第7章 交换 8汇总.docx

1、第7章 交换 8汇总第7章 交换本章介绍交换机和集线器和网桥设备的区别，交换机如何优化网络。介绍设计高可用的交换网络，交换机阻断环路的生成树技术。交换机端口安全。介绍什么是VLAN（虚拟局域网），如何创建VLAN，以及将相应的接口指定到特定的VLAN，配置干道链路，配置VLAN间路由。使用VTP（VLAN间干道协议）协议简化VLAN管理。下面列出本章中主要讲解的内容: 使用交换机优化网络 设计高可用的交换网络 生成树协议 配置交换机的端口安全 配置监视端口 创建和管理VLAN 使用VTP协议简化VLAN管理 设置VLAN间路由 交换机etherchannel7.1局域网组网设备本章提及的交换，

2、都是指的二层交换，除非另有所指。下面将会讲解局域网组网技术的发展过程。将会给大家展示集线器、网桥和交换机特点。7.1.1集线器第一章我们讲过，集线器连接的网络是一个大的冲突域，集线器上的两个节点通讯，虽然数据帧目标MAC地址和源MAC很明确，但是集线器还是将该数据帧扩散到所有的端口，这就影响了集线器上其他的节点进行数据通讯。因此说集线器连接的网络是一个冲突域。如图7-1所示，网段中计算机数量增多，需要两个集线器连接起来以确保有更多的接口连接计算机，这样使得冲突域增大。集线器连接的网络带宽共享，如果10M的以太网连接10台计算机，每个计算机平均得到1M带宽，但是随着计算机数量增加，冲突的增加，每

3、个计算机得到的带宽会小于平均带宽。有没有办法将集线器组网产生的大的冲突域减小？有，那就是在网络中使用网桥优化集线器连接的网络。图7-1 集线器连接的网络7.1.2网桥在两个集线器之间连接一个网桥，网桥能够基于MAC地址表转发数据。如图7-2所示，网桥有两个以太网接口E0和E1，并且知道E0对应哪些MAC地址，E1对应哪些MAC地址。当A计算机给B计算机发送一个数据帧，集线器将该数据帧扩散到所有的接口，网桥的E0接口收到该数据帧，查看目标MAC地址0260.8c01.222，该目标MAC对应E0接口，于是不转发到E1接口，这样就不影响C和D计算机的通信。网桥将一个大的冲突域划分成两个冲突域，冲突

4、域的数量增加了，但是冲突域减小了。网桥的一个接口就是一个冲突域。如果网络中的计算机发送一个目标MAC地址为FFFF.FFFF.FFFF的数据帧，这样的数据帧称为广播（比如ARP协议就是使用广播解析对方MAC地址的），网桥将会将这样的帧转发到除了发送端口的所有端口。所有的端口在同一个广播域。图 7-2 网桥优化网络网桥基于数据帧的源地址构建MAC地址表。刚接入到网上的网桥MAC地址表是空的，这时A给B计算机发数据帧，网桥接口E0将收到该数据帧，将该数据帧发到网桥的所有接口，与此同时，将会在MAC地址表中记录E0:026.8c01.1111。B给A计算机发送数据帧，网桥不会将该数据帧转发到E1端口

5、，因为在MAC地址表中已经有关于到A的MAC地址，同时就会在MAC地址表记下E0:026.8c01.2222。7.1.3交换机交换机(Switch)是高性能的网桥，交换机可以看成是多端口的网桥。网桥是基于软件，而交换机基于硬件，因为交换机使用ASIC芯片来帮助做出数据帧转发决定。构建MAC地址的过程和网桥一样，交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。图 7-3 交换机作用如图7-3所示，交换机和集线器相比有以下优点： 交换机的每个端口是一个冲突域 交换机的端口带宽独享。 交换机比集线器安全

6、。 将目标MAC地址为FF-FF-FF-FF-FF-FF的数据帧发送到所有交换机端口（除了发送端口外），因此交换机连接的网是一个广播域。交换机有以下功能： 构建MAC地址表，即地址学习。 转发/过滤功能 避免环路，如果为了提供冗余而在交换机之间创建了多个连接，网络中可能出现环路。通过使用生成树协议（Spanning Tree Protocol，STP）来防止产生网络环路，避免广播风暴。7.1.4查看交换机的MAC地址表打开第7章练习“01 查看交换机MAC地址表.pkt”，网络拓扑如图7-4所示，网络中交换机直连着3个计算机和一个DHCP服务器，连接一个集线器，集线器连接两个计算机。网络中的计

7、算机已经按照图示的地址配置完成。你需要在PC4上ping PC1、 PC2、 PC3、 PC0和DHCP，然后查看交换机上的MAC地址表，通过查看MAC地址表确认交换机的哪个接口连接集线器。图 7-4 查看交换机MAC地址表步骤：1. 在PC4上ping PC1、 PC2、 PC3、 PC0和DHCP的IP地址。2. 在交换机上查看MAC地址表Switchen -交换机的配置命令和路由器类似，输入enable进入特权模式。Switch#show mac-address-table Mac Address Table-Vlan Mac Address Type Ports- - - - 1 00

