交换与路由实用配置技术(第二版)第2章-交换机基础

交换与路由实用配置技术(第二版)第2章——交换机基础第一页，共58页。第2章交换机基础贵州电子信息职业技术学院曹炯清第二页，共58页。第二章目录2.1中继器和集线器2.1.1中继器的工作原理2.1.2集线器的工作原理2.1.3集线器的端口类型2.1.4集线器的分类2.1.5冲突域的概念2.2交换机的产生和工作原理2.2.1交换网络产生的背景2.2.2网桥的工作原理和广播域的概念2.2.3交换机工作原理第三页，共58页。第二章目录2.3交换机概述2.3.1交换机的功能概述2.3.2交换机的体系结构2.3.3交换机的交换方式2.3.4交换机的性能指标2.3.5交换机的分类第四页，共58页。第二章目录2.4交换机配置基础2.4.1交换机的外观和端口命名方法2.4.2带外管理和带内管理2.4.3交换机的配置模式2.4.4交换机的存储介质和启动过程2.4.5交换机配置技巧2.4.6常用的交换机配置命令2.5交换机常用配置2.5.1交换机管理安全配置2.5.2交换机配置文件、IOS的备份和IOS的升级第五页，共58页。2.1中继器和集线器交换与路由实用配置技术第六页，共58页。2.1.1中继器的工作原理中继器只是对衰减的信号进行放大恢复，它完成物理线路的连接，保持与原数据相同，不对原数据本身做任何改动，也就是说中继器工作于物理层，只是对物理层的比特流信号进行再生恢复。中继器是最简单的物理层网络设备，最终目的就是为了延长网络的布线距离。信号是数据在传输过程中的表现方式通过中继器网络布线距离得到了延长，但是同样还是不能有两台计算机同时发送数据，因为中继器并不能隔离冲突第七页，共58页。2.1.2集线器的工作原理集线器的英文称为“HUB”，它的实质就是多端口的中继器。它和中继器一样，也是工作于OSI/RM的物理层。用集线器进行连接的网络，从物理拓扑结构上看是星型拓扑结构，但从其工作原理上看，也就是从逻辑结构上看，其本质还是总线型拓扑结构。第八页，共58页。2.1.3集线器的端口类型集线器通常都提供四种类型的端口，即RJ45端口、BNC端口、AUI端口和堆叠端口，另外可能还有光纤SC端口。第九页，共58页。2.1.4集线器的分类1．按照端口数量划分：主要有8口、16口和24口.2．按照带宽划分：通常可分为10M、100M、10/100M自适应。在这里要说明的一点就是这里所指的带宽是指整个集线器所能提供的总带宽，而非每个端口所能提供的带宽。在集线器中所有端口都是共享集线器背板带宽的，也就是说如果集线器带宽为10Mbps，总共有16个端口，16个端口同时使用时则每个端口的平均带宽只有10／16Mbps。当然所连接的节点数越少，每个端口所分得的带宽就会越多。另外有些可供管理的集线器提供CONSOLE端口。第十页，共58页。2.1.5冲突域的概念冲突域就是连接在同一共享传输介质上的所有工作站的集合,或者说是同一物理网段上所有节点的集合,或者说是以太网上竞争同一带宽的节点集合。第十一页，共58页。2.2交换机的产生和工作原理交换与路由实用配置技术第十二页，共58页。2.2.1交换网络产生的背景共享式网络存在的问题如下：随着网络接入节点的增多，冲突增多，线路上数据有效传输严重下降，线路上充斥着大量无效无用的冲突信号，而严重影响网络的性能。网络的扩大，数据流量应该本地化，也就是本地的两台计算机之间的通信，不应该影响其他计算机之间的数据通信。由于共享信道广播式通信，网络传输中数据的安全性无法得到保证，容易被窃听。由于共享信道广播式网络存在以上的缺点，为了有效地隔离冲突域，即将一个大的冲突域减小为多个小的冲突域，从而减少冲突的发生第十三页，共58页。2.2.1交换网络产生的背景局域网内交换设备如何隔离冲突域的呢？其基本的思路就是将共享信道广播式网络中的共享信道改变成为交换式网络的独享信道第十四页，共58页。2.2.2网桥的工作原理和广播域的概念1．网桥的由来在交换机出现之前，整个网络可以使用网桥来隔离冲突的。由于网桥对于冲突信号可以进行丢弃，那么LAN1内的冲突不会影响到LAN2和LAN3，LAN2内的冲突不会影响到LAN1和LAN3，LAN3内的冲突不会影响LAN1和LAN2。就可以实现A与B数据通信的同时，C与D之间、E与F之间都能够同时进行数据通信。第十五页，共58页。2.2.2网桥的工作原理和广播域的概念2．网桥的工作原理网桥工作在OSI模型的数据链路层，属于二层设备，这一点是与中继器和集线器完全不一样的，中继器和集线器工作于物理层，处理的信息单元是比特流信号，而网桥处理的信息单元是数据链路层的数据帧。第十六页，共58页。2.2.2网桥的工作原理和广播域的概念网桥工作的五个特性学习源MAC地址、泛洪未知目的帧、转发数据帧、过滤数据帧、泛洪广播帧

