邢台职业技术学院在交换机上构建安全隔离的部门间网络.ppt

3.1 任务描述,第3章 在交换机上构建安全隔离的部门间网络,某学院计算机系、机电工程系、财务处、学生机房分组建了自己的局域网，其中在信息大楼主要为计算机系办公场所，机电大楼为机电工程系办公大楼，实验中心为学生机房，并且有计算机系和财务处办公场所，财务处在学校办公楼办公。随着学校信息化建设的深入，人员交流越来越频繁，在各个办公场所都可能出现其它部门的人员。为了网络安全，把计算机系、机电工程系、财务处、学生机房各自分别位于不同的子网，并且部门内部可以互相访问。,3.2 相关知识,第3章 在交换机上构建安全隔离的部门间网络,3.2.1 VLAN简介,3.2.2 静态VLAN配置,3.2.3 部署VLAN,3.2.4 VLAN中继,3.2.5 标识VLAN帧,3.2.6 VLAN数据帧的传输,3.2.7 配置VLAN中继,1.虚拟局域网的概念,3.2.1 VLAN简介,虚拟局域网（Virtual LAN，简称VLAN）是一种逻辑广播域，可以跨越多个物理LAN网段。VLAN是以局域网交换机为基础，通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术，其最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。虚拟局域网可以在一个交换机或者跨交换机实现。 VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器在同一VLAN内，不管物理连接和位置在哪里。,3.2.1 VLAN简介,VLAN是一个逻辑上独立的IP子网。多个IP网络和子网可以通过VLAN存在于同一个交换网络上。 在IEEE802.1Q标准中对虚拟局域网是这样定义的：虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。每一个虚拟局域网的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。利用以太网交换机可以很方便地实现虚拟局域网。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。,1.虚拟局域网的概念,3.2.1 VLAN简介,3.2.1 VLAN简介,图3.1中使用了四个交换机的网络拓扑结构。有9台计算机分布在三个楼层中，构成了三个局域网，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但这9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即： VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。,1.虚拟局域网的概念,2. VLAN的优点,3.2.1 VLAN简介,（1）有利于优化网络性能,（2）提高了网络的安全性,（3）便于对网络进行管理和控制,（4）提供了基于第二层的通信优先级服务,3. VLAN成员资格模式,3.2.1 VLAN简介,（1）静态VLAN 由网络管理员以手工方式将交换机端口分配给VLAN，因此是静态的。即在交换机上将其某一个端口分配给特定VLAN，在这种情况下，VLAN是基于物理交换机端口的，终端用户设备根据其连接的物理端口被分配到相应的VLAN中，并且将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN，是目前实现VLAN的主要方法。,3. VLAN成员资格模式,3.2.1 VLAN简介,（1）静态VLAN 网络管理员以手工方式将交换机端口分配给VLAN时，每个端口获得一个端口VLAN ID，将其同VLAN号关联起来。可将同一台交换机上的端口分成多个VLAN。即使两台计算机连接到同一台交换机，如果它们连接的是属于不同VLAN的端口，数据流也不会在它们之间传输。为执行这项功能，可使用第3层设备来路由分组，也可使用外部的第2层设备在两个VLAN之间桥接分组。,3. VLAN成员资格模式,3.2.1 VLAN简介,（1）静态VLAN 基于端口的VLAN也就是根据以太网交换机的端口来划分广播域。即分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。终端设备连接到端口时，自动获得VLAN连接性。,3. VLAN成员资格模式,3.2.1 VLAN简介,（2）动态VLAN 动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。,1.VLAN ID范围,3.2.2 静态VLAN配置,在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。在本项目中不使用VTP干线协议。,首先，如果VLAN不存在，必须在交换机上创建它。然后将交换机端口分配给VLAN。VLAN总是使用VLAN ID号来引用的。VLAN ID在数字上分为普通范围和扩展范围。,1.VLAN ID范围（1）普通范围的 VLAN,3.2.2 静态VLAN配置,普通范围的VLAN具有以下特点： 用于中小型商业网络和企业网络。 VLAN ID范围为1到1005。从1002到1005的ID保留供令牌环VLAN和FDDI VLAN使用。 ID 1和ID 1002到1005是自动创建的，不能删除。 配置存储在名为vlan.dat的VLAN数据库文件中，vlan.dat文件则位于交换机的闪存中。 用于管理交换机之间VLAN配置的VLAN中继协议(VTP)只能识别普通范围的VLAN，并将它们存储到VLAN数据库文件中。