组网技术与配置（第3版）（第12章）

组网技术与配置,（第3版）,清华大学出版社ISBN978-7-302-34697-5,第12章交换机的配置,清华大学出版社ISBN978-7-302-34697-5,第12章交换机的配置,12.1交换机标识与分类12.2Cisco交换机的配置12.3虚拟局域网（VLAN）12.4VLAN的配置12.5VLAN之间的路由配置12.6用Telnet远程配置交换机12.7通过Web界面访问交换机的配置12.8三层交换机配置12.9三层交换机的动态路由12.10交换机的系统维护,12.1交换机标识与分类,12.1.1交换机的命名和标识12.1.2Cisco交换机产品的分类,12.1.1交换机的命名和标识,Cisco的交换机产品以“Catalyst”为商标Cisco交换机的命名格式如下：CatalystNNXX-C-M-A/-EN其中，NN是交换机的系列号XX对于固定配置的交换机来说是端口数，对于模块化交换机来说是插槽数有-C标志表明带光纤接口-M表示模块化-A和-EN分别是指交换机软件是标准板或企业版Catalyst交换机采用的操作系统有两种,12.1.2Cisco交换机产品的分类,1.低端产品CiscoCatalyst1900系列和Catalyst2900系列是低端的典型产品2.中端产品中端产品中Catalyst3500系列使用广泛，很有代表性3.高端产品Catalyst6000系列交换机为园区网提供了高性能、多层交换的解决方案,CiscoCatalyst三款系列交换机的技术指标,CiscoCatalyst6500系列,不同型号CiscoCatalyst6500机箱所提供的插槽数不同，例如，CiscoCatalyst6509提供有9个插槽,12.2Cisco交换机的配置,12.2.1配置交换机的方式12.2.2交换机的常规配置12.2.3交换机MAC地址的绑定与管理12.2.4清除交换机配置的方法,12.2.1配置交换机的方式,1.交换机的内部组成2.配置交换机的方式1）用Console线把配置计算机直接连接到Console端口进行配置2）通过网络计算机以Telnet方式进行配置3）通过Web或网管软件对交换机进行一些基本的配置和管理3.交换机的启动顺序,12.2.2交换机的常规配置,1交换机密码设置！login密码2950-A(config)#enablepasswordlevel12Cisco网络设备的SNMP配置3.配置管理用IP地址2950-A(config)#interfacevlan12950-A(config-if)#ipaddress4安全MAC地址设置switch(config-if)#switchportport-securitymac-address5端口安全性设置6端口安全性设置违规时采取的措施,12.2.3交换机MAC地址的绑定与管理,可以给某些端口分配一个静态的IP地址，重新启动交换机后，这个地址仍然会存在默认情况下，交换机的MAC地址表项是动态，会定期更新。在某端口上设置了静态MAC地址后，只允许该MAC地址对应的设备才能连接到该端口在全局配置模式下设置静态MAC地址：switch(config)#mac-address-tablestaticvlaninterface在特权模式下，可以用showmac-address-table命令查看端口-MAC地址表,12.2.4清除交换机配置的方法,主要步骤描述如下switchenableswitch#setdefaultAreyousure?y/n=yswitch#write！清空系统启动配置文件startup-configswitch#showstartup-configThisisfirsttimestartupsystem.switch#reloadProcesswithreboot?y/n=yswitch#showflashswitch#write！将运行的配置文件写入系统启动配置文件,12.3虚拟局域网（VLAN）,12.3.1使用VLAN的原因12.3.2VLAN技术12.3.3静态VLAN和动态VLAN12.3.4VLAN主干传输协议标准12.3.5VLAN间的主机通信,12.3.1使用VLAN的原因,应用程序和协议是引起广播风暴的主要原因。在正常的网络环境中，网络广播是无所不在的例如：查询MAC地址的ARP协议包、路由协议包、ICMP控制报文包等信息都属于正常的广播。所以，需要在保证网络正常使用广播的情况下，有效地减少广播风暴的发生虚拟局域网(VirtualLocalAreaNetwork，VLAN)技术也能够有效地解决网络中的广播风暴问题,12.3.2VLAN技术,VLAN允许一组不同物理位置的用户群共享一个独立的广播域，可以在一个物理网络中划分多个VLAN，使得不同的用户群属于不同的广播域，这样的逻辑划分与物理位置无关，通过划分用户群控制广播范围。VLAN技术能够从根本上解决网络效率与安全性等问题,12.3.3静态VLAN和动态VLAN,1静态VLAN(StaticVLAN)2动态VLAN(DynamicVLAN)1）基于MAC地址的VLAN划分这种划分方式，一个交换机端口同时只能属于一个VLAN，在相同VLAN中的动态VLAN用户可以灵活地移动，在用户随意移动端口时，交换机能够为动态VLAN用户自动地选择正确的VLAN配置，而不必由网络管理员进行手动分配2）基于IP地址的VLAN划分该方式是根据连接到交换机端口上的主机IP地址来划分VLAN。