项目3 交换机配置课件.ppt

《项目3 交换机配置课件.ppt》由会员分享，可在线阅读，更多相关《项目3 交换机配置课件.ppt（50页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、项目项目 3 交换机配置交换机配置学习目标：学习目标：（1）交换机的）交换机的 CLI 配置界面配置界面（2）交换机的接口配置）交换机的接口配置（3）交换机的口令配置）交换机的口令配置31 任务任务 1交换机的基本配置交换机的基本配置311 任务分析任务分析虽然构建企业网络时会同时用到路由器和交换虽然构建企业网络时会同时用到路由器和交换机，但大多数企业的网络主要依赖于交换机。交换机机，但大多数企业的网络主要依赖于交换机。交换机是适应性极强的网络互联设备，在我们的工作和学习是适应性极强的网络互联设备，在我们的工作和学习生活中对交换机的配置就显得很重要。那么如何对交生活中对交换机的配置就显得很重要

2、。那么如何对交换机进行配置呢？通过什么样的方法能使交换机在换机进行配置呢？通过什么样的方法能使交换机在网络中发挥出最大的作用？通过本项目的训练，应能网络中发挥出最大的作用？通过本项目的训练，应能完成对交换机的名字、完成对交换机的名字、IP 地址、接口、地址、接口、VLAN 等基本等基本配置。配置。312 相关知识相关知识1、硬件连接、硬件连接要配置交换机，首先要给交换机加电。交换机加要配置交换机，首先要给交换机加电。交换机加电的三个基本步骤为：电的三个基本步骤为：（1）检查组件）检查组件（2）连接交换机电缆）连接交换机电缆（3）打开交换机电源）打开交换机电源2、交换机的、交换机的 IOS3、交

3、换机的命令模式、交换机的命令模式要配置交换机，可以通过多种方法来进行访问。最常要配置交换机，可以通过多种方法来进行访问。最常用的方法有：用的方法有：（1）控制台）控制台（2）Telnet 或或 SSH（3）辅助端口）辅助端口在本书中，我们主要介绍控制台也就是命令行的在本书中，我们主要介绍控制台也就是命令行的方法来对交换机进行配置。方法来对交换机进行配置。4、 配置模式配置模式Cisco IOS 设计为模式化操作系统。模式化表示的操设计为模式化操作系统。模式化表示的操作系统具有多种工作模式，每种模式有各自的工作领作系统具有多种工作模式，每种模式有各自的工作领域。对于这些模式，域。对于这些模式，C

4、LI 采用了层次结构。采用了层次结构。主要的模式有（按照从上到下的顺序排列）：主要的模式有（按照从上到下的顺序排列）：（1）用户执行模式）用户执行模式（2）特权执行模式）特权执行模式（3）全局配置模式）全局配置模式（4）接口其它特定配置模式）接口其它特定配置模式每种模式用于完成特定任务，并具有可在该模式每种模式用于完成特定任务，并具有可在该模式下使用的特定命令集。例如，要配置某个接口，用户下使用的特定命令集。例如，要配置某个接口，用户必须进入接口配置模式。在接口配置模式下输入的所必须进入接口配置模式。在接口配置模式下输入的所有配置仅应用到该接口。有配置仅应用到该接口。某些命令可供所有用户使用，

5、还有些命令仅在用某些命令可供所有用户使用，还有些命令仅在用户进入提供该命令的模式后才可执行。每种模式都具户进入提供该命令的模式后才可执行。每种模式都具有独特的提示符，且只有适用于相应模式的命令才能有独特的提示符，且只有适用于相应模式的命令才能执行。执行。（1）用户执行模式）用户执行模式用户执行：只允许用户访问有限量的基本监视命用户执行：只允许用户访问有限量的基本监视命令。用户执行模式是在从令。用户执行模式是在从 CLI 登录到登录到 Cisco 交换机交换机后所进入的默认模式。用户执行模式由后所进入的默认模式。用户执行模式由 提示符标提示符标识。识。（2）特权执行模式）特权执行模式特权执行：允

