【文章內(nèi)容簡(jiǎn)介】 wordencryption ――將所有口令進(jìn)行加密 VTY 口令 Switch(config) line vty 0 4 Switch(configline) login －－讓設(shè)備回顯一個(gè)要求輸入口令的提示 Switch(configline) password cisco ―― Tel 統(tǒng)一密碼 Switch(configline) exectimeout 10 0 ――設(shè)備超時(shí)時(shí)間為 10 分鐘 0 秒 Switch(config) line vty 0 4 Switch (configline) login local ――設(shè)置本地認(rèn)證模式 Switch (config) username zhangxy password ****** Switch (config) no username zhangxy 設(shè)備名稱 Switch(config) hostname test2950 test2950(config) no hostname snmp 網(wǎng)管串 Switch(config) snmpserver munity xxxxxx ro （只讀） Switch(config) snmpserver munity xxxxxx rw （讀寫） 交換機(jī)管理 IP 配置二層交換機(jī)設(shè)備的管理地址： Switch(config) int vlan 1 （交換機(jī) VLAN1 的網(wǎng)關(guān)地址就是設(shè)備的管理地址） Switch(configsubif) ip address CISCO 交換機(jī)配置手冊(cè) 第 7 頁(yè) /共 212 頁(yè) Switch(configsubif)description guanli//添加接口描述信息 Switch(configsubif) no shutdown 配置三層交換機(jī)的設(shè)備管理地址： Switch(config) int loopback0 ―― loopback 接口是一種邏輯接口，可以創(chuàng)建無(wú)數(shù)個(gè) Switch(configif) ip address Switch (config) no int loopback 0 綜合實(shí)驗(yàn) 實(shí)驗(yàn) 目的： 設(shè)置三臺(tái)交換機(jī)名稱 設(shè)置 特權(quán)模式口令、 TELNET 口令 設(shè)置 交換機(jī)管理 IP 實(shí)驗(yàn) 圖 ： 實(shí)驗(yàn)配 置： CISCO 交換機(jī)配置手冊(cè) 第 8 頁(yè) /共 212 頁(yè) 第二章 交換機(jī)高級(jí)配置 VLAN（虛擬局域網(wǎng)） 簡(jiǎn)介 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 VLAN 是一種比較新的技術(shù)，工作在 OSI參考模型的第 2層和第 3 層， VLAN 之間的通信是通過第 3 層的路由器來(lái)完成的。 在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域，指的是廣播幀（目標(biāo) MAC地址全部為 1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴(yán)格地說(shuō)，并不僅僅是廣播幀，多播幀（ Multicast Frame）和目標(biāo)不明的單播幀（ Unknown Unicast Frame）也能在同一個(gè)廣播域中暢 行無(wú)阻。 本來(lái) 二層交換機(jī)只能構(gòu)建單一的廣播域，不過使用 VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個(gè)廣播域。 那么，為什么需要分割廣播域呢？那是因?yàn)椋绻麅H有一個(gè)廣播域，有可能會(huì)影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因，請(qǐng)參看附圖加深理解。 圖中，是一個(gè)由 5臺(tái)二層交換機(jī)（交換機(jī) 1～ 5）連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí)，計(jì)算機(jī) A需要與計(jì)算機(jī) B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo) MACCISCO 交換機(jī)配置手冊(cè) 第 9 頁(yè) /共 212 頁(yè) 地址才能正常通信，因此計(jì)算機(jī) A必須先廣播 “ARP請(qǐng)求（ ARP Request）信息 ”，來(lái)嘗試獲取計(jì)算機(jī) B的 MAC地址。 交換機(jī) 1收到廣播幀（ ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是 Flooding了。接著，交換機(jī) 2收到廣播幀后也會(huì) Flooding。交換機(jī) 5也還會(huì) Flooding。最終 ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。 請(qǐng)大家注意一下，這個(gè) ARP請(qǐng)求原本是為了獲得計(jì)算機(jī) B的 MAC地址而發(fā)出的。也就是說(shuō)：只要計(jì)算機(jī) B能收到就萬(wàn)事大吉了。