交换机工作原理与交换机基本配置.ppt

交换机工作原理与交换机基本配置,学习目标：1.理解交换机的工作原理2.掌握设备命名的方法3.掌握VLAN划分方法4.实现VLAN之间的通信5.了解实现端口安全的方法,冲突和广播,1、冲突及冲突域 在网络中所有节点在任何需要的时候都可以发送数据，而共享式以太网却努力确保任一时刻只有一个节点发送数据。但是，两个节点却有可能同时发送数据，例如图中的节点A和节点C。,冲突（collision）冲突是传统以太网中的一种现象。如果2台或者多台设备试图同时发送数据，那么就会发生冲突。一个网络中冲突太多的时候，会导致缓慢的网络响应时间，表示网络变得过于拥塞冲突域 构成冲突的所有节点组成的区域就是冲突域。即一个支持共享介质的网段。集线器不能隔离冲突域，因此集线器所有的端口同在一个冲突域。交换机能隔离冲突域，交换机每个端口一个冲突域。,2、广播及广播域 LAN上的所有节点都应该接收和处理送往广播地址的帧，发往广播地址的帧将发送到 LAN 上的所有节点。,广播（Broadcast）在网络传输中，向所有连通的节点发送消息称为广播。广播域广播帧传输的网络范围称广播域，即网络中能接收任何节点发出的广播报文的所有节点的集合。交换机不能隔离广播域，因此，一个网络中的交换机的所有端口在同一广播域。路由器能隔离广播域，因此，一个路由器的不同端口处于不同的广播域,交换式局域网,以交换机（switch）构建的星形网络Switch基于MAC地址转发/过滤利用CSMA/CD机制来避免冲突利用缓存机制来解决端口冲突支持全双工,例如，图中显示了交换机内数据的流动情况。假定节点 1 向节点 4 发送数据，节点 2 和节点 3 并不知道上述数据的传输，因为这些数据并没有传到这两个端口上。,交换机的分段给网络上每个用户提供了专用带宽，每个用户即刻接入到全部带宽，且不必和其他用户竞争可用带宽。,交换机功能,交换机帧处理过程,交换机对帧处理的5个过程包括：学习（learning）、泛洪（flooding）、转发（forwarding）、过滤（filtering）、老化（aging）,学习,交换机的学习指的是地址学习过程。交换机会记录发送源的源 MAC 地址和源端口，这个过程就是学习过程。交换机只学习单播源地址。,假设工作站 A 欲传输单播帧到工作站 D，交换机从端口 E0 收到这个帧并查看帧的源 MAC 地址，然后把这个地址和对应端口E0 放进 MAC 地址表中。,泛洪,当工作站 A 发送帧给 D 的时候，交换机会查看帧的目标 MAC 地址并看其 MAC 地址表里有没有该条目，但是此时交换机只有 A 的MAC地址，并没有目标 D 的 MAC 地址，即此时交换机收到的是未知单播帧，交换机将把未知单播帧从它的所有端口（除了源端口外）发送，这个过程就叫泛洪。,除了泛洪未知单播帧，交换机还会泛洪另外两种类型的帧：广播帧和组播帧。,转发或过滤,如果到达交换机的帧目标地址是已知的，交换机则只会将帧转发给连接目标工作站的特定端口，而不是转发给所有端口。即对该特定端口为转发，其他端口称为过滤。,如：工作站 A 将帧送往工作站 B 的过程如下：将发送帧的目标MAC地址0260.8c01.2222与MAC表中的表项进行比较；查到该地址可通过E1端口到达,将帧转发到该端口；交换机不会再将帧转发到E2、E3端口，即过滤(frame filtering)以节省链路带宽。,老化（或称计时）,当交换机学习到某个源 MAC 地址之后，它会给这个条目打上时间戳。每当交换机收到来自这个源 MAC 地址的帧之后，这个时间戳会被更新。当老化计时器(aging timer)超时之后还没有收到来自该源 MAC 地址的帧，那么这个条目就会从桥接地址表里移除。老化计时器的默认时间为5分钟，可以人工对其进行修改。,交换机结构,1、交换机的组成部件 交换机实际上就是一台特殊用途的计算机，它的内部也有CPU、内存和主板，只不过这些部件是专门为数据交换而设计的。我们通常所说的交换机的背板带宽有点类似于电脑主板上的总线，是交换机接口处理器（或接口卡）和数据总线间所能吞吐的最大数据量。一台交换机的背板带宽越高，处理数据的能力就越强，同时价格也越高。交换机除了和我们熟知的传统的PC机有类似的体系结构外，它还和PC机一样拥有相应的操作系统。,2、交换机的组成部件 以Cisco交换机为例来了解交换机结构。Cisco交换机是由CPU、RAM、NVRAM、FLASH、ROM和一些相应的接口通过内部总线相连而构成。,CPU（中央处理器）相当于PC的CPU，是交换机的大脑，负责整个系统的计算和控制。ROM（只读存储器）相当于PC的BIOS（基本输入输出系统），存放引导程序和IOS的一个最小子集。它是只读存储器，系统掉电程序不会丢失。Flash（闪存）相当于PC的硬盘，它包含操作系统（IOS）和其他伪代码。它是一种可擦写、可编程的存储器，系统掉电程序不会丢失。NVRAM（Nonvolatile RAM,非易失性随机存取存储器）相当于PC的第二块硬盘，专门存放交换机的配置文件。系统掉电程序不会丢失。RAM/DRAM（随机存储器/动态存储器）相当于PC的内存，是交换机主要的存储部件，RAM也叫做工作存储器，它包含动态的配置信息。