6、许用户访问所有设备命令，如用于特权执行：允许用户访问所有设备命令，如用于配置和管理的命令，特权执行模式可采用口令加以保配置和管理的命令，特权执行模式可采用口令加以保护，使得只有获得授权的用户才能访问设备。特权执护，使得只有获得授权的用户才能访问设备。特权执行模式由行模式由 # 提示符标识。提示符标识。要从用户执行模式切换到特权执行模式，请输入要从用户执行模式切换到特权执行模式，请输入enable 命令。要从特权执行模式切换到用户执行模命令。要从特权执行模式切换到用户执行模式，请输入式，请输入 disable 命令。在实际网络中，交换机命令。在实际网络中，交换机将提示输入口令。请输入正确的口令。

7、默认情况下未将提示输入口令。请输入正确的口令。默认情况下未配置口令。图配置口令。图 3-5 中显示了用于在用户执行模式和特中显示了用于在用户执行模式和特权执行模式之间来回切换的权执行模式之间来回切换的 Cisco IOS 命令。命令。图图 3-5 用户执行模式和特权执行模式用户执行模式和特权执行模式（3）全局配置模式）全局配置模式在图在图 3-6 中，交换机先从特权执行模式开始。要中，交换机先从特权执行模式开始。要配置全局交换机参数（例如用于交换机管理的交换机配置全局交换机参数（例如用于交换机管理的交换机主机名或交换机主机名或交换机 IP 地址），应使用全局配置模式。地址），应使用全局配置模式

8、。要访问全局配置模式，请在特权执行模式下输入要访问全局配置模式，请在特权执行模式下输入configure terminal 命令。提示符将更改为命令。提示符将更改为(config)#。（4）接口配置模式）接口配置模式配置特定于接口的参数是常见的任务。要从全局配配置特定于接口的参数是常见的任务。要从全局配置模式下访问接口配置模式，请输入置模式下访问接口配置模式，请输入interface 命令。提示符将更改命令。提示符将更改为为 (config-if)#。要退出接口配置模式，请使用。要退出接口配置模式，请使用exit 命令。提示符恢复为命令。提示符恢复为 (config)#，提醒您已处，提醒您已处

9、于全局配置模式。要退出全局配置模式，请再次使用于全局配置模式。要退出全局配置模式，请再次使用exit 命令。提示符切换为命令。提示符切换为 #，表示已进入特权执行，表示已进入特权执行模式。模式。5、基本、基本 IOS 命令结构命令结构每个每个 IOS 命令都具有特定的格式或语法，并在相命令都具有特定的格式或语法，并在相应的提示符下执行。常规命令语法为命令后接相应的应的提示符下执行。常规命令语法为命令后接相应的关键字和参数。某些命令包含一个关键字和参数子关键字和参数。某些命令包含一个关键字和参数子集，此子集可提供额外功能。图集，此子集可提供额外功能。图 3-7 中所示为命令的中所示为命令的三个部

10、分。三个部分。图图 3-7 IOS 命令的基本结构命令的基本结构6、交换机端口表示、交换机端口表示Cisco 交换机端口表示方式的格式为交换机端口表示方式的格式为“端口类型模端口类型模块号块号/端口号端口号”。常用的端口类型有。常用的端口类型有:EtherNet 端口、端口、FastEthernet 端口、端口、Serial 端口等，例如，交换机面端口等，例如，交换机面板上第板上第 1 个模块的第个模块的第 2 个快速以太网就可以表示为个快速以太网就可以表示为FastEthernet1/2，也可以简单表示为，也可以简单表示为 F1/2。313 任务实施任务实施1、任务实施环境：、任务实施环境：

11、计算机网络实验室提供进行正常的网络实验设计算机网络实验室提供进行正常的网络实验设备和相应的软件环境。实验室每组有思科交换机备和相应的软件环境。实验室每组有思科交换机 28系列，两台；系列，两台；PC，四台；，四台；console 线两条，网线以及线两条，网线以及与各种网络实验相关的配件资料和设施，可满足与各种网络实验相关的配件资料和设施，可满足 2030 人同时进行网络实验的需求。人同时进行网络实验的需求。2、任务实施步骤：、任务实施步骤：1）配置设备名称）配置设备名称CLI 提示符中会使用主机名。如果未明确配置主机提示符中会使用主机名。如果未明确配置主机名，则交换机的出厂默认主机名为名，则交

