【文章內容簡介】 機中間的連接均為Trunk。在兩臺核心交換機上分別設置VTP域和全部的Vlan號。Vlan的虛端口地址（對計算機來說，是網關地址）將全部設置CISCO6509核心交換機上。在兩臺樓內局域網的計算機間通信時，如果在同一個Vlan（同時也在同一個IP網段）中，那么不管之間跨著多少接入交換機，也不管之間的交換機是否啟用路由，都是可以基于橋接進行通信；當這兩臺計算機不在同一個Vlan中，那么就需要CISCO6509核心交換機做路由轉發(fā)。規(guī)劃設計研究院區(qū)域內網的各單位分配相應的vlan號和虛端口地址，vlan全部設置在核心交換機上，由核心交換機作路由。以下是vlan名稱設置和IP對應表： 中國石化經濟技術研究院VLAN規(guī)劃表序號部門VLAN IDIP地址段終端地址分配終端數VRRP接口虛地址網關掩碼核心A核心B1保留101252242黨人財、院辦、院領導100252243發(fā)展戰(zhàn)略研究所102252244市場營銷研究所103252245經濟政策研究所104252246信息研究所105252247經營部106252248評估部107252249基礎部1082522410行政處1092522411臨時 財務專機1102522412保留111252241122522411325224114252241152522414財務獨立網絡200409220 Trunk設計 Trunk介紹在若干交換機上劃分多個Vlan，那么對每個虛網內跨交換機通訊和Vlan之間的通訊都需要有一條鏈路連接。而Trunk（中繼）技術可以實現多個虛網內部跨交換機通訊共用一條鏈路以及交換機與交換機、交換機與路由器之間的Vlan連接。 Vlan Trunk方式有兩種，分為Cisco 私有的ISL（InterSwitch Link）（IEEE工業(yè)標準）兩種協議。區(qū)別是ISL不改變以太網的楨，只是在楨單元的外面一頭一尾加上標記；，加上標記。 Trunk設計對于經研院網絡系統(tǒng)集成項目，其6509和所有接入層交換機之間的連接端口工作模式均設置為Trunk，為了網絡的安全，只允許現有的Vlan通過。在兩個核心交換機的Trunk上面只允許以下vlan通過：序號部門VLAN ID1保留1012黨人財、院辦、院領導1003發(fā)展戰(zhàn)略研究所1024市場營銷研究所1035經濟政策研究所1046信息研究所1057經營部1068評估部1079基礎部10810行政處10911臨時 財務專機11012保留11111211311411514財務獨立網絡200 配置舉例：interface Portchannel1 switchport switchport trunk allowed vlan 1,100115,200,10021005 switchport trunk encapsulation dot1q switchport mode trunk VTP(Vlan Trunk Protocol)域設計 VTP介紹Cisco在多個交換機環(huán)境中建立Vlan 管理域的概念。在同一管理者下的一組交換機，可以通過中繼線（Trunk）發(fā)送Vlan 更新信息。這樣，只需要在一臺交換機上配置Vlan信息，就可以通過VTP廣播到所有的交換機上，節(jié)省了人工，且保持Vlan信息高度一致。 如果在Cisco 路由器上運行IGRP或EIGRP，所有路由器必須被設定為相同的自治系統(tǒng)號。同理，交換VTP更新信息的所有交換機必須配置為相同的管理域。而且必須通過中繼線連接在一起。交換機通過中繼線連在一起，因此這些交換機必須配置同一管理域名，這樣它們才能了解彼此的Vlan列表。如果不希望新交換機自動加入到管理域中，需要設置密碼。如果設置了密碼，除非設置了正確的密碼，新交換機不能加入到已存在的管理域中。交換機可以有三種VTP 模式。VTP服務器模式（VTP Server Mode）是默認值。處于VTP 服務器模式的交換機在所有的中繼端口向外發(fā)送更新數據，并且接收和處理從它的中繼端口接收到的VTP更新數據，它可以在本機配置Vlan。處于VTP 客戶模式（VTP Client Mode）的交換機在所有的中繼端口向外發(fā)送更新數據，并且讀取和獲得從它的中繼端口接收到的VTP 更新數據，但不能在本機上配置Vlan 。