交换机原理及参数.ppt

第二讲交换机基本配置 2 内容要点 交换机的工作原理交换机的参数及选择策略交换机的基本配置 3 交换机简介 交换机是工作于OSI的第2层即数据链路层的设备 能识别MAC地址 通过解析数据帧中的目的主机的MAC地址 将数据帧快速地从源端口转发至目的端口 从而避免与其他端口发生碰撞 提高了网络的交换和传输速度 3层交换机是带路由功能的交换机 可工作在OSI的第3层 即网络层 也可工作在第2层 三层交换机作为三层设备使用时相当于一个多端口的路由器 三层交换机能根据IP地址转发数据包 4 交换机工作过程 1 刚启动后交换机的MAC地址表为空 MAC地址表 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 F0 1 F0 3 F0 2 F0 4 A C B D 5 交换机工作过程 2 主机A向主机C发送数据 源MAC添加到MAC地址表中 MAC地址表 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 F0 1 0260 8c01 1111 F0 1 F0 3 F0 2 F0 4 A C B D 6 交换机工作过程 3 经过一段时间 MAC地址表被填满A C 数据直接从F0 1转发到F0 2口 其它端口不被转发 F0 1 0260 8c01 1111 F0 2 0260 8c01 2222 F0 3 0260 8c01 3333 F0 4 0260 8c01 4444 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 X X MAC地址表 F0 1 F0 3 F0 2 F0 4 A C B D 7 交换机工作过程 4 未知单播帧 广播帧 执行广播操作Flooding 0260 8c01 1111 0260 8c01 2222 0260 8c01 3333 0260 8c01 4444 F0 1 F0 3 F0 2 F0 4 F0 1 0260 8c01 1111 F0 2 0260 8c01 2222 F0 3 0260 8c01 3333 F0 4 0260 8c01 4444 MAC地址表 A C B D 8 交换式以太网 交换机各端口是独享带宽 并可实现全双工通信 比如 1台100Mb s的24口交换机 其每个端口均可同时达到100Mb s的通信速度 9 可网管交换机的选择 1 可网管交换机的特点 1 提高网络稳定性 2 提高网络安全性 3 提高网络传输效率 4 支持复杂网络应用 5 支持远程监视与管理 2 可网管交换机的应用 1 中心交换机 2 汇聚层交换机 3 重要的工作组交换机 3 选购时应当考虑的问题 1 所处位置 2 网络应用 3 所处环境 4 设备兼容性 5 设备性能 可网管交换机在网络中的应用 10 交换机的组成 交换机的组成 软件部分 硬件部分 IOS操作系统 CPU 端口 存储介质 以太网端口 Ethernet 快速以太网端口 FastEthernet 吉比特以太网端口 GigabitEthernet 控制台端口 console 只读储存设备 Read OnlyMemory ROM 闪存 Flash 非易失性存储器 NVRAM 随机存储器 RAM 11 交换机的硬件组成 ROM Flash Interface CPU RAM 交换机操作系统 RGNOS 配置文件 config text 交换机当前运行的配置 running config MiniOS BootStart Console接口 12 交换机的访问方式 本地管理通过带外对交换机进行管理 PC与交换机直接相连 远程管理通过Telnet对交换机进行远程管理通过Web对交换机进行远程管理通过SNMP工作站对交换机进行远程管理 第一次配置交换机时 必须使用本地管理方式来配置管理 13 Console线 交换机 计算机 Console接口 COM接口 14 利用Telnet来登录连接交换机 设置交换机的管理IP地址和登录密码 将网线分别插入交换机的快速以太网口与计算机网卡 设置计算机的IP地址与交换机管理IP地址为同一网段 在DOS命令行输入并执行命令 telnetIP地址管理IP地址仅仅是为方便交换机的管理而设置的特殊地址 15 Telnet登录过程 16 IOS操作系统的特点 支持通过命令行 CLI 或Web界面来对交换机进行配置和管理 支持通过控制端口 Console 或Telnet会话来登录访问交换机 提供用户模式 特权模式 全局配置模式 接口配置模式 VLAN配置模式等多种级别的配置模式 以允许用户对交换机的资源进行配置 IOS命令不区分大小写 