ND03控制交换网络中的广播流量.ppt

第三章控制交换网络中的广播流量,教学目标,精通交换机的基本配置；掌握交换机的远程登录配置及配置文件管理；掌握VLAN技术的工作原理；精通VLAN技术配置。,本章内容,交换机的管理方式交换机的基本配置VLAN技术,课程议题,交换机的管理方式,交换机的管理方式,带外管理通过带外对交换机进行管理(PC与交换机直接相连)带内管理通过Telnet对交换机进行远程管理通过Web对交换机进行远程管理通过SNMP工作站对交换机进行远程管理,Console口及配置线缆,Console口(RJ45),DB9-DB9线缆,Console口(DB9),RJ45-DB9转换器反转线缆,DB9-RJ45线缆,带外交换机配置,连线利用配置线将主机的COM口和交换机的console口相连打开超级终端从开始程序附件通讯超级终端，打开超级终端程序配置超级终端为连接命名选择合适的COM口配置正确的参数,TELNET管理交换机,在主机DOS命令行下输入：telnetipaddress（交换机管理IP）,TELNET管理交换机续,输入telnet密码和特权密码即可进入到交换机的配置界面,基于WEB的管理,在web页面中输入交换机的管理IP可以进入交换机的web管理页面,基于SNMP协议的管理,课程议题,交换机的基本配置,交换机配置命令模式,EXEC模式：用户模式switch交换机信息的查看，简单测试命令特权模式switch#查看、管理交换机配置信息，测试、调试配置模式：全局配置模式switch(config)#配置交换机的整体参数接口配置模式switch(config-if)#配置交换机的接口参数,交换机配置命令模式,进入特权模式SwitchenableSwitch#返回用户模式Switch#disableSwitch#exitPressRETURNtogetstarted!Switch,交换机配置命令模式,进入全局配置模式Switch#configureterminalSwitch(config)#exitSwitch#进入接口配置模式Switch(config)#interfacefastethernet0/1Switch(config-if)#exitSwitch(config)#从子模式下直接返回特权模式Switch(config-if)#endSwitch#,命令行其他功能,获得帮助Switch#?Switch#show?命令简写全写：Switch#configureterminal简写：Switch#conf使用历史命令Switch#(向上键)Switch#(向下键),交换机操作帮助特点,支持命令简写(按TAB键将命令补充完整)在每种操作模式下直接输入“?”显示该模式下所有的命令命令空格“?”显示命令参数并对其解释说明字符“?”显示以该字符开头的命令命令历史缓存：(Ctrl+P)显示上一条命令，(Ctrl+N)显示下一条命令错误提示信息,配置交换机Telnet功能,配置远程登陆密码Switch(config)#enablesecretlevel10star配置进入特权模式密码Switch(config)#enablesecretlevel150star为交换机配置管理IPSwitch(config)#interfacevlan1Switch(config-if)#noshutdownSwitch(config-if)#ipaddress192.168.1.1255.255.255.0Switch(config-if)#end,配置文件的管理,保存配置将当前运行的参数保存到flash中用于系统初始化时初始化参数Switch#copyrunning-configstartup-configSwitch#writememory删除配置永久性的删除flash中不需要的文件使用命令deleteflash:config.text删除当前的配置：在配置命令前加no例：switch(config-if)#noipaddress,配置文件的管理,查看配置文件内容查看保存在FLASH里的配置信息Switch#showconfigure查看RAM里当前生效的配置Switch#showrunning-config,课程议题,VLAN技术,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,VLAN技术,VLAN（VirtualLocalAreaNetwork）VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制；VLAN有着和普通物理网络同样的属性；第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。,VLAN技术,交换机收到广播帧后，只转发到属于同一VLAN的其他端口。,VLAN与网络管理,由于实现了广播域分隔，VLAN可以将广播风暴控制在一个VLAN内部，划分VLAN后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例大大降低，网络性能得到显著提高；不同的VLAN间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络；同时，由于VLAN是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。,VLAN具有的功能,控制网络广播、提高网络性能；分隔网段、确保网络安全；简化网络管理、提高组网灵活性。,VLAN划分方法,基于端口的VLAN（Port-Based）基于协议的VLAN（Protocol-Based）基于MAC层分组的VLAN（MAC-LayerGrouping）基于网络层分组的VLAN（Network-LayerGrouping）基于IP组播分组的VLAN（IPMulticastGrouping）基于策略的VLAN（Policy-Based）,VLAN的类型:PortVLAN,基于交换机的端口(一个端口只属于一个VLAN，PortVLAN设置在连接主机的端口),Port-VLAN原理,通过查找MAC地址表，交换机对发往不同VLAN的数据不转发,F0/1,F0/2,F0/3,A,B,C,Vlan10,Vlan20,Vlan10,ABAC,X,配置PortVLAN,基于端口的VLAN在实现上包括两个步骤：首先启用VLAN（用VLANID标识）；而后将交换机端口指定到相应VLAN下。