這種模式對于遠程更改交換機的主要參數是非常合適的。處于VTP透明模式（VTP Transparent Mode）的交換機無法處理從它的中繼端口接收到的VTP 更新數據，但它能將從另一個交換機收到的更新信息轉發(fā)到管理域，可自行更改本機Vlan參數。一旦設定為Client模式后，交換機不允許再更改Vlan配置。要恢復修改Vlan配置的能力，只要將模式改為透明模式即可。所有交換機上的VTP參數均要求一致，且網內最好只有一個VTP Server。 VTP設計核心和接入交換機VTP設計的版本為VTP Version2版本，模式采用VTP的透明模式。配置為VTP透明模式的交換機在Trunk端口上轉發(fā)VTP信息以保證其他交換機接收到更新信息，但這些交換機不修改自己的Vlan數據庫，也不發(fā)送Vlan狀態(tài)發(fā)生變化的更新信息。核心和接入交換機都加入到一個相同的VTP域中，模式都設置為VTP透明模式。采用VTP透明模式需要在核心和接入交換機手動的創(chuàng)建Vlan。每一個交換機添加刪除Vlan不會影響到其他的交換機的Vlan信息。在Vlan的安全上得到了很好的保證。 配置舉例：vtp domain namevtp version 2vtp mode transparent EtherChannel以太信道設計 EtherChannel介紹以太信道是CISCO私有的技術，通過將多個鏈路捆綁為一個邏輯的鏈路來增加帶寬和中繼速度。提供從10Mbit/s到160Mbit/s的速率。共有四種類別：標準一臺信道，快速以太信道FEC。GEC,10GEC。默認情況下，CISCO交換機支持將28條鏈路組成一個信道。隨著對中繼線路的帶寬要求越來越高，CISCO采用了對條線路捆綁為一個信道的方式來支持，以太信道可以部署在數據中心和配線間之間的那段鏈路上，特別是在廣域網路單挑鏈路帶寬較小的情況下，可以使用這種方式擴大帶寬。以太信道幀的分發(fā)方式CISCO采用一種私有的hash散列算法，將不同的幀通過散列算法在多條鏈路中平均分擔，達到負載均衡。但由于這種方式2層發(fā)送者的mac地址會產生變化，所以接受方需要采用按目的mac和ip進行轉發(fā)。以太信道聚合是另一種方式，這種聚合方式有兩種： 端口聚合協議PAGP：CISCO私有 鏈路局和控制協議LACP：PAgP(Port Aggregation Protocol)是CISCO私有協議，它可以將具有相同速度，雙工模式、本地vlan，vlan范圍和中繼狀態(tài)和類型的接口組合在一起。PAgP定義了如下幾種模式：模式可配置選項OnPAgP不進行操作，不管對方是怎樣配置的，端口總處理channeling狀態(tài)，如果對方的模式也為on，剛形成一個channel.Off不管對方怎么配置的，端口均不進行channeling.Auto(缺省)使用PAgP協議進行匯聚協商。將端口置于一個被動協商狀態(tài)，在收到PAgP包之前不會有PAgP包發(fā)送。Desirable使用PAgP協議進行匯聚協商。將端口置于一個主動協商狀態(tài)，主動發(fā)送PAgP包。Nonsilent(5000的光FE和GE口的缺省狀態(tài))一個auto或desirable模式的關鍵字。如果在接口上沒有數據包收到，接口一直不會關聯到agport，不能傳輸數據。Silent(4000、6000的端口和5000的銅接口的缺省狀態(tài))一個auto或desirable模式的關鍵字。如果在15秒內沒收到數據包，接口將關聯到一個agport并進行數據傳輸。Silent模式允許和一個不發(fā)送PAgP包的服務器進行channel操作。1) PAgP不會在動態(tài)vlan端口上建立聚合。因為動態(tài)vlan可以強迫端口改為另一個vlan。2) PAgP要求通道中所有的端口同屬于一個vlan或者配置為Trunk端口。3) 如果改變了一個端口的速率或者單雙工模式，那么通道中所有端口都設為這一速率或者單雙工模式。LACP Link Aggregation Control Protocol，鏈路匯聚控制協議）是一種實現鏈路動態(tài)匯聚的協議。LACP協議通過LACPDU（Link Aggregation Control Protocol Data Unit，鏈路匯聚控制協議數據單元）與對端交互信息。