资源简介

(共39张PPT)
*
项目2　交换技术配置
项目描述
交换技术在现代高速网络中承担着举足轻重的角色，企业网络依赖交换机分隔网段并实现高速连接。交换机是适应性极强的第二层设备，在简单场景中，可以替代集线器作为多台主机的中心连接点；在复杂应用中，交换机可以连接一台或多台其他交换机，从而建立、管理和维护冗余链路及VLAN连通性。对于网络学习者而言，熟悉交换机的配置、熟练掌握交换机的管理是必备的知识和技能。
本项目重点介绍交换机的基本配置、交换机的VLAN配置、交换机的常用技术配置等内容。
*
项目2　交换技术配置
*
任务2 交换机的VLAN配置
项目2 交换技术配置
*
任务2 交换机的VLAN配置
VLAN技术在局域网互联时得到了广泛推广和应用。VLAN是指一个在物理网络上根据用途、工作组、应用等进行逻辑划分的局域网络，它是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。
因此，划分VLAN不仅能有效地控制网络广播风暴，提高网络的安全可靠性，也是进行网络监控、数据流量控制的有效手段，还能实现不同地理位置的部门间的局域网通信，有效地节省了构建网络时所需网络设备的费用。
本任务将分成以下3个活动展开介绍。
活动1 交换机的VLAN划分。
活动2 交换机之间相同VLAN的通信。
活动3 三层交换机实现VLAN间通信。
*
任务2　交换机的VLAN配置
活动1 交换机VLAN的划分
海成公司的局域网已经搭建完成，为了提高网络的性能和服务质量，现在需要财务部、工程部和技术部使用不同的网段，从而使其相互隔离。
活动1 交换机VLAN的划分
逻辑上把网络资源和网络用户按照一定的原则划分,把一个物理上的网络分成多个小的逻辑网络,这些逻辑网络就是VLAN.在接入层交换机上划分VLAN,可以使一台交换机划分多个VLAN,从而保证各部门间的安全通信。
任务描述
活动1 交换机VLAN的划分
任务分析
为了保证3个部门的相对独立，需要划分对应的VLAN，使交换机的某些接口属于财务部、某些接口属于工程部和某些接口属于技术部，这样就能保证它们之间的数据互不干扰，也不影响各自的通信效率。
下面使用一个实验来验证交换机VLAN的功能，交换机的VLAN划分的拓扑图如图2.2.1所示。
图2.2.1 交换机的VLAN划分的拓扑图
活动1 交换机VLAN的划分
任务分析
具体要求如下：
（1）添加6台计算机，并将标签名分别更改为PC1～PC6。
（2）添加一台型号为2960-24TT的二层交换机，并将标签名设置为SWA。
（3）交换机的VLAN划分及接口分配情况如表2.2.1所示。
（4）根据如图2.2.1所示的拓扑图，使用直通线连接好所有计算机，并为每一台计算机设置好相应的IP地址和子网掩码。
表2.2.1 交换机的VLAN划分及接口分配情况
（5）验证是否接入相同VLAN中的计算机能互相通信，而接入不同VLAN中的计算机则不能互相通信。
活动1 交换机VLAN的划分
活动1 交换机VLAN的划分
任务实施
步骤1：由于分配给每一台计算机的IP地址都是192.168.1.0/24网段的IP地址，6台计算机默认都在VLAN1中，因此所有计算机之间都是互相连通的。这里以测试PC1与PC3之间的连通性为例，如图2.2.2所示。
图2.2.2 划分VLAN前测试PC1与PC3之间的连通性
活动1 交换机VLAN的划分
任务实施
步骤2：创建VLAN。
在交换机上创建VLAN 10、VLAN 20和VLAN30，并将Fa0/1和Fa0/2接口放入VLAN10中，将Fa0/3和Fa0/4接口放入VLAN 20中，将Fa0/5和Fa0/6接口放入VLAN30中。
活动1 交换机VLAN的划分
任务实施
步骤3：分配VLAN接口。
