关于网络规划中的VTP问题。

你好，你先把2台连接交换机的直连线的端口都配置在trunk模式下，你在服务器上配置vlan而看不见每个vlan包含哪些端口，这是正常的。你在服务器配置vlan就是让客户端把vlan划分的端口的。 我有个一个百度知道的解答，我把链接发给你，里面有三层交换机、vtp和实现不同vlan间的通信。
希望能解决你的疑问。

VTP（VLAN Trunking Protocol）
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息
当使用多重名字VLAN能变成交叉--连接。
当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。
VTP模式
当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。
一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。
例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。
在交换机自动转到VTP的Client模式后，它会传送广播信息并从广播中学习新的信息。但是，不能通过MIB、CLI、或者控制台来增加、删除、修改VLAN。VTP Client端不能保持VLAN信息在非易失存储器中。当启动时，它会通过Trunk网络端口接受广播信息，学习配置信息。
在VTP透明的模式，交换不做广播或从网络学习VLAN配置。当一个交换机是在VTP透明的模式，能通过控制台、CLI、MIB来修改、增加、删除VLAN。
为使每一个VLAN能够使用，必须使VTP知道。并且包含在Trunk port 的准许列表中，一个快速以太网ISL Trunk自动为VLAN传输数据，并且从一个交换机到另一个交换机。
需要注意的是如果交换在VTP Server模式接收广播包含128多个VLAN，交换自动地转换向VTP Client模式。
更改交换机从VTP Client模式向VTP透明的模式，交换机保持初始、唯一128VLAN并删除剩余的VLAN。
传送VTP信息
每个交换机用VTP广播Trunk端口的管理域，定义特定的VLAN边界，它的配置修订号，已知VLAN和特定参数。在一个VTP管理域登记后交换机才能工作。
通过Trunk，VTP Server向其它交换机传输信息和接收更新。VTP Server也在NVRAM中保存本VTP管理域信息中 VLAN的列表。 VTP能通过统一的名字和内部的列表动态显示出管理域中的VLAN。
VTP信息在全部Trunk连接上传输，包括ISL、IEEE80210、LANE。VTP MIB为VTP提供SNMP工具，并允许浏览VTP参数配置。
VTP建立共用的配置值和分布下列的共用的配置信息:
VLAN IDs（ISL）
仿效LAN的名字（ATM LANE）
IEEE80210 SAID值（FDDI）
VLAN中最大的传输单元（MTU）大小
帧格式
VTP协议用来确保配置的一致性，VTP的具体优点如下：
。保持了VLAN的一致性
。提供从一个交换机到另一个交换机在整个管理域中增加虚拟局域网的方法
VTP协议是思科的专用协议，大多数的Catalys交换机都支持该协议，VTP可以减少VLAN的相关管理任务。
在VTP域中有两个重要的概念：
。VTP域：也称VLAN管理域，由一个以上共享VTP域名的相互连接的交换机组成的。也就是说VTP域是一组域名相同并通过中继链路相互连接的交换机
。VTP通告：在交换机之间用来传递VLAN信息的数据包被成为VTP数据包