在不引起混淆的情况下 支持命令简写 比如enable通常可简约表达为en 可随时使用 来获得命令行帮助 支持命令行编辑功能 并可将执行过的命令保存下来 供运行历史命令查询 17 交换机的工作模式 用户模式 Switch 特权模式 Switch 配置模式全局配置模式Switch config 接口配置模式Switch config if VLAN配置模式Switch config vlan 线程配置模式Switch config line 18 各命令模式之间的层次关系 19 用户模式 当用户访问交换机时 自动进入用户模式 在用户模式下的用户级别称为普通用户级 普通用户级别能够使用的Exec命令 即可执行命令 只是特权用户级别Exec命令的一个子集 在这种况下 用户通常只能进行一些简单的测试操作 或者查看系统的一些信息 用户模式所能执行的Exec命令由设备提供的功能决定 要查看全部命令列表 在命令模式提示符下输入查询符号 用户模式默认提示符为 如交换机名为Switch 则进入用户模式后的提示符为 Switch 输入exit命令离开此模式 20 特权模式 也称 使能模式 在用户模式下进入特权模式 Switch enableSwitch 要返回到用户模式 可以输入exit命令 因为特权模式的命令管理着许多设备的运行参数 必须使用口令保护来防止非授权使用 所以从用户模式进入特权模式必须输入正确的口令 特权模式的命令集包含了用户模式的全部命令 如果系统管理员设置了特权级别的口令 则进入特权模式之前将提示需要输入口令 输入的口令在屏幕上不会显示 21 全局配置模式 全局配置模式提供了从整体上对交换机特性产生影响的配置命令 在特权模式下 使用configure或configureterminal命令进入该模式 其提示符默认为 交换机名 config 如交换机名为Switch 则进行全局配置模式后的提示符为Switch config 要返回到特权模式 输入exit命令或end命令 或者按Ctrl Z组合键 22 接口配置模式 接口配置模式只影响具体的接口 进入接口配置模式的命令必须指明接口的类型 在全局配置模式下 使用interface命令进入该模式 其提示符默认为 交换机名 config if 如交换机名为Switch 则进行入接口配置模式后的提示符为 Switch config if 要返回到特权模式 输入end命令 或按Ctrl Z组合键 要返回到全局配置模式 输入exit命令 在interface命令中必须指明要进入哪一个接口配置子模式 使用该模式配置交换机的各种接口 23 VLAN配置模式 使用该模式来配置具体VLAN相关的特性 用VLAN的ID来区分不同的VLAN 在全局配置模式下 使用vlanvlan id命令进入该模式 如交换机名为Switch 则进入此模式后的命令提示符默认为Switch config vlan 使用该模式配置VLAN参数 要返回到特权模式 输入end命令 或按Ctrl Z组合键 要返回到全局配置模式 输入exit命令 24 获得帮助 即可列出该命令模式下支持的全部命令列表 可以列出相同字母开头的命令关键字 或者每个命令的参数信息 使用TAB键自动补齐剩余命令单词 Switch 列出用户模式下所有命令Switch 列出特权模式下所有命令Switch s 列出用户模式下所有以s开头的命令Switch show 列出用户模式下show命令后附带的参数Switch showconf 自动补齐conf后剩余字母Switch showconfiguration 列出该命令的下一个关联的关键字IOS支持命令简写 即只需输入命令关键字的一部分字符 只要这部分字符足够识别唯一的命令关键字 如showrunning config命令可以写成以下形式 Switch showrun 显示配置当前配置 25 CLI提示信息 Ambiguouscommand showc 用户没有输入足够的字符 交换机无法识别惟一的命令 重新输入命令 紧接着发生歧义的单词输入一个问号 可能的关键字将被显示出来 Incompletecommand用户没有输入该命令的必需的关键字或者变量参数 Invalidinputdetectedat marker用户输入命令错误 符号 指明了产生错误的单词的位置 26 模式转换命令 enable 功能是从用户模式进入到特权模式 例如 Switch enableSwitch disable 功能是从特权模式退回到用户模式 例如 Switch exitSwitch 27 模式转换命令 configure 功能是从特权模式进入到全局配置模式 例如 Switch configureterminalSwitch