项目运用交换机构建小型园区网络教学课件电子教案.pptx

《项目运用交换机构建小型园区网络教学课件电子教案.pptx》由会员分享，可在线阅读，更多相关《项目运用交换机构建小型园区网络教学课件电子教案.pptx（139页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2项目2运用交换机构建小型园区网络第1页版权所有 电子工业出版社 网络设备配置与管理项目教程 （华为eNSP模拟器版）主编：张文库主编：张文库高等职业教育专科、本科计算机类专业新型一体化教高等职业教育专科、本科计算机类专业新型一体化教材材第2页版权所有 电子工业出版社项目项目2 运用交换机构建小型园区网络运用交换机构建小型园区网络第3页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置eNSP企业网络仿真平台拥有着仿真程度高、更新及时、界面友好、操作方便等特点。这款仿真软件运行的是与真实设备同样的VRP操作系统，能够最大程度地模拟真实设备环境。用户可以利用eNSP模拟工程开局与

2、网络测试，高效地构建企业优质的ICT网络。eNSP支持与真实设备对接，以及数据包的实时抓取，可以帮助用户深刻理解网络协议的运行原理，协助进行网络技术的钻研和探索。第4页版权所有 电子工业出版社项目项目2 运用交换机构建小型园区网络运用交换机构建小型园区网络任务2.1 交换机基本配置第5页版权所有 电子工业出版社 某公司因业务发展需求，购买了一批华为交换机扩展现有的网络，按照公司网络管理要求，网络管理员需要通过交换机的Console端口进行连接，并完成交换机的配置、管理任务、以及优化网络环境。 本次任务包括几种视图模式的进入与退出、配置Console端口密码、交换机命名、配置交换机恢复出厂状态、

3、利用“？”查看帮助命令、日期时钟配置内容等。任务任务2.1交换机基本配置交换机基本配置第6页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置（1）实现交换机的基本配置，网络拓扑图如图2.1.1所示。图图2.1.1 2.1.1 交换机基本配置网络拓扑图交换机基本配置网络拓扑图（2）PC1和交换机的端口IP地址设置如表2.1.1表示。表表2.1.1 PC12.1.1 PC1和交换机的端口和交换机的端口IPIP地址设置表地址设置表（3）实现CLI方式管理交换机设备，对交换机进行基本的配置。第7页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 1 1交换机管理方式

4、交换机管理方式用户对网络设备的操作管理称为网络管理，简称网管。按照用户的配置管理方式，常见的网管方式分为CLI方式和Web方式。其中，通过CLI方式管理设备指的是用户通过Console端口（也称串口）、Telnet或STelnet方式登录设备，使用设备提供的命令行对设备进行管理和配置。 通过 Console口进行本地登录是登录设备最基本的方式，也被成为带外管理，是其他登录方式的基础。默认情况下，用户可以直接通过 Console端口进行本地登录。该方式仅限于本地登录，通常在以下3种场景下应用。（1）当对设备进行第一次配置时，可以通过Console端口登录设备进行配置。（2）当用户无法远程登录设备

5、时，可通过Console端口进行本地登录。（3）当设备无法启动时，可通过Console端口进入 BootLoader进行诊断或系统升级。 2 2ConsoleConsole端口登录管理端口登录管理 通过连接计算机窗口COM端口与交换机的Console端口来配置和管理交换机的方式。网管交换机上都有一个Console端口，不同类型的交换机的Console端口所处的位置不同，但交换机的面板上都有Console字样标识。Console端口的类型绝大多数是采用RJ-45端口，需要通过专门的Console线连接到配置计算机的串口上，将计算机配置成为超级终端。 端口波特率设置为“9600”，数据位为“8”，

6、奇偶校验为“无”，停止位为“1”，流控为“无”。第8页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 3 3交换机命令视图模式交换机命令视图模式 系统将命令行界面分成了若干种命令行视图，使用某个命令行时，需要先进入到该命令行所在的视图。最常用的命令行视图有用户视图、系统视图和端口视图，三者之间既有联系，又有一定的区别。具体操作如下。输入system-view进入系统视图模式，查看该模式的提示符。输入interface Ethernet 0/0/1进入端口视图模式，查看该模式的提示符。输入quit返回上一级。输入return或按ctrl+Z快捷键退出到用户视图模式。 具体的操

