第7章 交换 8汇总.docx
《第7章 交换 8汇总.docx》由会员分享,可在线阅读,更多相关《第7章 交换 8汇总.docx(40页珍藏版)》请在冰豆网上搜索。
第7章交换8汇总
第7章交换
本章介绍交换机和集线器和网桥设备的区别,交换机如何优化网络。
介绍设计高可用的交换网络,交换机阻断环路的生成树技术。
交换机端口安全。
介绍什么是VLAN(虚拟局域网),如何创建VLAN,以及将相应的接口指定到特定的VLAN,配置干道链路,配置VLAN间路由。
使用VTP(VLAN间干道协议)协议简化VLAN管理。
下面列出本章中主要讲解的内容:
↘使用交换机优化网络
↘设计高可用的交换网络
↘生成树协议
↘配置交换机的端口安全
↘配置监视端口
↘创建和管理VLAN
↘使用VTP协议简化VLAN管理
↘设置VLAN间路由
↘交换机etherchannel
7.1局域网组网设备
本章提及的交换,都是指的二层交换,除非另有所指。
下面将会讲解局域网组网技术的发展过程。
将会给大家展示集线器、网桥和交换机特点。
7.1.1集线器
第一章我们讲过,集线器连接的网络是一个大的冲突域,集线器上的两个节点通讯,虽然数据帧目标MAC地址和源MAC很明确,但是集线器还是将该数据帧扩散到所有的端口,这就影响了集线器上其他的节点进行数据通讯。
因此说集线器连接的网络是一个冲突域。
如图7-1所示,网段中计算机数量增多,需要两个集线器连接起来以确保有更多的接口连接计算机,这样使得冲突域增大。
集线器连接的网络带宽共享,如果10M的以太网连接10台计算机,每个计算机平均得到1M带宽,但是随着计算机数量增加,冲突的增加,每个计算机得到的带宽会小于平均带宽。
有没有办法将集线器组网产生的大的冲突域减小?
有,那就是在网络中使用网桥优化集线器连接的网络。
图7-1集线器连接的网络
7.1.2网桥
在两个集线器之间连接一个网桥,网桥能够基于MAC地址表转发数据。
如图7-2所示,网桥有两个以太网接口E0和E1,并且知道E0对应哪些MAC地址,E1对应哪些MAC地址。
当A计算机给B计算机发送一个数据帧,集线器将该数据帧扩散到所有的接口,网桥的E0接口收到该数据帧,查看目标MAC地址0260.8c01.222,该目标MAC对应E0接口,于是不转发到E1接口,这样就不影响C和D计算机的通信。
网桥将一个大的冲突域划分成两个冲突域,冲突域的数量增加了,但是冲突域减小了。
网桥的一个接口就是一个冲突域。
如果网络中的计算机发送一个目标MAC地址为FFFF.FFFF.FFFF的数据帧,这样的数据帧称为广播(比如ARP协议就是使用广播解析对方MAC地址的),网桥将会将这样的帧转发到除了发送端口的所有端口。
所有的端口在同一个广播域。
图7-2网桥优化网络
网桥基于数据帧的源地址构建MAC地址表。
刚接入到网上的网桥MAC地址表是空的,这时A给B计算机发数据帧,网桥接口E0将收到该数据帧,将该数据帧发到网桥的所有接口,与此同时,将会在MAC地址表中记录E0:
026.8c01.1111。
B给A计算机发送数据帧,网桥不会将该数据帧转发到E1端口,因为在MAC地址表中已经有关于到A的MAC地址,同时就会在MAC地址表记下E0:
026.8c01.2222。
7.1.3交换机
交换机(Switch)是高性能的网桥,交换机可以看成是多端口的网桥。
网桥是基于软件,而交换机基于硬件,因为交换机使用ASIC芯片来帮助做出数据帧转发决定。
构建MAC地址的过程和网桥一样,交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
图7-3交换机作用
如图7-3所示,交换机和集线器相比有以下优点:
↘交换机的每个端口是一个冲突域
↘交换机的端口带宽独享。
↘交换机比集线器安全。
↘将目标MAC地址为FF-FF-FF-FF-FF-FF的数据帧发送到所有交换机端口(除了发送端口外),因此交换机连接的网是一个广播域。
交换机有以下功能:
↘构建MAC地址表,即地址学习。
↘转发/过滤功能
↘避免环路,如果为了提供冗余而在交换机之间创建了多个连接,网络中可能出现环路。
通过使用生成树协议(SpanningTreeProtocol,STP)来防止产生网络环路,避免广播风暴。
7.1.4查看交换机的MAC地址表
打开第7章练习“01查看交换机MAC地址表.pkt”,网络拓扑如图7-4所示,网络中交换机直连着3个计算机和一个DHCP服务器,连接一个集线器,集线器连接两个计算机。
