網絡工程案例綜合實戰訓練營交換技術本章內容使用SVI實現VLAN間通信使用單臂路由實現VLAN間通信多生成樹協議虛擬路由冗余協議（VRRP）協議課程議題SVI實現VLAN間通信劃分VLAN的問題劃分VLAN的問題在交換機上劃分VLAN后，帶來了隔離廣播、提高安全性、隔離故障的好處，但是，問題是不同VLAN之間無法通過二層設備互相通信。解決辦法通過三層設備實現VLAN間路由。F0/3F0/1F0/2SVI實現不同VLAN間相互通信三層交換機上配置SVI接口地址各VLAN中主機將三層交換機上相應VLAN的SVI接口地址作為本VLAN網關數據到達三層交換機后利用路由功能轉發到其他VLAN配置SVI步驟1開啟路由功能（默認）

Switch(config)#iprouting 步驟2創建VLANSwitch(config)#vlan

vlan-id步驟3進入VLAN的SVI接口配置模式 Switch(config)#interfacevlanvlan-id步驟4給SVI接口配置IP地址Switch(config-if)#ipaddress

ip-addressmask

課程議題使用單臂路由實現VLAN間通信路由器實現VLAN間路由在路由器上為每個VLAN劃分一個子接口每個子接口配置IP地址，作為相應VLAN的網關利用路由器的路由功能，實現不同子接口數據的轉發缺點是：部署不靈活，形成網絡瓶頸。單臂路由配置步驟1：創建以太網子接口Router(config)#interface

interface.sub-port步驟2：為子接口封裝802.1q協議，并指定接口所屬的VLANRouter(config-subif)#encapsulationdot1q

vlan-id步驟3：為子接口配置IP地址Router(config-subif)#ipaddress

ip-address

mask-address步驟4：啟用子接口Router(config-subif)#noshutdown單臂路由配置示例Router(config)#interfacefastEthernet0/0.1Router(config-subif)#encapsulationdot1q10Router(config-subif)#ipaddress192.168.1.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.2Router(config-subif)#encapsulationdot1q20Router(config-subif)#ipaddress192.168.2.1255.255.255.0Router(config-subif)#noshutdownRouter(config-subif)#end課程議題PrivateVLAN劃分VLAN的問題可分配的VLAN編號是1-4094，需要劃分更多的VLAN怎么辦每一個VLAN都劃分一個子網，當劃分多個VLAN時，導致地址的浪費F0/1F0/2F0/3PrivateVLANPrivateVLAN（私有VLAN，PVLAN）是能夠為相同VLAN內不同端口提供隔離的VLAN。F0/1F0/2F0/3PraviteVLAN的組成PVLAN可以將一個VLAN的二層廣播域劃分成多個子域，每個子域都由一對VLAN組成：PrimaryVLAN（主VLAN）和SecondaryVLAN（輔助VLAN組成）。SecondaryVLANF0/2F0/1SecondaryVLANPrimaryVLANPraviteVLAN的組成主VLAN：主VLAN是PVLAN的高級VLAN，每個PVLAN中只有一個主VLAN。輔助VLAN：輔助VLAN是PVLAN中的子VLAN，并且映射到一個主VLAN。每臺接入設備都連接到輔助VLAN。隔離VLAN（IsolatedVLAN）：同一個隔離VLAN中的端口互相不能進行二層通信，一個私有VLAN域中只有一個隔離VLAN。團體VLAN（CommunityVLAN）：同一個團體VLAN中的端口可以進行二層通信，但是不能與其他團體VLAN中的端口進行二層通信，一個私有VLAN中可以有多個團體VLAN。PraviteVLAN的端口類型混雜端口（PromiscuousPort）：混雜端口為主VLAN中的端口，可以與任意端口通信，包括同一個PVLAN中的隔離端口和團體端口。隔離端口（IsolatedPort）：隔離端口為隔離VLAN中的端口，隔離端口只能與混雜端口進行通信。團體端口（CommunityPort）：團體端口為團體VLAN中的端口，同一個團體VLAN中的團體端口之間可以互相通信，并且團體端口可以與混雜端口通信，但是不能與其他團體VLAN的端口進行通信。PrivateVLAN的實現主VLAN中的混雜端口用于連接到網關設備，可以和本VLAN中所有端口通信隔離VLAN中的各端口均為隔離端口，互相不可通信，也不可與其他隔離VLAN或團體VLAN通信團體VLAN中的端口均為團體端口，可與本團體端口通信，不可與其他團體端口或隔離端口通信配置PrivateVLAN配置PrivateVLAN主要包括以下幾個步驟：配置主VLAN與輔助VLAN關聯輔助VLAN到主VLAN將輔助VLAN映射到主VLAN的3層接口配置主機端口配置混雜端口配置PrivateVLAN配置主VLAN與輔助VLAN步驟1：進入配置模式Switch#configureterminal步驟2：進入VLAN配置模式Switch(config)#vlanvid步驟3：配置私有VLAN類型Switch(config-vlan)#private-vlan{community|isolated|primary}

