交換機(jī)虛擬網(wǎng)(VLANs)的設(shè)置
　　
　　交換機(jī)虛擬網(wǎng)(Virtual LANs)的設(shè)置:
　　Catalyst 5000上實現(xiàn)VLAN劃分及外部VLAN路由設(shè)置
　　分配VTP域(a VTP Domain)
　　將Cat5000加入域
　　指定中繼端口(a Trunk)
　　Dynamic ISL
　　分配VLAN到端口
　　設(shè)置VLAN 20
　　配置Router
　　-------------------------------------------------------------------

　　注:存在三個VLAN,在VLAN之間通過Router做路由.
　　-----------------------------------------------------------------
　　分配VTP域
　　什么是VTP?
　　VTP是VLAN Trunk Protocol的簡寫,它提供每個設(shè)備 (router 或 LAN-switch)在中繼端口(trunk ports)發(fā)送廣播. 這些廣播被發(fā)送到一個組播地址,并被所有相鄰設(shè)備接收. 這些廣播列出了發(fā)送設(shè)備的管理域,它的配置修訂號,已知的VLAN, 及已知VLAN的確定參數(shù).通過聽這些廣播,在相同管理域的所有設(shè)備都可以學(xué)習(xí)到在發(fā)送設(shè)備上配置的新的VLAN.使用這種方*,新的 VLAN只需要在管理域內(nèi)的一臺設(shè)備上建立和配置.信息會自動被相同管理域內(nèi)的其它設(shè)備學(xué)到.

　　分配VTP域
　　首先分配VTP域名(a VTP domain name),在相同管理域內(nèi)的交換機(jī)可以通過VTP協(xié)議互相學(xué)習(xí)VTP信息.

　　Cat5001> (enable) sho vtp domain
　　Domain Name Domain Index VTP Version Local Mode
　　-------------------------------- ------------ ----------- -----------
　　1 1 server
　　Advt Interval Vlan-count Max-vlan-storage Config Revision SNMP Traps
　　------------- ---------- ---------------- --------------- -----------
　　300 5 256 0 disabled
　　Last Updater
　　---------------
　　0.0.0.0
　　Cat5001> (enable)
　　Cat5001> (enable) set vtp domain cisco
　　VTP domain cisco modified
　　Cat5001> (enable) sho vtp domain
　　Domain Name Domain Index VTP Version Local Mode
　　-------------------------------- ------------ ----------- -----------
　　cisco 1 1 server
　　Advt Interval Vlan-count Max-vlan-storage Config Revision SNMP Traps
　　------------- ---------- ---------------- --------------- -----------
　　300 5 256 0 disabled
　　Last Updater
　　---------------
　　0.0.0.0
　　Cat5001> (enable)

　　--------------------------------------------------------------------------------
　　將Catalyst 5002加入域
　　需要將Catalyst 5002加入名為cisco的VTP管理域, 并設(shè)為VTP client,它將接收來自VTP server 的VTP配置及更新.
　　注意:Catalyst 5000系列交換機(jī)默認(rèn)為VTP server.

　　cat5002> (enable)
　　cat5002> set vtp domain cisco mode client

　　指定中繼端口(Trunk ports)
　　VLAN Trunk協(xié)議(VTP)只在中繼口(ISL , LANE 和802.10)上傳輸,應(yīng)在二個Catalyst5000
　　交換機(jī)間定義哪個口作為中繼端口(Trunk port).
　　Inter-Switch Link (ISL) 中繼用于Fast Ethernet和Gigabit Ethernet端口
　　IEEE 802.10中繼用于FDDI/CDDI端口
　　LAN Emulation (LANE) 中繼用于ATM 端口
　　Cat5001> (enable) set trunk 1/1 on
　　Port 1/1 mode set to on.
　　Cat5001> (enable)
　　Wed Jun 19 1996, 15:00:02 Port 1/1 has become trunk.Dynamic ISL
　　有了DISL(Dynamic ISL), 你不需要修改遠(yuǎn)端的Catalyst 5000;以下信息將顯示在遠(yuǎn)端的Catalyst 5000.

