利用VLAN技术为企业开创网络管理新时代.docx

《利用VLAN技术为企业开创网络管理新时代.docx》由会员分享，可在线阅读，更多相关《利用VLAN技术为企业开创网络管理新时代.docx（22页珍藏版）》请在三一办公上搜索。

1、XXX学院 利用VLAN技术为企业开创网络管理新时代利用VLAN技术为企业开创网络管理新时代摘要VLAN (虚拟局域网)是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是一个广播域，是目前应用比较广泛的一种网络管理手段。在早期的采用交换技术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而目前企业网络管理中VLAN的应用已经比较广泛了，利用VLAN技术，可以为企业降低网络管理成本和提升网络运行和管理效率。由于VLAN中的网络用户是通过LAN交换机来通信的，所以对于企业各部门之间的信息安全也有很大的保证。本

2、文主要探讨的是VLAN (虚拟局域网) 技术在企业网络管理和应用。关键词: VLAN，网络管理，应用VLAN (Virtual LAN) is a physical network on the basis of use, the working group, application to the logical division of local area network, a broadcast domain, is used widely in a network management tool. In the early adoption of switching technology

3、 network model, network structure for the division of the physical network segment is only used by the division means. This network structure from the efficiency and safety point of view is lacking, and the current management VLAN of the enterprise network applications have been more extensive, and

4、the use of VLAN technology, network management for enterprises to reduce costs and improve network management efficiency . As the user VLAN in the network switch to Hexingmunicate through a LAN, so between the various departments for corporate information security is also a great guarantee. This art

5、icle explores the VLAN (Virtual LAN) technology in the enterprise network management and applications.Keywords: VLAN, network management, application目录利用VLAN技术为企业开创网络管理新时代I第一章 绪论1第二章 VLAN与企业网络管理的设计与分析32.3 拓扑结构分析32.4 设备选型4第三章 VLAN的具体配置与应用63.1 VLAN的划分原则63.2 VLAN的划分策略63.3 VLAN的详细设置73.3.1管理部门子网VLAN设置73.

6、3.2 其他下属部门子网VLAN设置83.4 企业网络ACL设置11第四章 VLAN与企业网络安全124.1 常见的VLAN攻击124.1.1 802.1Q 和 ISL 标记攻击124.1.2 双封装802.1Q/嵌套式 VLAN 攻击124.1.3 VLAN跳跃攻击124.4.4 VTP攻击134.2 TRUNK接口的安全性134.3 VTP裁剪14第五章 总结17参考文献18致谢19II第一章 绪论1.1 VLAN介绍VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中，共享一个广播域。通过对VLA

7、N的创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。VLAN 是指处于不同物理位置的节点根据需要组成不同的逻辑子网，即一个VLAN 就是一个逻辑广播域，它可以覆盖多个网络设备。VLAN 允许处于不同地理位置的网络用户加入到一个逻辑子网中，共享一个广播域。通过对VLAN 的创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。同一个VLAN 中的端口可以接受VLAN 中的广播包，别的VLAN 中的端口则接收不到。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于人员则有很大的不同，因为这主要取决于VLAN的几点优势：1.对网络中

8、的广播风暴的控制；2.提高网络的整体安全性，通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小；3.网络管理的简单、直观。1.2 VLAN在企业网络管理中的应用在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络及管理的贫乏等原因，使得企业网仅仅限于交换模式的状态。交换技术主要有两种方式:基于的帧交换和基于的信元交换，LAN交换机的每一个端口均为自己独立的碰撞域，但同时对于所有处于一个IP网段或IPX网段的来说，却同在一个域中，当工作站的数量较多、信息流很大的时候，就容易形成，甚者造成网络的瘫痪。在采用交换

9、技术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且要人工重新布线。由此，需要进行虚拟网络(VLAN)设置。1.3 案例需求分析在XX企业中，下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，因此有必要进行VLAN的划分。现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三部分网络均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用技术，即双千兆技术，使网络带宽

10、达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。三网主干均采用的是技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心交换机采用的是的Catalyst 6506，带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006;各二级、三级交换机则采用的是Cisco的Catalyst 3500系列，主要因为Catalyst 3500系列交换机的高性能和可堆叠能力。考虑到该网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为该企业网络的安全性、稳定性、高效率运行