刚创建好的VLAN是不包含任何接口的。
活动1 交换机VLAN的划分
任务实施
步骤4：查看VLAN。
可以在特权模式下，通过show vlan命令来查看接口的分配情况。
活动1 交换机VLAN的划分
小贴士：
VLAN操作命令有如下几个。
创建VLAN：vlan [vlan id]（如vlan10）。
删除VLAN：no vlan [vlan id]（如no vlan10）。
除了用户创建的VLAN，还有系统自带的VLAN，如VLAN1、VLAN1001～VLAN1005，这些VLAN是无法删除的。
在默认情况下，交换机所有接口都属于VLAN1，如果需要加入其他VLAN，则需要使用switchport access vlan命令将接口显式地 添加到VLAN中。
分组添加的方法：连续的接口使用range包括，不连续的接口使用逗号隔开，格式如下：
//进入接口组
Switch(config)#interface range fastEthernet 0/3 – 6,fastethernet 0/10
Switch(config-if-range)#switchport access vlan 20
在删除一个VLAN后，VLAN中的接口无法访问，也不能自动加入VLAN 1，除非手动把这些接口加入其他VLAN。
活动1 交换机VLAN的划分
任务验收
在PC1上ping PC2的IP地址192.168.1.2，网络是连通的，说明相同VLAN中的计算机能够互相通信；而在PC1上ping PC3的IP地址192.168.1.13，网络是不通的，说明不同VLAN中的计算机不能互相通信，如图2.2.3所示。
图2.2.3 连通性测试效果
活动1 交换机VLAN的划分
知识链接
1．交换机与广播域
交换机可以根据帧中的目的MAC地址，将消息流从一个接口转发到另一个接口。交换机根据MAC地址来传送流量。每台交换机都在被称为内容可寻址存储器（CAM）的高速内存中维护着一张MAC地址表。每次启动交换机时，它都会使用传入帧的源MAC地址，以及该帧进入交换机时所使用的接口号来重新创建MAC地址表，如在如图 2.2.4所示的交换机网络拓扑图中，交换机创建的MAC地址表如表2.2.2所示。
图2.2.4 交换机网络拓扑图
表2.2.2 交换机创建的MAC地址表
活动1 交换机VLAN的划分
知识链接
当单播帧进入接口时，交换机会找出该帧内的源MAC地址，然后在MAC地址表中搜索与该地址匹配的条目。如果源MAC地址尚未存于表中，则交换机会将该MAC地址和接口号添加到表中，并设置老化计时器。如果源MAC地址已经存于表中，则交换机会重置其老化计时器。
然后，交换机会在表中查找目的MAC地址。如果能找到，则交换机将帧从相应的接口转发出去。如果找不到，则交换机会向每个活动接口泛洪该帧，但是接收该帧的接口除外。
如果收到广播帧，则交换机会像收到未知目的MAC地址时一样，将其泛洪到所有活动接口。所有收到该广播的设备便构成了广播域。相连接的交换机越多，则广播域的规模就越大。
VLAN技术实现了广播域的划分，使广播不会在不同VLAN间转发。
在交换机上可以使用show mac-address-table命令来查看MAC地址表，本任务中划分了3个VLAN，查看到的MAC地址表如图2.2.5所示。
图2.2.5 查看到的MAC地址表
任务小结
本活动介绍了在一台交换机上如何划分 VLAN，所有计算机设置了同一个网段的IP地址，只有相同VLAN中的计算机可以互相通信，而不同VLAN中的计算机不能互相通信。通过VLAN的划分，可以实现广播域的控制。
活动1 交换机VLAN的划分
*
任务2　交换机的VLAN配置
活动2 交换机之间相同VLAN的通信
任务描述
