虚拟局域网 VLAN

虚拟局域网虚拟局域网 VLANVLAN

为什么使用为什么使用 VLANVLAN 连接到第连接到第 22 层交换机的主机和服务器处于层交换机的主机和服务器处于

同一网段。会带来两个严重的问题：同一网段。会带来两个严重的问题： 交换机会向所有端口泛洪广播。交换机会向所有端口泛洪广播。 连接到交换机的每台设备都能够与该交换机上连接到交换机的每台设备都能够与该交换机上

的所有其他设备转发和接收帧。的所有其他设备转发和接收帧。

1 1 虚拟局域网的定义虚拟局域网的定义 定义定义

是一种逻辑广播域；是一种逻辑广播域； 可以跨越多个物理网段。可以跨越多个物理网段。

举例举例

2 2 划分划分 VLANVLAN 的好处的好处 减少了由移动、新增和变更所引起的管理成本 提供控制广播活动的功能 支持工作组并提供了网络安全性 通过利用现有得集线器以节省开支

3 VLAN3 VLAN 划分方法划分方法 基于端口划分基于端口划分

手动将每个交换机端口指定给特定的手动将每个交换机端口指定给特定的 VLANVLAN 。。 优点：优点：

定义定义 VLANVLAN 成员时非常简单，只要将所有的端成员时非常简单，只要将所有的端口都指定义一下就可以了。口都指定义一下就可以了。

缺点：缺点： 如果如果 VLAN AVLAN A 的用户离开了原来的端口，到了的用户离开了原来的端口，到了

一个新的交换机的某个端口，那么就必须重新一个新的交换机的某个端口，那么就必须重新定义。定义。

基于基于 MACMAC 地址　地址　 根据每个主机的根据每个主机的 MACMAC 地址来划分，即对每个地址来划分，即对每个 MACMAC 地址地址

的主机都配置他属于哪个组。的主机都配置他属于哪个组。 优点：优点：

当用户物理位置移动时，即从一个交换机换到其他的交当用户物理位置移动时，即从一个交换机换到其他的交换机时，换机时， VLANVLAN 不用重新配置，所以，可以认为这种根不用重新配置，所以，可以认为这种根据据 MACMAC 地址的划分方法是基于用户的地址的划分方法是基于用户的 VLANVLAN 。。

缺点：缺点： 初始化时，所有的用户都必须进行配置，如果有几百个初始化时，所有的用户都必须进行配置，如果有几百个

甚至上千个用户的话，配置是非常累的。而且这种划分甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个交换机的端口都可能存在很多个 VLANVLAN 组的成员，这样组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，户来说，他们的网卡可能经常更换，这样， VLANVLAN 就必就必须不停的配置。 须不停的配置。

基于网络层划分基于网络层划分 VLANVLAN 　　 根据每个主机的网络层地址或协议类型（如果支持多根据每个主机的网络层地址或协议类型（如果支持多

协议）划分的。协议）划分的。 优点：优点：

用户的物理位置改变了，不需要重新配置所属的用户的物理位置改变了，不需要重新配置所属的 VLAVLANN ，而且可以根据协议类型来划分，而且可以根据协议类型来划分 VLANVLAN ，这对网络，这对网络管理者来说很重要，还有，这种方法不需要附加的帧管理者来说很重要，还有，这种方法不需要附加的帧标签来识别标签来识别 VLANVLAN ，这样可以减少网络的通信量。　，这样可以减少网络的通信量。　

缺点：缺点： 效率低（相对于前面两种方法，检查每一个数据包的效率低（相对于前面两种方法，检查每一个数据包的

网络层地址是需要消耗处理时间的），一般的交换机网络层地址是需要消耗处理时间的），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查要让芯片能检查 IPIP 帧头，需要更高的技术，同时也更帧头，需要更高的技术，同时也更费时。费时。

基于基于 IPIP 组播的组播的 vlanvlan IP IP 组播实际上也是一种组播实际上也是一种 VLANVLAN 的定义，即认为一个的定义，即认为一个 II

PP 组播组就是一个组播组就是一个 VLANVLAN ，这种划分的方法是动态地，这种划分的方法是动态地把需要同时通信得端口通过使用基于把需要同时通信得端口通过使用基于 IPIP 的的 DD 类地址定类地址定义到同一个义到同一个 vlanvlan 中，并用广播的方法解决点对多点的中，并用广播的方法解决点对多点的通信。该方法将通信。该方法将 VLANVLAN扩大到了广域网，因此这种方扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。扩展，当然这种方法不适合局域网，主要是效率不高。

