交换机及其配置方法.ppt

交换机及其配置方法 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望本章内容 交换式以太网交换式以太网 交换基础交换基础 交换机管理与基本配置交换机管理与基本配置 虚拟局域网（虚拟局域网（VLAN)VLAN)三层交换技术三层交换技术 生成树协议生成树协议 交换网络的端口安全交换网络的端口安全虚拟局域网（虚拟局域网（虚拟局域网（虚拟局域网（VLAN)VLAN)VLAN)VLAN)交换网络中的问题 在交换机组成的网络里，所有主机都在同一个广播域中在交换机组成的网络里，所有主机都在同一个广播域中 一台主机发出的广播，其余所有主机都能够收到一台主机发出的广播，其余所有主机都能够收到广播域广播域解决方法VLAN 通过通过VLANVLAN技术可以分割广播域技术可以分割广播域VLAN20VLAN20VLAN10VLAN10广播域广播域广播域广播域VLAN技术 VLANVLAN（Virtual Local Area NetworkVirtual Local Area Network）VLANVLAN是在一个物理网络上划分出来的逻辑网络，它不受网络端口的实际是在一个物理网络上划分出来的逻辑网络，它不受网络端口的实际物理位置的限制，有着和普通物理网络相同的属性，第二层的广播帧仅在物理位置的限制，有着和普通物理网络相同的属性，第二层的广播帧仅在一个一个VLANVLAN内扩散，而不会进入其他的内扩散，而不会进入其他的VLANVLAN之中，且之中，且VLANVLAN端口不受物理端口不受物理位置限制。位置限制。1234交换机广播帧交交换换机机收收到到广广播播帧帧后后，只只转转发发到到属属于于同同一一VLAN的的 其其 他他端口。端口。广播域广播帧广播域VLAN优点控制广播风暴控制广播风暴一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生提高网络整体安全性提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性网络管理简单、直观网络管理简单、直观 一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用VLAN的划分方式基于端口划分基于端口划分VLANVLAN基于基于MACMAC地址的地址的VLANVLAN基于网络层（基于网络层（IPIP地址）的地址）的VLANVLAN基于基于IPIP组播的组播的VLANVLAN基于交换机的端口基于交换机的端口基于交换机的端口基于交换机的端口(一个端口只属于一个一个端口只属于一个一个端口只属于一个一个端口只属于一个VLAN)VLAN)VLAN)VLAN)基于端口划分VLANPort VLAN设置在连接主机的端口F0/1F0/2F0/3Port-vlan原理交换机端口交换机端口MACMAC地址地址VLANIDVLANIDF0/1F0/1A A1010F0/2F0/2B B2020F0/3F0/3C C1010A BA CXF0/1F0/2F0/3VLAN 20VLAN 20VLAN 10VLAN 10VLAN 10VLAN 10A AB BC CID范围从范围从1-4049，VLAN1是默认的是默认的且不可以被删除且不可以被删除组建组建VLAN的条件的条件 VLANVLAN是建立在物理网络基础上的一种逻辑是建立在物理网络基础上的一种逻辑子网，因此建立子网，因此建立VLANVLAN需要相应的支持需要相应的支持VLANVLAN技术技术的网络设备。当网络中的不同的网络设备。当网络中的不同VLANVLAN间进行相互通间进行相互通信时，需要路由的支持，这时就需要增加路由设信时，需要路由的支持，这时就需要增加路由设备备要实现路由功能，既可采用路由器，也可要实现路由功能，既可采用路由器，也可采用三层交换机来完成采用三层交换机来完成在单一交换机上配置在单一交换机上配置VLAN配置VLAN(VLANVLAN的添加及删除的添加及删除的添加及删除的添加及删除)例创建例创建VLAN10VLAN10，将它命名为，将它命名为testtest的例子的例子Switch#configureterminalSwitch#configureterminalSwitch(config)#vlan10Switch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#nametest*为为VLANVLAN命名命名Switch(config-vlan)#endSwitch(config-vlan)#endSwitch#showvlanidSwitch#showvlanidvlan-idvlan-id*显示之前的配置显示之前的配置Switch(config)#novlanSwitch(config)#novlanvlan-idvlan-id*删除删除VLANVLAN配置VLAN（向向向向VLANVLAN内添加接口内添加接口内添加接口内添加接口）n n例把接口例把接口fastethernet0/10fastethernet0/10作为作为accessaccess口加入了口加入了VLAN10VLAN10Switch#configureterminalSwitch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config)#interfacefastethernet0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch(config-if)#end配置VLAN（将一组接口加入某将一组接口加入某将一组接口加入某将一组接口加入某VLANVLAN）n n例如把接口例如把接口fastethernet0/8fastethernet0/8和和0/10-150/10-15也作为也作为accessaccess口加口加入了入了VLAN10VLAN10 Switch(config)#interfacefastethernet0/8Switch(config)#interfacefastethernet0/8，0/10-150/10-15Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch(config-if)#endSwitch#showvlanidSwitch#showvlanidvlan-idvlan-id*显示当前的配置显示当前的配置注：连续接口注：连续接口 0/1-100/1-10，不连续接口用逗号隔开，但一定，不连续接口用逗号隔开，但一定要写明模块编号要写明模块编号Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10跨交换机VLAN间通信:TagVLANA交换机上VLAN10的端口范围中取一个端口，和交换机B上VLAN10范围中的某个端口，作级联连接。