12、换机的出厂默认主机名为 Switch。想象。想象一下，如果网际网络中的多个交换机都采用默认名称一下，如果网际网络中的多个交换机都采用默认名称 Switch ，将会在网络配置和维护时造成多大的混，将会在网络配置和维护时造成多大的混乱。乱。配置主机名配置主机名从特权执行模式中输入从特权执行模式中输入 configure terminal 命令命令访问全局配置模式：访问全局配置模式：Switch#configure terminal命令执行后，提示符会变为：命令执行后，提示符会变为：Switch(config)#在全局配置模式下，输入主机名：在全局配置模式下，输入主机名：Switch(config)

13、#hostname AtlantaHQ命令执行后，提示符会变为：命令执行后，提示符会变为：AtlantaHQ(config)#如图如图 3-8 所示。所示。图图 3-8 配置交换机的名字配置交换机的名字请注意，该主机名出现在提示符中。要退出全局配请注意，该主机名出现在提示符中。要退出全局配置模式，请使用置模式，请使用 exit 命令。命令。每次添加或修改设备时，请确保更新相关文档。请每次添加或修改设备时，请确保更新相关文档。请在文档中通过地点、用途和地址来标识设备。在文档中通过地点、用途和地址来标识设备。注意注意:要消除命令的影响，请在该命令前面添加要消除命令的影响，请在该命令前面添加 no关

14、键字。关键字。例如，要删除某设备的名称，请使用：例如，要删除某设备的名称，请使用：AtlantaHQ(config)# no hostnameSwitch(config)#我们可以看到，我们可以看到，no hostname 命令使该路由器恢复命令使该路由器恢复到其默认主机名到其默认主机名“Switch”。2）限制设备访问）限制设备访问配置口令配置口令使用机柜和上锁的机架限制人员实际接触网络设使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法，但口令仍是防范未经授权的人员访备是不错的做法，但口令仍是防范未经授权的人员访问网络设备的主要手段。必须从本地为每台设备配置问网络设备的主要手段。必须

15、从本地为每台设备配置口令以限制访问。口令以限制访问。在此介绍的口令有：在此介绍的口令有：控制台口令控制台口令 用于限制人员通过控制台连接用于限制人员通过控制台连接访问设备访问设备使能口令使能口令 用于限制人员访问特权执行模式用于限制人员访问特权执行模式使能加密口令使能加密口令 经加密，用于限制人员访问经加密，用于限制人员访问特权执行模式特权执行模式VTY 口令口令 用于限制人员通过用于限制人员通过 Telnet 访问访问设备设备（1）控制台口令）控制台口令Cisco IOS 设备的控制台端口具有特别权限。作为设备的控制台端口具有特别权限。作为最低限度的安全措施，必须为所有网络设备的控制台最低限

16、度的安全措施，必须为所有网络设备的控制台端口配置强口令。这可降低未经授权的人员将电缆插端口配置强口令。这可降低未经授权的人员将电缆插入实际设备来访问设备的风险。可在全局配置模式下入实际设备来访问设备的风险。可在全局配置模式下使用下列命令来为控制台线路设置口令：使用下列命令来为控制台线路设置口令：Switch(config)#line console 0Switch(config-line)#password 密码密码Switch(config-line)#login命令命令 line console 0 用于从全局配置模式进入控用于从全局配置模式进入控制台线路配置模式。零制台线路配置模式。零

17、(0) 用于代表路由器的第一用于代表路由器的第一个（而且在大多数情况下是唯一的一个）控制台接口。个（而且在大多数情况下是唯一的一个）控制台接口。第二个命令第二个命令 password 用于为一条线路指定口令。用于为一条线路指定口令。login 命令用于将路由器配置为在用户登录时要求命令用于将路由器配置为在用户登录时要求身份验证。当启用了登录且设置了口令后，设备将提身份验证。当启用了登录且设置了口令后，设备将提示用户输入口令。一旦这三个命令执行完成后，每次示用户输入口令。一旦这三个命令执行完成后，每次用户尝试访问控制台端口时，都会出现要求输入口令用户尝试访问控制台端口时，都会出现要求输入口令的提

18、示。的提示。（2）使能口令和使能加密口令）使能口令和使能加密口令为提供更好的安全性，请使用为提供更好的安全性，请使用 enable password 命命令或令或 enable secret 命令。这几个口令都可用于在命令。这几个口令都可用于在用户访问特权执行模式（使能模式）前进行身份验证。用户访问特权执行模式（使能模式）前进行身份验证。以下命令用于设置口令：以下命令用于设置口令：Switch(config)#enable password 密码密码Switch(config)#enable secret 密码密码注意注意:如果使能口令或使能加密口令均未设置，则如果使能口令或使能加密口令均未设