7、作代码如下： 4 4交换机端口类型交换机端口类型 交换机之间通过以太网电端口对接时需要协商一些端口参数，比如速率、双工模式等。交换机的全双工是指交换机在发送数据的同时也能够接收数据，两者同时进行。就如平时打电话一样，说话的同时也能够听到对方的声音。而半双工指在同一时刻只能发送或接收数据，就像一条比较窄的路，只能先通过一边的车，然后再通过另一边的车，若两边一起通过的话就会撞车。如果交换机两端端口协商模式不一致，会导致报文交互异常。端口速率指交换机端口每秒钟传输数据的多少，在交换机上可根据需要调整以太网端口速率。默认情况下，当以太网端口工作在非自协商模式时，它的速率为端口支持的最大速率。第9页版权

8、所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 5 5交换交换机端口机端口双工模式双工模式 配置端口的双工模式可在自协商或者非自协商模式下进行。 在自协商模式下，端口的双工模式是和对端端口协商得到的，但协商得到的双工模式可能与实际要求不符。可通过配置双工模式的取值范围来控制协商的结果。例如，互连的两个设备对应的端口都支持全/半双工，经自协商后工作在半双工模式，与实际要求的全双工模式不符，这时就可以执行auto duplex full命令使端口的可协商双工模式变为全双工模式。默认情况下，以太网端口自协商双工模式范围为端口所支持的双工模式。 在非自协商模式下，可以根据实际需求手动配

9、置端口的双工模式。 6 6交换交换机端口速率机端口速率 在自协商模式下，以太网端口的速率是和对端端口协商得到的。如果协商的速率与实际要求不符，可通过配置速率的取值范围来控制协商的结果。例如，互连的两个设备对应的端口经自协商后的速率为10Mbit/s，与实际要求的100Mbit/s不符，可通过执行auto speed100命令配置使得端口可协商的速率为100Mbit/s。默认情况下，以太网端口自协商速率范围为端口支持的所有速率。 在非自协商模式下，需手动配置端口速率，避免发生无法正常通信的情况。 默认情况下，以太网端口的速率为端口支持的最大速率。 根据网络需要调整端口速率。由于网络用户较少，配置

10、GE端口速率为100Mbit/s，配置Ethernet 端口速率为10Mbit/s。第10页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 01 02 1.交换机的管理方式参照图2.1.1搭建网络拓扑、连线全部使用直通线和开启所有设备电源。双击PC1，选择“串口”，可以看到弹出窗口中选择“设置”面板，出现如图2.1.2所示画面Terminal（超级终端），单击打开。图图2.1.2 PC2.1.2 PC机桌面应用程序机桌面应用程序第11页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 03 超级终端参数默认已经设置好，点击“连接”按钮，如图2.1.3所示。

11、图图2.1.3 2.1.3 超级终端参数设置超级终端参数设置 此时，用户已经成功进入交换机的配置界面，可以对交换机进行必要的配置。使用display version命令可以查看交换机的软硬件版本信息和使用save命令可以保存配置信息，如图2.1.4所示。 04 图图2.1.4 2.1.4 查询交换机软硬件版本和保存查询交换机软硬件版本和保存第12页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置2.2.交换机基础配置交换机恢复出厂设置。 01 为交换机设备修改名称。 02 设置交换机系统时间和所在时区。 03 第13页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机

12、基本配置设置语言模式。 04 配置交换机远程管理IP地址。 05 配置取消干扰信息、永不超时。 06 第14页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置配置交换机的console密码。 07 （1）以登录用户界面的认证方式为密码认证，密码为123456为例，配置如下。 （2）以登录用户界面的认证方式为AAA认证，用户名为admin，密码为123456为例，配置如下。 第15页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置撤销交换机配置时弹出的信息。 08 配置端口带宽限制。 09 对交换机的端口可以进行带宽限制，一般有10Mb/s、100Mb/s和A