网络中的计算机已经按照图示的地址配置完成。
你需要在PC4上pingPC1、PC2、PC3、PC0和DHCP,然后查看交换机上的MAC地址表,通过查看MAC地址表确认交换机的哪个接口连接集线器。
图7-4查看交换机MAC地址表
步骤:
1.在PC4上pingPC1、PC2、PC3、PC0和DHCP的IP地址。
2.在交换机上查看MAC地址表
Switch>en--交换机的配置命令和路由器类似,输入enable进入特权模式。
Switch#showmac-address-table
MacAddressTable
-------------------------------------------
VlanMacAddressTypePorts
----------------------------
10000.0c7c.7e49DYNAMICFa0/1
10001.63c6.e338DYNAMICFa0/5
10030.a336.362bDYNAMICFa0/4
10030.a3e4.e4c6DYNAMICFa0/4
10090.0cd7.65c8DYNAMICFa0/2
100d0.ffce.0eb4DYNAMICFa0/3
通过以上MAC地址表可以看到Fa0/4接口对应两个MAC地址。
可以断定这个接口连接集线器。
7.1.5交换机上配置监控端口
交换机是基于MAC地址转发数据包的,比起集线器来说安全。
如图7-5所示,你在交换机组建的网络中,在监控计算机安装数据包捕获软件,用以监控和分析网络中的流量。
监控计算机只能监控自己发出的数据帧和发给自己的数据帧,以及广播和多播数据帧,但是PC0、PC1和PC2访问Internet的流量,监控计算机不能捕获,因为交换机不向连接监控计算机的端口Fa0/12转发。
如果你想监控PC0、PC1和PC2访问Internet的流量,这些流量都由交换机的Fa0/11转发到路由器,如果想让监控计算机捕获到这些流量,你需要配置Fa0/12监控Fa0/11。
这样发送给Fa0/11端口的数据帧和来自Fa0/11端口的数据,交换机也会发送给Fa/12端口,这样捕包软件才能捕获。
该实验packetTracer不支持。
您只能在物理设备进行配置和测试。
实验环境
图7-5配置交换机监视端口
实验目标
配置端口FastEthernet12监视FastEthernet11
步骤:
3.指定监视端口,监视端口和被监视端口必须属于同一个Session编号。
SW7(config)#monitorsession2destinationinterfacefastEthernet0/12
4.指定被监视端口
SW7(config)#monitorsession2sourceinterfacefastEthernet0/11
5.查看监视和被监视端口,如图7-6所示。
SW7#showmonitorsession2
图7-6查看监视和被监视的端口
7.2生成树协议
如果企业的网络非常重要(比如医院的网络)。
为了避免汇聚层和核心层设备故障造成网络故障,可以设计成双核心层和双汇聚层。
如图7-7所示,网络交换机C、D和E是接入层交换机,交换机A、B是汇聚层交换机,很显然是双汇聚层。
图7-7冗余拓扑
这样网络中就有很多环路,如果Server发送一个广播数据帧,该数据帧将会在任意一个环路中无休止的转发,造成广播风暴,网络堵塞。
如何既能实现网络有冗余拓扑,又能避免环路。
这就需要讲到交换机的一个重要的功能,就是下面要介绍的交换机的生成树协议。
7.2.1生成树协议
生成树协议(STP)最早是由数字设备公司(DigitalEquipmentCorporation,DEC)开发的,这个公司后来被收购并改名为Compaq公司。
IEEE后来开发了它自己的STP版本,称为802.1D。
Cisco交换机默认运行STP的IEEE802.1D版本,它与DEC版本不兼容。
Cisco在其新出品的交换机上使用了另一个工业标准,称为802.1w,这一节介绍STP,但先要定义一些有关STP的重要而基本的概念。
STP的主要任务是阻止在第2层网络(网桥或交换机)上产生网络环路。
它警惕地监视着网络中的所有链路,通过关闭任何冗余的接口来确保在网络中不会产生环路。
STP采用生成树算法(STA),它首先创建一个拓扑数据库,然后搜索并破坏掉冗余的链路。
运行了STP算法之后,帧就只能被转发到保险的由STP挑选出来的链路上。
下一节将详细讨论生成树协议。
7.2.2生成树术语
