合勤交换机技术培训.pptVIP

以太网交换机合勤科技ZyXELCommunicationsCorp 概述 iSafe入侵锁定MAC冻结广播风暴控制802 1x验证L2 L3 L4ACLiManage智能管理工具集安全管理连接iStackingNetAtlasEnterprise网管软件PoE功能对照表5 Q A 产品概览 产品概览 可堆叠L2入门级交换机 PoE 可堆叠L3 交换机 可堆叠L2 中级交换机 可网管快速以太网交换机 可网管千兆以太网交换机 企业核心网 企业接入网 GS 4024 20G 4D P GS 4012F 8SFP 4D P ES 4024A 24FE 2G 2SFP GS 3012 8G 4D P GS 3012F 8SFP 4D P ES 2024A 24FE 2G 2SFP ES 2108 GS 2024 22G 2D P ES 3124 24FE 4G 2SFP ES 3124PWR 24PoE 4G 2SFP ES 3148 48FE 4G 2SFP 可堆叠L2入门级交换机 PoE 可堆叠L3 交换机 可堆叠L2 中级交换机 GS 4024GS 4012 快速以太网 千兆以太网 ES 4124 GS 3012GS 3012F 企业接入网 ES 3124ES 3124PWRES 3148 GS 2024 ES 2108ES 2108 GES 2108 LCES 2108PWR iStackingDualPersonality千兆上行口PoE ES 2024A 企业核心网 产品发展 目前产品组合 Layer2 Layer3 桌面型 千兆型 L2非可网管型 机架型 Layer2 ES 4024A GS 4012F GS 4024 ES 3124 ES 3148 ES 3124PWR GS 3012 GS 3012F ES 2024A ES 2108ES 2108 G GS 2024A ES 105AES 108AES 108P ES 1016BES 1024BES 1124 ES 116PES 124P GS 105AGS 108A GS 1116GS 1124 模块型 未来产品组合 至2006年年底 Layer2 Layer3 L2非可网管型 Layer2 ES 4024A GS 4012F GS 4024 ES 3124 ES 3148 ES 3124PWR GS 3012 GS 3012F ES 2024A ES 2108ES 2108 G GS 2024A ES 105AES 108AES 108P ES 1016BES 1024BES 1124 ES 116PES 124P GS 105AGS 108A GS 1116GS 1124 ES 4124 MS 7206 ES 2024PWR GS 1116AGS 1124A ES 2108 LCES 2108PWR 桌面型 千兆型 机架型 模块型 主要功能介绍 冗余性 链路聚合 链路聚合 绑定一些物理以太连接作为逻辑连接来获取更大带宽 支持IEEE802 3adLACP所有L2 L2 L3 可网管交换机均支持 链路聚合 LACP只工作在全双工链路 同一个链路聚合组的所有端口必须是相同的媒体介质 双工模式和流控设置 链路聚合 PC1 PC6 通信量的分布是基于源和目的端口MAC地址的一对客户之间的通信量会通过trunk组中的一个连接传输 LinkAggregationPorts PC2 PC3 PC5 PC4 生成树协议STP RSTP 为什么需要生成树协议 消除回路链路冗余所有L2 L2 L3 可网管交换机均支持 IEEE802 1dSpanningTreeProtocol STPIEEE802 1wRapidSpanningTreeProtocol RSTP 生成树协议 广播风暴 如果没有STP的避免环路机制 每台交换机都会无止境的广播包到所有的端口 这种情况就叫做广播风暴 消除回路 广播包 生成树协议 STP RSTP 可以消除回路 SpanningTreeProtocol 消除回路 广播包 广播包 打断回路 生成树协议 STP RSTP 可以提供冗余连接 增强网络的稳定性 SpanningTreeProtocol 原来的连接断开后 被阻塞的连接恢复 成为冗余连接 被阻塞的连接可以作为备份连接 X 链路冗余 教育网 VLAN VLANTrunking VLANTrunking EnableVLANTrunking 所有L2 L2 L3 可网管交换机均支持 VLAN堆叠 VLANStacking VLAN堆叠 VLANStacking VLAN堆叠 一个VLAN被封装到另外一个VLAN中 仅ES 3100系列和GS 4000系列支持802 1adVlanStacking QinQ 封包格式 以太帧 VLAN30 VLAN2 VLAN30 VLAN2 VLAN40 VLAN2 VLAN40 VLAN2 VLAN2 VLAN2 VLAN2 VLAN2 CompanyXXHQ CompanyYYbranch CompanyYYHQ 1 2 3 SwitchH SwitchA SwitchC SwitchB SwitchD SwitchE SwitchG SwitchF Port2 