只有识别IP包的交换机即第三层交换机，才能用这种方式来定义VLAN,12.3.4VLAN主干传输协议标准,1）IEEE802.1Q标准它是由IEEE建立的通用连接标准，在每个数据帧中的特定字段中建立一个标识IEEE802.1Q属于通用型标准2）ISL(Inter-Switch-Link)标准属于Cisco的自有标准，是Cisco为自己的交换机建立的一种专用标准它主要适用于快速以太网和千兆以太网的连接，应用于交换机端口、路由器端口以及服务器端口接口类设备的配置,12.3.5VLAN间的主机通信,1使用路由器通常在路由器的一个端口上对应每一个VLAN建立一个逻辑子接口由于路由器只有一个端口连接到交换机中，所以称为单臂路由器2使用第三层交换机早期的交换机只能在单个交换机上划分VLAN，目前的交换机均支持在交换机之间划分VLAN,12.4VLAN的配置,12.4.1VLAN配置步骤12.4.2设置VTP域名和模式（在跨越交换机时使用）12.4.3在同一个交换机上创建VLAN12.4.4创建跨越交换机的VLAN12.4.5动态VLAN的配置方法,12.4.1VLAN配置步骤,创建VLAN时，需要给出VLAN号，在特权模式下输入：switch#vlandatabaseswitch(vlan)#vlan2返回特权模式，进入全局配置模式，再进入端口配置模式，将交换机的端口加入到VLAN中(以交换机端口5为例)。switch(config)#interfacefa0/5switch(config-if)#switchportmodeaccessswitch(config-if)#switchportaccessvlan2,从VLAN中取消交换机端口,从VLAN中取消交换机端口(按上面过程，先进入端口配置模式)：switch(config-if)#noswitchportaccessvlan2从VLAN数据库中删除VLAN2配置：switch#vlandatabaseswitch(vlan)#novlan2在对VLAN2删除以后，原来分配给VLAN2的端口处于非激活状态，需要将这些交换机端口逐个从原属于的VLAN中去掉，恢复为默认设置，或再次分配给VLAN，才能激活这些端口,12.4.2设置VTP域名和模式,在不同的交换机之间配置VLAN时，需要使用VLAN主干协议(VLANTrunkingProtocolVTP)VLAN有三种模式：server；client；transparent，默认模式是serverVTP域只有在server和transparent下才可以创建VLAN。设置命令如下：switch#vlandatabaseswitch(vlan)#vtpdomainswitch(vlan)#vtpserverclienttransparent在不同交换机上设置同一个VALN时，它们的VTP域名和必须相同,12.4.3在同一个交换机上创建VLAN,采用CiscoCatalyst2950交换机连接两台计算机PC-A、PC-B,CiscoCatalyst2950交换机的后面板,后面板设计有用于交换机配置连接的控制端口（Console），电源连接器等。控制端口的连接器为RJ45，通过两端提供RJ45、DB-9控制连接的传输线（全反线），另一端与计算机的RS-232串口连接器DB-9连接,选择加入vlan2的交换机端口：2950-A#configterminal2950-A(config)#interfacerangefa0/5-82950-A(config-if)#switchportmodeaccess2950-A(config-if)#switchportaccessvlan2,12.4.4创建跨越交换机的VLAN,实验环境采用两台CiscoCatalyst2950，交换机之间用交叉线通过设置的trunk端口连接，实验中两台交换机分别连接计算机PC-A、PC-B。两台计算机虽分别与两台交换机连接，但经过配置后它们属于同一个VLAN,2950-A#configterminal2950-A(config)#interfacefa0/12950-A(config-if)#switchportmodeaccess2950-A(config-if)#switchportaccessvlan3选择用作trunk的端口24，进入端口配置模式：2950-A(config)#interfacefa0/242950-A(config-if)#switchportmodetrunk,12.4.5动态VLAN的配置方法,基于MAC地址的VLAN划分方法是使用配置命令mac-vlanvlan基于IP地址的VLAN划分方法是使用配置命令subnet-vlan可以使用protocol-vlan命令配置基于协议的VLAN,12.5VLAN之间的路由配置,12.5.1单臂路由12.5.2对Cisco3750交换机的配置12.5.3对Cisco2811路由器的配置(单臂路由)12.5.4对Cisco2950交换机的配置12.5.5对VLAN之间路由配置的测试,12.5.1单臂路由,配置环境采用一台Cisco2811路由器，一台Cisco3750交换机、一台交换机Cisco2950交换机。交换机之间用交叉线通过设置的trunk端口连接，Cisco2811路由器的网络接口fa0/0通过直通线与Cisco3750交换机的trunk端口连接。