交换机.docx
《交换机.docx》由会员分享,可在线阅读,更多相关《交换机.docx(49页珍藏版)》请在冰豆网上搜索。
交换机
第九章交换机基本配置
9.1交换的概念和原理
交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称。
广义的交换机(switch)就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。
我们以前介绍过的HUB集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。
也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。
这种方式就是共享网络带宽。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。
交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部MAC地址表中。
使用交换机也可以把网络“分段”,通过对照MAC地址表,交换机只允许必要的网络流量通过交换机。
通过交换机的过滤和转发,可以有效的隔离广播风暴,减少误包和错包的出现,避免共享冲突。
交换机在同一时刻可进行多个端口对之间的数据传输。
每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。
当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。
假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。
总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。
交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
9.2交换机分类
从广义上来看,交换机分为两种:
广域网交换机和局域网交换机。
广域网交换机主要应用于电信领域,提供通信用的基础平台。
而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。
从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。
从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。
各厂商划分的尺度并不是完全一致的,一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。
另一方面,从应用的规模来看,作为骨干交换机时,支持500个信息点以上大型企业应用的交换机为企业级交换机,支持300个信息点以下中型企业的交换机为部门级交换机,而支持100个信息点以内的交换机为工作组级交换机。
本文所介绍的交换机指的是局域网交换机。
9.3交换机功能
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
学习:
以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:
当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:
当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。
一般来说,交换机的每个端口都用来连接一个独立的网段,但是有时为了提供更快的接入速度,我们可以把一些重要的网络计算机直接连接到交换机的端口上。
这样,网络的关键服务器和重要用户就拥有更快的接入速度,支持更大的信息流量。
9.4交换机交换方式
交换机转发数据帧通常有三种交换方式,如图10-1所示。
前同步码
7Bytes
帧开始
标志码
1Bytes
目的地址
6Bytes
源地址
6Bytes
帧长类型
2Bytes
帧内数据
46~1500Bytes
帧校验
4Bytes
直接转发(默认)
优点:
延迟最小
缺点:
无错误检测
无碎片
优点:
延迟较小、过滤大部分错误
存储转发
优点:
没有错误
缺点:
延迟最大
1)直通式:
直通方式的以太网交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。
它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能。
由于不需要存储,延迟非常小、交换非常快,这是它的优点。
它的缺点是,因为数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力。
由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且容易丢包。
2)存储转发:
存储转发方式是计算机网络领域应用最为广泛的方式。
它把输入端口的数据包先存储起来,然后进行CRC(循环冗余码校验)检查,在对错误包处理后才取出数据包的目的地址,通过查找表转换成输出端口送出包。
正因如此,存储转发方式在数据处理时延时大,这是它的不足,但是它可以对进入交换机的数据包进行错误检测,有效地改善网络性能。
尤其重要的是它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作。
3)碎片隔离:
这是介于前两者之间的一种解决方案。
它检查数据包的长度是否够64个字节,如果小于64字节,说明是假包,则丢弃该包;如果大于64字节,则发送该包。
这种方式也不提供数据校验。
它的数据处理速度比存储转发方式快,但比直通式慢。
9.5交换机工作过程
--->本地网段
数
据
到
达
-->能认识MAC地址 --过滤--
--->其他网段
--->未认识MAC地址--->地址表创建新项目--->泛洪
9.6交换机互连方式
1)级联:
■交换机之间利用以太网接口连接起来
■扩展网络范围
■单链路带宽瓶颈
■延时大
2)堆叠:
■通过堆叠线缆将交换机的背板连接起来,扩大级联带宽
■堆叠线缆短(1米)
■解决带宽瓶颈(单链路1G或更大)
■延时小
■统一管理
堆叠-菊花链堆叠-主从式
9.7交换机设备硬件组成
交换机设备=硬件构件+软件操作系统(RGNOS)
实训24:
交换机基本配置
【实训名称】
交换机基本配置
【实训目的】
通过本次实验,可以掌握如下技能:
☞交换机主机名配置;
☞交换机的密码配置;
☞交换机的管理地址配置;
☞交换机的保存配置。
【实训拓扑】
【实训步骤】
(1)任务1:
配置主机名
Switch>
Switch>en
Switch#configter
Switch(config)#hostnamesqjm
sqjm(config)#
(2)任务2:
配置密码
sqjm(config)#enablesecretsqjm
sqjm(config)#linevty04
sqjm(config-line)#passwordxxcmx
sqjm(config-line)#login
(3)任务3:
接口基本配置
默认时,交换机的以太网接口是开启的(路由器的关闭的),对于交换机的以太网口可以配置其双工模式和速率。
sqjm(config)#interfacefa0/1
sqjm(config-if)#duplexfull
//duplex用来配置接口的双工模式:
full—全双工;half—半双工;auto—自
动检测双工的模式
sqjm(config-if)#speed100
//speed命令用来配置交换机的接口速度,10—10mbps;100—100mbps;1000
—1000mbps;auto—自动检测接口速度;
(4)任务4:
配置管理地址
交换机也允许被telnet,这时需要在交换机上配置一个IP地址,这个地址是在VLAN接口上配置的。
如下:
sqjm(config)#interfacevlan1
sqjm(config-if)#ipaddress192.168.1.1255.255.255.0
sqjm(config-if)#noshutdown
//以上在VLAN1接口上配置管理地址,接在VLAN1上的计算机可以直接进行Telnet该地址。
(5)任务5:
保存配置
sqjm#write
Buildingconfiguration...