13、uto自适应3种。设置的方法很简单，使用speed命令即可实现。先通过undo negotiation auto命令关掉自协商功能，再手工指定端口速率。配置端口双工模式。 10 第16页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置管理MAC地址表。交换机是工作在数据链路层的设备，当交换机的端口接入网络设备（如计算机）时，交换机会自动生成MAC地址表，查看交换机的MAC地址表命令为display mac-address；也可以配置静态MAC地址绑定；当然也可以清除MAC地址表，命令为reset arp all。（1）刚启动时，查看交换机的MAC地址表。 11 （2）通过PC

14、1 ping SWA（确保是通的）后查看交换机的MAC地址表。（3）通过mac-address static命令在交换机中添加静态条目，并显示MAC地址表信息。第17页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置（4）使用reset arp all命令清除mac地址表。第18页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置保存设备的当前配置。 12 第19页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置 02 03 04 网管交换机都可以通过Console口和PC机的COM进行连接，并进行相应的配置。测试Console口密码配置是否

15、正确。使用display命令查看交换机的mac地址表，是否存在静态条目。使用display current-configuration命令查看设备的当前配置。 01 第20页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置连通性测试。（1）在PC1上单击鼠标右键，在弹出的快捷菜单中选择“设置”命令，打开设置对话框。在“基础配置”选项卡中的“IPv4配置”栏中，选择“静态”，然后输入IP地址为192.168.10.1、子网掩码为255.255.255.0，最后单击对话框右下角的“应用”按钮，如图2.1.5所示。（2）单击PC1的“命令行”选项卡，在“PC”处输入“ping 19

16、2.168.10.254”按“Enter”进行测试，如图2.1.6所示。 05 图图2.1.5 PC12.1.5 PC1配置界面配置界面 图图2.1.6 2.1.6 连通性测试结果连通性测试结果第21页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置（1）交换机的命名在系统视图下使用sysname命令完成。（2）交换机的用户视图密码分为简单和加密两种方式，加密的方式更加安全。（3）二层交换机的远程管理地址通过配置VLAN的IP进行设置。第22页版权所有 电子工业出版社任务任务2.1交换机基本配置交换机基本配置2.2.任务评价任务评价自我评价表1.1.自我反思（不少于自我反思（

17、不少于100100字）字）_第23页版权所有 电子工业出版社任务2.2 实现不同部门之间网络隔离项目项目2 运用交换机构建小型园区网络运用交换机构建小型园区网络第24页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离 某公司的局域网搭建完成，网络管理员小赵按照公司的要求，按照不同的工作部门隔离出多个办公区网络。财务部和销售部都在同一层办公，设备都连接在同一台交换机上，工作中，由于病毒等原因会造成部门之间的设备交互感染，部门网络的安全也得不到保障。因此，公司要求小赵，按照部门划分不同部门子网。在二层交换机上无法实现划分子网功能，但交换机上的VLAN技术可以

18、通过二层技术实现三层子网的功能，实现部门之间的网络隔离。第25页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离（1）实现不同部门之间网络隔离，网络拓扑图如图2.2.1所示。 图图2.2.1 2.2.1 实现不同部门之间网络隔离网络拓扑图实现不同部门之间网络隔离网络拓扑图第26页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离（2）交换机划分VLAN及端口分配如表2.2.1表示。表表2.2.1 2.2.1 交换机交换机VLANVLAN划分及端口分配情况划分及端口分配情况（3）PC1PC4的端口IP地址设置如表2.2

19、.2表示。表表2.2.2 PC12.2.2 PC1PC4 PC4 的端口的端口IPIP地址设置表地址设置表（4）通过交换机的VLAN划分，实现不同部门之间网络隔离。验证是否接入相同VLAN的计算机能相互通信，不同VLAN的计算机不能通信。第27页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离 1 1VLANVLAN技术简介技术简介 虚拟局域网（Virtual Local Area Network，VLAN）是在一个物理网络上划分出来的逻辑网络，是将一个物理的局域网在逻辑上划分成多个广播域的技术，可按照功能、部门及应用等因素划分逻辑工作组，形成不同的虚拟