可是事實(shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來(lái)，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面 ，收到廣播信息的計(jì)算機(jī)還要消耗一部分 CPU時(shí)間來(lái)對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和 CPU運(yùn)算能力的大量無(wú)謂消耗。 廣播信息是那么經(jīng)常發(fā)出的嗎？ 讀到這里，您也許會(huì)問：廣播信息真是那么頻繁出現(xiàn)的嗎？ 答案是：是的！實(shí)際上廣播幀會(huì)非常頻繁地出現(xiàn)。利用 TCP/IP協(xié)議棧通信時(shí)，除了前面出現(xiàn)的 ARP外，還有可能需要發(fā)出 DHCP、 RIP等很多其他類型的廣播信息。 ARP廣播，是在需要與其他主機(jī)通信時(shí)發(fā)出的。當(dāng)客戶機(jī)請(qǐng)求 DHCP服務(wù)器分配 IP地址時(shí) ，就必須發(fā)出 DHCP的廣播。而使用 RIP作為路由協(xié)議時(shí)，每隔 30秒路由器都會(huì)對(duì)鄰近的其他路由器廣播一次路由信息。 RIP以外的其他路由協(xié)議使用多播傳輸路由信息，這也會(huì)被交換機(jī)轉(zhuǎn)發(fā)（ Flooding）。除了 TCP/IP以外， NetBEUI、 IPX和 Apple Talk等協(xié)議也經(jīng)常需要用到廣播。例如在 Windows下雙擊打開 “網(wǎng)絡(luò)計(jì)算機(jī) ”時(shí)就會(huì)發(fā)出廣播（多播）信息。（ Windows XP除外 …… ） 總之，廣播就在我們身邊。下面是一些常見的廣播通信： ●? ARP請(qǐng)求：建立 IP地址和 MAC地址的映射關(guān)系。 ●? RIP： 選路信息協(xié)議 (Routing Infromation Protocol)。 ●? ? DHCP：用于自動(dòng)設(shè)定 IP地址的協(xié)議。 ●? ? NetBEUI： Windows下使用的網(wǎng)絡(luò)協(xié)議。 ●? ? IPX： Novell Netware使用的網(wǎng)絡(luò)協(xié)議。 ●? Apple Talk：蘋果公司的 Macintosh計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。 實(shí)現(xiàn)機(jī)制 在理解了 “為什么需要 VLAN”之后，接下來(lái)讓我們來(lái)了解一下交換機(jī)是如何使用 VLAN分割廣播域的。 首先，在一臺(tái)未設(shè)置任何 VLAN的二層交換機(jī)上，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的 所有其他端口（ Flooding）。例如，計(jì)算機(jī) A發(fā)送廣播信息后，會(huì)被轉(zhuǎn)發(fā)給端口 4。 CISCO 交換機(jī)配置手冊(cè) 第 10 頁(yè) /共 212 頁(yè) 這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè) VLAN；同時(shí)設(shè)置端口 2屬于紅色 VLAN、端口 4屬于藍(lán)色 VLAN。再?gòu)?A發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè) VLAN的其他端口 ——也就是同屬于紅色 VLAN的端口 2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色 VLAN的端口。 同樣， C發(fā)送廣播信息時(shí)，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色 VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色 VLAN的端口。 就這樣， VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說(shuō)明，以紅、藍(lán)兩色識(shí)別不同的 VLAN，在實(shí)際使用中則是用 “VLAN ID”來(lái)區(qū)分的。 如果要更為直觀地描述 VLAN的話，我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè) VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)。 CISCO 交換機(jī)配置手冊(cè) 第 11 頁(yè) /共 212 頁(yè) 在紅、藍(lán)兩個(gè) VLAN之外生成新的 VLAN時(shí)，可以想象成又添加了新的交換機(jī)。 但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置 VLAN后，如果未做其他處理， VLAN間是無(wú)法通信的。 明明接在同一臺(tái)交換機(jī)上，但卻偏偏無(wú)法通信 ——這個(gè)事實(shí)也許讓人難以接受。但它既是 VLAN方便易用的特征，又是使 VLAN令人難以理解的原因。 需要 VLAN間通信時(shí)怎么辦呢？ 那么，當(dāng)我們需要在不同的 VLAN間通信時(shí)又該如何是好呢？ 請(qǐng)大家再次回憶一下： VLAN是廣播域。而通常兩個(gè)廣播域之間由路由器連接，廣播域之間來(lái)往的數(shù)據(jù)包都是由路由器中繼的。因此， VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作 “VLAN間路由 ”。 VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。