config interface 在全局配置模式下运行此命令 功能是选择一个端口并进行设置 同时进入到接口配置模式 例如以下命令是选中快速以太网端口1 Switch config interfacefastEthernet0 1Switch config if 28 模式转换命令 exit 功能是退回到上级命令模式 例如 Switch config if exitSwitch config exitSwitch end 功能是直接从任何一种配置模式退回到特权模式 Switch config if endSwitch config end也可按Ctrl Z组合键vlan 在全局模式下运行此命令 功能是建立一个VLAN 并进入到VLAN配置模式 Switch config vlan10Switch config vlan 29 配置主机名和管理IP 1 设置主机名 设置交换机的主机名可在全局配置模式下进行 默认情况下 交换机的主机名默认为Switch 若要将交换机的主机名设置为student 则配置命令为 Switch config hostnamestudentstudent config exit 2 配置管理IP地址在二层交换机中 IP地址仅用于远程登录管理交换机 对于交换机的正常运行不是必需的 若没有配置管理IP地址 则交换机只能采用控制端口进行本地配置和管理 对二层交换机设置管理地址之前 首先应选择VLAN1接口 然后再利用ipaddress配置命令设置管理IP地址 student config interfacevlan1student config if ipaddress192 168 1 254255 255 255 0 30 配置远程登录密码和特权密码 远程登录密码是在执行telnet命令或通过浏览器访问交换机的过程中要求输入的密码 Switch enableSwitch configuretrminalSwitch config linevty04允许5个用户登陆Switch config line password123456设置telnet时的登陆密码Switch config line login使登陆密码生效 这个一定不能少 设置特权登录密码 Switch config enablesecretpassword密码以加密的密文存储Switch config enablepasswordpassword密码以未加密的明文存储交换机的特权密码是从用户模式进入特权模式时使用的 31 设置使用console线登陆密码Switch confing lineconsole0登陆进入console口Switch config line passwordcisco设置登陆console口密码Switch config line login使登陆密码生效 这个一定不能少 然后在从远端pc登陆交换机 操作步骤及其显示结果如下 PC telnet10 1 1 1Trying10 1 1 1 UserAccessVerificationPassword 输入最初设置的vty密码 switch enPassword 输入从用户模式登陆到特权模式的密码 Switch 配置远程登录密码和特权密码 32 查看配置信息 1 查看IOS版本Switch showversion2 查看配置信息 交换机的配置信息有两种 一是保存在FLASH中的交换机启动时的配置信息 Switch showstartup config另一个是当前起作用的配置信息 保留在内存中 如果不保存则在交换机重新启动后消失 Switch showrunning config 33 查看配置信息 3 查看端口信息若要查看某一端口的工作状态和配置参数 可使用showinterface命令来实现 其用法为 student1 showinterfacetypemod porttype代表端口类型 通常有Ethernet 以太网端口 通信速率为10Mb s FastEthernet 快速以太网端口 100Mb s GigabitEthernet 吉比特以太网端口 1000Mb s 如千兆光纤端口 和TenGigabitEthernet 万兆以太网端口 这些端口类型通常可简约表达为e fa gi和tengi mod port代表端口所在的模块和在该模块中的编号 例如 若要查看S3550交换机0号模块的24号端口的信息 则查看命令为 student1 showinterfaceFastEthernet0 24 34 实例演示 例 现在有一台新购进行二层交换机S2960 现要求配置其主机名为 netcenter 为以后管理方便 为交换机配置管理IP 172 16 0 