网络设备配置与管理05.ppt

1、第5章 交换机的VLAN配置,5.1 VLAN概述,5.1.1 VLAN的基本概念 虚拟局域网（VLAN，Virtual Local Area Network），是指在交换局域网的基础上，通过配置交换机创建的可跨越不同网段、不同网络的逻辑网络。一个VLAN便是一个逻辑子网（即一个逻辑广播域）。它可以覆盖多个网络，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 IEEE定义了两种VLAN标准，即IEEE802.10和IEEE802.1Q。IEEE802.10标准曾经在全球范围内作为VLAN安全性的统一规范，1995年，Cisco公司也提倡使用这一标准，但由于其技术原因，没有得到推广。199

2、6年3月，IEEE802.1 Internetworking委员会结束了对VLAN初期标准的修订工作，提出了新的VLAN标准，完善了VLAN的体系结构，统一了Frame Tagging(帧标志)方式中不同厂商的标签格式，并制定了VLAN的发展方向。IEEE于1998年完成了IEEE802.1Q标准，开创了VLAN发展的新局面。,5.1.2 VLAN的划分方法,1.划分方式 （1）静态配置VLAN方式 静态VLAN提供基于端口的成员，在那里交换机端口被分配到特殊的VLAN。通过网络管理员的人为干涉，交换机端口被分配到VLAN，因此具有静态的特征。每一个端口接收一个端口VLAN ID（PVID），

3、将它和VLAN号码相关联。在一台单独的交换机上端口可以被分配或者聚集到许多VLAN。这种方式有很好的安全性，但灵活性较差。 （2）动态配置VLAN方式 动态VLAN提供以端用户设备的MAC地址为基础的成员。当一台设备连接到交换机端口的时候，这台交换机必须有效地查询数据库来建立VLAN成员。网络管理者必须把用户MAC地址分配到一个在VLAN成员策略服务器（VMPS）数据库中的VLAN。,2.常见的划分方法 （1）基于端口划分 根据以太网交换机的端口来划分VLAN，是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干组，每组构成一个虚拟网，相当于一个独立的VLAN交换机。这种划分

4、方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。缺点是如果某用户离开了原来的端口，必须重新定义VLAN。 （2）基于MAC划分 根据每台主机的MAC地址来划分VLAN，是对每个MAC地址的主机都配置其隶属的VLAN组，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时自动保留其所属VLAN的成员身份。这种VLAN划分方法的优点是，当用户物理位置移动时，VLAN不用重新配置。缺点是初始化时，所有的用户都必须进行配置，交换机的执行效率较低。,（3）基于网络层协议划分 按网络层协议来划分，可分为IP、

5、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议组成的VLAN可使广播域跨越多个VLAN交换机。这种划法的优点是灵活性大，根据网络协议识别用户和组，当用户的物理位置改变时，不需要重新配置所属的VLAN。它的主要缺点是交换机的执行效率低。 （4）基于IP组播划分 根据IP组播组实现VLAN划分，每个组播组形成一个VLAN单元。这种划分方法将VLAN扩大到了广域网，因此具有很大的灵活性，它主要适合于不在同一地理范围的用户使用，但不适合于局域网中使用，主要问题是交换机的执行效率太低。,（5）按策略划分VLAN 基于策略组成的VLAN能实现多种分配方法，包括VLA

6、N交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。 （6）按用户定义/非用户授权划分VLAN 基于用户定义/非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，并可以让非VLAN群体用户访问VLAN，但是需要提供认证密码，在得到VLAN管理的认证后才可以加入一个VLAN。,5.1.3 帧标记和常见的帧格式,（1）Access Links（访问连接） Access Links只属于一个VLAN，且仅向该VLAN转发数据帧的端口，也叫做native VLAN（本地VL

7、AN）。交换机把帧发送到Access-Link设备之前，移去任何的VLAN信息。而且Access-Link设备不能与VLAN外通信，除非Access-Link设备上数据包被路由。 （2）Trunk Links（中继连接） Trunk Links指的是能够转发多个不同VLAN的通信连接。Trunk Link必须使用100Mbps以上的端口来进行点对点连接，一次最多可以携带1005个VLAN信息。Trunk Link使其单独的1个端口同时成为数个VLAN的端口，这样可以不需要3层设备。,1.IEEE802.1Q IEEE802.1Q俗称dot1Q，由IEEE创建，IEEE802.1Q属于国际标准协

