教学课件-网络设备安全配置(林宏刚)

第1章网络技术基础1.1网络的基本概念1.1.1计算机网络的历史现代意义上的计算机网络是1969年美国国防部高级研究计划局（DARPA）建成的ARPAnet实验网20世纪70年代后期是关于通信网大发展的时期，各发达国家政府部门、研究机构和电报电话公司都在发展分组交换网络。OSI/RM标志着第三代计算机网络的诞生。此时的计算机网络在共同遵循OSI标准的基础上，形成了一个具有统一网络体系结构，并遵循国际标准的开放式和标准化的网络。20世纪90年代，Internet产生并以惊人速度发展。1.1.2数据交换方式

电路交换，电路交换也称为线路交换，它类似于电话系统，希望通信的计算机之间必须实现建立物理电路。整个电路交换的过程包括建立电路、数据传输和释放电路三个阶段。报文交换的数据传输单位是报文，报文就是站点一次性要发送的数据块，其长度不限且可变。当一个站要发送报文时，它将一个目的地址附加到报文上，网络节点根据报文上的目的地址信息，把报文发送到下一个节点，一直逐个节点地转送到目的节点。分组交换是报文交换的一种改进，它将报文分成若干个分组，每个分组的长度有一个上限。分组交换有虚电路分组交换和数据报分组交换两种。它是计算机网络中使用最广泛的一种交换技术。

1.1.3网络的体系结构计算机网络系统是一个十分复杂的系统。将一个复杂系统分解为若干个容易处理的子系统，然后“分而治之”，这种结构化设计方法是工程设计中常见的手段。计算机网络的体系结构就是采用层次化结构来定义计算机网络系统的组成方法和系统功能，它将一个网络系统分成若干层次，并且规定了每个层次应该实现的功能以及应该向上层提供的服务，同时规定了两个系统的各个层次实体之间进行通信时应该遵守的协议。层次模型网络协议在计算机网络系统中，为了保证通信双方能正确地、自动地进行数据通信，针对通信过程的各种情况，制定了一整套约定，这就是网络系统的通信协议。一个网络协议主要由语法、语义和时序三大要素组成。1.4OSI/RM模型OSI（OpenSystemInterconnection）参考模型，即OSI/RM，开放式系统互连参考模型。是由国际标准化组织（ISO，该组织成立于1947年，由多个国家组成）在1984年发布。OSI参考模型属于分层结构体系，由七层组成，从最低层到最高层依次为：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，每一层由不同的交换的数据单元组成，独立完成各层功能。应用层协议表示层协议会话层协议传输层协议图1-3OSI/RM参考模型及每层交换单元数据流层数据流层1.1.5TCP/IP模型TCP/IP（TransmissionControlProtocol／InternetProtocol），即传输控制协议／网际协议，是一组用于实现网络互连的通信协议集，它包括上百个各种功能的协议。目前是Internet上所采用的基本通信协议，而且局域网、城域网几乎都采用了兼容性强的TCP/IP。通常，将TCP／IP协议体系划分为四层，分别为网络接口层，网际互联层，传输层，应用层。1.1.6OSI与TCP/IP模型比较TCP/IP模型和OSI参考模型之间的相似之处在于：

一是二者都采用了分层思想和模块化思想。这样有利于整个网络体系结构的稳定，即任何一层的改变都不会影响到整个体系结构的稳定性；二是二者都对计算机网络进行了明显的功能划分，各层都在分界最明显的地方进行了分界。这样可以减少各层之间的相互影响。TCP/IP模型和OSI参考模型之间的区别体现在三个方面：

尽管OSI参考模型只是一个概念模型，但它是一个理想的网络体系结构，所以该模型的层次划分、层与层之间的界限划分都非常科学。相比之下，TCP/IP模型对层的划分、层与层之间的界限划分不像OSI参考模型那样明显。是由于OSI参考模型的设计非常科学，有时甚至过于复杂，所以不利于实现，它一直没有成为事实上的国际标准。而TCP/IP模型中各层之间虽然没有明显划分，但它易于实现，其效率和健壮性也很好，所以它适用于各种网络，并且已成为事实上的国际标准。OSI参考模型对计算机网络抽象的认识非常好，所以在计算机网络的研究和教育领域中都有很多应用。此外，OSI参考模型还促进了TCP/IP的标准化以及其他网络协议的标准化，这也是OSI参考模型的可贵之处。图1-4TCP／IP与OSI／RM各层对比应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网际互联层网络接口层OSI／RMTCP/IP协议1.1.7数据的封装与解封

当我们应用程序用TCP传输数据的时候，数据被送入协议栈中，然后逐个通过每一层，知道最后到物理层数据转换成比特流，送入网络。而再这个过程中，每一层都会对要发送的数据加一些首部信息。整个过程如上图。每一层数据是由上一层数据+本层首部信息组成的，其中每一层的数据，称为本层的协议数据单元，即PDU这种协议栈逐层向下传递数据，并添加报头和报尾的过程称为封装。电信号传输到对端后，按照相反的方式逐层剥离报头和报尾的过程称为解封。1.2网络的相关术语1.2.1网络的性能指标

速率即数据率(datarate)或比特率，是计算机网络中最重要的一个性能指标。速率的单位是b/s，或kb/s,Mb/s,Gb/s等，比特（bit）是计算机中数据量的单位。“带宽”(bandwidth)本来是指信号具有的频带宽度，单位是赫（或千赫、兆赫、吉赫等）。计算机网络中的“带宽”一般是指数字信道所能传送的“最高数据率”的同义语，单位是“比特每秒”，或b/s(bit/s)，同速率定义。