11、带来了新的隐患。由此引发了VLAN的划分。对于VLAN的划分，应公司的需求，先将各部门子网的IP地址分配为：企业部门起始IP结束IP网关地址管理部门子网192.168.98.1/22192.168.99.254/22192.168.98.1财务部门子网192.168.1.1/22192.168.2.254/22192.168.2.1供销部门子网192.168.3.1/22192.168.5.254/22192.168.3.1售后部门子网192.168.6.1/22192.168.7.254/22192.168.6.1服务器子网192.168.80.1/24192.168.80.20/24根据服

12、务器类型给定其他子网192.168.8.1/22192.168.10.254/22根据情况给定根据上述IP地址分配情况，不难看出各子网的网络终端数均可达到254台，完全满足目前或将来的应用需要，同时还降低了管理工作量，增强了管理力度。由于案例的网络设备全部采用Cisco产品，对于Cisco的网络设备而言，VLAN主要是基于两种标准协议：SL和802.1Q。在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、的优化进行了合理有效的优化。案例中关于VLAN的划分覆盖了各个交换机，所以交换机之间的连接

13、都必须采用Trunk方式。鉴于经理办和供销子网代表了VLAN划分中的2个问题: 扩展交换机VLAN的划分和端口VLAN的划分，所以我们再将经理办子网和供销子网对VLAN做一详细介绍。1.4 企业网络中的新应用与新需求在网络应用高度发展的今天，企业的供应链管理、客户服务、远程学习、劳动力优化等等系统已经开始在企业中普遍得到应用。这些系统对企业网络提出了新的需求，可见如今的企业网络要有更高的可靠性、可管理性、安全性、更好的性能，并能实现语音、数据、视频的融合。而这些系统的设计与实现，都要应用到VLAN技术。当基于IP网络多元化的业务应用给企业带来便利的同时，也给企业带来一个不小的难题，那就是如何管

14、理。2007年，据权威部门经过抽样调查发现，有83%网管人员每日疲于奔波在解决各种应用问题上，他们更愿意将时间用于优化网络上。此外在调查中发现，能够实现对安全、性能、故障、配置和资产的综合管理平台成为企业网络构建需求中的重要考虑因素。优化网络的一种方式，就是利用VLAN技术来进行企业网络的综合设计与管理。如今，我们已经从设备、系统级管理的时代进入了基于用户业务应用的管理时代。大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理，这个投资对于中小企业来说可能是无法承担的。事实上，由于中小企业的网络结构比较简单，一般不需要对网络的流量、网络设备的状态和端口设置等信息进行实时的控制和检查。网

15、络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些，而这些工作利用VLAN技术的应用就可以很好地解决。第二章 VLAN与企业网络管理的设计与分析2.1 网络架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个办公室（区）的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而企业网络在分层布线主要采用树型结构；每个办公室（区）的计算机连接到部门的集线器或交换机，然后每部门的集线器或交换机在连接到企业中心机房中的交换机或路由器，各个分公司的交换机或路由器再连接到企业的主干通信网中，由此构成了企业甚至集团的网

16、络拓扑结构。该企业网络案例采用的是星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个企业网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，在文中我们选择选择热路由备份可以有效地提高核心交换的可靠性。2.2 设计思路进行企业网络VLAN的总体设计，首先要进行对象研究和需求调查，明确企业的性质、任务和改革发展的特点及系统建设的需求和条件，对企业的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定企业Intranet服务类型，进而

17、确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定VLAN结构和功能，根据应用需求建设目标和企业主要建筑和部门的分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划企业网络建设的实施步骤。企业网络VLAN总体设计方案的科学性，应该体现在能否满足以下基本要求方面：（1）整体规划安排；（2）先进性、开放性和标准化相结合；（3）结构合理，便于维护；（4）高效实用；（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。2.3 拓扑结构分析要为企业网络管理系统地和合理的

18、设计VLAN，就要充分的对企业的网络拓扑结构进行分析，从而得出最佳的VLAN设计方案。 案例企业的网络拓扑图如下：从图中我们可以看到：案例企业的网络是由总公司和分公司下属的若干台工作计算机组成；在总公司和分公司各架设有DHCP、DNS、FTP和WEB服务器；在总公司的工作组中，涉及到了无线VLAN的设置；总公司的下属工作计算机比较多，必须采用更多接入层交换机来细化工作组计算机的工作效率和2级节点交换机的工作效率；对于到Internet的连接，接口为2MB DDN专线接入，各二级单位通过公司总部的Proxy接入Internet。Internet的管理由公司总部信息中心统一规划。在这里需要注意的是

