目第1章VLAN配 1- 1-VLAN介 VLAN的配置任務序 VLAN典型應 Hybrid端口的典型應 GVRP配 1- GVRP配置任務序 GVRP排錯幫 1-Dot1q-tunnel介 Dot1q-tunnel配 Dot1q-tunnel典型應 Dot1q-tunnel排錯幫 1-VLAN-translation介 VLAN-translation配 VLAN-translation典型應 VLAN-translation排錯幫 動態VLAN配 1- 動態VLAN典型應 動態VLAN排錯幫 VoiceVLAN配 1- VoiceVLAN典型應 VoiceVLAN排錯幫 1- 24 26SuperVLAN配 26 26SuperVLAN配置任務序 28 29 30第2章MAC地址表配 1MAC地址表介 1MAC地址表的獲 1轉發或過 2MAC地址表配 3典型配置舉 5排錯幫 5MACNotification配 6 6 6 7 8第1VLAN配VLANLN（ralLoalraeor）者管理的需要將局域網內部的設備邏輯地劃分為一個個網段，從而形成一個個虛擬的工作組，并且不需要考慮設備的實際物理位置。E頒布了021Q協議以規定標準化LNLN81Q Laser1-1VLAN每個廣播域即一個VLAN，VLAN和物理上的局域網有相同的屬性，不同之處只在于VLANVLAN的劃分不必根據實際的物理位置，而每個VLAN內部的廣播、組播和單播流量都是與其它VLAN隔絕的。 交換機根據端口在轉發報文時對是否帶tag的不同處理方式，把以太網端口分為三Trunk類型的端口可以允VLAN通過，可VLAN的報文，一般HybridVLANVLAN的報文，可HybridTrunk端口在接收數據時，處理方法是一樣的，唯一不同之處在于發送數據時Hybrid端口可以允許多個VLAN的報文發送時不打，而Trunk端口只允許nativeVLAN的報文發送時不打。802.1QVLANGVRP（GARPVLANRegistrationProtocolVLANGVRP的使用和配置進行詳細的說明。VLAN的配置任務序列設置Trunk創建或刪除vlanWORDnovlanWORD創建/VLAN指定或刪除VLAN名稱no為VLAN分配交換機端switchportinterface<interface-list>設置交換機端口類型switchportmode{trunk|access|設置Trunk端口switchporttrunkallowedvlan{WORD|all|addWORD|exceptWORD|removeWORD}noswitchporttrunkallowed設置/Trunk端口允許通過VLAN。switchporttrunknativevlan<vlan-id>noswitchporttrunknativevlanswitchportaccessvlan<vlan-id>noswitchportaccessvlan將當前端口加入退出到指定設置Hybrid端口switchporthybridallowedvlan{WORD|all|addWORD|exceptWORD|removeWORD}{tag|noswitchporthybridallowed設置/刪除Hybrid端口允許以taguntag方式通過VLANswitchporthybridnativevlan<vlan-id>noswitchporthybridnativevlan打開或關閉VLAN的規vlaningressenablenovlaningressenableprivate-vlan{primary|isolated|community}noprivate-vlan將當前VLAN設置為private-vlanassociation<secondary-vlan-list>noprivate-vlanassociationVLANvlan<2-4094> Workstation TrunkSwitchWorkstation1-2VLAN配置項目配置說明配置項目配置說明Trunk各種網絡設備連接到交換機的各個VLAN的端口上，就歸屬到相應的VLAN之中。A交換機Switch(Config-Vlan2)#switchportinterfaceethernet1/0/2-4Switch(Config-Vlan2)#exitSwitch(Config-Vlan100)#switchportinterfaceethernet1/1/5-7Switch(Config-Vlan100)#exitSwitch(Config-Vlan200)#switchportinterfaceethernet1/1/1-4Switch(Config-Vlan200)#exitSwitch(Config-If-Ethernet1/1/5)#switchportmodetrunkSwitch(Config-If-Ethernet1/1/5)#exitSwitchB交換機Switch(Config-Vlan2)#switchportinterfaceethernet1/0/2-4Switch(Config-Vlan2)#exitSwitch(Config-Vlan100)#switchportinterfaceethernet1/1/1-4Switch(Config-Vlan100)#exitSwitch(Config-Vlan200)#switchportinterfaceethernet1/1/5-8Switch(Config-Vlan200)#exitSwitch(Config-If-Ethernet1/1/5)#switchportmodetrunkSwitch(Config-If-Ethernet1/1/5)#exitHybrid端口的典型應用1-3HybridSwitchAEthernet1/0/1SwitchBEthernet1/0/1PC1PC2PC1PC2SwitchAVLAN10SwitchBSwitchAVLAN10SwitchBSwitchB7允許VLAN7,10SwitchB9允許VLAN9,10A交換機Switch(config)#vlanSwitch(Config-Vlan10)#switchportinterfaceethernetB交換機Switch(config)#vlan7;9;10Switch(Config-If-Ethernet1/0/2)#switchportmodehybridSwitch(Config-If-Ethernet1/0/2)#switchporthybridnativevlan7Switch(Config-If-Ethernet1/0/2)#switchporthybridallowedvlan7;10untagSwitch(Config)#interfaceEthernetSwitch(Config-If-Ethernet1/0/3)#switchportmodehybridSwitch(Config-If-Ethernet1/0/3)#switchporthybridnativevlan9Switch(Config-If-Ethernet1/0/3)#switchporthybridallowedvlan9;10untagSwitch(Config)#interfaceEthernetSwitch(Config-If-Ethernet1/0/1)#switchportmodehybridSwitch(Config-If-Ethernet1/0/1)#switchporthybridnativevlan10Switch(Config-If-Ethernet1/0/1)#switchporthybridallowedvlan7;9;10untagGVRPGVRPGARP協議主要用于建立一種屬性傳遞擴散的機制，以保證協議實體能夠和注銷該屬性。GARP作為一個屬性的載體，可以用來屬性。而根據的屬性的不同，可把VLAN屬性信息到整個二層網絡的協議。1-4AG是二層網絡中沒有直連的兩個交換機，BCDEF是二層網絡連AG的AGVLAN100-1000，BCDEF沒有此配置，在沒有GVRP的情況下，AGVLAN100-1000是不能相互通信的，因為中間交換機沒有相關VLAN，但是在所有交換機開啟GVRP功能之后，通過GVRP的VLAN屬性機制使得中間交換機BCDEF動態的了這些VLAN，使得A和G的VLAN100-1000中每一VLAN都可以相互通信，即可以看作是一個VLANAGVLAN100-1000后，中間交換機BCDEF動態的這些VLAN也會隨之注銷。簡單說來，通過GVRP協VLAN可以互相通信，而不必去手動配置中間的每臺路由GVRP配置任務序列garptimerjoin<200-500>garptimerleave<500-1200>nogarptimer(join|leave|leavealljoinnogvrpnogvrpGVRP1-5GVRPTrunk在Trunk將兩臺工作站分別與交換ABVLAN100的端口相A11號端口與交B10端口相連，交換機B11C11號端口相連。Switch(config)#gvrpSwitch(Config-Vlan100)#switchportinterfaceethernet1/0/1-4Switch(Config-Vlan100)#exitSwitch(Config-If-Ethernet1/0/1)#switchportmodetrunkSwitch(Config-If-Ethernet1/0/1)#gvrpSwitchSwitch(config)#interfaceethernet1/0/2Switch(Config-If-Ethernet1/0/2)#switchportmodetrunkSwitch(Config-If-Ethernet1/0/2)#gvrpSwitchSwitch(config)#gvrpSwitch(Config-If-Ethernet1/0/1)#switchportmodetrunkSwitch(Config-If-Ethernet1/0/1)#gvrpGVRPRSTP功能。802.1Q用戶私網VLAN（CVLANtag）封裝到公網VLAN（SPVLANtag）上，報文帶著兩層VLAN穿越服務商的骨干網絡，從而為用戶提供一種較為簡單的二層隧道。它簡TrunkVLAN200-

接入端口，并屬于接入端口，并屬于PPE設備端口配置為接入端口，并屬于