19、置，则IOS 将不允许用户通过将不允许用户通过 Telnet 会话访问特权执行会话访问特权执行模式。若未设置使能口令，模式。若未设置使能口令，Telnet 会话将作出如下会话将作出如下响应：响应：Switchenable% No password setSwitch（3）VTY PasswordVTY 线路使用户可通过线路使用户可通过 Telnet 访问路由器。许多访问路由器。许多Cisco 设备默认支持五条设备默认支持五条 VTY 线路，这些线路编号线路，这些线路编号为从为从 0 到到 4。所有可用的。所有可用的 VTY 线路均需要设置口线路均需要设置口令。可为所有连接设置同一个口令。然而，

20、理想的做令。可为所有连接设置同一个口令。然而，理想的做法是为其中的一条线路设置不同的口令，这样可以为法是为其中的一条线路设置不同的口令，这样可以为管理员提供一条保留通道，当其它连接均被使用时，管理员提供一条保留通道，当其它连接均被使用时，管理员可以通过此保留通道访问设备以进行管理工管理员可以通过此保留通道访问设备以进行管理工作。下列命令用于为作。下列命令用于为 VTY 线路设置口令：线路设置口令：Switch(config)#line vty 0 4Switch(config-line)#password 密码密码Switch(config-line)#login默认情况下，默认情况下，IOS

21、 自动为自动为 VTY 线路执行了线路执行了 login命令。这可防止设备在用户通过命令。这可防止设备在用户通过 Telnet 访问设备时访问设备时不事先要求其进行身份验证。如果用户错误的使用了不事先要求其进行身份验证。如果用户错误的使用了no login 命令，则会取消身份验证要求，这样未经命令，则会取消身份验证要求，这样未经授权的人员就可通过授权的人员就可通过 Telnet 连接到该线路。这是一连接到该线路。这是一项重大的安全风险。项重大的安全风险。（4）加密显示口令）加密显示口令还有一个很有用的命令，可在显示配置文件时防止还有一个很有用的命令，可在显示配置文件时防止将将 口口 令令 显显

22、 示示 为为 明明 文文 。 此此 命命 令令 是是password-encryption。它可在用户配置口令后使口令加密显示。它可在用户配置口令后使口令加密显示。servicepassword-encryption 命令对所有未加密的口令进命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适行弱加密。当通过介质发送口令时，此加密手段不适service用，它仅适用于配置文件中的口令。此命令的用途在用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。于防止未经授权的人员查看配置文件中的口令。如果在尚未执行如果在尚未执行 service pas

23、sword-encryption命命 令令 时执时执 行行show running-config 或或showstartup-config 命令，则可在配置输出中看到未加命令，则可在配置输出中看到未加密密 的的 口口 令令 。 然然 后后 可可 执执 行行servicepassword-encryption 命令，执行完成后，口令即被命令，执行完成后，口令即被加密。口令一旦加密，即使取消加密服务，也不会消加密。口令一旦加密，即使取消加密服务，也不会消除加密效果。除加密效果。3） 管理配置文件管理配置文件（1）配置文件）配置文件（2）管理配置文件）管理配置文件4） 访问命令历史记录访问命令历史记

24、录Cisco CLI 提供已输入命令的历史记录。这种功提供已输入命令的历史记录。这种功能称为命令历史记录，它对于重复调用较长或较复杂能称为命令历史记录，它对于重复调用较长或较复杂的命令或输入项特别有用。默认情况下，命令历史记的命令或输入项特别有用。默认情况下，命令历史记录功能启用，系统会在其历史记录缓冲区中记录最新录功能启用，系统会在其历史记录缓冲区中记录最新输入的输入的 10 条命令。可以使用条命令。可以使用 show history 命令来命令来查看最新输入的执行命令。如图查看最新输入的执行命令。如图 3-9 所示。所示。图图 3-9 查看命令历史查看命令历史5） 配置登录标语配置登录标语

25、6） VLAN 的创建的创建无论无论 VLAN 是静态创建还是动态创建的，是静态创建还是动态创建的，VLAN的最大数量都取决于交换机和的最大数量都取决于交换机和 IOS 的类型。默认情的类型。默认情况下，况下，VLAN1 是管理是管理 VLAN。创建。创建 VLAN 后，后，VLAN 会会分配到一个编号和名称。分配到一个编号和名称。VLAN 编号是交换机上可用编号是交换机上可用范围内的任意编号，但不能使用范围内的任意编号，但不能使用 VLAN1。某些交换机。某些交换机支持约支持约 1000 个个 VLAN，有些则支持，有些则支持 4000 多个。为多个。为了便于网络管理，最好对了便于网络管理，