4.4.配置配置 VLANVLAN 无论无论 VLANVLAN 采用何种方法创建，采用何种方法创建， VLANVLAN 的的最大数量取决于最大数量取决于 IOSIOS 的类型。的类型。

默认情况下，默认情况下， Vlan1Vlan1 是管理是管理 VlanVlan 。管理。管理员可以为其配置员可以为其配置 IPIP 地址来远程管理交换机。地址来远程管理交换机。所有的端口默认均处于所有的端口默认均处于 VlanVlan 中。中。

为了易于管理为了易于管理 vlanvlan ，最好为，最好为 vlanvlan 命名。命名。

创建创建 vlanvlan 和命名的命令：和命名的命令： c3640#vlan databasec3640#vlan database c3640(vlan)#c3640(vlan)#vlan <vlan-number> [name vlan <vlan-number> [name

<name>]<name>] 举例：举例：

c3640(vlan)#c3640(vlan)#vlan 2 name teachervlan 2 name teacher

将某个端口指定给将某个端口指定给 vlanvlan Switch(config)#interface <Switch(config)#interface < 接口类型接口类型 > <> < 接口号接口号

>> Switch(config-if)#switchport access vlan <vlaSwitch(config-if)#switchport access vlan <vla

n_number>n_number> 将某组端口指定给将某组端口指定给 vlanvlan

Switch(config)#interface range <Switch(config)#interface range < 接口类型接口类型 > <> <接口号范围接口号范围 >>

Switch(config-if)#switchport access vlan <vlaSwitch(config-if)#switchport access vlan <vlan_number>n_number>

举例：在交换机上创建举例：在交换机上创建 teacher vlan teacher vlan ，并指定，并指定端口端口 fa1/0fa1/0 给给 teacher vlanteacher vlan ，指定其余端口给，指定其余端口给 ststudent vlanudent vlan 。。 c3640c3640((vlanvlan)#vlan 2 name teacher)#vlan 2 name teacher c3640c3640(config)#int f (config)#int f 11//00 c3640c3640(config-if)#switchport access vlan 2(config-if)#switchport access vlan 2 c3640c3640((vlanvlan)# vlan )# vlan 33 name name studentstudent c3640c3640(config)#int f (config)#int f 11//1- 121- 12 c3640c3640(config-if)#switchport access vlan (config-if)#switchport access vlan 33 c3640c3640(config-if)#end(config-if)#end

检验、维护和排查检验、维护和排查 VlanVlan故障故障 c3640c3640#show vlan#show vlan-switch-switch VLAN Name Status PortsVLAN Name Status Ports1.1. ---- -------------------------------- --------- ----------------------------------- -------------------------------- --------- -------------------------------2.2. 1 default active Fa1/13, Fa1/14, Fa1/151 default active Fa1/13, Fa1/14, Fa1/153.3. 2 teacher active Fa1/02 teacher active Fa1/04.4. 3 student active Fa1/1, Fa1/2, Fa1/3, Fa1/43 student active Fa1/1, Fa1/2, Fa1/3, Fa1/45.5. Fa1/5, Fa1/6, Fa1/7, Fa1/8Fa1/5, Fa1/6, Fa1/7, Fa1/86.6. Fa1/9, Fa1/10, Fa1/11, Fa1/12Fa1/9, Fa1/10, Fa1/11, Fa1/127.7. 1002 fddi-default active1002 fddi-default active8.8. 1003 token-ring-default active1003 token-ring-default active9.9. 1004 fddinet-default active1004 fddinet-default active10.10. 1005 trnet-default active1005 trnet-default active

11.11. VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans212.12. ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ---------- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------13.13. 1 enet 100001 1500 - - - - - 1002 10031 enet 100001 1500 - - - - - 1002 100314.14. 2 enet 100002 1500 - - - - - 0 02 enet 100002 1500 - - - - - 0 015.15. 3 enet 100003 1500 - - - - - 0 03 enet 100003 1500 - - - - - 0 016.16. 1002 fddi 101002 1500 - - - - - 1 10031002 fddi 101002 1500 - - - - - 1 100317.17. 1003 tr 101003 1500 1005 0 - - srb 1 10021003 tr 101003 1500 1005 0 - - srb 1 100218.18. 1004 fdnet 101004 1500 - - 1 ibm - 0 01004 fdnet 101004 1500 - - 1 ibm - 0 019.19. 1005 trnet 101005 1500 - - 1 ibm - 0 01005 trnet 101005 1500 - - 1 ibm - 0 0

