交换机与VLAN培训.ppt

课程内容,第一章 华为中低端交换机介绍 第二章 以太网交换机基础 第三章 交换机的常用配置 第四章 交换机的日常维护,S2000系列交换机,支持协议：IEEE 802.1d、IEEE 802.3、IEEE 802.3ad、IEEE 802.3x、IEEE 802.1w、 IEEE 802.1Q、IEEE 802.1P、IEEE 802.1x、Telnet、SNMP、RMON等。 生成树协议支持：STP、RSTP 端口聚合：最大支持4个 广播风暴抑制：支持 安全：分级命令保护机制、双网卡proxy检测、端口限制MAC地址接入数目 管理：支持命令行接口配置、支持Telnet远程配置、支持通过Console口配置 支持VLAN数：32个,S2000EI系列交换机,支持协议：IEEE 802.1d、IEEE 802.3、IEEE 802.3ad、IEEE 802.3x、IEEE 802.1w、 IEEE 802.1Q、IEEE 802.1P、IEEE 802.1x、Telnet、SNMP、RMON等。 生成树协议支持：STP、RSTP、MSTP 端口聚合：最多可以支持4/8/12组端口汇聚，每个端口汇聚组最多可以有8个端口 广播风暴抑制：所有端口上支持基于带宽百分比的广播风暴抑制 端口镜像：支持一对多的端口镜像，即一个镜像端口，对被镜像端口的数量没有限制 安全：支持MAC地址和端口绑定、对属于同一个802.1Q VLAN的端口之间可以设置隔离或互通。 管理：支持命令行接口配置、支持Telnet远程配置、支持通过Console口配置 支持VLAN数：512个 支持4K的MAC地址 远程受电S2016-EI的直流机型支持远程受电，满足802.3af标准,课程内容,第一章 华为中低端交换机介绍 第二章 以太网交换机基础 第三章 交换机的常用配置 第四章 交换机的日常维护,以太网交换机的工作模型,基于源地址学习,基于目的地址转发,二层交换机的操作： 查MAC转发表处理转发 对于表中不包含的地址，通过广播的方式转发 使用地址自动学习和老化机制进行地址表维护 一般不对帧格式进行修改,二层交换机原理,接收网段上的所有数据帧 利用接收数据帧中的源MAC地址来建立MAC地址表（源地址自学习），使用地址老化机制进行地址表维护 在MAC地址表中查找数据帧中的目的MAC地址，如果找到就将该数据帧发送到相应的端口（不包括源端口）；如果找不到，就向所有的端口发送（不包括源端口） 向所有端口转发广播帧和多播帧（不包括源端口）,冲突域与广播域,在共享式HUB中所有的工作站 共享同一个冲突域和广播域,在没有划分VLAN的交换机中 每一个端口拥有自己的冲突域， 但所有的PC仍处于同一个广播域中,划分了VLAN后，交换机的每一个端口 拥有自己的冲突域，在这个交换机中， 每个VLAN是一个广播域,VLAN原理及配置 VLAN基础,VLAN（Virtual Local Area Network） 将局域网内的设备逻辑地划分段 VLAN标准IEEE 802.1Q 优势 VLAN内部的广播和单播流量 不会被转发到其它VLAN中,VLAN原理及配置 802.1Q的帧结构,标准以太网帧 untagged frame,带有IEEE802.1Q标记的以太网帧 tagged frame,0x8100：协议标识字段，表明这个帧为802.1Q帧 Priority：优先级字段，一共3个bits CFI：用于总线型以太网和FDDI、令牌环网交换数据 时，共1个bits VLAN ID：VLAN的标识，从04095，一般使用 1-4094,VLAN原理及配置 帧在网络通信中的变化,VLAN 2,VLAN 1,VLAN 1,VLAN 2,带有VLAN 1标签的以太网帧,带有VLAN 2标签的以太网帧,不带VLAN标签的 以太网帧,Trunk,Access,Access,VLAN原理及配置 端口分类,根据端口连接的以太网段的主机是否能识别和发送这种带802.1Q标签头的数据包，将端口分为： Access（Untagged）端口：一般接主机或路由器 Tag Aware（tagged）端口：一般接支持802.1Q的交换机或路由器,VLAN原理及配置 转发流程中涉及的几个名词,PVID：端口上设置的默认的VLAN ID号 VID：802.1Q帧中所带的VLAN ID号 广播域：表示特定的VLAN可以在哪些端口发广播,VLAN原理及配置 VALN的转发流程,1、接收过程： 当Untagged端口收到帧时： 交换机将认为该帧不包含802.1Q Tag header，因此将会把它定义为属于接收端口的缺省VLAN（对带Tag的处理方法各种交换机不尽相同） 当Tagged 端口收到帧时： 若收到没有合法的802.1Q Tag header的帧，则利用接收端口的缺省VLAN来确定该帧所属VLAN 如果该帧已包含Tag header，则该帧所属于的虚拟网由Tag header中指明的VLAN ID所确定 2、查找/路由过程： 根据数据包的目的MAC地址、VLAN 标识以及数据库中注册的信息决定把数据包发送到哪个端口。（过滤数据库） 3、发送过程： 当Untagged 端口发送帧时： 交换机同样认为端口所连接的设备不能识别802.1Q Tag header，因此发送出去的帧也将不包含802.1Q Tag header 当Tagged端口发送帧时： 一般包含合法的802.1Q Tag header，（如端口的缺省VLAN与该帧所属的VLAN相一致时去掉Tag头）。