19、:1、企业的网络系统的VLAN的划分是作为一个整体结构来设计的，所以为了保持VLAN列表的一致性，例如当二级单位1的VLAN有所变化时，VLAN列表也会有所变化，这时就需要该Catalyst 4006对整体网络的其他部分进行广播，以达到VLAN的列表的一致性。所以在设置VTP(VLAN Trunk Protocol)时要注意，要将VTP的域作为一个整体，即:VTP类型分别为Server和Client。2、企业建网较早，所选用的网络设备为其他的厂商的产品，而后期的产品又不能与前期统一，这样在VLAN的划分中就会遇到些问题。例如:在Cisco产品与3Hexing产品的混合网络结构中划分VLAN，对

20、于Cisco网络设备的Trunk的封装协议则必须采用802.1Q，以达到与3Hexing的通讯。虽然两者之间可以建立VLAN的正常划分，和正常的应用，但由于交换机都具有自学习的能力，以致两者之间的协调配合较差。当两者之间的连接发生变化时，必须在上使用命令(clear counter)进行清除，方可达到两者的重新协调工作。2.4 设备选型该案例中的企业网络系统由三部分组成:公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。案例企业的主干网络均采用的是技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。

21、公司中心交换机采用的是的Cisco Catalyst 6506，带有三层路由的引擎使得企业网具有将来升级的能力；同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006；其2级节点和边缘交换机采用的也是Cisco Catalyst 3548。各二级、三级交换机则采用的是Cisco的Catalyst 3500系列，主要因为Cisco Catalyst 3500系列交换机的高性能和可堆叠能力。公司总部与各二级附属单位的连接采用了ISL封装的Trunk方式，用2组光纤连接（在Catalyst 6506与Catalyst 4006之间），这样既解决了VLAN间的互联问题，同时又提高了

22、网络带宽和系统的冗余，为子网互联提供了可靠保障。第三章 VLAN的具体配置与应用3.1 VLAN的划分原则VLAN的划分的有四种策略，分别是： 基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。基于MAC地址的VLAN MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。基于路由的VLAN 路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。基于策略的VLAN

23、基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。就本案例来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。VLAN的划分设计之后，再所涉及的就是VLAN划分的最后一步：VLAN间的互连。在以前对VLAN的划分主要是通过路由器来实现的，但随着网络规模的扩大、信息量的增加，路由器无论是从端口数还是系统性能上来说都已经不堪负荷，因此逐渐形成了产生网络瓶颈的主要原因。而现在，因为有了基于交换机上的三层路由的能力，在上述两点已经得到合理地解决。对于Cisco的产品划分，VLAN主要是基于两种标准协议：ISL和802.1Q。在我们这

24、里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。由于本案例中关于VLAN的划分扩展了各个交换机，所以交换机之间的连接都必须采用Trunk的方式。供销子网和售后子网代表了VLAN划分中的两种问题扩展交换机VLAN的划分和端口VLAN的划分：在经理办虚网中，对于一个交换机扩展多个VLAN的时候，前面提到了该交换机与其上层交换机间必须采用Trunk方式连接，但在供销的虚拟网划分中，在二级单位1中的供销独立于一个LAN交换机Catalyst3548，所以在这里，Cata

25、lyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可，对于此部分供销VLAN的划分，只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。3.2 VLAN的划分策略案例企业下属部门多，业务种类多，根据业务发展需要，经过认真规划，将联网后的统一网络划分为30个VLAN。划分原则为：企业本部以楼层为单位进行VLAN 划分，各下属部门以业务的不同来划分VLAN，不同的VLAN具有不同的安全级别。其中生产用机及各种服务器所在的VLAN 具有的安全级别较高。同时利用Cisco 6509自身的访问控制

26、功能，设置访问列表对特定的VLAN用户进行保护，对特定的端口 135、445、1434等进行控制，保证了整个网络中各个VLAN 用户的安全隔离。基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换机端口进行重新分配即可，不用考虑该端口所连接的设备。在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN 并分配给用户。这种划分使网络管理员能够随时掌握网络的负载情况，有利于网络的优化使用，并具有较高的安全性，虽然在一定程度上增加了管理员的工作量。举例来说，集团下属公司分布在不同城区不同的地理位置，但考虑到方便管理，这些公司的OA服务器均使用一个VLAN的I