显示显示 vlanvlan 的摘要信息的摘要信息 c3640#show vlan-swit briefc3640#show vlan-swit brief

VLAN Name Status PortsVLAN Name Status Ports---- -------------------------------- --------- ----------------------------------- -------------------------------- --------- -------------------------------1 default active Fa1/13, Fa1/14, Fa1/151 default active Fa1/13, Fa1/14, Fa1/152 teacher active Fa1/02 teacher active Fa1/03 student active Fa1/1, Fa1/2, Fa1/3, Fa1/43 student active Fa1/1, Fa1/2, Fa1/3, Fa1/4 Fa1/5, Fa1/6, Fa1/7, Fa1/8Fa1/5, Fa1/6, Fa1/7, Fa1/8 Fa1/9, Fa1/10, Fa1/11, Fa1/12Fa1/9, Fa1/10, Fa1/11, Fa1/121002 fddi-default active1002 fddi-default active1003 token-ring-default active1003 token-ring-default active1004 fddinet-default active1004 fddinet-default active1005 trnet-default active1005 trnet-default active

显示单个显示单个 vlanvlan 的信息的信息 c3640#show vlan-switch id 2c3640#show vlan-switch id 2

或或 c3640#show vlan-switch name teacherc3640#show vlan-switch name teacher

删除删除 vlanvlan c3640#vlan databasec3640#vlan database c3640(vlan)#no vlan 1c3640(vlan)#no vlan 1

取消端口与特定取消端口与特定 vlanvlan 的关联的关联 c3640(config)#inter fa 1/0c3640(config)#inter fa 1/0 c3640(config-if)#no switchport access vlan c3640(config-if)#no switchport access vlan

22

提示提示 交换机中的 交换机中的 VLAN VLAN 信息存放在单独的文件中 信息存放在单独的文件中 flash:vlan.flash:vlan.

datdat ，因此如果要完全清除交换机的配置，除了使用“，因此如果要完全清除交换机的配置，除了使用“ ererase starting-config”ase starting-config” 命令外，还要使用“命令外，还要使用“ delete flasdelete flash:vlan.dat”h:vlan.dat”命令把命令把 VLAN VLAN 数据删除。 数据删除。

新的 新的 IOS IOS 版本中，可以在全局配置模式中创建 版本中，可以在全局配置模式中创建 VLANVLAN 。。 默认时默认时 ,, 所有交换机接口都在 所有交换机接口都在 VLAN 1 VLAN 1 上，上， VLAN 1 VLAN 1 是是

不能删除的。如果有多个接口需要划分到同一 不能删除的。如果有多个接口需要划分到同一 VLAN VLAN 下，下，也可以采用也可以采用 rangerange 以节约时间以节约时间 ,,注意破折号前后的空格。注意破折号前后的空格。

如果要删除如果要删除 VLANVLAN ，使用 “，使用 “ no vlan 2”no vlan 2” 命令即可。删命令即可。删除某一除某一 VLANVLAN后，要记得把该后，要记得把该 VLANVLAN 上的端口重新划分上的端口重新划分到别的到别的 VLANVLAN 上，否则将导致端口的“消失” 。上，否则将导致端口的“消失” 。

5. 5. 标识标识 vlanvlan 帧标记帧标记 常用帧标记标准：常用帧标记标准：

IEEE 802.1QIEEE 802.1Q 。也可所写为。也可所写为 DOT1QDOT1Q ，该标准，该标准在以太网帧中插入一个在以太网帧中插入一个 44字节的标记字段。字节的标记字段。

5. 5. 中继和中继和 VLANVLAN 间的路由间的路由 交换机端口角色交换机端口角色

接入端口：接入端口：仅属于一个仅属于一个 vlanvlan 。通常。通常 pcpc 或服务器之类或服务器之类的单台设备连接此类端口。的单台设备连接此类端口。

中继端口：中继端口：是交换机和其他网络设备点到点的链路。是交换机和其他网络设备点到点的链路。中继通过一条链路传输多个中继通过一条链路传输多个 vlanvlan 的流量，的流量， vlanvlan 可通可通过中继跨越整个网络。当在同一链路上传输多个过中继跨越整个网络。当在同一链路上传输多个 vlanvlan流量时，需要标识他们所属的流量时，需要标识他们所属的 vlanvlan 。。