第十七页，共58页。2.2.2网桥的工作原理和广播域的概念3.广播域的概念网桥可以隔离冲突，但由于网桥不能隔离广播帧，也就是网络中任意一台计算机发送一个广播帧，整个广播域中的所有计算机都会接收这个广播帧只有路由器、三层交换机等3层设备可以隔离广播域，也可以用虚拟局域网VLAN技术来隔离广播域第十八页，共58页。2.2.3交换机工作原理1．交换机工作原理交换机实质就是多端口网桥，就是交换机可以识别连在网络上的节点的网卡MAC地址，并把它们放到MAC地址表中，这个表类似于网桥的桥接表，同样具有网桥的学习源MAC地址、泛洪广播帧、泛洪未知目的帧、转发数据帧和过滤数据帧的五大特性第十九页，共58页。2.2.3交换机工作原理2．交换机、网桥、中继器和集线器的区别第二十页，共58页。2.2.3交换机工作原理交换机的实质就是多端口网桥，其工作原理也是按照MAC地址表进行学习源MAC地址、泛洪广播帧、泛洪未知目的帧、转发数据帧和过滤数据帧，也就是交换机的每一个端口为一个冲突域，交换机的所有端口同为一个广播域。第二十一页，共58页。2.3交换机概述交换与路由实用配置技术第二十二页，共58页。2.3.1交换机的功能概述交换机除了五个特性功能以外，交换机还有一些主要功能：VLAN技术生成树技术链路聚合技术端口安全技术端口镜像技术流量控制技术第二十三页，共58页。2.3.2交换机的体系结构1．总线结构：低端产品第二十四页，共58页。2.3.2交换机的体系结构2．共享存储器结构：中低端产品第二十五页，共58页。2.3.2交换机的体系结构3．交换矩阵结构：高端产品第二十六页，共58页。2.3.3交换机的交换方式直通式、存储转发式和碎片隔离方式三种数据帧交换方式，其中存储转发方式是交换机的主流交换方式第二十七页，共58页。2.3.4交换机的性能指标转发方式背板带宽：也叫交换带宽或交换能力包转发速率MAC地址表大小延时VLAN支持（标准为IEEE802.1q）生成树支持（标准为IEEE802.1d、802.1w、802.1s）流量控制支持（标准为IEEE802.3x）链路聚合支持（标准为IEEE802.3ad）QOS支持管理功能第二十八页，共58页。2.3.5交换机的分类1．根据传输介质和传输速度划分：分为传统以太网交换机、快速以太网交换机、千兆以太网交换机、万兆以太网交换机等2．根据交换机端口结构划分：分为固定端口交换机和模块化交换机3．根据网络分层设计来划分：分为接入层交换、汇聚层交换和核心层交换第二十九页，共58页。2.3.5交换机的分类神州数码公司的接入层、汇聚层、核心层交换机系列产品第三十页，共58页。2.4交换机配置基础交换与路由实用配置技术第三十一页，共58页。2.4.1交换机的外观和端口命名方法说明：自本章节开始，本教程中实验可以用模拟器完成的内容，均以CISCO公司的产品为主进行举例介绍，模拟器软件采用CISCOPacketTracer5.3或GNS3，有关模拟器软件的使用参阅本教材实验手册，举例中所用到的配置命令均可适用于CISCO公司的产品，但由于CISCO的IOS版本不同，可能会造成配置命令的一些差异，请读者自行访问CISCO公司网站获取更为详细的产品信息。对于实验无法用模拟器完成的内容，则以神州数码公司的产品作为辅助介绍产品。第三十二页，共58页。2.4.1交换机的外观和端口命名方法1．交换机的外观CISCO公司的Catalyst2960-24TT第三十三页，共58页。2.4.1交换机的外观和端口命名方法交换机的模块主要分为GBIC和SPF两类。千兆位端口转换器GBIC插槽位于交换机上，可安装GBIC模块，GBIC模块分为两类，一是普通级联使用的GBIC模块，实现与其他网络设备的连接，连接端口有电口和光口之分（电口即RJ45接口，光口通常为光纤的SC接口），二是堆叠专用的GBIC模块，实现与其他交换机的堆叠连接。小型化可插入器件SFP可以简单理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半，可以在相同的面板上配置多出一倍以上的端口数量。第三十四页，共58页。2.4.1交换机的外观和端口命名方法2．交换机端口的命名交换机端口的命名规范为：端口类型堆叠号/交换机模块号/模块上端口号（如交换机不支持堆叠，则没有堆叠号）第三十五页，共58页。2.4.2带外管理和带内管理1．带外管理:带外管理（Out-BandManagement），就是不占用网络带宽的管理方式，即用户通过交换机的Console端口对交换机进行配置管理。“开始”→“程序”→“附件”→“通讯”→“超级终端”第三十六页，共58页。2.4.2带外管理和带内管理2．带内管理：就是需要占用网络带宽的管理方式。通过TELNET客户端软件使用TELNET协议登录到交换机进行管理；通过SSH客户端软件使用SSH协议登录到交换机进行管理；通过Web浏览器使用HTTP协议登录到交换机进行管理；通过网络管理软件（如CiscoWorks）使用SNMP协议对交换机进行管理。