ccna路由交换技术第5章

交换技术第5章本章目标通过本章的学习，您应该掌握以下内容:清楚集线器、交换机和路由器在网络中担当的角色和功能；懂得在什么情况下该用什么样的设备了解交换机的外观及内部组成掌握CiscoIOS的模式和功能实现基本的交换机配置熟悉交换机的操作掌握端口安全性的作用及配置ABCD物理层所有设备在同一冲突域所有设备在同一广播域所有设备共享相同的带宽集线器运行在物理层集线器：同一个冲突域接入设备越多冲突机率越大用CSMA/CD技术每段有自己的冲突域所有的段都在同一广播域所有设备独享带宽数据链路层或123124数据链路层设备图.通过桥接减少冲突每段有自己的冲突域广播信息向所有段转发缓冲区交换路由表目标网络端口距离124S0S0E01001.04.01.3E04.3S02.2E02.1S04.14.21.11.2路由表目标网络端口距离124E0S0S0001逻辑地址提供分层结构的网络需要的配置利用配置信息来识别到达目标网络的路径路由器路由器的功能广播信息控制多点发送信息控制路径优化流量管制逻辑寻址提供WAN连接思科交换机产品简介Cisco交换机产品以“Catalyst”为商标，包含500、2960、3560、3750、4500、4900、6500等7个系列。3750及以下的大部分型号属于固定配置式交换机，4500及以上的机型属于模块式交换机。2960及以下的型号属于二层交换机，3560及以上的机型属于三层或多层交换机

目前，网络集成项目中常见的Cisco交换机有2960系列、3560系列、6500系列，它们分别使用在网络的低端、中端和高端。

Catalyst2960-24交换机Catalyst3560-48交换机Catalyst6500系列交换机每个系列里有很多不同的型号，如：4500系列中有Catalyst4510R-E、Catalyst4507R-E等型号。

Catalyst交换机的命名格式：Catalyst

NNXX

[-C]

[-M]

[-A/-EN]

交换机的系列号对于固定配置的交换机来说是端口数，对于模块化交换机来说是插槽数带光纤接口模块化指交换机软件是标准版或企业版交换机的外观图：Catalyst1900系列前、后面板RJ45接口指示灯电源插口配置口交换机LED指示灯系统LED指示灯：指示系统是否通电并正常运行端口状态LED指示灯端口模式LED指示灯远程电源LED指示灯要学会通过观察LED灯来判断交换机的状态交换机的内部组成CPURAM/DRAMNVRAMFlashROMROM接口电路交换机使用的集成电路芯片ASIC存储运行配置相当于PC机的内存系统掉电时内容完全丢失存储备份配置文件系统掉电时内容不会丢失交换机的内部组成CPURAM/DRAMNVRAMFlashROMROM接口电路存储系统软件映像，启动配置文件等相当于PC机的硬盘系统掉电时内容不会丢失存储开机诊断程序、引导程序和操作系统软件相当于PC机的BIOS系统掉电时内容不会丢失用端口类型和位置（插槽号/端口号）进行标识。在Catalyst交换机上，有3种以太网端口类型：以太网端口（10Mbit/s）、快速以太网端口（100Mbit/s）和吉比特以太网端口（1000Mbit/s）。在固定配置的交换机上，插槽号总是为0。交换机的端口配置交换机的方法通过Console口来配置（带外管理）通过telnet配置（带内管理）通过web配置（带内管理）1.通过配置（Console）口连接交换机对于首次配置交换机，必须采用该方式。2.通过Telnet连接交换机前提：已通过Console控制口的方法设置交换机的IP地址和登录密码。3.通过Web配置前提：已设置交换机的IP地址。步骤：

（1）在Web浏览器的地址栏中键入交换机IP地址或域名；（2）在弹出的对话框中输入用户名和密码。（交换机的用户名及enable密码）

CiscoIOS

Cisco网际操作系统：CiscoInter-networkOperatingSystem，CiscoIOS提供命令行界面（CLI）键入命令后回车，设备即解析和执行所键入的命令两个主要命令模式是用户模式和特权模式不同的命令模式有不同的提示符CiscoIOSCLI命令模式用户模式

特权模式全局配置模式端口配置模式虚拟局域网参数配置模式（交换机）进程配置模式（1）用户模式启动后直接进入该模式。用户模式的提示符是：switch>仅能运行少数的命令，这些命令通常用于查看交换机/路由器简单运行状态、统计信息、执行一些最基本的测试命令，如ping、traceroute等。不能对交换机/路由器进行配置。（2）特权模式用户模式键入命令enable到特权模式。该模式的提示符：switch#可查看交换机/路由器的全部运行状态和统计信息，并可进行文件管理和系统管理。该模式是进入其它模式的关口。（2）特权模式该模式由密码保护例子：

switch>enablePassword:switch#（3）全局配置模式在特权模式下执行configterminal命令，即可进入全局配置模式。全局配置模式的提示符：switch(config)#该模式下的配置命令对整个交换机/路由器起作用。可配置交换机/路由器的全局参数，如主机名、密码、路由协议等。例子（1）：