帧标记协议：帧标记协议： 802.1q802.1q 和交换机间链路和交换机间链路 ISLISL 目前，目前， catalyst6500catalyst6500 系列之类的高端交换机支持上述系列之类的高端交换机支持上述

两种协议，不过大多数两种协议，不过大多数 LANLAN 交换机仅支持交换机仅支持 802.1Q802.1Q 。。

将交换机配置为中继接口将交换机配置为中继接口 c3640(config)#interface fastEthernet 1/0c3640(config)#interface fastEthernet 1/0 c3640(config-if)#switchport mode trunkc3640(config-if)#switchport mode trunk c3640(config-if)#switchport trunk encapsuc3640(config-if)#switchport trunk encapsu

lation {dot1q |ISL|negotiate} lation {dot1q |ISL|negotiate} /*/* 只有在交换机同时支持只有在交换机同时支持 802.1q802.1q 和和 ISLISL 时使时使

用用 // NegotiateNegotiate 为交换机上的默认模式，此参数可为交换机上的默认模式，此参数可

自动检测邻居交换机的封装类型自动检测邻居交换机的封装类型

打开自动检测配置打开自动检测配置 Switch(config-if)#switchport mode dynamSwitch(config-if)#switchport mode dynam

ic {desirable|auto}ic {desirable|auto} desirable:desirable: 如果另一端设置为如果另一端设置为 trunktrunk 、、 desirabledesirable

或或 autoauto ，则该端口即为中继端口；，则该端口即为中继端口； autoauto ：如果另一端设置为：如果另一端设置为 trunktrunk 或或 desirabledesirable ，则，则

该端口为中继模式。该端口为中继模式。 从中继模式返回接入模式从中继模式返回接入模式

Switch(config-if)#no switchport mode truSwitch(config-if)#no switchport mode trunknk

或或 Switch(config-if)# switchport mode accessSwitch(config-if)# switchport mode access

配置本征配置本征 vlanvlan 本征本征 vlanvlan ：在：在 802.1q802.1q中继端口处接收到的无中继端口处接收到的无

标记帧将成为本征标记帧将成为本征 vlanvlan 成员。在成员。在 cisco catalcisco catalystyst 交换机上，交换机上， vlan1vlan1默认为本征默认为本征 vlanvlan 。。

任何任何 vlanvlan均可配置成本征均可配置成本征 vlanvlan ，但要确保，但要确保 80802.1q2.1q中继两端的本征中继两端的本征 vlanvlan 相同，如果不同，相同，如果不同，可能导致环路。可能导致环路。

配置方法：配置方法： Switch(config-if)#switchport trunk native Switch(config-if)#switchport trunk native

vlan <vlan-id>vlan <vlan-id>

6. Vlan6. Vlan 间的路由间的路由 方法（分别画图说明）方法（分别画图说明）

每个每个 vlanvlan 通过单独的接口连接到第三层设备。通过单独的接口连接到第三层设备。 连通不同连通不同 vlanvlan 需要一种成为子接口的功能。子接口从逻辑上将需要一种成为子接口的功能。子接口从逻辑上将

一个物理接口划分成多条逻辑路径。将一条路径或子接口分配一个物理接口划分成多条逻辑路径。将一条路径或子接口分配给一个给一个 vlanvlan 。。

具体步骤：将交换机接口配置为具体步骤：将交换机接口配置为 802.1q802.1q 中继链路。在路由器上中继链路。在路由器上选择一个速度至少为选择一个速度至少为 100Mbps100Mbps 的快速以太网接口，配置支持的快速以太网接口，配置支持 8802.1q02.1q 封装的子接口。为每一个封装的子接口。为每一个 vlanvlan 分配一个子接口。子接口分配一个子接口。子接口使得每个使得每个 vlanvlan 拥有自己的逻辑路径和到路由器的默认网关。拥有自己的逻辑路径和到路由器的默认网关。