系统掉电RAM的内容会丢失。Interfaces（接口/端口）相当于PC的网卡，接口（Interface）是数据分组进出交换机的网络连接。,交换机的启动过程,交换机启动时首先对系统各部分的硬件进行检测，然后检查启动配置文件，根据配置文件指定的引导路径去寻找操作系统，最后从NVRAM中将配置文件加载到RAM，如果没有配置就进入系统的初始配置状态。,Cisco IOS基础,1、Cisco IOS软件的目的 与计算机一样路由器或交换机需要操作系统才能正常工作。Cisco将自己的操作系统称为Cisco互连网络操作系统，或者Cisco IOS软件。它内置于Cisco路由器和Catalyst交换机上。Cisco IOS提供了下列服务：基本的路由选择和交换功能对联网资源可靠和安全的访问网络的可扩展性,2、Cisco 设备用户界面,Cisco IOS软件使用命令行界面（CLI）作为自己传统的控制台环境。Cisco IOS是一项核心技术，它跨越大多数Cisco产品线，不同设备中Cisco IOS软件的运行细节也有所区别。CLI环境常用下列方式访问：,通过控制台会话 使用低速串行连接，从PC机直接到设备的控制台端口通过telnet作为虚拟终端连接到设备,3、Cisco 各种用户界面模式,Cisco CLI使用了一种分级的结构。这种结构要求进入不同的模式以完成各种特定的任务。Cisco IOS软件提供了一种称为命令执行者（mand executive,EXEC）的命令解释器服务，每个命令输入后，EXEC都会验证并执行该命令。Cisco IOS软件将EXEC会话分成了两个访问级别：,用户EXEC模式（使用提示符“”）只查看模式，不允许对配置进行修改,特权EXEC模式（使用提示符“#”）所有要进行的配置都从特权模式进入,4、Cisco IOS命令状态,（1）帮助命令“？”字词帮助：紧跟命令字符的后面输入？，系统将显示以 输入字符开始的一系列命令。命令行格式帮助：当你对要输入的关键词或参数没有把 握时，可以用？来代替，记住在？的前面需要插入空格，网络设备就会显示一系列可选的命令选项。在键入命令过程中可以使用“Tab”键帮助键入未输入完的 命令。,5、Cisco IOS常用命令,（2）改变状态命令,（3）显示命令,（4）IOS文件管理命令,RAM,NVRAM,config terminal,控制台或终端,TFTP服务器,copy run start,copy start run,copy run tftp,copy tftp run,copy tftp start,copy start tftp,FLASH,copy tftp flash,copy flash tftp,erase start,垃圾桶,IOS文件管理示意图：,交换机的配置方式,控制台：Console口接终端或运行终端仿真软件（如超级终端）的PC机 Telnet:可以通过Telnet配置 TFTP：可以通过TFTP服务器下载配置信息 SNMP：可以通过一个运行网管软件的工作站来管理配置,除了以上介绍的几种方法外，有些交换机还支持通过Web方式进行配置,第一次配置必须通过 Console 端口进行，只有当通过 Console 端口对交换机进行了相应的配置后，我们才可以通过其他的几种方式对它进行配置和管理。,交换机基础配置,1）设主机名和密码 hostname switch enable password cisco(注：使用show run可查看到该密码)OR enable secret hngy(注：使用show run查看不到该密码)若设置了enable密码后，交换机要求用户输入完enable命令后，在密码提示符后输入使能（enable）密码来访问特权模式，所以特权模式也叫做使能模式。enable secret密码是非常安全的，因为它使用“MD5”加密，而enable password很容易破解。若同时配置了enable password 和 enable secret，则交换机要求输入enable secret命令所定义的密码，交换机将不接收enable password命令所定义的密码。,IOS对于控制台及Telnet的配置使用术语线路（line）。所以，控制台、Telnet口令要使用线路配置模式进行配置。一旦进入到各自的线路配置模式，就需要配置两个命令：password text 命令定义了在交换机询问口令时必须要输入的字符串；login 命令告诉IOS口令是必须的。,2）设置Console口、Telnet登录参数 line con 0 password cisco login line vty 0 4 password cisco login,交换机端口配置,1、进入端口 switch#conf terminal switch(config)#int f0/1(指定一个端口)switch(config)#int range f0/2-5(指定连续的一组端口)switch(config)#int range f0/6,f0/9(指定不连接的端口),激活端口 switch(config-if)#no shutdown,2、配置二层端口,交换机端口默认都是二层端口，在支持三层交换的交换机上，我们可以将每一个端口都配置成路由端口（在进入端口配置状态下，输入“no switchport”命令），如果一个端口已经配置为三层端口，我们可以在其端口状态下，输入“switchport”命令使其恢复为交换端口。