您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
Cisco交换机配置与管理完全手册（第二版）.pdf 53页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
Cisco 交换机配置与管理完全手册 （第二版）
IOS 交换机上的交换端口及配置与管理
Cisco IOS 交换机的交换端口（Switch Port）是仅与一个物理接口 （不能是虚拟端口）关联的二
层接口，可属于一个或者多个 VLAN，具体是属于一个还是属于多个 VLAN
要视具体的交换端口
类型而定，将在下面介绍具体交换端口类型时介绍。交换端口用来管理物理接口和关联二层协议，
不能处理路由和 Fallback Bridging （后退桥接） 。注意，本节的内容相当重要，也比较难懂。
【说明】Fallback
Bridging （后退桥接，也叫 VLAN 桥接）可以使不同的 VLAN 通过可路由端
口转发交换机不能路由的非 IP 流量（仅限非 IP 流量），比如 DECnet 协议的流量。在后退桥接中，
有单独的生成树，通常称之为“VLAN
桥接生成树” ，用于防止环路。从上述可以得
出，后退桥接是 VLAN 间通过可路由端口的一种相互进行非 IP 访问的解决方案。
在 Cisco交换机中，交换端口又可划分为：访问端口 （Access Port）、中继端口（Trunk Port）、
隧道端口（Tunnel Port）3 种。可以配置一个端口作为 Access 端口或 Trunk 端口，也可以在基于每
端口基础上运行 DTP （Dynamic Trunking Protocol，动态中继协议），通过与链路另一端的端口协商
设置为交换端口模式。但你必须手动配置 Tunnel 端口作为一条连接到 IEEE 802.1Q 隧道的非对称链
路的一部分。
可通过使用 switchport 接口配置模式命令来把一个当前工作在三层模式的接口转换成二层模式
接口；使用 no switchport 接口配置模式命令可以把工作在二层模式的接口转换成三层模式。Cisco
交换机上默认所有的以太网接口均属于二层模式。在转换二层模式接口为三层模式时，当前这个被
转换的二层接口配置信息将丢失，恢复到默认配置状态。也就是二层交换端口被转换成三层可路由
端口后，原来配置的 VLAN 配置信息将丢失。
理解两组重要概念
在正式介绍各种交换端 口的数据帧收发原理之前，先要理解两组重要概念的比较：一是
（标记）和 Untag （不标记）比较；二是 PVID 与 VID 的比较。
1．Tag 与 Untag
标记也称帧标记，是 Cisco 开发的，用于标识中继链路上的不同数据帧。它有两种不
同的标记格式，那就是通用的 IEEE 802.1Q VLAN 标记和 Cisco 私用的 ISL VLAN 标记。Tag 就是
在数据帧的帧头 “源
地址”和 “目的
地址”字段前面 （ISL
标记）或后面
802.1Q VLAN 标记）加上了一个 4B 的 VLAN 中继类型封装字段，以表明该数据帧产生
于哪个 VLAN。
当一个以太网帧经过一条中继链路时，一个特定的
标记将添加到帧中，然后再穿过中
继链路。当这个数据帧到达中继链路的另一端时，原来添加的那个
标记将被移除，然后依
据交换机中的 MAC 地址列表发往正确的访问链路端口，所以数据帧在目的端口接收后并没有使用
其任何 VLAN 信息，帧中的 VLAN 标记仅用作在转发数据时选择目的 VLAN 的依据（因为二层帧
只能在同一个 VLAN 内转发，当然可以在三层被路由）。
Untag 就是不在帧中插入这个 VLAN 标记信息，保持数据帧原来的格式，也称本地（Native）
格式。一般来说，普通 PC 机网卡只能识别不带 VLAN 标记的本地格式数据帧，不能识别带 VLAN
标记的数据帧，所以在帧到达 目的主机所连接的交换端口时要去掉帧中的 VLAN 标记。有关 IEEE
802.1Q 和 ISL这两种 VLAN 中继协议具体将在第 8 章介绍，在此不再赘述。
正在加载中，请稍后...当前位置： >>
CISCO交换机配置手册
CISCO 交换机配置手册 V1.0作者：乖乖猪CISCO 交换机配置手册 V1.0目录前言 ................................................................................................................................................... 4 第一章 1.1 第二章 2.1 2.1.1 2.1.2 2.2 2.3 2.4 2.5 第三章 3.1 3.1.1 3.1.2 交换机配置基础 ................................................................................ 错误！未定义书签。 配置方式 ............................................................................................... 错误！未定义书签。 交换机基本配置 ................................................................................................................ 5 用户认证 ................................................................................................................................. 6特权口令 ......................................................................................................................... 6 VTY 口令 .............................................................................................................................. 6设备名称 ................................................................................................................................. 6SNMP 网管串............................................................................................................................. 6交换机管理 IP ......................................................................................................................... 6 综合实验 ................................................................................................................................. 7 交换机高级配置 ................................................................................................................ 8 VLAN（虚拟局域网）............................................................................................................. 83.1.33.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.4 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5简介 ................................................................................................................................. 8 命令 ............................................................................................................................... 45 案例一（VTP 方式） .................................................................................................... 48 案例二（VTP 方式） .................................................................................................... 49 简介 ............................................................................................................................... 52 命令 ............................................................................................................................... 67 案例一(PVST/PVST+ / Rapid -PVST+ 常用) ................................................................... 68 案例二（MST VLAN 数量大使用） ............................................................................. 71 案例三（STP 不常用） ............................................................................................... 72STP(生成树协议) ................................................................................................................... 52ETHERCHANNEL .................................................................................................................... 75简介 ............................................................................................................................... 75 命令 ............................................................................................................................... 78 案例一(强制模式) ......................................................................................................... 79 案例二(PAGP 模式) ....................................................................................................... 81 案例三（LACP 模式） .................................................................................................. 83 案例四（交换机与服务器） ....................................................................................... 85 案例五（三层模式） ................................................................................................... 94HSRP(思科私有) .................................................................................................................... 