[OK]
实训25:
交换机的端口安全
【实训名称】
交换机的端口安全
【实训目的】
通过本次实训,可以掌握如下技能:
☞理解交换机的CAM表;
☞理解交换机的端口安全;
☞配置交换机的端口安全特性。
【背景描述】
作为公司的网络管理员,要为公司设计出安全的网络,为了防止一些部门计算机上的病毒危害网络,也为了能够快速的找到带病毒的计算机,交换机的端口安全问题显得很重要。
【技术原理】
CAM(ContextAddressMemory)表,是计算机的MAC地址和交换机端口的映射表。
MAC(MediaAccessControl,介质访问控制)MAC地址是烧录在NetworkInterfaceCard(网卡,NIC)里的.MAC地址,也叫硬件地址,是由48比特长(6字节),16进制的数字组成.0-23位叫做组织唯一标志符(organizationallyunique,是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。
其中第40位是组播地址标志位。
网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。
【实训拓扑】
【实训步骤】
交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。
在这里现在fa0/1接口只允许R1接入。
(1)任务1:
检查R1的fa0/0接口的MAC地址
R1(config)#interfacefa0/0
R1(config-if)#ipaddress192.168.10.1255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1#showinterfacesfa0/0
FastEthernet0/0isup,lineprotocolisup(connected)
HardwareisLance,addressis0050.0f6e.5201(bia0050.0f6e.5201)
//把该处的fa0/0的MAC地址记下来
Internetaddressis192.168.10.1/24
(2)任务2:
配置交换机端口安全
S1(config)#interfacefa0/1
S1(config-if)#shutdown
S1(config-if)#switchportmodeaccess
S1(config-if)#switchportport-security
//打开交换机的端口安全功能
S1(config-if)#switchportport-securitymaximum1
//只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入
S1(config-if)#switchportport-securityviolationshutdown
S1(config-if)#switchportport-securitymac-address0050.0f6e.5201
//只允许R1路由器从fa0/1接口接入
S1(config-if)#nosh
S1(config-if)#exit
S1(config)#interfacevlan1
S1(config-if)#ipaddress192.168.10.2255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#exit
(3)任务3:
查看MAC地址表
S1#showmac-address-table
MacAddressTable
-------------------------------------------
VlanMacAddressTypePorts
----------------------------
10050.0f6e.5201STATICFa0/1
(4)任务4:
模拟非法接入
这时从R1ping交换机的管理地址,可以通,如下:
R1#ping192.168.10.2
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.10.2,timeoutis2seconds:
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=31/31/32ms
在R1上修改fa0/0的MAC地址为另一个地址,模拟是另外一台设备接入,如下:
R1(config)#interfacefa0/0
R1(config-if)#mac-address11.11.11
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,
changedstatetodown
S1上很快出现如下信息:
%LINK-5-CHANGED:
InterfaceFastEthernet0/1,changedstateto
administrativelydown
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/1,
changedstatetodown
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan1,changedstateto
down
S1#showinterfacesfa0/1
FastEthernet0/1isdown,lineprotocolisdown(err-disabled)
HardwareisLance,addressis0030.a3a2.aa01(bia0030.a3a2.aa01)
//以上提示fa0/1接口关闭,当非法接入设备移除后,在fa0/1接口下,执行
“shutdown”和“noshutdown”命令可以重新打开该接口。
第十章VLAN
10.1VLAN产生背景
局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。
处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:
首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。
这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:
路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。
这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。
因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
10.2什么是VLAN
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地址而不是物理地址划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的。
10.3VLAN的优点
■限制广播域。
每一个VLAN是一个广播域,一个VLAN上的广播不会扩散到另一个VLAN,节省了带宽,提高了网络处理能力。
■增强局域网的安全性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
■灵活构建虚拟工作组。
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
VLAN是在数据链路层的,划分子网是在网络层的,所以不同子网之间的VLAN即使是同名也不可以相互通信。
10.4组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。
当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
10.5划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
■基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
■基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
■基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
10.5交换机的端口工作模式
交换机的端口工作模式通常使用最多是Access模式和Trunk模式。
Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通计算机的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,通常使用在交换机之间的级联端口上;
在Tunk链路上进行数据传输前,会加一个标记,表明该数据是属于哪个VLAN的,到了对方交换机,交换机会把该标记去掉,只发送到该VLAN的端口上。
有两种常见的帧标记技术:
ISL和802.1Q。
ISL是Cisco特有的技术,因此不能在Cisco交换机和非Cisco交换机之间使用。
而802.1Q技术是国际标准,得到所有厂家的支持。
10.6VTP
VTP(VLANTrunkingProtocol):
是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。
在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机。
这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP被组织成管理域(VTPDomain),相同域中的交换机能共享VLAN信息。
根据交换在VTP域的作用不同,通常VTP被分为以下常用的2种模式。
■服务器模式(Server):
在VTP服务器上能创建、修改和删除VLAN,同时这些信息会通告给域中的其他交换机。
在默认情况下,交换机是服务器模式。
每个VTP域必须至少有一台服务器。
■客户机模式(Client):
VTP客户机上不允许创建、修改和删除VLAN,但它会监听来自其他交换机的VTP通告并更改自己的VLAN信息。
实训26:
交换机的端口隔离
【实训名称】
交换机的端口隔离
【实训目的】
通过本次实验,可以掌握如下技能:
☞掌握VLAN的创建;
☞把交换机端口划分到特定额VLAN。
【背景描述】
假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机0/5端口上,住户PC2连接在交换机的0/8上。
现要实现各家各户的端口隔离。
【实训拓扑】
【实训步骤】
(1)任务1:
测试在未划VLAN前两台PC互相能否Ping通
PC>ping192.168.10.8
Pinging192.168.10.8with32bytesofdata:
Replyfrom192.168.10.8:
bytes=32time=125msTTL
升级会员 