vlan配置
一vlan介绍:
vlan 称为虚拟局域网[virtual lan],在一个交换机或者几个交换机中,将部分端口划分为
指定编号的网络中,其它端口划分在另外指定编号网络中,形成逻辑上的局域网划分
被划分后的端口,如果不在同一个网络,则不能通讯,包括广播也不能到达
vlan之间,不能通讯,除非添加单臂路由进行通讯
网管交换机在没有配置时,所有的端口均在 1 号vlan, 交换机默认会提供
vlan1 vlan1002 vlan1003 vlan1004 vlan1005
在同一个交换机上的vlan建立及端口划分:
在全局配置模式下,采用命令
vlan 编号 --->建立指定编号的vlan编号范围应在 1 -- 1005
其中默认情况下,所有接口均在 vlan1中,同时交换机还存在
1002 1003 1004 1005 等四个vlan
如 vlan 100
确定后,直接进入vlan配置模式
在vlan配置模式下,采用
name 具体说明 --->为当前vlan添加名称
如 name cwnet
完成后用exit 返回全局模式,并采用
interface 接口名 --->进入交换机指定接口模式
在接口模式,采用
switchport access vlan 编号 --->将当前端口归属于指定编号的vlan
在多个交换机上进行vlan划分:
1说明:
某一个vlan,其可能出现属于该vlan的交换机端口,分别处于不同的交换机中
2vtp协议:
虚拟局域网中继协议(主干协议)
主要用于vtp服务器与vtp客户机之间的vlan消息通讯
<1>vtp服务器:
是当前网络中某一台交换机,主要用于vlan的创建,删除,修改等
vtp服务器只有一台,其向网络中,其它的交换机发送vlan信息
默认情况下,所有的网管交换机均为 vtp 服务器
<2>vtp客户机:
用于接收vtp服务器所发来的vlan消息
其不允许创建修改删除vlan,只允许将交换机某些接口添加到vtp服务器所创建的
指定vlan中
<3>中继接口(主干接口):
在vtp服务器和vtp客户机中，用于连接上一级交换机的端口。
并且vtp服务器所创建的vlan，需要通过该接口进行传输与通讯。
该接口通常可视为级连接口
<4>vtp修剪:
某一台计算机发广播时，通过vtp修剪，只允许其广播到与其在同一个vlan的交换机端口。
而不会广播到其它端口。
3具体配置方法：
<1>选择一台交换机作为vtp服务器,余下的全部作为vtp客户机
<2>vtp服务器配置：
将交换机模式更改为vtp服务器
全局模式 => vtp mode server
为该vtp服务器所管理的区域，定义一名称
全局模式 => vtp domain 名称
在该服务器中，建立vlan
vlan 编号
name vlan名称
进入中继接口配置模式
switchport mode trunk --->将该接口设定为中继接口(主干接口)
进入某它交换机接口配置模式
switchport access vlan 编号 --->将该接口归属到指定vlan中
四访问控制列表的建立方法(标准型访问控制列表)
在全局配置模式下,通过命令
access-list 编号 permit|deny 源地址或源网络 子网掩码通配符
编号 --> 标准型访问控制列表编号为 1 -- 99
permit --> 允许
deny --> 拒绝
注: 所有的访问控制列表的末尾,均存在一条隐式语句,即 deny any -->拒绝所有
因此,只需要在访问控制列表中添加对应的允许语句即可
源地址或源网络 -->即一个具体的发送端IP地址,或者是一个发送端所在的网络号
如 19216812
2119810
子网掩码通配符:
通配符,主要用于确定IP地址或网络号的对应位上,哪些位必须匹配
方法: 将IP地址或网络号全部转为二进制,同时将掩码通配符也转为二进制,然后再比较
如果掩码通配符上的位为 0 ,则对应的IP地址位或网络号位必须与标准相同
如 19216812 0000 -->完整的IP地址 19216812
11000000101010000000000100000010 ->IP
00000000000000000000000000000000 ->通配符
计算: 可以将255255255255 减去 对应的子网掩码,可得通配符
例: 1921681100 0000 -->一个具体的IP地址
如果是具体的IP地址,同时也可以写为 host 1921681100
19216811 000255 -->IP地址的最后一段可以任意取值,因此其代表
1921681网络
0000 255255255255 -->所有网络
注: 所有网络,在路由器中又可以采用 any 表示
注: 子网掩码通配符,只能应用于访问控制列表中,以及ospf路由协议中
五将建立完成的标准型访问控制列表绑定的指定接口的出站或入站上
注: 路由器的每个接口,都存在双向数据流,即出站数据与入站数据
路由器的每个接口,都只能绑定一个访问控制列表,当然每个访问控制列表中,允许存在多条
控制语句
具体方法:
应在具体的接口模式下进行配置
如 int s0
ip access-group 1 in -->在s0接口的入站上绑定1号访问控制列表
如 int e0
ip access-group 2 out -->在e0接口的出站上绑定2号访问控制列表
例:
access-list 1 permit host 19216822
access-list 1 permit host 19216832
int e0
ip access-group 1 out
例:
access-list 1 deny host 19216822
access-list 1 deny host 19216832
access-list 1 permit any
int e0
ip access-group 1 in
六在路由器中建立访问控制列表,并且把访问控制列表绑定在路由器的telnet数据流上
将访问控制列表绑在telnet上,主要是为了安全,防止其他人恶意进行telnet到当前路由器
在全局模式建立访问控制列表
access-list 1 permit host 19216832
开启路由器允许telnet功能
line vty 0 4
login
password 123456
将访问控制列表绑定在路由器telnet 的入站数据流上
在 line vty 模式下
access-class 1 in -->1即为指定的访问控制列表
七扩展型访问控制列表的建立方法:
说明:扩展型访问控制列表,可以除了进行源地址检测以外,还可以进行网络协议,目标地址,目标端口的
检测
方法:
[全局配置模式]
access-list 编号 permit|deny 网络协议 源地址 目标地址 比较运算符 目标端口
说明:
编号 --> 100 到 199
permit | deny --> 允许或拒绝
网络协议 --> ip 所有的协议或所有的IP数据流
tcp 传输控制协议,其可用于传输如 >