Port1 Port1 Port1 Port2 Port1 Port25 Port25 Port25 Port25 Port25 Port3 Port3 Port25 CompanyXXbranch 应用举例 IP多播 多播VLAN注册 MVR MVR介绍 MVR使得单个多播VLAN在整个网络中共享 而用户们还是处于各自不同的单播VLAN中 从而减少了多播数据在整个网络上的流量MVR可以有效的减少构建Multicast网络的费用 显著改善Multicast网路的性能 并且保证了安全性ES 3100系列 GS 3000系列 GS 4000系列支持MVR MVR和IPTV服务 CH1 VLAN1 CH1 VLAN2 CH1 VLAN4 CH1 VLAN5 CH1 VLAN6 CH1 VLAN3 singlemulticaststream CH1 VLAN200 GS 3012 ES 3124 MVR和IPTV服务 CH1 VLAN1 CH1 VLAN2 CH1 VLAN4 CH1 VLAN5 CH1 VLAN6 CH1 VLAN3 singlemulticaststream CH1 VLAN200 GS 3012 ES 3124 GS 3012FSupportMVR Port2 VLAN102IP 192 168 102 2 24 Port1 VLAN101IP 192 168 101 2 24 L3SwitchGS 4024 Routingdomains 1 IP 192 168 2 1 24VLAN22 IP 111 111 111 111 24VLAN100IGMPv23 IP 192 168 101 1 24VLAN1014 IP 192 168 102 1 24VLAN1025 IP 192 168 109 1 24VLAN1096 IP 192 168 110 1 24VLAN 110 VideoServerIP 192 168 2 2 24 Port2PVID 2 Port24PVID1 Port28PVID1 VLANTrunking Port27PVID1 VLANTrunking ES 3124SupportMVR Port10 VLAN110IP 192 168 110 2 24 Port9 VLAN109IP 192 168 109 2 24 MVR应用 iFlow iFLOW iFlow整合一系列的QoS机制 保证网络服务 同时减轻网络拥塞对服务的影响 ZyXEL交换机可以对数据包提供包括分类 策略 优先等动作的线速处理 802 1P优先级队列调度Classifier PolicyRule ACL ZyXELSwitch Video ToCore Data Data TX RX RX RX RX Video放入对 延迟和丢包 敏感的队列 通过WRR或WFQ调动队列 iFlow智能流量策略 A 分类 L2 L4ACL Layer2 MACAddressLayer3 IPAddressLayer4 TCP UDPPort B 优先级 C 队列调度和流量整形 D 重定义优先级 E 策略 流量限制 A B C D E 多重队列保证Voice质量 Voice 802 1p优先级 802 1p入站 802 1P定义QoS的队列优先极根据不同的802 1P优先级给流量分类8种优先级 越高的越先转发所有L2 L2 L3 可网管型交换机均支持帧的入口处理 标记帧 入口规则 VID 无标记帧 标记帧 标记帧 Pri VID Pri PVID Pri 802 1P类型 802 1P定义了8种不同级别的通信量类型 转发处理 例如 ES 3124支持8种优先级队列优先级队列的安置是根据802 1p来执行的高优先级队列有高的处理优先权当大量高优先级的通信量等待发送时 低优先级的通信量可能会被丢弃 转发处理 Taggedframe Pri 7 Pri 0 Pri 1 Queue7 Queue6 Queue1 Queue0 高优先级 低优先级 队列调度 队列与调度 队列 高优先级队列和低优先级队列每个队列中都遵循先进先出的原则 FIFO 调度 排队策略SPQ 严格优先队列WRR 权重轮转队列WFQ 权重公平队列 仅ES 31xx及未来的ES 41xx系列支持 严格优先队列 SPQ HighQueue LowQueue Highpriorityfirstout Switch t 权重轮转队列 WRR 高优先级队列先发送3个包 权重轮转队列 WRR 高优先级队列先发送3个包 HighQueue LowQueue Switch t MiddleQueue W 3 W 2 W 1 最低优先级的队列获得了最大的带宽 权重公平队列 WFQ 高优先级队列发送占据50 的带宽来传送数据 HighQueue LowQueue Switch t MiddleQueue W 50 W 30 W 20 Classifier PolicyRule ACL Classifier 分类 包括二层和三层的分类机制 PolicyRule 策略规则 可以对在Classifier中定义的流量实现QoSL2 L3 可网管交换机支持 Classifier PolicyRule ACL Classification 