27、P；对需要其他权限的OA服务器单独分配其他网段的IP，所有这些网络应用的实现均是依靠基于交换机端口VLAN 的划分来实现的。另一方面，对静态VLAN 技术的应用(即基于端口的VLAN 划分)来说，交换机不能分辨出被盗用IP地址的非法接人。一个用户盗用同一子网某特权用户的IP地址后就可以伪装成这个VLAN 的特权用户，非法访问网络中的服务器，并造成IP地址的冲突。为了解决这个问题，就利用用户一般不会改变计算机MA C地址的特点，采用了对大部分用户的IP地址和MA C地址与交换机端口绑定的方法， 弥补了静态VLAN 的这一缺陷，有效地防止了这种情况的发生。在一般的二层交换机组成的网络中，VLAN

28、实现了网络流量的分割，不同的VLAN 间是不能互相通信的。要实现VLAN 间的通信必须借助：1)路由器来实现；2)三层交换机。下属公司采用的是使用三层交换机的方式。利用三层交换机实现VLAN 间通信，三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来，可在各个层次提供线速性能。三层交换机内，分别设置了交换机模块和路由器模块；而内置的路由模块与交换模块类似，也使用ASIC硬件处理路由。因此，与传统的路由器相比，可以实现高速路由。并且，路由与交换模块是汇聚链接的，由于是内部连接，可以确保相当大的带宽。用三层交换机的路由功能来实现VLAN 间的通信。核心交换机选用Cisco 6

29、509三层交换机，接人层交换机选择了Cisco 3750和Cisco 2950系列交换机，其中Cisco 3750交换机为带路由功能的三层交换机，用于数据流量较大的分局，而Cisco 2950为二层交换机，主要用于通过千兆光纤与中心交换机的直接连接，通过这样的连接方式，整个局域网就能很好的协同工作。VLAN 对于网络使用者来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN 的几点优势。3.3 VLAN的详细设置3.3.1管理部门子网VLAN设置由于管理部门工作站所在局域网交换机划分了多个VLAN，连接了多个VLAN工作站，所

30、以该交换机与其上层交换机之间的连接必须采用Trunk方式。公司总部采用了Catalyst 3508和Catalyst 6506。在中心交换机Catalyst 6506上设置VLAN路由如下：- 管理部门VLAN：192.168.98.1/22- 财务部门VLAN：192.168.2.1/22- 供销部门VLAN：192.168.3.1/22- 售后部门VLAN：192.168.6.1/22 - 服务器VLAN：192.168.80.1/24- 其他部门VLAN：192.168.8.1/22中心交换机上设置路由协议RIP或，并指定网段192.168.0.0。在全局配置模式下执行如下命令：Rout

31、er rip network 192.168.0.0管理部门的的工作IP统一直接设置在核心交换机上。3.3.2 其他下属部门子网VLAN设置在案例中我们把核心交换机命名为:“Hexing”；分支交换机分别为:SW_SW_finance、SW_market、After service，分别通过port 1的光线模块与核心交换机相连;并且假设VLAN名称分别为finance、market、other需要做的工作:A、设置VTP domain(核心、分支交换机上都设置)B、配置中继(核心、分支交换机上都设置)C、创建VLAN(在server上设置)D、将交换机端口划入VLANE、配置三层交换A、设置

32、VTP domain。 VTP domain 称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。Hexing#VLAN database 进入VLAN配置模式Hexing(VLAN)#VTP domain Hexing 设置VTP管理域名称 HexingHexing(VLAN)#VTP server 设置交换机为服务器模式SW_finance#VLAN database 进入VLAN配置模式SW_finance(VLAN)#V

33、TP domain Hexing 设置VTP管理域名称HexingSW_finance(VLAN)#VTP client 设置交换机为客户端模式SW_market#VLAN database 进入VLAN配置模式SW_market(VLAN)#VTP domain Hexing 设置VTP管理域名称HexingSW_market(VLAN)#VTP client 设置交换机为客户端模式After service#VLAN database 进入VLAN配置模式After service(VLAN)#VTP domain Hexing 设置VTP管理域名称HexingAfter service(

34、VLAN)#VTP client 设置交换机为客户端模式注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息;client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。B、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL(inter-switch link)是一个在交换机之间、交

35、换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。在核心交换机端配置如下:Hexing(config)#interface gigabitethernet 2/1Hexing(config-if)#switchportHexing(config-if)#switchport trunk encapsulation ISL 配置中继协议Hexing(config-if)#switchport mode trunkHexing(config)#interface gigabi

36、tethernet 2/2Hexing(config-if)#switchportHexing(config-if)#switchport trunk encapsulation ISL 配置中继协议 Hexing(config-if)#switchport mode trunkHexing(config)#interface gigabitethernet 2/3Hexing(config-if)#switchportHexing(config-if)#switchport trunk encapsulation ISL 配置中继协议Hexing(config-if)#switchport