,示例：（若SW3550中F0/2口已配成三层端口，现要恢复为二层端口）sw3550#config terminal sw3550(config)#int f0/2 switch(config-if)#switchport,2）配置端口描述 switch(config)#int f0/6 switch(config-if)#description link to vlan2 switch(config)#int f0/7 switch(config-if)#description link to sw3560 f0/24,1）配置端口速率及双工模式 switch(config)#int f0/1(配置一个端口)或switch(config)#int range f0/2-5(配置一组端口)switch(config-if)#speed 100 switch(config-if)#duplex full,full：全双工half：半双工auto：自动,3、配置三层端口,在交换机上所说的三层端口，往往指的是VLAN的虚拟接口或三层交换中使用了“no switchport”命令后的普通物理端口。,1）配置三层交换机端口IP地址 示例：sw3560(config)#int f0/1 sw3560(config-if)#ip add sw3560(config-if)#no shut,2）配置二层交换机VLAN地址 示例：sw2950(config)#int vlan 2 sw2950(config-if)#ip add sw2950(config-if)#no shut,switch(config)#interface f0/1 switch(config-if)#switchport mode access switch(config-if)#switchport port-security switch(config-if)#switchport port-security mac-address,5、端口安全配置,4、监控及维护端口,交换机基本管理,2)保存配置 现做的配置都记入在RAM中(running-config文件)若需要保存所作的配置，需写入启动配置文件(startup-config文件)中：switch#copy run start,1)为交换机管理配置地址 默认情况下所有端口都在VLAN1下，对VLAN1设置一个IP 地址以方便管理 switch#conf t switch(config)#interface vlan 1 switch(config-if)#ip add,1、虚拟局域网（VLAN）的概念,VLAN是一种逻辑上的局域网，它可以不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的虚拟网络，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间的广播信息是相互隔离的。这样，就将整个网络分割成多个不同的广播域。每一个VLAN均可看成是一个逻辑网络，发往另一个VLAN的数据包必须由路由器或具有路由功能的交换机转发。,虚拟局域网VLAN及配置,VLAN的物理结构与逻辑结构,一个VLAN就是一个广播域，包含了一组连接具有相同属性且物理位置无关的接口一个VLAN对应一个IP子网段VLAN内部的单播、组播、广播数据只在VLAN内部传输实现VLAN间通信必须借助于路由器(或具有三层交换功能的交换机）,VLAN的优点,隔离广播域减少网络管理开销；增强网络的安全性；实现组网的灵活性。,VLAN 在交换机上的实现方法，适用于局域网的主要有三类:,2、VLAN的划分方法,1）基于端口划分的VLAN 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN 协议的交换机都提供这种VLAN 配置方法。,2）基于MAC地址划分VLAN 即对每个MAC地址的主机都配置属于哪个VLAN，VLAN交换机跟踪属于VLAN MAC的地址。,3）基于网络层IP地址划分VLAN 这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN 成员身份仍然保留不变。,1）VLAN范围VLAN的范围为14096。Vlan 1是基本 VLAN，所有未被划分的接口都属于Vlan 1。