在802.1qVLAN中，有成員端口的VLAN不能配置為私有VLAN。VLAN1不能配置為私有VLAN。配置PrivateVLAN關聯輔助VLAN到主VLAN

步驟1：進入主VLAN的VLAN配置模式Switch(config)#vlan

p_vid步驟2：關聯輔助VLAN到主VLANSwitch(config-vlan)#private-vlanassociation[add|remove]svlist將輔助VLAN映射到主VLAN的三層接口步驟1：進入主VLAN的VLAN接口模式Switch(config)#interfacevlan

p_vid步驟2：映射輔助VLAN到主VLAN的三層接口Switch(config-if)#private-vlanmapping[add|remove]svlist配置PrivateVLAN配置主機端口步驟1：進入主機端口Switch(config)#interface

port-typeport步驟2：配置端口為主機端口Switch(config-if)#switchportmodeprivate-vlanhost步驟3：關聯主機端口到PVLANSwitch(config-if)#switchport

private-vlan

host-associationp_vids_vid配置混雜端口步驟1：進入主機端口Switch(config)#interface

interface步驟2：配置端口為混雜端口Switch(config-if)#switchportmodeprivate-vlanpromiscuous步驟3：配置混雜端口所在的主VLAN以及關聯的輔助VLANSwitch(config-if)#switchportprivate-vlanmapping

p_vid[add|remove]svlist配置PrivateVLAN配置PrivateVLAN注意事項一個PrivateVLAN處于Active狀態必須滿足下列條件：具有主VLAN具有輔助VLAN輔助VLAN和主VLAN進行關聯主VLAN內有混雜端口配置PrivateVLAN示例配置PrivateVLAN示例Swich#configureterminalSwitch(config)#vlan10Switch(config-vlan)#private-vlanprimarySwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#private-vlancommunitySwitch(config-vlan)#exitSwitch(config)#vlan30Switch(config-vlan)#private-vlanisolatedSwitch(config-vlan)#exitSwitch(config)#vlan10Switch(config-vlan)#private-vlanassociationadd20,30Switch(config-vlan)#exit配置PrivateVLAN示例Switch(config)#interfacerangefastEthernet0/1-2Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1030Switch(config-if-range)#exitSwitch(config-if)#interfacerangefastEthernet0/3-4Switch(config-if-range)#switchportmodeprivate-vlanhostSwitch(config-if-range)#switchportprivate-vlanhost-association1020Switch(config-if-range)#exitSwitch(config)#interfacefastEthernet0/5Switch(config-if)#switchportmodeprivate-vlanpromiscuousSwitch(config-if)#switchportprivate-vlanmapping10add20,30Switch(config-if)#end課程議題SuperVLANSuperVLANSuperVLAN又稱為VLAN聚合，是一種專門優化IP地址管理的技術可以將一個網段的IP分給不同的子VLAN（SubVLAN），這些SubVLAN同屬于一個SuperVLAN。SubVLANF0/2F0/1SubVLANSuperVLANIP子網SuperVLANSuperVLAN特點每一個SubVLAN都是獨立的廣播域屬于同一SuperVLAN的SubVLAN在同一子網中SubVLAN間的用戶需要進行通信時，將使用SuperVLAN的VLAN接口的IP地址作為網關地址不同SubVLAN間的互通及SubVLAN與其他網絡的互通，需要利用ARP代理（ProxyARP）功能SubVLAN通信過程同一SubVLAN中主機的通信可以直接進行不同SuperVLAN中的主機通信時，需要經過交換機進行ARP代理SuperVLAN注意事項部署SubVLAN的注意事項：SuperVLAN不能包含任何成員端口，只能包含SubVLAN。SubVLAN包含物理端口。SuperVLAN不能作為其他SuperVLAN的SubVLAN。PVLAN主要用于解決VLAN數量受限制的問題，SuperVLAN主要用于節省IP地址。SuperVLAN不能當正常的802.1qVLAN來使用。VLAN1不能作為SuperVLAN。針對SubVLAN不能創建VLAN接口并分配IP地址。SuperVLAN不能使用VRRP，不支持多播。基于SuperVLAN接口的ACL和QoS配置不對SubVLAN生效。配置SuperVLAN配置SuperVLAN主要分為以下幾個步驟：定義SuperVLAN配置SuperVLAN的SubVLAN設置SubVLAN的地址范圍配置SuperVLAN的SVI地址劃分接口到SubVLAN配置SuperVLAN定義SuperVLAN步驟1：進入VLAN配置模式Switch(config)#vlan