其中的具體內(nèi)容，等有機(jī)會(huì)再細(xì)說(shuō)吧。在這里希望大家先記住不同 VLAN間互相通信時(shí)需要用到路由功能。 劃分方法 VLAN的劃分 可以是事先固定的、也可以是根據(jù)所連的計(jì)算機(jī)而動(dòng)態(tài)改變?cè)O(shè)定。前者被稱為 “靜態(tài) VLAN”、后者自然就是 “動(dòng)態(tài) VLAN”了。 ? 靜態(tài) VLAN CISCO 交換機(jī)配置手冊(cè) 第 12 頁(yè) /共 212 頁(yè) 靜態(tài) VLAN又被稱為基于端口的 VLAN（ Port Based VLAN）。顧名思義，就是明確指定各端口屬于哪個(gè) VLAN的設(shè)定方法。 由于需要一個(gè)個(gè)端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過一定數(shù)字（比如數(shù)百臺(tái)）后，設(shè)定操作就會(huì)變得煩雜無(wú)比。并且，客戶機(jī)每次變更所連端口，都必須同時(shí)更改該端口所屬 VLAN的設(shè)定 ——這顯然不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)。 我們現(xiàn)在所實(shí)現(xiàn)的VLAN配置都是基于端口的配置，因?yàn)槲覀冎皇侵С侄咏粨Q，端口數(shù)目有限一般為 4和 8個(gè)端口，并且只是對(duì)于一臺(tái)交換機(jī)的配置，手動(dòng)配置換算較為方便。 ? 動(dòng)態(tài) VLAN 另一方面，動(dòng)態(tài) VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī)，隨時(shí)改變端口所屬的 VLAN。這就可以避免上述的更改設(shè)定之類的操作。動(dòng)態(tài) VLAN可以大致分為 3類： ● 基于 MAC地址的 VLAN（ MAC Based VLAN） ● 基于子網(wǎng)的 VLAN（ Sub Based VLAN） ● 基于用戶的 VLAN（ User Based VLAN） 其間的差異，主要在于根據(jù) OSI參照模型哪一層的信息決定端口所屬的 VLAN。 基于MAC地址的 VLAN，就是通過查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的 MAC地址來(lái)決定端口的所屬。假定有一個(gè) MAC地址 “A”被交換機(jī)設(shè)定為屬于 VLAN“10”，那么不論 MAC地址為 “A”的這臺(tái)計(jì)算機(jī)連在交換機(jī)哪個(gè)端口，該端口都會(huì)被劃分到 VLAN10中去。計(jì)算機(jī)連在端口 1時(shí)，端口 1屬于 VLAN10；而計(jì)算機(jī)連在端口 2時(shí)，則是端口 2屬于 VLAN10。 由于是基于 MAC地址決定所屬 VLAN的，因此可以理解為這是一種在 OSI的第二層設(shè)定訪問鏈接的辦法。 但是，基于 MAC地址的 VLAN，在設(shè)定時(shí)必須調(diào)查所連接的所有計(jì)算機(jī)的 MAC地址并加以登錄。而且如果計(jì)算機(jī)交換了網(wǎng)卡，還是需要更改設(shè)定。 CISCO 交換機(jī)配置手冊(cè) 第 13 頁(yè) /共 212 頁(yè) 基于子網(wǎng)的 VLAN，則是通過所連計(jì)算機(jī)的 IP地址，來(lái)決定端口所屬 VLAN的。不像基于 MAC地址的 VLAN，即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е?MAC地址改變，只要它的 IP地址不變，就仍可以加入原先設(shè)定的 VLAN。 因此，與基于 MAC地址的 VLAN相比，能夠更為簡(jiǎn)便地改變網(wǎng)絡(luò)結(jié)構(gòu)。 IP地址是 OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的 VLAN是一種在 OSI的第三層設(shè)定訪問鏈接的方法。 一般路由器與三層交換機(jī)都使用基于子網(wǎng)的方法劃分 VLAN。 基于用戶的 VLAN，則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶，來(lái)決定該端口屬于哪個(gè) VLAN。這里的用戶識(shí)別信息，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如可以是 Windows域中使用的用戶名。這些用戶名信息，屬于 OSI第四層以上的信息。 總的來(lái)說(shuō)，決定端口所屬 VLAN時(shí)利用的信息在 OSI中的層面越高，就越適于構(gòu)建靈活CISCO 交換機(jī)配置手冊(cè) 第 14 頁(yè) /共 212 頁(yè) 多變的網(wǎng)絡(luò)。 訪問鏈接的總結(jié) 綜上所述， VLAN的劃分 有靜態(tài) VLAN和動(dòng)態(tài) VLAN兩種，其中動(dòng)態(tài) VLAN又可以繼續(xù)細(xì)分成幾個(gè)小類。 其中基于子網(wǎng)的 VLAN和基于用戶的 VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題；因此在選擇交換機(jī)時(shí)，一定要注意事先確認(rèn)。 下表總結(jié)了靜態(tài) VLAN和動(dòng)態(tài) VLAN的相關(guān)信息。 種類 解說(shuō) 靜態(tài) VLAN（基于端口的 VLAN） 將