95简介 ............................................................................................................................... 95 命令 ............................................................................................................................... 96 案例一 ........................................................................................................................... 97 案例二 ......................................................................................................................... 112 案例三 ......................................................................................................................... 116第 2 页 /共 210 页CISCO 交换机配置手册 V1.03.5 3.5.1 3.5.2 3.5.3 3.5.4 3.6 3.6.1 3.6.2 3.6.3 3.6.4 3.6.5 3.7 3.7.1 3.7.2 3.7.3 3.8 3.8.1 3.8.2 3.8.3 第四章 4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.2 4.2.1 4.2.2 4.3 4.3.1 4.3.2 4.3.3 4.4 4.4.1 4.4.2 4.4.3 第五章 5.1 5.2VRRP..................................................................................................................................... 120简介 ............................................................................................................................. 120 命令 ............................................................................................................................. 125 案例一 ......................................................................................................................... 126 案例二 ......................................................................................................................... 134DHCP .................................................................................................................................... 135简介 ............................................................................................................................. 135 命令 ............................................................................................................................. 142 案例一 ......................................................................................................................... 142 案例二 ......................................................................................................................... 144 案例三 ......................................................................................................................... 145VACL(不常用) ....................................................................................................................... 147简介 ............................................................................................................................. 148 命令 ............................................................................................................................. 148 案例 ............................................................................................................................. 150端口限速 ............................................................................................................................. 154简介 ............................................................................................................................. 154 案例一（三层交换机 QOS） ..................................................................................... 154 案例二（三层交换机风暴控制） ............................................................................. 156日常维护 ....................................................................................................................... 158 密码恢复 ............................................................................................................................. 158 CatOS 交换机密码恢复 .................................................................................................. 158 CATALYST XL 的密码恢复 ............................................................................... 160 CATALYST L 的密码恢复.................................................................................. 160 CATALYST 2955 的密码恢复 ............................................................................................ 161 CATALYST 50 的密码恢复 .......................................................................... 163 CATALYST 6500 密码恢复 ................................................................................................ 164 ISO 备份升级 ..................................................................................................................... 172 TFTP 方式 ........................................................................................................................ 172 Xmodem 方式 .................................................................................................................. 175 端口镜像 ............................................................................................................................. 177简介 ............................................................................................................................. 177 命令 ............................................................................................................................. 178 案例 ............................................................................................................................. 180交换机堆叠 ......................................................................................................................... 188简介 ............................................................................................................................. 188 命令 ............................................................................................................................. 193 案例一(3750) .............................................................................................................. 195专业术语解释 ................................................................................................................ 199 冲突域、广播域 ................................................................................................................. 199 CSMA/CD ............................................................................................................................. 