在详细讨论STP怎样在网络中起作用之前,需要理解一些基本的概念和术语,以及它们是怎样与第2层交换式网络联系在一起的。
下面提到的桥就理解为交换机。
根桥(Rootbridge)根桥是桥ID最低的网桥,也就是根交换机。
对于STP来说,关键的问题是为网络中所有的交换机推选一个根桥,并让根桥成为网络中的焦点。
在网络中,所有其他的决定——比如哪一个端口要被阻塞,哪一个端口要被置为转发模式——都是根据根桥的判断来做出选择的。
BPDU(桥协议数据单元)所有的交换机相互之间都交换信息,并利用这些信息来选出根交换机,也根据这些信息来进行网络的后续配置。
每台交换机都对桥协议数据单元(BridgeProtocolDataUnit,BPDU)中的参数进行比较,它们将BPDU传送给某个邻居,并在其中放入它们从其他邻居那里收到的BPDU。
桥ID(BridgeID)STP利用桥ID来跟踪网络中的所有交换机。
桥ID是由桥优先级(在所有的Cisco交换机上,默认的优先级为32768)和MAC地址的组合来决定的。
在网络中,桥ID最小的网桥就成为根桥。
非根桥(Nonrootbridge)除了根桥外,其他所有的网桥都是非根桥。
它们相互之间都交换BPDU,并在所有交换机上更新STP拓扑数据库,以防止环路并对链路失效采取补救措施。
端口开销(Portcost)当两台交换机之间有多条链路且都不是根端口时,就根据端口开销来决定最佳路径,链路的开销取决于链路的带宽。
根端口(Rootport)根端口是指直接连到根桥的链路所在的端口,或者到根桥的路径最短的端口。
如果有多条链路连接到根桥,就通过检查每条链路的带宽来决定端口的开销,开销最低的端口就成为根端口。
如果多条链路的开销相同,就使用桥ID小一些的那个桥。
如果多条链路来自同一台设备,就使用端口号最低的那条链路。
指定端口(Designatedport)有最低开销的端口就是指定端口,指定端口被标记为转发端口。
非指定端口(Nondesignatedport)非指定端口是指开销比指定端口高的端口,非指定端口将被置为阻塞状态,它不是转发端口。
转发端口(Forwardingport)指能够转发帧的端口。
阻塞端口(Blockedport)阻塞端口是指不能转发帧的端口,这样做是为了防止产生环路。
然而,被阻塞的端口将始终监听帧。
7.2.3生成树的操作
正如前面提到的,STP的任务是找到网络中的所有链路,并关闭任何冗余的链路,这样就可以防止网络环路的产生。
为了达到这个目的,STP首先需要选举一个根桥,由根桥来负责决定网络拓扑。
一旦所有的交换机都同意将某台交换机选举为根桥,其余的交换机就必须找到其唯一的根端口。
在两台交换机之间的每一条链路必须有唯一的指定端口,在那条链路上的端口提供到根桥最大的带宽。
下面将以如图7-8所示的网络设备讲解生成树的过程。
生成树的操作分为三步:
6.选举根桥(RootBridge)
7.非根桥交换机确定根端口(RootPort)
8.每个链路选定一个指定端口(DesignatedPort)
图7-8生成树操作
选举根网桥
在以上网络中有A、B、C、D、E和F六个路由器,网桥ID最小的将被选举为根桥。
网桥ID为8个字节长,其中包括了设备的优先级和MAC地址,在运行IEEESTP版本的所有设备上,默认优先级都为32768。
优先级相同,MAC地址最小的将被选举为根桥。
默认每隔2秒钟发送一次BPDU,它被发送到网桥/交换机的所有活动端口上,通过BPDU选举根桥。
在本例中,交换机A和交换机B优先级相同,交换机B的MAC为0c0011111111,比交换机A的MAC地址0c0022222222小,交换机B就更加有可能成为根桥。
你可以更改交换机优先级,来指定成为根桥的首选和备用交换机。
在本示例中很显然让交换机A和交换机B成为首选和备用根交换机最好,因为这两个交换机为汇聚层交换机。
本示例假设交换机B是所有交换机中MAC地址最小,选举为根网桥。
选举根端口
确定了根网桥后,交换机A、C、D、E和F为非根桥,这些交换机需要查看哪些端口到根交换机距离近,带宽越高距离就越近。
对于C交换机来说到达根网桥的最近的端口是E0。
因此E0接口就被选举为根端口。
根端口转发数据帧。
选举指定端口
直白一点来说就是每根网线,都要比较看哪一端距离根桥近。
距离根桥近的那一端连接的端口为指定端口。
由于A和B交换机之间的连接带宽为1000M,因此A交换机的E1、E2、E3和E4端口比交换机C、D、E和F的E1端口距离根桥近,因此A交换机的E1、E2、E3和E4端口成为指定端口。