过程：发送方过程：发送方 vlanvlan 中的主机使用默认网关将流量转发到路由器。中的主机使用默认网关将流量转发到路由器。路由器找到目的路由器找到目的 IPIP 地址并查找路由表。如果目的主机和源主机地址并查找路由表。如果目的主机和源主机在同一台交换机上，则路由器使用目的在同一台交换机上，则路由器使用目的 vlan idvlan id 的子接口参数的子接口参数将流量转发回源主机。这种配置通常称单臂路由器。如果路由将流量转发回源主机。这种配置通常称单臂路由器。如果路由器的送出接口与器的送出接口与 802.1q802.1q 兼容，帧继续保留其兼容，帧继续保留其 vlanvlan 标记。否则，标记。否则，路由器删除帧标记，恢复为原始的以太网帧。路由器删除帧标记，恢复为原始的以太网帧。

配置举例配置举例 步骤步骤 11 ：在交换机上配置一个中继接口：在交换机上配置一个中继接口

c3640(config)#interface fastEthernet 1/1c3640(config)#interface fastEthernet 1/1 c3640(config-if)#switchport mode trunkc3640(config-if)#switchport mode trunk

步骤步骤 22 ：在路由器上配置一个不带：在路由器上配置一个不带 IPIP 地址或子网掩码的快速以太网接地址或子网掩码的快速以太网接口。口。 (*)(*) router(config)#interface fastEthernet 0/1router(config)#interface fastEthernet 0/1 router(config-if)#no ip addressrouter(config-if)#no ip address router(config-if)#no shutdownrouter(config-if)#no shutdown

步骤步骤 33 ：在路由器上，为每个：在路由器上，为每个 vlanvlan 配置一个带配置一个带 IPIP 地址和子网掩码的地址和子网掩码的子接口。每个子接口都有子接口。每个子接口都有 802.1q802.1q 封装。封装。 router(config)#interface fastEthernet 0/0.1router(config)#interface fastEthernet 0/0.1 router(config-subif)#encapsulation dot1q 1router(config-subif)#encapsulation dot1q 1 router(config-subif)#ip address 192.168.10.1 255.255.255.router(config-subif)#ip address 192.168.10.1 255.255.255.

步骤步骤 44 ：使用以下命令检验：使用以下命令检验 vlanvlan 间路由的配置情况和运行情况间路由的配置情况和运行情况 show trunkshow trunk ；； show ip interface ; show ip interface brief; show show ip interface ; show ip interface brief; show

ip route ip route

7 7 维护企业网络中的维护企业网络中的 VLANVLAN VlanVlan中继协议（中继协议（ VTPVTP ））

VtpVtp 是第二层消息协议，它提供了一种从网段内的中央服务器对是第二层消息协议，它提供了一种从网段内的中央服务器对 vlanvlan 数据数据库进行分布和管理的方法。路由器不会转发库进行分布和管理的方法。路由器不会转发 VTPVTP 更新。更新。 VTPVTP 可确保网络可确保网络中的中的 vlanvlan 配置得到一致性维护，并能减少配置得到一致性维护，并能减少 vlanvlan 管理和监控方面的工作量。管理和监控方面的工作量。

VTPVTP 是一种客户端是一种客户端 // 服务器消息协议，主要用于管理在同一个域的网络范服务器消息协议，主要用于管理在同一个域的网络范围内围内 VLANsVLANs 的建立、删除和重命名。在一台的建立、删除和重命名。在一台 VTP Server VTP Server 上配置一个新上配置一个新的的 VLANVLAN 时，该时，该 VLANVLAN 的配置信息将自动传播到本域内的其他所有交换的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其机。这些交换机会自动地接收这些配置信息，使其 VLANVLAN 的配置与的配置与 VTP SVTP Servererver保持一致，从而减少在多台设备上配置同一个保持一致，从而减少在多台设备上配置同一个 VLANVLAN 信息的工作量，信息的工作量，而且保持了而且保持了 VLANVLAN 配置的统一性。配置的统一性。

每个域都有其唯一的名称。每个域都有其唯一的名称。 VTPVTP仅与同域中的交换机共享仅与同域中的交换机共享 VTPVTP 信息。信息。 VTPVTP 有两个版本：版本有两个版本：版本 11 和版本和版本 22 。第一版为默认版本，与第二版不。第一版为默认版本，与第二版不兼容。所有交换机必须使用相同版本的协议。 兼容。所有交换机必须使用相同版本的协议。

