网络设备互联技术第3章交换技术课件

1、第3章交换技术了解交换机的基本功能工作原理。了解VLAN、Trunk、VTP的基本概念并掌握其配置方法。了解端口安全的概念并掌握其配置方法。了解生成树的原理、作用及选举过程。了解子接口的概念并掌握VLAN间路由的配置。目标目录3.1交换机基础3.2VLAN、Trunk和VTP3.3端口安全3.4生成树3.5VLAN间单臂路由3.1交换机基础学习MAC地址转发/过滤Frame防止回路交换机功能：5交换机学习主机地址开机时MAC地址表是空的MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD6交换机学习

2、主机地址主机A发送数据帧给主机C交换机记录下主机A的MAC地址 对应端口E0 帧被转发到除端口E0以外的其它所有端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E0E1E2E3DCBAMAC地址表7交换机学习主机地址主机D发送数据帧给主机C交换机记录下主机D的MAC地址对应端口E3帧被转发到除端口E3以外的其它所有端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E3: 0260.8c01.

3、4444E0E1E2E3DCABMAC地址表8交换机确定转发过滤帧host A发送数据帧给主机C在地址表中有目标主机，数据帧不再泛洪而直接转发E0: 0260.8c01.1111E2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMAC地址表9主机D发送广播帧或多点帧广播帧或多点帧泛洪到除源端口外的所有端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8

4、c01.4444E0E1E2E3DCABE0: 0260.8c01.1111E2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.4444广播帧和多播帧（生存期300秒）MAC地址表10冗余网络拓扑冗余拓扑消除了由于单点故障所引起的网络问题冗余拓扑却带来了广播风暴、重复帧和MAC地址表不稳定的问题服务器/主机 X路由器 Y11 广播交换机 A交换机 B主机 X 发送一广播信息广播风暴服务器/主机 X路由器 Y12 广播交换机 A交换机 B主机 X 发送一广播信息广播风暴服务器/主机 X路由器 Y13 广播交换机不停地发出广播信息广播风暴交换机 A交

5、换机 B服务器/主机 X路由器 Y14重复帧 单点帧主机X发送一单点帧给路由器Y路由器Y的MAC地址还没有被Switch A和B学习到交换机 A交换机 B主机 X路由器 Y15 单点帧主机X发送一单点帧给路由器Y路由器Y的MAC地址还没有被Switch A和B学习到路由器Y会收到同一帧的两个拷贝单点帧 单点帧重复帧交换机 A交换机 B服务器/主机 X路由器 Y16单点帧 单点帧主机X发送一单点帧给路由器Y路由器Y的MAC地址还没有被Switch A和B学习到端口 0端口1端口0端口1MAC地址表不稳定交换机 A交换机 B主机 X路由器 Y17 UnicastX发送一单点帧给YA和B没有Y的MA

6、C地址A和B都学习到X的MAC地址对应E0到Y的帧在A和B上被扩散MAC地址表不稳定 单点帧端口 0端口1端口1端口0交换机 A交换机 B主机 X路由器 Y端口2端口218每个网络只能有一个根网桥每个非根网桥只能有一个根端口每段只能有一个指定端口根端口和指定端口都是Forwarding其他端口为Blocking*生成树协议的规则(解决环路问题)配置IP地址（交换机）wg_sw_2950(config)#interface vlan 1wg_sw_2950(config-if)#ip address 10.5.5.11 255.255.255.0 wg_sw_2950(config)interf

7、ace vlan 1wg_sw_2950(config-if)#ip address ip_address maskConfigures an IP address and subnet mask for the switch VLAN1 interface Catalyst 295020Showing the Switch IP AddressCatalyst 2950wg_sw_2950#show interface vlan 1Vlan1 is up, line protocol is up Hardware is Cat5k Virtual Ethernet, address is 0

