交换机的基本概念及配置.docx

1、交换机的基本概念及配置第5章 交换机 交换机的基本概念及配置这一节概述了交换机的基本概念、生成树协议以及CISCO交换机IOS CLI和路由器IOS CLI的相似之处，并且对比其命令，语法和交换机所特有的所需配置元素。 VLANVLAN的有关术语和概念，并讲述了单个交换机的VLAN配置5.1 交换机的基本概念及配置511 交换机的基本概念如今局域网变得越来越拥塞和不堪重负。交换技术是解决这一问题的一个方法。它减少了流量并增加了带宽。局域网交换经常代替共享集线器，它被设计成与已经存在的电缆基本框架共存，这样它们可以在不破坏已存在的网络流量下安装。 如今，在数据通信中，所有的交换设备执行两个基本操

2、作： 交换数据帧在当帧到达输入介质并发送到输出介质时发生。 维护交换操作在这个操作中，构造交换并维护交换表。连接局域网段的交换机都使用MAC地址表，用它来决定数据报需要在哪个段上传送并减少流量。交换机（第二层交换机）使用第二层交换发送帧。用第二层交换，帧是基于MAC地址信息交换的。第二层交换并不看数据包内的网络层信息。第二层交换查看帧内的MAC目的地址。如果它知道目的地址的位置，则把信息发送给相应的接口。第二层交换建立和维护交换表，交换表了解哪个MAC地址属于哪个端口或接口。如果第二层交换不知道帧应该发送到哪里，它向通向网络的所有外出端口广播帧来了解正确的目的地。当帧的回复返回时，交换机就了解

3、地址的位置并把此信息加到交换表上。以太网交换机能通过读取传送数据包的源地址和记录帧进入交换机的端口来学习网络上每个设备的地址。然后，交换机把该信息加到它的转发数据库。这意味着，当读取新地址时它们被学习并存储在内容可寻址存储器中（Content-addressable memorg,CAM）。当在CAM中没有被找的源被读取时，它被学习并存储以备将来使用。每次存储地址时，地址被打上时间标记。这使得地址能存储一段时间。每次当地址被引用或在CAM中找到时，它将收到一个新的时间标记。那些一段时间内还没有被引用的地址将从列表中移走。通过移走过时的或老的地址，CAM维护了一个精确并有用的转发数据库。可以使用

4、两种交换模式来通过交换机转发数据帧：（1）存储转发在转发发生之前整个帧被接收。目的和/或源地址被读取，并且在帧发送之前进行过滤。延迟发生在当帧收到时；越大的帧延时越大，因为整个帧需要更正的时间来读取。错误检测是高级别的，因为当路由器等待整个帧接收时，路由器有时间来检查错误。（2）直通交换交换机在接收整个帧之前读取目的地址。然后，在整个帧到达之前帧被转发。这种模式减少了传输延时但减弱了错误检测。快速转发和自由分段是直通交换的两种形式： 快速转发交换快速转发交换是一收到目的地址就马上转发数据包的一种交换形式，因此提供了最低级别的延时。由于快速转发交换在整个包全部接收之前就开始转发，因此可能造成数据

5、包带有错误而续传。尽管这不经常发生而且目的网络的适配器会在接收器上丢失错误的数据包，但是多余的流量在某些环境中被认为是不可接受的。可以使用自由分段选项来减少有错误的数据包的转发数量。在快速转发模式中，延时从收到第一个比特起算到开始发送第一个比特，或者是先进先出（FIFO）。 自由分段交换自由分段交换在转发开始时过滤出大量数据包错误的冲突分段。在正常运行的网络中，冲突段必须小于64字节。任何大于64字节的数据包是合法包，通常被无误地接收。在自由分段交换前，要等到接收到的数据包已经被认为不是个冲突分段时，才开始转发该数据包。在自由分段交换模式中，延时按FIFO衡量。每个交换模式的延时决定于交换机如

