan 10 name lanfirewallS3550(vlan)#exitS3550#config tS3550(config)#inter
50、face range fa0/5 - 7S3550(config-if-config)#switchport access vlan 10S3550(config-if-config)#exitS3550(config)# 交换机交换机/ /路由器配置与管路由器配置与管理理 配置访问列表。S3550(config)#access-list 101 deny tcp any any range 135 145S3550(config)#access-list 101 deny tcp any any eq 445S3550(config)#access-list 101 deny udp any
51、 any range 135 145S3550(config)#access-list 101 deny udp any any eq 445S3550(config)#access-list 101 permit ip any any 在端口5的进入方向应用访问列表。S3550(config)#interface fa0/5S3550(config-if)#ip access-group 101 inS3550(config-if)#endS3550#copy run startS3550#exit利用ACL的IP包过滤功能,可起到防火墙的功能。因此,也可直接利用一台三层交换机的3个端口,通
52、过配置ACL来实现防火墙。交换机交换机/ /路由器配置与管路由器配置与管理理3.6 指定指定trunk链路中的链路中的VLAN 默认情况下,trunk链路允许所有VLAN的流量通过,但可采用手工静态指定或动态自动判断两种方式,来设置允许通过trunk链路的VLAN流量。 3.6.1 静态指定trunk链路中的VLAN 用户自定义的VLAN号范围一般为2-1001,1002-1005和VALN 1为系统保留使用。可以手工静态地从trunk链路中删除或添加允许通过的VLAN。 1设置不允许通过trunk链路的VLAN 配置命令: interface type mod/port switchport
53、 trunk allowed vlan remove vlanlist 交换机交换机/ /路由器配置与管路由器配置与管理理配置说明: 在配置前,首先应使用interface配置命令,选中trunk链路端口,然后再使用第2条配置命令从trunk链路中删除指定的VLAN,即不允许这些VLAN的通讯流量通过trunk链路。 vlanlist代表要删除的VLAN号列表,各VLAN之间用逗号进行分隔。 例如,假设Cisco 3550的快速以太网端口1是trunk链路端口,现要将VLAN 3和VLAN 4从trunk链路中删除,则配置命令为: C3550#config t C3550(config)#in
54、terface fa 0/1 C3550(config-if)#switchport trunk allowed vlan remove 3,4 若要在trunk链路中删除2至1001号VLAN的流量,则配置命令为: C3550(config)#interface fa 0/1 C3550(config-if)#switchport trunk allowed vlan remove 2 - 1001 注意在连字符“-”的左右要各留一个空格。交换机交换机/ /路由器配置与管路由器配置与管理理2设置允许通过trunk链路的VLAN 配置命令: interface type mod/port sw
55、itchport trunk allowed vlan add vlanlist 例如,若要在trunk链路中添加允许VLAN 2和5的通讯流量通过,则配置命令为: C3550(config-if)#switchport trunk allowed vlan add 2,5 若要配置trunk链路仅允许VLAN 1、VLAN 2和VLAN 5通过,则配置命令为: C3550#config t C3550(config)#interface fa 0/1 C3550(config-if)#switchport trunk allowed vlan remove 2 - 1001 C3550(co
56、nfig-if)#switchport trunk allowed vlan add 1,2,5 C3550(config-if)#end C3550#copy run start交换机交换机/ /路由器配置与管路由器配置与管理理若要设置允许所有的VLAN通过trunk链路,则配置命令为: switchport trunk allowed vlan all 3.6.2 启用VTP Pruning VTP的Pruning(裁剪)功能可以让交换机不转发在远程交换机上并不活动的VLAN的用户流量,从而实现在trunk链路上裁剪掉不必要的流量。当以后需要这个VLAN的流量通过trunk链路时,VTP会
57、自动允许该VLAN的流量经过trunk链路。 1启用VTP Pruning功能 配置命令:vtp pruning 该命令在vlan数据库配置模式下运行。要实现启用VTP Pruning功能,VTP域中的所有交换机必须支持VTP版本2,但并不一定要启用VTP版本2。目前的交换机一般均支持VTP版本2的功能。交换机交换机/ /路由器配置与管路由器配置与管理理例如,若要在Cisco 3550交换机上启用VTP Pruning功能,则配置命令为: C3550#vlan database C3550(vlan)#vtp pruning C3550(vlan)#end C3550#copy run sta
58、rt2指定符合裁剪资格的VLAN 默认情况下,所有的VLAN均有被裁剪的资格。可以使用以下配置命令,删除或添加允许参与裁剪功能的VLAN。 设置不允许参与裁剪功能的VLAN,配置命令为: interface type mod/port switchport trunk pruning vlan remove vlanlist 例如,假设trunk链路端口为快速以太网端口1,不允许VLAN 2参与VTP裁剪,则配置命令为:交换机交换机/ /路由器配置与管路由器配置与管理理C3550#config t C3550(config)#interface fa0/1 C3550(config-if)#switchport trunk pruning vlan remove 2 注意:在trunk链路两端的交换机中均要进行相应的配置。 设置允许参与VTP裁剪的VLAN,配置命令为: interface type mod/port switchport trunk pruning vlan add vlanlist