海成公司有财务部、市场部等部门，其中在不同楼层内都有财务部和市场部的员工计算机，为了使公司的管理更加安全与便捷，公司的领导想让网络管理员组建公司局域网，使各个部门内部的主机之间的业务往来可以通信，但是基于安全性的考虑，禁止部门之间互相访问。
活动2 交换机之间相同VLAN的通信
同一台交换机上相同VLAN内的计算机可以通信，则不同VLAN内的计算机被隔离无法通信。但是由于网络规模的增大或地域范围的限制，相同 VLAN 内的用户可能跨接在不同交换机上，因此需要配置跨交换机链路实现交换机之间相同VLAN的通信。
任务分析
通过划分VLAN使得财务部和市场部之间不可以自由访问，但是部门内的计算机分布在不同楼层的交换机上，又要互相访问，这就需要使用802.1Q进行跨交换机的相同部门的访问，即在两台交换机之间开启Trunk进行通信。
下面通过实验来验证和实现交换机之间相同VLAN中的计算机互相通信，交换机之间相同VLAN的通信的拓扑图如图2.2.6所示。
活动2 交换机之间相同VLAN的通信
图2.2.6 交换机之间相同VLAN的通信的拓扑图
具体要求如下：
（1）添加4台计算机，将将标签名分别更改为PC1、PC2、PC3和PC4。
（2）添加两台型号为2960-24TT的交换机，将标签名分别设置为SWA和SWB，并将交换机的名称分别设置为SWA和SWB。
（3）PC1连接SWA的Fa0/1接口，PC3连接SWA的Fa0/5接口，PC2连接SWB的Fa0/1接口，PC4连接SWB的Fa0/5接口，两台交换机通过各自的G0/1接口互连。
（4）根据如图2.2.6所示的拓扑图，使用直通线连接好所有计算机，并设置每台计算机的IP地址和子网掩码。
（5）在SWA和SWB上分别划分两个VLAN（VLAN10和VLAN20），则接口分配情况如表2.2.2所示。

活动2 交换机之间相同VLAN的通信
（6）实现PC1与PC2互相通信，PC3与PC4互相通信，其他组合不能互相通信。
表2.2.2 两台交换机的VLAN划分和接口分配情况
任务实施
活动2 交换机之间相同VLAN的通信
步骤1：创建VLAN及接口分配。
对两个交换机进行相同的VLAN划分，下面是SWA的配置过程，同理可以实现SWB的配置。
活动2 交换机之间相同VLAN的通信
当两台交换机都按照上面的命令配置完成后，再测试一下可以发现，现在4台计算机之间都不能互相通信了。找一下原因，发现交换机是通过G0/1接口进行相连的，而G0/1接口并不在VLAN10和VLAN20中。可以试一下把与交换机互连的改接口为Fa0/2（VLAN10的)接口相连，再测试时可以发现PC1和PC2可以互相访问了，而PC3和PC4仍然不能互相访问。同样地，接到VLAN20的进接口行相连，情况相反。
步骤2：配置SWA和SWB 的G0/1为接口Trunk接口。
想要解决上述难题，仍然采用G0/1接口相连两台交换机，可以将G0/1接口设置为Trunk类型。因为Trunk类型的接口可以允许单个、多个或交换机上划分的所有VLAN通过它进行通信。在默认情况下，Trunk接口允许所有VLAN通过。
（1）在SWA上的设置方法如下：
活动2 交换机之间相同VLAN的通信
（2）在SWB上的设置方法如下：
（3）在特权模式下利用show vlan命令查看接口的分配情况将发现，G0/1商品不出现在任何一个VLAN中了。
活动2 交换机之间相同VLAN的通信
步骤3：查看SWA配置的Trunk类型。
至此，本实验配置完成。虽然在利用show vlan命令查看的接口分配情况时，G0/1并接口不显示在任何一个VLAN中，但这时两个交换机中的相同VLAN中的计算机已经可以通信了。
任务验收
活动2 交换机之间相同VLAN的通信