8、议，适用于各个厂商生产的交换机。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”和“类别域（Type Field）”之间，所添加的内容为2字节的TPID和2字节的TCI，共计4个字节，其对数帧的封装过程如图5-1所示。 在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。而当数据帧离开汇聚链路时，TPID和TCI会被去除，这时还会进行一次CRC的重新计算。 TPID的值，固定为0 x8100。交换机通过TPID，来确定数据帧内附加了基于IEEE802.1Q的VLAN

9、信息。而实质上的VLAN ID，是TCI中的12位元。由于总共有12位，因此最多可供识别4096个VLAN。基于IEEE802.1Q附加的VLAN信息，就像在传递物品时附加的标签。因此，它也被称作“标签型VLAN（Tagging VLAN）”。,2.ISL ISL是Inter Switch Link的缩写，是Cisco系列交换机支持的一种与IEEE802.1Q类似的，用于在汇聚链路上附加VLAN信息的协议，可用于以太网和令牌环网。 ISL对数据帧进行封装时，采取在数据帧的头部附加26字节的ISL包头（ISL Header），并且在数据帧的尾部带上对包括ISL包头在内的整个数据帧进行计算后得到的

10、4字节的CRC值，即ISL协议保留数据帧原来的CRC，然后再附加上一个新的CRC，即封装时总共增加了30个字节的信息。如图5-2所示。 当数据帧离开汇聚链路时，ISL只需简单地去除ISL包头和新CRC就可以了，由于数据帧原来的CRC被完整保留，因此无需重新计算。大多数Cisco设备都支持ISL。 ISL与IEEE802.1Q协议互不兼容，ISL是Cisco独有的协议，只能用于Cisco网络设备之间的互联。ISL有如用ISL包头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN（Encapsulated VLAN）”。,5.2 基于端口的单交换机的VLAN配置,基于端口的单交换机的V

11、LAN配置(略),5.3 Web方式的VLAN配置,Web方式的VLAN配置（略）,5.4 跨越交换机的VLAN配置,5.4.1 创建VTP管理域 1VTP简介 VTP是VLAN Trunking Protocol的缩写，称为VLAN链路聚集协议，它是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议，以在同一个VTP域中维持VLAN配置的一致性。在同一个VTP域中的交换机，可通过VTP协议来互相学习VTP信息。VTP协议对于运行ISL或IEEE802.1Q封装协议的汇聚链路也都适用。, server模式 server模式是交换机默认的工作模式，运行在该模式的交换机，允许创建、修

12、改和删除本地VLAN数据库中的VLAN，并允许设置一些对整个VTP域的配置参数。在对VLAN进行创建、修改或删除之后，VLAN数据库的变化将传递到VTP域内所有处于server或client模式的其他交换机，以实现对VLAN信息的同步。另外，server模式的交换机也可接收同一个VTP域内其他交换机发送来的同步信息。 client模式 处于该模式下的交换机不能创建、修改和删除VLAN，也不能在NVRAM中存储VLAN配置，如果掉电，将丢失所有的VLAN信息。该模式下的交换机，主要通过VTP域内其他交换机的VLAN配置信息来同步和更新自己的VLAN配置。 transparent模式 transp

13、arent模式也可以创建、修改和删除本地VLAN数据库中的VLAN，但与server模式不同的是，对VLAN配置的变化，不会传播给其他交换机，即对VLAN的配置改变，仅对处于透明模式的交换机自身有效。,2创建VTP管理域 创建VTP管理域 配置命令：vtp domain domain_name 设置VTP模式 配置命令：vtp server|client|transparent 该命令在vlan数据库配置模式下运行，用于设置VTP的工作模式。 查看VTP信息 若要查看VTP的状态信息，可使用命令：show vtp status。,5.4.2 配置Trunking和封装方法,switch#con

