交换机工作原理与交换机基本配置.ppt

交换机工作原理与交换机基本配置 学习目标 1 理解交换机的工作原理2 掌握设备命名的方法3 掌握VLAN划分方法4 实现VLAN之间的通信5 了解实现端口安全的方法 冲突和广播 1 冲突及冲突域在网络中所有节点在任何需要的时候都可以发送数据 而共享式以太网却努力确保任一时刻只有一个节点发送数据 但是 两个节点却有可能同时发送数据 例如图中的节点A和节点C 冲突 collision 冲突是传统以太网中的一种现象 如果2台或者多台设备试图同时发送数据 那么就会发生冲突 一个网络中冲突太多的时候 会导致缓慢的网络响应时间 表示网络变得过于拥塞冲突域构成冲突的所有节点组成的区域就是冲突域 即一个支持共享介质的网段 集线器不能隔离冲突域 因此集线器所有的端口同在一个冲突域 交换机能隔离冲突域 交换机每个端口一个冲突域 2 广播及广播域LAN上的所有节点都应该接收和处理送往广播地址的帧 发往广播地址的帧将发送到LAN上的所有节点 广播 Broadcast 在网络传输中 向所有连通的节点发送消息称为广播 广播域广播帧传输的网络范围称广播域 即网络中能接收任何节点发出的广播报文的所有节点的集合 交换机不能隔离广播域 因此 一个网络中的交换机的所有端口在同一广播域 路由器能隔离广播域 因此 一个路由器的不同端口处于不同的广播域 交换式局域网 以交换机 switch 构建的星形网络Switch基于MAC地址转发 过滤利用CSMA CD机制来避免冲突利用缓存机制来解决端口冲突支持全双工 例如 图中显示了交换机内数据的流动情况 假定节点1向节点4发送数据 节点2和节点3并不知道上述数据的传输 因为这些数据并没有传到这两个端口上 交换机的分段给网络上每个用户提供了专用带宽 每个用户即刻接入到全部带宽 且不必和其他用户竞争可用带宽 交换机功能 交换机帧处理过程 交换机对帧处理的5个过程包括 学习 learning 泛洪 flooding 转发 forwarding 过滤 filtering 老化 aging 学习 交换机的学习指的是地址学习过程 交换机会记录发送源的源MAC地址和源端口 这个过程就是学习过程 交换机只学习单播源地址 假设工作站A欲传输单播帧到工作站D 交换机从端口E0收到这个帧并查看帧的源MAC地址 然后把这个地址和对应端口E0放进MAC地址表中 泛洪 当工作站A发送帧给D的时候 交换机会查看帧的目标MAC地址并看其MAC地址表里有没有该条目 但是此时交换机只有A的MAC地址 并没有目标D的MAC地址 即此时交换机收到的是未知单播帧 交换机将把未知单播帧从它的所有端口 除了源端口外 发送 这个过程就叫泛洪 除了泛洪未知单播帧 交换机还会泛洪另外两种类型的帧 广播帧和组播帧 转发或过滤 如果到达交换机的帧目标地址是已知的 交换机则只会将帧转发给连接目标工作站的特定端口 而不是转发给所有端口 即对该特定端口为转发 其他端口称为过滤 如 工作站A将帧送往工作站B的过程如下 将发送帧的目标MAC地址0260 8c01 2222与MAC表中的表项进行比较 查到该地址可通过E1端口到达 将帧转发到该端口 交换机不会再将帧转发到E2 E3端口 即过滤 framefiltering 以节省链路带宽 老化 或称计时 当交换机学习到某个源MAC地址之后 它会给这个条目打上时间戳 每当交换机收到来自这个源MAC地址的帧之后 这个时间戳会被更新 当老化计时器 agingtimer 超时之后还没有收到来自该源MAC地址的帧 那么这个条目就会从桥接地址表里移除 老化计时器的默认时间为5分钟 可以人工对其进行修改 交换机结构 1 交换机的组成部件交换机实际上就是一台特殊用途的计算机 它的内部也有CPU 内存和主板 只不过这些部件是专门为数据交换而设计的 我们通常所说的交换机的背板带宽有点类似于电脑主板上的总线 是交换机接口处理器 或接口卡 和数据总线间所能吞吐的最大数据量 一台交换机的背板带宽越高 处理数据的能力就越强 同时价格也越高 交换机除了和我们熟知的传统的PC机有类似的体系结构外 它还和PC机一样拥有相应的操作系统 2 交换机的组成部件以Cisco交换机为例来了解交换机结构 Cisco交换机是由CPU RAM NVRAM FLASH ROM和一些相应的接口通过内部总线相连而构成 CPU 中央处理器 相当于PC的CPU 是交换机的大脑 负责整个系统的计算和控制 ROM 只读存储器 相当于PC的BIOS 