,1.VLAN ID范围（2）扩展范围的VLAN,3.2.2 静态VLAN配置,为与IEEE 802.1Q标准兼容，Cisco Catalyst IOS还支持扩展的VLAN编号。 可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大，从而需要使用扩展范围的VLAN ID。 VLAN ID 范围从1006到4094。 支持的VLAN功能比普通范围的VLAN更少。 保存在运行配置文件中。 VTP无法识别扩展范围的VLAN。,2. 配置静态VLAN,3.2.2 静态VLAN配置,（1）配置VLAN 的ID和名字 配置VLAN最常见的方法是在每个交换机上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch(config)#vlan vlan-id 其中：Vlan-id是配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。 Switch(config-vlan)#name vlan-name 定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。,2. 配置静态VLAN,3.2.2 静态VLAN配置,（2）分配端口 在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态接入端口。 在接口配置模式下，分配VLAN端口命令为： Switch(config)#interface type mod/num Switch(config-if)#switchport Switch(config-if)#switchport mode Switch(config-if)#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。,3. 检验VLAN配置,3.2.2 静态VLAN配置,配置VLAN后，可以使用Cisco IOS show命令检验VLAN配置。 switch#show vlan brief | id vlan-id | name vlan-name | summary switch#show interfaces interface-id | vlan vlan-id | switchport,4. 添加、更改和删除VLAN,3.2.2 静态VLAN配置,为了把一个端口移到一个不同的VLAN中，要用一个和初始配置相同的命令。在接口配置模式下使用switchport access命令来执行这项功能。无须将端口移出VLAN来实现这项转换。 在接口配置模式下，使用no switchport access vlan 命令，可以将该端口重新分配到默认VLAN（VLAN 1）中。,1. 端到端VLAN,3.2.3 部署VLAN,端到端VLAN也称园区级VLAN，它跨越整个网络的交换结构，用于为终端设备提供最大的机动性和灵活性。无论位于什么位置，都可以将其分配到VLAN。用户在园区内移动时，其VLAN成员资格保持不变。这意味着必须使VLAN在每个交换模块的接入层都是可用的。 端到端VLAN应根据需求将用户分组，在同一个VLAN中，所有用户的流量模式都必须大致相同，并遵循8020规则。即，大约80的用户流量是在本地工作组内，只有20前往园区网中的远程资源。虽然，在VLAN中只有20的流量将通过网络核心，但端到端VLAN使得VLAN内的所有流量都可能通过网络核心。,2.本征VLAN,3.2.3 部署VLAN,目前，大多数企业得基本符合2080规则，即只有20的流量是本地的，80的流量将穿过核心层前往远程资源。终端用户经常需要访问其VLAN外面的资源，用户必须频繁地经过网络核心。在这种网络中，应根据地理位置来设计VLAN，而不考虑离开VLAN的流量。 本征VLAN的规模可以小到配线间中的单台交换机，也可大到整栋建筑物。通过这种方式安排VLAN，可以在园区网中使用第3层功能来智能处理VLAN之间流量负载。这种方案提供了最高的可用性（使用多条前往目的地的路径）、最高的扩展性（将VLAN限制在交换模块内）和最高的可管理性。,3.2.4 VLAN中继,3.2.4 VLAN中继,用于实现各VLAN在交换机间通信的链路，称为VLAN中继（trunk），中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量。,3.2.5 标识VLAN帧,标识VLAN帧,交换机间链路（ISL）协议,IEEE 802.1Q协议,1. 交换机间链路（ISL）协议,3.2.5 标识VLAN帧,交换机间链路（ISL）协议是Cisco公司私有的协议，当有数据在多个交换机间流动的时候，它控制VLAN信息并且使这些交换机互联起来。 ISL是专用的用于在Trunk链路上标记不同VLAN数据流的一种数据链路层协议。通过在中继链路上配置ISL使得来自不同VLAN的数据流能够复用该链路。ISL工作在数据链路层，即在第2层执行帧标识：使用帧头和帧尾来封装帧。通过重新封装数据帧以获得独立于协议的能力。配置了ISL的Cisco交换机和路由器都能处理和识别ISL VLAN信息。ISL主要用于以太网介质。,2. IEEE 802.1Q协议,3.2.5 标识VLAN帧,IEEE 802.1q也在中继链路上使用本征VLAN，属于该VLAN的帧不使用任何标记信息进行封装。如果终端连接的是802.1Q中继链路,它将只能够接收和理解本征VLAN帧。这样，为能够理解802.1Q的设备提供了完整的中继封装，同时通过中继链路为常规接入设备提供了固有的连接性。 