交换机原理及参数ppt课件.ppt

第二讲交换机基本配置,2,内容要点,交换机的工作原理交换机的参数及选择策略交换机的基本配置,3,交换机简介,交换机是工作于OSI的第2层即数据链路层的设备，能识别MAC地址，通过解析数据帧中的目的主机的MAC地址，将数据帧快速地从源端口转发至目的端口，从而避免与其他端口发生碰撞，提高了网络的交换和传输速度。 3层交换机是带路由功能的交换机，可工作在OSI的第3层，即网络层，也可工作在第2层。三层交换机作为三层设备使用时相当于一个多端口的路由器。三层交换机能根据IP地址转发数据包。,4,交换机工作过程（1）,刚启动后交换机的MAC地址表为空,MAC 地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1,F0/3,F0/2,F0/4,A,C,B,D,5,交换机工作过程（2）,主机A向主机C发送数据，源MAC添加到MAC地址表中,MAC 地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1: 0260.8c01.1111,F0/1,F0/3,F0/2,F0/4,A,C,B,D,6,交换机工作过程（3）,经过一段时间，MAC地址表被填满 AC,数据直接从F0/1转发到F0/2口，其它端口不被转发。,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,X,X,MAC地址表,F0/1,F0/3,F0/2,F0/4,A,C,B,D,7,交换机工作过程（4）,未知单播帧，广播帧：执行广播操作Flooding,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1,F0/3,F0/2,F0/4,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,MAC 地址表,A,C,B,D,8,交换式以太网,交换机各端口是独享带宽，并可实现全双工通信。比如，1台100Mb/s的24口交换机，其每个端口均可同时达到100Mb/s的通信速度,9,可网管交换机的选择,1. 可网管交换机的特点,（1）提高网络稳定性（2）提高网络安全性（3）提高网络传输效率（4）支持复杂网络应用（5）支持远程监视与管理,2. 可网管交换机的应用,（1）中心交换机（2）汇聚层交换机（3）重要的工作组交换机,3. 选购时应当考虑的问题,（1）所处位置 （2）网络应用（3）所处环境 （4）设备兼容性（5）设备性能,可网管交换机在网络中的应用,10,交换机的组成,交换机的组成,软件部分,硬件部分,IOS操作系统,CPU,端口,存储介质,以太网端口(Ethernet）,快速以太网端口（Fast Ethernet）,吉比特以太网端口（Gigabit Ethernet）,控制台端口(console),只读储存设备（Read-Only Memory，ROM）,闪存（Flash）非易失性存储器（NVRAM）,随机存储器（RAM）,11,交换机的硬件组成,ROM,Flash,Interface,CPU,RAM,交换机操作系统（RGNOS）、配置文件（config.text）,交换机当前运行的配置（running-config),Mini OS、 BootStart,Console 接口,12,交换机的访问方式,本地管理 通过带外对交换机进行管理(PC 与交换机直接相连)远程管理 通过Telnet 对交换机进行远程管理 通过Web 对交换机进行远程管理 通过SNMP 工作站对交换机进行远程管理,第一次配置交换机时，必须使用本地管理方式来配置管理。,13,Console线,交换机,计算机,Console 接口,COM 接口,14,利用Telnet来登录连接交换机,设置交换机的管理IP地址和登录密码。将网线分别插入交换机的快速以太网口与计算机网卡。设置计算机的IP地址与交换机管理IP地址为同一网段。在DOS命令行输入并执行命令:telnet IP地址管理IP地址仅仅是为方便交换机的管理而设置的特殊地址,15,Telnet登录过程,16,IOS操作系统的特点,支持通过命令行（CLI）或Web界面来对交换机进行配置和管理。支持通过控制端口（Console）或Telnet会话来登录访问交换机。提供用户模式、特权模式、全局配置模式、接口配置模式、VLAN配 置模式等多种级别的配置模式，以允许用户对交换机的资源进行配 置。IOS命令不区分大小写。在不引起混淆的情况下，支持命令简写。比如enable通常可简约表 达为en。可随时使用“?”来获得命令行帮助。支持命令行编辑功能，并可将执行过的命令保存下来，供运行历史 命令查询。,17,交换机的工作模式,用户模式。 Switch 特权模式。 Switch# 配置模式全局配置模式 Switch(config)# 接口配置模式 Switch(config-if)#VLAN配置模式 Switch(config-vlan)#线程配置模式 Switch(config-line)#,18,各命令模式之间的层次关系,19,用户模式,当用户访问交换机时，自动进入用户模式。