7.1 VTP7.1 VTP模式模式 VTPVTP 模式有模式有 33 种 ：种 ：

服务器模式（服务器模式（ ServerServer ）） 客户机模式（客户机模式（ ClientClient ）） 透明模式（透明模式（ TransparentTransparent ） ）

服务器模式（服务器模式（ ServerServer）） 提供提供 VTPVTP 消息：包括消息：包括 VLAN IDVLAN ID 和名字信息和名字信息 学习相同域名的学习相同域名的 VTPVTP 消息 消息 转发相同域名的转发相同域名的 VTPVTP 消息消息 可以添加、删除和更改可以添加、删除和更改 VLAN VLANVLAN VLAN 信息写入信息写入 NVRAM NVRAM

该模式为交换机的缺省模式该模式为交换机的缺省模式 建议网络中至少将两台交换机配置为服务器，以便提供备建议网络中至少将两台交换机配置为服务器，以便提供备份和冗余功能。份和冗余功能。

客户机模式（客户机模式（ ClientClient ）） 请求请求 VTPVTP 消息消息 学习相同域名的学习相同域名的 VTPVTP 消息 消息 转发相同域名的转发相同域名的 VTPVTP 消息 消息 不可以添加、删除和更改不可以添加、删除和更改 VLAN VLANVLAN VLAN 信息不会写入信息不会写入 NVNV

RAM RAM

透明模式（透明模式（ TransparentTransparent ）） 不提供不提供 VTPVTP 消息 消息 不学习不学习 VTPVTP 消息 消息 转发转发 VTPVTP 消息 消息 可以添加、删除和更改可以添加、删除和更改 VLANVLAN ，只在本地有效 ，只在本地有效 VLANVLAN 信信息写入息写入 NVRAMNVRAM

7.2 VTP7.2 VTP修订版号修订版号 加入到加入到 VTPVTP 域中的每台交换机，都会在它的中继端口上，向本域中的每台交换机，都会在它的中继端口上，向本

管理域中的其他交换机通告它的管理域中的其他交换机通告它的 LVANLVAN 、、 VTPVTP 版本号和版本号和 VLANVLAN参数。参数。 VTPVTP 的通告以的通告以组播帧组播帧的方式发送出去，域内其他交换机的方式发送出去，域内其他交换机接收这些帧，对这些信息进行处理。这样，管理域中的每个交换接收这些帧，对这些信息进行处理。这样，管理域中的每个交换机都可以了解到机都可以了解到 VLANVLAN 配置的最新变化情况。配置的最新变化情况。

值得注意的是，当一个新交换机配置了值得注意的是，当一个新交换机配置了 VTPVTP 的域和服务器模式的域和服务器模式后，交换机每隔后，交换机每隔 300300 秒，或者，每当秒，或者，每当 VLANVLAN结构发生变化时，结构发生变化时，就会通告一次。同时，监听域中其他交换机发来的就会通告一次。同时，监听域中其他交换机发来的 VTPVTP 通告，通告，当收到的当收到的 VTPVTP 的配置修改版号比交换机自己所存储的修订版号的配置修改版号比交换机自己所存储的修订版号大时，这个通告里的大时，这个通告里的 VLANVLAN 信息将覆盖掉已存储的任何信息将覆盖掉已存储的任何 VLANVLAN信息。 信息。 VTPVTP修订号存储在修订号存储在 NVRAMNVRAM中，交换机的电源开关不中，交换机的电源开关不会改变这个设定值。所以，将新的交换机添加到域中，一定要保会改变这个设定值。所以，将新的交换机添加到域中，一定要保证该交换机的修订号已经为证该交换机的修订号已经为 00。。

修改修订版号为修改修订版号为 00 的方法：的方法： 将交换机的将交换机的 VTPVTP模式变到透明模式，然后再变模式变到透明模式，然后再变回服务器或客户端模式。回服务器或客户端模式。

将交换机的将交换机的 VTPVTP 域修改为一个其他的域名（一域修改为一个其他的域名（一个不存在的域），然后再回到原来的域名。个不存在的域），然后再回到原来的域名。