对于以太网帧，802.1Q在帧格式中源地址字段后面插入一个4字节的标识符，称为VLAN标记，也称为tag域，用来指明发送该帧的工作站属于哪一个VLAN。如图3.5所示。如果还使用传统的以太网帧格式，那么就无法划分VLAN。,2. IEEE 802.1Q协议,3.2.5 标识VLAN帧,3. 动态中继协议,3.2.5 标识VLAN帧,在Catalyst交换机上，可以手工将中继链路配置为ISL或802.1Q模式。另外，Cisco还实现了一种点到点协议，被称为动态中继协议（DTP），他在两台交换机之间协商一种双方都支持的中继模式。协商包括封装（ISL或802.1Q）以及是否将链路作为中继链路。这样就不需进行大量的手工配置和管理，就能够使用中继链路。,3.2.6 VLAN数据帧的传输,目前任何主机都不支持带有Tag域的以太网数据帧，即主机只能发送和接收标准的以太网数据帧，而将VLAN数据帧视为非法数据帧。所以支持VLAN的交换机在与主机和交换机进行通信时，需要区别对待。当交换机将数据发送给主机时，必须检查该数据帧，并删除tag域。而发送给交换机时，为了让对端交换机能够知道数据帧的VLAN ID，它应该给从主机接收到的数据帧增加一个tag域后再发送，其数据帧传输过程中的变化如图3.6所示。,3.2.6 VLAN数据帧的传输,3.2.6 VLAN数据帧的传输,当交换机接收到某数据帧时，交换机根据数据帧中的tag域或者接收端口的缺省VLAN ID来判断该数据帧应该转发到哪些端口，如果目标端口连接的是普通主机，则删除Tag域（如果数据帧中包含tag域）后再发送数据帧；如果目标端口连接的是交换机，则添加Tag域（如果数据帧中不包含tag域）后再发送数据帧。为了保证在交换机之间的trunk链路上能够接入普通主机，以太网将还能够当检查到数据帧的VLAN ID和Trunk端口的缺省VLAN ID 相同时，数据帧不会被增加tag域。而到达对端交换机后，交换机发现数据帧中没有tag域时，就认为该数据帧为接收端口的缺省VLAN数据。,3.2.6 VLAN数据帧的传输,根据交换机处理数据帧的不同，可以将交换机的端口分为两类： Access端口：只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。 Trunk端口：既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,1.配置VLAN中继,3.2.7 配置VLAN中继,（1）switch(config)#interface type mod/num （2） 要支持中继，交换机端口必须处于第2层模式。要设置为第2层模式，可执行命令switchport，并不指定任何关键字。 switch(config-if)#switchport （3）switch(config-if)#switchport trunk encapsulateion ISL | dot1q | negotiate （4）switch(config-if)#switchport mode trunk | dynamic desirable | auto ,2. 静态指定trunk链路中的VLAN,3.2.7 配置VLAN中继,（1）设置不允许通过trunk链路的VLAN 在配置前，首先应使用interface配置命令选中trunk链路端口，然后再从trunk链路中删除指定的VLAN，即不允许这些VLAN的通信流量通过trunk链路。配置命令为： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan remove vlan-list,2. 静态指定trunk链路中的VLAN,3.2.7 配置VLAN中继,例如，从cisco 3550的端口2是trunk链路端口，现要将VLAN 2和VLAN 5从trunk链路中删除，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)#switchport trunk allowed vlan remove 2,5 若要在trunk链路中删除100200号VLAN的流量，则配置命令为： switch3550(config-if)#switchport trunk allowed vlan remove 100 - 200,2. 静态指定trunk链路中的VLAN,3.2.7 配置VLAN中继,（2）设置允许通过trunk链路的VLAN 配置命令为： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan add vlan-list 其中：vlan-list表示要删除的VLAN号列表，各VLAN之间用逗号进行分隔。 或Switch(config-if)#switchport trunk allowed vlan except vlan-list 其中：except vlan-list是指除列出的vlan-id以外的所有。,2. 静态指定trunk链路中的VLAN,3.2.7 配置VLAN中继,例如，从cisco 3550的端口2是trunk链路端口，现要添加允许VLAN 2和VLAN 5的通信流量通过，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan add 2,5 若要配置trunk链路仅允许VLAN 2、VLAN 5和VLAN 7通过，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan remove 21001 switch3550(config-if)# switchport trunk allowed vlan add 2,5,7 若要设置允许所有的VLAN通过trunk链路，则配置命令为： switch3550(config-if)# switchport trunk allowed vlan all22,3. 