6、何转发帧。越快的交换模式，交换机的延时就越小。为了完成快速帧转发，交换机用较少的时间检查错误。折衷方案是较少的错误检查，但这会导致大量的重传。512 生成树协议生成树协议的目的是动态地建立一个桥接/交换网络，其中在任何两个局域网段（冲突域）间只有一条活跃路径。为完成这个任务，所有桥接设备，包括交换机，均使用一个动态协议。使用协议的结果是桥接设备的每一个接口将被设置成阻塞或转发状态。阻塞表示该接口无法转发所接收的数据帧，但它可以发送和接收配置网桥协议数据单元（CBPDUs）；转发则表示此接口可以转发数据帧。通过将接口的一部分正确地设置为阻塞，在每两个局域网间将只存在一条当前活跃的逻辑路径。当然，

7、对可用性来说，网段间只有一条物理路径是一个糟糕的设计。如果该路径中任意部分出了故障，网络就会断成若干分开的部分，各自的设备无法通讯。于是，就要求有物理上的冗余，但由于透明网桥逻辑不允许多活跃路径，所以只能有一条活跃路径。解决的方法是建立具有物理冗余的桥接网络并使用生成树动态地阻塞某些接口，以便在需要的任何时刻只有一条活跃路径。综上所述，生成树协议的优点在于： 允许网络中存在物理上的冗余路径，以便在其他逻辑发生故障时使用。 通向同一个MAC地址的多条活跃路径将使桥接逻辑发生混淆；生成树协议通过建立唯一的一条（活跃）路径避免这种情况。 避免桥接网络中的环路。生成树协议是如何工作的生成树算法使得每个

8、网桥接口被置为转发或阻塞状态。处于转发状态的接口被认为是处在当前的生成树中；而处于阻塞状态的接口则不在该树中。算法的关键在于假定至少有一条可用物理路径，设置所有（位于树中的）转发接口以形成穿越局域网网段（冲突字段）的一条路径。将接口设置为转发状态的3条准则如下： 根网桥上的所有接口均设置为转发状态。 对每个非根网桥，选择一个在其自身与根网桥之间管理代价最小的端口。该端口，称为此网桥的根端口，将其设置为转发状态。 多个网桥可以连接到同一个网段。这些网桥使用配置网桥协议数据单元（CBPDUs），声明各自通向根网桥的管理代价。网段上所有网桥中此代价最小的网桥被称为指定网桥。指定网桥的此网段上的接口设

9、置为转发状态。所有其他接口被设置为阻塞状态。建立一棵初始生成树每个网桥开始时都声称自己是根网桥。生成树协议定义了用来和其他的网桥交换信息的消息。这些消息被称为配置网桥协议数据单元（CBPDUs）。每个网桥开始时发送一个CBPDU报文说明以下内容： 根网桥的网桥标识。通常是此网桥某个接口的MAC地址。每个网桥将自己的网桥标识设置为这个值。 一个通过管理设置的优先级。 在发送CBPDU的网桥和根网桥之间的代价。在此过程开始时，每个网桥都声称是根网桥，所以这个值被置为0。 发送CBPDU网桥的网桥标识。在此过程开始时，每个网桥都声称是根网桥，所以该标识与根网桥标识相同。拥有最低优先级的网桥将成为根网

10、桥。如果出现优先级相等的情况，拥有最小标识的网桥将成为根网桥。网桥的标识应当是唯一的，因为MAC地址是唯一的。选择根的过程从所有网桥通过发送带有网桥标识和优先级的CBPDU声称自己是根开始。如果一个网桥侦听到一个更好的侯选者，它停止公布自己是根，并开始转发由更佳侯选者发送的CBPDU。在转发该CBPDU之前，此网桥将代价增加一个值，此值根据接收到更佳侯选者CBPDU的接口的代价值而定。网络拓扑变化的通知和响应所有网桥都会收到定期的通告，告知网络没有发生任何变化。当根向它所有接口发送含有与以前相同信息的CBPDU：自身的网桥标识、优先级、代价和就是它自身的根网桥标识时，此协议机制就开始工作。由根

11、网桥建立的CBPDU也包括一些重要的定时器： Hello time根在周期性重发CBPDU前所需等待的时间，CBPDU由后续的网桥转发。 MaxAge任一网桥在认定网络拓扑发生改变前必须等待的时间。 Forward Delay当一个接口从阻塞状态变为 转发状态时，影响其所用时间的延时。MaxAge定时器通常是Hello定时器的好几倍，这允许某些CBPDU发生丢失而网桥并不响应和改变生成树。MaxAge的设置也需要考虑到CBPDU在网络中传输时间的变化。在一个局域环境中，除非产生严重的拥塞导致大量的帧被丢弃，否则这些变化应该很小。响应生成树的变化用于对拓扑改变作出响应的过程视情况而不同。但此过程