划分有VLAN2、VLAN3。两台计算机PC-A和PC-B通过直通线分别与交换机Cisco3750和Cisco2950连接,CiscoCatalyst3750交换机,前面板设计有交换机状态指示灯、交换机端口（RJ45连接器接口）,后面板设计有用于交换机配置连接的控制端口（Console），电源连接器、堆叠连接模连接位置,12.5.2对Cisco3750交换机的配置,C3750(vlan)#vlan2namemarketC3750(vlan)#vlan3namedevelopC3750(vlan)#vtpserverC3750#configterminalC3750(config)#interfacerangefa1/0/1-4C3750(config-if-range)#switchportaccessvlan2C3750(config-if-range)#intrangefa1/0/5-8C3750(config-ifi-range)#switchprotaccessvlan3C3750(config)#intfa1/0/24C3750(config-if)#switchporttrunkencapsulationdot1qC3750(config-if)#switchportmodetrunkC3750(config-if)#exitC3750(config)#intfa1/0/23C3750(config-if)#switchprottrunkencapsulationdot1qC3750(config-if)#switchprotmodetrunk,12.5.3对Cisco2811路由器的配置(单臂路由),Router(config)#interfacefa0/0Router(config-if)#noshutdownRouter(config-if)#intfa0/0.2Router(config-subif)#encapsulationdot1q2Router(config-subif)#ipaddRouter(config-subif)#noshutdownRouter(config-subif)#intfa0/0.3Router(config-subif)#encapsulationdot1q3Router(config-subif)#ipaddRouter(config-subif)#noshutdown,对局域网网络接口fa0/0设置子接口fa0/0.2、fa0/0.3，分别对应VLAN2、VLAN3，并对子接口封装dot1q协议,12.5.4对Cisco2950交换机(Client模式)的配置,C2950(vlan)#vtpclientC2950(vlan)#exitC2950#showvlanbriefC2950#configterminalC2950(config)#intfa0/24C2950(config-if)#switchprotmodetrunkC2950(config)#interfacerangefa0/1-4C2950(config-if-range)#switchportaccessvlan2C2950(config-if-range)#intrangefa0/5-8C2950(config-ifi-range)#switchprotaccessvlan3,由于Cisco2950被设置为Client模式，则被设置为Server模式的Cisco3750交换机上的vlan2、vlan3设置会自动传递给Cisco2950交换机,12.5.5对VLAN之间路由配置的测试,1）用直通线将PC-A、PC-B计算机分别接入两个VLAN（vlan2、vlan3），vlan2对应两个交换机的端口14，vlan3对应两个交换机的端口58，两个VLAN网段的网络号分别为，2）设置PC-A计算机的IP地址，网关地址为.。1PC-B计算机的IP地址，网关地址为，两台计算机的子网掩码均为。通过单臂路由配置实现互连两个VLAN上的计算机3）测试连通性分别在PC-A计算机或PC-B计算机上执行以下命令测试VALN之间路由的连通性,12.6用Telnet远程配置交换机,12.6.1为交换机开启登录权限和操作权限12.6.2使用Telnet对交换机进行远程管理,12.6.1为交换机开启登录权限和操作权限,可以通过交换机的控制端口对交换机进行配置外，还可以用Telnet通过交换机的普通端口，远程配置交换机对交换机进行远程配置操作之前，需要确认并做好三项工作：给交换机配置用于远程管理的IP地址交换机需要开启远程管理功能交换机已经通过普通端口连接到以太网上，并且运行Telnet的PC机也连接到同一个以太网的网段上，所设置的IP地址网络标识是一样的,为交换机配置管理IP地址,C2950#configterminalC2950(config)#interfacevlan1！打开交换机管理VLANC2950(config-if)#noshutdowm！开启交换机管理VLANC2950(config-if)ipaddress！为交换机配置管理地址C2950(config-if)exit！