200第 3 页 /共 210 页CISCO 交换机配置手册 V1.05.3 5.4交换机的几种主要技术参数详解和计算 .......................................................................... 201 POE....................................................................................................................................... 208前言本手册是作者多年学习整理汇编而成， 主要目的是方便大家设备 调试使用。由于水平有限难免有疏漏之处，欢迎大家批评指正。部分 资料为网络收集，如侵犯版权请与我联系(QQ:)。本手册 没有版权，欢迎盗版传播。第 4 页 /共 210 页CISCO 交换机配置手册 V1.0第一章 交换机基本配置1.1 配置方式1. 从 console 连接： 用 Console 线和转接头将交换机的 console 口与 PC 的串口相联，图示如下：设置如下图（默认设置） ：远程 telnet 连接 给交换机配置了管理地址，就可以直接采用远程 telnet 登陆进入交换机了，但是必须 先配置 line vty 的密码和 enable 密码才能允许远程登陆。 2.第 5 页 /共 210 页CISCO 交换机配置手册 V1.01.2 用户认证 1.2.1 特权口令telnet *.*.*.* Switch&进入用户模式 Switch& enable 从用户模式进入特权模式 Switch # config terminal 从特权模式进入全局配置模式 Switch # exit 退出所有配置模式 Switch # end 退出配置模式 Switch # wr 保存配置 Switch(config)#enable secret cisco123 DD设置特权模式加密口令（机房使用方法） Switch(config)#enable password cisco123 DD设置特权模式不加密口令 Switch(config)#service password-encryptionDD将所有口令进行加密1.2.2 VTY 口令Switch(config)#line vty 0 4 Switch(config-line)#login －－让设备回显一个要求输入口令的提示 Switch(config-line)#password ciscoDDTelnet 统一密码 Switch(config-line)#exec-timeout 10 0 DD设备超时时间为 10 分钟 0 秒 Switch(config)#line vty 0 4 Switch# (config-line)#login localDD设置本地认证模式 Switch (config)#username zhangxy password ****** Switch (config)#no username zhangxy1.3 设备名称Switch(config)#hostname test-2950 test-2950(config)#no hostname1.4 snmp 网管串Switch(config)#snmp-server community xxxxxx ro（只读） Switch(config)#snmp-server community xxxxxx rw（读写）1.5 交换机管理 IP配置二层交换机设备的管理地址： Switch(config)#int vlan 1（交换机 VLAN1 的网关地址就是设备的管理地址） Switch(config-subif)#ip address 192.168.2.130 255.255.255.0第 6 页 /共 210 页CISCO 交换机配置手册 V1.0Switch(config-subif)#description guanli//添加接口描述信息 Switch(config-subif)#no shutdown配置三层交换机的设备管理地址： Switch(config)# int loopback0 以创建无数个 Switch(config-if)#ip address 192.168.2.130 255.255.255.0 Switch (config)# no int loopback 0 DDloopback 接口是一种逻辑接口，可1.6 综合实验实验目的： 1、 设置三台交换机名称 2、 设置特权模式口令、TELNET 口令 3、 设置交换机管理 IP 实验图：实验配置：SW1.cfgSW2.cfgSW3.cfgSW4.cfg第 7 页 /共 210 页CISCO 交换机配置手册 V1.0第二章 交换机高级配置2.1 VLAN（虚拟局域网） 2.1.1 简介VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上， 采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组 成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的 网络用户加入到一个逻辑子网中。VLAN 是一种比较新的技术，工作在 OSI 参考模型的第 2 层和第 3 层，VLAN 之间的通信是通过第 3 层的路由器来完成的。 在此让我们先复习一下广播域的概念。广播域，指的是广播帧（目标MAC地址全部为1）所 能传递到的范围， 亦即能够直接通信的范围。 严格地说， 并不仅仅是广播帧， 多播帧 （Multicast Frame） 和目标不明的单播帧 （Unknown Unicast Frame） 也能在同一个广播域中畅行无阻。 本来二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个 广播域。 那么，为什么需要分割广播域呢？那是因为，如果仅有一个广播域，有可能会影响到网 络整体的传输性能。具体原因，请参看附图加深理解。图中，是一个由5台二层交换机（交换机1～5）连接了大量客户机构成的网络。假设这 时，计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC第 8 页 /共 210 页CISCO 交换机配置手册 V1.0地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获 取计算机B的MAC地址。 交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外 的其他所有端口， 也就是Flooding了。 接着， 交换机2收到广播帧后也会Flooding。 交换机3、 4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 请大家注意一下， 这个ARP请求原本是为了获得计算机B的MAC地址而发出的。 也就是 说：只要计算机B能收到就万事大吉了。可是事实上，数据帧却传遍整个网络，导致所有的 计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广 播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能 力的大量无谓消耗。广播信息是那么经常发出的吗？读到这里，您也许会问：广播信息真是那么频繁出现的吗？ 答案是：是的！实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时，除了前面出 现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。 ARP广播，是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时 ，就必须发出DHCP的广播。而使用RIP作为路由协议时，每隔30秒路由器都会对邻近的其 他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息，这也会被交 换机转发（Flooding） 。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等协议也经常需要用 到广播。例如在Windows下双击打开“网络计算机”时就会发出广播（多播）信息。 （Windows XP除外……） 总之，广播就在我们身边。下面是一些常见的广播通信： ●?ARP请求：建立IP地址和MAC地址的映射关系。 ●?RIP：选路信息协议(Routing Infromation Protocol)。 ●??DHCP：用于自动设定IP地址的协议。 ●??NetBEUI：Windows下使用的网络协议。 ●??IPX：Novell Netware使用的网络协议。 ●?Apple Talk：苹果公司的Macintosh计算机使用的网络协议。2.1.1.1VLAN 实现机制在理解了“为什么需要VLAN”之后， 接下来让我们来了解一下交换机是如何使用VLAN分 割广播域的。 首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给 除接收端口外的所有其他端口（Flooding） 。例如，计算机A发送广播信息后，会被转发给端 口2、3、4。第 9 页 /共 210 页CISCO 交换机配置手册 V1.0这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、 4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其 他端口――也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。 同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红 色VLAN的端口。就这样，VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明，以红、蓝 两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的。 如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成 了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一 红一蓝两台虚拟的交换机。第 10 页 /共 210 页CISCO 交换机配置手册 V1.0在红、蓝两个VLAN之外生成新的VLAN时，可以想象成又添加了新的交换机。 但是， VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其 他处理，VLAN间是无法通信的。 明明接在同一台交换机上，但却偏偏无法通信――这个 事实也许让人难以接受。但它既是VLAN方便易用的特征，又是使VLAN令人难以理解的原 因。需要VLAN间通信时怎么办呢？那么，当我们需要在不同的VLAN间通信时又该如何是好呢？ 请大家再次回忆一下：VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间 来往的数据包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这 被称作“VLAN间路由”。 VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。其中的具体内容，等 有机会再细说吧。在这里希望大家先记住不同VLAN间互相通信时需要用到路由功能。2.1.1.2VLAN 划分方法VLAN的划分可以是事先固定的、 也可以是根据所连的计算机而动态改变设定。 前者被称 为“静态VLAN”、后者自然就是“动态VLAN”了。 ? 静态 VLAN第 11 页 /共 210 页CISCO 交换机配置手册 V1.0静态VLAN又被称为基于端口的VLAN（Port Based VLAN） 。顾名思义，就是明确指定 各端口属于哪个VLAN的设定方法。由于需要一个个端口地指定，因此当网络中的计算机数目超过一定数字（比如数百台） 后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口 所属VLAN的设定――这显然不适合那些需要频繁改变拓补结构的网络。我们现在所实现的 VLAN配置都是基于端口的配置，因为我们只是支持二层交换，端口数目有限一般为4和8个 端口，并且只是对于一台交换机的配置，手动配置换算较为方便。 ? 动态 VLAN 另一方面，动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。这就 可以避免上述的更改设定之类的操作。动态VLAN可以大致分为3类： ●基于MAC地址的VLAN（MAC Based VLAN） ●基于子网的VLAN（Subnet Based VLAN） ●基于用户的VLAN（User Based VLAN） 其间的差异，主要在于根据OSI参照模型哪一层的信息决定端口所属的VLAN。基于 MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的 所属。假定有一个MAC地址“A”被交换机设定为属于VLAN“10”，那么不论MAC地址为“A”的 这台计算机连在交换机哪个端口， 该端口都会被划分到VLAN10中去。 计算机连在端口1时， 端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。 由于是基于MAC地址决定所属VLAN的，因此可以理解为这是一种在OSI的第二层设定访问 链接的办法。 