,VLAN原理及配置 数据设定规范,UNTAGGED端口不能接TAGGED端口。 两个相连的TAGGED端口的PVID值要求一致。 与不支持802.1Q的设备相连的端口不能是TAGGED端口。,课程内容,第一章 华为中低端交换机介绍 第二章 以太网交换机基础 第三章 交换机的常用配置 第四章 交换机的日常维护,宽带小区交换机的组网结构,进入交换机配置界面,建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。 以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。 键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?“,命令行视图,交换机基本命令,常用命令,交换机基本操作,如何获得命令帮助 Quidway 系列交换机提供了丰富的在线帮助： (1) 在任一视图下，键入”?”获取该视图下所有命令及其简单描述。 (2) 键入一命令，后接以空格分隔的”?”键，如果该位置为关键字，则列出全部关键字及其简单描述。 (3) 键入一命令，后接以空格分隔的”?”键，如果该位置为参数，则列出有关的参数描述。 (4) 键入一字符串，其后紧接”?”，列出以该字符串开头的所有命令 。 (5) 键入一命令，后接一字符串紧接”?”键，列出该命令以该字符串开头的所有关键字。,交换机系统基本配置,设置系统时间 clock datetime 12:00:00 2006/01/23 设置交换机的名称 Quidwaysysname sjhy TRAIN-sjhy 配置用户登录 Quidwayuser-interface vty 0 4 Quidway-ui-vty0authentication-mode password Quidway-ui-vty0 set authentication password simple Huawei,VLAN和管理IP地址的配置,VLAN 配置 创建（进入）vlan2 Quidwayvlan 2 将端口E0/1加入到vlan2 Quidway-vlan2port ethernet 0/1 管理IP地址的配置 创建（进入）vlan10 Quidwayvlan 10 进入vlan10的虚接口 Quidway-vlan2interface vlan 10 在vlan10的虚接口上配置IP地址 Quidway-Vlan-interface10ip address 1.0.0.1 255.255.255.0,上行口与默认路由的配置,Trunk口的配置 SwitchA-Ethernet0/16port link-type trunk SwitchA-Ethernet0/16port trunk permit vlan 100 to 116 SwitchA-Ethernet0/16undo port trunk permit vlan 1（注：允许指 定的vlan从E0/16端口透传通过，并且不透传VLAN1） 默认路由的配置: Swithch ip route-static 0.0.0.0 0.0.0.0 220.180.17.1 配置实例：,常用配置-端口汇聚配置(1),功能需求及组网说明 配置环境参数 交换机SwitchA和SwitchB通过以太网口实现互连。 SwitchA用于互连的端口为e0/1和e0/2，SwitchB用于互连的端口为e0/1和e0/2。 组网需求 增加SwitchA的SwitchB的互连链路的带宽，并且能够实现链路备份，使用端口汇聚。,常用配置-端口汇聚配置(2),SwitchA交换机配置 进入端口E0/1 SwitchAinterface Ethernet 0/1 汇聚端口必须工作在全双工模式 SwitchA-Ethernet0/1duplex full 汇聚的端口速率要求相同，但不能是自适应 SwitchA-Ethernet0/1speed 100 进入端口E0/2 SwitchAinterface Ethernet 0/2 汇聚端口必须工作在全双工模式 SwitchA-Ethernet0/2duplex full 汇聚的端口速率要求相同，但不能是自适应 SwitchA-Ethernet0/2speed 100 根据源和目的MAC进行端口选择汇聚 SwitchAlink-aggregation Ethernet 0/1 to Ethernet 0/2 both,SwitchB交换机配置 进入端口E0/1 SwitchAinterface Ethernet 0/1 汇聚端口必须工作在全双工模式 SwitchA-Ethernet0/1duplex full 汇聚的端口速率要求相同，但不能是自适应 SwitchA-Ethernet0/1speed 100 进入端口E0/2 SwitchAinterface Ethernet 0/2 汇聚端口必须工作在全双工模式 SwitchA-Ethernet0/2duplex full 汇聚的端口速率要求相同，但不能是自适应 SwitchA-Ethernet0/2speed 100 根据源和目的MAC进行端口选择汇聚 SwitchAlink-aggregation Ethernet 0/1 to Ethernet 0/2 both,常用配置-端口限速,在端口下限速命令 SwitchA-Ethernet0/1line-rate ? Inbound Limit the rate of the inbound packets of the interface outbound Limit the rate of the outbound packets of the interface 如： SwitchA-Ethernet0/1line-rate inbound 37 报文速率限制级别取值为1127： 1、如果速率限制级别取值在128范围内，则速率限制的粒度为64Kbps，这种情况下，如果用户设置的级别为N，则端口上限制的速率大小为N*64K。 