静态指定trunk链路中的VLAN,3.2.7 配置VLAN中继,Switch(config-if)#switchport trunk native vlan vlan-list,4.检验中继配置,Switch#show interfaces interface-ID switchport,5.管理中继配置,switch (config-if)#no switchport trunk allowed switch (config-if)#no switchport trunk native vlan switch (config-if)#switchport mode,3.3 方案设计,为了让实验中心的计算机系用户能够与信息大楼计算机系用户在同一子网，实验中心的财务处用户能够办公楼财务处用户的在同一子网，实现网络互通性。这时就需要将实验中心和办公楼的交换机更改为可网管的交换机（支持VLAN），将计算机系和财务处的各自所有用户（三座办公楼）划分在同一VLAN内。这样就可以实现不在同一办公场所的部门内部网络的互联互通及资源共享。办公楼和机电大楼的交换机为不可网管的交换机。创建4个VLAN，分别属于计算机系、机电工程系、财务处和学生机房等。这样就可以在信息大楼和实验中心两座大楼内实现不同VLAN内用户的互联互通，即实现了部门内网络的互通性。实验中心、办公楼和机电大楼的交换机均通过光缆与光电转换器与信息大楼的交换机相连。如图3.7所示。,3.3 方案设计,3.4 任务实施,3.4.1 实训任务,为了在实训室中模拟本项目的实施，搭建如图3.8所示的实训网络拓扑环境。在信息大楼、实验中心办公楼的交换机采用Cisco Catslyst2960交换机，实现网管功能，机电大楼的交换机也采用Cisco Catslyst2960交换机，但作为傻瓜交换机使用，也可采用另外的傻瓜交换机。实验中心、办公楼和机电大楼的交换机均通过光缆与光电转换器与信息大楼的交换机相连均采用双绞线将交换机直接连接起来。,3.4 任务实施,3.4 任务实施,3.4.1 实训任务,（1）网络中各交换状机、计算机等的名称、口令、IP地址、子网掩码、网关、VLAN号等的详细规划，交换机端口VLAN的划分。 （2）设置交换机的名称，口令、管理地址。 （3）各部门VLAN划分。 （4）配置中继链路 （5）各交换机端口VLAN成员分配。,3.4 任务实施,3.4.2设备清单,为了搭建如图3.8所示的网络环境，需要如下的设备清单。 （1）Cisco Catalst 2960交换机（3台）； （2）Cisco Catalst 2960交换机（1台，做傻瓜交换机用，不进行任何配置）； （3）PC机8台； （4）双绞线（若干根）； （5）反转电缆一根。,3.4 任务实施,3.4.3 实施过程,步骤1：规划与设计 （1）规划计算机IP地址、子网掩码、网关,3.4 任务实施,（2）规划各场所交换机名称，端口所属VLAN以及连接的计算机,3.4.3 实施过程,3.4 任务实施,（3）各交换机之间的连接关系,3.4.3 实施过程,3.4 任务实施,3.4.4 实施过程-,步骤2：实训环境准备 （1）硬件连接。在交换机和计算机断电的状态下，按照图3.81、表3-3和表3-4所示连接硬件。交换机接口之间的连接采用交叉线。 （2）分别打开设备，给设备加电。 步骤3：按照表3-2所列设置各计算机的IP地址、子网掩码、默认网关。,3.4 任务实施,3.4.4 实施过程-,步骤4：清除交换机配置 （1）清除交换机的启动配置； switch#erase startup-config （2）删除交换机VLAN。 交换机的VLAN配置信息保存在闪存的vlan.dat文件中，要想删除VLAN，必须删除闪存中的vlan.dat文件。 Switch#show flash: Directory of flash:/ 1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin 2 -rw- 616 vlan.dat 64016384 bytes total (59600847 bytes free) Switch#delete vlan.dat Delete filename vlan.dat? Delete flash:/vlan.dat? confirm Switch#,3.4 任务实施,3.4.4 实施过程-,步骤5：测试连通性 使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42这8台计算机之间的连通性. 步骤6：配置交换机Jisjsw （1）配置信息大楼的交换机的主机名为jisjsw （2）在交换机jisjsw创建VLAN 10、20、30、99 （3）按照表3-3分配交换机Jisjsw端口VLAN （4） 查看jisjsw的VLAN配置 jisjsw#show vlan,3.4 任务实施,3.4.4 实施过程-,步骤7：配置办公楼的交换机 （1）配置办公楼交换机的主机名为banglsw （2）在交换机banglsw创建VLAN10、20、30、99 （3）按照表3-3分配交换机banglsw端口VLAN （4） 查看banglsw的VLAN配置 步骤8：配置实验中心的交换机 （1）配置实验中心交换机的主机名为shiyfsw（略） （2）在交换机shiyfsw创建VLAN10、30、40、99（略） （3）按照表3-3分配交换机shiysw端口VLAN（略） （4）查看shiyfsw的VLAN配置（略）,3.4 任务实施,3.4.4 实施过程-,步骤9：测试 使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42这8台计算机之间的连通性。 