根桥所有端口都是指定端口。
指定端口转发数据帧。
非指定端口
确定了根端口和指定端口,剩下的端口就是非指定端口,非指定端口将被置为阻塞状态,不是转发端口。
本示例交换机C、D、E和F的E1接口就是非指定端口。
虽然不能转发帧,但仍然可以接受侦,包括BPDU。
提示:
网络中如果有集线器设备,集线器设备是不参与生成树的。
7.2.4生成树端口状态
对于运行STP的网桥或交换机来说,其端口状态会在下列5种状态之间转变:
阻塞(Blocking)被阻塞的端口将不能转发帧,它只监听BPDU。
设置阻塞状态的意图是防止使用有环路的路径。
当交换机加电时,默认情况下所有的端口都处于阻塞状态。
侦听(Listening)端口都侦听BPDU,以确信在传送数据帧之前,在网络上没有环路产生。
在侦听状态的端口,在没有形成MAC地址表时,就准备转发数据帧。
学习(Learning)交换机端口侦听BPDU,并学习交换式网络中的所有路径。
处在学习状态的端口形成了MAC地址表,但不能转发数据帧。
转发延迟意味着将端口从侦听状态转换到学习状态所花费的时间,默认时设置为15秒,可以用命令showspanning-tree显示出来。
转发(Forwarding)在桥接的端口上,处在转发状态的端口发送并接收所有的数据帧。
如果在学习状态结束时,端口仍然是指定端口或根端口,它就进人转发状态。
禁用(DisabIed)从管理上讲,处于禁用状态的端口不能参与帧的转发或形成STP。
处于禁用状态下,端口实质上是不工作的。
说明:
只有在学习状态或转发状态下,交换机才能填写MAC地址表。
大多数情况下,交换机端口都处在阻塞或转发状态。
转发端口是指到根桥的开销最低的端口,但如果网络的拓扑改变了(可能是链路失效了,或者有人添加了一台新的交换机),交换机上的端口就会处于侦听或学习状态。
正如前面提到的,阻塞端口是一种防止网络环路的策略。
一旦交换机决定了到根桥的最佳路径,那么所有其他的端口将处于阻塞状态。
被阻塞的端口仍然能接收BPDU,它们只是不能发送任何帧。
7.2.5确认和更改根网桥
打开第7章练习“02确认和更改根网桥.pkt”,可以看到网络拓扑如图7-9所示,双汇聚层设计,SwitchA连接SwitchC、SwitchD和SwitchE的端口处于阻断状态,可以断定SwitchA不是根交换机,因为根交换机的所有端口肯定是转发状态。
你需要确认网络中的根网桥。
你需要指定SwitchA作为首选的根桥,SwitchB作为备用的根桥。
这就需要更改网桥优先级。
图7-9网络拓扑
步骤:
9.在SwitchA上,查看VLAN1的生成树,查看根网桥。
Switch>en--进入特权模式
Switch#showspanning-treevlan1--查看VLAN1的生成树,默认所有接口都在VLAN1
VLAN0001
Spanningtreeenabledprotocolieee
RootIDPriority32769--这是根桥的优先级
Address0002.4A63.C9B6--这是根桥的MAC地址
Cost4
Port6(GigabitEthernet5/1)--使用G5/1这个接口和根桥连接
HelloTime2secMaxAge20secForwardDelay15sec
BridgeIDPriority32769(priority32768sys-id-ext1)--这是SwitchA的优先级
Address00E0.F780.208C--这是SwitchA的MAC地址
HelloTime2secMaxAge20secForwardDelay15sec
AgingTime20
InterfaceRoleStsCostPrio.NbrType
------------------------------------------------------------------------
Gi5/1RootFWD4128.6P2p--FWD代表转发状态
Gi6/1AltnBLK4128.7P2p--BLK代表阻断状态
Gi7/1AltnBLK4128.8P2p
Gi8/1AltnBLK4128.9P2p
可以断定SwitchA不是根桥,因为RootID和BridgeID不同,网桥ID是由优先级和MAC地址构成。
10.更改SwitchA的生成树优先级使其成为首选根桥
Switch#configt--进入全局配置模式
Switch(config)#spanning-treevlan1priority?