2、如果速率限制级别取值在29127范围内，则速率限制的粒度为1Mbps，这种情况下，如果用户设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。,小区交换机配置的一些建议(一）,每台交换机必须能够网管到，且楼道交换机每个端口一个VLAN。 交换机的对连端口（即某交换机的上行口和另一端交换机的下行口）要求设置完全一致，建议设为强制100M双工（包括中间用到的光电转换器），PVID设置为此交换机的管理VLAN，能通过的VLAN按实际设置，不要让所有VLAN能过： Interface e0/25 duplex full speed 100 port link-type trunk port trunk permit vlan 2530 to 2554 (透传实际VLAN) undo port trunk permit vlan 1 port trunk pvid vlan 2500 （管理VLAN为2500）,小区交换机配置的一些建议（二）,建议给每个交换机预留24个VLAN，即使此交换机为S2008，方便以后的升级。 启用了vlan disable 功能后需要在端口配置广播抑制。 建议广播抑制比为5% 汇聚机房的设备，没有使用的端口请手工shutdown。 所有中低端设备必须安装接地，不接地可能导致设备雷击、静电、死机、端口损坏等异常问题。,课程内容,第一章 华为中低端交换机介绍 第二章 以太网交换机基础 第三章 交换机的常用配置 第四章 交换机的日常维护,以太网故障排除的一般步骤,以太网故障排除的一般步骤,首先是要确定故障是否确定出现在局域网上 Ping命令检测 display命令检查 以太网故障排除步骤（先分段再分层） 查看主机和交换机下的局域网连接是否正确。 考虑速率匹配问题。 查看主机和以太网接口的IP地址是否位于同一子网内。 查看链路层协议是否匹配。 查看以太网接口的工作方式是否正确。,故障排除,交换机运行一段时间后，发生网络中断。定位思路可以参考以下几点： 1） 环境改变：组网变化？配置改变？用户增加？是否停电？ 2）交换机是否打开了Loopback-detection，是否发现环路并隔离了对应的端口？ 3）stp 状态是否正确？ 4）mac 是否在所有设备上学习正常？ 5）同一个交换机同一vlan 内是否互通？ 6）是否存在网络广播风暴 7）网络中是否存在自环头 8）端口统计是否存在异常 9）ping 网关是否通；tracert 到目的IP，确定断点 10）路由是否正常，下一跳arp、mac 是否存在 11）回程路由是否存在 12）对于精确匹配三层交换机，底层的IPFDB 是否正常？ 13）如果交换机支持基于流的统计，可以使用流统计来判断交换机是否收到指定报文，是否转发。 14）抓包或者通过镜像抓包，判断报文是在何处给丢弃的，请注意有些报文是带vlantag 的，抓包的计算机是否能抓取tagged 报文？是否会自动去掉vlan tag？,Quidway交换机的基本维护,显示系统当前配置：display current-configuration 显示接口信息：display interface 显示系统版本信息：display version 显示诊断信息：display diagnostic-information 显示系统保存配置： display saved-configuration 显示路由信息：display ip routing-table 显示VLAN信息：display vlan 显示生成树信息：display stp 显示MAC地址表：display mac-address 显示ARP表信息：display arp 显示系统CPU使用率：display cpu 显示系统内存使用率：display memory 显示系统日志：display log 显示系统时钟：display clock 保存配置命令：save 删除某条命令，一般使用命令： undo,删除所有配置信息：reset save-configuration 清除端口信息：reset couter interface,显示系统版本信息,display version Huawei Versatile Routing Platform Software VRP (R) Software, Version 3.10, RELEASE 0013 Copyright (c) 2000-2004 HUAWEI TECH CO., LTD. Quidway S2008-EI uptime is 0 week,0 day,23 hours,5 minutes Quidway S2008-EI with 50M Arm7 Processor 32M bytes SDRAM 4096K bytes Flash Memory Config Register points to FLASH Hardware Version