使用使用 erase startup-config erase startup-config 或者 或者 erase nvraerase nvramm命令，清除交换机的配置和命令，清除交换机的配置和 VTPVTP 信息。再信息。再次启动交换机电源后，交换机将以一个并不存次启动交换机电源后，交换机将以一个并不存在的域名和一个为在的域名和一个为 00 的修订号启动。的修订号启动。

注意：注意： 向网络中添加新交换机时，如果网络中已经存向网络中添加新交换机时，如果网络中已经存

在有服务模式的交换机，要确保交换机配置为在有服务模式的交换机，要确保交换机配置为客户端模式或透明模式。客户端模式或透明模式。

或者采用为或者采用为 vtpvtp 配置口令的方法避免出现严重配置口令的方法避免出现严重的错误。的错误。

7.3 vtp7.3 vtp 修剪修剪 VTPVTP修剪修剪 (pruning)(pruning) 是是 vtpvtp 的一个功能，它能减少中继的一个功能，它能减少中继

端口不必要的信息量。端口不必要的信息量。

VTPVTP 修剪配置修剪配置 缺少情况下，发给某个缺少情况下，发给某个 VLANVLAN 的广播会送到每一个在中的广播会送到每一个在中继上承载该继上承载该 VLANVLAN 的交换机。即使交换机上没有位于那的交换机。即使交换机上没有位于那个个 VLANVLAN 的端口也是如此。的端口也是如此。 VTPVTP 能过滤修剪没有必要扩能过滤修剪没有必要扩散的散的 VTPVTP流量，提高中继的带宽利用率。仅当中继链路流量，提高中继的带宽利用率。仅当中继链路接收端上的交换机在那个接收端上的交换机在那个 VLANVLAN中有端口时，才会将该中有端口时，才会将该VLANVLAN 的广播和未知单播转发到该中继链路上。的广播和未知单播转发到该中继链路上。

c3640#vlan databasec3640#vlan database c3640(vlan)# vtp pruningc3640(vlan)# vtp pruning

7.4 7.4 配置配置 VTPVTP 当向现有当向现有 vtpvtp 域添加交换机时，配置步骤：域添加交换机时，配置步骤：

步骤一：离线配置步骤一：离线配置 vtpvtp c3640(vlan)#vtp domain vtp-serverc3640(vlan)#vtp domain vtp-server c3640(vlan)#vtp password ciscoc3640(vlan)#vtp password cisco c3640#copy running-config startup-configc3640#copy running-config startup-config

步骤二：使用命令检验步骤二：使用命令检验 vtpvtp 配置配置 Show vtp statusShow vtp status Show vtp countersShow vtp counters

步骤三：重新启动交换机步骤三：重新启动交换机 reloadreload

企业配置企业配置 VLANVLAN 做法做法做法做法 描 述描 述

服务器位置服务器位置 确保特定组所需要的所有服务器都有相同的确保特定组所需要的所有服务器都有相同的 vlanvlan 成员成员未使用的端未使用的端口口

1.1.禁用未使用的端口；禁用未使用的端口； 2.2. 将未使用的端口置于未使用的将未使用的端口置于未使用的 vlanvlan中；中；3.3. 通过不设置连接或将设备置于未使用的通过不设置连接或将设备置于未使用的 vlanvlan中来禁止未授权访中来禁止未授权访问问

管理管理 vlanvlan 1.1.默认下，管理默认下，管理 vlanvlan 和本地和本地 vlanvlan 都是都是 vlan1vlan1 ；； 2.2. 不要将不要将 vlan1vlan1用于带内管理流量；另选专用用于带内管理流量；另选专用 vlanvlan ，， 3.3. 将管理通信与用户数据和将管理通信与用户数据和协议流量隔开协议流量隔开

VlanVlan中继协中继协议议

1.1. 标准化企业内的标准化企业内的 vlanvlan 配置；配置； 2.2. 简化简化 vlanvlan 的管理和维护；的管理和维护； 3.3. 减减少少 vlanvlan 管理和维护所需要的时间管理和维护所需要的时间

VtpVtp 域域 1.1.防止管理员错误传播到整个网络的风险；防止管理员错误传播到整个网络的风险； 2.2.仔细、谨慎配置仔细、谨慎配置 vtvtpp 域；域； 3.3. 不需要的时候，关闭不需要的时候，关闭 vtpvtp 域域

VtpVtp修订版修订版号号

确保添加到网络的任何新交换机都有修订版号确保添加到网络的任何新交换机都有修订版号 00