8、010.f6a9.9800 (bia 0010.f6a9.9800) Internet address is 172.16.80.79/24 . . .wg_sw_2950#21双工模式Half Duplex (CSMA/CD)HUB工作在半双工模式同时只有一个方向传输数据 Full Duplex交换机工作在全双工100M的交换机在全双工的模式可以在 每个方向达到100M的带宽22设置双工Catalyst 2950wg_sw_2950(config)#interface fa0/1wg_sw_2950(config-if)#duplex auto | full | half23ABCD物理层

9、所有设备在同一冲突域所有设备在同一广播域所有设备共享相同的带宽集线器和交换机的区别24集线器：同一个冲突域接入设备越多冲突机率越大用CSMA/CD技术Carrier Sense, Multiple Access with Collision DetectionABC25每port有自己的冲突域所有的port都在同一广播域数据链路层或123124交换机和网桥运行在链路层26交换机每个端口有自己的冲突域广播包向所有port转发缓冲区交换273.2.1 VLAN简介 构建VLAN之前VLAN 概述-虚拟局域网 (VLAN) -让网络管理员建立多组逻辑上联网的设备VLAN简介VLAN优点-安全-成本降

10、低 -性能提高-广播风暴防范-提高IT员工的效率-简化项目管理或应用管理VLAN简介VLAN 特性VLAN的类型 常见的 VLAN 术语数据 VLAN默认 VLANVLAN的类型 常见的 VLAN 术语管理 VLAN本征 VLANVLAN的类型一个 VLAN具备一个LAN的所有特征 ，因此 VLAN 必须像 LAN 一样处理网络流量网络传输类型-网络管理和传输控制. VLAN的类型网络流量类型-IP 电话VLAN的类型网络流量类型IP 组播VLAN的类型网络流量类型-普通数据交换机端口成员资格模式VLAN 交换机端口模式-静态 VLAN 交换机上的端口以手动方式分配给 VLAN-动态 VLAN

11、-使用 VMPS 可以根据连接到交换机端口的设备的源 MAC 地址，动态地将端口分配给 VLAN-语音 VLAN 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话交换机端口成员资格模式交换机端口模式配置交换机端口成员资格模式语音模式配置通过 VLAN控制广播域没有VLAN 时的网络广播通过 VLAN控制广播域划分了VLAN的网络广播为交换机配置 VLAN 后，特定 VLAN 中的主机所发出的单播流量、组播流量和广播流量，其传输均仅限于该 VLAN 中的设备.细分广播域可以通过 VLAN（在交换机上）也可以通过路由器完成。无论是否使用 VLAN，位于不同第 3 层网络的设备都必须通过

12、路由器才能通信VLAN 内通信:通过 VLAN控制广播域通过交换机和路由器控制广播域VLAN 间通信 通过 VLAN控制广播域通过 VLAN 和第 3 层转发来控制广播域-换机虚拟接口 (SVI) 技术允许第 3 层交换机在 VLAN 之间路由数据传输3.2.2VLAN 中继VLAN 中继？VLAN 中继的定义-中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量-VLAN 中继可让 VLAN 扩展到整个网络上-Cisco 支持使用 IEEE 802.1Q 来协调快速以太网接口和千兆以太网接口-VLAN 中继不属于具体某个 VLANVLAN 中继中继能解决什么问题？不使用VLAN

13、 中继使用VLAN 中继VLAN 中继802.1Q 帧标记-交换机根据以太网帧头信息来转发数据包-802.1Q 封装帧头 VLAN 标记字段详细信息-VLAN 标记字段包含一个 EtherType（以太类型）字段、一个标记控制信息字段和 FCS 字段VLAN 中继本征 VLAN 和 802.1Q 中继 VLAN 中继本征VLAN 配置举例本征 VLAN检验VLAN 中继工作方式中继工作例子PC1发送广播给VLAN10的主机PC3发送广播给VLAN30的主机S2是配置了Trunk的交换机，给每个数据帧打标S1和S2之间的Trunk上传输打标的数据帧并且发送到相应的VLAN10和VLAN30的端口

