【文章內容簡介】 wordencryption ――將所有口令進行加密 VTY 口令 Switch(config) line vty 0 4 Switch(configline) login －－讓設備回顯一個要求輸入口令的提示 Switch(configline) password cisco ―― Tel 統(tǒng)一密碼 Switch(configline) exectimeout 10 0 ――設備超時時間為 10 分鐘 0 秒 Switch(config) line vty 0 4 Switch (configline) login local ――設置本地認證模式 Switch (config) username zhangxy password ****** Switch (config) no username zhangxy 設備名稱 Switch(config) hostname test2950 test2950(config) no hostname snmp 網管串 Switch(config) snmpserver munity xxxxxx ro （只讀） Switch(config) snmpserver munity xxxxxx rw （讀寫） 交換機管理 IP 配置二層交換機設備的管理地址： Switch(config) int vlan 1 （交換機 VLAN1 的網關地址就是設備的管理地址） Switch(configsubif) ip address CISCO 交換機配置手冊 第 7 頁 /共 212 頁 Switch(configsubif)description guanli//添加接口描述信息 Switch(configsubif) no shutdown 配置三層交換機的設備管理地址： Switch(config) int loopback0 ―― loopback 接口是一種邏輯接口，可以創(chuàng)建無數個 Switch(configif) ip address Switch (config) no int loopback 0 綜合實驗 實驗 目的： 設置三臺交換機名稱 設置 特權模式口令、 TELNET 口令 設置 交換機管理 IP 實驗 圖 ： 實驗配 置： CISCO 交換機配置手冊 第 8 頁 /共 212 頁 第二章 交換機高級配置 VLAN（虛擬局域網） 簡介 VLAN（ Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個 VLAN 組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。 VLAN 是一種比較新的技術，工作在 OSI參考模型的第 2層和第 3 層， VLAN 之間的通信是通過第 3 層的路由器來完成的。 在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀（目標 MAC地址全部為 1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣播幀，多播幀（ Multicast Frame）和目標不明的單播幀（ Unknown Unicast Frame）也能在同一個廣播域中暢 行無阻。 本來 二層交換機只能構建單一的廣播域，不過使用 VLAN功能后，它能夠將網絡分割成多個廣播域。 那么，為什么需要分割廣播域呢？那是因為，如果僅有一個廣播域，有可能會影響到網絡整體的傳輸性能。具體原因，請參看附圖加深理解。 圖中，是一個由 5臺二層交換機（交換機 1～ 5）連接了大量客戶機構成的網絡。假設這時，計算機 A需要與計算機 B通信。在基于以太網的通信中，必須在數據幀中指定目標 MACCISCO 交換機配置手冊 第 9 頁 /共 212 頁 地址才能正常通信，因此計算機 A必須先廣播 “ARP請求（ ARP Request）信息 ”，來嘗試獲取計算機 B的 MAC地址。 交換機 1收到廣播幀（ ARP請求）后，會將它轉發(fā)給除接收端口外的其他所有端口，也就是 Flooding了。接著，交換機 2收到廣播幀后也會 Flooding。交換機 5也還會 Flooding。最終 ARP請求會被轉發(fā)到同一網絡中的所有客戶機上。 