交换式网络及交换机基本配置.ppt

1.1 交换式LAN体系结构1.2 将交换机与指定的LAN功能进行配对,内容索引,第一章 交换式网络及交换机配置,分层网络设计需要将网络分成互相分离的层。每层提供特定的功能，这些功能界定了该层在整个网络中扮演的角色。,1.1.1 分层网络模型,接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。,1.1.1 分层网络模型,分布层先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。,1.1.1 分层网络模型,分层设计的核心层是网际网络的高速主干。核心层也可连接到Internet 资源。,1.1.1 分层网络模型,分层网络设计的优点,1.1.1 分层网络模型,网络直径-网络直径是指数据包到达目的地之前必须穿过的设备数量。,1.1.2 分层网络设计的原则,带宽聚合-通过将两台交换机之间的多条并行链路合并为一条逻辑链路来实现带宽聚合。,1.1.2 分层网络设计的原则,冗余链路-现代网络在分层网络的各层之间使用冗余链路来确保网络的可用性。,1.1.2 分层网络设计的原则,流量分析-流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程。用户群分析-用户群分析是确定各类用户群体及其对网络性能的影响的过程。数据存储和数据服务器分析-在考虑数据存储和服务器的流量时，应同时考虑客户端到服务器的流量和服务器到服务器的流量。拓扑图-拓扑图是网络基础架构的图形表现形式。,1.2.1 分层网络交换机的考虑因素,分层网络中使用的交换机的主要特性,1.2.2 交换机的特性,分层网络中使用的交换机的主要特性,1.2.2 交换机的特性,以太网供电(PoE)允许交换机通过现有的以太网电缆对设备供电。,1.2.2 交换机的特性,分层网络中交换机能够提供的部分第3层功能,1.2.2 交换机的特性,接入层交换机支持将终端节点设备连接到网络。,1.2.3 分层网络中交换机的功能,分布层交换机在网络中扮演着非常重要的角色。它们收集所有接入层交换机发来的数据并将其转发到核心层交换机。,1.2.3 分层网络中交换机的功能,核心层是网络的高速主干，需要能够转发非常庞大的流量。,1.2.3 分层网络中交换机的功能,识别在中小型企业中使用的Cisco交换机应用,1.2.4 适合中小型企业的交换机,总结,分层设计模型提高网络的性能、可扩展性、易于管理性和易于维护性。通过为要合并到现有数据网络中的语音和视频数据提供必要的性能支持，分层网络拓扑有力地推动了网络的融合。可通过执行流量、用户群、数据存储和服务器的位置，以及拓扑图分析来帮助定位网络瓶颈。随后可以解决该瓶颈来提高网络性能和准确制定满足网络性能需求的合理硬件需求。Cisco交换机针对外形因素、性能、PoE和第3层支持功能进行了特别的设计，能够满足分层网络设计的各层需求。,目标,总结IEEE802.3标准中针对100/1000 Mbps LAN定义的以太网运作原理说明使交换机在LAN中转发以太网帧的功能配置一台交换机，使其在支持语音、视频和数据传输的网络中正常工作配置交换机的基本安全性，该交换机将在支持语音、视频和数据传输的网络中工作,交换机的基本概念和配置,内容索引,2.1 Ethernet/802.3 LAN简介2.2 使用交换机转发帧2.3 交换机管理配置2.4 配置交换机安全性,交换LAN 网络中的通信以三种方式进行：单播、广播和组播：,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,2.1.1 Ethernet/802.3网络的关键要素,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,2.1.1 Ethernet/802.3网络的关键要素,2.1.1 Ethernet/802.3网络的关键要素,当前以太网帧标准，即修订后的IEEE 802.3(Ethernet)的结构,Ethernet MAC address,2.1.1 Ethernet/802.3网络的关键要素,用于以太网通信的双工设置有两种：半双工和全双工.,2.1.1 Ethernet/802.3网络的关键要素,MAC寻址和交换机MAC地址表,2.1.1 Ethernet/802.3网络的关键要素,带宽和吞吐量-共享以太网络的节点数量将影响网络的吞吐量或效率。冲突域 冲突域是指发出的帧可能产生冲突的网络区域。所有共享介质环境（例如使用集线器创建的介质环境）都是冲突域。-交换机为每个网段提供专用带宽，因此减少了网段上的冲突，并提高了网段上的带宽使用率。,2.1.2 Ethernet/802.3 网络的设计考虑因素,广播域-交换机收到广播帧时，它将该帧转发到自己的每一个端口。