26、最好对 VLAN 命名。命名。（1）在全局配置模式下使用以下命令创建）在全局配置模式下使用以下命令创建VLAN：Switch(config)#vlan vlan_numberSwitch(config-vlan)#name vlan_nameSwitch(config-vlan)#exit指定作为指定作为 VLAN 成员的端口。默认情况下，所有成员的端口。默认情况下，所有端口最初都是端口最初都是 VLAN1 的成员。一次指定一个端口或的成员。一次指定一个端口或一个端口范围。一个端口范围。（2）使用以下命令将各个端口指定给）使用以下命令将各个端口指定给 VLAN：Switch(config)#i

27、nterface fa#/#Switch(config-if)#switchport access vlanvlan_numberSwitch(config-if)# exit（3）使用以下命令将一个范围内的端口指定给）使用以下命令将一个范围内的端口指定给VLAN：Switch(config)#interfacefa#/start_of_range - end_of_rangeSwitch(config-if)#switchport access vlanvlan_numberSwitch(config-if)# exit具体配置如图具体配置如图 3-10 所示。所示。range图图 3-10

28、 VLAN 的创建的创建（4） 要检验、维护和排查要检验、维护和排查 VLAN 故障，必须要故障，必须要掌握掌握 Cisco IOS 提供的重要提供的重要 show 命令。以下命令命令。以下命令可用于检验和维护可用于检验和维护 VLAN：show vlan显示交换机上所有显示交换机上所有 VLAN 的编号以及名称的详的编号以及名称的详细列表，并会显示每个细列表，并会显示每个 VLAN 关联的端口当关联的端口当 STP 是是根据根据 VLAN 进行配置时，还会显示进行配置时，还会显示 STP 统计信息。统计信息。show vlan brief显示摘要列表，其中仅提供活动显示摘要列表，其中仅提供活

29、动 VLAN 以及各个以及各个VLAN 关联的端口。关联的端口。show vlan id id_number根据根据 ID 号显示具体号显示具体 VLAN 的相关信息的相关信息show vlan name vlan_name根据名称显示具体根据名称显示具体 VLAN 的相关信息的相关信息（5） 删除删除 VLAN：Switch(config)#no vlan vlan_number要取消端口与特定要取消端口与特定 VLAN 的关联：的关联：Switch(config)#interface fa#/#Switch(config-if)#no switchport access vlanvlan_

30、number7） 配置交换机配置交换机 IP 地址、缺省网关、域名地址、缺省网关、域名这里所设置的这里所设置的 IP 地址、网关、域名等信息是为地址、网关、域名等信息是为交换机本身所设置的，配置了交换机本身所设置的，配置了 IP 地址以后，我们就地址以后，我们就可以从网络的任何地方可以从网络的任何地方 Telnet 到交换机对其进行管到交换机对其进行管理。并且还可以通过理。并且还可以通过 WEB 访问交换机对其进行管理。访问交换机对其进行管理。该该 IP 地址和连接在该交换机上的计算机或其他网络地址和连接在该交换机上的计算机或其他网络设备无关。也就是说，所有与交换机连接的主机都应设备无关。也就

31、是说，所有与交换机连接的主机都应该设置自身的域名、网关等信息。该设置自身的域名、网关等信息。先进入到配置模式先进入到配置模式Switch#config terminal设置设置 IP 地址地址Switch(config)#ip设置缺省网关设置缺省网关Switch(config)#ip设置域名设置域名Switch(config)#ip domain-name Switch(config)#endSwitch#8） 配置配置 VTPVTP 是一种客户端是一种客户端/服务器消息协议，它能够在服务器消息协议，它能够在单个单个 VTP 域中增加、删除和重命名域中增加、删除和重命名 VLAN。同一管理。同