带宽单位有：即kb/s（103b/s），Mb/s（106b/s），Gb/s（109b/s），Tb/s（1012b/s，太比每秒）要特别注意KB/S与Kb/S的差异吞吐量(throughput)表示在单位时间内通过某个网络（或信道、接口）的数据量。吞吐量更经常地用于对现实世界中的网络的一种测量，以便知道实际上到底有多少数据量能够通过网络。吞吐量受网络的带宽或网络的额定速率的限制。时延，(delay或latency)，时延即在数据发送、网络传输过程中引起的时间延迟，时延包括如下几个方面。数据经历的总时延就是发送时延、传播时延、处理时延和排队时延之和：总时延=发送时延+传播时延+处理时延+排队时延发送时延发送数据时，数据块从结点进入到传输媒体所需要的时间。也就是从发送数据帧的第一个比特算起到该帧的最后一个比特发送完毕所需的时间，计算公式如下：

发送时延=数据块长度（比特）/信道带宽（bit/s）传播时延

电磁波在信道中需要传播一定的距离而花费的时间。信号传输速率（即发送速率）和信号在信道上的传播速率是完全不同的概念。传播时延=信号在信道上的传播速率（米/秒）/信道长度（米）处理时延

交换结点为存储转发而进行一些必要的处理所花费的时间。排队时延结点缓存队列中分组排队所经历的时延。排队时延的长短往往取决于网络中当时的通信量。1.2.2网络的拓扑结构网络拓扑结构是指抛开网络电缆的物理连接来讨论网络系统的连接形式，是指网络电缆构成的几何形状，它能从逻辑上表示网络服务器、工作站的网络配置和互相之间的连接。网络拓扑结构按形状可分为：星型、环型、总线型、树型及总线/星型及网状拓扑结构。星型拓扑结构

星型布局是以中央结点为中心与各结点连接而组成的，各结点与中央结点通过点与点方式连接，中央结点执行集中式通信控制策略，因此中央结点相当复杂，负担也重。星型拓扑结构优点：网络结构简单，便于管理、集中控制，组网容易，网络延迟时间短，误码率低。缺点：网络共享能力较差，通信线路利用率不高，中央节点负担过重，容易成为网络的瓶颈，一旦出现故障则全网瘫痪。环形网中各结点通过环路接口连在一条首尾相连的闭合环形通信线路中，环路上任何结点均可以请求发送信息。请求一旦被批准，便可以向环路发送信息。环形网中的数据可以是单向也可是双向传输。环形网的优点：信息在网络中沿固定方向流动，两个结点间仅有唯一的通路，大大简化了路径选择的控制；某个结点发生故障时，可以自动旁路，可靠性较高。缺点：由于信息是串行穿过多个结点环路接口，当结点过多时，影响传输效率，使网络响应时间变长；由于环路封闭故扩充不方便。用一条称为总线的中央主电缆，将相互之间以线性方式连接的工站连接起来的布局方式，称为总线形拓扑。在总线结构中，所有网上微机都通过相应的硬件接口直接连在总线上，任何一个结点的信息都可以沿着总线向两个方向传输扩散，并且能被总线中任何一个结点所接收。树形结构是总线型结构的扩展，它是在总线网上加上分支形成的，其传输介质可有多条分支，但不形成闭合回路，树形网是一种分层网，其结构可以对称，联系固定，具有一定容错能力，一般一个分支和结点的故障不影响另一分支结点的工作，任何一个结点送出的信息都可以传遍整个传输介质，也是广播式网络。网状拓扑结构，将多个子网或多个局域网连接起来构成网际拓扑结构。1.2.3局域网

网络为一个单位所拥有，且地理范围和站点数目均有限。局域网具有如下特点：网络所覆盖的地理范围比较小。通常不超过几十千米，甚至只在一个园区、一幢建筑或一个房间内。数据的传输速率比较高，从最初的1Mbps到后来的10Mbps、100Mbps，近年来已达到1000Mbps、10000Mbps。具有较低的延迟和误码率，其误码率一般为10−8～10−11。便于安装、维护和扩充，建网成本低、周期短。1.2.4广域网

广域网(WAN，WideAreaNetwork)也称远程网。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个城市或国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络。常用的广域网技术包括：异步拨号、数字数据网(DDN)、专线、帧中继网络、异步传输模式(ATM)、xDSL和电缆接入等技术。1.2.5城域网

城域网(MetropolitanAreaNetwork；MAN)，一般来说是在一个城市，但不在同一地理小区范围内的计算机互联。在一个大型城市或都市地区，一个MAN网络通常连接着多个LAN网。目前主要的宽带城域网技术方案有三种：新一代SDH多业务传输平台MSTP城域网、WDM光城域网和光以太网城域网。1.3网络的介质1.3.1铜介质双绞线(TP：TwistedPairwire)同轴电缆1.3.2光缆

光缆是为了满足光学、机械或环境的性能规范而制造的，利用置于包覆护套中的一根或多根光纤作为传输媒质并可以单独或成组使用的通信线缆组件。高折射率(纤芯)低折射率(包层)光线在纤芯中传输的方式是不断地全反射1.3.3无线传输介质