返回全局配置模式C2950(config)#,为交换机开启远程登录权限,通过输入命令“linevtyXY”开启交换机远程登录权限其中：X标识虚拟终端号，终端号的取值范围为032，一般建议取0；Y标识同时登录的用户数，一般建议取4接着输入命令“passwordZpassword”配置远程登录密码，其中：Z的可能取值为0或7，0标识输入的密码为明文形式，7标识输入的密码为密文形式，一般建议取0C2950#configterminalC2950(config)#linevty04！开启交换机远程登录权限C2950(config-line)#password0cisco！配置远程登录密码为cisco,为交换机开启特权级操作权限,当配置交换机结束后，建议立即取消特权级操作权限，避免留下安全后患。为交换机开启特权级操作权限的过程是：C2950#configterminalC2950(config)#enablesecretlevel150star！配置进入特权模式密码其中，特权级操作权限的范围为015，最高为15，虚拟终端号为0，特权模式密码为star。,12.6.2使用Telnet对交换机进行远程管理,使用网络线缆将运行Telnet的PC机，与要远程配置的交换机的以太网端口进行连接，并确保PC机的IP地址和交换机的管理IP地址属于同一个网段在运行WindowsXP的PC机上单击“开始”按钮，选择“运行”项在弹出的运行对话框中，输入命令行“Telnet”，按“确定”按钮，登录到远程交换机登录到远程交换机以后，PC机进入命令行窗口，接着输入远程登录访问权限密码,12.7通过Web界面访问交换机的配置,12.7.1交换机的Web管理12.7.2交换机Web管理配置过程,12.7.1交换机的Web管理,现在的交换机大部分都支持通过Web界面的访问。通过Web界面访问交换机也是属于远程访问方法，也需要事先为交换机配置管理接口此外，还需要将交换机配置成HTTP服务器，需要在交换机上开启HTTP服务功能，若有需要，还可以启用HTTP服务的身份验证功能，可以控制有哪些网络用户能够通过Web方式访问交换机,12.7.2交换机Web管理配置过程,开启交换机HTTP服务并配置Web认证的命令是：Switch(config)#iphttpserver！启动HTTP服务Switch(config)#iphttpauthenticationenable！HTTP服务器接口为使用enable类型的身份验证1）交换机管理接口的配置2）配置交换机的Web端口3）在PC机上通过Web界面访问交换机,12.8三层交换机配置,12.8.1三层交换机配置要点12.8.2三层交换机配置,12.8.1三层交换机配置要点,用三层交换机实现VLAN间的路由，可以通过开启三层交换机SVI接口方法实现先在三层交换机上创建各个VLAN的虚拟接口SVI（SwitchVirtualInterface），并设置IP地址，将所有VLAN连接的PC主机的网关指向该SVI的IP地址三层交换机配置过程,12.8.2三层交换机配置,SW1与SW2之间通过各自的Trunk端口用交叉线连接，计算机PC2、PC3分别属于VLAN2、VLAN3，PC2、PC3与SW2之间用直通线连接。并对PC2、PC3进行设置：PC2的IP地址：，子网掩码：，默认网关：PC3的IP地址：子网掩码：，默认网关：在SW2先做好VLAN2，VLAN3的设置，把SW2的1-4端口划分到VLAN2，把SW2的5-8端口划分到VLAN3,创建虚拟接口SVI的配置过程,SW1划分网段标识，VLAN2的网络标识为/24，VLAN3的网络标识为/24，接着在SW1上为不同的VLAN创建虚拟接口SVI，创建虚拟接口SVI的配置过程描述如下。Switch1(config)#interfacevlan2Switch1(config-if)#ipaddress/对应VLAN2中的网关地址Switch1(config)#interfacevlan3Switch1(config-if)#ipaddress/对应VLAN3中的网关地址,开启三层交换机的路由交换功能,Switch1(config)#iprouting在三层交换机设置两个VLAN虚拟接口（虚拟路由器接口）SVI2和SVI3，分别与VLAN2和VLAN3相关联，虚拟接口用于连接不同的VLAN虚拟接口的IP网络标识与对应的VLAN一致。虚拟接口的IP地址分别作为VLAN2、VLAN3中计算机的默认网关地址查看和测试所配置的三层路由功能Switch#showinterfacevlan/查看虚拟接口是否启用,12.9三层交换机的动态路由,12.9.1动态路由RIP的配置12.9.2动态路由OSPF的配置,12.9.1动态路由RIP的配置,三层交换机配置RIP的过程如下：switch(config)#routerripswitch(config-router)#version2switch(config-router)#networkvlan2switch(config-router)#networkvlan3上面第一行选定和打开RIP协议，第三行设定运行RIP的网段可以使用norouterrip关闭RIP路由协议,12.9.2动态路由OSPF的配置,三层交换机配置OSPF的过程如下：switch(config)#routerospfswitch(config-router)#network/24area0switch(config-router)#network/24area0可以使用norouterospf关闭OSPF路由协议使用nonetw