分类 Classifier根据特定的参数将一组数据归类成数据流 比如DSCP值 源 目的地地址 端口号等 1 Classifier PolicyRule 策略规则 PolicyRule处理被归类的数据流选择一个或多个Classifiers在PolicyRule中设定要改变的参数或动作应用PolicyRule 2 TrafficcomingintotheSwitch Usage PolicyRule Action Classifier Diffserv DS 使ISP在为每个用户提供一系列基于不同应用的服务的同时 对每种服务提供不同的服务质量DiffServ是一种CoS 服务等级 的模式 增强了Internet的尽力而为的服务 它仅应用于Layer3Example 把所有目的地IP是192 168 2 22端口80的包的DSCP值设为60 HTTPServer192 168 3 250 192 168 3 1 HTTPServer192 168 2 22 192 168 1 11 192 168 2 1 192 168 1 1 192 168 2 2 Classifier PolicyRule举例 Classifier PolicyRule举例 Classifier PolicyRule举例 Classifier PolicyRule举例 Classifier PolicyRule举例 ES 3000SeriesL2 FESwitchES 2000SeriesL2FESwitch Layer3Core Layer2 Server GS 4000SeriesL3 GbESwitch GS 3000SeriesL2 GbESwitch GbEUplink GbETrunk GbEUplink ServerFarm HumanResourcesVLAN10 FinanceVLAN20 Sales MarketingVLAN30 QoS 完善的QoS功能802 1pWFQ带宽保证机制DSCP IP优先级基于策略的QoS流量限制 QoS QoS 完善的QoS解决方案 Layer2Desktop iSafe iSafe ZyXEL交换机整合了一系列的安全防范技术 防止未经授权的用户访问网络入侵锁定MAC冻结广播风暴控制L2 L3 L4ACL802 1x端口认证 入侵锁定 高度安全网络 ServerFarm Intruder ES 3124L2 FESwitch 入侵者拔掉原有机器的网线 嗅探网络信息 2 1 自动锁定启用 在网线被拔出后自动锁定端口 防止入侵者使用 CoreNetwork GS 4024L3 GbESwitch 入侵锁定 目前需要命令行来启用 关闭这项功能所有L2 L2 L3 可网管交换机均支持这项功能 关闭IntrusionLock 启用IntrusionLock MAC冻结 高度安全网络 ServerFarm Intruder ES 3124L2 FESwitch 入侵者接入网络窃取信息 2 1 MAC冻结启用 将所有已经学得的MAC地址转为静态MAC 同时启用MAC地址学习限制功能 不再学习新的MAC地址 CoreNetwork GS 4024L3 GbESwitch MAC冻结 MAC Freeze目前只能通过命令行来打开MACFreeze会把目前的动态MAC地址转化为静态MAC地址 同时在端口上自动打开MAC地址学习限制功能 这样一来 任何其他计算机将无法再使用这个Port 所有L2 L2 L3 可网管交换机均支持 CLI Port Security portnumber mac freeze 广播风暴控制 ServerFarm Intruder ES 3124L2 FESwitch 蠕虫病毒从一台PC传到另一台PC 2 1 广播风暴控制启用 限制突发的广播包 多播包和DLF包 CoreNetwork GS 4024L3 GbESwitch 在这里限制突发的包 广播风暴控制 L2 L3 L4ACL ServerFarm Hosts ES 3124L2 FESwitch 黑客试图访问受限区域 ServerFarm 2 1 安全策略启用 交换机根据L2 L3 L4策略限制连接Layer2 MAC地址Layer3 IP地址Layer4 TCP UDP端口 Internet CoreNetwork GS 4024L3 GbESwitch L2 L3 L4ACL L2 L3 L4ACL举例 阻止192 168 8 0 24网段的人通过ES 3124访问网络 但是允许192 168 8 80访问网络 怎么做 192 168 8 0 24 192 168 8 80 24 ES 3124 Internet 192 168 8 1 24 L2 L3 L4ACL举例 L2 L3 L4ACL举例 L2 L3 L4ACL举例 L2 L3 L4ACL举例 802 1x端口认证 802 1X端口认证 只允许通过认证的用户发送数据 需要外置的Radius服务器支持MD5 Challenge TLS TTLS和PEAP 802 1X端口认证 Radius服务器 802 1x客户 802 1x客户 如果用户认证未通过 交换机就会丢弃来自该用户的通信量 iManage iManage