无线传输介质也称为非导向传输介质。随着技术的发展和各种应用尤其是移动通信需求的不断出现，传统的有线网络存在的弊端逐渐显现，并成为影响和限制网络应用的一个因素。无线通信系统的产生和应用，弥补了有线网络的不足，成为目前的应用和技术热点。无线通信的方法有无线电波、微波和红外线。WLAN概念

无线局域网(WLAN)是一种无线数据网络，它是以无线方式构建的局域网，或者说，是不需要使用线缆设备相连的局域网络。WLAN利用电磁波在空气中发送和接收数据，而无需线缆介质。今天的大多数WLAN都在使用2.4GHz(802.11b/g)和5GHz(802.11a)的频段，这是世界范围内RF频谱中为非特许设备而保留的频段。无线局域网常用的实现技术有：家用射频工作组提出的HomeRF、Bluetooth(蓝牙)以及美国的802.11协议和欧洲的HiperLAN2协议等。目前无线局域网是以IEEE802.11协议为基础的，这是目前无线局域网领域中占主导地位的无线局域网标准。？AnyQuestion第2章以太网技术及交换机基本配置2.1以太网的技术基础2.1.1以太网发展历史20世纪70年代产生于施乐公司最初的以太网使用粗同轴电缆为传输介质，为共享式以太网，会产生冲突利用CSMA/CD算法解决共享信道内的信道争用问题1978年，DEC公司、Intel公司和Xerox拟定了一个针对10Mbps以太网的标准，成为DIX标准1983年，DIX标准演变成IEEE802.3标准随着以太网技术的发展，百兆、千兆、万兆的标准相继出台2.1.2IEEE802.3和OSI模型

IEEE802局域网体系结构只对应于OSI／RM的数据链路层和物理层，如图所示，以太网将数据链路层的功能划分到了两个不同的子层：逻辑链路控制(LLC)子层和介质访问控制(MAC)子层。图2-1IEEE802局域网体系结构会话层应用层表示层传输层网络层数据链路层物理层OSI/RMLLC层MAC层物理层以太网IEEE802参考模型IEEE802.3IEEE802.2对于以太网，IEEE802.2标准规范LLC子层的功能，而802.3标准规范MAC子层和物理层的功能。局域网对LLC子层是透明的，只有到MAC子层才能见到具体局域网。局域网链路层有两种不同的数据单元：LLCPDU（LLC子层协议数据单元）和MAC帧（介质访问控制子层协议数据单元）。高层的协议数据单元传到LLC子层的时候，会加上适当控制信息，便构成了LLCPDU；LLCPDU再向下传到MAC子层的时候，也会在首部和尾部加上控制信息，便构成了MAC子层的协议数据单元MAC帧。2.1.3以太网MAC地址

为协助确定以太网中的源地址和目的地址，创建了称为介质访问控制(MAC)地址的唯一标识符。MAC地址由48比特长，12个的16进制数字组成，0到23位是厂商向IETF等机构申请用来标识厂商的代码，也称为“编制上唯一的标识符”（OrganizationallyUniqueIdentifier)，是识别LAN（局域网）结点的标志。MAC地址的24到47位由厂商自行分派，是各个厂商制造的所有网卡的一个唯一编号。在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC位址。因此一个网卡会有一个全球唯一固定的MAC地址，但可对应多个IP地址。2.1.4以太网帧结构

以太网网络中仍然在用的以太网帧结构，主要有四种不同格式，分别为：EthernetII，也称为DIX2.0，Xerox与DEC、Intel在1982年制定的以太网标准帧格式。Cisco将其称为ARPA。这是最常见的一种以太网帧格式，也是今天以太网的事实标准。Ethernet802.3raw，Novell在1983年公布的专用以太网标准帧格式。Cisco将其称为Novell-Ether。Ethernet802.3SAP，IEEE在1985年公布的Ethernet802.3的SAP版本以太网帧格式。Cisco将其称为SAP。Ethernet802.3SNAP，IEEE在1985年公布的Ethernet802.3的SNAP版本以太网帧格式。Cisco将其称为SNAP。以太网帧格式在每种以太网帧格式的开头都有64比特（8字节）的前导字符，如图所示。其中，前7个字节称为前同步码（PA），内容是16进制数0xAA，紧跟后1字节为帧起始标志符（SFD）0xAB，它标识着以太网帧的开始。前导字符的作用是使接收节点进行同步并做好接收数据帧的准备2.1.5介质访问控制方法冲突任意时刻信道只能传输一路数据每台主机发出的数据可以被其他所有主机所接收如果有两台主机同时发送数据，则产生冲突2.1.5介质访问控制方法