如果交换机上划了10个VLAN，就需要分别连10条线作级联，端口效率就太低了。Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLAN跨交换机VLAN之间的通信:TagVLAN在交换机之间用一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。Trunk端口传输多个VLAN的信息，实现同一VLAN跨越不同的交换机TagVLAN跨交换机设置跨交换机相联的VLAN设置要相同，且IP设置要同一网络；一个端口可以同时属于多个VLAN，跨交换机相联的多个VLAN可通过共同的Tag端口相联。跨交换机相联的VLAN如果属于不同的网络，则要通过三层交换机或通过路由器互联基于802.1Q的TagVLAN用VID来划分不同的VLAN，当数据帧通过交换机的时候，交换机根据帧中tag头（Tagheader）的VID信息来识别它们所在的VLAN（但是若帧中无tag头，则应用帧所通过端口的缺省VID信息来识别它们所在的VLAN），这使得所有属于该VLAN的数据帧都限制在该逻辑VLAN中传播TagVLAN802.1Q工作原理802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。A A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B B数据帧数据帧TagTag标签标签TrunkTrunkTrunkTrunkTrunkTrunkTrunkTrunkIEEE802.1Q数据帧目的,源MAC地址类型,数据重新计算帧检测序列2字节标记协议标识2字节标记控制信息标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比特，表示优先级Canonicalformatindicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围14094TagVLAN中帧转发举例n 如图3-2所示，Port1收到一个Untagged帧，帧中不带有802.1Qtag头，则Port1的缺省VID被应用于该帧，根据交换机学习到的地址信息，该帧将被发送到相应端口。但若交换机中现存信息不能确定应向哪个端口转发则将帧进行广播，广播范围为VLAN1的广播域在本例中，帧将向Port2,Port3,Port4转发，但各个端口情况将有所不同：A、从Port2转发，因为Port2是Tag端口，所以Port2转发出来的帧包含802.1Qtag头。B、从Port3、Port4转发，因为Port3、Port4是Untag端口，所以当帧经过此端口转发，不包含802.1Qtag头 配置VLAN-Trunk 把把fa0/1fa0/1配成配成TrunkTrunk口口Switch#configureterminalSwitch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchportmodetrunkSwitch#showvlanSwitch#showvlan*发现配置成发现配置成TrunkTrunk的接口出现在所有的接口出现在所有VLANVLAN 定义定义TrunkTrunk接口的许可接口的许可VLANVLAN列表列表Switch(config)#interfacefastethernet0/20Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#switchporttrunkallowedvlanremove2*许可列表中除去许可列表中除去VLAN2VLAN2Switch(config-if)#switchporttrunkallowedvlanadd3,4Switch(config-if)#switchporttrunkallowedvlanadd3,4*许可列表中加入许可列表中加入VLAN3VLAN3和和 4 4查看/保存/清除VLAN信息 查看查看VLANVLAN信息信息Switch#Switch#showvlanshowvlan 将将VLANVLAN信息保存到信息保存到flashflash中中Switch#writememorySwitch#writememory 从从flashflash中只清除中只清除VLANVLAN信息信息Switch#deleteflash:vlan.datSwitch#deleteflash:vlan.dat 从从RAMRAM中删除中删除VLANVLANSwitch(config)#novlanVLAN-idSwitch(config)#novlanVLAN-id课后练习 用自己的话简述用自己的话简述VLANVLAN的概念，为什么需要使用的概念，为什么需要使用VLAN?VLAN?为什么同一为什么同一VLANVLAN中的计算机，若其中的计算机，若其IPIP属不同类的网络则不能相互属不同类的网络则不能相互通信？通信？如何配置如何配置trunktrunk接口，使其仅接受指定接口，使其仅接受指定VLANVLAN数据信息通过？数据信息通过？