在用户模式下的用户级别称为普通用户级。普通用户级别能够使用的Exec命令（即可执行命令）只是特权用户级别Exec命令的一个子集。在这种况下，用户通常只能进行一些简单的测试操作，或者查看系统的一些信息。用户模式所能执行的Exec命令由设备提供的功能决定，要查看全部命令列表，在命令模式提示符下输入查询符号“?”。用户模式默认提示符为“”，如交换机名为Switch，则进入用户模式后的提示符为“Switch”。输入exit命令离开此模式。,20,特权模式,也称“使能模式”，在用户模式下进入特权模式:SwitchenableSwitch#要返回到用户模式，可以输入exit命令。因为特权模式的命令管理着许多设备的运行参数，必须使用口令保护来防止非授权使用，所以从用户模式进入特权模式必须输入正确的口令。特权模式的命令集包含了用户模式的全部命令。 如果系统管理员设置了特权级别的口令，则进入特权模式之前将提示需要输入口令，输入的口令在屏幕上不会显示。,21,全局配置模式,全局配置模式提供了从整体上对交换机特性产生影响的配置命令。在特权模式下，使用configure或configure terminal命令进入该模式，其提示符默认为“交换机名（config）#”，如交换机名为Switch，则进行全局配置模式后的提示符为Switch（config）#要返回到特权模式，输入exit命令或end命令，或者按Ctrl+Z组合键。,22,接口配置模式,接口配置模式只影响具体的接口，进入接口配置模式的命令必须指明接口的类型。在全局配置模式下，使用interface命令进入该模式，其提示符默认为“交换机名（config-if）#”，如交换机名为Switch，则进行入接口配置模式后的提示符为“Switch（config-if）#”。要返回到特权模式，输入end命令，或按Ctrl+Z组合键；要返回到全局配置模式，输入exit命令。在interface命令中必须指明要进入哪一个接口配置子模式。使用该模式配置交换机的各种接口。,23,VLAN配置模式,使用该模式来配置具体VLAN相关的特性，用VLAN的ID来区分不同的VLAN。在全局配置模式下，使用vlan vlan_id命令进入该模式，如交换机名为Switch，则进入此模式后的命令提示符默认为Switch（config-vlan）#使用该模式配置VLAN参数。要返回到特权模式，输入end命令，或按Ctrl+Z组合键；要返回到全局配置模式，输入exit命令。,24,获得帮助,“?”，即可列出该命令模式下支持的全部命令列表，可以列出相同字母开头的命令关键字，或者每个命令的参数信息。使用TAB键自动补齐剩余命令单词。Switch? /列出用户模式下所有命令Switch# ? /列出特权模式下所有命令Switchs? /列出用户模式下所有以s开头的命令Switch# show ? /列出用户模式下show命令后附带的参数Switch#show conf /自动补齐conf后剩余字母Switch#show configuration ? /列出该命令的下一个关联的关键字IOS支持命令简写，即只需输入命令关键字的一部分字符，只要这部分字符足够识别唯一的命令关键字。如show running-config命令可以写成以下形式。Switch#show run/显示配置当前配置,25,CLI提示信息,% Ambiguous command: show c 用户没有输入足够的字符，交换机无法识别惟一的命令。重新输入命令，紧接着发生歧义的单词输入一个问号。可能的关键字将被显示出来 % Incomplete command用户没有输入该命令的必需的关键字或者变量参数% Invalid input detected at marker用户输入命令错误，符号（）指明了产生错误的单词的位置,26,模式转换命令,enable。功能是从用户模式进入到特权模式，例如：SwitchenableSwitch#disable。功能是从特权模式退回到用户模式，例如：Switch#exitSwitch,27,模式转换命令,configure。功能是从特权模式进入到全局配置模式，例如：Switch#configure terminalSwitch(config)#interface。在全局配置模式下运行此命令，功能是选择一个端口并进行设置，同时进入到接口配置模式，例如以下命令是选中快速以太网端口1。Switch(config)#interface fastEthernet 0/1Switch(config-if)#,28,模式转换命令,exit。功能是退回到上级命令模式，例如：Switch(config-if)#exitSwitch(config)#exitSwitch#end。功能是直接从任何一种配置模式退回到特权模式：Switch(config-if)#endSwitch(config)#end 也可按Ctrl+Z组合键vlan。