請大家注意一下，這個 ARP請求原本是為了獲得計算機 B的 MAC地址而發(fā)出的。也就是說：只要計算機 B能收到就萬事大吉了。可是事實上，數據幀卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網絡整體的帶寬，另一方面 ，收到廣播信息的計算機還要消耗一部分 CPU時間來對它進行處理。造成了網絡帶寬和 CPU運算能力的大量無謂消耗。 廣播信息是那么經常發(fā)出的嗎？ 讀到這里，您也許會問：廣播信息真是那么頻繁出現的嗎？ 答案是：是的！實際上廣播幀會非常頻繁地出現。利用 TCP/IP協議棧通信時，除了前面出現的 ARP外，還有可能需要發(fā)出 DHCP、 RIP等很多其他類型的廣播信息。 ARP廣播，是在需要與其他主機通信時發(fā)出的。當客戶機請求 DHCP服務器分配 IP地址時 ，就必須發(fā)出 DHCP的廣播。而使用 RIP作為路由協議時，每隔 30秒路由器都會對鄰近的其他路由器廣播一次路由信息。 RIP以外的其他路由協議使用多播傳輸路由信息，這也會被交換機轉發(fā)（ Flooding）。除了 TCP/IP以外， NetBEUI、 IPX和 Apple Talk等協議也經常需要用到廣播。例如在 Windows下雙擊打開 “網絡計算機 ”時就會發(fā)出廣播（多播）信息。（ Windows XP除外 …… ） 總之，廣播就在我們身邊。下面是一些常見的廣播通信： ●? ARP請求：建立 IP地址和 MAC地址的映射關系。 ●? RIP： 選路信息協議 (Routing Infromation Protocol)。 ●? ? DHCP：用于自動設定 IP地址的協議。 ●? ? NetBEUI： Windows下使用的網絡協議。 ●? ? IPX： Novell Netware使用的網絡協議。 ●? Apple Talk：蘋果公司的 Macintosh計算機使用的網絡協議。 實現機制 在理解了 “為什么需要 VLAN”之后，接下來讓我們來了解一下交換機是如何使用 VLAN分割廣播域的。 首先，在一臺未設置任何 VLAN的二層交換機上，任何廣播幀都會被轉發(fā)給除接收端口外的 所有其他端口（ Flooding）。例如，計算機 A發(fā)送廣播信息后，會被轉發(fā)給端口 4。 CISCO 交換機配置手冊 第 10 頁 /共 212 頁 這時，如果在交換機上生成紅、藍兩個 VLAN；同時設置端口 2屬于紅色 VLAN、端口 4屬于藍色 VLAN。再從 A發(fā)出廣播幀的話，交換機就只會把它轉發(fā)給同屬于一個 VLAN的其他端口 ——也就是同屬于紅色 VLAN的端口 2，不會再轉發(fā)給屬于藍色 VLAN的端口。 同樣， C發(fā)送廣播信息時，只會被轉發(fā)給其他屬于藍色 VLAN的端口，不會被轉發(fā)給屬于紅色 VLAN的端口。 就這樣， VLAN通過限制廣播幀轉發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍兩色識別不同的 VLAN，在實際使用中則是用 “VLAN ID”來區(qū)分的。 如果要更為直觀地描述 VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數臺交換機。在一臺交換機上生成紅、藍兩個 VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。 CISCO 交換機配置手冊 第 11 頁 /共 212 頁 在紅、藍兩個 VLAN之外生成新的 VLAN時，可以想象成又添加了新的交換機。 但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置 VLAN后，如果未做其他處理， VLAN間是無法通信的。 明明接在同一臺交換機上，但卻偏偏無法通信 ——這個事實也許讓人難以接受。但它既是 VLAN方便易用的特征，又是使 VLAN令人難以理解的原因。 需要 VLAN間通信時怎么辦呢？ 那么，當我們需要在不同的 VLAN間通信時又該如何是好呢？ 請大家再次回憶一下： VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數據包都是由路由器中繼的。