,VLAN的基本配置命令,vlan命令语法格式为：vlanvlan-id该命令执行于全局配置模式下，是进入VLAN配置模式的导航命令。使用该命令的no选项可以删除VLAN：novlanvlan-id注意：缺省的VLAN（VLAN1）不允许删除。例如启用VLAN10，执行如下：Switch(config)#vlan10Switch(config-vlan)#,VLAN的基本配置命令,switchportaccess命令语法格式为：switchportaccessvlanvlan-idnoswitchportaccessvlan该命令将端口设置为staticsaccessport，并将它指派为一个VLAN的成员端口；使用该命令的no选项将该端口指派到缺省的VLAN中；switchport缺省模式为access，缺省的VLAN为VLAN1；如果输入的是一个新的VLANID，则交换机会创建一个VLAN，并将该端口设置为该VLAN的成员；如果输入的是已经存在的VLANID，则增加VLAN的成员端口；例如将交换机F0/5端口指定到VLAN10的配置为：Switch(config)#interfacefastEthernet0/5Switch(config-if)#switchportaccessvlan10,配置PortVLAN,创建VLAN10，将它命名为test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#end把接口F0/10加入VLAN10Switch#configureterminalSwitch(config)#interfacefastEthernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#end,PortVLAN的配置,将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20注：连续接口0/1-8，不连续接口用逗号隔开，但一定要写明模块编号,VLAN配置实例,实现交换机端口隔离,创建VLAN10和VLAN20,S2126G#configureterminalS2126G(config)#vlan10S2126G(config-vlan)#nametest10S2126G(config-vlan)#exitS2126G(config)#vlan20S2126G(config-vlan)#nametest20,将交换机端口划分至VLAN,S2126G(config)#interfacefastethernet0/1S2126G(config-if)#switchaccessvlan10S2126G(config-if)#interfacefastethernet0/2S2126G(config-if)#switchaccessvlan20,VLAN配置验证,S2126#showvlanVLANNameStatusPorts-1defaultactiveFa0/3,Fa0/4,Fa0/5Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/23Fa0/2410test10activeFa0/120test20activeFa0/2S2126#,交换机端口隔离,将PC1和PC2的IP地址设为172.16.20.0/24的IP，验证测试结果PC1和PC2不能相互ping通,跨交换机的VLAN,基于端口的VLAN（PortVLAN）将交换机按照端口的VLANID指定实现了逻辑划分，广播域被限定在相同VLAN的端口集合中，不同VLAN间不能直接通信；当使用多台交换机分别配置VLAN后，可以使用Trunk（干道）方式实现跨交换机的VLAN内部连通，交换机的Trunk端口不隶属于某个VLAN，而是可以承载所有VLAN的帧。,跨交换机的VLAN,TagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Trunk至少要100M,何谓TRUNK,所谓的Trunk是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯；其中交换机之间互联用的端口就称为Trunk端口。Trunk这个词是干线或者树干的意思，不过一般不翻译，直接用原文。注意：与一般的交换机的级联不同，Trunk是基于OSI第二层的。,帧标记的工作原理,默认条件下，Trunk上会转发交换机上存在的所有VLAN的数据；传输多个VLAN的信息；实现同一VLAN跨越不同的交换机。,VLANTrunk,在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种：ISL：Inter-Switchlink，是Cisco交换机独有的协议IEEE802.1Q：是国际标准协议，被几乎所有的网络设备生产商所共同支持；,IEEE802.1Q标准,1996年3月，IEEE802.1InternetWorking委员会结束了对VLAN初期标准的修订工作；统一了Frame-Tagging（帧标记）方式中不同厂商的标签格式，制定IEEE802.1QVLAN标准，进一步完善了VLAN的体系结构；802.1Q定义了VLAN的桥接规则，能够正确识别VLAN的帧格式，更好地支持多媒体应用；它为以太网提供了更好服务质量（QOS）保证和安全的能力。,IEEE802.1Q数据帧,标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比特，表示优先级Canonicalformatindicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围14094,IEEE802.1Q标准,IEEE802.1Q使用4Byte的标记头来定义Tag（标记）；Tag头中包括2Byte的VPID（VLANProtocolIdentifier）和2Byte的VCI（VLANControlInformation）。,802.1Q工作原理,802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。,A,交换机1,交换机2,B,数据帧,Tag标签,Trunk,Trunk,PortVLAN和TagVLAN,在VLAN配置中，我们使用switchportmode命令来指定一个二层接口（switchport）的模式，可以指定该接口为accessport或者为trunkport。