　　Wed Jun 19 1996, 15:51:59 Port 1/2 has become trunk.
　　Cat5001> (enable) sho trunk
　　Port Mode Status
　　------- --------- ------------
　　1/1 on trunking
　　1/2 auto not-trunking
　　2/1-2 off not-trunking
　　5/1 auto not-trunking
　　5/2 auto not-trunking
　　5/3 auto not-trunking
　　5/4 auto not-trunking
　　5/5 auto not-trunking
　　5/6 auto not-trunking
　　5/7 auto not-trunking
　　5/8 auto not-trunking
　　5/9 auto not-trunking
　　5/10 auto not-trunking
　　5/11 auto not-trunking
　　5/12 auto not-trunking
　　Port Vlans allowed
　　------- ---------------------------------------------------------------------
　　1/1 1-1000
　　1/2 1-1000
　　2/1-2 1-1000
　　5/1 1-1000
　　5/2 1-1000
　　5/3 1-1000
　　5/4 1-1000
　　5/5 1-1000
　　5/6 1-1000
　　5/7 1-1000
　　5/8 1-1000
　　5/9 1-1000
　　5/10 1-1000
　　5/11 1-1000
　　5/12 1-1000
　　Port Vlans active
　　------- ---------------------------------------------------------------------
　　1/1 1
　　1/2 1
　　2/1-2 1
　　5/1 1
　　5/2 1
　　5/3 1
　　5/4 1
　　5/5 1
　　5/6 1
　　5/7 1
　　5/8 1
　　5/9 1
　　5/10 1
　　5/11 1
　　5/12 1

　　注意: DISL在Cisco IOS軟件中不支持.

　　--------------------------------------------------------------------------------
　　分配VLAN到端口
　　Cat5001> (enable) set vlan 2 3/2-20
　　VLAN 2 modified.
　　VLAN 1 modified.
　　VLAN Mod/Ports
　　---- -----------------------
　　2 1/1
　　3/2-20

　　Cat5001> (enable) set vlan 20 5/1-6
　　VLAN 20 modified.
　　VLAN 1 modified.
　　VLAN Mod/Ports
　　---- -----------------------
　　20 1/1
　　5/1-6

　　Configure additional information for VLAN 20.
　　On the other Catalyst 5000 :

　　Cat5002> (enable) set vlan 2 4/1-2,5/6-12
　　VLAN 2 modified.
　　VLAN 1 modified.
　　VLAN Mod/Ports
　　---- -----------------------
　　2 1/2
　　4/1-3,4/5-23
　　5/6-12

　　Configure additional information for VLAN 20.

　　Cat5002> (enable) set vlan 20 5/1-5
　　VLAN 20 modified.
　　VLAN 1 modified.
　　VLAN Mod/Ports
　　---- -----------------------
　　20 1/2
　　5/1-5

　　Configure VLAN 20 on a VTP server.

　　--------------------------------------------------------------------------------
　　顯示端口配置
　　Cat5001> (enable) show port
　　Port Name Status Vlan Level Duplex Speed Type
　　---- -------------------- ---------- ---------- ------ ------ ----- -----------
　　1/1 connected 1 normal half 100 100BaseTX
　　1/2 connected trunk normal half 100 100BaseTX
　　2/1 connecting 1 normal half 100 FDDI
　　2/2 connected 1 normal half 100 FDDI
　　4/1 inactive 2 normal half 10 10BaseT
　　4/2 inactive 2 normal half 10 10BaseT
　　4/3 inactive 2 normal half 10 10BaseT
　　4/4 notconnect 1 normal half 10 10BaseT
　　4/5 inactive 2 normal half 10 10BaseT
　　4/6
此時, VLAN 2 和VLAN 20 還未激活.所以在VLAN 2和VLAN 20的端口是inactive狀態(tài).
　　--------------------------------------------------------------------------------
　　設(shè)置VLAN 20
　　如果在網(wǎng)絡(luò)里有VTP server和VTP clent,請在VTP server上設(shè)置VLAN 20

　　Cat5001> (enable) set vlan 20
　　VLAN 20 modified

　　這將激活在所有管理域cisco內(nèi)的VLAN 20

　　Cat5001> (enable) sho vlan 20
　　VLAN Name Status Mod/Ports
　　---- -------------------------------- --------- ----------------------------
　　20 VLAN0020 active 1/1
　　5/1-6