但是，基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并 加以登录。而且如果计算机交换了网卡，还是需要更改设定。第 12 页 /共 210 页CISCO 交换机配置手册 V1.0基于子网的VLAN， 则是通过所连计算机的IP地址， 来决定端口所属VLAN的。 不像基于MAC 地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地 址不变，就仍可以加入原先设定的VLAN。因此，与基于MAC地址的VLAN相比，能够更为简便地改变网络结构。IP地址是OSI参照模 型中第三层的信息，所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问 链接的方法。一般路由器与三层交换机都使用基于子网的方法划分VLAN。 基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口 属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是 Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。 总的来说，决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活第 13 页 /共 210 页CISCO 交换机配置手册 V1.0多变的网络。访问链接的总结综上所述，VLAN的划分有静态VLAN和动态VLAN两种，其中动态VLAN又可以继续细分成几 个小类。 其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现 的，不同厂商的设备之间互联有可能出现兼容性问题；因此在选择交换机时，一定要注意事 先确认。 下表总结了静态VLAN和动态VLAN的相关信息。 种类 解说静态VLAN（基于端口的VLAN）将交换机的各端口固定指派给 VLAN 根据各端口所连计算机的MAC 地址设定 根据各端口所连计算机的IP地 址设定 根据端口所连计算机上登录用 户设定动态VLAN基于MAC地址的VLAN基于子网的VLAN基于用户的VLAN就目前来说，对于 VLAN 的划分主要采取上述基于端口的 VLAN 和基于子网的 VLAN 两种，而 基于 MAC 地址和基于用户的 VLAN 一般作为辅助性配置使用。2.1.1.3VLAN 帧结构在交换机的汇聚链接上， 可以通过对数据帧附加VLAN信息， 构建跨越多台交换机的VLAN。 附加VLAN信息的方法，最具有代表性的有： ●IEEE802.1Q ●?ISL 现在就让我们看看这两种协议分别如何对数据帧附加VLAN信息。 IEEE802.1Q IEEE802.1Q，俗称“Dot One Q”，是经过IEEE认证的对数据帧附加VLAN识别信息的协议。 在此，请大家先回忆一下以太网数据帧的标准格式。 IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（Type Field）”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。在数据帧中添加了4字 节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后，对 包括它们在内的整个数据帧重新计算后所得的值。第 14 页 /共 210 页CISCO 交换机配置手册 V1.0基于IEEE802.1Q附加的VLAN信息，就像在传递物品时附加的标签。因此，它也被称 作“标签型VLAN（Tagging VLAN）”。3 bits1 bits12bits VLAN IDUser priority CFI1. TPID (Tag Protocol Identifier，也就是EtherType) 是IEEE定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值 0x8100。 2. TCI (Tag Control Information) 包括用户优先级(User Priority)、规范格式指示器(Canonical Format Indicator)和 VLAN ID。 ①User Priority： 该字段为3-bit， 用于定义用户优先级， 总共有8个(2的3次方)优先级别。 IEEE 802.1P 为3比特的用户优先级位定义了操作。最高优先级为7，应用于关键性网络流量，如 路由选择信息协议（RIP）和开放最短路径优先（OSPF）协议的路由表更新。优先级6和5 主要用于延迟敏感（delay-sensitive）应用程序，如交互式视频和语音。优先级4到1主要用 于受控负载（controlled-load）应用程序，如流式多媒体（streaming multimedia）和关键 性业务流量（business-critical traffic）－例如，SAP 数据－以及“loss eligible”流量。优先 级0是缺省值，并在没有设置其它优先级值的情况下自动启用。 ②CFI：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问 方法中来指示封装帧中所带地址的比特次序信息。 ③VID： 该字段为12-bit， VLAN ID 是对 VLAN 的识别字段， 在标准 802.1Q 中常被使用。 支持次方) VLAN 的识别。 在4096可能的VID 中， VID＝0 用于识别帧优先级。第 15 页 /共 210 页CISCO 交换机配置手册 V1.04095(FFF)作为预留值，所以 VLAN 配置的最大可能值为4094。所以有效的VLAN ID范围 一般为1-4094。 ISL（Inter Switch Link） ISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的 协议。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header）”，并且在 帧尾带上通过对包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之， 就是总共增加了30字节的信息。在使用ISL的环境下，当数据帧离开汇聚链路时，只要简单 地去除ISL包头和新CRC就可以了。由于原先的数据帧及其CRC都被完整保留，因此无需重 新计算404448168241511616DA Type User SA LenAAA03 HSA VLAN BPDU index Resv? DA D 40 位 组 播 目 的 地 址 。 包 括 一 个 广 播 地 址 0X 或 者 是 0X。 ? Type D 各种封装帧（Ethernet (0000)、Token Ring (0001)、FDDI (0010) 和 ATM (0011)）的4位描述符。 ? User D Type 字段使用的4位描述符扩展或定义 Ethernet 优先级。该二进制值从 最低优先级开始0到最高优先级3。 ? SA D 传输 Catalyst 交换机中使用的48位源 MAC 地址。 ? LEN D 16位帧长描述符减去 DA、type、user、SA、LEN 和 CRC 字段。 ? AAAA03 D 标准 SNAP 802.2 LLC 头。 ? HAS D SA 的前3字节（厂商的 ID 或组织唯一 ID） 。 ? VLAN D 15位 VLAN ID。低10位用于1024 VLAN。第 16 页 /共 210 页CISCO 交换机配置手册 V1.0? BPDU D 1位描述符，识别帧是否是生成树网桥协议数据单元（BPDU） 。如果封装 帧为思科发现协议（CDP）帧，也需设置该字段。 ? INDEX D 16位描述符，识别传输端口 ID。用于诊断差错。 ? RES D 16位预留字段， 应用于其它信息， 如令牌环和分布式光纤数据接口帧 （FDDI） ， 帧校验（FC）字段。 ? ISL 帧最大为1548bytes,iSL 包头26+8 ISL 有 如 用 ISL 包 头 和 新CRC 将 原 数据 帧 整 个 包 裹起 来 ， 因 此 也 被 称 为 “封 装 型 VLAN （Encapsulated VLAN）”。 需要注意的是，不论是IEEE802.1Q的“Tagging VLAN”，还是 ISL的“Encapsulated VLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语 有可能被混合使用，因此需要大家在学习时格外注意。 并且由于ISL是Cisco独有的协议， 因此只能用于Cisco网络设备之间的互联。 IEEE 802.Q 和 ISL 的异同： 相同点：都是显式标记，即帧被显式标记了 VLAN 的信息。 不同点： IEEE 802.1Q 是公有的标记方式， 是 Cisco 私有的， 采用外部标记的方法， ISL ISL 802.1Q 采用内部标记的方法，ISL 标记的长度为30字节，802.1Q 标记的长度为4字节。2.1.1.4VTP（思科私有）一、VTP 概述 VLAN 中继协议（VTP，VLAN TRUNKING PROTOCOL）是 CISCO 专用协议，大多数 交换机都支持该协议。VTP 负责在 VTP 域内同步 VLAN 信息，这样就不必在每个交换上配 置相同的 VLAN 信息。 VTP 还提供一种映射方案，以便通信流能跨越混合介质的骨干。 VTP 最重要的作用是，将进行变动时可能会出现在的配置不一致性降至最低。 VTP 也有一些缺点，这些缺点通常都与生成树协议有关。 1、VTP 协议的作用 VLAN 中继协议（VTP）利用第2层中继帧，在一组交换机之间进行 VLAN 通信。VTP 从一 个中心控制点开始，维护整个企业网上 VLAN 的添加、添加和重命名工作，确何配置的一 致性。 2、VTP 的优点 ＞保持配置的一致性 ＞提供跨不同介质类型如 ATM 、FDDI 和以太网配置虚拟局域网的方法 ＞提供跟踪和监视虚拟局域网的方法 ＞提供检测加到另一个交换机上的虚拟局域的方法 ＞提供从一个交换机在整个管理域中增加虚拟局域网的方法 二、VTP 的工作原理第 17 页 /共 210 页CISCO 交换机配置手册 V1.01、VTP 概述和工作原理 VTP 是一种消息协议，使用第2层帧，在全网的基础上管理 VLAN 的添加、删除和重命名， 以实现 VLAN 配置的一致性。可以用 VTP 管理网络中 VLAN1到1005。 有了 VTP，就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中 所有其他的交换机上。 （前提是在同一个 VTP 域） 为了实现此功能，必须先建立一个 VTP 管理域，以使它能管理网络上当前的 VLAN。在同 一管理域中的交换机共享它们的 VLAN 信息，并且，一个交换机只能参加到一个 VTP 管理 域，不同域中的交换机不能共享 VTP 信息。 交换机间交换下列信息： ＞管理域域名 ＞配置的修订号 ＞已知虚拟局域网的配置信息． 交换机使用配置修正号，来决定当前交换机的内部数据是否应该接受从其他交换机发来的 VTP 更新信息。 ＞如果接收到的 VTP 更新配置修订号与内部数据库的修订号相同域者比它小，交换机忽略 更新。 ＞否则，就更新内部数据库，接受更新信息。 VTP 管理域在安全模式下，必须配置一个在 VTP 域中所有交换机惟一的口令。 VTP 的运行有如下特点： ＞VTP 通过发送到特定 MAC 地址01－00－0C－CC－CC－CC 的组播 VTP 消息进行工作。 ＞VTP 通告只通过中继端口传递。 ＞VTP 消息通过 VLAN1传送。 （这就是不能将 VLAN1从中继链路中去除的原因） ＞在经过了 DTP 自动协商，启动了中继之后，VTP 信息就可以沿着中继链路传送． ＞VTP 域内的每台交换机都定期在每个中继端口上发送通告到保留的 VTP 组播地址 VTP 通告可以封装在 ISL 或者 IEEE802.1Q 帧内。 2、VTP 域 VTP 域，也称为 VLAN 管理域，由一个以上共享 VTP 域名的相互接连的交换机组成。 要使用 VTP，就必须为每台交换机指定 VTP 域名．VTP 信息只能在 VTP 域内保持。一台 交换机可属于并且只属于一个 VTP 域。 缺省情况下，CATALYST 交换机处于 VTP 服务器模式，并且不属于任何管理域，直到交换 机通过中继链路接收了关于一个域的通告，或者在交换机上配置了一个 VLAN 管理域，交 换机才能在 VTP 服务器上把创建或者更改 VLAN 的消息通告给本管理域内的其他交换机 如果在 VTP 服务器上进行了 VLAN 配置变更， 所做的修改会传播到 VTP 域内的所有交换机 上。 如果交换机配置为＂透明＂模式，可以创建或者修改 VLAN，但所做的修改只影响单个的交 换机。 控制 VTP 功能的一项关键参数是 VTP 配置修改编号。这个32位的数字表明了 VTP 配置的第 18 页 /共 210 页CISCO 交换机配置手册 V1.0特定修改版本。 配置修改编号的取值从0开始， 每修改一次， 就增加1直到达到， 然后循环归0，并重新开始增加。每个 VTP 设备会记录自己的 VTP 配置修改编号；VTP 数 据包会包含发送者的 VTP 配置修改编号。这一信息用于确定接收到的信息是否比当前的信 息更新。 要将交换机的配置修改号置为0，只需要禁中继，改变 VTP 的名称，并再次启用中继。 VTP 域的要求： ＞域内的每台交换机必须使用相同的 VTP 域名，不论是通过配置实现，还是由交换机自动 学动 ＞CATALYST 交换机必须是相邻的，这意味着，VTP 域内的所有交换机形成了一颗相互连 接的树．每台交换机都通过这棵树与其他交换机相互。 ＞在所有的交换机之间，必须启用中继。 3、VTP 的运行模式 VTP 模式有3种，分别是： ＞服务器模式（SERVER 缺省） VTP 服务器控制着它们所在域中 VALN 的生成和修改。