基本输入输出系统 存放引导程序和IOS的一个最小子集 它是只读存储器 系统掉电程序不会丢失 Flash 闪存 相当于PC的硬盘 它包含操作系统 IOS 和其他伪代码 它是一种可擦写 可编程的存储器 系统掉电程序不会丢失 NVRAM NonvolatileRAM 非易失性随机存取存储器 相当于PC的第二块硬盘 专门存放交换机的配置文件 系统掉电程序不会丢失 RAM DRAM 随机存储器 动态存储器 相当于PC的内存 是交换机主要的存储部件 RAM也叫做工作存储器 它包含动态的配置信息 系统掉电RAM的内容会丢失 Interfaces 接口 端口 相当于PC的网卡 接口 Interface 是数据分组进出交换机的网络连接 交换机的启动过程 交换机启动时首先对系统各部分的硬件进行检测 然后检查启动配置文件 根据配置文件指定的引导路径去寻找操作系统 最后从NVRAM中将配置文件加载到RAM 如果没有配置就进入系统的初始配置状态 CiscoIOS基础 1 CiscoIOS软件的目的与计算机一样路由器或交换机需要操作系统才能正常工作 Cisco将自己的操作系统称为Cisco互连网络操作系统 或者CiscoIOS软件 它内置于Cisco路由器和Catalyst交换机上 CiscoIOS提供了下列服务 基本的路由选择和交换功能对联网资源可靠和安全的访问网络的可扩展性 2 Cisco设备用户界面 CiscoIOS软件使用命令行界面 CLI 作为自己传统的控制台环境 CiscoIOS是一项核心技术 它跨越大多数Cisco产品线 不同设备中CiscoIOS软件的运行细节也有所区别 CLI环境常用下列方式访问 通过控制台会话 使用低速串行连接 从PC机直接到设备的控制台端口通过telnet作为虚拟终端连接到设备 3 Cisco各种用户界面模式 CiscoCLI使用了一种分级的结构 这种结构要求进入不同的模式以完成各种特定的任务 CiscoIOS软件提供了一种称为命令执行者 commandexecutive EXEC 的命令解释器服务 每个命令输入后 EXEC都会验证并执行该命令 CiscoIOS软件将EXEC会话分成了两个访问级别 用户EXEC模式 使用提示符 只查看模式 不允许对配置进行修改 特权EXEC模式 使用提示符 所有要进行的配置都从特权模式进入 4 CiscoIOS命令状态 1 帮助命令 字词帮助 紧跟命令字符的后面输入 系统将显示以输入字符开始的一系列命令 命令行格式帮助 当你对要输入的关键词或参数没有把握时 可以用 来代替 记住在 的前面需要插入空格 网络设备就会显示一系列可选的命令选项 在键入命令过程中可以使用 Tab 键帮助键入未输入完的命令 5 CiscoIOS常用命令 2 改变状态命令 3 显示命令 4 IOS文件管理命令 RAM NVRAM configterminal 控制台或终端 TFTP服务器 copyrunstart copystartrun copyruntftp copytftprun copytftpstart copystarttftp FLASH copytftpflash copyflashtftp erasestart 垃圾桶 IOS文件管理示意图 交换机的配置方式 控制台 Console口接终端或运行终端仿真软件 如超级终端 的PC机Telnet 可以通过Telnet配置TFTP 可以通过TFTP服务器下载配置信息SNMP 可以通过一个运行网管软件的工作站来管理配置 除了以上介绍的几种方法外 有些交换机还支持通过Web方式进行配置 第一次配置必须通过Console端口进行 只有当通过Console端口对交换机进行了相应的配置后 我们才可以通过其他的几种方式对它进行配置和管理 交换机基础配置 1 设主机名和密码hostnameswitchenablepasswordcisco 注 使用showrun可查看到该密码 ORenablesecrethngy 注 使用showrun查看不到该密码 若设置了enable密码后 交换机要求用户输入完enable命令后 在密码提示符后输入使能 enable 密码来访问特权模式 所以特权模式也叫做使能模式 enablesecret密码是非常安全的 因为它使用 MD5 加密 而enablepassword很容易破解 若同时配置了enablepassword和enablesecret 则交换机要求输入enablesecret命令所定义的密码 