步骤10：配置Jisjsw和banglsw、shiysw之间的中继 （1）将交换机jisjsw的端口（g1/1、f0/1）定义为中继链路。 jisjsw(config)#interface gigabitEthernet 1/1 jisjsw(config-if)#description link to banglsw-g1/1 jisjsw(config-if)#switchport mode trunk jisjsw(config-if)#no shutdown jisjsw(config-if)#exit jisjsw(config)#interface fastEthernet 0/1 jisjsw(config-if)#description link to shiysw-f0/1 jisjsw(config-if)#switchport mode trunk ,3.4 任务实施,3.4.4 实施过程-,jisjsw#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Gig1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Gig1/1 1-1005 Port Vlans allowed and active in management domain Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Jisjsw#,3.4 任务实施,3.4.4 实施过程-,（2） 将交换机shiysw(f0/1)和交换机banglsw的端口（g1/1），定义为中继链路。 banglsw(config)#interface gigabitEthernet 1/1 banglsw(config-if)#description link to jisjsw-g1/1 banglsw(config-if)#switchport mode trunk banglsw(config-if)#no shutdown banglsw(config-if)#end banglsw#write shiysw(config)#interface fastEthernet 0/1 ,3.4 任务实施,3.4.4 实施过程-,步骤11：测试 （1）使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42这8台计算机之间的连通性。 （2）分别打开交换机jisjsw和交换机switch2，查看交换机的配置信息 Jisjsw#show running-config banglsw#show running-config shiysw#show running-config 步骤12：配置交换机口令 配置各交换机远程登录口令、超级口令和控制台登录口令(略)。,3.4 任务实施,3.4.4 实施过程-,步骤13：配置远程管理 （1）将PC11（也可以另外接一台计算机）接到交换机jisjsw的端口f0/24上，IP地址改为192.168.100.100/24，网关为192.168.100.1。 （2）配置交换机jisjsw管理地址，管理VLAN，端口f0/24所属VLAN jisjsw(config)#interface vlan 99 jisjsw(config-if)#ip address 192.168.100.201 255.255.255.0 jisjsw(config)#ip default-gateway 192.168.100.1 jisjsw(config-if)#exit jisjsw(config)# （3） 测试PC11和交换机jisjsw的远程管理地址的连通性， PCping 192.168.100.201 PCtelnet 192.168.100.201,3.4 任务实施,3.4.4 实施过程-,（4）配置交换机shiysw、banglsw管理地址，端口f0/24所属 步骤14：保存配置文件 通过控制台和远程终端分别保存配置文件为文本文件。 步骤15；清除交换机的所有配置 （1）清除交换机启动配置文件。 （2）删除交换机VLAN。,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,1.标准以太网：10Mbit/s以太网,10Mbit/s以太网,10Base-2,10Base-5,10Base-T,10Base-F,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,1.快速以太网100Mbit/s以太网,100Mbit/s以太网,100Base-TX,100Base-FX,100Base-T4,1995年，IEEE发布了100Mbit/s以太网家族中最早的成员之一100Base-Tx IEEE802.3u标准。,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,1.快速以太网100Mbit/s以太网,100Mbit/s以太网,100Base-TX,100Base-FX,100Base-T4,100Base-TX介质接口在两对双绞线电缆上运行，其中一对用于发送数据，另一对用于接收数据。但100BASE-TX要求使用5 类或更高规格的 UTP。