在以太网通信中，节点都在共享信道的时候，如何保证传输信道有序、高效地为许多节点提供传输服务，这就是以太网的介质访问控制协议要解决的关键问题。目前主要采用带有冲突检测的载波监听多路访问控制技术，即CSMA/CD（CarrierSenseMultipleAccess/CollisionDetect）。CSMA/CD其实现流程是：一个节点要发帧之前，必须首先监听信道，以确认共享信道上是否有其它节点正在发送帧。如果共享信道空闲，则发送帧。如果共享信道忙，则使用某种坚持退避算法（ALOHA，即：不坚持；1坚持；p坚持）等待一段时间后重试。在发送帧的同时，继续作载波监听。如果检测到发生了冲突，则立即停止发送帧，同时向共享上广播一串阻塞信号，以通知信道上其它节点发生的冲突。在发生冲突后，使用退避算法作一段时间的退避，然后重发。如果重传次数超过16次时，就认为此帧永远无法正确发出，抛弃此帧，并向高层报错。非坚持算法如果传输信道是空闲的，则可以立即发送如果信道是忙的，则等待一个由概率分布决定的随机重发延迟后，再重复前一步骤1-坚持算法如果传输信道空闲的，则可以立即发送如果信道是忙的，则继续监听，直至检测到信道空闲，然后立即发送如果有冲突（在一段时间内未收到肯定的回复），则等待一个随机时间，重复步骤前面2步P-坚持算法首先监听总线，如果传输信道是空闲的，则以概率P进行发送，而以（1-P）的概率延迟一个时间单位。一个时间单位通常等于最大传输时延的2倍。延迟一个时间单位后，再重复第一步。如果传输信道是忙的，则继续监听直至信道空闲并重复第一步。集线器：广播域、冲突域交换机：广播域、冲突域路由器：广播域、冲突域2.1.7以太网类型

共享式以太网10BASE510BASE210BASE-T/F交换式以太网10BASE-T/F100BASE-T4/TX/FX1000BASE-T/SX/LX……2.2二层交换机简介2.2.1交换机的处理技术通用CPU处理技术采用ASIC芯片处理技术采用FPGA处理技术采用NP网络处理器使用NP+ASIC的体系设计方式是目前网络交换设备的主要处理技术。2.2.2交换机的工作模式

交换机主要还是采用这三种模式：直接转发式、存储转发式和无碎片转发式2.2.2交换机的工作模式

直通转发：交换机收到帧头（通常只检查14个字节）后立刻察看目的MAC地址并进行转发优点：速度快、延迟小；缺点：无法保证传输数据的可靠性，占用宽带资源，不支持连接不同网速的网段存储转发：接收完整的帧，执行完校验后，转发正确的帧而丢弃错误的帧优点：提供CRC校验，保证数据传输质量，可以连接不同速度的网段；缺点：转发数据量大后会有延时，会增大缓存容量无碎片直通转发：交换机读取前64个字节后开始转发优点：可避免数据碎片的转发，提高网络效率64B2.2.3交换机的工作原理

根据第2层MAC地址，通过一种确定性的方法在端口之间来转发帧交换机的三项主要功能：学习转发/过滤消除环路MAC地址表：存储地址到端口的映射关系的数据库地址学习E0:E1:E2:E3:MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44初始的MAC地址表为空地址学习E0:00-D0-F8-00-11-11E1:E2:E3:MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机A发给主机D的数据帧将被泛洪，同时MAC地址表中增加主机A和端口E0的映射关系地址学习MAC地址表E0:00-D0-F8-00-11-11E1:E2:E3:00-D0-F8-00-33-33E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机D回复后，它的MAC地址和端口E3的映射关系也将被写入MAC地址表地址学习MAC地址表E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44随着这个过程不断重复，最终建立起完整的MAC地址表转发/过滤E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44单播帧依据MAC地址表进行转发/过滤转发/过滤E0:00-D0-F8-00-11-11E0:00-D0-F8-00-55-55E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主机E：00-D0-F8-00-55-55主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机A：00-D0-F8-00-11-11如果一个端口上连接多台主机，依然能够进行过滤2.2.4交换机的主要指标

交换机的背板带宽，是交换机接口处理器或接口卡和数据总线之间所能吞吐的最大数据量，单位为Gbps，也叫交换带宽包转发率以Mpps（百万包/每秒）为单位，标志了交换机转发数据包能力的大小。端口速率是指交换机接口的数据交换速度。目前常见的有10Mbit/s、100Mbit/s、1000Mbit/s、10GMbit/s几类。是否支持VLAN。在局域网中，通过VLAN技术逻辑划分多个网络区域，方便网络管理和提升安全管理。因此，交换交换机是否支持VLAN，是实现网络区域划分的关键问题。存储MAC地址能力。交换机MAC地址表的存储的数量越大，对数据转发的速度和效率就越高。2.3配置二层交换机

通过带外方式对交换机进行管理通过Telnet对交换机进行远程管理通过Web对交换机进行远程管理通过SNMP管理工作站对交换机进行远程管理利用交换机附带的Console线缆将交换机的Console端口与主机的串口连接起来，启动交换机，就可以在主机上的终端软件进行连接管理了，如Windows系统自带的超级终端。（1）选择“开始”“程序”“附件”“超级终端”命令，打开超级终端，按照提示进行配置。其中，在“端口设置”选项卡中各参数设置如下图所示：2.3.1配置交换机方式简介

交换端口Console口端口指示灯电源指示灯通过交换机的Console口，使用超级终端工具通过Console线缆连接主机的Com端口通过Telnet方式管理交换机交换机必须已经配置了管理IP地址、密码等，并开启Telnet可以使用Windows自带的Telnet连接工具登录后界面和Console口连接是一致配置了管理IP地址、密码等步骤命令含义

