(,0 M0m南145 VLAN10会计 VLAN20工程 VLAN30工程 中继线 VLAN10会计 VLAN20工程 VLAN30工程 中继线 VLAN10会计 VLAN30工程 ⅥLAN10会计 图8-10B交换机将广播信息转发出所有的VLAN20和中继端口 84管理域 Cisco在多个交换机环境中建立VLAN管理域的概念。管理域交换自治系统传向路由器的 信息。这是在公共管理下的一组交换机。只不过是它们通过中继线发送VTP更新信息,而不 是在彼此间发送路由更新信息。在前一节我们讲到局域网中继协议(VTP)。正是这个协议运 行于中继线上在交换机之间交换关于VLAN的信息 如果在 Cisco路由器上运行IGRP或 EIGRP,所有路由器必须被设定为相同的自治系统号 换ⅤTP更新信息的所有交换机必须配置为相同的管理域。而且必须通过中继线连接在一起 在图8-12中有3个管理域 E交换机没有中继线,因此不会发送任何ⅤTP更新数据。相反,A、B、C和D交换机通过 中继线连在一起,因此这些交换机必须配置同一管理域名,这样它们才能了解彼此的ⅤLAN 列表。F、G、H和I交换机也通过中继线连接在一起,因此它们也在同一个管理域中。第三个 管理域是E交换机自己,虽然这个交换机不发送更新信息,在默认状态下,除了VLAN1,它 仍拥有其他的VLAN。要拥有除了VLAN1以外的任何VLAN,交换机必须设置为管理域的一 部分,即使它是管理域中唯一的一个交换机。如果你试图使用 set vlan命令(以后会讲到)进 行设置,会出现如下的错误信息
图8-10 B交换机将广播信息转发出所有的VLAN 20和中继端口 8.4 管理域 C i s c o在多个交换机环境中建立 V L A N管理域的概念。管理域交换自治系统传向路由器的 信息。这是在公共管理下的一组交换机。只不过是它们通过中继线发送 V T P更新信息,而不 是在彼此间发送路由更新信息。在前一节我们讲到局域网中继协议( V T P)。正是这个协议运 行于中继线上在交换机之间交换关于 V L A N的信息。 如果在C i s c o路由器上运行I G R P或E I G R P,所有路由器必须被设定为相同的自治系统号。 交换V T P更新信息的所有交换机必须配置为相同的管理域。而且必须通过中继线连接在一起。 在图8 - 1 2中有3个管理域。 E交换机没有中继线,因此不会发送任何 V T P更新数据。相反, A、B、C和D交换机通过 中继线连在一起,因此这些交换机必须配置同一管理域名,这样它们才能了解彼此的 V L A N 列表。F、G、H和I交换机也通过中继线连接在一起,因此它们也在同一个管理域中。第三个 管理域是E交换机自己,虽然这个交换机不发送更新信息,在默认状态下,除了 VLAN 1,它 仍拥有其他的V L A N。要拥有除了VLAN 1以外的任何V L A N,交换机必须设置为管理域的一 部分,即使它是管理域中唯一的一个交换机。如果你试图使用 set vlan命令(以后会讲到)进 行设置,会出现如下的错误信息: 第8章 Catalyst 5000系列交换机的高级配置 145 下载 VLAN 10 会计 VLAN 10 会计 VLAN 10 会计 VLAN 10 会计 VLAN 30 工程 VLAN 30 工程 广播 20 VLAN 30 工程 VLAN 20 工程 VLAN 20 工程 中继线 中继线 中继线 A B C D
146cUcocardtutBitternChinapub.com 下载 VLAN10会计 VLAN20工程 VLAN30工程 中继线 VLAN10会计 VLAN20工程 ⅥLAN30工程 中继线 VLAN10会计 VLAN30工程 逢201 VLAN10会计 图8-11C交换机没有ⅥLAN20端口,将广播信息转发给D交换机 图8-12管理域
图8-11 C交换机没有VLAN 20端口,将广播信息转发给D交换机 图8-12 管理域 146 Cisco Catalyst 局域网交换技术 下载 VLAN 10 会计 VLAN 10 会计 VLAN 10 会计 VLAN 10 会计 VLAN 30 工程 VLAN 30 工程 广播 20 VLAN 30 工程 VLAN 20 工程 VLAN 20 工程 中继线 A B C D 中继线 中继线
(,0 M0m换南147 SwitchA>(enable)set vlan 10 Cannot add/modify VLANs on a VTP server without a domain name 如果交换机连接到已存在的非安全管理域,交换机会自动加入到该管理域中。在这个 功能”背后的思想是,新交换机有了解所有新VLAN的能力。不需要为每个交换机进行配置 包括域名的配置。 技术提示在写作本书时,这个“功能”是极端危险的。它能导致除了VLAN1之外所 有的VLAN从已存在的管理域中被删除。如果VLAN从交换机的VLAN列表中被删除, 所有指定到那些VLAN的端口都被置于“非活动”状态;即它们不能再工作了。这使得 至少除了VLAN1之外的所有VLAN处于非理想状态。如果新交换机加入到已存在的管 理域中,我建议手工配置交换机的所有VLAN。不要依赖ⅤIP! 路由器可能通过中继线连接到交换机,但它们不处理或转发VTP更新信息,因此,它们 会创建管理域段。在图8-13中,E路由器配置为所有端口的中继。E路由器不传送VTP更新信 息,并将网络分为4个分离的管理域 图8-13路由器和管理域 8.5管理域的配置 交换机只需要配置管理域名,该域名可以配置多个ⅥLAN并传输ⅤTP更新数据。管理域名 是区分大小写的。不必死记这一点。使用 set vtp domain命令设置包括管理域名在内的几个 VTP参数 console>(enab1 e gET VTP DOMAIN岛称 例如,将图8-14中所示的A和B交换机配置于ACC(注意大小写)管理域中,使用下列命令:
