*第1頁第3章交換網絡設計*第2頁學習目標理解：對等網絡的設計與實現掌握：VLAN設計與實現理解：三層交換與三層交換機掌握：利用三層交換機實現VLAN間互連學習完本次課程，您應該能夠：*第3頁課程內容

小型辦公網絡設計VLAN的設計與實現三層交換與VLAN間的互連*第4頁1小型辦公網絡設計學習內容小型辦公網絡及組網設備交換機的互連技術小型辦公網絡的設計與實現*第5頁1.1小型辦公網絡及組網設備小型辦公網絡是指通過網絡設備將一個或幾個相鄰的辦公場所的計算機連接起來，以達到辦公區域內部相互通信和資源共享目的的小型局域網絡。小型辦公網絡中的電腦的IP地址都在同一個網段中，也即小型辦公網絡是一個單一網段的簡單局域網。連網設備主要是集線器（Hub）或交換機。從性能上看，交換機會更好。由于當前交換機的普遍使用，現實中一般都是使用交換機。*第6頁集線器與沖突域集線器是一個物理層的連網設備，集線器對幀沒有識別能力，在接到數據信號后，對數據信號進行整形、放大后，以廣播形式發送到除接收端口外的其他所有端口。集線器內部以總線形式構成，每一個具體時刻只能有一個端口發送數據，其他端口只能接收數據，所有用戶共享端口帶寬，所有端口在一個沖突域和一個廣播域中。 沖突域是指一個網絡范圍，在這個范圍內同一時間內只能有一個設備可以發送數據，如果二臺以上設備同時發送數據，就會發生數據沖突，那么這個網絡范圍就稱為一個沖突域。集線器的所有端口在一個沖突域中，由集線器構成的網絡，所有的設備在一個沖突域中。*第7頁以太網交換機與廣播域二層以太網交換機是一個數據鏈路層的設備，二層以太網交換機是一個多端口的透明網橋，采用反向學習的方式建立起自已的MAC地址表，以太網交換機根據MAC地址表對幀進行轉發。以太網交換機對幀有識別功能，能對網絡中的流量起到過濾的作用。默認情況下，通過交換機連接的網絡是一個廣播域。交換機的每一個端口是一個單獨的沖突域。*第8頁集線器與交換機的區別工作層次：集線器工作在物理層，交換機工作在數據鏈路層；工作原理：集線器對幀沒有識別能力，對所有接到的信號都做廣播處理，用集線器連接的網絡屬于同一個沖突域；交換機對幀具有過濾功能，交換機的每一個端口是一個沖突域，默認情況下，用交換機連接的網絡屬于同一個廣播域。*第9頁1.2交換機互連技術多臺交換機的互連方式主要有二種：級聯（Uplink）堆疊（Stack）。*第10頁交換機的級聯指用雙絞線或光纖電纜將二臺或多臺交換機連接起來，以達到擴展網絡，增加交換機端口的目的。交換機級聯可以通過普通RJ45端口、Uplink端口或光纖端口進行。*第11頁交換機的堆疊是指多臺交換機之間，通過專用的堆疊模塊和堆疊線纜相互連接起來的連接方式。相互堆疊起來的多臺交換機組成一個堆疊單元。交換機堆疊可以增加用戶端口；交換機堆疊通過堆疊模塊與堆壘線纜在交換機之間建立一條較寬的寬帶鏈路，可以比交換機級聯更好地在各交換機端口間進行數據傳輸。交換機堆疊可以將多臺交換機作為一臺大的交換機，進行統一管理。*第12頁交換機的菊花鏈式堆疊*第13頁級聯與堆疊的區別實現的方式不同設備數目限制不同連接后性能不同連接后邏輯屬性不同連接距離限制不同*第14頁1.3小型辦公網絡的設計與實現項目背景A辦公區域內的5臺計算機需要通過交換機（或集線器）連接起來組成一個小型辦公局域網絡，其中1臺計算機作為服務器使用，其余4臺計算機作用客戶機使用。共享資源放在服務器的D:\Share目錄中。服務器上連接一臺打印機，作為辦公室共用的打印機。*第15頁網絡設計與部署網絡拓撲設計*第16頁網絡設備的安裝與配置將交換機安裝到機柜中。由于這個辦公室網絡中的所有設備都在一個網段中，所以交換機不需要進行任何配置，只保持在默認配置狀態下就可以。制作雙絞線，將網絡設備（交換機或集線器）與各計算機連接起來。規劃IP地址PC0：192.168.1.1，子網掩碼255.255.255.0PC1：192.168.1.2，子網掩碼255.255.255.0PC2：192.168.1.3，子網掩碼255.255.255.0PC3：192.168.1.4，子網掩碼255.255.255.0服務器：192.168.1.250，子網掩碼255.255.255.0*第17頁計算機上的配置TCP/IP參數計算機之間的連通性測試在服務器上，將文件夾D:\Share設置為共享共享驗證*第18頁課程內容