vlan-id步驟2：配置VLAN為SuperVLANSwitch(config-vlan)#supervlan配置SuperVLAN的SubVLAN

步驟1：進入SuperVLAN的配置模式Switch(config)#vlanvlan-id步驟2：配置SuperVLAN的SubVLAN列表Switch(config-vlan)#subvlanvlan-id-list配置SuperVLAN配置SubVLAN的地址范圍步驟1：進入SubVLAN的配置模式Switch(config)#vlanvlan-id步驟2：設置SubVLAN的地址范圍Switch(config)#subvlan-address-range

start-ipend-ip配置SuperVLAN的虛接口步驟1：進入SuperVLAN的配置模式Switch(config)#interfacevlan

vlan-id步驟2：配置SuperVLAN的虛接口Switch(config-if)#ipaddress

ip-addressmask配置SuperVLAN配置VLAN的代理ARP功能步驟1：進入VLAN配置模式Switch(config)#vlanvlan-id步驟2：打開VLAN的ARP代理功能Switch(config-vlan)#proxy-arp查看SuperVLAN配置Switch#showsupervlan

課程議題多生成樹協議MSTP多生成樹實例Instance:一臺交換機的一個或多個Vlan的集合因為很多Vlan采用一個Vlan實例，可實現預期的負載均衡交換機只運行二個實例，減少交換機系統的資源配置MSTP——MSTP基本配置步驟1：啟用生成樹Switch(config)#spanning-tree步驟2：選擇生成樹模式為MSTPSwitch(config)#spanning-treemodemstp在銳捷交換機中，默認情況下，當啟用生成樹后，生成樹的運行模式為MSTP。配置MSTP——MSTP屬性配置步驟1：進入全局配置模式Switch#configureterminal步驟2：進入MSTP配置模式Switch(config)#spanning-treemstconfiguration步驟3：在交換機上配置VLAN與生成樹示例的映射關系Switch(config-mst)#instance

instance-id

vlanvlan-range配置MSTP——MSTP屬性配置步驟4：配置MST區域的配置名稱Switch(config-mst)#namename步驟5：配置MST區域的修正號Switch(config-mst)#revisionnumber參數的取值范圍是0~65535，默認值為0。步驟6：配置MST實例的優先級SwitchA(config)#spanning-treemstinstanceprioritynumber配置MSTP——查看MSTP屬性看生成樹的全局配置及狀態信息Switch#showspanning-tree