交换机将不接收enablepassword命令所定义的密码 IOS对于控制台及Telnet的配置使用术语线路 line 所以 控制台 Telnet口令要使用线路配置模式进行配置 一旦进入到各自的线路配置模式 就需要配置两个命令 passwordtext命令定义了在交换机询问口令时必须要输入的字符串 login命令告诉IOS口令是必须的 2 设置Console口 Telnet登录参数linecon0passwordciscologinlinevty04passwordciscologin 交换机端口配置 1 进入端口switch confterminalswitch config intf0 1 指定一个端口 switch config intrangef0 2 5 指定连续的一组端口 switch config intrangef0 6 f0 9 指定不连接的端口 激活端口switch config if noshutdown 2 配置二层端口 交换机端口默认都是二层端口 在支持三层交换的交换机上 我们可以将每一个端口都配置成路由端口 在进入端口配置状态下 输入 noswitchport 命令 如果一个端口已经配置为三层端口 我们可以在其端口状态下 输入 switchport 命令使其恢复为交换端口 示例 若SW3550中F0 2口已配成三层端口 现要恢复为二层端口 sw3550 configterminalsw3550 config intf0 2switch config if switchport 2 配置端口描述switch config intf0 6switch config if descriptionlinktovlan2switch config intf0 7switch config if descriptionlinktosw3560f0 24 1 配置端口速率及双工模式switch config intf0 1 配置一个端口 或switch config intrangef0 2 5 配置一组端口 switch config if speed100switch config if duplexfull full 全双工half 半双工auto 自动 3 配置三层端口 在交换机上所说的三层端口 往往指的是VLAN的虚拟接口或三层交换中使用了 noswitchport 命令后的普通物理端口 1 配置三层交换机端口IP地址示例 sw3560 config intf0 1sw3560 config if ipadd192 168 1 1255 255 255 0sw3560 config if noshut 2 配置二层交换机VLAN地址示例 sw2950 config intvlan2sw2950 config if ipadd192 168 2 1255 255 255 0sw2950 config if noshut switch config interfacef0 1switch config if switchportmodeaccessswitch config if switchportport securityswitch config if switchportport securitymac address 5 端口安全配置 4 监控及维护端口 交换机基本管理 2 保存配置现做的配置都记入在RAM中 running config文件 若需要保存所作的配置 需写入启动配置文件 startup config文件 中 switch copyrunstart 1 为交换机管理配置地址默认情况下所有端口都在VLAN1下 对VLAN1设置一个IP地址以方便管理switch conftswitch config interfacevlan1switch config if ipadd192 168 1 254255 255 255 0 1 虚拟局域网 VLAN 的概念 VLAN是一种逻辑上的局域网 它可以不考虑用户的物理位置而根据功能 应用等因素将用户逻辑上划分为一个个功能相对独立的虚拟网络 每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN 同一个VLAN中的成员都共享广播 而不同VLAN之间的广播信息是相互隔离的 这样 就将整个网络分割成多个不同的广播域 每一个VLAN均可看成是一个逻辑网络 发往另一个VLAN的数据包必须由路由器或具有路由功能的交换机转发 