所有的 VTP 信息都被通告在本域中 的其他交换机，而且，所有这些 VTP 信息都是被其他交换机同步接收的。 ＞客户机模式（CLIENT） VTP 客户机不允许管理员创建、修改或删除 VLAN。它们监听本域中其他交换机的 VTP 通 告，并相应修改它们的 VTP 配置情况。 ＞透明模式（TRANSPARENT） VTP 透明模式中的交换机不参与 VTP。当交换机处于透明模式时，它不通告其 VLAN 配置 信息。而且，它的 VLAN 数据库更新与收到的通告也不保持同步。但它可以创建和删除本 地的 VLAN。不过，这些 VLAN 的变更不会传播到其他任何交换机上。 各种运行模式的状态 功能服务器模式客户端模式透明模式 提供 VTP 消息 监听 VTP 消息 修改 VLAN 记住 VLAN 4、VTP 的通告 1.VTP 通告概述 使用 VTP 时，加入 VTP 域的每台交换机在其中继端口上通告如下信息． ＞管理域 ＞配置版本号 ＞它所知道的 VLAN ＞每个已知 VLAN 的某些参数 这些通告数据帧被发送到一个多点广播地址（组播地址） ，以使所有相邻设备都能收到这些 √ √ √ √ √ √ × × × √(本地有效） √（本地有效）×√（在不同的版本有不同的结果）第 19 页 /共 210 页CISCO 交换机配置手册 V1.0帧。 新的 VLAN 必须在管理域内的一台牌服务器模式的交换机上创建和配置。该信息可被同一 管理域中所有其他设备学到 VTP 帧是作为一种特殊的帧发送到中继链路上的。 有2种类型的通告： ＞来自客户机的请求，由客户机在启动时发出，用以获取信息。 ＞来自服务器的响应 有3种类型的消息： ＞来自客户机的通告请求 ＞汇总通告 ＞子集通告 VTP 通告中可包含如下信息： ＞管理域名称 ＞配置版本号 ＞MD5摘要－－当配置了口令后，MD5是与 VTP 一起发送的口令。如果口令不匹配，更新 将被忽略。 ＞更新者身份－－发送 VTP 汇总通告的交换机的身份。 VTP 通告处理以配置修订号为0为起点．每当随后的字段变更一项时，这个修订号就加1， 直到 VTP 通告被发送出去为止。 VTP 修订号存储在 NVRAM 中，交换机的电源开关不会改变这个设定值。 ．要将修订号初始 化为0，可以用下列方法： ＞将交换机的 VTP 模式更改为透明模式，然后再改为服务器模式。 ＞将交换机 VTP 的域名更改一次，再更改回原来的域名。 ＞使用 clear config all 命令，清除交换机的配置和 VTP 信息，再次启动。 2. 3种 VTP 消息类型 （1）汇总通告 用于通知邻接的 CATALYST 交换机目前的 VTP 域名和配置修改编号。缺省情况下， CATALYST 交换机每5分钟发送一次汇总通告。 当交换机收到了汇总通告数据包时，它会对比 VTP 域名： ＞如果域名不同，就忽略此数据包 ＞如果域名相同，则进一步对比配置修改编号 ＞如果交换机自身的配置修改编号更高或与之相等，就忽略此数据包。如果更小，就发送通 告请求。 （2）子集通告 如果在 VTP 服务器上增加、删除或者修改了 VLAN，＂配置修改编号＂就会增加，交换机 会首先发送汇总通告，然后发送一个或多个子集通告。挂起或激活某个 VLAN，改变 VLAN 的名称或者 MTU，都会触发子集通告。 子集通告中包括 VLAN 列表和相应的 VLAN 信息。如果有多个 VLAN，为了通告所有的信 息，可能需要发送多个子集通告。第 20 页 /共 210 页CISCO 交换机配置手册 V1.0（3）通告请求 交换机在下列情况下会发出 VTP 通告请求： ＞交换机重新启动后 ＞VTP 域名变更后 ＞交换机接到了配置修改编号比自己高的 VTP 汇总通告 5、VTP 域内安全 为了使管理域更安全，域中每个交换机都需要配置域名和口令，并且域名和口令必须相同。 例（将 TEST 管理域设置为安全管理域） ： ＞进入配置模式： switch#configure terminal ＞配置 VTP 域名： switch(config)#vtp domain test ＞配置 VTP 运行模式： switch(config)#vtp mode server ＞配置 VTP 口令： switch(config)#vtp password mypassword ＞返回到特权模式： switch(config)#end ＞查看 VTP 配置： switch(config)#show vtp status 删除 VTP 管理域中的口令，恢复到缺省状态 switch(config)#no vtp password 6、VTP 修剪 VTP 修剪（VTP PRUNING）是 VTP 的一个功能，它能减少中继端口上不必要信息量。 在 CISCO 交换上，VTP 修剪功能缺省是关闭的。 缺省情况下，发给某个 VLAN 的广播会送到每一个在中继链路上承载该 VLAN 的交换机。 即使交换机上没有位于那个 VLAN 的端口也是如此。 VTP 通过修剪，来减少没有必要扩散的通信量，来提高中继链路的带宽利用率。 7、VTP 的版本 在 VTP 管理域中，有两个 VTP 版本可供采用，cisco catalyst 型交换机既可运行版本1，也 可运行版本2，但是，一个管理域中，这两个版本是不可互操作的。因此，在同一个 VTP 域 中，每台交换机必须配置相同的 VTP 版本。 交换机上默认的版本协议是 VTP 版本1。 如果要在域中使用版本2，只要在一台服务器模式交换机配置 VTP 版本2就可以了。 VTP 版本2增加了版本1所没有的以下主要功能： ＞与版本相关的透明的模式：在 VTP 版本1中，一个 VTP 透明模式的交换机在用 VTP 转发第 21 页 /共 210 页CISCO 交换机配置手册 V1.0信息给其他交换机时，先检查 VTP 版本号和域名是否与本机相匹配．匹配时，才转发该消 息．VTP 版本2在转发信息时，不检查版本号和域名。 ＞令牌环支持：VTP 版本2支持令牌环交换和令牌环 VLAN，这个是 VTP 版本2和版本1的 最大区别。 设置 VTP 版本2的步骤如下： ＞进入全局配置模式： switch#config terminal switch(config)#vtp version 2 switch(config)#end switch#show vtp status 8、VTP 如何在域内增加、减少交换机 1.增加交换机 VTP 域是由多台共享同一 VTP 域名的互连设备组成．交换机只能属于某个 VTP 域内，各 个交换机上的 VLAN 信息是通过交换机互连中继端口进行传播的。 要把一个交换机加入到一个 VTP 域内，可以使用 VTP DOMAIN DOMAIN－NAME。 当一个新交换机配置了 VTP 的域和服务器模式后，交换机每隔300秒，或者，每当 VLAN 结构发生变化时，就会通告一次。 将新的交换机添加到域中，一定要保证该交换机的修订号已经为0。 VTP 修订号存储在 NVRAM 中，交换机的电源开关不会改变这个设定值．可以使用下列方 法： ＞将交换机的 VTP 模式变到透明模式，然后再变回服务器模式。 ＞将交换机的域名修改为一个其他的域名（一个不存在的域） ，然后再回到原来的域名 ＞使用 erase startup-config 或 erase nvram 命令，清除交换机的配置和 VTP 信息．再次 启动。 2.删除交换机 要从管理域中删除交换机，只要在交换机上删除 VTP 域名的配置，或者将交换配置为透明 模式，即可让这个交换机脱离该 VTP 管理域． 三、配置 VTP 在开始配置 VTP 和 VLAN 之前，必须做一些规划． ＞确定将在网络中运行的 VTP 版本． ＞决定交换机是成为已有管理域的成员， 还是另外成为其创立一个新的管理域， 如果要加入 到已有的管理域中，则确定它的名称和口令． ＞为交换机选择一个 VTP 的工作模式． ＞是否需用启用修剪功能． 2950缺省配置：第 22 页 /共 210 页CISCO 交换机配置手册 V1.0＞VTP 域名：空 ＞VTP 模式：SERVER 服务器模式 ＞VTP 版本2：禁用 ＞VTP 认证：空，未启用 ＞VTP 修剪：未启用 1、创立 VTP 域和配置模式 ＜1＞ 创立 VTP 域 switch(config)#vtp domain domina-name 创立或加入一个管理域，使用下面步骤： ＞进入全局配置模式 switch#config terminal ＞加入到某个管理域： switch(config)#vtp domain test ＞返回特权模式： switch(config)#end 域名长度可达32字符，口令可是64个字符长． 至少应该有一台交换机被设置为服务器模式． 一台交换机不想与网络中的其他交换机共享 VLAN 信息，刚可以将它设置为透明模式． 实现工作中，建议至少将两台核心交换机设置为 VTP 服务器模式，而将其他交换机设置为 VTP 客户机模式．这有效地，如果交换机掉电了，它重启后，可以从服务器处获得有效的 VLAN 信息． ＜2＞ 配置 VTP 服务器 switch(config)#vtp domain domain-name switch(config)#vtp mode server switch#show vtp status ＜3＞ 配置 VTP 客户端 switch(config)#vtp domain domain-name switch(config)#vtp mode client switch(config)#exit ＜4＞ 配置 VTP 透明模式 switch(config)#vtp domain domain-name switch(config)#vtp mode transparent switch(config)#exit 2、VTP 域内的安全、修剪、版本的设置 ＜1＞VTP 口令的配置： switch(config)#vtp password mypassword switch(config)#no vtp password(删除）第 23 页 /共 210 页CISCO 交换机配置手册 V1.0＜2＞VTP 修剪 ＞启动 VTP 修剪 缺省情况下，在基于 IOS 交换机的中继商品上，VLAN2－1001都是可修剪的．要在管理域 内启动修剪．使用： switch(config)#vtp pruning ＞从可修剪列表中去除某 VLAN switchport trunk pruning vlan remove vlan-id 用逗号分隔不连续的 VLAN ID，其间不要有空格，用短线表明一个 ID 范围 例（去除 VLAN2、3、4、6、8）命令如下： switchport trunk pruning remove 2-4,6,8 ＞检查 VTP 修剪的配置 要检查 VTP 修剪的配置，可以使用命令： show vtp status 和 show interface interface-id switchport 例： （配置 VTP 修剪） switch#config terminal switch(config)#vtp pruning switch(config)#exit switch#show vtp status VTP pruning mode :enable(表明修剪已经启动） 例2（关闭指定的 VLAN 修剪） switch#show interface fa0/3 switchport trunking vlans active:1-4,6,7,200(说明了在该中继链路上可传输哪些 VLAN 的数据） pruning vlans enable:2-1001（说明了该商品上启用了 VTP 修剪的 VLAN 列表） switch#config t switch(config)#interface fa0/3 switch(config-if)#switchport trunk pruning remove vlan 2 3 7 switch(config-if)#end switch#show interface fa0/3 switchport trunking vlans active:1-4,6,7,200 pruning vlans enable :4-6,8-1001 例3（在管理域中关闭 VTP 修剪） switch#config t switch(config)#no vtp pruning switch#show vtp status -第 24 页 /共 210 页CISCO 交换机配置手册 V1.0vtp pruning mode :disabled（修剪已关闭） ＜3＞VTP 版本设置 switch(config)#vtp version 2（配置为版本2） switch(config)#no vtp version 2(回到版本1） switch#show vtp terminal VTP V2 mode :enable 只有在 VTP 服务器模式下才能变更 VTP 版本 3、在 VTP 域内增加、减少交换机的配置方法 ＜1＞增加交换机 新加入的交换机的 VTP 配置号比所要加入的域中原来的 VTP 服务器上的配置号要低． 添加过程： ＞清除配置： （或其他的方法） switch(config)#erase startup-config switch(config)#end switch#reload ＞配置 VTP 运行模式： switch(config)#vtp domain test ＞配置 VTP 运行模式 switch(config)#vtp mode server switch(config)#end switch#show vtp status ＜2＞减少交换机 switch(config)#vtp domain test-a switch(config)#end switch#show vtp status2.1.1.5VLAN 访问链接模式接下来就让我们来依次学习交换机三种不同端口的特征。首先说几个重要过的概念： VLAN 的几个重要概念介绍 PVID：Port VLAN ID,指端口的却省 VLAN ID。Hybrid 端口和 Trunk 端口属于多个 VLAN， 所以需要设置缺省 VLAN ID。 缺省情况下， Hybrid 端口和 Trunk 端口的缺省 VLAN 为 VLAN 1。PVID 主要有两个作用：第一对于接收到的 Untag 包则添加本端口的 PVID 再进行转发； 第二是接收过滤作用，比如只接收等于 PVID 的 VLAN TAG 包。 VLAN ID： VLAN TAG 包的 VLAN ID 号， 有效范围是 1-4094， 和 4095 都为协议保留值， 0 VLAN ID 0 表示不属于任何 VLAN，但携带 802.1Q 的优先级标签，所以一般被称为 Priority-only frame，其一般作为系统使用，用户不可使用和删除。1 为系统默认 VLAN，即 Native VLAN， 2-1001 是普通的 vlan，