14、S1和S3之间的Trunk上传输打标的数据帧S3把非打标数据帧发送到正确端口上中继模式IEEE and ISL-IEEE 802.1Q 中继端口同时支持有标记流量和无标记流量. -在 ISL 中继端口上，所有收到的数据包都应该封装有 ISL 帧头，并且所有发送的数据包也都有 ISL 帧头。从 ISL 中继端口收到的本征帧（无标记帧）会被丢弃。ISL 是不再建议使用的一种中继端口模式，许多 Cisco 交换机也不再支持该模式中继模式DTP-DTP（动态中继协议）是 Cisco 的专有协议。当交换机端口上配置了某些中继模式后，此端口上会自动启用 DTP。中继模式-开启（默认）.-动态自动-动态期望

15、.-关闭 DTP3.2.3VTP VLAN 管理难题-VTP在网络中管理VLAN和中继-VTP 是自动学习VLAN和中继的方法，因此你不用手工配置何谓VTP? VTP 服务器或 VTP 客户端VTP 仅获知普通范围内的 VLAN（VLAN ID 为 1 到 1005）。VTP 不支持此范围以外的 VLAN（即 ID 大于 1005 的 VLAN）VTP 的优点VTP 要素-VTP 域 -VTP 通告-VTP 模式-VTP服务器r-VTP 客户端 -VTP 透明 -VTP 修剪 VTP 域 1VTP域 2默认VTP 配置VTP 版本-TP 有三个版本：第 1 版、第 2 版和第 3 版-在一个

16、VTP 域中仅允许使用一个 VTP 版本-默认版本为 VTP 第 1 版-Cisco 2960 交换机支持 VTP 第 2 版，但该功能处于禁用状态默认VTP 配置显示 VTP 状态-使用show VTP status 命令VTP域VTP 域-案例拓扑及输出情况如下：VTP域VTP 域名传播-域名传播需要使用三个 VTP 要素：服务器、客户端和通告-Cisco 建议对域名配置功能启用口令保护Domain=cisco1Domain=cisco1Domain=cisco1VTP 通告VTP帧结构-VTP数据帧结构示意VTP 通告VTP 帧详细信息目的 MAC 地址 该地址设置为 01-00-0C-

17、CC-CC-CC，这是为所有 VTP 消息保留的组播地址。LLC 字段 逻辑链路控制 (LLC) 字段包含目的服务接入点 (DSAP) 和源服务接入点 (SSAP)，两者的值都是 AA。SNAP 字段 子网访问协议 (SNAP) 字段，该字段的 OUI 设置为 AAAA，类型设置为 2003。VTP 消息字段 根据消息类型而变化VTP 帧头字段 此字段的内容取决于 VTP 消息类型（总结、子集或请求），但其中始终包含以下 VTP 字段：域名 标识交换机的管理域。域名长度 域名的长度。版本 设置为 VTP 1、VTP 2 或 VTP 3。Cisco 2960 交换机仅支持 VTP 1 和 VTP

18、 2。配置修订版号 交换机的当前配置修订版号。VTP 通告VTP 消息内容VTP 通告VTP 修订版号-配置修订版号代表 VTP 帧的修订级别，它是一个 32 位的数字-交换机的默认配置号为零-注：VTP 域名改变不会导致修订版号递增。此操作会将修订版号重置为零-配置修订版号用于确定从另一台启用 VTP 的交换机上收到的配置信息是否比储存在本交换机上的版本更新VTP 通告VTP 通告-总结通告-子集通告VTP 通告请求通告当向相同 VTP 域中的 VTP 服务器发送请求通告时，VTP 服务器的响应方式是：先发送总结通告，接着送出子集通告。当发生以下情况时，将发送请求通告：VTP 域名变动交换机