PE設備端口配置為（SPVIDCE1PE1VLANtag200~300dot1q-tunnel功能，PE1VLANtagID就是分配給該用戶的SPVID。此后該報文在服務提供商網絡中時僅在VLAN3中進行且全程帶有兩層VLANtag（內層為PE1時的tag，外層為SPVID）但用戶網絡的VLAN信息對運營商網絡來說是透明的。當報文到達PE2，從PE2上的客戶端口轉發給CE2之前，外層VLANtag被剝去，CE2CE1發送的報文完全相同。PE1PE2之間的運營商網Dot1q-tunnel技術的產生使得服務提供商可以靠自己的一個VLAN來支持客戶的多個VLAN。服務提供商和客戶可以獨立設置自己的VLAN?？梢姡褂胐ot1q-tunnel功能具有如下特點：SPVID，提升了可以同時支持的用戶數目；而用戶也具有選擇和管理VLANID資源的最大自由度（從1~4096中任意選擇。Dot1q-tunnel的配置任務序列：設置端口的dot1q-tunnel功能dot1q-tunnelenable設置端口的協議類型dot1q- {0x8100|0x9100|0x9200|<1-配置項目配置說明PE1、PE2的端PE1、PE2的端服務提供商邊界交換機PE1與PE2用VLAN3來承載客戶網絡CE1與CE2的VLAN200~300的數據業務。PE1的端1CE1，端配置項目配置說明PE1、PE2的端PE1、PE2的端Switch(Config)#vlanSwitch(Config-Vlan3)#switchportinterfaceethernet1/0/1Switch(Config)#interfaceethernet1/0/1Switch(Config-Ethernet1/0/1)#dot1q-tunnelenableSwitch(Config-Ethernet1/0/1)#exitSwitch(Config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#switchportmodetrunkSwitch(Config-Ethernet1/0/2)#dot1q-tunneltpid0x9100Switch(Config)#vlanSwitch(Config-Vlan3)#switchportinterfaceethernet1/0/1Switch(Config)#interfaceethernet1/0/1Switch(Config-Ethernet1/0/1)#dot1q-tunnelenableSwitch(Config-Ethernet1/0/1)#exitSwitch(Config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#switchportmodetrunkSwitch(Config-Ethernet1/0/2)#dot1q-tunneltpid0x9100 在Trunk端口啟用dot1q-tunnel功能會使數據包的層數據不可預知，也不是應用中所需要的，因而不推薦在Trunk端口啟用dot1q-tunnel功能。 VLANtranslationVLANVLANID轉換為新的VLANID，這樣可以在不同的VLAN之間交換數據。VLANtranslation分為翻譯與出口翻譯，本交換機只支持在對VLANID進行轉化。VLANtranslation的使用和配置進行詳細的說明。交換機的access口不支持此功能。VLAN-translation的配置任務序列：設置端口的VLAN-translation功能vlan-translationenable進入/退出端口的VLAN-translation模設置端口VLAN-translation的翻譯關系 添加/刪除VLAN-translation翻譯關設置端口VLAN-translation翻譯關系查找失敗是否丟包vlan-translationmissdropinnovlan-translationmissdropin顯示VLAN-translation相關配置案例服務提供商邊界交換機PE1PE2VLAN3來承載客戶網絡CE1與CE2的VLAN20的數據業務。PE11/0/1CE11/0/2連接公網；PE21/0/1連接CE2，端口1/0/2連接公網（如下圖。TrunkVLAN為為為為TrukPTrunkVLAN配置項目配置說明PE1、PE2的端TrunkPE1、PE2的端口1/0/1與端口PE1、switch(Config)#interfaceethernet1/0/1switch(Config-Ethernet1/0/1)#switchportmodetrunkswitch(Config-Ethernet1/0/1)#vlan-translationswitch(Config-Ethernet1/0/1)#vlan-translation3to20outswitch(Config-Ethernet1/0/1)#exitswitch(Config)#interfaceethernet1/0/2VLAN-translation一般trunk端口上使用。vlantranslationvlaningress過濾對報文處理的優先級順序如下：vlantranslationvlaningress過濾和基于協議的VLAN（Protocol-basedVLAN，分述如下。MACVLAN的方法是根據每個主機的MAC地址來對每MAC地址的主機都配置他屬于哪個VLANVLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員。由這種劃分的機制可以看出，這VLAN的劃分方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基于用戶，而不是基于交換機的端口。