32、一管理区域内的所有交换机都是域的一部分。每个域都有其区域内的所有交换机都是域的一部分。每个域都有其唯一的名称。唯一的名称。VTP 交换机仅与相同域中的其它交换机交换机仅与相同域中的其它交换机共享共享 VTP 消息。消息。default-gatewayaddressVTP 有三种模式：服务器模式、客户端模式和透有三种模式：服务器模式、客户端模式和透明模式。默认情况下，所有交换机都使用服务器模式。明模式。默认情况下，所有交换机都使用服务器模式。建议一个网络中至少将两台交换机配置为服务器，以建议一个网络中至少将两台交换机配置为服务器，以便提供备份和冗余功能。便提供备份和冗余功能。默认情况下交换机配置

33、为服务器模式。如果服务默认情况下交换机配置为服务器模式。如果服务器模式下的交换机发出的更新中包含的修订版号比器模式下的交换机发出的更新中包含的修订版号比当前更高，则所有交换机都将修改其数据库以与新交当前更高，则所有交换机都将修改其数据库以与新交换机匹配。换机匹配。当向现有当向现有 VTP 域添加新交换机时，执行以下步域添加新交换机时，执行以下步骤：骤：步骤步骤 1：离线配置：离线配置 VTP（第（第 1 版）版）Switch(config)#vtp domain domain_nameSwitch(config)#vtpsever|client|taansparentSwitch(config

34、)#vtp password 密码密码Switch#copy running-config startup-config步骤步骤 2：检验：检验 VTP 配置。配置。Switch#show vtp status步骤步骤 3：重新启动交换机。：重新启动交换机。Switch#reloadSwitch#show vtp passwordSwitch#show vtp countersmode314 任务总结与回顾任务总结与回顾本任务中，我们讨论了交换机的口令配置、本任务中，我们讨论了交换机的口令配置、IP 地地址、接口等问题。备份和恢复交换机配置是任何交换址、接口等问题。备份和恢复交换机配置是任何交

35、换机管理人员的关键技能。本次任务主要是完成对交换机管理人员的关键技能。本次任务主要是完成对交换机的基本配置，为后面的几个任务的完成打下基础。机的基本配置，为后面的几个任务的完成打下基础。315 习题习题3.2 任务任务交换机的端口隔离交换机的端口隔离3.2.1 任务分析任务分析VLAN（Virtual Local Area Network）是指是指在一个物理网段内，进行逻辑的划分，划分成若干个在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。虚拟局域网。VLAN 最大的特点是不受物理位置的限最大的特点是不受物理位置的限制，可以灵活的划分。相同的制，可以灵活的划分。相同的 VLAN 可以

36、互相进行通可以互相进行通信，不同的信，不同的 VLAN 间的主机不可以直接进行通信，间的主机不可以直接进行通信，必须通过路由器才可以进行通信。作用：可以限制广必须通过路由器才可以进行通信。作用：可以限制广播流量的转播，广播数据包只在播流量的转播，广播数据包只在 VLAN 进行转播，不进行转播，不能转到其他的能转到其他的 VLAN 中。中。Port Vlan 是实现是实现 Vlan 的方式之一，的方式之一，Port Vlan是利用交换机的端口进行是利用交换机的端口进行 VLAN 的划分，一个端口只的划分，一个端口只能属于一个能属于一个 VLAN。3.2.2 相关知识相关知识1、端口隔离的功能、端

37、口隔离的功能交换机端口隔离功能是在端口级的操作，一般整交换机端口隔离功能是在端口级的操作，一般整个设备有（而且只有）一个隔离群组，每个端口可以个设备有（而且只有）一个隔离群组，每个端口可以选择加入到这个群组里面来，加入到群组里面来的端选择加入到这个群组里面来，加入到群组里面来的端口和群组外面的端口可以正常互通，群组内端口之间口和群组外面的端口可以正常互通，群组内端口之间不能互通，不管它们具有怎样的不能互通，不管它们具有怎样的 vlan 关系。但是，镜关系。但是，镜像报文不能被隔离开。像报文不能被隔离开。2、使用端口隔离的意义：、使用端口隔离的意义：3.2.3 任务实施任务实施1、任务实施环境：

38、、任务实施环境：计算机网络实验室提供进行正常的网络实验设计算机网络实验室提供进行正常的网络实验设备和相应的软件环境。实验室有计算机，接入路由器，备和相应的软件环境。实验室有计算机，接入路由器，接入交换机以及与各种网络实验相关的配件资料和接入交换机以及与各种网络实验相关的配件资料和设施，可满足设施，可满足 2030 人同时进行网络实验的需求。人同时进行网络实验的需求。2、任务实施要求：、任务实施要求：(1)(2)(3)在交换机上创建在交换机上创建 VLAN交换机的交换机的 VLAN 划分划分掌握实现交换机端口隔离的基本技术掌握实现交换机端口隔离的基本技术3、任务实施步骤：、任务实施步骤：（1）在