20、网络，与用户的物理位置没有关系，如图2.2.2所示。图图2.2.2 VLAN2.2.2 VLAN逻辑分组逻辑分组第28页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离 使用VLAN技术的目的是，将原本在一个广播域的网络划分成几个逻辑广播域，每个逻辑广播域内的用户形成一个组，组内的成员可以通信，组间的成员不允许通信。一个VLAN是一个广播域，二层的单播帧、广播帧和多播帧在同一VLAN内转发、扩散，而不会直接进入其他VLAN之中，广播报文就被限制在各个VLAN内，同时也提高了网络安全性，提高了交换机运行效率。VLAN划分方法有很多，如基于端口、基于MAC地

21、址、基于协议、基于IP子网、基于策略等，目前主流应用的是基于端口划分，因为此方法简单易用。 VLAN建立在局域网交换机的基础上，既保持了局域网的低延迟、高吞吐量特点，又解决了由于单个广播域内广播包过多，网络性能降低的问题。VLAN技术是局域网组网时经常使用的主要技术之一。 2 2VLANVLAN帧格式帧格式 在以太网帧中添加的VLAN标签长度为32比特，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签做出了说明，如图2.2.3表示。图图2.2.3 VLAN2.2.3 VLAN帧格式帧格式第29页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔

22、离（1）TPID：Tag Protocol Identifier，2字节，固定取值，0 x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。（2）TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下。Priority：3比特，表示帧的优先级，取值范围为07，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧。CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分

23、以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。VLAN Identifier：VLAN ID，12比特，可配置的VLAN ID取值范围为04095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。在现有的交换网络环境中，以太网的帧有两种格式：没有加上VLAN标记的标准以太网帧（Untagged Frame）；有VLAN标记的以太网帧（Tagged Frame）。 3 3VLANVLAN划分方式划分方式（1）基于端口划分：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同

24、的PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机的端口处于VLAN1中。此方法配置简单，但是当主机移动位置时，需要重新配置VLAN。（2）基于MAC地址划分：根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。（3）基于IP子网划分：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签

25、。（4）基于协议划分：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。（5）基于策略划分：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都是需要手工配置的。第30页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离4 4VLANVLAN的优点的优点（1）限制广播。一个交换机组成网络默认状态下，所有交换机端口都在一个广播域内。采用VLAN技术可以限制广播，减少干扰，将数

26、据帧限制在同一个VLAN内，不会影响其他VLAN，在一定程序上节省了带宽，每个VLAN都是一个独立的广播域。（2）提高网络安全性。不同VLAN的用户未经许可是不能相互访问的，一个VLAN内的广播帧，不会发送到另一个VLAN中，限制用户访问，不被其它VLAN窃听，从而保证了安全。（3）网络管理简单，虚拟工作组。逻辑上将交换机划分若干个VLAN，可以动态组建网络环境，一个用户无论在哪儿都可以不做任何修改就可以接入网络，依据不同的VLAN划分方式，可以在一台交换机上提供多个网络应用服务，提高了设备的利用率。5. 5. 关键技术命令格式关键技术命令格式交换机VLAN的创建在全局配置模式下进行，因此要先

27、进入全局配置模式。创建VLAN的命令很简单。（1）创建VLAN：例如：（2）删除VLAN：例如：第31页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离（3）要同时创建3个VLAN，分别为VLAN10、VLAN20和VLAN30，可使用一条vlan bath命令创建VLAN10、VLAN20和VLAN30。具体的实施过程如下。（4）创建好VLAN后，需要将端口分配到VLAN中。实施过程如下。（5）交换机也可以通过端口组的功能，把一些端口添加到一个组里面；然后可以对这个组进行配置；这样就能很方便的批量配置端口信息。实施过程如下。第32页版权所有 电子工业出

28、版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离参照图2.2.1搭建网络拓扑、连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址和子网掩码。 01 创建VLAN。除默认VLAN1外，其余VLAN需要通过命令来手工创建。创建VLAN有两种方式，一种是使用vlan命令一次创建单个VLAN，另一种方式是使用vlan batch命令一次创建多个VLAN。 02 第33页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离查看VLAN的相关信息 03 第34页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现

29、不同部门之间网络隔离配置Access端口及分配VLAN端口。 04 第35页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离查看VLAN的相关信息。 05 第36页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离使用ping命令验证结果。确认PC机已经正确连接到对应VLAN上的端口，如PC1、PC2是接入VLAN10，只能接入到交换机的Ethernet0/0/1Ethernet0/0/4范围内的端口上。 01 使用相同VLAN的计算机进行Ping测试和不同VLAN间的计算机进行Ping测试。下面分别用PC1和PC2