在PC1上ping PC2的IP地址192.168.10.2，网络是连通的，则表明交换机之前的Trunk链路已经成功建立；在PC1上ping PC3的IP地址192.168.10.3，网络不通，则表明不同VLAN间无法通信，如图2.2.7所示。
图2.2.7 验证交换机之间相同VLAN的通信
知识链接
活动2 交换机之间相同VLAN的通信
Cisco交换机的接口状态有3种模式：Access、Trunk和Auto，分别对应接入模式、中继模式和自动协商模式，默认为Auto模式。如果某个接口连接计算机，则应该配置为Access模式，即将接口分配给某个VLAN。如果交换机接口连接的是另一台交换机，而且存在多个VLAN需要跨交换机通信，则此接口需要承载多个VLAN的数据，应设置为Trunk模式。当某接口连接Cisco交换机时，如果接口处于Auto模式，则会让链路与接口成为自动协商状态。此例中两台Cisco交换机互连，一端配置为Trunk模式后，另一端默认为Auto模式，则协商后自动转换为Trunk模式，所以不需要手动配置。如果Cisco交换机与非Cisco交换机互连，则不能自动协商，需要在两端手动配置为trunk模式。
如果想要将某台交换机的接口从VLAN10中删除，并将接口重新分配给VLAN1，则可以在接口配置模式下使用no switchport access vlan命令。
静态接入接口只能拥有一个VLAN。通过使用Cisco IOS，不需要将接口从VLAN中删除，即可将其分配给其他VLAN。当将静态接入接口重新分配给现有的VLAN时，该VLAN会自动从原来的接口上删除。
也可以在特权模式下使用delete flash:vlan.dat命令来删除整个vlan.dat文件。在交换机重新加载后，先前配置的VLAN将不存在。这种方法能有效地将交换机的VLAN配置还原为“出厂默认设置”。
在删除VLAN前，务必将所有成员接口重新分配给其他VLAN。在删除VLAN后，任何未转移到活动VLAN的接口都将无法与其他站点通信。
任务小结
活动2 交换机之间相同VLAN的通信
本活动介绍了在一个网络上存在两个或两个以上的交换机互连时，且交换机都进行了相同的VLAN配置，设置交换机相连的接口为Trunk类型，并允许相应的VLAN通过，可以实现交换机之间相同VLAN上的计算机的互相通信。
*
任务2　交换机的VLAN配置
活动3 三层交换机实现VLAN间通信
活动3 三层交换机实现VLAN间通信
三层交换机即内置了路由功能的交换机，在转发数据帧的同时，还可以在不同网段之间转发数据包。在交换式局域网中，三层交换机可以配置多个虚拟VLAN接口（SVI）作为VLAN内计算机设备的网关，同时转发数据包，实现不同VLAN之间的通信。
任务描述
任务分析
海成公司由于业务的需要，公司内部办公系统需要控制不同业务部门之间的访问。公司准备使用一台Cisco Catalyst 3560交换机作为路由设备来实现不同部门之间的互相访问需求。
将不同业务部门划分到不同VLAN中，管理更为合理、安全，但有时又需要部门间相互通信，这可以通过三层交换机设备来实现。
下面通过实验来验证和实现三层交换机实现VLAN间的计算机互相通信，三层交换机实现VLAN间通信的拓扑图如图2.2.8所示。
图2.2.8 三层交换机实现VLAN间通信的拓扑图
活动3 三层交换机实现VLAN间通信
具体要求如下：
（1）添加2台计算机，并将标签名分别更改为PC1和PC2。
（2）添加1台型号为3650-24PS的三层交换机，添加AC-POWER-SUPPLY电源模块，用于设备供电。
（3）将型号为3650-24PS的三层交换机的标签名更改为SWA。
（4）PC1连接SWA的G1/0/1接口，PC2连接SWA的G1/0/5接口。
（5）在SWA上划分两个VLAN（VLAN10、VLAN20），详细参数如表2.2.4所示。
表2.2.4 三层交换机的VLAN参数
