计算机网络实验教程 朱小明 27750-005

第五章：交换机配置基础,5.1交换机的基本概念5.2VLAN5.3VTP协议交换机配置实验,5.1交换机的基本概念,交换机一般是工作在OSI参考模型第二层的网络连接设备，它可以识别设备的硬件（第二层）地址一台交换机的每个端口与其他端口在不同的冲突域上交换机也被称为多端口网桥它与网桥的主要区别是：网桥的桥接功能是通过软件实现的；交换机的交换功能是通过硬件实现的,5.1.1交换机的三种交换方式,直通式（CutThrough）存储转发（Store&Forward）碎片隔离（FragmentFree）,5.1.2VLAN的基本概念,虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布用以标准化VLAN实现方案的802.1Q协议标准草案,5.1.3生成树协议,生成树协议STP（SpanningTreeProtocol）是交换式以太网中的重要概念和技术，该协议的目的是在实现交换机之间的冗余连接的同时，在网络中避免环路的出现，提高网络的可靠行IEEE802.1D是关于交换机/网桥的基本生成树协议，IEEE802.1w/802.1s是当前最新生成树协议规范BPDU,网桥BPDU,帧格式,IEEE802.1d数据帧,5.2VLAN中继,5.2.1VTP协议,VTP域是拓朴中所有VLAN的集合VTP有三种工作模式：即服务器模式、客户机模式和透明模式。,5.2.2VLAN端口的分类,访问端口访问端口一般用于连接那些不支持VLAN技术的终端设备，如PC机和大多数服务器等。这些端口接收到的数据帧不包含VLAN标签，向外发送的数据帧也不包含VLAN标签trunk端口Trunk端口通常是交换机互连的端口，或者交换机和路由器互连的端口，同时路由器的连接接口需要创建多个逻辑子接口,5.2.3VLAN数据帧跨交换机的传输,当交换机的一个访问端口收到一个标记数据帧时，它将该数据帧丢弃当访问端口收到一个未标记的帧时，就把该帧打上vlanid交换机的trunk端口，当接收到一个未标记数据帧时，就将该端口PVID值插入到帧的VID部分，构成标记帧，然后将帧在端口pvid与帧中vid相同的端口转发；当接收到一个标记帧时，如果帧中vid与接收端口的pvid值一致时，就将帧在端口pvid与帧中vid相同的端口转发,实验三十九交换机基础配置,实验拓扑,实验步骤,1、为交换机上设置enable密码switchenableswitch#configt/进入全局配置模式switch(Config)#enablepasswordleveladminCurrentpassword:/原密码为空，直接回车Newpassword:*/输入密码Confirmnewpassword:*switch(Config)#exitswitch#write,实验步骤,2、清空交换机的配置switchenableswitch#setdefaultAreyousure?Y/N=yswitch#writeswitch#showstartup-configThisisfirsttimestartupsystem.switch#reloadProcesswithreboot?Y/Ny,实验步骤,3、showflash命令switch#showflashfilenamefilelengthnos.img2620035bytesstartup-config0bytesrunning-config783bytesswitch#switch#write,实验步骤,4、设置交换机系统日期和时钟switch#clockset?switch#clockset15:29:50CurrenttimeisMONJAN0115:29:502009switch#clockset15:29:50?-Dateswitch#clockset15:29:502009.01.16,实验四十交换机VLAN划分,实验拓扑,实验步骤,1、交换机恢复出厂设置switch#setdefaultswitch#writeswitch#reload2、给交换机设置IP地址即管理IP（可选设置）switch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddress192.168.11.11255.255.255.0switch(Config-If-Vlan1)#noshutdown,实验步骤,3、创建vlan100和vlan200switch(Config)#vlan100switch(Config-Vlan100)#exitswitch(Config)#vlan200,实验步骤,4、给vlan100和vlan200添加端口switch(Config)#vlan100switch(Config-Vlan100)#switchportinterfaceethernet0/0/1-8switch(Config)#vlan200switch(Config-Vlan200)#switchportinterfaceethernet0/0/9-165.显示VLAN信息switch#showvlan,实验步骤,5、验证实验,实验四十一二层交换机trunk配置,实验拓扑,实验步骤,1.在交换机中创建vlan100和vlan200，并添加端口switchA(Config)#vlan100switchA(Config-Vlan100)#switchportinterfaceethernet0/0/1-8switchA(Config)#vlan200switchA(Config-Vlan200)#switchportinterfaceethernet0/0/9-162.交换机B：配置与交换机A一样,实验步骤,3.设置交换机Trunk端口switchA(Config)#interfaceethernet0/0/24switchA(Config-Ethernet0/0/24)#switchportmodetrunkSettheportEthernet0/0/24modeTRUNKsuccessfullyswitchA(Config-Ethernet0/0/24)#switchporttrunkallowedvlanall4.