12、总是从网桥在MaxAge时间内没有从其根端口接收到CBPDU开始。任何端口都没受到CBPDU如果一个网桥在MaxAge参数已经超过时仍没从非根端口接收到任何其他CBPDU时，该网桥以声明自己为根网桥并开始发送描述自己CBPDU来响应。某些端口接收到CBPDU重新计算生成树的过程仅当CBPDU不再由根端口接收时才会发生。然而，网桥还可以从其他端口接收CBPDU。下表总结了生成树的中间状态。表5-1状态是否转发数据帧是否基于接收到的帧学习MAC地址是暂时或是稳定状态阻塞否否稳定侦听否否暂时学习否是暂时转发是是稳定当网桥选者一个新的根网桥时，侦听和学习状态是中间状态。在侦听状态，最重要的就是侦听CB

13、PDU，以决定新的根网桥和指定网桥。在学习状态，可基于到达帧学习MAC地址。生成树协议小结 生成树协议达到了允许物理冗余目的，但在桥接网络中只存在一条活跃路径。生成树使用以下特性达到目的： 所有网桥接口最终稳定在转发或阻塞状态。转发状态的接口被当成生成树的一部分。 其中一个网桥被选作根。这个过程包括所有的网桥都声称是根，直到有一个被公认为最好。根网桥的所有接口处于转发状态。 每个网桥直接或通过其他网桥转发从根接收CBPDU。每个网桥能在它的接口上接收不止一个这样的消息，但接收到CBPDU开销最小的端口被称为此网桥的根端口，随后该端口被置为转发状态。 其他所有端口设置为阻塞状态。 根每过Hell

14、o time秒后发送CBPDU。其他网桥期待收到这些CBPDU的拷贝，这样它们知道没有变化发生。Hello time在根的CBPDU中定义，所以所有网桥使用相同的值。 如果网桥在MaxAge时间内没收到CBPDU，它将开始改变生成树的过程。响应随拓扑的不同而不同。 根据网络的变化，一个或多哥网桥决定把接口状态从阻塞变为转发，或反之。如果从阻塞变为转发，会先进入暂时的侦听状态。在Forward Delay时间后，变为学习状态。在又过了一个Forward Delay时间后，接口被置为转发状态。 生成树协议包括这些时延是为了预防产生暂时的环路。513 缺省的1900配置交换机的IOS CLI和路由器

15、IOS CLI有很多相似之处。下面的实验中我们将向大家介绍的是CISCO1900系列交换机的一些实现细节。（注意：不是所有的CISCO局域网交换机都向网络工程师提供IOS CLI接口）在Catalyst1900交换机中，有3种不同的配置方法： 从控制台端口进入菜单驱动接口 基于Web的可视化交换机管理器（VSM） IOS命令行接口（CLI）下表列出了一些常用的交换机命令：表 5-2命令说明ip address address subnet-mask设置交换机的带内管理IP地址ip default-gateway设置缺省网关show ip显示IP地址配置show interface显示接口信息m

16、ac-address-table permanent mac address type module/port设置一个永久MAC地址mac-address-table restricted static mac address type module/port sre-if-list设置一个有限制的静态MAC地址port securemax-mac-count count设置端口安全show mac-address-table seccurtity显示MAC地址表：security选项显示有关限制或静态设置的信息address-violation suspend|disable|ignore设

17、置安全地址冲突时，交换机所采取的行动show version显示版本信息copy tftp:/10.1.1.1/config.cfg nvram从IP地址为10.1.1.1的TFTP服务器拷贝配置文件copy nvram tftp:/10.1.1.1/config.cfg在IP地址为10.1.1.1的TFTP服务器上保存配置文件delete nvram清除所有配置参数，升级交换机返回出厂时的缺省设置缺省值随交换机的特性不同而不同。下面列述了一些Catalyst1900交换机的缺省配置： IP地址：0.0.0.0 CDP：有效 交换模式：不分段 100BaseT端口：自动协商双工模式 生成树：有