19、收到的总结通告包含比自身更高的配置修订版号子集通告消息由于某些原因丢失交换机被重置VTP 通告VTP 通告详细信息总结通告VTP 通告子集通告VTP 通告请求通告VTP 模式VTP 模式概述VTP 模式VTP 的作用方式802.1Q TrunksVTP 修剪VTP 修剪-修剪功能默认为禁用-启动vtp 修剪 使用命令： vtp pruning VTP 修剪VTP 修剪的作用方式-没有使用VTP 修剪前VTP 修剪VTP 修剪的作用方式-使用VTP 修剪后VTP 修剪启动VTP 修剪 案例拓扑：3.3 端口安全 端口安全的作用是只允许某些特定MAC地址访问交换机端口。交换机可以动态获取这些地址，

20、也可以配置这些地址。配置了端口安全的端口仅能从已获取的地址或已配置的地址接收帧。在所有交换机端口上实施安全措施，以：在端口上指定一组允许的有效MAC地址只允许一个MAC地址访问端口指定端口在检测到未经授权的MAC地址时自动关闭 75配置端口安全性安全MAC地址有以下类型：-静态安全MAC地址：静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中，并添加到交换机的运行配置中。-动态安全MAC地址：动态MAC地址是动态获取的，并且仅存储在地址表中。以此方式配置的MAC地址在

21、交换机重新启动时将被移除。-粘滞安全MAC地址：可以将端口配置为动态获得MAC地址，然后将这些MAC地址保存到运行配置中。 76配置端口安全性粘滞安全MAC地址有以下特性：-动态学习，转换为存储在运行配置中的粘滞安全MAC地址。-禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。-当交换机重新启动时，粘滞安全MAC地址将会丢失。-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。-禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。 77端口安全默认配置 配置端口安全性78配置端口安全性79在Cisco Catalyst交

22、换机上配置端口安全性 配置端口安全性80在Cisco Catalyst交换机上启用粘滞端口安全性 配置端口安全性81验证端口安全性 配置端口安全性82常见安全攻击禁用未使用的端口 一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。3.4 生成树（STP） 冗余功能 第 2 层冗余功能通过添加设备和电缆来实现备用网络路径，从而提升网络可用性。 当有多条网络路径可用于数据传输时，即使一条路径失效，也不会影响网络上设备的连通性。冗余功能存在的问题广播风暴:环路网络中不可避免的会产生广播风暴。随着越来越多的设备向网络中发送广播，卷入环路的流量也越来越多，最终形成

23、广播风暴，导致网络中断。重复的单播帧:广播帧并不是会受环路影响的唯一一种帧。发送到环路网络的单播帧也可能造成目的设备收到重复的帧。3.4.1 生成树的作用：冗余功能可防止网络因单个故障点（例如网络电缆或交换机故障）而无法运行，以此提升网络拓扑的可用性。 向第 2 层设计引入冗余功能时，环路和重复帧现象也可能随之而出现。环路和重复帧对网络有着极为严重的影响。 生成树协议 (STP) 便旨在解决这些问题。一般STP操作STP 可以弥补网络故障所带来的问题生成树的作用STP 会特意阻塞可能导致环路的冗余路径，以确保网络中所有目的地之间只有一条逻辑路径。当一个端口阻止流量进入或离开时，该端口便视为处于

24、阻塞状态。阻塞冗余路径对于防止网络环路非常关键。为了提供冗余功能，这些物理路径实际依然存在，只是被禁用以免产生环路。一旦需要启用此类路径来抵消网络电缆或交换机故障的影响时，STP 就会重新计算路径，将必要的端口解除阻塞，使冗余路径进入活动状态。3.4.2 生成树操作规则：STP 使用生成树算法 (STA) 计算网络中的哪些交换机端口应配置为阻塞才能防止环路形成。STA 会将一台交换机指定为根桥，然后将其用作所有路径计算的参考点。所有参与 STP 的交换机互相交换 BPDU 帧，以确定网络中哪台交换机的网桥 ID (BID) 最小。BID 最小的交换机将自动成为 STA 计算中的根桥。BPDU