假设要设置交换机的名称为student，则可使用hostname命令来设置：switch#configterminalswitch(config)#hostnamestudentstudent(config)#例子（2）：

假设要设置或修改进入特权模式的密码为ccc，则配置命令为：switch(config)#enablesecretccc或：switch(config)#enablepasswordccc注1：enablesecret命令设置的密码在配置文件中是加密保存的，而enablepassword命令设置的密码是采用明文保存的。注2：这两种密码区分大、小写。

（4）端口配置模式在全局配置模式下，执行interfaceinterface-type命令，即进入端口配置模式。interface-type为具体的端口名称，如：e0/1、f0/1、g0/3。端口配置模式提示符：switch(config-if)#可对选定的端口进行配置，如配置IP地址，设置端口速度等。

端口位置表示方法：插槽号/端口号例子：

假设要将Catalyst2950交换机的0号模块上的第3个快速以太网端口的端口通讯速度设置为100M，全双工方式，则配置命令为

：

switch(config)#interfacefastethernet0/3switch(config-if)#speed100switch(config-if)#duplexfullswitch(config-if)#endswitch#copyrunning-configstartup-config//将配置保存到NVRAM（5）虚拟局域网参数配置模式在全局配置模式下执行vlandatabase命令，进入虚拟局域网参数配置模式。database为具体的数字。该模式的提示符：switch(config-vlan)#在该模式下，可实现对VLAN（虚拟局域网）的创建、修改或删除等配置操作。（6）进程配置模式在全局配置模式下，执行linevty或lineconsole命令，将进入Line配置模式。该模式主要用于对虚拟终端（vty）和控制台端口进行配置，其配置主要是设置虚拟终端和控制台的用户级登录密码。例子（1）：

为控制端口（console）的登录设置密码ppp，设置方法为：

switch#configterminalswitch(config)#lineconsole0switch(config-line)#passwordppp//设置密码switch(config-line)#login//允许登录switch(config-line)#endswitch#copyrunning-configstartup-config //将配置保存到NVRAM例子（2）：

假设对0~4条虚拟终端线路设置登录密码ppp，其配置命令为

：

switch(config)#linevty04switch(config-line)#passwordpppswitch(config-line)#loginswitch(config-line)#endswitch#copyrunning-configstartup-config使用CLI时应注意的问题IOS命令不区分大小写。可随时使用？来获得命令行帮助。如：在普通模式下，直接输入？并回车，可获得在该模式下允许执行的命令帮助。在不引起混淆的情况下，支持命令简写。如：enable可简写为en；configureterminal可简写为configt或conft交换机命令模式一览switch(config)#switch>enableswitch#configtermExitCtrl-Z(end)配置模式模式提示Interfaceswitch(config-if)#VLANswitch(config-vlan)#Line switch(config-line)#disableCtrl-Z或end或Exit路由器模式一览配置模式模式提示Interface Router(config-if)#Subinterface Router(config-subif)#Controller Router(config-controller)#Line Router(config-line)#Router Router(config-router)#IPXrouter Router(config-ipx-router)#Router(config)#Router>enableRouter#configtermdisableCtrl-Z或end或ExitExitCtrl-Z(end)使用第2层交换机改进以太网

集线器的全部端口属于同一个冲突域，每次只有一台设备可以访问介质。共享以太网网段的设备越多，发生冲突的可能性越大。冲突发生后，设备将等待一段随机时间后再发送数据，以避免冲突再次发生，这个过程导致了延迟。交换机的每个端口都是一个独立的冲突域，消除冲突和介质争用问题。

MAC地址表的建立过程00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表最初开机时MAC地址表是空的。00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表E2:00-00-C0-15-AD-33泛洪：将帧转发到除入口外的所有端口