18、效 控制台口令：无514 基本的IP和端口双工配置看到这个标题肯定有同学会问：“传统的局域网交换机是工作在第二层的设备，我们为什么要给它配IP地址呢？”的确，如果不需要管理交换机，交换机可以根本不用IP。交换机以一种与路由器非常不同的方式支持IP。交换机更像是扮演一个IP主机，有一个交换机单独的地址/掩码和一个缺省路由器。每一个端口/接口并不需要IP地址，因为传统的局域网交换机并不进行网络层路由。在安装交换机时一定要对端口进行双工的配置，而不是允许协商。因为自动协商往往会产生无法预知的结果。双工方式可配置为下列模式中的一种： 自动（auto）设置自动协商双工模式。这是100Mbit/s TX端

19、口的默认选项。 完全（full）设置全双工模式。 完全流量控制（full-flow-control）设置为有流量控制的全双工模式。 半(half)设置半双工模式。这是10Mbit/s TX端口的默认选项。为了验证IP配置和给定端口的双工方式配置，使用show ip和show interface命令。515 查看和配置MAC地址表项MAC地址表包括动态表项、永久MAC地址表项和静态限制表项。现将它们做一个概述如下： 动态地址通过正常的网桥/交换机处理过程加入到MAC地址表中的MAC地址。也就是说，在接收一帧时，其源MAC地址和到达的端口/接口相联系。这些表中的项在超时后就不再使用，并在清理整个表

20、时被清除。 永久MAC地址通过配置，MAC地址可以和一个端口相联系，就像动态地址所做的一样。然而，表中的永久表项永远不会超时。 静态限制表项通过配置，MAC地址被配置为仅和一个特定的端口相联系，并有额外的限制：到该MAC地址的帧必须来自特定的到达端口的集合。516 管理配置和系统文件在1900系列交换机中，对配置和系统软件文件的管理与控制命令和基于IOS的路由器有 一些区别。区别的原因之一是因为交换机并不真正运行IOS它有很多特性包括IOS CLI像IOS，但是总还是有一些区别。下表总结了路由器IOS CLI和1900 IOS CLI之间的一些主要区别。表 5-3功能路由器命令、特性交换机命令

21、、特性查看软件版本show version命令，显示IOS版本Show version命令，显示交换机软件版本将配置文件拷贝到TFTP服务器copy startup-config tftp命令，路由器IOS提示TFTP参数copy nvram tftp/server/file命令，交换机IOS CLI不提示TFTP参数更新重新装载时使用的配置文件copy running-config startup-config命令使用配置模式改变运行中的配置会自动地反映到在NVRAM中的配置文件中删除重新装载时使用的配置文件write erase或erase startup-config命令delete n

22、vram命令517 所需设备完成本实验练习需要下面的模拟设备：（1）Catalyst1900系列交换机一台（2）三台PC机（3）三根直通线518 实验要求IP地址分配表 5-4设备IP掩码Switch172.16.1.4255.255.255.0PC1172.16.1.1255.255.255.0DEFAULT GATEWAY172.16.1.1255.255.255.0PC2172.16.1.2255.255.255.0DEFAULT GATEWAY172.16.1.2255.255.255.0PC3172.16.1.3255.255.255.0DEFAULT GATEWAY172.16.1

23、.3255.255.255.0 用show命令查看交换机的初始配置。 将交换机的主机名设为cc，密码为caochao，管理IP设为172.16.1.4，并在E0/4口上设置一个永久MAC地址。 对E0/1，E0/2，E0/3三个端口进行端口描述，端口双工配置等。 用show命令查看配置，看其与初始配置有什么不同。519 网络拓扑图图5-15110 命令详解（1）查看交换机的版本信息在特权模式下show version可看到如下图所示的信息：图5-2（2）查看交换机E0/1口的初始设置在特权模式下show interface ethernet 0/1可看到如下图所示的信息：从显示的信息中，你可以

24、了解到该端口的MAC地址为000C.9952.8181，最大传输单元为1500bytes，STP有效，端口工作在半双工等。图5-3（3）查看交换机Fa0/26口的初始设置在特权模式下show interface fat0/26可看到如下图所示的信息：从显示的信息中，你可以了解到该端口的MAC地址为000C.4419.3047，最大传输单元为1500bytes，STP有效，端口工作在全双工等。图5-4（4）对交换机进行一些简单的设置enable！进入特权命令状态config terminal！进入全局设置状态hostname cc！配置交换机的主机名为ccenable password leve