小型辦公網絡的設計與實現VLAN的設計與配置三層交換與VLAN間的互連*第19頁2VLAN的設計與配置主要內容VLAN及其工作機制單交換機VLAN的配置跨交換機多VLAN的配置*第20頁2.1VLAN及其工作機制傳統網絡的問題交換機對廣播幀的無條件轉發造成網絡問題為解決廣播引發的問題，分割網絡的方法路由器VLAN*第21頁虛擬局域網（VirtualLocalAreaNetwork，VLAN）是在交換局域網的基礎上，使用軟件劃分出來的與物理位置無關的邏輯網絡；是一種通過將交換局域網內的設備邏輯地而不是物理地劃分成一個個網段，從而實現虛擬工作組的技術。一個VLAN就是一個邏輯工作組。一個VLAN是一個邏輯廣播域*第22頁VLAN具有以下特征VLAN與物理位置無關VLAN可以隔離廣播VLAN之間的主機通信必須通過路由器或三層交換機VLAN可以提高網絡安全性、簡化網絡管理，同時也使得網絡的建設和擴展變得方便。*第23頁VLAN的分類基于端口的VLAN基于MAC地址的VLAN基于IP地址的VLAN基于IP組播的VLAN*第24頁跨交換機的VLAN與Trunk如果一個VLAN跨越多個交換機，如何實現不同交換機上，同一VLAN中設備的通信？*第25頁簡單的方法如下：缺點：用于連接的端口開銷將會很大*第26頁使用Trunk實現跨交換機同一VALN的通信Trunk鏈路可以為多個VLAN傳送流量。Trunk鏈路兩端的端口稱為Trunk端口。*第27頁IEEE802.1Q是國際標準，幾乎所有的交換機都支持IEEE802.1Q規定在以太網的幀格式中的源MAC地址后插入4個字節的VLAN標簽。*第28頁IEEE802.1QVLAN標簽格式TPID（標簽協議標識符）16位，用于說明給此幀打標簽的協議類型。

TCI（標簽控制信息）16位，包括用戶優先級（User

Priority）、規范格式指示器（Canonical

Format

Indicator）和

VLAN

ID等*第29頁劃分VLAN情況下，交換機的端口類型：訪問端口（AccessPort）這種端口只能屬于一個VLAN，并且是通過手工設置指定VLAN的，這個端口不能從另外VLAN接收信息，也不能向其他VLAN發送信息。在大多數情況下，訪問端口連接的是客戶機。主干端口（TrunkPort）默認情況下，主干端口屬于本交換機所有VLAN，能夠轉發所有VLAN的幀。也可以通過設置許可VLAN列表（Allowed-VLANS）來加以限制。Trunk端口應當在相互連接的兩臺交換機上分別設置，否則Trunk將無法生效。*第30頁2.2單交換機VLAN的配置單交換機VLAN的主要設置步驟在交換機上創建VLAN；將交換機的端口劃歸到指定的VLAN中。*第31頁VLAN的基本配置創建或修改VLAN模式：全局配置模式命令格式：Switch(config)#vlanvlan-id