交换机B：配置同交换机A。,实验步骤,5.验证实验,实验四十二三层交换机逻辑接口及路由配置,实验拓扑,实验步骤,1、在交换机中创建vlan10和vlan20，并添加端口switchA(Config)#vlan10switchA(Config-Vlan10)#switchportinterfaceethernet0/0/1-8switchA(Config)#vlan20switchA(Config-Vlan20)#switchportinterfaceethernet0/0/9-16交换机B：配置与交换机A一样。交换机C：SwitchC(Config)#vlan10switchC(Config-Vlan10)#exitswitchC(Config)#vlan20switchC(Config-Vlan20)#exit,实验步骤,2.设置交换机trunk端口switchA(Config)#interfaceethernet0/0/24switchA(Config-Ethernet0/0/24)#switchportmodetrunk交换机B：配置同交换机A交换机C：switchC(Config)#interfaceethernet0/0/1-2switchC(Config-Port-Range)#switchportmodetrunk,实验步骤,3、交换机C添加vlan接口地址switchC(Config)#interfacevlan10switchC(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0switchC(Config-If-Vlan10)#noshutswitchC(Config-If-Vlan10)#exitswitchC(Config)#interfacevlan20switchC(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.04、验证实验验证PC机的连通性,5.3交换机的安全配置,AM（AccessManagement）功能使用交换机AM（AccessManagement）的功能实现IP地址到MAC地址的灵活绑定，并通过在端口加载，使三者更有效的结合在一起，解决网络安全问题ACL(AccessControlLists)是交换机实现数据包过滤机制,实验四十三交换机MAC地址与端口绑定,实验拓扑,实验步骤,配置表交换机管理IP：10.10.1.11/24PC1IP:10.10.1.101/24MAC：00-a0-d1-d1-07-ffPC2IP:10.10.1.102/24MAC:00-14-38-1d-ba-01(1)交换机IP地址为10.10.1.11/24，PC1的地址为10.10.1.101/24；PC2的地址为10.10.1.102/24。(2)在交换机上作MAC与端口绑定。(3)PC1在不同的端口上Ping交换机的IP，检验理论是否和实验一致。(4)PC2在不同的端口上Ping交换机的IP，检验理论是否和实验一致。,实验步骤,1、得到PC1主机的mac地址C:Ipconfig/allEthernetadapter本地连接:Connection-specificDNSSuffix.Description.:RealtekRTL8139/810 xFamilyFastEthernetNICPhysicalAddress.:00-A0-D1-D1-07-FFDhcpEnabled.:NoIPAddress.:10.10.1.101SubnetMask.:255.255.255.0DefaultGateway.:10.10.1.254,实验步骤,2.使能端口的MAC地址绑定功能，动态学习MAC并转换switch(Config)#interfaceethernet0/0/1switch(Config-Ethernet0/0/1)#switchportport-securityswitch(Config-Ethernet0/0/1)#switchportport-securitylockswitch(Config-Ethernet0/0/1)#switchportport-securityconvertswitch#showport-securityaddressSecurityMacAddressTable-VlanMacAddressTypePorts100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1-TotalAddressesinSystem:1MaxAddresseslimitinSystem:1283、使用Ping命令验证,实验四十四AM实现,实验拓扑,AM实验内容,(1)交换机IP地址为10.10.1.11/24，PC1的地址为10.10.1.101/24；PC2的地址为10.10.1.102/24；(2)在交换机0/0/1端口上作PC1的IP、MAC与端口绑定；(3)PC1在0/0/1上ping交换机的IP，检验理论是否和实验一致；(4)PC2在0/0/1上ping交换机的IP，检验理论是否和实验一致；(5)PC1和PC2在其他端口上ping交换机的IP，检验理论是否和实验一致。,实验步骤,1、得到PC1主机的MAC地址2、配置交换机的IP地址switch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddress10.10.1.11255.255.255.03、启用AM功能switch(Config)#amenableswitch(Config)#interfaceethernet0/0/1switch(Config-Ethernet0/0/1)#ammac-ip-pool00-A0-D1-D1-07-FF10.10.1.101switch#showamAmisenabledinterfaceEthernet0/0/1ammac-ip-pool0