在全局模式下运行此命令，功能是建立一个VLAN，并进入到VLAN配置模式。Switch(config)#vlan 10Switch(config-vlan)#,29,配置主机名和管理IP,1设置主机名。设置交换机的主机名可在全局配置模式下进行。默认情况下，交换机的主机名默认为Switch。 若要将交换机的主机名设置为student，则配置命令为：Switch(config)#hostname studentstudent(config)#exit,2配置管理IP地址在二层交换机中，IP地址仅用于远程登录管理交换机，对于交换机的正常运行不是必需的。若没有配置管理IP地址，则交换机只能采用控制端口进行本地配置和管理。 对二层交换机设置管理地址之前，首先应选择VLAN 1接口，然后再利用ip address配置命令设置管理IP地址 。student(config)# interface vlan 1student(config-if)# ip address 192.168.1.254 255.255.255.0,30,配置远程登录密码和特权密码,远程登录密码是在执行telnet命令或通过浏览器访问交换机的过程中要求输入的密码：SwitchenableSwitch#configure trminalSwitch(config)#line vty 0 4 允许5个用户登陆Switch(config-line)#password 123456 设置telnet时的登陆密码Switch(config-line)#login 使登陆密码生效（这个一定不能少）设置特权登录密码：Switch(config)#enable secret password 密码以加密的密文存储Switch(config)#enable password password 密码以未加密的明文存储交换机的特权密码是从用户模式进入特权模式时使用的。,31,设置使用console线登陆密码 Switch(confing)#line console 0登陆进入console口Switch (config-line)#password cisco设置登陆console口密码Switch (config-line)#login使登陆密码生效（这个一定不能少）然后在从远端pc登陆交换机，操作步骤及其显示结果如下：PCtelnet 10.1.1.1Trying 10.1.1.1 .User Access VerificationPassword: 输入最初设置的vty密码；switchenPassword: 输入从用户模式登陆到特权模式的密码； Switch#,配置远程登录密码和特权密码,32,查看配置信息,1查看IOS版本Switch# show version2查看配置信息，交换机的配置信息有两种：一是保存在FLASH中的交换机启动时的配置信息。Switch# show startup-config 另一个是当前起作用的配置信息，保留在内存中，如果不保存则在交换机重新启动后消失：Switch# show running-config,33,查看配置信息,3.查看端口信息若要查看某一端口的工作状态和配置参数，可使用show interface命令来实现，其用法为：student1#show interface type mod/porttype代表端口类型，通常有Ethernet（以太网端口，通信速率为10Mb/s）、FastEthernet（快速以太网端口，100Mb/s）、GigabitEthernet（吉比特以太网端口，1000Mb/s，如千兆光纤端口）和TenGigabitEthernet（万兆以太网端口）。这些端口类型通常可简约表达为e、fa、gi和tengi。mod/port代表端口所在的模块和在该模块中的编号。例如，若要查看S3550交换机0号模块的24号端口的信息，则查看命令为：student1#show interface FastEthernet 0/24,34,实例演示,【例】现在有一台新购进行二层交换机S2960，现要求配置其主机名 为：netcenter，为以后管理方便，为交换机配置管理IP：172.16. 0.1，为保护交换机设置其特权密码为CISCO并加密，设置其控制台端口密码为CONSOLE,设置其虚拟终端登录密码为TELNET，并能实现远程登录。采用模拟器进行演示配置过程，并进行验证和调试,35,MAC地址,MAC地址，通常也简称为物理地址或硬件地址。网卡的MAC地址是全球唯一的。MAC地址采用6字节48位二进制编码表示，前24位是由生产厂家向IEEE申请的厂商地址，后24位是由生产厂家给网卡设定的一个编号。MAC地址显示格式为：00-01-02- 9A-08-B7，它采用十六进制数表示，MAC地址被记录在网卡的ROM中。在运行IOS操作系统的交换机中，MAC地址采用点三分格式表达，即表达为0001.029a.08b7格式。网络中的计算机通过该MAC地址来识别主机，并进行相互通信的。MAC地址是数据链路层使用的地址，IP地址是网络层使用的地址。