39、交换机上划分两个）在交换机上划分两个 VLANswitchenableswitch#configure terminalswitch(config)#vlan 10switch(config-vlan)#name test10switch(config-vlan)#exitswitch(config)#vlan 20switch(config-vlan)#name test20switch(config-vlan)#endswitch#show vlan（2）将接口分配到）将接口分配到 VLAN 中中switch#configure terminalswitch(config)#interfa

40、ce fastethernet0/5switch(config-if)#switchport access vlan 10switch(config-if)#exitswitch(config)#interface fastethernet0/15switch(config-if)#switchport access vlan 20switch(config-if)#endswitch#show vlan（3）PC1 与与 PC2 不能不能 PING 通就为成功。通就为成功。3.2.4 任务总结与回顾任务总结与回顾本次任务中，通过使用本次任务中，通过使用 Port VLAN 完成了交换机完成了

41、交换机的端口隔离。的端口隔离。注意：注意：(1)VLAN 1 属于系统默认的属于系统默认的 VLAN，不，不可以被删除可以被删除(2) 删除某个删除某个 VLAN，使用，使用 no 命令。例命令。例如：如：switch(config)#no vlan 10(3)删除当前某个删除当前某个 VLAN 时，注意先将属于时，注意先将属于该该 VLAN 的端口加入别的的端口加入别的 VLAN，再删，再删除除 VLAN。3.2.5 习题习题拓扑结构如图拓扑结构如图 3-12 所示，请按照拓扑图完成端口所示，请按照拓扑图完成端口隔离。隔离。图图 3-12端口隔离拓扑结构端口隔离拓扑结构3.3 任务任务 3跨

42、交换机实现跨交换机实现 VLAN3.3.1 任务分析任务分析如果你是企业的网管，企业有两个主要部门：销如果你是企业的网管，企业有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统分散售部和技术部，其中销售部门的个人计算机系统分散连接，他们之间需要相互进行通信，但为了数据安全连接，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离。这时，我起见，销售部和技术部需要进行相互隔离。这时，我们需要进行跨交换技实现们需要进行跨交换技实现 VLAN。3.3.2 相关知识相关知识Tag Vlan 是基于交换机端口的另外一种类型，主是基于交换机端口的另外一种类型，主要用于实现

43、跨交换机的相同要用于实现跨交换机的相同 VLAN 内主机之间可以内主机之间可以直接访问，同时对不同的直接访问，同时对不同的 VLAN 的主机进行隔离，的主机进行隔离，起到数据安全的传输。起到数据安全的传输。Tag Vlan 遵循了遵循了 IEEE802.1Q协议的标准。在利用配置了协议的标准。在利用配置了 Tag Vlan 的接口进行数的接口进行数据传输时，需要在数据侦添加据传输时，需要在数据侦添加 4 个字节的个字节的 802.1Q 标标签信息，用与标志该数据帧属于哪一个签信息，用与标志该数据帧属于哪一个 VLAN，以便，以便于对端交换机接收到的数据帧后进行准确的过滤。于对端交换机接收到的数

44、据帧后进行准确的过滤。Tag Vlan 在同一在同一 VLAN 里的计算机系统能跨交里的计算机系统能跨交换机进行相互通信，而在不同的换机进行相互通信，而在不同的 VLAN 里的计算机系里的计算机系统不能进行相互通信。统不能进行相互通信。3.3.3 任务实施任务实施1、任务实施环境、任务实施环境每组应含有的设备：每组应含有的设备：（1）两台）两台 Cisco 2960 交换机或同类交换机交换机或同类交换机（2）两台基于）两台基于 Windows 的计算机，其中装有终的计算机，其中装有终端仿真程序端仿真程序（3）至少一根）至少一根 RJ-45 转转 DB-9 连接器控制台电连接器控制台电缆，用以配