步骤1Switch#configureterminal进入全局配置模式

步骤2Switch(config)#linevty04从全局配置模式切换为控制台

0的线路配置模式。步骤3Switch(config-line)#

passwordcisco将

cisco设置为交换机telnet的口令。使用

nopassword命令从控制台线路上移除口令。步骤4Switch(config-line)#login将telnet设置为需要输入口令后才会允许访问。使用

nologin命令取消在登录控制台线路时输入口令的要求。步骤5Switch(config-line)#exit

回到全局配置模式。步骤6Switch(config)#interfacevlan1进入VLAN1步骤7Switch(config-if)#ipaddress设置VLAN1的IP地址步骤8Switch(config-line)#end通过WEB方式管理交换机交换机必须已经配置了管理IP地址、密码等，并开启HTTP登录后的界面可以使用浏览器进行访问2.3.2使用命令行接口配置交换机

命令模式：设备管理界面分成若干不同的模式，用户当前所处的命令模式决定了可以使用的命令用户模式特权模式配置模式开机自动进入：Switch>Switch>enableSwitch#全局模式：Switch#configureterminal

Switch(config)#VLAN模式：Switch(config)#vlan10

Switch(config-vlan)#接口模式：Switch(config)#interfacefastethernet0/0

Switch(config-if)#获得帮助“？”键：列出每个命令模式支持的命令，列出该命令的下一个关联的关键字命令？：列出该关键字关联的下一个变量命令字符串+？：获得相同开头字母的命令关键字字符串<Tab>键：自动补齐剩余命令单词Help：获得帮助系统的摘要描述信息Switch#?Switch#show？Switch(config)#snmp-servercommunity?WORDSNMPcommunitystring

Switch#di?dirdisable

Switch#showconf<Tab>Switch#showconfiguration

简写命令只需输入命令关键字的一部分字符，只要这部分字符足够识别唯一的命令关键字即可Switch#showrunSwitch#showaccess%Ambiguouscommand:"showaccess"命令行界面的提示信息%Ambiguouscommand:"showc“用户没有输入足够的字符，网络设备无法识别唯一的命令。%Incompletecommand.用户没有输入该命令的必需的关键字或者变量参数。%Invalidinputdetectedat‘^’marker.用户输入命令错误，符号（^）指明了产生错误的单词的位置。2.3.3交换机的基本管理配置管理系统的日期和时间switch#clocksethh:mm:ssdaymonthyearhh:mm:ssday：小时(24小时制)，分钟和秒day:日，范围1－31month:月，范围1－12year:年，注意不能使用缩写。系统名称

为了管理的方便，给交换机取名，我们可以使用hostname命令为一台交换机配置系统名称。如果没有为配置系统名称，即缺省名为“Switch”。Switch>enableSwitch#configureterminalSwitch(config)#hostnameswitch123Switch123（config）#end创建标题当用户登录交换机时，我们可能需要告诉用户一些必要的信息。我们可以通过设置标题来达到这个目的。Switch(config)#bannermotd&。。。。。。。&管理地址表MAC

交换机需要构建和维护一张MAC地址表，MAC地址表包含了用于端口间报文转发的地址信息。MAC地址表包含了动态、静态、过滤三种类型的地址：动态地址是交换机通过接收到的报文自动学习到的MAC地址，交换机会通过学习新的地址和老化掉不再使用的地址来不断更新其动态地址表。当交换机复位后，交换机学习到的所有动态地址都将丢失，交换机需要重新学习这些地址。静态地址是手工添加的MAC地址。静态地址和动态地址功能相同，不过相对动MAC态地址而言，静态地址只能手工进行配置和删除，不能学习和老化，静态地址将保存到配置文件中，即使交换机复位，静态地址也不会丢失。过滤地址是手工添加的地址。当交换机接收到以过滤地址为源地址的包时将会直接丢弃。过滤MAC地址永远不会被老化，只能手工进行配置和删除，过滤地址将保存到配置文件中，即使交换机复位，过滤地址也不会丢失。MAC地址表的缺省配置内容

缺省设置

地址表老化时间

300秒

动态地址表

自动学习

静态地址表

没有配置任何静态地址

过滤地址表

没有配置任何过滤地址

增加和删除静态地址表项如果我们要增加一个静态地址，就需要指定MAC地址（包的目的地址）、VLAN（这个静态地址将加入哪个VLAN的地址表中）、接口（目的地址为指定MAC地址的包将被转发到的接口）。switch(config)#mac-address-tablestaticmac-addrvlanvlan-idinterfaceinterface-id！增加一个静态地址表项switch(config)#nomac-address-tablestaticmac-addrvlanvlan-idinterfaceinterface-id！删除一个指定的静态地址表项删除动态MAC地址表switch#clearmac-address-tabledynamic

删除交换机上所有的动态地址switch#clearmac-address-tabledynamicaddressmac-add删除一个特定MAC地址，即指定mac-add2.3.4交换机接口的基本配置