虚拟局域网VLAN及配置 VLAN的物理结构与逻辑结构 一个VLAN就是一个广播域 包含了一组连接具有相同属性且物理位置无关的接口一个VLAN对应一个IP子网段VLAN内部的单播 组播 广播数据只在VLAN内部传输实现VLAN间通信必须借助于路由器 或具有三层交换功能的交换机 VLAN的优点 隔离广播域减少网络管理开销 增强网络的安全性 实现组网的灵活性 VLAN在交换机上的实现方法 适用于局域网的主要有三类 2 VLAN的划分方法 1 基于端口划分的VLAN这是最常应用的一种VLAN划分方法 应用也最为广泛 最有效 目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法 2 基于MAC地址划分VLAN即对每个MAC地址的主机都配置属于哪个VLAN VLAN交换机跟踪属于VLANMAC的地址 3 基于网络层IP地址划分VLAN这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的 而且 用户可以在网络内部自由移动 但其VLAN成员身份仍然保留不变 1 VLAN范围VLAN的范围为1 4096 Vlan1是基本VLAN 所有未被划分的接口都属于Vlan1 Vlan0 Vlan4095 保留Vlan1 基本VLANVlan2 1001 用于以太网Vlan1002 FDDI DefaultVlan1003 Token Ring DefaultVlan1004 FDDInet DefaultVlan1005 TRnet defaultVlan1024 4094 用于扩展的以太网ISL封装只支持到1005 802 1Q支持全部 3 VLAN的配置 2 创建VLAN方法一 特权模式下 进入VLAN数据库模式switch vlandatabaseswitch vlan vlan2namezwswitch vlan vlan3方法二 全局模式下switch configtswitch config vlan4switch config namev4 3 VLAN的配置 3 删除VLAN方法一 VLAN数据库模式下switch vlandatabaseswitch vlan novlan2方法二 全局模式下switch configtswitch config novlan4 3 VLAN的配置 4 与接口的绑定 若没有绑定接口 接口默认都在VLAN1下 switch config intf0 2switch config if switchportmodeaccessswitch config if switchportaccessvlan2或switch config if intrangef0 3 8switch config if switchportmodeaccessswitch config if switchportaccessvlan3 5 显示VLAN显示整个VLAN信息 switch showvlan显示某个VLAN信息 switch showvlanbrief查看端口的详细信息和所属的VLAN信息 switch showintf0 2switchport 3 VLAN的配置 交换机的端口 可以分为以下两种 访问链接 AccessLink 指的是 只属于一个VLAN 且仅向该VLAN转发数据帧 的端口 在大多数情况下 访问链接所连的是客户机 汇聚链接 TrunkLink 交换机之间要传递VLAN信息时 所链接的端口要设置成指 Trunk 模式 VLAN中继协议及配置 中继 Trunk 主要用来传递多个VLAN的信息 1 中继 Trunk 的概念 中继 Trunk 独立于VLAN 能够连接不同的VLAN 能够跨越多个交换机的相同VLAN 网络设备间的级连采用Trunk方式 级连端口不属于任何设备 即该端口所建立的网络设备间的级连链路是所有VLAN进行通信的公用通道 当在由多个交换机互联的网络中使用VLAN时 需要在交换机之间使用VLAN中继 使用VLAN中继时 交换机标记发往中继线的每个帧 以便接收帧的交换机知道帧属于哪个VLAN 1 ISL Inter SwitchLink Cisco私有封装 支持1024个Vlan2 802 1q 国际标准封装 可支持4096个Vlan 4字节 VlanID字段 2 Trunk的封装 中继是连网技术中的重要组成部分 Cisco交换机支持两种不同的中继协议 