使用该命令的no选项将该接口的模式恢复为缺省值（access）。其命令执行在接口模式下，语法格式如下：switchportmodeaccess|trunknoswitchportmode,PortVLAN和TagVLAN,如果一个switchport的模式是access，则该接口只能为一个VLAN的成员；可以使用switchportaccessvlan命令指定该接口是哪一个VLAN的成员，这种接口又称为PortVLAN；如果一个switchport的模式是trunk，则该接口可以是多个VLAN的成员，这种配置被称为TagVLAN。Trunk接口默认可以传输本交换机支持的所有VLAN（14094），但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个trunk口。在Trunk口修改许可VLAN列表的命令如下：switchporttrunkallowedvlanall|add|remove|exceptvlan-list,Trunk接口的NativeVLAN,Trunk口能够收发TAG或者UNTAG的802.1Q帧，其中UNTAG帧是用来传输NativeVLAN的流量；默认的NativeVLAN是VLAN1，如果一个帧带有NativeVLAN的VLANID，在通过这个Trunk口转发时，会自动被剥去TAG；在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的nativeVLAN配置NativeVLAN在Trunk口接口模式下，执行：switchporttrunknativevlanvlan-id,查看VLAN配置,验证配置信息Switch#showinterfacesfastethernet0/20switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-Fa0/20EnabledTrunk11Enabled1,3-4094Switch#showvlanVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/18,Fa0/19,Fa0/20,Fa0/21,Fa0/224VLAN0004activeFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/205VLAN0005activeFa0/20,Fa0/23,Fa0/24,保存/清除VLAN信息,将VLAN信息保存到flash中Switch#writememory从flash中只清除VLAN信息Switch#deleteflash:vlan.dat从RAM中删除VLANSwitch(config)#novlanVLAN-id,跨交换机的VLAN划分实例,假设某企业的网络中，计算机PC1和PC3属于营销部门，PC2和PC4属于技术部门，PC1和PC2连接在S3550上，PC3和PC4连接在S2126上，而两个部门要求互相隔离，本实验的目的是实现跨两台交换机将不同端口划归不同的VLAN。,配置S3550,（1）设备标识Switch#configureterminalSwitch(config)#hostnameS3550（2）在S3550上创建VLAN10、VLAN20S3550(config)#vlan10S3550(config-vlan)#namesalesS3550(config-vlan)#exitS3550(config)#vlan20S3550(config-vlan)#nametechnicalS3550(config-vlan)#end,配置S3550,S3550#showvlanVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/23,Fa0/2410salesactive20technicalactive,配置S3550,（3）在S3550上把F0/3划归VLAN10、F0/4划归VLAN20S3550#configureterminalS3550(config)#interfacefastEthernet0/3S3550(config-if)#switchportaccessvlan10S3550(config-if)#endS3550#showvlanid10VLANNameStatusPorts-10salesactiveFa0/3,配置S3550,S3550#configureterminalS3550(config)#interfacefastEthernet0/4S3550(config-if)#switchportaccessvlan20S3550(config-if)#endS3550#S3550#showvlanid20VLANNameStatusPorts-20technicalactiveFa0/4,S2126的配置,（1）设备标识Switch#configureterminalSwitch(config)#hostnameS2126（2）在S2126上创建VLAN10、VLAN20S2126(config)#vlan10S2126(config-vlan)#namesalesS2126(config-vlan)#exitS2126(config)#vlan20S2126(config-vlan)#nametechnicalS2126(config-vlan)#end,S2126的配置,（3）在S2126上把F0/3划归VLAN10、F0/4划归VLAN20S2126#configureterminalS2126(config)#interfacefastEthernet0/3S2126(config-if)#switchportaccessvlan10S2126(config-if)#exitS2126(config)#interfacefastEthernet0/4S2126(config-if)#switchportaccessvlan20,配置S3550和S2126之间的Trunk连接,配置S3550的F0/1接口为TagPort：S3550(config)#interfacefastEthernet0/1S3550(config-if)#switchportmod