14、fig t switch(config)# interface fa1/1 switch(config-if)#switchport /设置交换机的端口为2层端口, 2层交换机不需要运行该命令。 switch(config-if)#switchport trunk encapsulation dot1q /设置汇聚链路采用的打标封装协议，isl代表ISL协议，dot1q代表IEEE 802.1Q协议。 switch(config-if)#switchport mode trunk /激活启用端口的链路聚集功能。 注意：若要在该端口上禁用trunking功能，则使用“no switchport

15、mode trunk”命令配置。,5.4.3 trunk链路管理,1.手工设置方式 （1）阻止VLAN通过trunk链路 默认情况下，trunk链路允许所有VLAN的流量通过，所以必须使用如下的命令阻止。阻止通过trunk链路的VLAN配置命令为“switchport trunk allowed vlan remove vlanlist”，vlanlist代表要删除的VLAN号列表，各VLAN之间用逗号进行分隔。如果阻止的VLAN是连续的，可以使用连字符“-”，注意，在连字符“-”的左右要各留一个空格。 （2）添加VLAN到trunk链路 有时候，可能需要将已经阻止通过的VLAN再添加到tru

16、nk链路中，这样就需要使用“switchport trunk allowed vlan add vlanlist”实现指定的vlan向链路的添加过程。,2.VTP Pruning VTP Pruning（裁剪）可以让交换机不转发在远程交换机上并不活动的VLAN的用户流量，从而实现在trunk链路上裁剪掉不必要的流量。当以后需要这个VLAN的流量通过trunk链路时，VTP会自动允许该VLAN的流量经过trunk链路。和上面的静态手工配置方式相比较，这种动态管理方式将自动实现VLAN的流量管理，因此效率极高。 (1)启用VTP Pruning功能 启用VTP Pruning的配置命令为“vtp

17、pruning”，该命令在vlan数据库配置模式下运行。要实现启用VTP Pruning功能，VTP域中的所有交换机必须支持VTP版本2 。 (2)指定符合裁剪资格的VLAN 默认情况下，所有的VLAN均有被裁剪的资格。有时候为了实现特征的功能，可以使用“switchport trunk pruning vlan remove vlanlist”命令设置部分VLAN不参与trunk pruning功能。要注意的是，不参与trunk pruning的VLAN数量不能太多，否则将严重影响网络的效率。,5.5 3层交换机的路由配置,1.配置3层接口 (1)端口的2层与3层选择 3层交换机的端口既可用

18、作2层的交换端口，也可用作3层的路由端口。将端口设置为3层的配置命令为no switchport。将端口设置为2层的配置命令为switchport。执行此命令时，最好先将端口禁用，最后再重新启用。 (2)配置IP地址 对于IP网络，应为3层端口指定IP地址，此地址以后成为所连广播域内其他2层接入交换机和客户机的网关地址。3层端口默认状态一般是shutdown（非激活），配置好后，应执行no shutdown（激活）命令，以启用此端口。IP地址的配置命令为“ip address address netmask”，如果在配置时出现“IP addresses may not be configure

19、d on L2 links”的提示，说明没有将2层端口更改为3曾端口，则不能配置IP。则必须先使用“no switchport”命令更改为三层端口。,2配置静态路由 配置静态路由的命令为“ip route network netmask nexthop|interface admin-distance”。命令中的“network”表示网络地址，“netmask”代表网络的子网掩码。“nexthop|interface”通常采用下一跳路由器或本地路由器的外网接口来定义。“admin-distance”代表此路由的管理距离。对于与指定接口相连的静态路由，其默认管理距离为0；对于定义到下一跳的静态路

20、由，其管理距离为1。 例如，若要为10.0.0.0/8网络指定一条静态路由，其出口地址为210.43.32.8，则配置命令为“Switch(config)#ip route 10.0.0.0 255.0.0.0 210.43.32.8”。另外，要清除某一条路由，可在原配置路由命令前加上“no”命令即可实现。如清除上面的这条路由命令为“no ip route 10.0.0.0 255.0.0.0 210.43.32.8”,3定义默认路由 定义默认路由的配置命令为“ip route 0.0.0.0 0.0.0.0 ip-address|interface”。所有不能被路由的分组都将被送往默认路由，