交换机接口可分为AccessPort和TrunkPortAccessPort和TrunkPort的配置必须通过switchport接口配置命令手动配置。端口为accessport时，该端口只能属于一个VLAN，端口为Trunkport时，该端口传输属于多个VLAN的帧，缺省情况下Trunkport将传输所有VLAN的帧，可通过设置VLAN许可列表来限制trunkport传输哪些VLAN的帧。接口编号规则对于SwitchPort（交换机端口），其编号由两个部分组成：插槽号，端口在插槽上的编号。插槽的编号是从0~N（N表示插槽的个数）。插槽的编号规则是：面对交换机的面板，插槽按照从前至后，从左至右，从上至下的顺序一次排列，对应的插槽号从0开始依次增加。插槽上的端口编号是从1~M（M表示插槽上的端口数），编号顺序是从左到右。接口配置命令的使用进入接口和退出接口的操作switch#configureterminal!进入全局配置模式switch(config)#interfacegigabitethernet2/1！进入gigabitethernet2/1接口模式switch(config-if)#！在接口下使用end退回到特权模式switch#配置接口的速度，双工，流控步骤命令含义步骤1switch#configureterminal进入全局配置模式步骤2switch(config)#

interfaceif-id进入接口if-id配置模式。步骤3switch(config-if)#speed{10|100|1000|auto}设置接口的速率参数，或者设置为auto。注意：1000只对千兆端口有效步骤4switch(config-if)#duplex{auto|ful|half}设置接口的双工模式。步骤5switch(config-if)#flowcontrol{auto|on|ff}设置接口的流控模式。注意：当speed,duplex,flowcontrol都设为非auto模式时，该接口关闭自协商过程步骤6switch(config-if)#end回到特权模式。步骤7switch#showfastethernetif-id查看交换机端口的配置信息查看交换机的系统和配置信息

序号命令含义

1switch#showversion显示系统、版本信息2switch#showversiondevices显示交换机当前的设备信息3switch#showversionslots显示交换机当前的插槽和模块信息4switch#showrunning-config查看交换机当前生效的配置信息5switch#showservice显示交换机上TelnetServer，WebServer，SNMPAgent的当前状态6switch#showmac-address-table显示交换机MAC地址（动态、静态、过滤）8switch#showvlan显示VLAN设置信息9switch#showinterfaces显示交换机接口信息10switch#show?显示show命令可用的参数帮助信息2.5生成树协议交换网络内的冗余拓扑减少单点故障，增加网络可靠性产生交换环路，会导致：广播风暴多帧复制MAC地址表抖动SW1SW2SW3F0/2F0/2F0/1F0/1F0/1F0/2文件服务器

广播风暴广播信息在网络中不停地转发，直至导致交换机出现超负荷运转，最终耗尽所有带宽资源、阻塞全网通信SW1SW2F0/2F0/2F0/1F0/1广播广播主机A主机B

多帧复制单播的数据帧被多次复制传送到目的站点SW1SW2F0/2F0/2F0/1F0/1单播单播主机A主机B

MAC地址表抖动由于相同帧的拷贝在交换机的不同端口上被接收而引起的MAC地址表不稳定SW1SW2F0/2F0/2F0/1F0/1单播单播主机A主机BF0/1：主机AF0/2：主机A？F0/1：主机BF0/2：主机B？

2.5.1生成树协议概述IEEE802.1dSTP（生成树协议，Spanning-TreeProtocol）协议：使冗余端口置于“阻塞状态”网络中的计算机在通信时，只有一条链路生效当这个链路出现故障时，将处于“阻塞状态”的端口重新打开，从而确保网络连接稳定可靠SW1SW2SW3F0/2F0/2F0/1F0/1F0/1F0/2

快速生成树协议RSTP（RapidSpanningTreeProtocol）：对STP的补充，在物理拓扑变化或配置参数发生变化时，能够显著地减少网络拓扑的重新收敛时间定义了2种新增加的端口角色，用于取代阻塞端口：替代（alternate）端口AP：为根端口到根网桥的连接提供了替代路径备份（backup）端口BP：提供了到达同段网络的备份路径RootBridgeDPDPRPAPDPBP

RSTP的优点为根端口和指定端口设置了快速切换用的替换端口（AlternatePort）和备份端口（BackupPort）两种角色在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态边缘端口可以直接进入转发状态，不需要任何延时

2.5.2STP与RSTPRSTP协议与STP协议完全兼容RSTP协议根据收到的BPDU版本号来自动判断与之相连的交换机支持STP协议还是RSTP协议2.5.3生成树协议配置

SpanningTree的缺省配置项目缺省值EnableStateDisable，不打开STPSTPPriority32768STPPortPriority128STPPortcost根据端口速率自动判断，计算方法为长整型HelloTime2sForward-delayTime15sMax-ageTime20sLinkType根据端口双工状态自动判断SpanningTree的配置恢复缺省配置Switch(config)#spanning-treereset

打开、关闭STPSwitch(config)#spanning-treeSwitch(config)#no

spanning-tree注意：锐捷交换机默认关闭spanningtree修改生成树协议的类型Switch(config)#spanning-treemode{mstp|stp|rstp}

注意：默认为MSTPSpanningTree的配置配置交换机的优先级

Switch(config)#spanning-treepriority

<0-61440>注意：网桥优先级配置只能为4096的倍数配置端口的优先级

Switch(config-if)#spanning-treeport-priority

<0-240>注意：端口优先级配置只能为16的倍数配置端口的路径成本

Switch(config-if)#spanning-treecost

cost

配置端口路径成本的默认计算方法

Switch(config)#spanning-treepath-costmethod{long|short}注意：默认值为长整型（long）

接口速率端口类型IEEE802.1dIEEE802.1w10M普通端口1002000000AggregateLink951900000100M普通端口19200000AggregateLink181900001000M普通端口420000AggregateLink319000配置HelloTime、Forward-delayTime和Max-ageTime