　　VLAN Type SAID MTU Parent RingNo BridgeNo Stp Trans1 Trans2
　　---- ----- ---------- ----- ------ ------ -------- ---- ------ ------
　　20 enet 100020 1500 - - - - 0 0

　　--------------------------------------------------------------------------------
　　配置Router
　　conf t
　　interface FastEthernet0/0.1 <-- you need to create a sub-interface by vlan.
　　encapsulation isl 20 <-- 20 is the vlan number.
　　ip address 1.1.1.1 255.255.255.0
　　interface FastEthernet0/0.2
　　encapsulation isl 2
　　ip address 2.2.2.1 255.255.255.0
　　interface FastEthernet0/0.3
　　encapsulation isl 1
　　ip address 172.16.80.1 255.255.255.0
　　Router eigrp 666
　　network 1.0.0.0
　　network 2.0.0.0
　　network 172.16.80.0
　　end
　　writ mem

　　DHCP SERVER遷移到6509交換機(jī)的MSFC

　　一位客戶想把DHCP SERVER遷移到6509交換機(jī)的MSFC上,要求還挺復(fù)雜:
　　1.同時為多個VLAN的客戶機(jī)分配地址
　　2.VLAN內(nèi)有部分地址采用手工分配的方式
　　3.為客戶指定網(wǎng)關(guān)、Wins服務(wù)器等
　　4.VLAN 2的地址租用有效期限為1天,其它為3天
　　5.按MAC地址為特定用戶分配指定的IP地址
　　最終配置如下：
　　ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于動態(tài)地址分配的地址
　　ip dhcp excluded-address 10.1.1.240 10.1.1.254
　　ip dhcp excluded-address 10.1.2.1 10.1.2.19
　　!
　　ip dhcp pool global //global是pool name， 由用戶指定
　　network 10.1.0.0 255.255.0.0 //動態(tài)分配的地址段
　　domain-name client.com //為客戶機(jī)配置域后綴
　　dns-server 10.1.1.1 10.1.1.2 //為客戶機(jī)配置dns服務(wù)器
　　netbios-name-server 10.1.1.5 10.1.1.6 //為客戶機(jī)配置wins服務(wù)器
　　netbios-node-type h-node //為客戶機(jī)配置節(jié)點模式（影響名稱解釋的順利,如h-node=先通過wins服務(wù)器解釋...）
　　lease 3 //地址租用期限: 3天
　　ip dhcp pool vlan1
　　network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 將從global pool繼承domain-name等option
　　default-router 10.1.1.100 10.1.1.101 //為客戶機(jī)配置默認(rèn)網(wǎng)關(guān)
　　!
　　ip dhcp pool vlan2 //為另一VLAN配置的pool
　　network 10.1.2.0 255.255.255.0
　　default-router 10.1.2.100 10.1.2.101
　　lease 1
　　!
　　ip dhcp pool vlan1_john //總是為MAC地址為...的機(jī)器分配...地址
　　host 10.1.1.21 255.255.255.0
　　client-identifier 010050.bade.6384 //client-identifier=01加上客戶機(jī)網(wǎng)卡地址
　　!
　　ip dhcp pool vlan1_tom
　　host 10.1.1.50 255.255.255.0
　　client-identifier 010010.3ab1.eac8

　　相關(guān)的DHCP調(diào)試命令：
　　no service dhcp //停止DHCP服務(wù)[默認(rèn)為啟用DHCP服務(wù)]
　　sh ip dhcp binding //顯示地址分配情況
　　show ip dhcp conflict //顯示地址沖突情況
　　debug ip dhcp server {events | packets | linkage} //觀察DHCP服務(wù)器工作情況

　　如果DHCP客戶機(jī)分配不到IP地址，常見的原因有兩個。第一種情況是沒有把連接客戶機(jī)的端口設(shè)置為Portfast方式。MS客戶機(jī)開機(jī)后檢查網(wǎng)卡連接正常，Link是UP的，就開始發(fā)送DHCPDISCOVER請求，而此時交換機(jī)端口正在經(jīng)歷生成樹計算，一般需要30-50秒才能進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。MS客戶機(jī)沒有收到DHCP SERVER的響應(yīng)就會給網(wǎng)卡設(shè)置一個169.169.X.X的IP地址。解決的方法是把交換機(jī)端口設(shè)置為Portfast方式：CatOS(4000/5000/6000): set spantree portfast mod_num/port_num enable; IOS(2900/3500): interface ... ; spanning-tree portfast。
另外一種情況是DHCP服務(wù)器和DHCP工作站不在同一個VLAN，這時候通常通過設(shè)置ip helper-address來解決：
　　interface vlan1
　　ip address 10.1.1.254 255.255.255.0 //假設(shè)DHCP服務(wù)器地址為10.1.1.8
　　interface Vlan2
　　ip address 10.1.2.254 255.255.255.0
　　ip helper-address 10.1.1.8 //假設(shè)這是DHCP客戶機(jī)所在的VLAN
　　第三層交換建設(shè)企業(yè)VLAN