如果交换机连接到已存在的非安全管理域,交换机会自动加入到该管理域中。在这个 “功能”背后的思想是,新交换机有了解所有新 V L A N的能力。不需要为每个交换机进行配置, 包括域名的配置。 技术提示 在写作本书时,这个“功能”是极端危险的。它能导致除了VLAN 1之外所 有的V L A N从已存在的管理域中被删除。如果 V L A N从交换机的V L A N列表中被删除, 所有指定到那些V L A N的端口都被置于“非活动”状态;即它们不能再工作了。这使得 至少除了VLAN 1之外的所有V L A N处于非理想状态。如果新交换机加入到已存在的管 理域中,我建议手工配置交换机的所有VLAN。不要依赖VTP! 路由器可能通过中继线连接到交换机,但它们不处理或转发 V T P更新信息,因此,它们 会创建管理域段。在图 8 - 1 3中,E路由器配置为所有端口的中继。 E路由器不传送V T P更新信 息,并将网络分为4个分离的管理域。 图8-13 路由器和管理域 8.5 管理域的配置 交换机只需要配置管理域名,该域名可以配置多个 V L A N并传输V T P更新数据。管理域名 是区分大小写的。不必死记这一点。使用 set vtp domain命令设置包括管理域名在内的几个 V T P参数: console> (enable) S E T V T P D O M A I N [名称] 例如,将图8 - 1 4中所示的A和B交换机配置于A C C(注意大小写)管理域中,使用下列命令: 第8章 Catalyst 5000系列交换机的高级配置 147 下载
148CicoCarahs,SIzbKChinaopub.com 下载 A 中继线 图8-14将A和B交换机配置于ACC管理域中 Switch A> (enable)set vtp domain AC VrP domain Acc modified Switch A> (enable) 不必配置B交换机的ⅤTP域名,因为B交换机通过用中继线相连的A交换机自动加入到管 !域中 设置交换机的TP模式,使用 set vtp mode命令,默认模式为服务器模式 switch A>( enableset vtp model模式] 例如,将A交换机的ⅤTP模式改为客户模式: VtP domain enable itch A> (enable)set vtp mode client nodified e) set vlan 30 Cannot add/ y VLANs on a VTP client Switch_A>(enable) 旦设定模式后,交换机不允许再更改VLAN配置。要恢复修改VLAN配置的能力,只要 将模式改为服务器模式即可 86安全管理域的配置 如果不希望新交换机自动加入到管理域中,需要设置密码。如果设置了密码,除非设置 了正确的密码,新交换机不能加入到已存在的管理域中。这使得配置新交换机需要耗费时间 为了使管理域更安全,域中每个交换机都需要配置域名和密码 使用下列命令将ACC管理域设置为安全管理域 在A交换机上 Switch A>(enable)set vtp domain Acc paSswd TobaccoRoad Generating MD5 secret for the passwor TP domain AcC modified Switch A>(enable) 在B交换机上 Switch B> (enable)set vtp doma aBswd TobaccoRoad Generating MD5 secret for the passwor vtp domain ACC modified 技术提示仔细注意命令的语法。在拼写密码时,命令用的是 passwd,而不是 password 87VTP版本2的配置 在默认状态下,与ⅤTP版本2兼容的 Catalyst交换机的这些功能是关闭的。如果在一个交换 机上ⅤTP版本2的这些功能生效,就会发出ⅤTP信号,VTP版本2将在所有的交换机上生效。 如果在管理域中有一个交换机不支持ⅤTP版本2,那么这个交换机就不能与其他交换机通信