因此， VLAN間的通信也需要路由器提供中繼服務，這被稱作 “VLAN間路由 ”。 VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。其中的具體內容，等有機會再細說吧。在這里希望大家先記住不同 VLAN間互相通信時需要用到路由功能。 劃分方法 VLAN的劃分 可以是事先固定的、也可以是根據所連的計算機而動態(tài)改變設定。前者被稱為 “靜態(tài) VLAN”、后者自然就是 “動態(tài) VLAN”了。 ? 靜態(tài) VLAN CISCO 交換機配置手冊 第 12 頁 /共 212 頁 靜態(tài) VLAN又被稱為基于端口的 VLAN（ Port Based VLAN）。顧名思義，就是明確指定各端口屬于哪個 VLAN的設定方法。 由于需要一個個端口地指定，因此當網絡中的計算機數目超過一定數字（比如數百臺）后，設定操作就會變得煩雜無比。并且，客戶機每次變更所連端口，都必須同時更改該端口所屬 VLAN的設定 ——這顯然不適合那些需要頻繁改變拓補結構的網絡。 我們現在所實現的VLAN配置都是基于端口的配置，因為我們只是支持二層交換，端口數目有限一般為 4和 8個端口，并且只是對于一臺交換機的配置，手動配置換算較為方便。 ? 動態(tài) VLAN 另一方面，動態(tài) VLAN則是根據每個端口所連的計算機，隨時改變端口所屬的 VLAN。這就可以避免上述的更改設定之類的操作。動態(tài) VLAN可以大致分為 3類： ● 基于 MAC地址的 VLAN（ MAC Based VLAN） ● 基于子網的 VLAN（ Sub Based VLAN） ● 基于用戶的 VLAN（ User Based VLAN） 其間的差異，主要在于根據 OSI參照模型哪一層的信息決定端口所屬的 VLAN。 基于MAC地址的 VLAN，就是通過查詢并記錄端口所連計算機上網卡的 MAC地址來決定端口的所屬。假定有一個 MAC地址 “A”被交換機設定為屬于 VLAN“10”，那么不論 MAC地址為 “A”的這臺計算機連在交換機哪個端口，該端口都會被劃分到 VLAN10中去。計算機連在端口 1時，端口 1屬于 VLAN10；而計算機連在端口 2時，則是端口 2屬于 VLAN10。 由于是基于 MAC地址決定所屬 VLAN的，因此可以理解為這是一種在 OSI的第二層設定訪問鏈接的辦法。 但是，基于 MAC地址的 VLAN，在設定時必須調查所連接的所有計算機的 MAC地址并加以登錄。而且如果計算機交換了網卡，還是需要更改設定。 CISCO 交換機配置手冊 第 13 頁 /共 212 頁 基于子網的 VLAN，則是通過所連計算機的 IP地址，來決定端口所屬 VLAN的。不像基于 MAC地址的 VLAN，即使計算機因為交換了網卡或是其他原因導致 MAC地址改變，只要它的 IP地址不變，就仍可以加入原先設定的 VLAN。 因此，與基于 MAC地址的 VLAN相比，能夠更為簡便地改變網絡結構。 IP地址是 OSI參照模型中第三層的信息，所以我們可以理解為基于子網的 VLAN是一種在 OSI的第三層設定訪問鏈接的方法。 一般路由器與三層交換機都使用基于子網的方法劃分 VLAN。 基于用戶的 VLAN，則是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個 VLAN。這里的用戶識別信息，一般是計算機操作系統(tǒng)登錄的用戶，比如可以是 Windows域中使用的用戶名。這些用戶名信息，屬于 OSI第四層以上的信息。 總的來說，決定端口所屬 VLAN時利用的信息在 OSI中的層面越高，就越適于構建靈活CISCO 交換機配置手冊 第 14 頁 /共 212 頁 多變的網絡。 訪問鏈接的總結 綜上所述， VLAN的劃分 有靜態(tài) VLAN和動態(tài) VLAN兩種，其中動態(tài) VLAN又可以繼續(xù)細分成幾個小類。 其中基于子網的 VLAN和基于用戶的 VLAN有可能是網絡設備廠商使用獨有的協議實現的，不同廠商的設備之間互聯有可能出現兼容性問題；因此在選擇交換機時，一定要注意事先確認。 下表總結了靜態(tài) VLAN和動態(tài) VLAN的相關信息。 種類 解說 靜態(tài) VLAN（基于端口的 VLAN） 將