第三十七页，共58页。2.4.3交换机的配置模式一般用户配置模式：提示符为“>”，这是一种“只能查看”的模式，不能更改交换机已有的配置。特权用户配置模式：提示符为“#”，这种模式支持调试debug命令和各种测试命令，支持对交换机的详细检查、对配置文件的操作，并且可以由此进入配置模式。全局配置模式：提示符为“(config)#”，在全局配置模式，用户可以对交换机进行全局性的配置。用户在全局模式还可通过命令进入到其他子模式进行配置。在全局配置模式下，使用命令interface就可以进入到相应的端口配置模式。在全局配置模式下，使用命令vlan就可以进入到VLAN配置模式在全局配置模式下，使用命令ipaccess-list可以进入到访问控制列表配置模式。在全局配置模式下，使用命令line可以进入到线路配置模式。第三十八页，共58页。2.4.3交换机的配置模式第三十九页，共58页。2.4.4交换机的存储介质和启动过程1．交换机中的存储介质BOOTROM：BOOTROM是交换机的基本启动版本即硬件版本（或者称为启动代码）的存放位置，交换机加电启动时，会首先从ROM中读取初始启动代码，由它引导交换机进行基本的启动过程，主要任务包括对硬件版本的识别和常用网络功能的启用等SDRAM：SDRAM是交换机的运行内存，主要用来存放设备的当前运行配置文件running-config和加载交换机操作系统IOS。FLASH：FLASH存放有交换机操作系统，即交换机的软件版本或者操作代码。NVRAM：NVRAM中存放交换机启动配置文件，即startup-config。第四十页，共58页。2.4.4交换机的存储介质和启动过程2．交换机启动过程启动配置文件：startup-config文件，存放于NVRAM中，并且在交换机每次启动后加载到内存SDRAM中，变成为运行配置文件running-config。运行配置文件：running-config文件，驻留在内存SDRAM中，当通过交换机的CLI命令行接口对交换机进行配置时，配置命令被实时添加到运行配置文件中并被立即执行，但是这些新添加的配置命令不会被自动保存到NVRAM中。第四十一页，共58页。2.4.5交换机配置技巧支持快捷键和帮助功能常用Tab键（命令补全），？（帮助信息），no（否定命令）第四十二页，共58页。2.4.6常用的交换机配置命令clockset：用于设置系统日期和时钟Switch#clockset11:28:1621march2009Switch#showclock*11:41:19.724UTCSatMarch212009Switch#Hostname：用于设置设备的名称Switch(config)#hostnamecisco2960cisco2960(config)#

enablepassword：用于设置交换机的enable密码Switch(config)#enablepasswordgzeicenablesecret：用于设置交换机的enable密码Switch(config)#enablesecretcisco第四十三页，共58页。2.4.6常用的交换机配置命令shutdown：用于临时将某个端口关闭Switch(config)#interfacefastEthernet0/1Switch(config-if)#shutdownSwitch(config-if)#noshutdownearsestartup-config：用于删除启动配置文件Switch#erasestartup-configreload：用于重新启动交换机（热启动）Switch#reloadProceedwithreload?[confirm]write：用于将当前运行配置文件保存到NVRAM中成为启动配置文件Switch#writeBuildingconfiguration...[OK]第四十四页，共58页。2.4.6常用的交换机配置命令showmac-address-table：用于显示交换机上的MAC地址表的内容。showflash：用于显示保存在FLASH中的文件及大小showinterface：用于显示交换机的端口信息showrunning-config：显示当前运行状态下的交换机运行配置文件showstartup-config：显示交换机启动配置文件showversion：显示交换机版本信息第四十五页，共58页。2.5交换机常用配置交换与路由实用配置技术第四十六页，共58页。2.5.1交换机管理安全配置交换机在网络中作为一个中枢设备，大量的业务数据要通过交换机来进行传送转发。如果交换机的配置内容被攻击者修改，很可能造成网络的工作异常甚至整体瘫痪，从而失去网络通信的能力。因此往往网络管理员都要对交换机的管理安全进行配置，保证其运行的安全。第四十七页，共58页。2.5.1交换机管理安全配置1．