,36,选择端口,1选择一个端口在对端口进行配置之前，应先选择所要配置的端口，端口选择命令为：interface type mod/port2选择多个端口用户可以使用全局配置模式下的interface range命令同时配置多个接口。 interface range type mod/startport - endport,37,配置以太网端口,1为端口指定一段描述性文字description port-description如果描述文字中包含有空格，则要用引号将描述文字引起来。2设置端口的管理状态在接口配置模式下执行以下命令将一个端口关闭：shutdown在接口配置模式下执行以下命令将一个端口打开：no shutdown,38,配置以太网端口,3设置端口通信速度 配置命令：speed 101001000auto。默认情况下，交换机的端口速度设置为auto 4设置端口的单双工模式配置命令：duplex fullhalfauto。full代表全双工（Full-duplex），half代表半双工（Half-duplex），auto代表自动协商单双工模式。,39,三层交换机简介,三层交换机是指具备三层路由功能的交换机，其端口（接口）可以实现基于三层寻址的分组转发，每个三层接口都定义了一个单独的广播域，在为接口配置好IP协议（设置IP地址）后，该接口就成为连接该接口的同一个广播域内其他设备和主机的网关。二层交换机使用的是MAC地址交换表，而三层交换机使用的是基于IP地址的交换表。,40,端口的二层与三层选择,三层交换机的端口可用作二层的交换端口，也可用作三层的路由端口，默认当作二层端口使用。 将端口设置为三层，配置命令：no Switchport。将端口设置为二层，配置命令：Switchport。,41,配置端口IP地址,对于IP网络，应为三层端口指定IP地址，该地址以后成为所联广播域内其他二层接入交换机和客户机的网关地址。IP地址配置命令：ip address address netmask；删除接口的IP地址：no ip address。三层端口默认状态一般是shutdown，所以一个接口配置完成后应立即使用no shutdown命令来启用此端口。,42,交换机端口安全配置,【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G上。【实验目的】掌握交换机的端口安全功能配置，控制用户的安全接入【实验设备】交换机（1台）、直连线（1条）、PC(1台),43,交换机端口安全配置,技术原理交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。,44,交换机端口安全配置,配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：Protect 当安全地址个数满后，安全端口将丢弃未知名地址的包Restrict 当违例产生时，将发送一个Trap通知。Shutdown 当违例产生时，将关闭端口并发送一个Trap通知。当端口因违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。,45,交换机端口安全配置,【实验内容】1、按照拓扑进行网络连接2、配置交换机端口最大连接数限制3、配置交换机端口地址绑定,172.16.1.55,F0/3,46,交换机端口安全配置步骤,步骤1.配置交换机端口的最大连接数限制Switch#configure terminalswitch(config)#interface range fastethernet 0/1-23 进入一组端口配置模式Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1 !配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown验证测试：查看交换机的端口安全配置Switch#show port-security,47,交换机端口安全配置步骤,步骤2.配置交换机端口的地址绑定在主机上打开CMD命令窗口，执行ipconfig/all命令查看IP和MAC地址信息。Switch#configure terminalswitch(config)#interface fastethernet 0/3Switch(config-if)#switchport port-security !开启交换机的端口安全功能Switch(config-if)#switchport port-secruity mac-address 0006.1bde.13b4 ip-address 172.16.1.55 !配置IP地址t MAC地址的绑定验证测试：查看交换机安全绑定配置switch#show port-security address,48,交换机端口安全配置注意事项,交换机端口安全功能只能在ACCESS接口进行配置交换机最大连接数限制取值范围是1128，默认是128.交换机最大连接数限制默认的处理方式是protect。,