组网技术与配置第2版-第9章.ppt

1、网络管理技术网络管理技术南京工程学院第9章 交换机的配置 10/27/20221第9章 提要 交换机是工作在第二层即数据链路层的网络设备。它通过硬件实施工作，并且可以在交换机接收完整个帧之前进行转发，所以转发延迟小、速度快。另外，交换机还可以对网络进行分段，定义VLAN。目前,交换机也可以工作在第三层和第四层。10/27/20222第9章目录9.0 交换机工作原理9.1 Cisco交换机系列 9.2 Cisco交换机的配置 9.3 虚拟局域网VLAN 9.4 VLAN的配置 9.5 VLAN之间的路由配置 9.6 小 结 10/27/202239.0 交换机工作原理及相关概念l（一）交换机的工

2、作原理（一）交换机的工作原理 1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。3.如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪（flood）。4.广播帧和组播帧向所有的端口转发。10/27/202249.0 交换机工作原理及相关概念l（二）交换机的工作特性（二）交换机的工作特性 1.交换机的每一个端口所连接的网段都是一个独立的冲突域。2.交换机所连接的设备仍然在同一个广播域内，也就是说，交换机不隔绝广播（惟一的例外是在

3、配有VLAN的环境中）。3.交换机依据帧头的信息进行转发，因此说交换机是工作在数据链路层的网络设备（此处所述交换机仅指传统的二层交换设备）。10/27/202259.0 交换机工作原理及相关概念l（三）二、三、四层交换机？（三）二、三、四层交换机？l二层交换二层交换（也称为桥接）是基于硬件的桥接。基于每个末端站点的唯一MAC地址转发数据包。二层交换的高性能可以产生增加各子网主机数量的网络设计。其仍然有桥接所具有的特性和限制。三层交换三层交换是二层交换技术三层转发技术。利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记，具有同一标记的业务流的后续报文被交换到第二层数据链路层，从而打通源

4、IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层。有了这条通路，三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由，而是直接将数据包进行转发，将数据流进行交换。10/27/202269.0 交换机工作原理及相关概念l四层交换：不仅基于MAC（第二层桥接）或源/目的地IP地址（第三层路由选择），同时也基于TCP/UDP应用端口来做出转发决定的能力。其使网络在决定路由时能够区分应用。能够基于具体应用对数据流进行优先级划分。它为基于策略的服务质量技术提供了更加细化的解决方案。提供了一种可以区分应用类型的方法。二层交换机 基于MAC地址 三层交换机 具有VLAN功能/有交换和路由

5、/基于IP，就是网络 四层交换机 基于端口，就是应用10/27/202279.1 Cisco交换机系列9.1.1 交换机的命名和标识 9.1.2 Cisco交换机产品的分类10/27/202289.1.1 交换机的命名和标识Cisco的交换机产品以“Catalyst”为商标，包含1900、2800、2900、3500、4000、5000、5500、6000、8500等十多个系列。Cisco交换机的命名格式如下：Catalyst NNXX-C-M-A/-EN 其中，NN是交换机的系列号，XX对于固定配置的交换机来说是端口数，对于模块化交换机来说是插槽数，有-C标志表明带光纤接口，-M表示模块化，

6、-A和-EN分别是指交换机软件是标准板或企业版。10/27/20229Cisco交换操作系统lCatalyst交换机采用的操作系统有两种：lCisco IOS：Catalyst 1900、2800、2900、3500lCatalyst IOS：Catalyst 2926、4000、5000、600010/27/2022109.1.2 Cisco交换机产品的分类1 1900系列和2900系列是低端的典型产品。2900系列的产品线很长。2 中端产品中3500系列使用广泛，很有代表性。3 Catalyst 6000系列交换机为园区网提供了高性能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层

7、交换的应用环境设计，主要面向园区骨干连接等场合。10/27/202211Cisco交换机的内部组成 交换机的内部组成 CPU，交换机的中央处理器。RAM/DRAM，交换机的工作存储器，存储交换机的运行配置等信息。NVRAM（非易失RAM），存储备份配置文件等信息。Flash(闪存，又称可擦除、可编程ROM)，用来存储系统软件映像、启动配置文件等信息。ROM（只读存储器），存储开机诊断程序、引导程序和操作系统软件。接口电路，交换机各端口的内部电路。10/27/202212交换机支持的配置命令 Cisco交换机支持两种命令集一种是基于Cisco IOS的命令集另一种是基于设置的命令集，使用“set

8、”和“clear”命令。Catalyst 1900/2800/2900系列都使用Cisco IOS而Catalyst 2926、2926G、1948G、4000、5000、6000系列交换机则使用“set”命令集路由器可以使用Cisco IOS的全部IOS命令，而交换机中有少部分IOS命令不能使用。Catalyst IOS系统软件的CLI与Cisco IOS的CLI很相象，IOS固化在ROM和闪存中。Catalyst IOS内置Web浏览器和命令行解释器CLI，使用Web能实现部分配置管理功能，界面友好直观，而全部管理功能则需要使用CLI来实现。10/27/2022139.2 Cisco交换机

9、的配置9.2.1 配置交换机的方式 9.2.2 交换机的常规配置 10/27/2022149.2.1 配置交换机的方式有多种配置交换机的方式：(这些配置方法与路由器相似)用Console线把配置计算机直接连接到Console端口进行配置。确定后开启交换机,此时交换机开始载入IOS，可以从载入IOS界面上看到诸如IOS版本号，交换机型号，内存大小等数据。当屏幕显示Press RETURN to get started的时候按回车就能直接进入交换机。10/27/2022159.2.1 配置交换机的方式多种配置交换机的方式：通过网络计算机以Telnet方式进行配置。通过Web或网管软件对交换机进行一

