PT 练习 3.5.1:基本 VLAN 配置
拓扑图
地址表
| 设备 接口 IP 地址 子网掩码 默认网关 | ||||
|---|---|---|---|---|
| S1 | VLAN 99 | 172.17.99.11 | 255.255.255.0 | 不适用 |
| S2 | VLAN 99 | 172.17.99.12 | 255.255.255.0 | 不适用 |
| S3 | VLAN 99 | 172.17.99.13 | 255.255.255.0 | 不适用 |
| PC1 | 网卡 | 172.17.10.21 | 255.255.255.0 | 172.17.10.1 |
| PC2 | 网卡 | 172.17.20.22 | 255.255.255.0 | 172.17.20.1 |
| PC3 | 网卡 | 172.17.30.23 | 255.255.255.0 | 172.17.30.1 |
| PC4 | 网卡 | 172.17.10.24 | 255.255.255.0 | 172.17.10.1 |
| PC5 | 网卡 | 172.17.20.25 | 255.255.255.0 | 172.17.20.1 |
| PC6 | 网卡 | 172.17.30.26 | 255.255.255.0 | 172.17.30.1 |
端口分配(交换机 2 和 3)
| 端口 分配 网络 | ||
|---|---|---|
| Fa0/1 – 0/5 | VLAN 99 – Management&Native | 172.17.99.0/24 |
| Fa0/6 – 0/10 | VLAN 30 – Guest(Default) | 172.17.30.0/24 |
| Fa0/11 – 0/17 | VLAN 10 – Faculty/Staff | 172.17.10.0/24 |
| Fa0/18 – 0/24 | VLAN 20 – Students | 172.17.20.0/24 |
学习目标
-
执行交换机上的基本配置任务
-
创建 VLAN
-
分配交换机端口到 VLAN
-
添加、移动和更改端口
-
检验 VLAN 配置
-
对交换机间连接启用中继
-
检验中继配置
-
保存 VLAN 配置
任务 1:执行基本交换机配置
执行基本交换机配置。Packet Tracer 只对交换机主机名评分。
-
配置交换机主机名。
-
禁用 DNS 查找。
-
将执行模式口令配置为 class。
-
为控制台连接配置口令 cisco。
-
为 vty 连接配置口令 cisco。
任务 2:配置并**以太网接口
使用地址表中的 IP 地址和默认网关配置六台 PC 的以太网接口。
注意:现在 PC1 的 IP 地址会标记为错误。稍后您将更改 PC1 的 IP 地址。
任务 3:在交换机上配置 VLAN
步骤 1. 在交换机 S1 上创建 VLAN。
在全局配置模式下使用 vlan vlan-id 命令将 VLAN 添加到交换机
S1。本练习需要配置四个 VLAN。创建 VLAN 之后,您将处于 vlan
配置模式,在该模式下可以使用 vlan name 命令为 VLAN 指定名称。
S1(config)#vlan 99
S1(config-vlan)#name Management&Native
S1(config-vlan)#exit S1(config)#vlan 10
S1(config-vlan)#name Faculty/Staff
S1(config-vlan)#exit S1(config)#vlan 20
S1(config-vlan)#name Students S1(config-vlan)#exit
S1(config)#vlan 30
S1(config-vlan)#name Guest(Default)
S1(config-vlan)#exit
步骤 2. 检验在 S1 上创建的 VLAN。
使用 show vlan brief 命令检验 VLAN 是否已成功创建。
S1#show vlan brief
VLAN Name Status Ports
---- ------------------------------ ---------
1 default active Fa0/1, Fa0/2, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18,
Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2
10 Faculty/Staff active
20 Students active
30 Guest(Default) active
99 Management&Native active
步骤 3. 在交换机 S2 和 S3 上配置并命名 VLAN。
使用步骤 1 中的命令在 S2 和 S3 上创建并命名 VLAN 10、20、30 和 99。使用
show vlan brief 命令检验配置是否正确。
目前哪些端口被分配到您所创建的四个 VLAN 中?
步骤 4. 在 S2 和 S3 上将交换机端口分配给 VLAN。
请参考端口分配表。在接口配置模式下使用 switchport access vlan vlan-id
命令将端口分配给VLAN。Packet Tracer 将只对每个范围中的第一个接口(PC
所连接的接口)进行评分。一般情况下,您可以使用 interface range 命令,但
Packet Tracer 不支持该命令。
S2(config)#interface fastEthernet0/6 S2(config-if)#switchport access
vlan 30 S2(config-if)#interface fastEthernet0/11
S2(config-if)#switchport access vlan 10 S2(config-if)#interface
fastEthernet0/18 S2(config-if)#switchport access vlan 20
S2(config-if)#end
S2#copy running-config startup-config Destination filename
[startup-config]? [enter] Building configuration…
[OK]
注意:现在 Fa0/11 接入 VLAN 的配置是错误的。您将在稍后的练习中更正该错误。在
S3 上重复相同的命令。
步骤 5. 确定已添加的端口。
在 S2 上使用 show vlan id vlan-number 命令查看哪些端口已分配给 VLAN
10。哪些端口已分配给 VLAN 10? f 0/11 注意:show vlan name vlan-name
可显示相同的输出。
您也可以使用 show interfaces switchport 命令查看 VLAN 分配信息。
步骤 6. 分配管理 VLAN。
管理 VLAN 是您配置用于访问交换机管理功能的 VLAN。如果您没有特别指明使用其它
VLAN,那么VLAN 1 将作为管理 VLAN。您需要为管理 VLAN 分配 IP
地址和子网掩码。交换机可通过 HTTP、Telnet、SSH 或 SNMP 进行管理。因为 Cisco
交换机的出厂配置将 VLAN 1 作为默认 VLAN,所以将VLAN 1 用作管理 VLAN
不是明智的选择。您肯定不愿意连接到交换机的任何用户都默认连接到管理VLAN。在本实验前面的部分中,我们已经将管理
VLAN 配置为 VLAN 99。