保留仅系统使用， 用户不能查看和使用，第 25 页 /共 210 页CISCO 交换机配置手册 V1.0 是支持 fddi 和令牌环的 vlan，
是扩展的 vlan。 Cisco 的专有协议 isl， 相比之下它仅支持的 vlan 数目比较少，仅为 1-1005。 Vlan 表：配置 VLAN 的信息表，表示交换机的各个端口所属于的 VLAN ID，当交换机进行 交换数据时则查看该表进行业务转发。 VLAN 表的容量一般支持 1-32 个 VLAN ID。 VLAN 其 表格如下： VLAN ID 1 1 2 2 端口号 1 2 3 4UNTAG 包：指不携带 802.1Q 信息的普通以太网包。 TAG 包：指携带 4 字节 802.1Q 信息的 VLAN 以太网包。 Priority-only 包：指 VLAN ID 为 0，优先级为 0-7 的以太网包。用途：一般用于要求高优先 级的重要报文使用，当端口发生拥塞时使其能够优先转发。 VLAN 间路由：指 VLAN 间能够互相通信，一般是由路由器和三层交换机实现 VLAN 间互 通，通过 IP 网段来实现 VLAN 间的互通。当使能 VLAN 间路由后，则 ARP 广播包，多播 包以及单播包都能够在 VLAN 间互相通信。 对于 UNTAG 包、TAG 包以及 Priority-only 包的处理过程在下面将一一介绍。交换机的端口类型：交换机的端口，可以分为以下三种： ●访问链接（Access Link） ●汇聚链接（Trunk Link） ●混合链接（Hybrid Link） 端口模式主要是指在输入输出端口对 VLAN 数据包的处理。即在输入端口是 Admit All Frames 还是 Admit Only VLAN Tagged Frames，是 Only frames thatshare a VID assigned to this bridge port are admitted 还是 All frames are forwarded；在输出端口 输出数据包类型是 tagged frames 还是 untagged frames。 不同的端口模式对数据包的处 理不同，下面就介绍一下各个端口模式吧。 Access 端口 Access 即用户接入端口，该类型端口只能属于 1 个 VLAN，一般用于连接计算机的端口。 收端口：收到 untagged frame，加上端口的 PVID 和 default priority 再进行交换转发；对 于 tagged frame 不论 VID=PVID 还是 VID\=PVID 则有的厂家是直接丢弃，而有的厂家是 能够接收 VID=PVID 的 TAG 包。 一般 Access 端口只接收 untagged frame， 部分产品可能 接收 tagged frame，我们的 REOP、ES011、E4114 等都接收 VID=PVID 的 TAG 端口包。 发报文：对于 VID=PVID 的 tagged frame 去除标签并进行转发。对于 VID\=PVID 的数据包 丢弃不进行转发，untagged frame 则无此情况。而我们的 REOP、ES011、E4114 则对于 VID=PVID 或 VID\=PVID 的 tagged frame 都进行转发处理。 注：所说的删除标签是指删除 4 字节的 VLAN 标签，并且 CRC 经过重新计算。 Trunk 端口 当需要设置跨越多台交换机的 VLAN 时则需要设置 TRUNK 功能。 在规划企业级网络时， 很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同 楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置 VLAN 的问题了。假设有如第 26 页 /共 210 页CISCO 交换机配置手册 V1.0下图所示 的网络，且需要将不同楼层的 A、C 和 B、D 设置为同一个 VLAN。这时最关键的就是“交换机 1 和交换机 2 该如何连接才好呢？” 最简单的方法，自然是在交 换机 1 和交换机 2 上各设一个红、蓝 VLAN 专用的接口并互联了。但是，这个办法从扩展性和管理效率来看都不好。例如，在现有网络基础上再新建 VLAN 时，为了让这个 VLAN 能够互通，就需要在交换机间连接新的网线。建筑物楼层间的纵向 布线是比较麻烦的，一般不能由基层管理人员随意进行。并且，VLAN 越多，楼层间（严格 地说是交换机间） 互联所需的端口也越来越多， 交换机端口的利用效率低是对资源的一种浪 费、也限制了网络的扩展。为了避免这种低效率的连接方式，人们想办法让交换机间互联的 网线集中到一根上，这时使用的就是汇聚链接（Trunk Link） 。第 27 页 /共 210 页CISCO 交换机配置手册 V1.0何谓汇聚链接？技术领域中把 TRUNK 翻译为中文是“主干、干线、中继线、长途线” ，不过一般不翻译， 直接用原文。而且这个词在不同场合也有不同的解释： 1、在网络的分层结构和宽带的合理分配方面，TRUNK 被解释为“端口汇聚”，是带宽扩展和 链路备份的一个重要途径。TRUNK 把多个物理端口捆绑在一起当作一个逻辑端口使用，可 以把多组端口的宽带叠加起来使用。TRUNK 技术可以实现 TRUNK 内部多条链路互为备份 的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量 均衡，就像我们熟悉的打印机池和 MODEM 池一样。 2、在电信网络的语音级的线路中，Trunk 指“主干网络、电话干线”，即两个交换局或交换机 之间的连接电路或信道，它能够在两端之间进行转接，并提供必要的信令和终端设备。 3、但是在最普遍的路由与交换领域，VLAN 的端口聚合也有的叫 TRUNK，不过大多数都 叫 TRUNKING。 所谓 Trunking 即汇聚端口，该类型端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，一般用于交换机之间或交换机与路由器之间连接的端口； 汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个 VLAN 的特殊信息。 现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢？用户只需要 简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的 UTP 线，而不是什么其他的特殊布线。图例中是交换机间互联，因此需要用交叉线来连接。接下 来， 让我们具体看看汇聚链接是如何实现跨越交换机间的 VLAN 的。 发送的数据帧从交换 A 机 1 经过汇聚链路到达交换机 2 时，在数据帧上附加了表示属于红色 VLAN 的标记。交换 机 2 收到数据帧后，经过检查 VLAN 标识发现这个数据帧是属于红色 VLAN 的，因此去除 标记后根据需要将复原的数据帧只转发给其他属于红色 VLAN 的端口。这时的转送，是指 经过确认目标 MAC 地址并与 MAC 地址列表比对后只转发给目标 MAC 地址所连的端口。 只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色 VLAN 的端口。蓝色 VLAN 发送数据帧时的情形也与此相同。第 28 页 /共 210 页CISCO 交换机配置手册 V1.0通过汇聚链路时附加的 VLAN 识别信息，有可能支持标准的“IEEE 802.1Q”协议，也可能是 Cisco 产品独有的“ISL（Inter Switch Link）”。如果交换机支持这些规格，那么用户就能够 高效率地构筑横跨多台交换机的 VLAN。 另外，汇聚链路上流通着多个 VLAN 的数据，自然负载较重。因此，在设定汇聚链接时， 有一个前提就是必须支持 100Mbps 以上的传输速度。 默认条件下，汇聚链接会转发交换机上存在的所有 VLAN 的数据。换一个角度看，可以认 为汇聚链接（端口）同时属于交换机上所有的 VLAN。由于实际应用中很可能并不需要转发 所有 VLAN 的数据，因此为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通 过用户设定限制能够经由汇聚链路互联的 VLAN。 另外由于 Trunk 端口属于多个 VLAN， 所以需要设置缺省 VLAN ID 即 PVID （port vlan ID） 。 缺省情况下，Trunk 端口的 PVID 为 VLAN 1。如果设置了端口的 PVID，当端口接收到不 带 VLAN Tag 的报文后，则加上端口的 PVID 并将报文转发到属于缺省 VLAN 的端口；当 端口发送带有 VLAN Tag 的报文时， 如果该报文的 VLAN ID 与端口缺省的 VLAN ID 相同， 则系统将去掉报文的 VLAN Tag，然后再发送该报文。 下面就讲一下 Trunk 的输入输出端口对数据包的处理： 接收端口：同时都能够接收 VID=PVID 和 VID\=PVID 的 tagged frame，不改变 TAG；对于 untaged frame 则加上端口的 PVID 和 default priority 再进行交换转发，对于 priority only tagged frame 则添加 PVID 再进行转发。 发送端口： 对于 VID=PVID 的 TAG 包则去掉 VIDTAG 再进行转发。 对于 VID\=PVID 的 TAG 包则转发不修改 TAG，对于 UNTAG 包则无此情况。 Hybrid 端口 Hybrid 即混合端口模式，该类型的端口可以属于多个 VLAN，可以接收和发送多个 VLAN第 29 页 /共 210 页CISCO 交换机配置手册 V1.0的报文，可以用于交换机之间连接，交换机与路由器之间，也可以用于交换机与用户计算机 的连接。 下面就讲一下 Hybrid 的输入输出端口对数据包的处理： 接收端口：同时都能够接收 VID=PVID 和 VID\=PVID 的 tagged frame，不改变 TAG；对于 untaged frame 则加上端口的 PVID 和 default priority 再进行交换转发，对于 priority only tagged frame 则添加 PVID 再进行转发。 发送端口：1、判断该 VLAN 在本端口的属性（disp interface 即可看到该端口对哪些 VLAN 是 untag，哪些 VLAN 是 tag） 。 2、如果输入为 untag 包则在输出端口剥离 VLAN 信息，再发送，如果是 tag 则直接发送。 Hybrid 端口和 Trunk 端口的区别： Hybrid 端口和 Trunk 端口的不同之处在于 Hybrid 端口可以允许多个 VLAN 的报文发送时不 打标签，而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。Access 端口只属于 1 个 VLAN，所以它的缺省 VLAN 就是它所在的 VLAN，不用设置；Hybrid 端口和 Trunk 端口属 于多个 VLAN，所以需要设置缺省 VLAN ID。缺省情况下，Hybrid 端口和 Trunk 端口的缺 省 VLAN 为 VLAN 1。如果设置了端口的缺省 VLAN ID，当端口接收到不带 VLAN Tag 的报 文后，则将报文转发到属于缺省 VLAN 的端口；当端口发送带有 VLAN Tag 的报文时，如 果该报文的 VLAN ID 与端口缺省的 VLAN ID 相同，则系统将去掉报文的 VLAN Tag，然后 再发送该报文。 端口实际处理方式 Hybrid 00 不加标签不去标签 TAG 10 只加标签不去标签 ACCESS 01 只去标签不加标签同时入口过滤不等于 PVID 的包 PVID 设置范围 1-4094 ，默认值为 1（0 为 vlanid=NULL，4095 保留）模式Access Access Access Access Access方向(接收) (接收) (接收) 发送 发送条件Tagged = PVID Tagged =/ PVID 从 PC 接收 Untagged Tagged = PVID Tagged =/ PVID应该处理方式不接收 不接收 增加 tag＝PVID 转发删除 tag 不转发不处理是否 支持不支持 支持 支持 支持 不支持备注转发 设置过滤模式依然转发删除 tag，可设置路 由表过滤Access Tag Tag Tag Tag Tag Tag发送 (接收) (接收) (接收) 发送 发送 发送Untagged Tagged = PVID Tagged =/ PVID 从 PC 接收 Untagged Tagged = PVID Tagged =/ PVID Untagged无此情况 接收不修改 tag 接收不修改 tag 增加 tag＝PVID 路由表允许转发则删除 tag 路由表允许转发则不修改 tag 无此情况 支持 支持 支持 不支持 支持 依然透传， 不会 出 Untag 包第 30 页 /共 210 页CISCO 交换机配置手册 V1.0Hybrid Hybrid Hybrid Hybrid Hybrid Hybrid(接收) (接收) (接收) 发送 发送 发送Tagged = PVID Tagged =/ PVID 从 PC 接收 Untagged Tagged = PVID Tagged =/ PVID Untagged不修改 tag 不修改 tag 增加 tag＝PVID 路由表允许转发则删除 tag 路由表允许转发则不修改 tag 进入端口为 Untag， 路由表允 许转发则发送 Untag支持 支持 支持 不支持 支持 支持 支持 Untag 包我来解释一下：收报文： Acess 端口 1、收到一个报文,判断是否有 VLAN 信息：如果没有则打上端口的 PVID，并进 行交换转发,如果有则直接丢弃（缺省） 。