30、、PC1和PC3进行Ping测试，结果如图2.2.4所示。 02 图图2.2.4 2.2.4 连通性测试结果连通性测试结果第37页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离 在一个交换机中，划分了VLAN后，所有计算机设置了同一个网段的IP地址，只有相同VLAN的PC间可以相互通信，不同VLAN的PC间不能通信。通过VLAN的划分，就可以实现广播域的控制。 第38页版权所有 电子工业出版社任务任务2.2 实现不同部门之间网络隔离实现不同部门之间网络隔离 1. 1.自我反思（不少于自我反思（不少于100100字）字）_2.2.任务评价任务评价自我评价

31、表第39页版权所有 电子工业出版社任务2.3 实现相同部门跨交换机互访项目项目2 运用交换机构建小型园区网络运用交换机构建小型园区网络第40页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 某公司有财务部、销售部等部门，其中在不同楼层内都有财务部和销售部的员工电脑，为了公司的管理更加安全与便捷。管理员通过划分VLAN使得财务部和销售部之间不可以自由访问，但部门内的计算机分布在不同楼层的交换机上，又要互相访问，这就要使用802.1Q进行跨交换机的相同部门的访问，也就是在两个交换机之间开启Trunk进行通信。第41页版权所有 电子工业出版社任务任务2.3实现

32、相同部门跨交换机互访实现相同部门跨交换机互访（1）实现相同部门跨交换机互访，网络拓扑图如图2.3.1所示。图2.3.1实现相同部门跨交换机互访网络拓扑图第42页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访（2）在SWA和SWB上分别划分两个VLAN（VLAN10和VLAN20），端口的分配如表2.3.1所示。表表2.3.1 2.3.1 两个交换机的两个交换机的VLANVLAN划分情况划分情况（3）PC1PC4的端口IP地址设置如表2.3.2表示。表表2.3.2 PC12.3.2 PC1PC4 PC4 的端口的端口IPIP地址设置表地址设置表（4）通过配

33、置交换机间相同VLAN的计算机相互通信，实现相同部门计算机互访。实现PC1与PC3相互通信，PC2与PC4相互通信，其他组合不能通信。第43页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 在以太网中，通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成，为了使VLAN的数据帧跨越多台交换机传递，交换机之间互连的链路需要配置为干道链路(Trunk Link)。和接入链路不同，干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载多个不同VLAN数据的，它不属于任何一个具体的VLAN，可以承载所有的VLAN

34、数据，也可以配置为只能传输指定VLAN的数据。 1 1链路类型链路类型 VLAN技术的出现，使得交换机网络中存在了带Tag的VLAN以太网帧和不太Tag的VLAN以太网帧，因此，可以对链路进行相应的区分，分为接入链路和干道链路，如图2.3.2所示。（1）接入链路（Access Link） 用于连接计算机和交换机的链路称为接入链路，接入链路上通过的帧为不带Tag的VLAN以太网帧。（2）干道链路（Trunk Link） 用于连接交换机和交换机的链路称为干道链路，干道链路上通过的帧一般为带Tag的VLAN以太网帧，也可以通过不带Tag的VLAN以太网帧。图图2.3.2 2.3.2 接入链路和干道链

35、路接入链路和干道链路第44页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 2 2端口类型端口类型 PVID即Port VLAN ID，代表端口的缺省VLAN，缺省情况下，交换机每个端口的PVID都是1，交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。 基于链路对VLAN标签的不同

36、处理方式，因此，也对以太网交换机的端口做了区分，端口类型大致分为三类。 1. 1.接入端口（接入端口（Access PortAccess Port） Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路，并且只能允许唯一的VLAN ID通过本端口。 Access端口收发数据帧的规则如下所述。（1）如果Access端口收到对端设备发送的数据帧是Untagged（不带VLAN标签），交换机将强制加上该端口的PVID；如果该端口收到对端设备发送的数据帧是Tagged（带VLAN标签），则交换机会检查该Tag内的VLAN ID，当VLAN ID与该端口的PVID相同时，接收该报文；否则