37、mode trunk在分支交换机端配置如下:SW_finance(config)#interface gigabitethernet 0/1SW_finance(config-if)#switchport mode trunkSW_market(config)#interface gigabitethernet 0/1SW_market(config-if)#switchport mode trunkAfter service(config)#interface gigabitethernet 0/1After service(config-if)#switchport mode trunk管

38、理域设置完毕。C、创建VLAN一旦建立了管理域，就可以创建VLAN了。Hexing(VLAN)#VLAN 10 name counter 创建了一个编号为10 名字为counter的 VLANHexing(VLAN)#VLAN 11 name market 创建了一个编号为11 名字为market的 VLANHexing(VLAN)#VLAN 12 name other 创建了一个编号为12 名字为other的 VLAN而这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果

39、要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。D、将交换机端口划入VLAN例如，要将SW_finance、SW_market、After service分支交换机的端口1划入counter VLAN，端口2划入market VLAN，端口3划入other VLANSW_finance(config)#interface fastethernet 0/1 配置端口1SW_finance(config-if)#switchport access VLAN 10 归属counter VLANSW_finance(config)#interface fastetherne

40、t 0/2 配置端口2SW_finance(config-if)#switchport access VLAN 11 归属market VLANSW_finance(config)#interface fastethernet 0/3 配置端口3SW_finance(config-if)#switchport access VLAN 12 归属other VLANSW_market(config)#interface fastethernet 0/1 配置端口1SW_market(config-if)#switchport access VLAN 10 归属counter VLANSW_mar

41、ket(config)#interface fastethernet 0/2 配置端口2SW_market(config-if)#switchport access VLAN 11 归属market VLANSW_market(config)#interface fastethernet 0/3 配置端口3SW_market(config-if)#switchport access VLAN 12 归属other VLANAfter service(config)#interface fastethernet 0/1 配置端口1After service(config-if)#switchpo

42、rt access VLAN 10 归属counter VLANAfter service(config)#interface fastethernet 0/2 配置端口2After service(config-if)#switchport access VLAN 11 归属market VLANAfter service(config)#interface fastethernet 0/3 配置端口3After service(config-if)#switchport access VLAN 12 归属other VLANE、配置三层交换到这里，VLAN已经基本划分完毕。但是，要让VLA

43、N间实现三层(网络层)交换，就要给各VLAN分配网络(ip)地址。给VLAN分配ip地址分两种情况，其一，给VLAN所有的节点分配静态ip地址;其二，给VLAN所有的节点分配动态ip地址。下面就这两种情况分别介绍。假设给VLAN counter分配的接口ip地址为192.168.98.1/22，网络地址为:192.168.98.0，VLAN market 分配的接口ip地址为192.168.3.1/22，网络地址为:192.168.3.0，VLAN other分配接口ip地址为192.168.8.1/22， 网络地址为192.168.8.0如果动态分配ip地址，则设网络上的DHCP服务器ip地

44、址为172.16.1.11。(1)给VLAN所有的节点分配静态ip地址。首先在核心交换机上分别设置各VLAN的接口ip地址。核心交换机将VLAN做为一种接口对待，和路由器上的一样，如下所示:Hexing(config)#interface VLAN 10Hexing(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口ipHexing(config)#interface VLAN 11Hexing(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口ipHexing(conf

45、ig)#interface VLAN 12Hexing(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口ip再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的ip地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。(2)给VLAN所有的节点分配动态ip地址。首先在核心交换机上分别设置各VLAN的接口ip地址和同样的DHCP服务器的ip地址，如下所示:Hexing(config)#interface VLAN 10Hexing(config-if)#ip address 172.16.58.

46、1 255.255.255.0 VLAN10接口ipHexing(config-if)#ip helper-address 172.16.1.11 DHCP server ipHexing(config)#interface VLAN 11Hexing(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口ipHexing(config-if)#ip helper-address 172.16.1.11 DHCP server ipHexing(config)#interface VLAN 12Hexing(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口ipHexing(config-if)#ip helper-address 172.16.1.11 DHCP server ip再在DHCP服务器上设置网络地址分别为172.16.58.0，172.16.59.0，172.16.60.0的作用域，并将这些作用域的“路由器”选项设置为对应VLAN的接口ip地址。这样，可以保证所有的VLAN也可以互访了。最后在各接入VLAN的计算