o]Ua4hY3c 发报文： Acess 端口： 1、将报文的 VLAN 信息剥离，直接发送出去。 收报文： trunk 端口： 1、收到一个报文，判断是否有 VLAN 信息：如果没有则打上端口的 PVID， 并进行交换转发，如果有判断该 trunk 端口是否允许该 VLAN 的数据进入：如果可以则转 发，否则丢弃。 发报文： trunk 端口： 1、比较端口的 PVID 和将要发送报文的 VLAN 信息，如果两者相等则剥离 VLAN 信息，再发送，如果不相等则直接发送!。~G\*[.Z] 收报文： hybrid 端口： 1、收到一个报文 2、判断是否有 VLAN 信息：如果没有则打上端口的 PVID，并进行交换转发，如果有则判 断该 hybrid 端口是否允许该 VLAN 的数据进入：如果可以则转发，否则丢弃。 发报文： hybrid 端口： 判断该 VLAN 在本端口的属性 1、 （disp interface 即可看到该端口对哪些 VLAN 是 untag，哪些 VLAN 是 tag） 。 2、如果是 untag 则剥离 VLAN 信息，再发送，如果是 tag 则直接发送。 多种组合模式间端口处理 包类型 untag Tag+VID untag Tag+VID untag Tag+VID untag 方向 (接收) (接收) (接收) (接收) (接收) (接收) (接收) PORT1 模式 Hybrid Hybrid Hybrid/PVID Hybrid Hybrid/PVID Hybrid TAG/PVID 路由表 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 PORT5 模 式 ACCESS ACCESS TAG TAG Hybrid Hybrid Hybrid 方向 发送 发送 发送 发送 发送 发送 发送 结果 untag untag Tag 包 Tag 包 untag 包 tag 包 untag vlanID=VID vlanID=H/PVI D vlanID=VID 备注 结论第 31 页 /共 210 页CISCO 交换机配置手册 V1.0Tag+VID untag Tag+VID untag Tag+VID untag Tag+VID untag Tag+VID untag Tag+VID Tag+VID untag Tag+VID untag(接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收) (接收)TAG TAG/PVID TAG TAG/=PVID TAG ACCESS/P VID ACCESS ACCESS ACCESS/P VID ACCESS ACCESS ACCESS 任意模式 任意模式 ACCESS 或 Hybrid透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 透传-〉 不透传 -〉 不透传 -〉 透传-〉Hybrid ACCESS ACCESS TAG TAG/=PVID TAG TAG Hybrid Hybrid ACCESS ACCESS 任意模式 任意模式 任意模式 Hybrid 或 ACCESS发送 发送 发送 发送 发送 发送 发送 发送 发送 发送 发送 发送 发送 发送 发送tag 包 untag untag Tag 包 Tag 包 Tag 包 Tag 包 untag Tag 包 untag untag 无 无 无 untag 包vlanID=VIDvlanID=PVID vlanID=VID vlanID=PVID vlanID=VID vlanID=PVIDvlanID=PVID VlanID\=PVID VLAN 间隔离 VLAN 间隔离 PC 可以直接 互 ping端口 member 映射模式（Vlan 关闭，配置单方向隔离，测试结果） 包类型 Untag/Ta g Untag/Ta g Untag/Ta g Untag/Ta g Untag/Ta g 收端口 PORT 1 接收 PORT 1 接收 PORT 5 接收 PORT 5 接收 PORT 5 接收 端口映射 表 Member =0x11 Membe R=0x11 Membe R=0x1F Member =0x18 Member =0x18 发端口 PORT5 发送 P2P3P4 发送 P1P2P3P4 发送 P1P2P3 发送 P4 发送 结果 Untag/Tag 无 备注 P1 发 P5 收 关联 P2P3P4 口 不关联无 收包 P5 收与其 余的发送 关联 P2P3P4 口 不关联无 收包 P5 收 P4 发 关联 结论Untag/Tag无Untag/Tag注：（1）无论 Vlan 打开关闭端口映射都起作用。 （2）默认值端口全部双向透传，用户根据需要配置隔离模式。第 32 页 /共 210 页CISCO 交换机配置手册 V1.02.1.1.6QINQQinQ 是对802.1Q 的扩展，其核心思想是将用户私网 VLAN tag 封装到公网 VLAN tag 上，报文带着两层 tag 穿越服务商的骨干网络，从而为用户提供一种较为简单的二层 VPN 隧道。其特点是简单而易于管理，不需要信令的支持，仅仅通过静态配置即可实现，特别适 用于小型的，以三层交换机为骨干的企业网或小规模城域网。QINQ 的报文格式如下：图1为基于传统的802.1Q 协议的网络，假设某用户的网络1和网络2位于两个不同地点，并 分别通过服务提供商的 PE1、PE2接入骨干网，如果用户需要将网络1的 VLAN200-300和网 络2的 VLAN200-300互联起来，那么必须将 CE1、PE1、P 和 PE2、CE2的相连端口都配置为 Trunk 属性，并允许通过 VLAN200-300，这种配置方法必须使用户的 VLAN 在骨干网络上可 见，不仅耗费服务提供商宝贵的 VLAN ID 资源（一共只有4094个 VLAN ID 资源） ，而且还 需要服务提供商管理用户的 VLAN 号，用户没有自己规划 VLAN 的权利。图一第 33 页 /共 210 页CISCO 交换机配置手册 V1.0为了解决上述问题，QinQ 协议向用户提供一个唯一的公网 VLAN ID， 这个特殊的 VLAN ID 被称作 Customer-ID，将用户私网 VLAN tag 封装在这个新的 Customer-ID 中，依靠它在 公网中传播， 用户私网 VLAN ID 在公网中被屏蔽， 从而大大地节省了服务提供商紧缺的 VLAN ID 资源，如图2所示。在 QinQ 模式下，PE 上用于用户接入的端口被称作用户端口。在用户端口上使能 QinQ 功能，并为每个用户分配一个 Customer-ID，此处为3，不同的 PE 上应该为同一网络用户分 配相同的 Customer-ID.当报文从 CE1到达 PE1时， 带有用户内部网络的 VLAN tag 200-300， 由于使能了 QinQ 功能，PE 上的用户端口将再次为报文加上另外一层 VLAN tag，其 ID 就是 分配给该用户的 Customer-ID.此后该报文在服务提供商网络中传播时仅在 VLAN 3中进行且 全程带有两层 VLAN tag（内层为进入 PE1时的 tag，外层为 Customer-ID） ，但用户网络的 VLAN 信息对运营商网络来说是透明的。当报文到达 PE2，从 PE2 上的客户端口转发给 CE2 之前，外层 VLAN tag 被剥去，CE2收到的报文内容与 CE1发送的报文完全相同。PE1到 PE2 之间的运营商网络对于用户来说，其作用就是提供了一条可靠的二层链路。 可见，使用 QinQ 组建 VPN 具有如下特点： ● 无需信令来维持隧道的建立，通过简单的静态配置即可实现，免去了繁杂的配置，维护工 作。 ● 运营商只需为每个用户分配一个 Customer-ID，提升了可以同时支持的用户数目；而用户 也具有选择和管理 VLAN ID 资源的最大自由度（从1-4096中任意选择） 。 ● 在运营商网络的内部，P 设备无需支持 QinQ 功能，即传统的三层交换机完全可以满足需 求，极大地保护了运营商的投资。 ● 户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置。第 34 页 /共 210 页CISCO 交换机配置手册 V1.0因此，无论是对于运营商还是用户来说，采用 QinQ 方式组建 VPN 都是一种低成本，简便易 行，易于管理的理想方式。 QinQ 典型组网 下面通过一个典型的组网方案来说明 QinQ 的应用。 如图3所示， 该网有两个用户， 用户1需要将自己在 A 点的 VLAN 1-100和 D 点的 VLAN 1-100 连接起来，用户2需要将自己在 B 点的 VLAN 1-200和 C 点的 VLAN 1-200连接起来，传统的 802.1Q 组网是不可能实现这一需求的，因为两个用户所使用的 VLAN ID 号有冲突，但是利 用 QinQ 却可轻易地实现这一需求。在图3中，中间的网络为服务提供商的网络，它由四台 S3552实现 VPN 用户的接入（网络中 可能还有其它交换机，此处为简单起见，略去） ，相互之间通过环状千兆链路连接实现链路 备份，使能 STP 协议。这四台设备之间通过 Trunk 端口连接，可透传任意 VLAN 报文，为了 达到自动 VLAN 学习的目的，还可启动 GVRP 协议。需要注意的是，所有这些二层协议只能 在网络侧的端口使能， 而不能在用户接入端口上使能， 避免用户私有网络受到服务提供商网 络的干扰。 用户1使用 Customer-ID 30的 QinQ 端口进行接入， 用户2使用 Customer-ID 40的 QinQ 端口 进行接入，保证它们在公网上通过 Trunk 端口进行传输，互不影响。 用户可在私网内部运行 STP 协议，实现链路备份。例如，用户1的 A 点使用了两条链路连 到 S3552，STP 可自动地将一条链路断开，避免形成环路。注意，此时 S3552的两个 QinQ第 35 页 /共 210 页CISCO 交换机配置手册 V1.0接入端口均不能使能 STP 协议，这是因为它们属于用户私网拓扑，与公网无关。 QinQ 对其它特性的影响 由于在用户接入端口使能了 QinQ，导致 VPN 用户的报文在网络上传播时带有两层 VLAN tag，此时三层交换机的三层交换功能对于这种特殊的报文失效，因为交换机无法正确地获 取报文内携带的 IP 地址等信息。但我们不必为此担心，因为 VPN 报文只在 Customer-ID 对应的 VLAN 内作二层转发，根本无需使用三层信息进行转发。而对于运营商网络内的其 它普通报文，由于属于不同的 VLAN，三层转发不会受到影响。 在使能 QinQ 的用户接入端口，仍然可以使用 acl 规则对报文进行流分类，流限速，重 定向等 qos/acl*作，这无疑有利于运营商面向不同用户提供不同层次的差别服务。对于用户 来说， 选择适合自己需求的服务能够节省开支； 而运营商也可以借此吸引更广泛的用户对象。2.1.1.7QOS 功能QoS（Quality of Service，服务质量）是各种存在服务供需关系的场合中普遍存在 的概念，它评估服务方满足客户服务需求的能力。评估通常不是精确的评分，而是 注重分析在什么条件下服务是好的，在什么情况下还存在着不足，以便有针对性地 做出改进。 在Internet 中，QoS 所评估的就是网络转发分组的服务能力。由于网络提供的服 务是多样的，因此对QoS 的评估可以基于不同方面。通常所说的QoS，是对分组 转发过程中为延迟、抖动、丢包率等核心需求提供支持的服务能力的评估。 QOS 一般是当网络存在拥塞时，优先发送优先级高的数据业务。 基于端口优先级 基于端口的优先级即配置该端口接收的数据映射进高优先级队列还是低优先级队列。 只有当 高优先级队列的数据发送完后再发送低优先级队列的数据。 基于 802.1Q 优先级 (2) 802.1p 优先级 802.1p 优先级位于二层报文头部，适用于不需要分析三层报头，而需要在二层环 境下保证 QoS 的场合。第 36 页 /共 210 页CISCO 交换机配置手册 V1.04 个字节的 802.1Q 标签头包含了 2 个字节的 TPID（Tag ProtocolIdentifier，标签协议标识， 取值为 0x8100）和 2 个字节的 TCI（Tag ControlInformation，标签控制信息） 。在上图中，TCI 中 Priority 字段就是 802.1p 优先级，也称为 CoS 优先级。它由 3 个 bit 组成，取值范围为 0～7。之所以称此优先级为 802.1p 优先级， 是因为有关这些优先级的应用是在 802.1p 规范中被详 细定义。 基于 802.1Q 的优先级既是优先级 TAG 为 0-7 的 VLAN 包映射进高优先级队列还是低优先级 队列。通常 TAG 为 0-3 的 VLAN 包为低优先级队列，TAG 为 4-7 的 VLAN 包为高优先级队列。 基于 DSCP 优先级 1.2.1 优先级 下面介绍一下 IP 优先级、ToS 优先级、DSCP 优先级。 (1) IP 优先级、ToS 优先级和 DSCP 优先级IP header 的 ToS 字段有 8 个 bit，其中：
? 前 3 个 bit 表示的是 IP 优先级，取值范围为 0～7； ?
? 第 3～6 这 4 个 bit 表示的是 ToS 优先级，取值范围为 0～15； ?