148 Cisco Catalyst 局域网交换技术 下载 图8-14 将A和B交换机配置于ACC管理域中 不必配置B交换机的V T P域名,因为 B交换机通过用中继线相连的 A交换机自动加入到管 理域中。 设置交换机的V T P模式,使用set vtp mode命令,默认模式为服务器模式。 Switch_A> (enable) set vtp mode[模式] 例如,将A交换机的V T P模式改为客户模式: 一旦设定模式后,交换机不允许再更改 V L A N配置。要恢复修改V L A N配置的能力,只要 将模式改为服务器模式即可。 8.6 安全管理域的配置 如果不希望新交换机自动加入到管理域中,需要设置密码。如果设置了密码,除非设置 了正确的密码,新交换机不能加入到已存在的管理域中。这使得配置新交换机需要耗费时间。 为了使管理域更安全,域中每个交换机都需要配置域名和密码。 使用下列命令将A C C管理域设置为安全管理域: 在A交换机上: 在B交换机上: 技术提示 仔细注意命令的语法。在拼写密码时,命令用的是 p a s s w d,而不是 password。 8.7 VTP版本2的配置 在默认状态下,与V T P版本2兼容的C a t a l y s t交换机的这些功能是关闭的。如果在一个交换 机上V T P版本2的这些功能生效,就会发出 V T P信号,V T P版本2将在所有的交换机上生效。 如果在管理域中有一个交换机不支持 V T P版本2,那么这个交换机就不能与其他交换机通信。 中继线
A0 M的149 除非所有的交换机都与ⅤTP版本2兼容,否则不要打开VTP版本2这项功能 打开 Catalyst交换机的VTP版本2功能: This command will enable the version 2 function in the entire man All devices in the management domain should be version2-capable efore enabling o you want to continue (y/n)[n]? y vtp domain Acc modified Switch-A> (enable) 88VTP修剪的配置 VTP修剪在默认状态下是关闭的,它必须在管理域中的一个交换机上手工设置。VTP修 剪不能在一个管理域中的一两个交换机上设置。如果一个交换机设置了VTP修剪,那么在该 管理域中的所有交换机都将被设置为ⅤTP修剪。这个命令的正确语法是: console> (enableset vtp pruning enable <enter> 例如,在ACC管理域中设置ⅤTP修剪,输入: Switch A> nable) set vtp pruning enable This command will enable the pruni function in the entin management domain All devices in the man before enabling should be pruning-ca Do you want to continue (y/n) [n]? y TP domain Acc modi fied 警告信息会通知用户将在整个管理域中使VTP修剪生效,所有的交换机必须与ⅤTP修剪 兼容。如果一个交换机正在运行ⅤTP版本1,就不能使用VTP修剪,否则会产生问题。 89验证VTP设置 查看交换机上的ⅤTP设置使用 show vtp domain和 show vtp statistics命令: Switch-A>(enable)sh vtp domain Domain Name Domain Index VIP Version Local Mode password Ired Vlan-count Max -vlan-storage Config Revision Notifications 1023 Last Updater V2 Mode Pruning PruneEligible on vlans 172.16.0.10 enabled enabled 2-1000 Switch A> (enable 表8-1 show vtp domain命令的输出 Domain Name 本交换机所属的管理域的名称 Domain Index 标识域ⅤTP版本的索引号。说明本交换机能否处理版本2 本交换机的TP模式 管理域是否安全 VLAN-count 在管理域中定义的VLAN号
第8章 Catalyst 5000系列交换机的高级配置 149 下载 除非所有的交换机都与V T P版本2兼容,否则不要打开V T P版本2这项功能。 打开C a t a l y s t交换机的V T P版本2功能: 8.8 VTP修剪的配置 V T P修剪在默认状态下是关闭的,它必须在管理域中的一个交换机上手工设置。 V T P修 剪不能在一个管理域中的一两个交换机上设置。如果一个交换机设置了 V T P修剪,那么在该 管理域中的所有交换机都将被设置为 V T P修剪。这个命令的正确语法是: console> (enable) set vtp pruning enable <enter> 例如,在A C C管理域中设置V T P修剪,输入: 警告信息会通知用户将在整个管理域中使 V T P修剪生效,所有的交换机必须与 V T P修剪 兼容。如果一个交换机正在运行 V T P版本1,就不能使用V T P修剪,否则会产生问题。 8.9 验证VTP设置 查看交换机上的V T P设置使用show vtp domain和show vtp statistics命令: 表8-1 show vtp domain命令的输出 标 题 说 明 Domain Name 本交换机所属的管理域的名称 Domain Index 标识域V T P版本的索引号。说明本交换机能否处理版本 2 Local Mode 本交换机的V T P模式 P a s s w o r d 管理域是否安全 V L A N - c o u n t 在管理域中定义的V L A N号