（接收该广播帧的传入端口除外）。,2.1.2 Ethernet/802.3 网络的设计考虑因素,网络延时-延时是一个帧或一个数据包从源工作站到达最终目的地所用的时间。延时有至少三个来源。,2.1.2 Ethernet/802.3 网络的设计考虑因素,网络拥塞-以下是网络拥塞最常见的原因：计算机和网络技术的功能日益强大。网络流量日益增加。高带宽应用程序。,2.1.2 Ethernet/802.3 网络的设计考虑因素,将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。交换机通常用于将大型LAN 分割成很多更小的网段。虽然LAN 交换机缩小了冲突域的规模，但是连接到交换机的所有主机仍都处于同一个广播域中。用路由器创建更多、更小的广播域将减少广播流量，并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络，广播流量的范围仅限于发出该广播的LAN网段内。,2.1.2 Ethernet/802.3 网络的设计考虑因素,每个路由器缩小了LAN上广播域的规模,2.1.2 Ethernet/802.3 网络的设计考虑因素,每个交换机将LAN上的冲突域规模缩小为单条链路。,2.1.2 Ethernet/802.3 网络的设计考虑因素,控制网络延时 在设计网络以减少延时时，需要考虑网络上每一台设备所引起的延时。使用更高层的设备也可能增加网络延时。当第3层设备（例如路由器）需要检查帧中包含的第 3 层寻址信息时，它必须比第 2 层设备更深入地读取帧，这将造成处理时间更长。.适当使用第3层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。.,2.1.3 LAN 设计考虑因素,消除瓶颈 网络中的瓶颈是高网络拥塞导致性能下降的位置。,2.1.3 LAN 设计考虑因素,交换机使用下面的两种转发方法之一来进行网络端口间的数据交换：存储转发交换或直通交换。.,2.2.1 交换机转发方法,存储转发交换,2.2.1 交换机转发方法,2.2.1 交换机转发方法,存储转发交换,存储转发交换,2.2.1 交换机转发方法,2.2.1 交换机转发方法,存储转发交换,2.2.1 交换机转发方法,存储转发交换,2.2.1 交换机转发方法,存储转发交换,2.2.1 交换机转发方法,直通交换,2.2.1 交换机转发方法,直通交换,直通交换,2.2.1 交换机转发方法,根据带宽分配给交换机端口的方式，LAN交换机可分为对称或非对称两类。,2.2.2 对称交换和非对称交换,以太网交换机在转发帧之前，可以使用缓冲技术存储帧。当目的端口由于拥塞而繁忙时，也可以使用缓冲，交换机将一直存储帧，直到可以传送该帧。将内存用于存储数据的功能称为内存缓冲,2.2.3 内存缓冲,2.2.4 第2层交换和第3层交换,第2层LAN交换机只根据OSI数据链路层（第2层）MAC地址执行交换和过滤。第2层交换机对网络协议和用户应用程序完全透明。第3层交换机不仅使用第2层MAC地址信息来作出转发决策，而且还可以使用IP地址信息。第3层交换机还能够执行第3层路由功能，从而省去了 LAN上对专用路由器的需要。,第3层交换机 第 3 层交换机通过检查以太网数据包中的第 3 层信息来作出转发决策。第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。路由器 建立与远程网络和设备的远程访问连接。专用路由器在支持WAN接口卡(WIC)方面更加灵活，这使得它成为用于连接 WAN的首选设备，而且有时是唯一的选择。,2.2.4 第2层交换和第3层交换,2.2.4 第2层交换和第3层交换,第3层交换机不能完全取代网络中的路由器。路由器不仅可以执行第3层交换机无法完成的其它第3层服务，还能够执行第3层交换机所无法实现的一些数据包转发任务，例如建立与远程网络和设备的远程访问连接。,2.3.1 切换命令行界面模式,作为一项安全功能，Cisco IOS软件将 EXEC（执行）会话分成以下访问级别 用户执行：只允许用户访问有限量的基本监视命令。用户执行模式是在从 CLI 登录到 Cisco 交换机后所进入的默认模式。用户执行模式由 提示符标识。特权执行：允许用户访问所有设备命令，如用于配置和管理的命令，特权执行模式可采用口令加以保护，使得只有获得授权的用户才能访问设备。特权执行模式由#提示符标识。,2.3交换机基本配置,切换命令行界面模式,Cisco IOS软件的命令模式结构采用分层的命令结构。每一种命令模式支持与设备中某一类型的操作关联的特定 Cisco IOS命令。,2.3.2 使用帮助,Cisco IOS CLI提供了两种类型的帮助：-词语帮助-命令语法帮助,2.3.2 使用帮助,控制台错误消息-当输入了不正确的命令时，控制台错误消息有助于确定问题。