25、l 15 caochaoip address 172.16.1.4 255.255.255.0！给交换机设置管理IP为172.16.1.4,掩码给24位mac-address-table permanent 000c.1234.1234 e0/4！在E0/4口设置一个永久MAC地址interface ethernet 0/1！进入e0/1口description to pc1！对端口进行描述duplex auto！将端口设置为自动协商interface ethernet 0/2！进入e0/2口description to pc2！对端口进行描述interface ethernet 0/3！进入

26、e0/3口description to pc3！对端口进行描述（5）查看MAC地址表在特权模式下show mac-address-table可看到如下图所示的信息：图5-5 该交换机的MAC地址表中共有四条记录，其中有三条是动态学习到的，另外一条是大家手工添加进去的永久MAC地址。（6）再次查看交换机E0/1口的设置图5-6在特权模式下show interface ethernet 0/1可看到如下图所示的信息：我们可看到我们改动后的结果，双工方式变成了自动协商，增加了对端口的描述。5111 思考题 假设有一个20个设备组成的以太网。现将其分为两个独立共享的网段，两网段间用透明网桥相连。请列出

27、有利于用户的两点好处。52 VLAN521 实验目的本次实验是为了验证VLAN在局域网中所起的作用，并进一步熟悉交换机的基本配置。522 实验原理当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。一个虚拟局域网（VLAN）是由一个或多个交换机组成的

28、广播域。VLAN是通过配置交换机，或通过参考驻留在外部服务器上的交换机配置而建立的。如果设计需要3个分离的广播域，可以使用3个交换机每个广播域一个。每个交换机还可连到一个路由器上，使得包可以在广播域之间被路由。而使用VLAN时，可以使用一个交换机，它可以把它的3个不同的端口组当作3个不同的广播域VLAN使移动、添加和改变变得容易。为了在一个交换机中实现VLAN，每一个VLAN使用一张分离的地址表。如果在VLAN2的端口上接收到帧，则查找VLAN2的地址表。当收到一帧时，其源地址将与地址表作比较，如果该地址是未知的，它将被加到地址表中。同样，目标地址也将被检查以便进行转发决策。对学习和转发来说，

29、查找只对该VLAN的地址表进行。VLAN有以下特征： 一个VLAN中的所有设备都是同一广播域的成员； 一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段； VLAN成员通常大多数是基于交换机的端口号，但是VLAN也能够基于设备的介质访问控制（MAC）地址而动态设置； VLAN最常用的类型是地理上的VLAN。地理上的VLAN是在某个地理区域内被定义的。这个区块通常是一个接线柜； 端到端VLAN是通过整个交换架构进行定义的。一个端到端VLAN可以跨越几个接线柜甚至几座建筑物。端到端VLAN通常与一个如部门或项目组这样的工作组相关联。设置VLAN成员身份的两种常用方法如下： 静态VLAN这

30、种方法也被称为“基于端口的成员身份”。静态VLAN设置是通过将端口指派到一个VLAN中来建立的。当一台设备进入网络时，它自动地使用该端口所属的VLAN。如果用户改换了端口，但仍需访问原来的VLAN，网络管理员必须手工地为这个新连接做一个端口到VLAN的指派； 动态VLAN动态VLAN是通过使用Ciscoworks2000或用于交换型互连网络的CiscoWorks(CWSI)来建立的。目前，动态VLAN允许基于设备MAC地址的成员身份，当一个设备连入网络时，它将向数据库查询其VLAN成员身份。523 所需设备完成本实验练习需要下面的模拟设备：（1）Catalyst1912一台（2）三台PC机（3）三根直通线524 实验要求IP地址分配表 5-5设备IP掩码Switch172.16.1.4255.255.255.0PC1172.16.1.1255.255.255.0DEFAULT GATEWAY172.16.1.1255.255.255.0PC2172.16.1.2255.255.255.0DEFAULT GATEWAY172.16.1.2255.255.255.0PC3172.16.1.3255.255.255.0DEFAULT GATEWAY172