?RFC2474 重新定义了 IP 报文头部的 ToS 域，称之为 DS 域，其中 DSCP（Differentiated ? Services CodePoint，差分服务编码点）优先级用该域的前 6 个 bit（0～5bit）表示，取值范第 37 页 /共 210 页CISCO 交换机配置手册 V1.0围为 0～63，后 2 个 bit（6、7bit）是保留位。Diff-Serv 网络定义了四类流量，设备会根据报文中的 DSCP 优先级对报文执行相 应的动作：
? 加速转发（Expedited Forwarding，EF）类，这种方式不用考虑其他流量是 ? 否分享其链路，适用于低时延、低丢失、低抖动、确保带宽的优先业务（如 虚租用线路） ；
? 确保转发（Assured Forwarding，AF）类，又分为四个小类（AF1/2/3/4） ? ， 每个 AF 小类又分为三个丢弃优先级，可以细分 AF 业务的等级，AF 类的 QoS 等级低于 EF 类；
? ? 兼容 IP 优先级（Class Selector，CS）类，是从 IP ToS 字段演变而来的， ? 共 8 类；
? ? 尽力转发（Best Effort，BE）类，是 CS 中特殊一类，没有任何保证，AF 类 ? 超限后可以降级为 BE 类，现有 IP 网络流量也都默认为此类。第 38 页 /共 210 页CISCO 交换机配置手册 V1.0一般 EF 类和 AF 类以及 Network Contral（11X000）都归类为高优先级，其它编码的归类为 低优先级序列。 VLAN 数据包交换功能 包交换分为 VLAN-Aware 和 VLAN-Unaware 两种模式，每种模式分为 5 个不同的处理过程。 介绍如下： ● Ingress: 检查进入 Bridge Port 的每个数据包是否允许传输，并且对该数据包进行怎样的处 理过程。 在 VLAN-Aware 模式下，此过程有四项需要配置。 第一配置 Accept Frame Type（ALL/TAG ONLY） ，ALL：允许接收所有类型的包，TAG ONLY：只 允许接受 TAG 包，UNTAG 和只有优先级的 TAG 包则丢弃。 第二配置 Ingress Filtering （ENABLE/DISABLE） ，ENABLE：只允许 VLANID 成员包含该端口的 TAG 包进行传输，DISABLE：所有 TAG 包都可进行传输。 第三配置端口 PVID，对于 UNTAG 包或只有优先级的 TAG 包，要在其 VLANID 的地方加入该 端口的 PVID。 第四配置端口的 Default Priority Tag，仅对于 UNTAG 包，要在其 VLAN 优先级的地方加入该 断口缺省优先级标签。 （2）在 VLAN-Unaware 模式下，允许 untagged, priority-tagged, or VLAN tagged 透传，则不许 要对端口做任何配置。 ● Learning:学习 MAC 地址表包括仅 MAC 地址表和 MAC-VID 地址表。 在 VLAN-Aware 模式下，需要把接收数据包的源 MAC 地址，VLANID 以及端口号记录到 MAC-VID 表中，具体的学习过程是： 如果收到的 MAC-VID 已经存在并且是同一个端口，则更新老化时间；如果收到的 MAC-VID第 39 页 /共 210 页CISCO 交换机配置手册 V1.0已经存在而不是同一个端口，则替换原先的端口号； 如果静态配置 MAC-VID 已经存在而不是同一个端口，则静态配置生效。 在 VLAN-Unaware 模式下， 只记录接收数据包的源 MAC 地址和端口号， 具体的学习过程是： 如果收到的 MAC 已经存在并且是同一个端口，则更新老化时间；如果收到的 MAC 已经存在 而不是同一个端口，则替换原先的端口号。 ● Aging: 对于每个动态学习的 MAC 地址都需要配置老化时间，配置范围（300S-4080S） 。如 果动态学习的 MAC 地址在配置所配置的老化时间间隔内一直没有更新，则删除该 MAC 表。 ● Forwarding: 根据 DA 或 DA， 查看 MAC 地址表决定该数据包应该向那些端口进行转发。 VID （1） VLAN-Aware 模式下， 在 数据包具体的 forwarded, dropped, or flooded 如下， forwarded： 如果根据 DA，VID 查看 MAC 地址表对应的端口存在并且是该端口是 VID 的成员，则向该端 口传送。Dropped：如果根据 DA，VID 查看 MAC 地址表对应的端口是该数据包的接收端口 则丢弃；如果根据 DA，VID 查看 MAC 地址表对应的端口不是该 VID 的成员或者该 VID 不存 在则丢弃。Flooded：如果所收到的 DA，VID 不存在路由表中，则向属于该 VID 的所有端口 广播；如果是广播或组播帧，则向属于该 VID 的所有端口传送。 （2） VLAN-Unaware 模式下， 在 数据包具体的 forwarded, dropped, or flooded 如下， forwarded： 如果根据 DA 查看 MAC 地址表对应的端口存在，则向该端口传送。Dropped：如果根据 DA 查看 MAC 地址表对应的端口是该数据包的接收端口则丢弃。Flooded：如果所收到的 DA 不 存在路由表中，则向所有端口广播；如果是广播或组播帧，则向所有端口传送。 ● Transmission ： 只在 VLAN-Aware 模式下配置设置在 Bridge 端口的输出数据帧是带 VLANID （TAG）还是不带 VLANID（UNTAG） 。 VLAN-Aware 模式下的包交换流程图如下：第 40 页 /共 210 页CISCO 交换机配置手册 V1.0第 41 页 /共 210 页CISCO 交换机配置手册 V1.0图 6.1 VLAN-Aware 模式流程框图 VLAN 典型应用 点对点传输模式（常见模式） 用户四个端口使用 VLAN 隔离， 分别提供不同的 Vlan 路由， 实现点到点的以太网传输， LANx 间不传递以太网包。P1PC_A LAN1 ACCESSPVID=2PVID=2ACCESS LAN1 PC_AP1P2PC_B LAN2 ACCESSPVID=3P5TAGPVID=1P5PVID=1PVID=3P2 ACCESSLAN2 PC_B ACCESS LAN3 PC_CPC_CACCESS LAN3P3 P4TAGPVID=4PVID=4P3 P4ACCESS PC_D LAN4PVID=5PVID=5ACCESS LAN4 PC_DVlanID_table VID=1 p1p2p3p4p5 VID=2 p1--p5 VID=3 p2--p5 VID=4 p3--p5 VID=5 p4--p5VlanID_table VID=1 p1p2p3p4p5 VID=2 VID=3 VID=4 VID=5 p1--p5 p2--p5 p3--p5 p4--p5图一 多个 Vlan 混合传输模式 点对点配置方式一： 端口使用 VLAN 模式，不同的 Vlan 分别提供相同的路由，实现点到点的以太网传输，VLANx 间靠其它的交换设备隔离。Vlan 11 11.11.11.9 Vlan12 10.10.10.11 Vlan 13 65.65.66.1P1HybridPVID=1 VlanID_table VlanID_tableP1PVID=1HybridLAN2HybridPVID=1P2P5 P5PVID=1P2HybridLAN2P3Hybrid PVID=1HybridPVID=1HybridPVID=1 PVID=1P3HybridVlan 11 11.11.11.9 Vlan12 10.10.10.11 Vlan 13 65.65.66.1P4HybridPVID=1 VlanID Membership VID=1 p1p2p3p4p5 VID=11 p2--p5 VID=12 p2--p5 VID=13 p2--p5 VlanID Membership VID=1 p1p2p3p4p5 VID=11 p2--p5 VID=12 p2--p5 VID=13 p2--p5P4PVID=1Hybrid图二 7.2.2 混合配置方式二： （含 VLAN 关闭模式） 可以另外使用 VLAN 关闭模式，将 tag 和 untag 以太网包混合广播所有端口，实现点到点的 以太网传输，VLANx 间靠其它的交换设备隔离。第 42 页 /共 210 页CISCO 交换机配置手册 V1.0P1 P1PC_A LAN1 ACCESS PVID=2 VlanID_table LAN PC_1P2PC_B LAN2 ACCESS PVID=3P5HybridPVID=6 PVID=4Vlan 11/12/13 xx.xx.xx.xxTAG LAN3P3 P4P4LAN Membership p1p2p3p4p5 p1--p5 p2--p5 p3--p5 p4--p5 p1p2p3p4p5 p3p5 p3p5 p3p5 Vlan_closedACCESS PC_D LAN4 PVID=5 VlanID VID=1 VID=2 VID=3 VID=4 VID=5 VID=6 VID=11 VID=12 VID=13Vlan 11/12/13 xx.xx.xx.xx图三 7.2.3 点对多点混合方式三： 端口使用 VLAN 模式，不同的 Vlan 提供不同的路由，实现点到点的以太网传输，VLANx 间靠 其它的交换设备隔离。P1 P1PC_A LAN1 ACCESS PVID=2 VlanID_table PVID=5 ACCESS LAN PC_1P2PC_B LAN2 ACCESS PVID=3P5TAGPVID=6 PVID=4P5PVID=1PC_CP3 ACCESSLAN3TAGP4PC_D LAN4 ACCESS PVID=1 PVID=5 VlanID Membership VID=1 p1p2p3p4p5 VID=2 p1--p5 VID=3 p2--p5 VID=4 p3--p5 VID=5 p4--p5 VlanID Membership VID=1 p1p2p3p4p5 VID=2 p4--p5 VID=3 p4--p5 VID=4 p4--p5 VID=5 p1--p5P4TAGLANVlan 2/3/4 xx.xx.xx.xx图四 复杂混合传输模式（Vlan 打开+Vlan 关闭+端口映射） 端口隔离模式加多点间混合传输，右侧交换端口使用 VLAN 关闭模式，同时配置端口隔离模 式，使得 PC1 和 PC4 隔离，同时又可以和 pc_a/b/c 互通。原 VLAN 传输不变。第 43 页 /共 210 页CISCO 交换机配置手册 V1.0P1 P1PC_A LAN1 ACCESS PVID=3 VlanID_table LAN PC_1P2PC_B LAN2 ACCESS PVID=3P5HybridPVID=6 PVID=4P5PC_4 VlanIDVlan 11/12/13 xx.xx.xx.xxTAG LAN3P3 P4P4LANACCESS PC_D LAN4 PVID=5 VlanID VID=1 VID=2 VID=3 VID=4 VID=5 VID=6 VID=11 VID=12 VID=13 Membership p1p2p3p4p5 p1--p5 p2--p5 p3--p5 p4--p5 p1p2p3p4p5 p3p5 p3p5 p3p5 Vlan_closed PORTx Port1 Port4 Port5 Membership p1p5 p4p5 p1p4p5Vlan 11/12/13 xx.xx.xx.xx图五 多 VLAN 模式下的 VLAN 间互通 端口使用 VLAN 模式，不同的 Vlan 提供不同的路由，实现点到点的以太网传输，VLANx 间能 够互相通信。这时的单播包或者 ARP 包或者 IP 多播包都能够在 VLAN 间通信。P1PC_A LAN1 ACCESSPVID=2PVID=2ACCESS LAN1 PC_AP1P2PC_B LAN2 ACCESSPVID=3P5TAGPVI