45、置交换机和路由器缆，用以配置交换机和路由器（4）三根直通以太网电缆，用以连接计算机和）三根直通以太网电缆，用以连接计算机和交换机交换机（5）一根交叉以太网电缆，用以连接）一根交叉以太网电缆，用以连接 S1 和和 S22、任务实施要求：、任务实施要求：（1）观察默认交换机的）观察默认交换机的 VLAN 配置和操作配置和操作（2）在交换机上配置静态）在交换机上配置静态 VLAN（3）检查）检查 VLAN 的配置和操作的配置和操作（4）配置交换机之间的中继）配置交换机之间的中继3、任务实施步骤：、任务实施步骤：拓扑如图拓扑如图 3-13：图图 3-13跨交换机实现跨交换机实现 VLAN 拓扑图拓扑图

46、（1）连接设备）连接设备用交叉电缆将用交叉电缆将 Switch 1 的的 Fa0/1 接口连接接口连接到到 Switch 2 的的 Fa0/1 接口；接口；用直通电缆将用直通电缆将 Host 1a 的以太网接口连接到的以太网接口连接到Switch 1 的的 Fa0/2 接口；接口；用直通电缆将用直通电缆将 Host 1b 的以太网接口连接到的以太网接口连接到Switch 1 的的 Fa0/3 接口；接口；用直通电缆将用直通电缆将 Host 2 的以太网接口连接到的以太网接口连接到Switch 2 的的 Fa0/2 接口；接口；用控制台电缆连接计算机，配置交换机；用控制台电缆连接计算机，配置交换

47、机；（2）执行）执行 Switch 1 和和 Switch 2 的基本配置的基本配置将计算机连接到交换机的控制台端口，以使将计算机连接到交换机的控制台端口，以使用终端仿真程序执行配置；用终端仿真程序执行配置；配置配置 Switch 1 的主机名和控制台以及特权的主机名和控制台以及特权口令并保存配置；口令并保存配置；配置配置 Switch 2 的主机名和控制台以及特权的主机名和控制台以及特权口令并保存配置。口令并保存配置。（3）检验默认）检验默认 VLAN 配置和连通性配置和连通性在本任务中，直接连接某些交换机时，交换机端在本任务中，直接连接某些交换机时，交换机端口会自动自行配置以实施中继。为避

48、免这种情况，请口会自动自行配置以实施中继。为避免这种情况，请手动配置交换机端口以在手动配置交换机端口以在 S1 和和 S2 上正常操作。上正常操作。（4）创建并检查）创建并检查 VLAN 配置配置在两台交换机上创建并命名在两台交换机上创建并命名 VLAN 2 和和 3。（5）配置和检验中继）配置和检验中继为了让跨越多台交换机的多个为了让跨越多台交换机的多个 VLAN 内部连通，内部连通，可以配置中继。若没有中继，每个可以配置中继。若没有中继，每个 VLAN 都需要在交都需要在交换机之间建立独立的物理连接。换机之间建立独立的物理连接。在在 S1 和和 S2 上配置中继。上配置中继。S1 的端口的

49、端口 Fa0/1 已已经连接到经连接到 S2 的端口的端口 Fa0/1。（6）观察交换机的默认中继行为）观察交换机的默认中继行为在本实验的前面部分，已经手动配置交换机的在本实验的前面部分，已经手动配置交换机的Fa0/1 接口进行中继。使用接口进行中继。使用 no switchport mode trunk命令删除该配置。命令删除该配置。3.3.4 任务总结与回顾任务总结与回顾在本次任务中，我们学会配置了跨交换机实现在本次任务中，我们学会配置了跨交换机实现VLAN。完成任务的过程中，可能会使用到。完成任务的过程中，可能会使用到 no * 命命令，这是个常用且容易出问题的命令，在以后对交换令，这是

50、个常用且容易出问题的命令，在以后对交换机和路由器的使用要多加注意。机和路由器的使用要多加注意。3.3.5 习题习题请参照图请参照图 3-14，在两台交换机中配置，在两台交换机中配置 VLAN10、VLAN20，并实现跨交换机的，并实现跨交换机的 VLAN 间通信。间通信。图图 3-14拓扑图拓扑图3.4 任务任务 4利用三层交换机实现利用三层交换机实现 VLAN 间通信间通信3.4.1 任务分析任务分析在校园网络发展的初期，网络中只有在校园网络发展的初期，网络中只有 10%20%的的信息在信息在 VLAN 之间传播，但随着多媒体技术在校园网之间传播，但随着多媒体技术在校园网络中应用的迅速普及，