,Cisco CLI提供已输入命令的历史记录。对于命令历史记录功能，可以完成以下任务：-显示命令缓冲区的内容。-设置命令历史记录缓冲区大小。.-重新调用存储在历史记录缓冲区中的先前输入的命令。每一种配置模式都有相应的缓冲区。,2.3.3 访问命令历史记录,2.3.4 交换机启动顺序,启动加载器是存储在 NVRAM中的小程序，并且在交换机第一次开启时运行。,Catalyst交换机的初始启动需要完成以下步骤：-步骤 1：PC 或终端已连接到控制台端口。,2.3.5 准备配置交换机,2.3.5 准备配置交换机,Catalyst交换机的初始启动需要完成以下步骤：-步骤 2：终端仿真器应用程序（如 HyperTerminal）正在运行且配置正确。,2.3.5 准备配置交换机,Catalyst交换机的初始启动需要完成以下步骤：-步骤 3：在控制台上查看启动过程,2.3.6 基本交换机配置,管理接口注意事项-要使用 TCP/IP 来远程管理交换机，就需要为交换机分配 IP 地址。,2.3.6 基本交换机配置,配置管理接口-要在交换机的管理 VLAN 上配置 IP 地址和子网掩码，您必须处在 VLAN 接口配置模式下。,2.3.6 基本交换机配置,配置默认网关-需要将交换机配置为可将 IP 数据包转发到远程网络。,2.3.6 基本交换机配置,验证配置-显示了 VLAN 99 已经配置了 IP 地址和子网掩码，并且快速以太网端口 F0/18 已经分配了 VLAN 99 管理接口。,2.3.6 基本交换机配置,配置双工和速度-使用duplex接口配置命令来指定交换机端口的双工操作模式。可以手动设置交换机端口的双工模式和速度，以避免厂商间的自动协商问题。,2.3.6 基本交换机配置,配置Web接口-现代 Cisco 交换机有很多基于 Web 的配置工具，这些工具需要交换机配置为 HTTP 服务器。,2.3.6 基本交换机配置,管理MAC地址表-交换机使用 MAC地址表来确定如何在端口间转发流量。这些 MAC 表包含动态地址和静态地址。,2.3.7 验证交换机配置,使用Show命令-交换机使用 MAC地址表来确定如何在端口间转发流量。这些 MAC 表包含动态地址和静态地址。,使用Show命令-当需要验证 Cisco 交换机的配置时，show 命令非常有用。,2.3.7 验证交换机配置,使用Show命令-show running-config 命令显示交换机上当前正在运行的配置。使用此命令可验证是否正确配置了交换机。,2.3.7 验证交换机配置,使用Show命令-show interfaces命令显示交换机网络接口的状态信息和统计信息。在配置和监视网络设备时，经常会用到 show interfaces 命令。,2.3.7 验证交换机配置,备份配置-图中显示了三个将配置备份到闪存的示例。,2.3.8 基本交换机管理,恢复配置 用已存配置覆盖当前配置。当配置恢复到 startup-config 中后，可在特权执行模式下使用 reload 命令重新启动交换机，以使其重新加载新的启动配置。,2.3.8 基本交换机管理,将配置文件备份到 TFTP 服务器 可以使用 TFTP 通过网络备份配置文件。当配置成功存储在 TFTP 服务器上之后，可以使用以下步骤将配置复制回交换机上：#copy tftp:/location/directory/filename system:running-config,2.3.8 基本交换机管理,清除配置信息 要清除启动配置的内容，请使用 erase nvram:或 erase startup-config 特权执行命令。要从闪存中删除文件，请使用 delete flash:filename 特权执行命令。,2.3.8 基本交换机管理,2.4.1 配置口令选项,保护控制台-要防止控制台端口console受到未经授权的访问,2.4 交换机安全管理和配置,2.4.1 配置口令选项,保护vty端口-Cisco 交换机的 vty 端口用于远程访问设备。,2.4.1 配置口令选项,配置执行模式口令-enable password 命令存在的一个问题是，它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。-在全局配置模式提示符下输入 enable secret 命令以及所要的口令，这样即可指定加密形式的enable口令。如果配置了enable secret口令，则交换机将使用enable secret口令，而不使用enable password口令。,2.4.1 配置口令选项,配置加密口令-人们普遍认同口令应该加密，并且不能以明文格式存储。-当从全局配置模式下输入 service password-encryption 命令后，所有系统口令都将以加密形式存储。