　　虛擬局域網(wǎng)（VLAN）的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便、隨心所欲。VLAN就是不考慮用戶的物理位置而根據(jù)功能、應(yīng)用等因素將用戶邏輯上劃分為一個個功能相對獨立的工作組，每個用戶主機(jī)都連接在一個支持VLAN的交換機(jī)端口上并屬于一個VLAN。同一個VLAN中的成員都共享廣播，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個網(wǎng)絡(luò)分割成多個不同的廣播域。
　　傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用，而在一個劃分了VLAN以后的網(wǎng)絡(luò)中，邏輯上劃分的不同網(wǎng)段之間通信仍然要通過路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上，不同VLAN之間的通信數(shù)據(jù)量是很大的，這樣，如果路由器要對每一個數(shù)據(jù)包都路由一次，隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大，路由器將不堪重負(fù)，路由器將成為整個網(wǎng)絡(luò)的瓶頸。

　　在這種情況下，出現(xiàn)了第三層交換技術(shù)，通俗地講，就是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。路由器在對第一個數(shù)據(jù)流進(jìn)行路由后，將會產(chǎn)生一個MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時，將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問題。

　　配置VLAN

　　（1） VLAN的工作模式：

　　靜態(tài)VLAN：管理員針對交換機(jī)端口指定VLAN。

　　動態(tài)VLAN：通過設(shè)置VMPS（VLAN Membership Policy Server），包含了一個MAC地址與VLAN號的映射表，當(dāng)數(shù)據(jù)幀到達(dá)交換機(jī)后，交換機(jī)會查詢VMPS獲得相應(yīng)MAC地址的VLAN ID。

　�。�2） ISL標(biāo)簽：ISL（Inter－Switch Link）是一個在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接相連的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。

　　VLAN封裝的國際標(biāo)準(zhǔn)為IEEE 802.1Q。

　�。�3） VTP（VLAN Trunking Protocol）：它是一個在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議。一個VTP Server上的配置將會傳遞給網(wǎng)絡(luò)中的所有交換機(jī)，VTP通過減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)。VTP有三種模式：

　　Server模式：允許創(chuàng)建、修改、刪除VLAN及其他一些對整個VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來的最新的VLAN信息。

　　Client模式：在Client模式下，一臺交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來的VLAN信息。

　　Transparent模式：可以進(jìn)行創(chuàng)建、修改、刪除，也可以傳遞本VTP域中其他交換機(jī)送來的VTP廣播信息，但并不參與本VTP域的同步和分配，也不將自己的VLAN配置傳遞給本VTP域中的其他交換機(jī)，它的VLAN配置只影響到它自己。

　　交換機(jī)在默認(rèn)情況下為Server模式。

　�。�4） 創(chuàng)建VLAN，默認(rèn)情況下交換機(jī)只有VLAN 1,可以通過命令增加所需的VLAN。

　�。�5） 將VLAN指定給交換機(jī)的各個端口。默認(rèn)情況下交換機(jī)所有端口均屬于VLAN 1，可以通過全局命令修改交換機(jī)各端口的VLAN ID，但交換機(jī)每個端口只能屬于一個VLAN。

　　配置三層交換

　　配置MLSP協(xié)議，使RP與SE之間可以交換信息。

　　配置管理端口，MLSP通過這個端口收發(fā)RP與SE之間的通信。

　　針對不同的VLAN分配不同的VLAN網(wǎng)關(guān)地址。

　　啟動路由器的路由功能。

　　根據(jù)需要，可以定義VLAN虛網(wǎng)間的訪問策略，可通過定義訪問列表來實現(xiàn)。