IP子網VLAN是根據每個IP地址及其子網掩碼VLAN，它根據子網網段來為進入的數據包分配相應的VLAN號，使數據包進入指定的VLAN。它的優點與基于MAC地址劃分的VLAN相同，可以在用戶移動時不必重新進行配置。VLANVLAN。這對于希望針對具體加到動態VLAN的端口配置為Hybrid屬性。動態VLAN的配置任務序列：指定一個VLANMAC調整動態VLANnoswitchportmac-vlan打開/MAC-basedVLAN功mac-vlanvlan<vlan-id>nomac-vlanvlan<vlan-id>設置指VLANMACVLAN；本命令的no命令為取消該VLAN為設置MAC地址VLAN的對應關系 系。即指定MAC地址加入/ switchportsubnet-vlanenablenoswitchportsubnet-vlanenable關閉端口的IP-subnet-VLAN設置IP子網與VLAN的對應關系subnet-vlanip-address<ipv4-addrss>mask<subnet-mask>vlan<vlan-id>priority<priority-id> <ipv4-addrss>mask<subnet-添加/刪除IP子網與VLAN的對應關系。即指定IP子網加入/離開指定VLAN。設置協議與VLAN的對應關系protocol-vlanmode{ethernetii <ssap-id>}|snapetype<etype-id>}noprotocol-vlan{mode{ethernetii 指定協議加入/離開指定VLAN。調整動態VLAN的優先順序dynamic-vlanmac-vlanpreferdynamic-vlansubnet-vlanpreferVLAN典型辦公網中某部門A屬于VLAN100，該部門有若干成員經常在整個辦公網中移動辦公，而其仍要保證是部門A的成員而VLAN100的資源。假定該其中一個成員為M，其PC的MAC00-03-0f-11-22-33MVLAN200VLAN300M所在的端口配置為hybrid模式，并且以untag方式屬于VLAN100。這樣當VLAN100中的數據會轉發到M所在的端口，實現在VLAN100中的通信需求。 配置項 配置說SwitchASwitchBSwitchCM位于SwitchAE1/0/1，則配置步驟如下：對于SwitchA,SwitchB,SwitchC:SwitchA(Config)#mac-vlanmac00-03-0f-11-22-33vlan100priority0SwitchA(Config)#interfaceethernet1/0/1SwitchA(Config-Ethernet1/0/1)#swportportmodeSwitchB(Config)#mac-vlanmac00-03-0f-11-22-33vlan100priority0SwitchC(Config)#mac-vlanmac00-03-0f-11-22-33vlan100priority0VLAN排錯在配置VLAN的交換機上，如果連接的（如PC均屬于同一動態包（如進行操作使交換機學習到它們的源MAC，之后，兩臺設備在該動態VLANVoiceVLANVLANVoiceVLAN并將語音設備的語音數據流，源MAC地址符合系統設置的語音設備OUI（Organizationally音設備都對應唯一的MAC地址，VLAN交換機屬于指定的MAC的地址。這種方式的VLANVoiceVLAN。由VLAN的劃分方法的最大優點就是根據語音流而自動將其注意：VoiceVLAN需要跟端口的Hybrid屬性配合才能很好的工作，需要用戶將需要添加到VoiceVLAN的端口配置為Hybrid屬性。VoiceVLAN的配置任務序列如下：novoice-將語音設備加入Voicevoice-vlanmac<mac-address><mac-mask>priority<priority-id> mask<mac-mask>|name<voice-switchportvoice-vlanenablenoswitchportvoice-vlanenable案例IP-phone1的MAC地址為00-03-0f-11-22-33，連接交換機1/0/1口，IP-phone2的MAC00-03-0f-11-22-551/0/21/0/10為上聯端口。如 1-10VoiceVLAN配置項 配置說Switchswitch(Config)#vlan100switch(Config)#voice-vlanvlan100switch(Config)#voice-vlanmac00-03-0f-11-22-33mask255priority5namecompanyswitch(Config)#voice-vlanmac00-03-0f-11-22-55mask255priority5namecompanyswitch(Config)#interfaceethernet1/0/3switch(Config)#interfaceethernet1/0/1switch(Config-If-Ethernet1/0/1)#switchporthybridallowedvlan100untagswitch(Config)#interfaceethernetswitch(Config-If-Ethernet1/0/2)#switchporthybridallowedvlan100untag 端口上的VoiceVLANMulti-to-OneVLANtranslationVLAN翻譯。