,2.4.1 配置口令选项,enable口令恢复-万一遗失或遗忘了访问口令，Cisco 提供了口令恢复机制以便于管理员仍能访问其 Cisco 设备。口令恢复过程需要实际接触设备。并不能实际恢复 Cisco 设备上的口令，尤其是在已启用口令加密的情况下，但是可以将口令重设为新值。系统在初始化闪存文件系统之前已中断。以下命令将初始化闪存文件系统，并完成操作系统软件的加载：flash_init load_helper boot,2.4.2 登录标语,配置登录标语 Cisco IOS 命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息(MOTD)标语。所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时（例如系统即将停机），MOTD 标语尤其有用。,2.4.3 配置Telnet和SSH,远程访问 Cisco 交换机上的 vty 有两种选择。,2.4.4 常见安全攻击,MAC地址泛洪-主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。,2.4.4 常见安全攻击,MAC地址泛洪 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。,2.4.4 常见安全攻击,MAC地址泛洪 由主机 A（或任何其它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。,2.4.4 常见安全攻击,MAC地址泛洪 攻击者使用交换机的正常操作特性来阻止交换机正常工作。,2.4.4 常见安全攻击,MAC地址泛洪只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。,2.4.4 常见安全攻击,欺骗攻击 攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。,2.4.4 常见安全攻击,欺骗攻击要防止 DHCP 攻击，请使用 Cisco Catalyst 交换机上的 DHCP侦听和端口安全性功能。,2.4.4 常见安全攻击,CDP 攻击 默认情况下，大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。,2.4.4 常见安全攻击,telnet攻击的类型：暴力密码攻击 Dos攻击抵御暴力密码攻击：-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击：更新为最新版本的Cisco IOS软件,网络安全工具执行以下功能：-网络安全审计帮助您 揭示攻击者只需监视网络流量就能收集到哪种信息确定要去除的虚假MAC地址的理想数量确定MAC地址表的老化周期-网络渗透测试帮助您：找出网络设备配置中的弱点发起多种攻击以测试网络小心：应仔细计划渗透测试，以避免影响网络性能,2.4.5 安全工具,现代网络安全工具的常见功能包括：-服务识别支持SSL服务非破坏性测试和破坏性测试漏洞数据库,2.4.5 安全工具,2.4.5 安全工具,使用网络安全工具可以：-捕获聊天消息-从NFS流量中捕获文件捕获通用日志格式的HTTP请求捕获Berkeley mbox格式的邮件消息捕获密码显示在Netscape中实时捕获的URL用随机MAC地址泛洪攻击交换LAN仿造对DNS地址查询和指针查询的响应截获交换LAN上的数据包,2.4.6 配置端口安全性,在所有交换机端口上实施安全措施，以：-在端口上指定一组允许的有效MAC地址-只允许一个MAC地址访问端口-指定端口在检测到未经授权的MAC地址时自动关闭,2.4.6 配置端口安全性,安全MAC地址有以下类型：-静态安全MAC地址-动态安全MAC地址-粘滞安全MAC地址,2.4.6 配置端口安全性,粘滞安全MAC地址有以下特性：-动态学习，转换为存储在运行配置中的粘滞安全MAC地址。-禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。-当交换机重新启动时，粘滞安全MAC地址将会丢失。-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。-禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。,2.4.6 配置端口安全性,端口安全默认配置,2.4.6 配置端口安全性,在Cisco Catalyst交换机上配置端口安全性,2.4.6 配置端口安全性,在Cisco Catalyst交换机上启用粘滞端口安全性,2.4.6 配置端口安全性,验证端口安全性,2.4.6 配置端口安全性,2.4.4 常见安全攻击,禁用未使用的端口 一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。