【文章內(nèi)容簡介】 wordencryption ――將所有口令進(jìn)行加密 VTY 口令 Switch(config) line vty 0 4 Switch(configline) login －－讓設(shè)備回顯一個要求輸入口令的提示 Switch(configline) password cisco ―― Tel 統(tǒng)一密碼 Switch(configline) exectimeout 10 0 ――設(shè)備超時時間為 10 分鐘 0 秒 Switch(config) line vty 0 4 Switch (configline) login local ――設(shè)置本地認(rèn)證模式 Switch (config) username zhangxy password ****** Switch (config) no username zhangxy 設(shè)備名稱 Switch(config) hostname test2950 test2950(config) no hostname snmp 網(wǎng)管串 Switch(config) snmpserver munity xxxxxx ro （只讀） Switch(config) snmpserver munity xxxxxx rw （讀寫） 交換機(jī)管理 IP 配置二層交換機(jī)設(shè)備的管理地址： Switch(config) int vlan 1 （交換機(jī) VLAN1 的網(wǎng)關(guān)地址就是設(shè)備的管理地址） Switch(configsubif) ip address CISCO 交換機(jī)配置手冊 第 7 頁 /共 212 頁 Switch(configsubif)description guanli//添加接口描述信息 Switch(configsubif) no shutdown 配置三層交換機(jī)的設(shè)備管理地址： Switch(config) int loopback0 ―― loopback 接口是一種邏輯接口，可以創(chuàng)建無數(shù)個 Switch(configif) ip address Switch (config) no int loopback 0 綜合實(shí)驗(yàn) 實(shí)驗(yàn) 目的： 設(shè)置三臺交換機(jī)名稱 設(shè)置 特權(quán)模式口令、 TELNET 口令 設(shè)置 交換機(jī)管理 IP 實(shí)驗(yàn) 圖 ： 實(shí)驗(yàn)配 置： CISCO 交換機(jī)配置手冊 第 8 頁 /共 212 頁 第二章 交換機(jī)高級配置 VLAN（虛擬局域網(wǎng)） 簡介 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。 VLAN 是一種比較新的技術(shù)，工作在 OSI參考模型的第 2層和第 3 層， VLAN 之間的通信是通過第 3 層的路由器來完成的。 在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域，指的是廣播幀（目標(biāo) MAC地址全部為 1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴(yán)格地說，并不僅僅是廣播幀，多播幀（ Multicast Frame）和目標(biāo)不明的單播幀（ Unknown Unicast Frame）也能在同一個廣播域中暢 行無阻。 本來 二層交換機(jī)只能構(gòu)建單一的廣播域，不過使用 VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域。 那么，為什么需要分割廣播域呢？那是因?yàn)椋绻麅H有一個廣播域，有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因，請參看附圖加深理解。 圖中，是一個由 5臺二層交換機(jī)（交換機(jī) 1～ 5）連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時，計算機(jī) A需要與計算機(jī) B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo) MACCISCO 交換機(jī)配置手冊 第 9 頁 /共 212 頁 地址才能正常通信，因此計算機(jī) A必須先廣播 “ARP請求（ ARP Request）信息 ”，來嘗試獲取計算機(jī) B的 MAC地址。 交換機(jī) 1收到廣播幀（ ARP請求）后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是 Flooding了。接著，交換機(jī) 2收到廣播幀后也會 Flooding。交換機(jī) 5也還會 Flooding。最終 ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。 請大家注意一下，這個 ARP請求原本是為了獲得計算機(jī) B的 MAC地址而發(fā)出的。