37、丢弃该报文。（2）Access端口发送数据帧时，总是会先剥离数据帧的Tag，然后再发送，Access端口发往对端设备的以太网帧永远是不带Tag的数据帧。 如图2.3.3所示，交换机LSW1的Ethernet0/0/1、Ethernet0/0/2和Ethernet0/0/3分别连接3台主机PC1、PC2和PC3，并且都配置为Access端口。主机PC1把数据帧（未加Tag）发送给交换机LSW1的Ethernet0/0/1端口，再由交换机发往其他目的地。在收到数据帧之后，交换机LSW1会根据端口的PVID给数据帧加上VLAN Tag 10，然后决定通过Ethernet0/0/3端口转发数据帧。Et

38、hernet0/0/3端口的PVID也是10，与VLAN tag中的VLAN ID相同。然后交换机会剥离Tag，把数据帧发送到主机PC3。连接主机PC2的端口的PVID是20，与VLAN10不属于同一个VLAN，因此，该端口不会接收到VLAN10的数据帧。第45页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访图图2.3.3 Access2.3.3 Access端口类型端口类型第46页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 2. 2.干道端口（干道端口（Trunk PortTrunk Port） Trunk端

39、口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。Trunk端口允许多个VLAN的帧（带Tag标记）通过。 Trunk端口收发数据帧的规则如下所述。（1）当Trunk端口接收到对端设备发送的不带Tag的数据帧时，交换机会给数据帧添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。当接收到对端设备发送的带Tag的数据帧时，交换机会检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在端口允许通过的VLAN ID列表中，则接收该报文。否则丢弃该报文。（2）Trunk端口发送数据帧时，当VLAN ID与端口的PVID相同，

40、并且是该端口允许通过的VLAN ID时，交换机会剥离Tag，发送该报文。当VLAN ID与端口的PVID不同，但也是该端口允许通过的VLAN ID时，会保持原有Tag，发送该报文。 如图2.3.4所示，交换机LSW1和交换机LSW2连接主机的端口为Access端口，PVID见图2.4.4.交换机LSW1和交换机LSW2互连的端口为Trunk端口，PVID为1，此Trunk链路允许所有VLAN的流量通过。当交换机LSW1转发VLAN1的数据帧时，会剥离Tag，然后发送到Trunk链路上；而在转发VLAN20的数据帧时，不会剥离Tag，而直接转发到Trunk链路上。图图2.3.4 Trunk2.3

41、.4 Trunk端口类型端口类型第47页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 3. 3.混合端口（混合端口（Hybrid PortHybrid Port） Access端口发往其他设备的报文，都是Untagged数据帧，而Trunk端口仅在一种特定情况下才能发出untagged数据帧，其它情况发出的都是Tagged数据帧。 Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉，华为设

42、备默认的端口类型是Hybrid。 如图2.3.5所示，要求主机PC1和PC2都能访问服务器，但它们之间不能互相访问。此时交换机连接主机和服务器的端口，以及交换机互连的端口都配置成Hybrid类型。交换机连接PC1的端口的PVID是10，连接PC2的端口的PVID是20，连接服务器的端口的PVID是30。图图2.3.5 Hybrid2.3.5 Hybrid端口类型端口类型第48页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访不同类型的端口接收报文时的处理方式，见表2.3.3所示。表表2.3.3 2.3.3 不同类型端口接收报文时的处理方式不同类型端口接收报

43、文时的处理方式第49页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访不同类型的端口报文发送时的处理方式，见表2.3.4所示。表表2.3.4 2.3.4 不同类型端口发送报文时的处理方式不同类型端口发送报文时的处理方式第50页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访参照图2.3.1搭建网络拓扑、连线全部使用直通线、开启所有设备电源和为每一台计算机设置好相应的IP地址和子网掩码。 01 设置交换机的名称，创建VLAN及配置Access及端口分配。对两个交换机进行相同的VLAN划分，下面是SWA配置过程，同理可实现

44、SWB的配置。 02 第51页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访查看交换机SWA的VLAN配置。 03 第52页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访查看交换机SWB的VLAN配置。 04 第53页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 当两台交换机都按上面的命令配置完成后，再测试一下可以发现，现在4台计算机都不能相互通信了。找一下原因，发现交换机是通过GE0/0/1进行相连，而GE0/0/1并不在VLAN10和VLAN20中。可以试一下把与交换机