,总结,802.3 Ethernet标准使用单播流量、广播流量和组播流量进行通信。双工设置和LAN分段可改善性能。冲突域、广播域、网络延时和LAN分段是LAN设计的关键考虑因素。交换机转发方法将影响LAN性能和延时。网络流量内存缓冲允许交换机存储帧，这样交换机就可以提供转发、对称交换、非对称交换和多层交换功能。使用Cisco IOS CLI可以快速配置重复的交换机功能。初始交换机配置包括提供基本IP连接、主机名和标语。应使用Cisco IOS show running-config命令验证配置，并总是备份交换机配置。使用Cisco IOS CLI，通过口令保护控制台访问和虚拟终端访问。,总结,实施口令以限制对特权执行模式的访问，并配置系统范围的口令加密。使用SSH对Cisco交换机进行远程终端配置。启用端口安全性来缓解风险，定期对网络交换机执行安全性分析。,VLAN,LAN 交换和无线 第 3章,目标,说明VLAN在网络中的作用 说明中继VLAN在汇聚网络中的作用在网络拓扑的交换机上配置 VLAN排除与网络交换机的VLAN相关的常见软件或者硬件配置故障,目录,3.1 VLAN简介3.2 VLAN中继 3.3 配置VLAN和中继3.4 VLAN和中继的故障排除3.5 章节实验3.6 本章总结,3.1 VLAN简介,3.1.1 VLAN简介,构建VLAN之前VLAN 概述-虚拟局域网(VLAN)-让网络管理员建立多组逻辑上联网的设备,3.1.1 VLAN简介,VLAN优点-安全-成本降低-性能提高-广播风暴防范-提高IT员工的效率-简化项目管理或应用管理,3.1.1 VLAN简介,VLAN 特性,3.1.2 VLAN的类型,常见的 VLAN 术语数据 VLAN,默认 VLAN,3.1.2 VLAN的类型,常见的 VLAN 术语,管理 VLAN,本征 VLAN,3.1.2 VLAN的类型,语音 VLAN因此 VoIP 流量要求：足够的带宽来保证语音质量高于其它网络流量类型的传输优先级能够在融合网络中得到路由在网络上的延时小于 150 毫秒(ms),3.1.2 VLAN的类型,语音 VLAN-Cisco 电话是一种交换机Cisco IP 电话集成了一台三端口的 10/100 交换机，如图所示。从这些端口可连接到如下设备：端口 1 连接到交换机或其它 IP 语音(VoIP)设备。端口 2 是内部 10/100 接口，用于传送 IP 电话流量。端口 3（接入端口）连接到 PC 或其它设备。,3.1.2 VLAN的类型,VLAN的类型-简单配置,3.1.2 VLAN的类型,一个 VLAN具备一个LAN的所有特征，因此 VLAN 必须像 LAN 一样处理网络流量网络传输类型-网络管理和传输控制.,3.1.2 VLAN的类型,网络流量类型-IP 电话,3.1.2 VLAN的类型,网络流量类型IP 组播,3.1.2 VLAN的类型,网络流量类型-普通数据,3.1.3 交换机端口成员资格模式,VLAN 交换机端口模式-静态 VLAN 交换机上的端口以手动方式分配给 VLAN-动态 VLAN-使用 VMPS 可以根据连接到交换机端口的设备的源 MAC 地址，动态地将端口分配给 VLAN-语音 VLAN 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话,交换机端口成员资格模式,交换机端口模式配置,交换机端口成员资格模式,语音模式配置,3.1.4 通过 VLAN控制广播域,没有VLAN 时的网络广播,通过 VLAN控制广播域,划分了VLAN的网络广播为交换机配置 VLAN 后，特定 VLAN 中的主机所发出的单播流量、组播流量和广播流量，其传输均仅限于该 VLAN 中的设备.细分广播域可以通过 VLAN（在交换机上）也可以通过路由器完成。无论是否使用 VLAN，位于不同第 3 层网络的设备都必须通过路由器才能通信VLAN 内通信:,通过 VLAN控制广播域,通过交换机和路由器控制广播域VLAN 间通信,3.1.4 通过 VLAN控制广播域,通过 VLAN 和第 3 层转发来控制广播域-换机虚拟接口(SVI)技术允许第 3 层交换机在 VLAN 之间路由数据传输,3.2 VLAN 中继,3.2.1 VLAN 中继,VLAN 中继？VLAN 中继的定义-中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量-VLAN 中继可让 VLAN 扩展到整个网络上-Cisco 支持使用 IEEE 802.1Q 来协调快速以太网接口和千兆以太网接口-VLAN 中继不属于具体某个 VLAN,3.2.1 VLAN 中继,中继能解决什么问题？