參數說明：vlan-id：是要創建或修改的VLANID號，范圍為1—4094.*第32頁定義VLAN的名稱模式：VLAN配置模式命令格式：Switch(config-vlan)#namevlan-name參數說明：vlan-name：是要給此VLAN取的名字。*第33頁刪除一個VLAN模式：全局配置模式命令：Switch(config)#novlanvlan-id

參數說明：vlan-id：是要刪除的VLAN的ID號。*第34頁向VLAN中添加一個Access端口：模式：接口配置模式命令：Switch(config)#interfaceport-id

Switch(config-if)#switchportaccessvlanvlan-id參數說明：port-id：欲加入到VLAN中的端口號。vlan-id：端口欲加入的VLAN的ID。*第35頁【例】定義一個ID為20的VLAN，將此VLAN命名為bangong，并把FastEthernet0/1和FastEthernet0/2指派給這個VLAN。Switch(config)#vlan20//創建編號為20的VLANSwitch(config-vlan)#namebangong//將這個VLAN命名為bangongSwitch(config-vlan)#exit//退回到全局配置模式Switch(config)#interfacef0/1//進入FastEthernet0/1的配置子模式Switch(config-if)#switchportaccessvlan20//將此端口以access方式加入Switch(config-if)#interfacef0/2Switch(config-if)#switchportaccessvlan20*第36頁向VLAN中添加多個Access端口模式：接口配置模式命令：Switch(config)#interfacerangeport-id范圍

Switch(config-if)#switchportaccessvlanvlan-id參數說明：port-id范圍：欲加入到VLAN中的端口號范圍。vlan-id：端口欲加入的VLAN的ID。*第37頁【例】如果在上例中，要將FastEthernet0/1、FastEthernet0/2、FastEthernet0/6指派給這個VLAN20，可使用下面的命令來實現。Switch(config)#interfacerangerf0/1-2,f0/6Switch(config-if-range)#switchportaccessvlan20*第38頁查看VLAN信息模式：特權模式命令：Switch#showvlan[vlan-id]參數說明：vlan-id：是要查看的VLAN的ID，此參數可選。如果沒有此參數，將顯示所有VLAN的信息。*第39頁2.3跨交換機多VLAN的配置當網絡中的交換機存在多個VLAN，要實現跨交換機相同VLAN之間的通信時，要將在交換機互連的端口配置成Trunk端口?？缃粨Q機實現不同VLAN間的通信，則要借助于路由器或三層交換機，并進行相關設置。*第40頁將端口配置成Trunk端口模式：接口配置模式命令：Switch(config)#interfaceport-id

Switch(config-if)#switchportmodetrunk參數說明：port-id：要配置成Trunk端口的端口ID。注意：在思科的一些交換機上配置Trunk口時，可能還需要使用命令指明標簽協議。*第41頁定義Trunk接口的許可VLAN列表模式：接口配置模式命令：switchporttrunkallowedvlan{all|[remove|except]}vlan-list【配置舉例】將VLAN20從FastEthernet0/24的Trunk許可列表中刪除。Switch(config)#interfacefastethernet0/24Switch(config-if)#switchporttrunkallowedvlanremove20Switch(config-if)#*第42頁配置NativeVLAN模式：接口配置模式命令：switchporttrunknativevlanvlan-id