,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,1.快速以太网100Mbit/s以太网,100Mbit/s以太网,100Base-TX,100Base-FX,100Base-T4,100Base-FX标准制定了两条光纤，一条用于发送数据，一条用于接收数据。它采用与100Base-TX相同的数据链路层和物理层标准协议，当支持全双工通信方式，传输速率可达200Mbps。,多模光纤,单模光纤,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,1.快速以太网100Mbit/s以太网,100Base-FX,多模光纤,单模光纤,种类：62.5/125m或50/125m,光源：LED,波长：820nm,工作模式,半双工,全双工,412m,2km,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,1.快速以太网100Mbit/s以太网,100Base-FX,多模光纤,单模光纤,种类：9/125m,光源：激光,波长：1300nm,工作模式,全双工,10km,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,吉比特以太网：1Gbit/s以太网,1000Base-SX标准,1000Base-LX标准,1000Base-ZX标准,千兆位以太网标准实际上包括支持光纤传输的IEEE802.3Z和支持铜缆传输的IEEE802.3ab两大部分。 IEEE802.3z千兆以太网标准定义了三种介质系统，其中两种是光纤介质标准，包括1000Base-SX 、1000Base-L X和1000Base-Z X；另一种是铜线介质标准，称为1000Base-CX。IEEE802.3ab千兆以太网标准定义了双绞线标准，称为1000Base-T。,1000Base-T标准,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,吉比特以太网：1Gbit/s以太网,1000Base-SX标准,1000Base-LX标准,1000Base-ZX标准,1000Base-T标准,1000Base-CX标准,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,多模,1000Base-SX,62.5m,50m,275m,550m,全双工模式,波长：,适用于作为大楼网络系统的主干通路,850nm,光源：,激光,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,3.吉比特以太网：1Gbit/s以太网,多模,1000Base-LX,62.5m,50m,550m,550m,全双工模式,波长：,适用于校园或城域主干网,1300nm或1550nm,光源：,激光,单模,50m,5km,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,1000Base-ZX,波长：,适用于校园或城域主干网。,1550nm,光源：,激光,单模,9m,70100km,当传输距离小于25km时,需要5db或10db的衰减器。,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,1000Base-ZX,波长：,适用于校园或城域主干网。,1550nm,光源：,激光,单模,9m,70100km,当传输距离小于25km时,需要5db或10db的衰减器。,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,1000Base-SX、1000Base-LX和1000Base-ZX的光缆类型不同，但它们的布局是一样的。都使用两个光纤每个方向用一根。为使通信正常，光纤末端的发射器要连到另一端的检测器（接收器）上。所以，从概念上说，光纤类似于UTP的交叉线。,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,3.吉比特以太网：1Gbit/s以太网,1000Base-T,1000Base-T采用4对cat5e类UTP双绞线,传输距离为100m，传输速率为1Gbps，主要用于结构化布线中同一层建筑的通信，,1000Base-T线缆使用4对线，网卡和交换机之间的连接是直通线，和10Base-T、100Base-TX的直通线一样。而交换机与交换机和NIC-NIC的连接需要交叉线。和10Base-T、100Base-TX的交叉线只须交叉1、2和3、6不同，1000Base-T另两对也须交叉。,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,3.吉比特以太网：1Gbit/s以太网,1000Base-CX,1000Base-CX的媒体是一种短距离屏蔽铜缆，最长距离达25m，这种屏蔽电缆是一种特殊规格高质量的TW型带屏蔽的铜缆。连接这种电缆的端口上配置9针的D型连接器。1000Base-CX的短距离铜缆适用于交换机间的短距离连接，特别适用于千兆主干交换机与主服务器的短距离连接。,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,4. 10吉比特以太网,10吉比特以太网,IEEE 802.3an 10G标准,IEEE 802.3ae 10GE标准,1.2 相关知识,3.5 扩展知识,3.5.1以太网组网技术,4. 