,不使用VLAN 中继,使用VLAN 中继,3.2.1 VLAN 中继,802.1Q 帧标记-交换机根据以太网帧头信息来转发数据包-802.1Q 封装帧头 VLAN 标记字段详细信息-VLAN 标记字段包含一个 EtherType（以太类型）字段、一个标记控制信息字段和 FCS 字段,3.2.1 VLAN 中继,本征 VLAN 和 802.1Q 中继,3.2.1 VLAN 中继,本征VLAN 配置举例本征 VLAN检验,3.2.2 VLAN 中继工作方式,中继工作例子,PC1发送广播给VLAN10的主机PC3发送广播给VLAN30的主机S2是配置了Trunk的交换机，给每个数据帧打标S1和S2之间的Trunk上传输打标的数据帧并且发送到相应的VLAN10和VLAN30的端口S1和S3之间的Trunk上传输打标的数据帧S3把非打标数据帧发送到正确端口上,3.2.2 中继模式,IEEE and ISL-IEEE 802.1Q 中继端口同时支持有标记流量和无标记流量.-在 ISL 中继端口上，所有收到的数据包都应该封装有 ISL 帧头，并且所有发送的数据包也都有 ISL 帧头。从 ISL 中继端口收到的本征帧（无标记帧）会被丢弃。ISL 是不再建议使用的一种中继端口模式，许多 Cisco 交换机也不再支持该模式,3.2.2 中继模式,DTP-DTP（动态中继协议）是 Cisco 的专有协议。当交换机端口上配置了某些中继模式后，此端口上会自动启用 DTP。中继模式-开启（默认）.-动态自动-动态期望.-关闭 DTP,3.3 配置VLANs 和中继,配置VLANs 和中继概述,3.3.2 配置VLAN,添加 VLAN-命令,3.3.2 配置VLAN,添加 VLAN-举例,注：您不仅可以输入单个的 VLAN ID，还可以使用 vlan vlan-id 命令，输入以逗号分隔的一系列 VLAN ID 或以连字符分割的 VLAN ID 范围，例如：switch(config)#vlan 100,102,105-107。,3.3.2 配置VLAN,添加 VLAN,3.3.2 配置VLAN,分配交换机端口-当手动将交换机端口分配给 VLAN 时，这种端口称为静态接入端口。静态接入端口一次只能分配给一个 VLAN-命令语句：,3.3.2 配置VLAN,分配交换机端口-举例：,配置VLAN,分配交换机端口-验证配置：,3.3.3 管理VLAN,检验 VLAN 和端口成员资格-配置 VLAN 后，可以使用 Cisco IOS show 命令检验 VLAN 配.-命令语句如下：,3.3.3 管理VLAN,检验 VLAN 和端口成员资格-用show命令看到的：,3.3.3 管理VLAN,检验 VLAN 和端口成员资格-管理VLAN常用的命令,管理VLAN,管理VLAN-使用命令：no vlan vlan-id delete flash:vlan.dat-验证命令：show vlan brief,注：删除 VLAN 之前，务必先将所有的成员端口重新分配给其它 VLAN。在删除 VLAN 后，任何未转移到活动 VLAN 的端口都将无法与其它站点通信。,3.3.4 配置中继,配置 802.1Q 中继-命令语句：-举例：,3.3.4 配置中继,管理中继配置-命令语句：-reset及remove,Reset example,Remove example,3.4 VLAN和中继的故障排除,3.4.1 中继的常见问题,中继的常见问题-当您在交换式的基础架构上配置 VLAN 和中继时，这些类型的配置错误通常以下列顺序出现：,中继的常见问题,本征 VLAN 不匹配-案例拓扑如下：,配置后出现的提示：,解决后,中继的常见问题,中继模式不匹配-案例拓扑如下：,使用show interfaces trunk 检查S1，S3输出,重新配置S1，S3的Trunk模式,F0/3,F0/3,中继的常见问题,不正确的 VLAN 列表-案例拓扑：,使用：switchport access trunk allowed vlan addvlan-id 命令配置后，使用show interfaces trunk 检查：,在s1上使用：switchport trunk allowed vlan 10,20,99,总结,VLANAllows an administrator to logically group devices that act as their own networkVLAN 用于在交换式 LAN 中细分广播域 VLAN的作用包括：减少开销、增加安全、提高性能、易于管理,总结,在 VLAN 上传输的数据类型包括：数据语音网络协议网络管理不同VLAN之间传输数据需要使用：路由器或者第3层设备,总结,中继在不同VLAN之间通信的公共通道IEEE 802.1Q公开的中继协议适用侦标记的方法来识别每个侦的不为本征VLAN传输打标,