說明：將接口的NativeVLAN配置為vlan-id所指示的VLAN。

【配置舉例】將VLAN20配置為NativeVLAN。

Switch(config-if)#switchporttrunknativevlan20

*第43頁2.4綜合案例某單位設有生產部與技術部，兩個部門的計算機分散地連接在兩臺交換機SwitchA和SwitchB上，現要求分散在兩臺交換機上的同屬一個部門的計算機可以相互通信，且不同部門的計算機之間隔離廣播。*第44頁方案設計由于生產部與技術部的PC分散連接在交換機SwitchA和AwitchB上，且要隔離兩個部門PC間的廣播。所以，設置二個VLAN，即VLAN10與VLAN20，分別對應于生產部與技術部。兩個交換機之間建立Trunk連接以實現不同交換機上相同VLAN間的通信。網絡拓撲圖如下。*第45頁具體的VLAN設計與IP規劃如下表所示。交換機SwitchA與SwitchB的具體規劃：VLAN10：fastethernet0/1-20VLAN20：fastethernet0/21-40Trunk：fastethernet0/48*第46頁具體配置配置交換機SwitchA：創建VLAN10，將其命名為shengchan，將端口fastethernet0/1-20加入到VLAN10中。創建VLAN20，將其命名為jishu，將端口fastethernet0/21-40加入到VLAN20中。配置Trunk。將fastethernet0/48設置為Trunk口。配置交換機SwitchB。配置內容及命令與配置SwitchA相同。驗證將各PC的IP地址與子網掩碼按照規劃的網段配置好。同屬于VLAN10的A、B、E可以相互ping通；同屬于VLAN20的C、D、F也可以相互ping通。但屬于VLAN10的A、B、E與屬于VLAN20的C、D、F之間是不通的。如果只讓同屬于VLAN10的A、B、E可以相互通信；禁止同屬于VLAN20的C、D與F之間的通信，可以在Trunk端口配置VLAN許可列表。*第47頁課程內容

小型辦公網絡的設計與實現VLAN的設計與實現三層交換與VLAN間的互連*第48頁3三層交換與VLAN間的互連主要內容三層交換機與三層交換三層交換機與路由器的區別三層交換機的配置與VLAN間的互連*第49頁3.1三層交換機與三層交換三層交換機三層交換機主要由兩部分組成：支持VLAN劃分的二層交換結構和路由模塊，兩者之間通過背板完成信息交換。二層交換結構就像普通以太網交換機一樣，用目的MAC檢索轉發表，根據轉發表給出的路由信息轉發MAC幀。路由模塊上運行路由協議，建立路由表，實現IP分組的轉發；并且，路由模塊還用IP分組的源、目的IP地址以及下一跳的源、目的MAC地址等信息構建三層轉發表。利用三層轉發表，三層交換機可以實現一次路由、多次轉發，極大地加快了大型局域網內部的數據交換。*第50頁二層轉發與三層轉發在三層交換機中的二個轉發表：二層轉發表、三層轉發表。三層交換機收到數據幀后的處理流程：（1）如果幀中的目的MAC地址不是特殊MAC地址，對此幀進行二層交換操作，根據查詢二層轉發表的結果進行轉發處理；（2）如果目的MAC地址是特殊MAC地址，進行三層轉發操作，分離出幀的IP分組，查詢三層轉發表，根據檢索到的信息，對幀重新封裝后轉發出去。（3）如果在三層轉發表中沒有找到與目的IP地址相匹配的三層轉發項，則將該MAC幀轉發給路由模塊進行處理。*第51頁3.2三層交換機與路由器的主要區別三層交換機與路由器的區別主要有：（1）數據轉發的依據不同。三層交換機的三層交換主要是依據物理地址（即MAC地址）來確定轉發數據的目的地址；路由器依據不同的IP地址來確定數據轉發的地址。 （2）數據轉發所需要時間不同。三層交換機的三層交換是通過查表完成，可由硬件完成，延時小，速率快。路由器的三層數據轉發延時相對較長。 （3）三層交換機在路由選擇協議種類的支持上，在數據過濾及信息安全方面的能力上，相對路由器較弱。另外，路由器一般還提供防火墻的服務，這是三層交換機一般不具備的。 （4）三層交換機適用于大型局域網，可以有效地減小廣播風暴的危害，加強網絡安全，并且快速實現VLAN間的互連。路由器可提供不同網絡間的最佳路由，一般在局域網與公網互連實現跨地域的網絡訪問時，會使用專業的路由器。*第52頁3.3三層交換機的配置與VLAN間的互連邏輯的交換機虛擬接口（SVI口）三層交換機收到數據幀后的處理流程：（1）如果幀中的目的MAC地址不是特殊MAC地址，對此幀進行二層交換操作，根據查詢二層轉發表的結果進行轉發處理；（2）如果目的MAC地址是特殊MAC地址，進行三層轉發操作，分離出幀的IP分組，查詢三層轉發表，根據檢索到的信息，對幀重新封裝后轉發出去。（3）如果在三層轉發表中沒有找到與目的IP地址相匹配的三層轉發項，則將該MAC幀轉發給路由模塊進行處理。*第53頁邏輯的交換機虛擬接口（SVI口）三層交換機提供二種類型的三層接口：邏輯三層接口（交換機虛擬接口）、物理三層接口。邏輯三層接口，也即交換機虛擬接口（SwitchVirtualInterface，SVI），是指為交換機中的VLAN創建的虛擬三層接口，交換機虛擬接口SVI是聯系二層VLAN的IP接口，一個交換機虛擬接口SVI對應一個VLAN，當需要路由虛擬局域網之間的流量，以及提供IP主機到交換機的連接的時候，就需要為相應的虛擬局域網配置相應的交換機虛擬接口，其實SVI就是指通常所說的VLAN接口，只不過它是虛擬的，用于連接整個VLAN，所以通常也把這種接口稱為邏輯三層接口。*第54頁創建SVI接口：其實就是給一個VLAN配置一個IP地址。模式：全局配置模式命令：