25、是运行 STP 的交换机之间交换的消息帧。每个 BPDU 都包含一个 BID，用于标识发送该 BPDU 的交换机。BID 内含有优先级值、发送方交换机的 MAC 地址以及可选的扩展系统 ID。BID 值的大小由这三个字段共同决定。3.4.3 生成树的决策及选举过程到根桥的最佳路径开销到根桥的最佳路径开销 - 配置端口开销到根桥的最佳路径开销 - 路径开销选举过程到根桥的最佳路径开销 检验端口和路径开销STP BPDUBPDU 字段STP BPDU广播域中的每台交换机最初都会将自己视为生成树实例中的根桥，因此其送出的 BPDU 帧中将自己的 BID 作为根 ID。默认情况下，BPDU 帧是在交换

26、机启动后每 2 秒发送一次，也就是说 BPDU 帧中 hello 计时器的默认值是 2 秒。每台交换机都维护着有关其 BID、根 ID 以及到根桥的路径开销的本地信息。STP BPDU当邻接交换机收到 BPDU 帧时，它们会将 BPDU 帧内的根 ID 与本地根 ID 比较。如果 BPDU 中的根 ID 比本地根 ID 更小，交换机便更新本地根 ID 以及它送出的 BPDU 消息内的根 ID。这些消息的作用是告诉网络新的根桥。此外，路径开销也会更新，以指出到根桥的距离。STP BPDU交换机的根 ID 更新后，其送出的所有后续 BPDU 帧都会包含新的根 ID 以及更新后的路径开销。通过这种方

27、式，所有其它邻接交换机就能始终看到最小的根 ID。随着 BPDU 帧在其它邻接交换机之间传递，路径开销也不断更新，以指示到根桥的总路径开销。生成树中的每台交换机使用其路径开销来指示到根桥的最佳可能路径。网桥 ID网桥 ID (BID) 用于确定网络中的根桥。配置并检验 BID端口角色在生成树过程中，交换机端口会被自动配置为四种不同的端口角色。头脑风暴: 让我们做个改动! 端口角色128.1?128.2? 端口角色why? 端口角色STP 端口状态和 BPDU 计时器STP 收敛 步骤 1.选举根桥步骤 2.选举根端口3.选举指定端口和非指定端口 STP 拓扑更改当转发端口关闭（例如被阻塞）或某

28、端口在交换机已具有指定端口的情况下转换为转发状态时，交换机会认为自己检测到了拓扑更改。如果检测到更改，交换机会通知生成树的根桥。然后根桥将该信息广播到整个网络。3.4.6 增强型VLAN生成树(Per-VLAN Spanning Tree plus，PVST+) PVST+PVST+ 和 PVST+ 网桥 ID PVST+主根桥和次根桥PVST+ 交换机优先级 PVST+ 检验 Show Run RSTP RSTP边缘端口RSTP 边缘端口是指永远不会用于连接到其它交换机设备的交换机端口。当启用时，此类端口会立即转换到转发状态。链路类型链路类型用于将参与 RSTP 的每个端口分类。链路类型可预

29、先确定待命端口要扮演的活动角色，以便在满足特定条件时端口立即转换到转发状态。边缘端口和非边缘端口需满足不同的条件。非边缘端口分类为两种链路类型：点对点和共享。链路类型是自动确定的，但可以使用显式端口配置覆盖。 链路类型RSTP 端口状态和端口角色配置快速 PVST+ 配置快速 PVST+Configuring rapid PVST+ 验证 Show Run精心规划STP3.5 VLAN间路由 每个 VLAN 都是独立的广播域，所以在默认情况下，不同 VLAN 中的计算机之间无法通信。 允许此类终端间通信的方法，称为 VLAN 间路由。我们将 VLAN 间路由定义为使用路由器从一个 VLAN 向另一个 VLAN 转发网络流量的过程。 传统上的 LAN 路由通过有多个物理接口的路由器实现。 各接口必须连接到一个独立网络，并配置不同的子网。 “单臂路由器”是通过单个物理接口在网络中的多个 VLAN 之间发送流量的路由器配置。 如图所示，路由器与交换机 S1 通过单