21、默认路由的优先级最低。通常在路由表中若没有分组目的地址的路由表项，将使用默认路由作为转发路径。例如，若要将当前交换机的默认路由地址设置为210.43.32.252，则配置命令为“Switch (config)#ip route 0.0.0.0 0.0.0.0 210.43.32.252”。完成路由的配置后，可以采用“show ip route”命令查看路由配置的相关信息。,5.6 生成树协议,生成树协议（Spanning Treep Protocol，STP）是在网络有环路时，通过一定的算法将交换机的某些端口进行阻塞，从而使网络形成一个无环路的树状结构。生成树协议通过从软件层面修改网络物理拓扑

22、结构来构建一个无环路逻辑转发拓扑结构，提供了物理线路的冗余连接，消除了网络风暴，从而提高了网络的稳定性和减少了网络故障的发生率。,5.6.1 相关协议概述,1.公共生成树 公共生成树（Common Spanning Tree，CST）是IEEE在虚拟局域网上处理生成树的特有方法，称为单一或者公共生成树，这是一种VLAN解决方案，生成树协议运行在VLAN1（即缺省的VLAN）上，所有的交换机都举出同一个根网桥，并建立与此根网桥的关系。公共生成树不能针对每个VLAN来优化根网桥的位置。 公共生成树的优点是具有最小数量的BPDU通信，带宽占用少，交换机负载保持最小。但公共生成树只用一个根网桥，不能对

23、所有的VLAN做到网桥的优化放置，这导致对某些设备来说可能存在次优化路径。生成树的拓扑结构较大，这就会导致较长的收敛时间和更频繁的重新配置。,2.快速生成树协议 快速生成树协议（Rapid Spanning Tree Protocol，RSTP）由IEEE 802.1w标准定义。RSTP是STP的扩展，RSTP是基于端口的生成树协议，其主要特点是增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换。 3.PVST/PVST+ PVST（Per VLAN Spanning Tree）是基于VLAN的STP协议，它将为每个VLAN建立一个独立的生成树实例，能够保证每一个VLAN都不存在环路。,

24、4.第三代生成树协议 多实例生成树协议（Multi-Instance Spanning Tree Protocol，MISTP）定义了“实例”（Instance）的概念，MISTP就是基于实例的生成树协议。所谓实例，就是多个VLAN的一个集合，通过将多个VLAN捆绑到一个实例中的方法可以节省通信开销和资源占用率。MISTP既有PVST的VLAN认知能力和负载均衡能力，又拥有可以和SST媲美的低CPU占用率。不过，极差的向下兼容性和协议的私有性阻挡了MISTP的大范围应用。 MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定义的一种新型多实例化

25、生成树协议，可以将多个VLAN的生成树映射为一个实例。 MSTP可以把支持MSTP的交换机和不支持MSTP交换机划分成不同的区域，分别称作MST域和SST域。在MST域内部运行多实例化的生成树，在MST域的边缘运行和RSTP兼容的内部生成树（Internal Spanning Tree，IST）。,5.6.2 生成树协议工作原理,1.根网桥的选择 网络初始化的时候，所有的网桥都通过发送STP报文来声明自己是根网桥，这些交换信息的数据称为网桥协议数据单元（Bridge Protocol Data Unit，BPDU）。STP BPDU是一种二层报文，所有支持STP协议的网桥都会接收并处理收到的B

26、PDU报文。此报文的数据区携带了用于生成树计算的所有有用信息。 用来标识根网桥和优先级、网桥ID和成本的报文是hello数据包。STP通过hello数据包中的内容来判断网络中是否有比自己更合适作为根网桥的网桥，如果有，就停止判断并转发合适网桥的hello数据包，最终将有一台网桥成为根网桥。 BPDU两种类型： （1）配置BPDU，用于生成树计算 ； （2）拓扑变理通知BPDU（Topology Change Notification，TCN）用于通告网络拓扑变化。,2.根端口的选择 非根网桥的交换机都选择一个根端口，这是通过判断出有最小根路径成本的端口做到的。路径成本一直带在BPDU上，沿途的