Switch(config)#interfacevlanvlan-id

Switch(config-if)#ipaddressIP-addressSubnet-MaskSwitch(config-if)#noshutdown說明：

interface命令用于指定一個VLAN，進入SVI接口配置模式。

ipaddress命令用于給這個VLAN設置IP地址和子網掩碼，使它成為SVI接口。

noshutdown命令用于啟動SVI接口。*第55頁取消SVI只要將SVI的IP地址刪除，即可取消SVI接口。

模式：全局配置模式命令：Switch(config)#interfacevlanvlan-id

Switch(config-if)#noipaddress說明：上面的命令將取消對vlan-id所指定的SVI接口。*第56頁啟動/關閉三層交換機上的路由功能模式：全局配置模式命令：Switch(config)#iprouting說明：啟動三層交換機的路由功能，此功能默認情況下是打開的。如果要關閉三層交換機的路由功能可使用以下的命令。Switch(config)#noiprouting*第57頁配置舉例例1：VLAN20中包含了FastEthernet0/1和FastEthernet0/2兩個接口，現為VLAN20配置一個SVI。Switch>enableSwitch#configureterminalSwitch(config)#interfacef0/1Switch(config-if)#switchportaccessvlan20Switch(config-if)#interfacef0/2Switch(config-if)#switchportaccessvlan20Switch(config-if)#interfacevlan20Switch(config-if)#ipaddress192.168.10.1255.255.255.0Switch(config-if)#endSwitch#*第58頁例2：利用SVI來實現VLAN間的互連。網絡拓撲結構如圖3.3.1所示。*第59頁現三層交換機上有二個VLAN：VLAN10和VLAN20。端口Fastethernet0/1-10屬于VLAN10，分配給VLAN10的網段為192.168.1.0/24，PC0、PC1分別連接到交換機的Fastethernet0/1、Fastethernet0/2端口。端口Fastethernet0/11-20屬于VLAN20，分配給VLAN20的網段為192.168.2.0/24。PC2、PC3分別連接到交換機的Fastethernet0/11、Fastethernet0/12端口。*第60頁現要求實現VLAN10與VLAN20之間能夠相互通信。具體配置如下：（1）在交換機上創建VLAN10和VLAN20，并將相應的端口劃分到VLAN中。Switch(config)#vlan10Switch(config-vlan)#exitSwitch(config)#interfacerangefastethernet0/1-10Switch(config-