交换机及其配置方法.ppt

交换机及配置方法,本章内容,交换式以太网交换基础交换机管理与基本配置虚拟局域网（VLAN)三层交换技术生成树协议交换网络的端口安全,虚拟局域网（VLAN),交换网络中的问题,在交换机组成的网络里，所有主机都在同一个广播域中一台主机发出的广播，其余所有主机都能够收到,广播域,解决方法VLAN,通过VLAN技术可以分割广播域,VLAN20,VLAN10,广播域,广播域,VLAN技术,VLAN（Virtual Local Area Network）VLAN是在一个物理网络上划分出来的逻辑网络，它不受网络端口的实际物理位置的限制，有着和普通物理网络相同的属性，第二层的广播帧仅在一个VLAN内扩散，而不会进入其他的VLAN之中，且VLAN端口不受物理位置限制。,VLAN优点,控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性网络管理简单、直观 一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用,VLAN的划分方式,基于端口划分VLAN基于MAC地址的VLAN基于网络层（IP地址）的VLAN基于IP组播的VLAN,基于交换机的端口(一个端口只属于一个VLAN),基于端口划分VLAN,Port VLAN设置在连接主机的端口,F0/1,F0/2,F0/3,Port-vlan原理,F0/1,F0/2,F0/3,VLAN 20,VLAN 10,VLAN 10,A,B,C,组建VLAN的条件,VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成,在单一交换机上配置VLAN,配置VLAN(VLAN的添加及删除),例创建VLAN10，将它命名为test的例子Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#name test*为VLAN命名Switch(config-vlan)#end Switch#show vlan id vlan-id*显示之前的配置Switch(config)#no vlan vlan-id*删除VLAN,配置VLAN（向VLAN内添加接口）,例把接口fastethernet 0/10作为access口加入了VLAN10 Switch#configure terminalSwitch(config)#interface fastethernet 0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#end,配置VLAN（将一组接口加入某VLAN）,例如把接口fastethernet 0/8和0/10-15也作为access口加入了VLAN10 Switch(config)#interface fastethernet 0/8，0/10-15Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#endSwitch#show vlan id vlan-id*显示当前的配置注：连续接口 0/1-10，不连续接口用逗号隔开，但一定要写明模块编号,Switch B,VLAN30,VLAN20,VLAN10,跨交换机VLAN间通信:Tag VLAN,A交换机上VLAN10的端口范围中取一个端口，和交换机B上VLAN10范围中的某个端口，作级联连接。如果交换机上划了10个VLAN，就需要分别连10条线作级联，端口效率就太低了。,Switch B,VLAN30,VLAN20,VLAN10,Tag VLAN,跨交换机VLAN之间的通信:Tag VLAN,在交换机之间用一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。Trunk端口传输多个VLAN的信息，实现同一VLAN跨越不同的交换机,Tag VLAN跨交换机设置,跨交换机相联的VLAN设置要相同，且IP设置要同一网络；一个端口可以同时属于多个VLAN，跨交换机相联的多个VLAN可通过共同的Tag端口相联。跨交换机相联的VLAN如果属于不同的网络，则要通过三层交换机或通过路由器互联,基于802.1Q的Tag VLAN用VID来划分不同的VLAN，当数据帧通过交换机的时候，交换机根据帧中tag头（Tag header）的VID信息来识别它们所在的VLAN（但是若帧中无tag头，则应用帧所通过端口的缺省VID信息来识别它们所在的VLAN），这使得所有属于该VLAN的数据帧 都限制在该逻辑VLAN中传播,Tag VLAN,802.1Q工作原理,802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。,A,交换机1,交换机2,B,数据帧,Tag标签,Trunk,Trunk,IEEE802.1Q数据帧,标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比特，表示优先级Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围14094,Tag VLAN中帧转发举例,如图3-2所示，Port 1收到一个Untagged帧，帧中不带有802.1Q tag头，则Port 1的缺省VID被应用于该帧，根据交换机学习到的地址信息，该帧将被发送到相应端口。但若交换机中现存信息不能确定应向哪个端口转发则将帧进行广播，广播范围为VLAN 1的广播域 在本例中，帧将向Port 2,Port 3,Port 4转发，但各个端口情况将有所不同：A、从Port 2转发，因为Port 2是Tag 端口，所以Port 2转发出来的帧包含802.1Q tag头。B、从Port 3、Port 4转发，因为Port 3、Port 4是Untag端口，所以当帧经过此端口转发，不包含802.1Q tag头,配置 VLAN-Trunk,把fa0/1配成Trunk口Switch#configure terminalSwitch(config)#interface fastethernet0/1Switch(config-if)#switchport mode trunkSwitch#show vlan*发现配置成Trunk的接口出现在所有VLAN定义Trunk接口的许可VLAN列表Switch(config)#interface fastethernet 0/20Switch(config-if)#switchport trunk allowed vlan remove 2*许可列表中除去VLAN 2Switch(config-if)#switchport trunk allowed vlan add 3,4*许可列表中加入VLAN 3 和 4,查看/保存/清除VLAN信息,查看VLAN信息Switch#show vlan将VLAN信息保存到flash中Switch#write memory从flash中只清除VLAN信息Switch#delete flash:vlan.dat从RAM中删除VLANSwitch(config)#no vlan VLAN-id,课后练习,用自己的话简述VLAN的概念，为什么需要使用VLAN?为什么同一VLAN中的计算机，若其IP属不同类的网络则不能相互通信？如何配置trunk接口，使其仅接受指定VLAN数据信息通过？,