ZyXEL交换机集成了多样化的智能管理工具智能管理工具集安全管理连接iStackingNetAtlasEnterprise网管软件 智能管理工具集 iManage智能管理工具集 ZyXEL可网管交换机集成了一系列的管理工具WEBGUI配置界面文本格式的配置文件CISCOLikeCLI Console Telnet 所有L2 L2 L3 可网管交换机都支持CISCOLike的CLI界面 WEBGUI配置页面 分层设定流 面向功能 在线帮助 逻辑设定 WEBGUI配置页面 分层设定流 WEBGUI配置页面 面向功能 WEBGUI配置页面 在线帮助 文本格式配置文件 ProductName ES 3124 GeneratedbySysConfengineversion1 0vlan1name1normal fixed5 12forbidden1 4untagged1 12ipaddressinband default192 168 1 1255 255 255 0exitvlan103name normal3 12fixed1 2forbidden untagged2exit CISCOLikeCLI UserModehostname EnableModehostname 3 ConfigurationModehostname config CISCOLikeCLI 安全的管理连接 安全连接Secureshell SSHv2 secureTelnet 独立ManagementPortHTTPS SecureWeb administrator Layer2Desktop Layer3Core Layer2 Server GS 4000SeriesL3 GbESwitch ES 3000SeriesL2 FESwitchES 2000SeriesL2FESwitch GS 3000SeriesL2 GbESwitch GbEUplink GbETrunk GbEUplink ServerFarm HumanResourcesVLAN10 FinanceVLAN20 Sales MarketingVLAN30 NetworkAdministrator SSHv2 SecureTelnet Hacker LAN TelnetSwitchAUsername JohnPassword John123 SwitchA SwitchB TelnetSwitchAUsername Password Sniffing SSHv2 SecureTelnet 需要第三方软件来建立连接 RJ45独立管理端口 除ES 2108系列和ES2024A以外 其他均支持 独立的管理端口 HTTPs SecureWeb HTTPs SecureWeb Https 192 168 0 1 iStacking ClusterManagement Internet Cluster Administrator Manage24switches iStacking智能堆叠 使用单一的IP来同时管理属于同一个VLAN和广播域的多个交换机 最多可管理24台交换机L2 L2 L3 交换机均支持 iStacking设定 第一步 设定Manager 发现Member 设定Manager 发现Member iStacking设定 第二步 添加Member 添加Member iStacking设定 第三步 从Manager上进行管理 Member的管理界面 NetAtlasEnterprise 交换机网管系统 系统架构 系统要求 硬件要求CPU IntelPentium4 1 6GHz orabove 内存 1GB orabove 硬盘 20GBHardDisk orabove 屏幕分辨率 1024 768GraphicalAdapter orabove 10 100Mbps以太网卡软件要求操作系统 Windows2000 withservicepack1 WindowsServer2003 WindowsXP数据库系统 PostgreSQL8 0CastleRock sSNMPcNetworkManager6 0 9 主要功能 自动发现拓扑预览配置管理流量监控与分析访问控制访问记录告警 事件管理系统管理模板最多支持500个节点 NE 支持10个并发用户每秒处理100个SNMPtrap 设备支持列表 网络拓扑预览 拓扑预览自动发现自动显示ZyXEL设备的型号 设备预览 告警状态指示树状显示 所有可管理设备都显示在树状菜单中 Sub map 端口状态 端口状态 实时状态显示 端口统计 实时端口统计显示 流量分析器 流量分析器 实时流量分析不同数据由不同颜色显示 其他管理界面 网管软件 NetAtlasEnterprise针对企业级用户 支持多用户支持数据库 NetAtlasWorkgroup针对中小型企业 对网络进行简便管理 PoweroverEthernet PoE的优点 降低成本不需要重新另外布设电线灵活的AP架设方案无线接入点不需要架设在AC电源附近远程管理IP电话 无线接入点可以通过PoE远程开启或关闭PoE由IEEE802 3af定义只有ES 2108PWR和ES 3124PWR支持 ES 2108PWR ES 210