（6）根据如图2.2.8所示的拓扑图，使用直通线连接好所有计算机，并设置每台计算机的IP地址和子网掩码，网关（GW）预留。
（7）开启SWA交换机的路由功能。
活动3 三层交换机实现VLAN间通信
任务实施
如果想要实现2台计算机之间都能通信，且不借助其他设备，就要在交换机上划分不同网络的广播域，即划分VLAN，并开启三层交换机的路由功能，从而实现不同VLAN间及不同网络间的路由转发、寻址功能。
步骤1：在三层交换机上设置主机名称、创建VLAN并添加接口。
活动3 三层交换机实现VLAN间通信
步骤2：在SWA上配置VLAN10和VLAN20的IP地址。
步骤3：开启三层交换机SWA的路由功能。
活动3 三层交换机实现VLAN间通信
步骤4：设置计算机的网关，实现不同VLAN间的通信。
计算机之间在要实现跨网络互联时，必须要通过网关进行路由转发，所以实现交换机VLAN间的路由，还要为每一台计算机配置网关。
设置计算机的网关时应该选择该计算机的上连设备IP地址，也可以称为下一跳地址。对于本实验的拓扑图，PC1连接设备SWA的VLAN10，而VLAN10的接口IP地址为192.168.10.254，那么VLAN10的接口IP地址为PC1的下一跳地址。因此，PC1的网关就应设置为192.168.10.254。同理，PC2的网关为VLAN20的接口IP地址192.168.20.254。
配置网关在计算机“桌面”选项卡中的“IP配置”对话框中完成。图2.2.9所示为设置PC1的网关。
图2.2.9 设置PC1的网关
活动3 三层交换机实现VLAN间通信
任务验收
1．验证SWA的配置
活动3 三层交换机实现VLAN间通信
2．测试计算机之间的连通性
在PC1上选择“桌面”选项卡中的“命令提示符”选项，在弹出的“命令行”对话框中使用ping命令去测试PC1与PC2之间的连通性。图2.2.10所示为在PC1上测试其与PC2之间的连通性的结果。
图2.2.10 测试计算机之间的连通性
活动3 三层交换机实现VLAN间通信
知识链接
三层交换技术就是二层交换技术+三层转发技术。传统的交换技术是在OSI网络标准模型中的第二层（数据链路层）进行操作的，而三层交换技术是在网络模型中的第三层实现数据包的高速转发。应用三层交换技术既可以实现网络路由功能，又可以根据不同的网络状况做到最优的网络性能。
三层交换机也具有路由功能，并且与传统路由器的路由功能从总体上来说是一致的。虽然如此，三层交换机与路由器还是存在相当大的本质区别的。
VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机之间可以直接通信，而VLAN之间不能直接互相通信。
在现实网络中，经常会遇到需要跨VLAN互相访问的情况，工程师通常会选择一些方法来实现不同VLAN之间主机的互相访问，如单臂路由。但是单臂路由技术由于存在一些局限性，如带宽、转发效率等，因此这项技术应用较少。
三层交换机在原有二层交换机的基础之上增加了路由功能，同时由于数据没有像单臂路由那样经过物理线路进行路由，因此很好地解决了带宽瓶颈的问题，为网络设计提供了一个灵活的解决方案。
在实际应用中，三层交换机经常上连路由器等出口设备，可以把上连口启用三层功能，配置IP地址，参与路由。
当三层交换机物理接口配置IP地址时，需要在接口配置模式下先启用三层功能，才可以配置IP地址，命令如下：
活动3 三层交换机实现VLAN间通信
任务小结
本活动介绍了如何在三层交换机上实现不同部门之间的通信，在二层交换机配置VLAN后，只能实现相同VLAN内的通信，而如果想实现VLAN间的通信，则必须借助三层设备（三层交换机或路由器），路由器实现VLAN间的通信，将在后面的项目中进行介绍。

展开更多......

收起↑