Vlan 0、Vlan 4095：保留Vlan 1：基本VLANVlan 21001：用于以太网Vlan 1002：FDDI-DefaultVlan 1003：Token-Ring-Default Vlan 1004：FDDInet-DefaultVlan 1005：TRnet-default Vlan 10244094：用于扩展的以太网ISL 封装只支持到1005；802.1Q 支持全部,3、VLAN的配置,2）创建VLAN 方法一：特权模式下进入VLAN数据库模式 switch#vlan database switch(vlan)#vlan 2 name zw switch(vlan)#vlan 3 方法二：全局模式下 switch#config t switch(config)#vlan 4 switch(config)#name v4,3、VLAN的配置,3）删除VLAN 方法一：VLAN数据库模式下 switch#vlan database switch(vlan)#no vlan 2 方法二：全局模式下 switch#config t switch(config)#no vlan 4,3、VLAN的配置,4）与接口的绑定（若没有绑定接口，接口默认都在VLAN1下）switch(config)#int f0/2 switch(config-if)#switchport mode access switch(config-if)#switchport access vlan 2 或switch(config-if)#int range f0/3-8 switch(config-if)#switchport mode access switch(config-if)#switchport access vlan 3,5）显示VLAN 显示整个VLAN信息:switch#show vlan 显示某个VLAN信息:switch#show vlan brief 查看端口的详细信息和所属的VLAN信息:switch#show int f0/2 switchport,3、VLAN的配置,交换机的端口，可以分为以下两种：访问链接（Access Link）指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。汇聚链接（Trunk Link）交换机之间要传递VLAN信息时，所链接的端口要设置成指“Trunk”模式。,VLAN中继协议及配置,中继(Trunk)主要用来传递多个VLAN的信息,1、中继(Trunk)的概念,中继（Trunk）独立于VLAN，能够连接不同的VLAN，能够跨越多个交换机的相同VLAN。网络设备间的级连采用Trunk方式，级连端口不属于任何设备，即该端口所建立的网络设备间的级连链路是所有VLAN进行通信的公用通道。,当在由多个交换机互联的网络中使用 VLAN 时，需要在交换机之间使用 VLAN 中继。使用 VLAN 中继时，交换机标记发往中继线的每个帧，以便接收帧的交换机知道帧属于哪个 VLAN。,1）ISL(Inter-Switch Link):Cisco私有封装，支持1024个Vlan 2）802.1q:国际标准封装，可支持4096个Vlan,4字节，Vlan ID字段,2、Trunk的封装,中继是连网技术中的重要组成部分，Cisco 交换机支持两种不同的中继协议-ISL 和IEEE802.1Q。,（Cisco的1900只支持ISL，2950只支持802.1q，2970及以上两种都支持）,int f0/24switchport trunk encapsulation ISL/802.1qswitchport mode trunk show int trunk,3、Trunk的配置,VTP是一种通过Trunk来进行VLAN管理的协议，属于Client/Server方式。首先，VTP包含域的概念，只有处在同一个域内的交换机才构成一个管理体系。其次，对于整个域内VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端，客户端的VLAN数据库也会发生相应的变化。,4、VLAN中继协议VTP(Vlan trunk protocol),1）VTP作用 通过VTP协议来动态管理Vlan，同步VTP域中Vlan的信息2）VTP相关概念 VTP协议的参数：,VTP版本VTP配置修订号VTP域名VTP修剪VTP密码VLAN信息,要一致,修订号高的同步配置低的,要相同,Vlan号、Vlan名,可进行VTP修剪Pruning,3）VTP的工作模式：,Server服务器模式Client客户机模式Transparent透明模式,可在本地创建、删除、修改vlan可以产生、发送、接收、处理VTP信息可以保存vlan信息,不能创建、删除、修改vlan可以发送、接收、处理VTP信息,只接收转发，不处理、不产生VTP信息可在本地创建、删除、修改vlanVTP配置修订号始终为0,4）VTP的同步原则：,VTP域名不能为空 VTP域名必须一致 配置修订号高的同步配置修订号低的 只同步Vlan信息，不同步Vlan与接口绑定信息 只在trunk传输VTP信息,5）VTP的配置：,配VTP域名：switch(config)#vtp domain hngy设VTP模式：switch(config)#vtp mode server/client/transparent查看VTP状态：switch#show vtp status,6）VTP的修剪（Pruning）：,switch(config)#vtp pruning,VTP修剪是在trunk链路上自动修剪vlan 流量的制度。