Switch(config)#spanning-treehello-time|forward-time|max-ageseconds

配置链路类型

Switch(config-if)#spanning-treelink-type{point-to-poin|shared}查看生成树的配置

Switch#showspanning-treeSwitch#showspanning-treeinterfaceinterface-id生成树配置实例SW1:32768.00-d0-f8-b4-e5-4bF0/3F0/2F0/2F0/1F0/1F0/4SW2:32768.00-d0-f8-06-1c-91SW4:32768.00-d0-f8-21-a5-42SW3:32768.00-d0-f8-82-f4-a1将成为RootBridgeF0/4F0/3将成为RootPoot要求成为根网桥要求成为根端口生成树配置实例SW1：S3760(config)#hostnameSW1SW1(config)#spanning-treeSW1(config)#spanning-treemoderstpSW1(config)#spanning-treepriority4096spanning-treevlan10rootprimarySW2：S3760(config)#hostnameSW2SW2(config)#spanning-treeSW2(config)#spanning-treemoderstp生成树配置实例SW3：S3750(config)#hostnameSW3SW3(config)#spanning-treeSW3(config)#spanning-treemoderstpSW4：S3750(config)#hostnameSW4SW4(config)#spanning-treeSW4(config)#spanning-treemoderstpSW4(config)#spanning-treepriority24576查看生成树的配置SW1#showspanning-treeStpVersion:RSTPSysStpStatus:ENABLEDMaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:DisabledBridgeAddr:00d0.f8b4.e54bPriority:4096TimeSinceTopologyChange:0d:0h:2m:42sTopologyChanges:7DesignatedRoot:1000.00d0.f8b4.e54bRootCost:0RootPort:0

2.6系统日志管理启用系统日志系统日志默认是打开的。当系统日志开关打开时，由日志进程决定日志信息向哪个目的发送。我们可以在全局模式下使用如下命令设置系统日志开关。Switch(config)#nologgingon!关闭系统日志Switch(config)#loggingon!打开系统日志配置系统日志信息的发送在全局模式下使用以下一条或几条命令指定接收日志信息。（1）将日志信息记录到内部缓冲Switch(config)#loggingbuffered{Loggingbuffersize}其中，Loggingbuffersize范围从4096-2147483647（2）将日志信息向控制台发送Switch(config)#loggingconsole（3）将日志记录到UNIX系统日志服务器。Switch(config)#logginghostHost可以是系统日志服务器的计算机名称或IP地址配置日志消息的时间戮

Switch(Config)#servicetimestampslogdatetimemsec当时间戳功能打开时，源设备发出的系统信息中有该信息产生时的日期和时间，该功能默认是打开本地时间，在没有系统时钟的设备上，默认是打开系统上电时间。在默认情况下，日志消息没有时间戳。若要禁用调试和log消息的时间标签，可使用“noservicetimestamps”全局配置指令。显示记录配置通常，我们可以在交换机上直接使用showlogging命令显示当前的日志配置以及日志缓冲中的内容。举例如下：Switch#showlogging？AnyQuestion第三章

虚拟局域网(VLAN)培养目标知识目标：理解虚拟局域网的概念、用途和优点理解虚拟局域网的类型掌握802.1Q标准掌握VLAN的配置方法掌握Trunk的配置方法能力目标：在交换机上划分基于端口的VLAN。给VLAN内添加端口。一、知识准备知识准备VLAN概述VLAN的定义方法VLAN的标准VLAN和Trunk的配置准备知识（一）VLAN概述为什么需要分割广播域？交换网络是平面网络结构，必须依赖广播广播域过大会导致：带宽浪费安全性降低不易管理分割广播域的方法使用路由器连接多个子网使用虚拟局域网VLANVLAN的概念虚拟局域网（VirtualLocalAreaNetwork，VLAN）位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上它们分布在不同的局域网段中，采用逻辑上划分方式而不是物理划分网段的方式。交换机广播帧广播帧VLAN10VLAN20VLAN的概念VLAN的特点：基于逻辑的分组不受物理位置限制在同一VLAN内和真实局域网相同不同VLAN内用户要通信需要借助三层设备VLAN的用途控制不必要的广播报文的扩散提高网络带宽利用率，减少资源浪费划分不同的用户组，对组之间的访问进行限制增加安全性与物理位置无关的VLAN计算机系网络工程系文化艺术系一层二层六层。。。。。。VLAN的优点限制广播包安全性虚拟工作组减少移动和改变的代价VLAN的定义方法基于端口的VLAN根据以太网交换机的端口来划分基于MAC地址的VLAN根据每个主机网卡的MAC地址来划分基于网络层的VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分的基于IP组播的VLAN一个组播组就是一个VLAN基于端口的VLAN目前最常用的划分VLAN的方法，优点是定义VLAN成员时非常简单，只要将所有的接口定义一次就可以了。缺点是，如果某VLAN的用户离开了原来的接口，在移到一个新的交换机接口时就必须重新定义。VLAN1024681012141618202224VLAN201357911131517192123Page119基于MAC划分VLANVLAN信息表VLAN10VLAN20VLAN30主机AMAC主机BMAC主机CMAC主机DMACPort4Port2Port1Port3主机C主机A主机B主机DPage120基于IP网段划分VLANVLAN信息表Port4Port2Port1VLAN10VLAN20VLAN301.1.1.*1.1.2.*1.1.3.*Port3主机CIP:主机AIP:主机BIP:主机DIP:Page121VLAN信息表VLAN10VLAN20VLAN30IP协议号..IPX协议号..运行IPX协议运行IP协议运行IPX协议运行IP协议基于协议划分VLANPort4Port2Port1Port3VLAN的标准不同交换机上的相同VLAN之间如何连接？如果一个VLAN的成员分布在不同的交换机上，它们之间互通时，如果在每个VLAN内部连接一条链路，会造成端口的极大消耗。VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q802.1Q的出现为标识带有VLAN成员信息的以太帧建立了标准方法。定义了基于端口的VLAN模型规定如何标识带有VLAN成员信息的以太帧定义VLAN标签的格式VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30Page124VLAN标签介绍DASATYPEDATAFCSSAFCSDATATYPETAGDAUntaggedframeTaggedframePRIVLANID（12b）CFI0x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2B802.1Q帧格式标签协议字段，说明该帧具有802.1q标签标签控制信息字段理论上支持4096个VLAN，VLAN=0用于识别优先级，4095作为预留值。交换机的端口交换机上的二层接口成为Switchport，只有二层交换功能ACCESS端口UnTagged端口，即接入端口Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口Trunk端口TagAware端口，即干道接口可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口802.1Q的缺省VLAN一个802.1Q的Trunk端口有一个缺省VLAN的ID值802.1Q不为缺省VLAN的帧打标签没有打标签的VLAN流量（缺省VLAN）VLAN3VLAN2VLAN1VLAN3VLAN2VLAN1TrunkTrunk集线器准备知识（二）VLAN和Trunk的配置VLAN定义的步骤首先添加VLAN为端口分配VLAN跨交换机的VLAN通信，配置Trunk口VLAN的配置添加或者修改VLAN删除VLANSwitch(config)#vlan