也就是說：只要計算機(jī) B能收到就萬事大吉了?？墒鞘聦?shí)上，數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò)，導(dǎo)致所有的計算機(jī)都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面 ，收到廣播信息的計算機(jī)還要消耗一部分 CPU時間來對它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和 CPU運(yùn)算能力的大量無謂消耗。 廣播信息是那么經(jīng)常發(fā)出的嗎？ 讀到這里，您也許會問：廣播信息真是那么頻繁出現(xiàn)的嗎？ 答案是：是的！實(shí)際上廣播幀會非常頻繁地出現(xiàn)。利用 TCP/IP協(xié)議棧通信時，除了前面出現(xiàn)的 ARP外，還有可能需要發(fā)出 DHCP、 RIP等很多其他類型的廣播信息。 ARP廣播，是在需要與其他主機(jī)通信時發(fā)出的。當(dāng)客戶機(jī)請求 DHCP服務(wù)器分配 IP地址時 ，就必須發(fā)出 DHCP的廣播。而使用 RIP作為路由協(xié)議時，每隔 30秒路由器都會對鄰近的其他路由器廣播一次路由信息。 RIP以外的其他路由協(xié)議使用多播傳輸路由信息，這也會被交換機(jī)轉(zhuǎn)發(fā)（ Flooding）。除了 TCP/IP以外， NetBEUI、 IPX和 Apple Talk等協(xié)議也經(jīng)常需要用到廣播。例如在 Windows下雙擊打開 “網(wǎng)絡(luò)計算機(jī) ”時就會發(fā)出廣播（多播）信息。（ Windows XP除外 …… ） 總之，廣播就在我們身邊。下面是一些常見的廣播通信： ●? ARP請求：建立 IP地址和 MAC地址的映射關(guān)系。 ●? RIP： 選路信息協(xié)議 (Routing Infromation Protocol)。 ●? ? DHCP：用于自動設(shè)定 IP地址的協(xié)議。 ●? ? NetBEUI： Windows下使用的網(wǎng)絡(luò)協(xié)議。 ●? ? IPX： Novell Netware使用的網(wǎng)絡(luò)協(xié)議。 ●? Apple Talk：蘋果公司的 Macintosh計算機(jī)使用的網(wǎng)絡(luò)協(xié)議。 實(shí)現(xiàn)機(jī)制 在理解了 “為什么需要 VLAN”之后，接下來讓我們來了解一下交換機(jī)是如何使用 VLAN分割廣播域的。 首先，在一臺未設(shè)置任何 VLAN的二層交換機(jī)上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的 所有其他端口（ Flooding）。例如，計算機(jī) A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口 4。 CISCO 交換機(jī)配置手冊 第 10 頁 /共 212 頁 這時，如果在交換機(jī)上生成紅、藍(lán)兩個 VLAN；同時設(shè)置端口 2屬于紅色 VLAN、端口 4屬于藍(lán)色 VLAN。再從 A發(fā)出廣播幀的話，交換機(jī)就只會把它轉(zhuǎn)發(fā)給同屬于一個 VLAN的其他端口 ——也就是同屬于紅色 VLAN的端口 2，不會再轉(zhuǎn)發(fā)給屬于藍(lán)色 VLAN的端口。 同樣， C發(fā)送廣播信息時，只會被轉(zhuǎn)發(fā)給其他屬于藍(lán)色 VLAN的端口，不會被轉(zhuǎn)發(fā)給屬于紅色 VLAN的端口。 就這樣， VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍(lán)兩色識別不同的 VLAN，在實(shí)際使用中則是用 “VLAN ID”來區(qū)分的。 如果要更為直觀地描述 VLAN的話，我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。在一臺交換機(jī)上生成紅、藍(lán)兩個 VLAN，也可以看作是將一臺交換機(jī)換做一紅一藍(lán)兩臺虛擬的交換機(jī)。 CISCO 交換機(jī)配置手冊 第 11 頁 /共 212 頁 在紅、藍(lán)兩個 VLAN之外生成新的 VLAN時，可以想象成又添加了新的交換機(jī)。 但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置 VLAN后，如果未做其他處理， VLAN間是無法通信的。 明明接在同一臺交換機(jī)上，但卻偏偏無法通信 ——這個事實(shí)也許讓人難以接受。但它既是 VLAN方便易用的特征，又是使 VLAN令人難以理解的原因。 需要 VLAN間通信時怎么辦呢？ 那么，當(dāng)我們需要在不同的 VLAN間通信時又該如何是好呢？ 請大家再次回憶一下： VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此， VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作 “VLAN間路由 ”。 VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。其中的具體內(nèi)容，等有機(jī)會再細(xì)說吧。在這里希望大家先記住不同 VLAN間互相通信時需要用到路由功能。 劃分方法 VLAN的劃分 可以是事先固定的、也可以是根據(jù)所連的計算機(jī)而動態(tài)改變設(shè)定。前者被稱為 “靜態(tài) VLAN”、后者自然就是 “動態(tài) VLAN”了。 ? 靜態(tài) VLAN CISCO 交換機(jī)配置手冊 第 12 頁 /共 212 頁 靜態(tài) VLAN又被稱為基于端口的 VLAN（ Port Based VLAN）。顧名思義，就是明確指定各端口屬于哪個 VLAN的設(shè)定方法。 由于需要一個個端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計算機(jī)數(shù)目超過一定數(shù)字（比如數(shù)百臺）后，設(shè)定操作就會變得煩雜無比。并且，客戶機(jī)每次變更所連端口，都必須同時更改該端口所屬 VLAN的設(shè)定 ——這顯然不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)。 我們現(xiàn)在所實(shí)現(xiàn)的VLAN配置都是基于端口的配置，因?yàn)槲覀冎皇侵С侄咏粨Q，端口數(shù)目有限一般為 4和 8個端口，并且只是對于一臺交換機(jī)的配置，手動配置換算較為方便。 ? 動態(tài) VLAN 另一方面，動態(tài) VLAN則是根據(jù)每個端口所連的計算機(jī)，隨時改變端口所屬的 VLAN。這就可以避免上述的更改設(shè)定之類的操作。動態(tài) VLAN可以大致分為 3類： ● 基于 MAC地址的 VLAN（ MAC Based VLAN） ● 基于子網(wǎng)的 VLAN（ Sub Based VLAN） ● 基于用戶的 VLAN（ User Based VLAN） 其間的差異，主要在于根據(jù) OSI參照模型哪一層的信息決定端口所屬的 VLAN。 基于MAC地址的 VLAN，就是通過查詢并記錄端口所連計算機(jī)上網(wǎng)卡的 MAC地址來決定端口的所屬。假定有一個 MAC地址 “A”被交換機(jī)設(shè)定為屬于 VLAN“10”，那么不論 MAC地址為 “A”的這臺計算機(jī)連在交換機(jī)哪個端口，該端口都會被劃分到 VLAN10中去。計算機(jī)連在端口 1時，端口 1屬于 VLAN10；而計算機(jī)連在端口 2時，則是端口 2屬于 VLAN10。 由于是基于 MAC地址決定所屬 VLAN的，因此可以理解為這是一種在 OSI的第二層設(shè)定訪問鏈接的辦法。 但是，基于 MAC地址的 VLAN，在設(shè)定時必須調(diào)查所連接的所有計算機(jī)的 MAC地址并加以登錄。而且如果計算機(jī)交換了網(wǎng)卡，還是需要更改設(shè)定。 CISCO 交換機(jī)配置手冊 第 13 頁 /共 212 頁 基于子網(wǎng)的 VLAN，則是通過所連計算機(jī)的 IP地址，來決定端口所屬 VLAN的。不像基于 MAC地址的 VLAN，即使計算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е?MAC地址改變，只要它的 IP地址不變，就仍可以加入原先設(shè)定的 VLAN。 因此，與基于 MAC地址的 VLAN相比，能夠更為簡便地改變網(wǎng)絡(luò)結(jié)構(gòu)。 IP地址是 OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的 VLAN是一種在 OSI的第三層設(shè)定訪問鏈接的方法。 一般路由器與三層交換機(jī)都使用基于子網(wǎng)的方法劃分 VLAN。 基于用戶的 VLAN，則是根據(jù)交換機(jī)各端口所連的計算機(jī)上當(dāng)前登錄的用戶，來決定該端口屬于哪個 VLAN。這里的用戶識別信息，一般是計算機(jī)操作系統(tǒng)登錄的用戶，比如可以是 Windows域中使用的用戶名。這些用戶名信息，屬于 OSI第四層以上的信息。 總的來說，決定端口所屬 VLAN時利用的信息在 OSI中的層面越高，就越適于構(gòu)建靈活CISCO 交換機(jī)配置手冊 第 14 頁 /共 212 頁 多變的網(wǎng)絡(luò)。 訪問鏈接的總結(jié) 綜上所述， VLAN的劃分 有靜態(tài) VLAN和動態(tài) VLAN兩種，其中動態(tài) VLAN又可以繼續(xù)細(xì)分成幾個小類。 其中基于子網(wǎng)的 VLAN和基于用戶的 VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題；因此在選擇交換機(jī)時，一定要注意事先確認(rèn)。 下表總結(jié)了靜態(tài) VLAN和動態(tài) VLAN的相關(guān)信息。 種類 解說 靜態(tài) VLAN（基于端口的 VLAN） 將