E0:00-00-C0-15-AD-11E1:00-00-C0-15-AD-22E3:00-00-C0-15-AD-44响应假设工作站A要将数据发送给工作站CMAC地址表的建立过程交换机根据以太网帧的源地址确定设备的位置。00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表E2:00-00-C0-15-AD-33E0:00-00-C0-15-AD-11E1:00-00-C0-15-AD-22E3:00-00-C0-15-AD-44假设工作站A要将数据发送给工作站B转发/过滤决策00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表E2:00-00-C0-15-AD-33E0:00-00-C0-15-AD-11E1:00-00-C0-15-AD-22E3:00-00-C0-15-AD-44假设工作站A要将数据发送给工作站B转发/过滤决策00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表E2:00-00-C0-15-AD-33E0:00-00-C0-15-AD-11E1:00-00-C0-15-AD-22E3:00-00-C0-15-AD-44假设工作站A要将数据发送给工作站B××转发/过滤决策1900最大Mac地址表可存1024个，一旦地址表满，就会洪泛所有到新Mac地址的帧，直到现存地址条目老化为止。Mac地址表条目默认老化时间是300秒，若两主机在该时间内未通信，该条目将被自动刷新。注意交换机与集线器相连的情况

×假设工作站A要将数据发送给工作站B00-00-C0-15-AD-1100-00-C0-15-AD-3300-00-C0-15-AD-4400-00-C0-15-AD-22ABDCE0E1E2E3MAC地址表E2:00-00-C0-15-AD-33E0:00-00-C0-15-AD-11E1:00-00-C0-15-AD-22E3:00-00-C0-15-AD-44广播地址和多播地址不能用作源地址，因此交换机无法获悉广播地址和多播地址。广播帧或多播帧泛洪到除源端口外的所有端口。工作站A发送一个广播帧或多播帧switch#showmac-address-table//显示MAC地址表switch(config)#mac-address-tablestaticmac-addressvlannumberinterfacetypeslot/port//指定静态MAC地址动态MAC地址：由交换机获悉的源MAC地址静态MAC地址：由管理员添加到MAC地址表中，永远不会过期。管理MAC地址表1、第2层交换机通常使用下列哪个以太网帧字段来判断应将帧转发到哪里？

A.源地址 B.目标地址 C.长度字段 D.类型字段 E.FCS

练习√2、将帧从除入站端口之外的所有端口发送出去被称为什么？

A.过滤 B.学习 C.指定端口

D.转发 E.泛洪

练习√3、下列哪几种帧将被泛洪？

A.多播帧 B.单播帧C.广播帧D.未知单播帧练习√√√4、一台应用程序服务器几乎不向外发送帧，因此当其他设备将数据发送给该服务器时，交换机将数据流从所有端口转发出去。管理员应如何配置交换机，以避免泛洪？练习A.由于应用程序服务器不会定期发送包含其地址的帧，因此交换机中针对该地址的条目将过期。可以为该服务器配置一个静态MAC地址表条目。将端口配置成安全端口，只允许特定设备与之相连。动态：指定多少MAC地址可使用该端口。动态获悉的地址在一定时间后将过期，并获悉新的地址，直到到达配置的最大地址数。静态：管理员静态地配置哪些MAC地址可使用端口。地址不会过期。结合使用静态配置和动态获悉。端口安全性配置端口安全性switch(config-if)#switchportmodeaccess

//将端口配置为接入端口（连接用户设备的端口）switch(config-if)#switchportport-security//启用端口安全性注意：不能将端口安全性应用于中继端口。配置端口安全性switch(config-if)#switchportport-securitymaximumvalue//规定最多有多少个地址可以连接到当前接口（value的取值为1~132）switch(config-if)#switchportport-securitymac-addressmac-address//将MAC地址加入到安全端口地址列表中switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}//地址违规时，对端口采取的措施（保护、限制、关闭）配置端口安全性地址违规时，对端口采取的措施：Shutdown（关闭）：把端口状态置为err-disable，要重新使用这个端口，必须手工激活或者禁止端口安全特性。Restrict（限制）：端口仍然处于活跃状态，但对于违规的数据将会被丢弃，并作统计信息，给系统的日志信息发送警报。（如果有黑客不停地伪造mac地址进行攻击，这时会不停地发送报警信息，对设备的性能有很大影响，所以不建议用这种模式。）Portect（保护）：端口仍然处于活跃状态，对于违规的数据将会被丢弃，但不发送警报。

配置端口安全示例实时媒体服务器大厅访客PC接入层

交换机Fa3/47Fa2/24503(config)#interf3/474503(config-if)#switchport4503(config-if)#switchportmodeaccess4503(config-if)#switchportport-security4503(config-if)#switchportport-securitymaximum14503(config-if)#switchportport-securitymac-address

0000.0000.00084503(config-if)#switchportport-securityviolation

restrict配置端口安全示例（续）实时媒体服务器大厅访客PC接入层

交换机Fa3/47Fa2/24503(config)#interf2/24503(config-if)#switchport4503(config-if)#switchportmodeaccess4503(config-if)#switchportport-security4503(config-if)#switchportport-securitymaximum14503(config-if)#switchportport-securitymac-address

0000.0000.00094503(config-if)