VTP修剪阻止掉广播和未知目标单播流向在vlan中没有任何端口的交换机。VTP修剪是使用VTP最重要的两个原因之一，另一个原因是使vlan配置更容易、更灵活。,VLAN间路由,VLAN 在第2层执行网络分区和通信量分离。所以，如果没有具有路由功能的第3层设备，VLAN 间就不能通信，因为网络层（第3层）设备负责在多个广播域间通信。要在 VLAN 间提供路由选择必须具有 3 个条件：,1）一个具有 VLAN 能力的交换机2）一个路由器或具有路由功能的交换机3）在交换机和路由器之间配置特定的连接方式,V2,V3,VLAN间路由发展过程:,1、三层及以上交换机VLAN间路由配置：,2、单臂路由器进行VLAN间路由配置：,园区网典型布署,1）交换机基础性配置2）设置VTP DOMAIN、VTP MODE3）配置中继（中心、分支交换机上都设置）4）创建VLAN（在VTP Server上设置）5）将交换机端口划入VLAN6）配置VLAN间路由,1、布署方案,2、案例拓朴,F0/23,F0/24,trunk,trunk,1楼2950-1,2楼2950-2,大楼交换机3560,F0/1-5,F0/24,F0/24,F0/6-10,F0/1-5,F0/6-10,Vlan 10,Vlan 20,Vlan 10,Vlan 20,3、命名及VLAN和IP地址分配,二、配置实现,1）交换机基础性配置SW3560：switch#config t switch(config)#hostname sw_3560SW2950-1：switch#config t switch(config)#hostname sw_2950_fl1SW2950-2：switch#config t switch(config)#hostname sw_2950-fl2,2）设置VTP DOMAIN 及VTP模式SW_3560(config)#vtp domain ciscoSW_3560(config)#vtp mode serverSW_2950-fl1(config)#vtp domain ciscoSW_2950-fl1(config)#vtp mode clientSW_2950-fl2(config)#vtp domain ciscoSW_2950-fl2(config)#vtp mode client,二、配置实现,3）配置中继SW3560(config)#int range f0/23-24SW3560(config-if)#switchportSW3560(config-if)#switchport trunk encapsulation dot1qSW3560(config-if)#switchport mode trunkSW_2950-fl1(config)#int f0/24SW_2950-fl1(config-if)#switchport mode trunk SW_2950-fl2(config)#int f0/24SW_2950-fl2(config-if)#switchport mode trunk,二、配置实现,4）创建VLAN，并且每个VLAN设置一个管理地址SW3560#vlan dataSW3560(vlan)#vlan 10 name financeSW3560(vlan)#vlan 20 name techniqySW3560(config)#int vlan 10SW3560(config-if)#ip add SW3560(config)#int vlan 20SW3560(config-if)#ip add,二、配置实现,5）将交换机端口划入VLANSW_2950_f1(config)#int range f0/1-5SW_2950_f1(config-if)#switchport mode accessSW_2950_f1(config-if)#switchport access vlan 10SW_2950_f1(config)#int range f0/6-10SW_2950_f1(config-if)#switchport mode accessSW_2950_f1(config-if)#switchport access vlan 20,二、配置实现,SW_2950_f2也做同样的配置,6）配置VLAN间路由（在大楼的三层交换机上）SW3560(config)#ip routingSW3560#show ip route,二、配置实现,案例扩展,F0/23,F0/24,trunk,trunk,1楼2950-1,2楼2950-2,大楼主交换机3560,F0/1-5,F0/24,F0/23,F0/6-10,F0/1-5,F0/6-10,Vlan 10,Vlan 20,Vlan 10,Vlan 20,F0/23,F0/24,大楼备交换机3550,F0/24,F0/23,