27、每台非根网桥的交换机都把接收BPDU的端口的本地端口成本加上去，伴随BPDU的产生，就累加出了根路径成本。 3.指定端口的选择 在每个网段上选择一个交换机端口处理网络流量，在网段内最小根路径成本的端口就为指定端口。 4.删除桥接环 既不是根端口也不是指定端口的交换机端口被设为阻塞状态。通过这种控制方式来防止桥接环的形成。,5.STP环境中的交换机端口状态 （1）禁用（Disabled）：禁用端口。 （2）阻塞（Blocking）：不能接收或传输数据，不能把MAC地址加入它的地址表，只能接收BPDU。 （3）监听（Listening）：由根端口或指定端口担任，不能接收或传输数据，不能把MAC地址

28、加入它的地址表，只能接收或发送BPDU。 （4）学习（Learning）：在转发延时（Forward Delay）计时时间（默认15s）后，端口进入学习状态。不能传输数据，但可接收或发送BPDU，可以学习MAC地址并将其加入地址表。 （5）转发（Forwarding）：在下次转发延时计时时间后，端口进入转发状态。能接收或传输数据，能学习MAC地址并将其加入地址表，也可以接收或发送BPDU。,5.6.2 生成树协议的基本配置,（1）启动STP协议 启动STP协议的命令为“spanning-tree enable”。禁止STP协议的命令为“spanning-tree disable” （2）设置转

29、发时间间隔 设置转发时间间隔的命令为“spanning-tree forward-time 400-3000”，时间的范围为4-30s。恢复转发时间的命令为“no spanning-tree forward-time”，恢复后，转发时间的默认值改变为缺省值为15s。 （3）设置hello时间间隔 设置hello时间间隔的命令为“spanning-tree hello-time 100-1000”，该时间是当本交换机被选为根桥时发送BPDU的时间间隔。hello time 能被设置为从1到10秒中的一个值。100-1000为呼叫时间大小，单位为1/100 秒。 恢复hello时间间隔的命令为“n

30、o spanning-tree hello-time”,（4）设置BPDU报文老化的最长时间间隔 设置BPDU报文老化的最长时间间隔的命令为“spanning-tree max-age 600-4000”，这个时间间隔能被设置为从6 到40 秒中的一个值。收到超过这个时间的BPDU报文，就直接丢弃。在max-age 结束时，如果仍没有从根网桥接收到一个BPDU，交换机将开始发送它自己的BPDU 给其他所有交换机来确定成为根网桥。 恢复BPDU 报文老化的最长时间间隔的命令为“no spanning-tree max-age”，恢复后的缺省值为20s。 （5）设置优先级 设置优先级的命令格式为“

31、spanning-tree priority 0-65535”，优先级能设置成065535中的一个数值。恢复优先级的命令为“no spanning-tree priority”，恢复后的优先级改变成缺省值32768。,5.7 端口安全,端口安全是通过对MAC地址表的配置来实现端口访问控制的过程。端口安全功能是通过对MAC地址表的配置，来实现在某一端口只允许一台或者几台确定的设备访问此台交换机端口。从而减少交换机被黑客攻击，增强交换机的安全性，提高局域网的安全性。,5.7.1 端口安全概述,利用端口安全，可以通过限制允许访问交换机上某个端口的MAC地址以及IP地址来实现严格控制对此端口的输入。当为安全端口配置了一些安全地址后，这个端口将不转发除源地址外的其他任何报文。此外，用户可以限制一个端口上能包含的安全地址的最大个数。端口安全配置可以防止局域网大部分的内部（如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等）攻击。,1. 端口安全的内容 端口安全的具体内容包括端口安全开头、最大安全地址个数、安全地址、违例处理方式四项，它的默认配置如表所示。,配置端口安全时有如下一些限制： （1）一个安全端口不能是一个 trunk port。 （2）一个安全端口只能是一个access port。,2.加满端口上的安全地址 当用户设