is VER.C Bootrom Version is 130 Subslot 0 8 FE Hardware Version is VER.C,显示接口信息,dis inter e0/8 Ethernet0/8 current state : UP IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 000f-e206-1c3c The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is autonegotiation, link duplex type is autonegotiation The Maximum Frame Length is 1518 Broadcast MAX-ratio: 5% PVID: 1 Mdi type: normal Port link-type: trunk VLAN passing : 322, 3066-3072, VLAN allowed : 322, 3066-3072, Trunk port encapsulation: IEEE 802.1q Last 300 seconds input: 0 packets/sec 26 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 405144 packets, 143028139 bytes 31680 broadcasts, 1362 multicasts Input(normal): 405144 packets, - bytes 31680 broadcasts, 1362 multicasts Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 478410 packets, 421655832 bytes 597 broadcasts, 46 multicasts, 0 pauses Output(normal): 478410 packets, - bytes 597 broadcasts, 46 multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions lost carrier, - no carrier,以太网交换机常见故障（一）,交换机吊死 现象： 有用户反应交换机有经常吊死的现象，交换机运行了一段时间后所 有的用户都不能正常上网，网管不到；重启交换机后正常。 原因分析：产生吊交换机吊死的原因主要有两种： 两交换机之间的链路有问题。 两交换机之间的端口协商有问题。 处理办法： 查看此交换机的上行端口时会看到有CRC或错误包产生，将两交换机之间的端口配置设为一致，如果中间用到光电转换器要求将光电转换器和交换机的对连端口都设为强制双工模式。 如果还是解决不了问题，建议将链路重做。 结论：交换机吊死一般都是由于端口之间协商不一致引起的。,以太网交换机常见故障（二）,交换机环路 现象：小区用户反映频繁掉线。 组图： MA5200-S2403H-S2016-S2008-小区用户（PPPOE） 查看S2008的log日志(display log) Loopback does exist on port 6 vlan 22, please check it 处理办法： 通过log 日志可知，S2008的E0/6端口所接用户存在环路，于是把环路检测信息上报到S2016上，S2016会停止存在环路端口的流量转发，而此端口下级联的S2008上的用户因为上行口不转发流量，就异常掉线，当环路消失后，就恢复正常。 也可暂时将环路检测功能关闭，等将环路消除后再打开。 命令：undo loopback-detechion enable (关闭环路检测功能),以太网交换机常见故障（三.一）,CPU高 在三层交换机中用display cpu 时发现达到40%-50% 在日志中有大量的如下信息： %Feb 1 21:48:24 2005 Quidway ARP/5/DUPIP:IP address 222.170.130.94 collision detected, sourced by 0004-9340-14a1 on Ethernet2/3 of VLAN3016 and 000e-a696-3260 on Ethernet2/3 of VLAN3016 %Feb 1 21:48:25 2005 Quidway ARP/4/DUPIFIP:Duplicate address 222.170.130.65 on VLAN3016, sourced by 0004-9340-14a1 处理办法： 在三层交换机中一定要做如下的配置：,以太网交换机常见故障（三.二）,建立ACL并将此ACL应用于端口 quidway Acl number 3001 rule deny udp source any destination any destination-port eq 1434 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 137 rule deny udp source any destination any destination-port eq 138 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 59