在上行數據流方向，根據用戶VLANIDVLANIDVLAN設置端口的VLAN-translation功能 設置/刪除Multi-to-One Multi-to-OneVLANtranslation相案例A、B、CVLAN1、VLAN2、VLAN3100，相反，用戶ABC數據流從網絡層進入邊緣層時會被邊緣接入交換機Switch1Ethernet1/0/1分別映射VLAN1VLAN2VLAN3；同緣接入交換Switch2接口Ethernet1/0/1，也實現了針對用戶Ｄ，Ｅ，Ｆ多對一的映射。配置項目配置說明Switch1、TrunkSwitch1、Switch2的下聯端1/0/1和上聯Switch1、Switch2的下聯端Switch1、switch(Config-Ethernet1/0/1)#switchportmodetrunkswitch(Config-Ethernet1/0/1)#vlan-translationn-to-11-3to100switch(Config)#interfaceethernet1/0/3 SuperVLANSuperVLANSuperVLAN技術（VLAN聚合）superVLANsubVLAN的概念。一個superVLANsubVLAN。SubVLAN不再占用一superVLANsubVLANIP地址都在superVLAN對應的子網網段內。LanSwitch網絡中，VLAN技術以其對廣播域的靈活控制（可跨物理設備、部署方VLAN對應一個三IP地址的較大浪費。我們來看下面這個例子，設備內VLAN劃分如下圖所示。1-12VLAN

6552111-1VLAN1-1列出了地址的劃分情況。VLAN2110VLAN10+5+1＝16VLAN的編址方式，即使最優化的方案也需要占用232-28+232-29+232-30=28個地址地址浪費了半而且如果VLAN28VLAN23所在的客戶一段時間后需要增加2臺主機，又不愿意改變已經分配的IP地址。在1.1.1.24后面的地址已經個新的VLAN給他。這樣VLAN23的客戶只有3臺主機，卻被迫分配了兩個子網，不在同一個VLAN，造成管理上的極大不便。地址被浪費。為了解決這一問題，SuperVLAN應運而生。可見，SuperVLAN的好處是：減少子網號、子網缺省網關地址和子網定向廣播地址的1-13supervlanSuperVLAN創建或刪除指定或刪除subvlannosubvlan{WORD|開啟或關閉subvlan的arp-proxy功能arp-proxysubvlan{WORD|all}noarp-proxysubvlan{WORD|all}指定或刪除接口的ip-addr-noip-addr-指定或刪除subvlan的ip-addr-ip-addr-rangesubvlan<vlan-id><ipv4-noip-addr-rangesubvlan<vlan-SuperVLAN1-14supervlanvlan的終端配置為同一網段的地址，它們之間的SwitchA:switch(Config)#vlan2switch(config-if-vlan2)#ipaddress1.1.1.254255.255.255.0switch(config-if-vlan2)#arp-proxysubvlanallswitch(config-if-vlan2)#ip-addr-rangesubvlan41.1.1.20to1.1.1.30SuperVLANsupervlan功能與VRRP、動態VLAN、私有VLAN、組播VLAN等功能互斥，不要同subvlanarp-proxysubvlanarp-proxyVLAN收到的流VLANsubvlan的設備互相發送流量通信時，請注意將兩個subvlan的arp-proxy功能均開啟。當sprvnIPsubvnvnP查是否在subvn地址范圍內，然后再檢查是否在接口地址范圍內，通過上述兩次檢查后第2MAC地址表MACMACMACMAC地址分為MACMACMAC地址由用戶配置，具有最高優先級（不能被動態MAC地址覆蓋）且永久生效；動態MAC地址由交換機在轉發數據幀的過程中學習,MAC地MACMAC地址表，如果命中相關MAC地址表的獲取MACMAC定期的更新MAC地址表。下面重點介紹MAC地址表的動態學習過程。2-1MAC當主機1向主機3傳輸信息時，交換機在端口1/0/5處收到該信息的源MAC00-01-11-11-11-11，交換機的MAC地址表中就會增加MAC地址00-01-11-11-11-11和00-01-33-33-33-33和端口1/0/12目前MAC地址表的內容為MAC地址00-01-11-11-11-11動態對應著端口1/0/5，MAC00-01-33-33-33-33動態對應著端口MAC端MAC端 廣播幀：交換機能阻隔域，但不能阻隔廣播域，在沒有設置VLAN的情況下連接在VLANMCMC表MC地址在MCLALANMCM地址表LALAN內進行廣播。MAC配置MAC地址老化時間 配置靜態mac地址轉發/過濾表項 static-multicast|blackhole}<mac-addr>vlan<vlan-id> 配置靜態mac地址轉MACstatic-multicast|blackh