10吉比特以太网,10吉比特以太网,IEEE 802.3 an 标准,IEEE 802.3 ae 标准,PHY类型,光纤作为传输介质,LAN PHY,WAN PHY,10GBASE-S（850nm短波）,10GBASE-L（1310nm长波）,10GBASE-E（1550nm超长波）,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,4. 10吉比特以太网,10吉比特以太网,IEEE 802.3 an 标准,IEEE 802.3 ae 标准,PHY类型,光纤作为传输介质,6A类铜缆,频率范围在500MHz,4对全双工工作方式,传输距离100m,1.2 相关知识,3.5 扩展知识,3.5.1 以太网组网技术,4. 10吉比特以太网,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,交换机之间的连接,级联,堆叠,使用跳线将一台交换机的端口与另一台交换机的端口连接在一起,借助专门的堆叠模块，通过交换机的背板连接起来。,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,交换机之间的连接,级联,堆叠,增加端口密度,延长传输距离,目的,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,不同性能的交换机的连接策略,1. 交换机的连接策略,核心层,分布层,接入层,性能最高的交换机,性能中间的交换机,性能一般的交换机,不对称交换机的连接策略,高速率端口,低速率端口,连接交换机或服务器,连接集线器或计算机,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,光纤端口的连接,2. 交换机的级联,光纤跳线与光纤端口类型,交换机光纤端口、跳线都必须与综合布线时使用的光纤类型相一致,当建筑物之间或楼层之间的布线采用光缆，而水平布线采用双绞线时，可以采用两种方式实现两种传输介质之间的连接。,相互连接的光纤端口的类型必须完全相同,所有交换机的光纤端口都是2个，分别是一发一收。,光纤跳线的交叉连接,光电收发器的连接,RJ-45端口的连接,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,2. 交换机的级联,采用同时拥有光纤端口和RJ-45端口的交换机，在交换机之间实现光电端口之间的互连,采用廉价的光电转换设备，一端连接光纤一端连接交换机的双绞线端口，实现光电之间的相互转换。,光电收发器的连接,1.2 相关知识,3.5 扩展知识,3.5.2交换机之间的连接,2. 交换机的级联,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,2. 交换机的级联,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,2. 交换机的级联,连接光电收发器与交换机的双绞线跳线应当为直通线。有些光纤收发器提供一个MDI/MDI-X按钮开关，当使用交叉线时应当按下MDI/MDI-X开关按钮，而使用直通线时，则无需按下该按钮。事实上，只要LED指示灯变绿即为连通状态，否则，说明连接跳线或开关按钮有问题。 连接光电收发器与光纤配线架的光纤跳线通常为ST-SC，SC端连接至光电收发器，ST端连接至光纤配线架。 光纤跳线的类型与芯径必须与布线中使用的光纤完全相同。,连接光电收发器与交换机时，应当注意以下几个方面的问题：,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,2. 交换机的级联,交换机有 MDI-X接口,RJ-45端口的级联,交换机没有MDI-X接口,使用智能端口级联,直通线,交叉线,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,3. 交换机的堆叠,交换机堆叠其实是Cisco中的术语，在H3C交换机，称之为IRF（Intelligent Resilient Framework，智能弹性架构），不过总的来说，技术原理和主要功能都非常类似。,堆叠技术是目前在以太网交换机上扩展端口使用较多的另一类技术，是一种非标准化技术。各个厂商之间不支持混合堆叠，堆叠模式为各厂商制定，不支持拓扑结构。堆叠技术的最大的优点就是提供简化的本地管理，将一组交换机作为一个对象来管理。,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,3. 交换机的堆叠, 并不是所有的交换机都支持堆叠，这取决于交换机的品牌、型号，堆叠不仅通常需要使用专门的堆叠电缆，而且甚至需要专门的堆叠模块，如Cisco GigaStack GBIC。 采用堆叠的交换机要受到种类和相互距离的限制。首先采用堆叠的交换机必须是支持堆叠的；另外，由于厂家提供的堆叠连接电缆长度一般都较短，故只能在很近的距离内使用堆叠功能。 同一堆叠中的交换机必须是同一品牌，否则，根本没有办法堆叠。,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,3. 交换机的堆叠,Gigastack堆叠技术,菊花链堆叠,星型堆叠,StackWise堆叠技术,全带宽的冗余连接方式,半带宽的冗余连接方式,1.2 相关知识,3.5 扩展知识,3. 交换机的堆叠,Gigastack堆叠技术,菊花链堆叠,星型堆叠,StackWise堆叠技术,全带宽的冗余连接方式,半带宽的冗余连接方式,1.2 相关知识,3.5 扩展知识,3.5.2 交换机之间的连接,3. 交换机的堆叠,菊花链堆叠,菊花链堆叠是一种基于级联结构的堆叠技术，通过堆叠模块接口首尾相连形成一个环路