Console口管理安全配置：配置要求：用户从Console口进入到交换机一般用户配置模式时，要求检查用户名和密码。Switch>enableSwitch#configureterminalSwitch(config)#usernamegzeicpasswordappleSwitch(config)#lineconsole0Switch(config-line)#loginlocalSwitch(config-line)#exec-timeout10Switch(config-line)#exitSwitch(config)#exitSwitch#writeSwitch#reloadUserAccessVerificationUsername:gzeicPassword:*****Switch>第四十八页，共58页。2.5.1交换机管理安全配置1．Console口管理安全配置：配置要求：用户从Console口进入到交换机一般用户配置模式时，只检查密码。Switch>enableSwitch#configureterminalSwitch(config)#lineconsole0Switch(config-line)#passwordpearSwitch(config-line)#loginSwitch(config-line)#exec-timeout10Switch(config-line)#exitSwitch(config)#exitSwitch#writeSwitch#reloadUserAccessVerificationPassword:****Switch>第四十九页，共58页。2.5.1交换机管理安全配置2．TELNET方式管理安全配置第五十页，共58页。2.5.1交换机管理安全配置2．TELNET方式管理安全配置配置要求：用户TELNET登录进入到交换机一般用户配置模式时，要求检查用户名和密码。Switch>enableSwitch#configureterminalSwitch(config)#interfacevlan1Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#exitSwitch(config)#ipdefault-gateway54Switch(config)#usernamegzeicpasswordpineappleSwitch(config)#linevty04Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#第五十一页，共58页。2.5.1交换机管理安全配置2．TELNET方式管理安全配置配置要求：用户TELNET登录进入到交换机一般用户配置模式时，只检查密码。Switch>enableSwitch#configureterminalSwitch(config)#interfacevlan1Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#exitSwitch(config)#ipdefault-gateway54Switch(config)#linevty04Switch(config-line)#passwordwatermelonSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#第五十二页，共58页。2.5.1交换机管理安全配置3．Enable密码配置交换机配置命令enablepassword和enablesecret。4．SSH方式管理安全配置因为TELNET在网络上使用明文传送口令和数据，会造成对网络设备安全性的威胁。SSH的英文全称是SecureShell。通过使用SSH，可以把所有传输的数据进行加密。比较出名的SSH客户端软件为SecureCRT。第五十三页，共58页。2.5.1交换机管理安全配置4．SSH方式管理安全配置Switch#configureterminalSwitch(config)#interfacevlan1Switch(config-if)#ipaddressSwitch(config-if)#noshutdownSwitch(config-if)#ipdomain-nameSwitch(config)#cryptokeygeneratersaThenameforthekeyswillbe:SChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048%Generating2048bitRSAkeys,keyswillbenon-exportable...[OK]Switch(config)#usernamegzeicpasswordgrapeSwitch(config)#li