1 为保护交换机设置其特权密码为CISCO并加密 设置其控制台端口密码为CONSOLE 设置其虚拟终端登录密码为TELNET 并能实现远程登录 采用模拟器进行演示配置过程 并进行验证和调试 35 MAC地址 MAC地址 通常也简称为物理地址或硬件地址 网卡的MAC地址是全球唯一的 MAC地址采用6字节48位二进制编码表示 前24位是由生产厂家向IEEE申请的厂商地址 后24位是由生产厂家给网卡设定的一个编号 MAC地址显示格式为 00 01 02 9A 08 B7 它采用十六进制数表示 MAC地址被记录在网卡的ROM中 在运行IOS操作系统的交换机中 MAC地址采用点三分格式表达 即表达为0001 029a 08b7格式 网络中的计算机通过该MAC地址来识别主机 并进行相互通信的 MAC地址是数据链路层使用的地址 IP地址是网络层使用的地址 36 选择端口 1 选择一个端口在对端口进行配置之前 应先选择所要配置的端口 端口选择命令为 interfacetypemod port2 选择多个端口用户可以使用全局配置模式下的interfacerange命令同时配置多个接口 interfacerangetypemod startport endport 37 配置以太网端口 1 为端口指定一段描述性文字 descriptionport description如果描述文字中包含有空格 则要用引号将描述文字引起来 2 设置端口的管理状态在接口配置模式下执行以下命令将一个端口关闭 shutdown在接口配置模式下执行以下命令将一个端口打开 noshutdown 38 配置以太网端口 3 设置端口通信速度配置命令 speed 10 100 1000 auto 默认情况下 交换机的端口速度设置为auto4 设置端口的单双工模式配置命令 duplex full half auto full代表全双工 Full duplex half代表半双工 Half duplex auto代表自动协商单双工模式 39 三层交换机简介 三层交换机是指具备三层路由功能的交换机 其端口 接口 可以实现基于三层寻址的分组转发 每个三层接口都定义了一个单独的广播域 在为接口配置好IP协议 设置IP地址 后 该接口就成为连接该接口的同一个广播域内其他设备和主机的网关 二层交换机使用的是MAC地址交换表 而三层交换机使用的是基于IP地址的交换表 40 端口的二层与三层选择 三层交换机的端口可用作二层的交换端口 也可用作三层的路由端口 默认当作二层端口使用 将端口设置为三层 配置命令 noSwitchport 将端口设置为二层 配置命令 Switchport 41 配置端口IP地址 对于IP网络 应为三层端口指定IP地址 该地址以后成为所联广播域内其他二层接入交换机和客户机的网关地址 IP地址配置命令 ipaddressaddressnetmask 删除接口的IP地址 noipaddress 三层端口默认状态一般是shutdown 所以一个接口配置完成后应立即使用noshutdown命令来启用此端口 42 交换机端口安全配置 背景描述 你是一个公司的网络管理员 公司要求对网络进行严格控制 为了防止公司内部用户的IP地址冲突 防止公司内部的网络攻击和破坏行为 为每一位员工分配了固定的IP地址 并且限制只允许公司员工主机可以使用网络 不得随意连接其他主机 例如 某员工分配的IP地址是172 16 1 55 24 主机MAC地址是00 06 1B DE 13 B4 该主机连接在1台2126G上 实验目的 掌握交换机的端口安全功能配置 控制用户的安全接入 实验设备 交换机 1台 直连线 1条 PC 1台 43 交换机端口安全配置 技术原理交换机端口安全功能 是指针对交换机的端口进行安全属性的配置 从而控制用户的安全接入 交换机端口安全主要有两种类型 一是限制交换机端口的最大连接数 二是针对交换机端口进行MAC地址 IP地址的绑定 限制交换机端口的最大连接数可以控制交换机端口下连的主机数 并防止用户进行恶意ARP欺骗 交换机端口的地址绑定 可以针对IP地址 MAC地址 IP MAC进行灵活的绑定 可以实现对用户进行严格的控制 保证用户的安全接入和防止常见的内网的网络攻击 44 交换机端口安全配置 配置了交换机的端口安全功能后 当实际应用超出配置的要求 将产生一个安全违例 产生安全违例的处理方式有3种 Protect当安全地址个数满后 安全端口将丢弃未知名地址的包Restrict当违例产生时 将发送一个Trap通知 Shutdown当违例产生时 将关闭端口并发送一个Trap通知 当端口因违例而被关闭后 在全局配置模式下使用命令errdisablerecovery来将接口从