vlan-id

Switch(config-vlan)#name

vlan-name

Switch(config)#novlan

vlan-id

VLAN的配置查看VLANSwitch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410销售active20财务active30工程active向VLAN内添加端口将端口分配给一个VLANSwitch(config)#interface

interface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccess

vlan

vlan-id配置VLANTrunk将端口设置成Trunk端口指定Trunk端口的缺省VLAN默认的缺省VLAN是VLAN1Trunk链路两端必须一致Switch(config)#interface

interface-id

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunknativevlan

vlan-id

启用和关闭TRUNK功能注意：1、如果开启三层交换机上的trunk功能，使用noswitchport接口配置命令。

2、如果想把一个Trunk接口的所有Trunk相关属性都复位成默认值请用noswitchporttrunk接口配置命令。

配置VLANTrunk举例TrunkF0/1F0/1Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end配置VLANTrunk举例Switch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15配置VLANTrunk举例Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists

Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists

Fa0/1On1All定义Trunk端口的许可VLAN列表all：许可列表包含所有支持的VLANadd：将指定VLAN列表加入许可VLAN列表。remove：将指定VLAN列表从许可VLAN列表中删除。except：将除列出的VLAN列表外的所有VLAN加入许可VLAN列表如：在干道接口上配置switch(config-if)#switchporttrunkallowedvlan20，那么VLAN20的数据就无法通过该干道接口。Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

三、划分VLAN案例网络拓扑结构图PC1PC2PC3VLAN10VLAN20VLAN10F0/6F0/11F0/1F0/1F0/6L3-SWL2-SWVLAN10为计算机系教学设备VLAN20为网络工程系教学设备百兆双绞线2.网络设备配置步骤第一步：配置两台交换机的主机名

Switch#configureterminalSwitch(config)#hostnameL2-SWL2-SW(config)#

S3750#configureterminalS3750(config)#hostnameL3-SWL3-SW(config)#第二步：在三层交换机上划分VLAN添加端口L3-SW(config)#vlan10L3-SW(config-vlan)#namejsj！划分计算机系的VLAN10L3-SW(config-vlan)#vlan20L3-SW(config-vlan)#namewlgc！划分网络工程系的VLAN20L3-SW(config-vlan)#exitL3-SW(config)#L3-SW(config)#interfacerangefastEthernet0/6-10！将端口Fa0/6至Fa0/10划分到VLAN10L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan10L3-SW(config-if-range)#exitL3-SW(config)#interfacerangefastEthernet0/11-15！将端口Fa0/11至Fa0/15划分到VLAN20L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan20L3-SW(config-if-range)#exitL3-SW(config)#第三步：在二层交换机上划分VLAN添加端口L2-SW(config)#vlan10L2-SW(config-vlan)#namejsj！划分计算机系的VLAN10L2-SW(config-vlan)#vlan20L2-SW(config-vlan)#namewlgc！划分网络工程系的VLAN20L2-SW(config-vlan)#exitL2-SW(config)#L2-SW(config)#interfacerangefastEthernet0/6-10！将端口Fa0/6至Fa0/10划分到VLAN10L2-SW(config-if-range)#switchportmodeaccessL2-SW(config-if-range)#switchportaccessvlan10L2-SW(config-if-range)#exitL2-SW(config)#第四步：设置交换机之间的链路为TrunkL3-SW(config)#interfacefastEthernet0/1L3-SW(config-if)#switchportmodetrunkL3-SW(config-if)#switchporttrunkencapsulationdot1qL3-SW(config-if)#exitL2-SW(config)#interfacefastEthernet0/1L2-SW(config-if)#switchportmodetrunkL2-SW(config-if)#switchporttrunkencapsulationdot1qL2-SW(config-if)#exit第五步：查看VLAN和Trunk的配置L2-SW#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/11Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20