在接口配置模式下,使用 ip address 命令为交换机分配管理 IP 地址。
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S2(config)#interface vlan 99
S2(config-if)#ip address 172.17.99.12 255.255.255.0
S2(config-if)#no shutdown
S3(config)#interface vlan 99
S3(config-if)#ip address 172.17.99.13 255.255.255.0
S3(config-if)#no shutdown
分配管理地址后,交换机之间便可通过 IP 通信,此外任何主机只要连接到已分配给
VLAN 99 的端口,这些主机便能连接到交换机。因为 VLAN 99 配置为管理
VLAN,所以任何分配到该 VLAN
的端口都应视为管理端口,并且应该对这些端口实施安全保护,控制可以连接到这些端口的设备。
步骤 7. 为所有交换机上的中继端口配置中继和本征 VLAN。
中继是交换机之间的连接,它允许交换机交换所有 VLAN
的信息。默认情况下,中继端口属于所有VLAN,而接入端口则仅属于一个
VLAN。如果交换机同时支持 ISL 和 802.1Q VLAN
封装,则中继必须指定使用哪种方法。因为 2960 交换机仅支持 802.1Q
中继,所以在本练习中并未指定需要使用哪种方法。
本征 VLAN 分配给 802.1Q 中继端口。在拓扑中,本征 VLAN 是 VLAN 99。802.1Q
中继端口支持来自多个 VLAN 的流量(已标记流量),也支持来源不是 VLAN
的流量(无标记流量)。802.1Q 中继端口会将无标记流量发送到本征
VLAN。产生无标记流量的计算机连接到配置有本征 VLAN 的交换机端口。在有关本征
VLAN 的 IEEE 802.1Q 规范中,其中一项的作用便是维护向下兼容传统 LAN
方案中常见无标记流量的能力。对于本练习而言,本征 VLAN
的作用是充当中继链路两端的通用标识符。最佳做法是使用 VLAN 1 以外的 VLAN
作为本征 VLAN。
S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#interface fa0/2
S1(config-if)#switchport mode trunk S1(config-if)#switchport trunk
native vlan 99 S1(config-if)#end
S2(config)#interface fa0/1
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk native vlan 99
S2(config-if)#end
S3(config)#interface fa0/2
S3(config-if)#switchport mode trunk S3(config-if)#switchport trunk
native vlan 99 S3(config-if)#end
使用 show interface trunk 命令检验中继的配置情况。
S1#show interface trunk
Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 99
Fa0/2 on 802.1q trunking 99
Port Vlans allowed on trunk
Fa0/1 1-1005
Fa0/2 1-1005
Port Vlans allowed and active in management domain
| Fa0/1 | 1,10,20,30,99,1002,1003,1004,1005 |
|---|---|
| Fa0/2 | 1,10,20,30,99,1002,1003,1004,1005 |
| Port | Vlans in spanning tree forwarding state and not pruned |
| Fa0/1 | 1,10,20,30,99,1002,1003,1004,1005 |
| Fa0/2 | 1,10,20,30,99,1002,1003,1004,1005 |
**步骤 8. 检验交换机之间是否能够通信。**从 S1 ping S2 和 S3 的管理地址。
S1#ping 172.17.99.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.17.99.12, timeout is 2 seconds:
…!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/9 ms
S1#ping 172.17.99.13
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.17.99.13, timeout is 2 seconds:
…!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
步骤 9. 从 PC2 ping 其它主机。
从主机 PC2 ping 主机 PC1 (172.17.10.21)。ping 是否成功? 否
从主机 PC2 ping 交换机 VLAN 99 IP 地址 172.17.99.12。ping 是否成功? 否
因为这些主机处于不同的子网中,而且在不同的 VLAN 内,所以如果没有第 3
层设备提供各个子网之间的路由,这些主机将无法通信。
从主机 PC2 ping 主机 PC5。ping 是否成功?
因为 PC2 与 PC5 在相同的 VLAN 以及相同的子网中,所以能够 ping 通。
步骤 10. 将 PC1 移到与 PC2 相同的 VLAN 中。
连接到 PC2 的端口 (S2 Fa0/18) 已分配到 VLAN 20,而连接到 PC1 的端口 (S2
Fa0/11) 已分配到 VLAN 10。将 S2 Fa0/11 端口重新分配到 VLAN
20。要更改端口所属的 VLAN,无需将端口先从原有的 VLAN
中删除。为端口重新分配新的 VLAN 之后,该端口将自动从以前的 VLAN 中删除。
S2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S2(config)#interface fastethernet 0/11
S2(config-if)#switchport access vlan 20
S2(config-if)#end
从主机 PC2 ping 主机 PC1。ping 是否成功?
步骤 11. 更改 PC1 的 IP 地址和网络。
将 PC1 的 IP 地址更改为
172.17.20.21。子网掩码和默认网关可以保留不变。使用新分配的 IP 地址再次从主机
PC2 ping 主机 PC1。
ping 是否成功? 是 为什么这次会成功?
fig)#interface fastethernet 0/11
S2(config-if)#switchport access vlan 20
S2(config-if)#end
从主机 PC2 ping 主机 PC1。ping 是否成功?
步骤 11. 更改 PC1 的 IP 地址和网络。
将 PC1 的 IP 地址更改为
172.17.20.21。子网掩码和默认网关可以保留不变。使用新分配的 IP 地址再次从主机
PC2 ping 主机 PC1。
ping 是否成功? 是 为什么这次会成功?
是。在相同 VLAN 及相同子网中的主机能够直接通过交换机通信。