ISL和IEEE802 1Q Cisco的1900只支持ISL 2950只支持802 1q 2970及以上两种都支持 intf0 24switchporttrunkencapsulation ISL 802 1q switchportmodetrunkshowinttrunk 3 Trunk的配置 VTP是一种通过Trunk来进行VLAN管理的协议 属于Client Server方式 首先 VTP包含域的概念 只有处在同一个域内的交换机才构成一个管理体系 其次 对于整个域内VLAN的添加和删除都是在服务器端完成的 修改的结果通过Trunk发给客户端 客户端的VLAN数据库也会发生相应的变化 4 VLAN中继协议VTP Vlantrunkprotocol 1 VTP作用通过VTP协议来动态管理Vlan 同步VTP域中Vlan的信息2 VTP相关概念VTP协议的参数 VTP版本VTP配置修订号VTP域名VTP修剪VTP密码VLAN信息 要一致 修订号高的同步配置低的 要相同 Vlan号 Vlan名 可进行VTP修剪Pruning 3 VTP的工作模式 Server服务器模式Client客户机模式Transparent透明模式 可在本地创建 删除 修改vlan可以产生 发送 接收 处理VTP信息可以保存vlan信息 不能创建 删除 修改vlan可以发送 接收 处理VTP信息 只接收转发 不处理 不产生VTP信息可在本地创建 删除 修改vlanVTP配置修订号始终为0 4 VTP的同步原则 VTP域名不能为空VTP域名必须一致配置修订号高的同步配置修订号低的只同步Vlan信息 不同步Vlan与接口绑定信息只在trunk传输VTP信息 5 VTP的配置 配VTP域名 switch config vtpdomainhngy设VTP模式 switch config vtpmode server client transparent 查看VTP状态 switch showvtpstatus 6 VTP的修剪 Pruning switch config vtppruning VTP修剪是在trunk链路上自动修剪vlan流量的制度 VTP修剪阻止掉广播和未知目标单播流向在vlan中没有任何端口的交换机 VTP修剪是使用VTP最重要的两个原因之一 另一个原因是使vlan配置更容易 更灵活 VLAN间路由 VLAN在第2层执行网络分区和通信量分离 所以 如果没有具有路由功能的第3层设备 VLAN间就不能通信 因为网络层 第3层 设备负责在多个广播域间通信 要在VLAN间提供路由选择必须具有3个条件 1 一个具有VLAN能力的交换机2 一个路由器或具有路由功能的交换机3 在交换机和路由器之间配置特定的连接方式 V2 V3 VLAN间路由发展过程 1 三层及以上交换机VLAN间路由配置 2 单臂路由器进行VLAN间路由配置 园区网典型布署 1 交换机基础性配置2 设置VTPDOMAIN VTPMODE3 配置中继 中心 分支交换机上都设置 4 创建VLAN 在VTPServer上设置 5 将交换机端口划入VLAN6 配置VLAN间路由 1 布署方案 2 案例拓朴 F0 23 F0 24 trunk trunk 1楼2950 1 2楼2950 2 大楼交换机3560 F0 1 5 F0 24 F0 24 F0 6 10 F0 1 5 F0 6 10 Vlan10 Vlan20 Vlan10 Vlan20 3 命名及VLAN和IP地址分配 二 配置实现 1 交换机基础性配置SW3560 switch configtswitch config hostnamesw 3560SW2950 1 switch configtswitch config hostnamesw 2950 fl1SW2950 2 switch configtswitch config hostnamesw 2950 fl2 2 设置VTPDOMAIN及VTP模式SW 3560 config vtpdomainciscoSW 3560 config vtpmodeserverSW 2950 fl1 config vtpdomainciscoSW 2950 fl1 config vtpmodeclientSW 2950 fl2 config vtpdomainciscoSW 2950 fl2 config vtpmodeclient 二 配置实现 3 配置中继SW356