查看MSTP的配置結果Switch#showspanning-treemstconfiguration

查看特定實例的信息Switch#showspanning-treemstinstance

查看特定端口在相應實例中的狀態信息Switch#showspanning-treemstinstance

interface配置MSTP——實現負載分擔通過配置使得不同實例中具有不同的根交換機，可以實現負載分擔課程議題虛擬路由冗余協議（VRRP）技術什么是VRRP什么是VRRP？VRRP(VirtualRouterRedundancyProtocol)：虛擬路由冗余協議是用于實現路由器冗余的協議，最新協議在RFC3768中定義。VRRP的定義在該協議中，對共享多存取訪問介質（如以太網）上終端IP設備的默認網關(DefaultGateway)進行冗余備份，從而在其中一臺路由設備宕機時，備份路由設備及時接管轉發工作，向用戶提供透明的切換，提高了網絡服務質量。VRRP術語VRRP路由器是指運行VRRP的路由器，是物理實體。虛擬路由器是指VRRP協議創建的，是邏輯概念。主控路由器和備份路由器一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協議使用選擇策略從路由器組中選出一臺作為主控，負責ARP響應和轉發IP數據包，組中的其它路由器作為備份的角色處于待命狀態。VRRP術語VRRP組VRRP控制報文只有一種：VRRP通告（advertisement)。它使用IP多播數據包進行封裝，組地址為224.0.0.18，發布范圍只限于同一局域網內。IP協議號為112；IP包的TTL值必須為255。VRRP狀態組成虛擬路由器的路由器會有三種狀態InitializeMasterBackupInitialize狀態系統啟動后進入此狀態，當收到接口startup的消息，將轉入Backup（優先級不為255時）或Master狀態（優先級為255時）。在此狀態時，路由器不會對VRRP報文做任何處理。Master狀態定期發送VRRP組播報文，發送免費（gratuitous）ARP報文響應對虛擬IP地址的ARP請求，并且響應的是虛擬MAC地址，而不是接口的真實MAC地址。轉發目的MAC地址為虛擬MAC地址的IP報文在Master狀態中只有接收到比自己的優先級大的VRRP報文時，才會轉為Backup。只有當接收到接口的Shutdown事件時才會轉為Initialize。BackUP狀態接收Master發送的VRRP組播報文從中了解Master的狀態對虛擬IP地址的ARP請求不做響應丟棄目的MAC地址為虛擬MAC地址的IP報文丟棄目的IP地址為虛擬IP地址的IP報文VRRP選舉VRRP的路由器都會發送和接收VRRP通告消息VRRP優先級接口的IP地址VRRP定時器通告間隔和主路由器失效（master-down）間隔。通告間隔是通告之間的間隔時間（秒），默認為1秒。主路由器失效間隔指的是多長時間沒有收到通告后，備用路由器將認為主路由器已失效，單位為秒。主路由器失效間隔是不能配置的，其值至少是為通告間隔的3倍。VRRP配置命令配置VRRP組命令參數如下表vrrp

grou-numberip

IP-address

secondarySwitch(config-if)#參數描述group-number取值范圍為0～255之間,vrrp組號IP-address虛擬路由器IP地址，可以是一臺真實路由器的地址，也可以虛擬的路由器地址secondary標明是該虛擬路由器的次IP地址VRRP基本配置示例VRRP基本配置示例（續）使用命令showvrrpbrief來查看VRRP組的狀態調整VRRP優先級配置VRRP組優先級其中參數Priority-value的取值范圍為0～254，0是系統保留給ADVERTISEMENT報文專，255是保留給IP地址擁有者只有當VRRP路由器的IP地址和虛擬路由器的接口相同時，則其優先級為255。vrrp

group-number

priority

priority-valueSwitch(config-if)#接口跟蹤與配置vrrp

group-numbertrackinterface[priority-decrement]Switch(config-if)#接口跟蹤與配置（續）搶占模式配置配置VRRP搶占其中參數delay的取值范圍為1～255之間，如果不配置delay時間，那么其默認值為0秒。delay-time為延遲搶占的時間即從該路由器發現自己的優先級大于MASTER的優先級開始經過delay-time這樣長的一段時