10、些基本的配置和管理。通过TFTP服务器实现对交换机软件的保存、升级、配置文件的保存和下载等。10/27/2022169.2.2 交换机的常规配置1 交换机密码设置，Catalyst交换机支持不同的授权级别，1级权限为登录权限，15级为从用户模式转到特权模式的权限，在全局配置模式下设置不同权限级别用到的密码：/login 密码2950-A(config)#enable password level 1/加密的login密码2950-A(config)#enable secret level 1/enable 密码2950-A(config)#enable password level 15/加密

11、的enable密码2950-A(config)#enable secret level 15 10/27/2022172 交换机密码遗矢时的处理10/27/202218l3 配置管理用IP地址 交换机默认的虚拟局域网VLAN为VLAN1，连接在交换机端口上的所有计算机都属于VLAN1。对VLAN1配置管理交换机使用的IP地址。2950-A(config)#interface vlan 1 2950-A(config-if)#ip address 10/27/2022194 交换机MAC地址的管理 交换机MAC地址表配置环境默认情况下，交换机的MAC地址表项是动态的，会定期更新。在某端口上设置了

12、静态MAC地址后，只允许该MAC地址对应的设备才能连接到该端口。10/27/2022209.3 虚拟局域网VLAN9.3.1 使用VLAN的原因 9.3.2 VLAN技术 9.3.3 静态VLAN和动态VLAN 9.3.4 VLAN内主机之间的通信 9.3.5 VLAN间的主机通信 10/27/2022219.3.1 使用VLAN的原因1.广播风暴 2.当大量广播流同时在网络中广播时，便会发生数据包的碰3.撞。随后，网络试图缓解这些碰撞并重传更多的数据包，结果4.导致全网可用带宽阻塞，并最终使得网络失去连接而瘫痪。5.这一过程成为广播风暴。10/27/2022229.3.1 使用VLAN的原因

13、l 用集线器、网桥和未划分VLAN的交换机组建的传统网络中存在下列问题：l 全网属于一个广播域，每一次广播的数据帧无论是否需要，都会到达网络中的所有设备，这就必然造成带宽资源的极大浪费。l 全网属于一个广播域，很容易引起广播风暴等问题。l 网络的安全性不高。在这种网络结构中，所有用户都可以监听到服务器以及其它设备端口发出的数据包，所以很不安全。10/27/2022239.3.2 VLAN技术l VLAN技术（技术（Virtual Local Area Network）l VLAN允许一组不同物理位置的用户群共享一个独立的广播域，可以在一个物理网络中划分多个VLAN，使得不同的用户群属于不同的广

14、播域。l VLAN技术能够从根本上解决网络效率与安全性等问题。10/27/202224 VLANVLAN划分划分VLAN对广播域的划分是通过交换机软件来完成的。它通过对用户分类来规划自己的用户群。共划分了三个VLAN，VLAN中的数据帧和广播帧在各自的VLAN域内进行，不会直接到达其它区域。10/27/2022259.3.2 VLAN技术 广播控制（Broadcast Control）把网络按需要划分为几个独立的广播域VLAN，广播域范围的缩小使得网络中因广播所消耗的带宽占的比例大大降低，网络性能得到显著改善，有效地减少了广播风暴的发生。灵活性（Flexibility）传统网络技术中，网络内一

15、台主机的移动、删除、增加，都需要在物理位置上对网络设备重新设置。引入VLAN技术后，一台主机的变更不需要对网络设备重新进行设置，不受主机物理位置的限制。这给网络管理带来了极大的方便。安全性（Security）传统网络中，同一子网的用户在网络层很难实施安全措施。引入VLAN技术后，可以通过划分不同的VLAN来控制处于同一子网中的用户之间的通信。不同VLAN之间的用户不能直接访问，即使是处于同一个交换机的相邻端口。10/27/2022269.3.3 VLAN内主机之间的通信同一同一VLAN的成员位于不同的交换机时，它们之间的通信方法的成员位于不同的交换机时，它们之间的通信方法 其基本思想是：让不同

16、的VLAN的数据帧都共享同一条连接进行传输，采用一定的技术对这些帧进行区分和标识。这个共享的连接称为中继连接。通过一个连接传送多个VLAN通信量的方法称为中继。跨越交换机的同一VLAN的成员之间的通信的技术之一是采用“主干连接（Trunk Link）技术”。主干连接是在不同交换机之间的一条链路，用来同时承载多个VLAN的信息。支持主干连接的网络技术有多种类型 IEEE 802.1Q标准，由IEEE建立的通用连接标准 ISL（Inter-Switch-Link）标准，属于Cisco的自有标准，控制的实现是靠帧标记（Frame Tagging）进行的。10/27/2022279.3.3 VLAN内主机之间的通信(中继配置)图9-5-1 VLAN干道有两种VLAN中继协议可以选择：ISL和IEEE 802.1Q。10/27/202228ISL主干道l交换机间链路（Inter-Switch Link，ISL）图9-3-2 ISL帧格式10/27/202229802.1Q主干道lIEEE 802.1Q VLAN中继协议（802.1Q主干道）图9-3-3 802.1Q主干道帧格式10/27/202