--更改VLAN1的生成树优先级
<0-61440>bridgepriorityinincrementsof4096--可以看到优先级值的范围
Switch(config)#spanning-treevlan1priority23--随便输入一个值
%BridgePrioritymustbeinincrementsof4096.--提示网桥优先级值增量为4096
%Allowedvaluesare:
--显示所有可用的网桥优先级值
0409681921228816384204802457628672
3276836864409604505649152532485734461440
Switch(config)#spanning-treevlan1priority4096--将网桥优先级的值更改为4096
11.注意观察网络中的阻断端口发生变化。
12.在SwitchA上运行以下命令,查看新选举的根网桥。
Switch#showspanning-treevlan1
VLAN0001
Spanningtreeenabledprotocolieee
RootIDPriority4097--根网桥优先级
Address00E0.F780.208C--根网桥MAC地址
Thisbridgeistheroot
HelloTime2secMaxAge20secForwardDelay15sec
BridgeIDPriority4097(priority4096sys-id-ext1)--网桥优先级
Address00E0.F780.208C--网桥MAC地址
HelloTime2secMaxAge20secForwardDelay15sec
AgingTime20
InterfaceRoleStsCostPrio.NbrType
------------------------------------------------------------------------
Gi5/1DesgFWD4128.6P2p--转发状态
Gi6/1DesgFWD4128.7P2p--转发状态
Gi7/1DesgFWD4128.8P2p--转发状态
Gi8/1DesgFWD4128.9P2p--转发状态
可以看到更改网桥优先级后,RootID和BridgeID都是SwitchA了,这说明SwitchA是根桥。
且所有的端口都处于转发状态。
13.在SwitchB上运行以下命令,更改其网桥优先级,将其设置为备用的根网桥。
Switch(config)#spanning-treevlan1priority12288
7.2.6关闭VLAN1的生成树
如果你确信网络中的交换机没有环路,且将来也不会产生环路,你可以使用一下命令将VLAN1的生成树关闭。
Switch(config)#nospanning-treevlan1
7.3优化生成树
当网络中的交换机数量增加或链路有变化时,所有交换机上重新进行生成树操作来确定阻断端口和转发端口。
在完成重新计算之前,交换机不能转发任何数据。
完成计算之后,才能转发数据,这个过程需要的时间就是生成树的收敛时间。
在交换机端口上,生成树拓扑从阻塞到转发的典型收敛时间为50秒。
也就是说网络拓扑有变化,网络会中断50秒。
通过将汇聚层或核心层交换机设置为根网桥,可以使生成树收敛得又快又好。
7.3.1生成树快速端口(PortFast)
如果交换机的接口连接的是计算机,可以将这些端口设置为快速端口(PortFast),这就意味着,当STP正在收敛时,端口不会花费通常的50秒才进入转发状态。
打开第7章练习“02确认和更改根网桥.pkt”,在SwitchC上,运行以下命令,将连接计算机的接口FastEthernet0/1–FastEthernet2/1配置成快速端口。
Switch(config)#interfacerangefastEthernet0/1-fastEthernet2/1
Switch(config-if-range)#spanning-treeportfast
如果将一个接口配置快速端口,运行以下命令。
Switch(config)#interfacerangefastEthernet0/1
Switch(config-if)#spanning-treeportfast
7.3.2生成树
升级会员 