45、互连的端口GE0/0/1改为Ethernet0/0/2（VLAN10的端口）相连，再测试时可以发现PC1和PC2可以相互访问了，而PC3和PC4仍然不能访问。同样，接到VLAN20的端口进行相连，PC3和PC4可以相互访问。 设置GE0/0/1端口的模式为Trunk类型。 要解决上述难题，仍然采用GE0/0/1端口相连两台交换机，可以将GE0/0/1口设置为Trunk类型，再在Trunk链路上配置允许单个、多个或者是交换机上划分的所有VLAN通过它进行通信。 05 第54页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访使用display vlan查看端口

46、模式，GE0/0/1端口的链路类型为TG，说明已经是Trunk链路状态了。 06 同理，可以设置SWB的GE0/0/1端口为Trunk模式，并设置允许所有VLAN10和VLAN20通过。至此，本任务配置完成。这时两个交换机中的相同VLAN中的计算机已经可以通信了。检查GE0/0/1端口上Trunk的配置情况。使用display port vlan GigabitEthernet 0/0/1查看端口模式，GE0/0/1端口的链路类型为Trunk，允许VLAN10和VLAN20通过。（1）在交换机SWA上参看。 07 第55页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部

47、门跨交换机互访（2）在交换机SWB上查看。第56页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 测试网络的连通性。在PC1上ping PC3的IP地址192.168.10.3，网络是通的，表明交换机之前的trunk链路已经成功建立，PC1 ping PC4的IP地址192.168.10.4，网络不通，表明不同vlan间无法通信，如图2.3.6所示。2.3.6 2.3.6 连通性测试结果连通性测试结果第57页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 在一个网络上存在两个或两个以上的交换机互联时，且交换机都进行

48、了相同的VLAN配置，设置交换机相连的端口为Trunk类型，并允许相应的VLAN通过，可以实现交换机之间相同VLAN上的计算机相互通信。第58页版权所有 电子工业出版社任务任务2.3实现相同部门跨交换机互访实现相同部门跨交换机互访 1. 1.自我反思（不少于自我反思（不少于100100字）字）_2.2.任务评价任务评价自我评价表第59页版权所有 电子工业出版社任务2.4 利用三层交换机实现部门间网络互访项目项目2 运用交换机构建小型园区网络运用交换机构建小型园区网络第60页版权所有 电子工业出版社任务任务2.4利用三层交换机实现部门间网络互访利用三层交换机实现部门间网络互访 某公司按照部门业务

49、不同，规划出多个不同VLAN，实现部门之间的网络隔离。安全隔离后的部门网络虽然在安全和干扰问题上得到暂时解决，但也造成了两个网络之间不能互联互通，造成公司内部公共资源不能共享，因此，公司希望网络管理员小赵实现所有部门之间网络的安全通信。 通过在交换机上配置VLAN中继技术，能实现同一部门VLAN内设备跨交换机通信。如果要实现不同的VLAN之间互相通信，就需要利用三层交换机路由技术，三层路由技术能耐实现所有部门之间子网互连互通。第61页版权所有 电子工业出版社任务任务2.4利用三层交换机实现部门间网络互访利用三层交换机实现部门间网络互访（1）利用三层交换机实现部门间网络互访，网络拓扑图如图2.4

50、.1所示。 图图2.4.1 2.4.1 三层交换机实现部门间网络互访网络拓扑图三层交换机实现部门间网络互访网络拓扑图第62页版权所有 电子工业出版社任务任务2.4利用三层交换机实现部门间网络互访利用三层交换机实现部门间网络互访（2）在SW2A和SW3A上划分两个VLAN（VLAN10、VLAN20），并将GE0/0/1端口设置为Trunk，详细参数如表2.4.1所示。表表2.4.1 2.4.1 两个交换机的两个交换机的VLANVLAN划分情况划分情况（3）PC1PC2的端口IP地址设置如表2.4.2表示。表表2.4.2 PC12.4.2 PC1PC2 PC2 的端口的端口IPIP地址设置表地址