與PAgP等價，同屬于鏈路聚合協議。使用LACP處理信道分為主動和被動模式。要在LACP中自動啟動以太網信道配置，至少需要將鏈路的一端設置為主動模式。因為處于被動模式的端口只能被動的響應初始消息，永遠不會發(fā)起初始LACP分組。LACP定義4中模式： On模式將端口強制為信道而不需要LACP。在On模式下，只有當一個處于on模式的端口鏈接到另一個on模式的端口才能產生可用的以太信道。 Off模式阻止端口進入信道。Passive模式類似于PAgP的auto模式，因為它將端口置于被動協商狀態(tài)，該模式不發(fā)出初始LACP分組，并可以進入信道模式。它是LACP的默認模式。 Active模式，主動發(fā)起初始LACP分組，同時主動和Passive模式端口協商形成以太信道。 EtherChannel設計兩臺核心交換CISCO6509之間通過兩條萬兆鏈路互聯，配置成為Trunk，把兩條萬兆鏈路捆綁成EtherChannel。可以實現40萬M全雙工的帶寬。以太信道協議使用PAgP的Desirable模式，因為Desirable模式將端口置于一個主動協商狀態(tài)，主動發(fā)送PAgP包。只有當雙方的FEC協商成功后才建立channel，否則接口還處于正常狀態(tài)。 配置舉例：interface GigabitEthernet 0/1 2switchport switchport trunk encapsulation dot1q switchport mode trunk channelgroup 1 mode desirable！interface Portchannel1 switchport switchport trunk allowed vlan 1,100115,200,10021005 switchport trunk encapsulation dot1q switchport mode trunk！ 生成樹設計 生成樹協議介紹生成樹協議（Spanning Tree）是一種鏈路管理協議，它為網絡提供路徑冗余同時防止產生環(huán)路。為使以太網更好地工作，兩個工作站之間只能有一條活動路徑。網絡環(huán)路的發(fā)生有多種原因，最常見的一種是有意生成的冗余 － 萬一一個鏈路或交換機失敗，會有另一個鏈路或交換機替代。 生成樹協議允許網橋之間相互通信以發(fā)現網絡物理環(huán)路。該協議定義了一種算法，網橋能夠使用它創(chuàng)建無環(huán)路（loopfree）的邏輯拓樸結構。換句話說，STP 創(chuàng)建了一個由無環(huán)路樹葉和樹枝構成的樹結構，其跨越了整個第二層網絡。 生成樹協議操作對終端站透明，也就是說，終端站并不知道它們自己是否連接在單個局域網段或多網段中。當有兩個網橋同時連接相同的計算機網段時，生成樹協議可以允許兩網橋之間相互交換信息，這樣只需要其中一個網橋處理兩臺計算機之間發(fā)送的信息。 網橋之間通過橋接協議數據單元（Bridge Protocol Data Unit － BPDU）交換各自狀態(tài)信息。生成樹協議通過發(fā)送 BPDU 信息選出網絡中根交換機和根節(jié)點端口，并為每個網段（switched segment）選出根節(jié)點端口和指定端口。 網橋中的程序能夠決定如何使用生成樹協議，這稱為生成樹算法，該算法能夠避免網橋環(huán)路，并確保在多路徑情形下網橋能夠選擇一條最有效的路徑。如果最佳路徑失敗，可以使用該算法重新計算網絡路徑并找出下一條最佳路徑。 利用生成樹算法可以決定網絡（哪臺計算機主機在哪個區(qū)段），并通過 BPDU 信息交換以上數據。該過程主要分為以下兩個步驟： 步驟1：通過評估它所接收到的所有配置信息和選擇最優(yōu)選項，來決定一個網橋可發(fā)送的最佳信息。 步驟2：一旦選定某網橋發(fā)送的信息，網橋將該信息與來自無根（nonroot）連接的可能配置信息相比較。如果步驟1中選擇的最佳選項并不優(yōu)于可能配置信息，便刪除該端口?！　≡谟山粨Q機構成的交換網絡中通常設計有冗余鏈路和設備。這種設計的目的是防止一個點的失敗導致整個網絡功能的丟失。雖然冗余設計可能消除的單點失敗問題，但也導致了交換回路的產生，它會帶來如下問題：　　　　因此，在交換網絡中必須有一個機制來阻止回路