8、00.0c7c.7e49 DYNAMIC Fa0/1 1 0001.63c6.e338 DYNAMIC Fa0/5 1 0030.a336.362b DYNAMIC Fa0/4 1 0030.a3e4.e4c6 DYNAMIC Fa0/4 1 0090.0cd7.65c8 DYNAMIC Fa0/2 1 00d0.ffce.0eb4 DYNAMIC Fa0/3通过以上MAC地址表可以看到Fa0/4接口对应两个MAC地址。可以断定这个接口连接集线器。7.1.5交换机上配置监控端口交换机是基于MAC地址转发数据包的，比起集线器来说安全。如图7-5所示，你在交换机组建的网络中，在监控计算机安装数据包

9、捕获软件，用以监控和分析网络中的流量。监控计算机只能监控自己发出的数据帧和发给自己的数据帧，以及广播和多播数据帧，但是PC0、PC1和PC2访问Internet的流量，监控计算机不能捕获，因为交换机不向连接监控计算机的端口Fa0/12转发。如果你想监控PC0、PC1和PC2访问Internet的流量，这些流量都由交换机的Fa0/11转发到路由器，如果想让监控计算机捕获到这些流量，你需要配置Fa0/12监控Fa0/11。这样发送给Fa0/11端口的数据帧和来自Fa0/11端口的数据，交换机也会发送给Fa/12端口，这样捕包软件才能捕获。该实验packet Tracer不支持。您只能在物理设备进行

10、配置和测试。实验环境图 7-5 配置交换机监视端口实验目标配置端口FastEthernet 12监视FastEthernet 11步骤:3. 指定监视端口，监视端口和被监视端口必须属于同一个Session编号。SW7(config)#monitor session 2 destination interface fastEthernet 0/124. 指定被监视端口SW7(config)#monitor session 2 source interface fastEthernet 0/115. 查看监视和被监视端口，如图7-6所示。SW7#show monitor session 2图 7-

11、6 查看监视和被监视的端口7.2生成树协议如果企业的网络非常重要（比如医院的网络）。为了避免汇聚层和核心层设备故障造成网络故障，可以设计成双核心层和双汇聚层。如图7-7所示，网络交换机C、D和E是接入层交换机，交换机A、B是汇聚层交换机，很显然是双汇聚层。图 7-7 冗余拓扑这样网络中就有很多环路，如果Server发送一个广播数据帧，该数据帧将会在任意一个环路中无休止的转发，造成广播风暴，网络堵塞。如何既能实现网络有冗余拓扑，又能避免环路。这就需要讲到交换机的一个重要的功能，就是下面要介绍的交换机的生成树协议。7.2.1生成树协议生成树协议（STP）最早是由数字设备公司（Digital Equ

12、ipment Corporation，DEC）开发的，这个公司后来被收购并改名为Compaq公司。IEEE后来开发了它自己的STP版本，称为802.1D。Cisco交换机默认运行STP的IEEE802.1D版本，它与DEC版本不兼容。Cisco在其新出品的交换机上使用了另一个工业标准，称为802.1w，这一节介绍STP，但先要定义一些有关STP的重要而基本的概念。STP的主要任务是阻止在第2层网络（网桥或交换机）上产生网络环路。它警惕地监视着网络中的所有链路，通过关闭任何冗余的接口来确保在网络中不会产生环路。STP采用生成树算法(STA)，它首先创建一个拓扑数据库，然后搜索并破坏掉冗余的链路。

13、运行了STP算法之后，帧就只能被转发到保险的由STP挑选出来的链路上。下一节将详细讨论生成树协议。7.2.2生成树术语在详细讨论STP怎样在网络中起作用之前，需要理解一些基本的概念和术语，以及它们是怎样与第2层交换式网络联系在一起的。下面提到的桥就理解为交换机。根桥（Rootbridge）根桥是桥ID最低的网桥，也就是根交换机。对于STP来说，关键的问题是为网络中所有的交换机推选一个根桥，并让根桥成为网络中的焦点。在网络中，所有其他的决定比如哪一个端口要被阻塞，哪一个端口要被置为转发模式都是根据根桥的判断来做出选择的。BPDU（桥协议数据单元） 所有的交换机相互之间都交换信息，并利用这些信息来

14、选出根交换机，也根据这些信息来进行网络的后续配置。每台交换机都对桥协议数据单元（Bridge Protocol Data Unit，BPDU）中的参数进行比较，它们将BPDU传送给某个邻居，并在其中放入它们从其他邻居那里收到的BPDU。桥ID（BridgeID） STP利用桥ID来跟踪网络中的所有交换机。桥ID是由桥优先级（在所有的Cisco交换机上，默认的优先级为32768）和MAC地址的组合来决定的。在网络中，桥ID最小的网桥就成为根桥。非根桥（Nonrootbridge） 除了根桥外，其他所有的网桥都是非根桥。它们相互之间都交换BPDU，并在所有交换机上更新STP拓扑数据库，以防止环路并

15、对链路失效采取补救措施。端口开销（Portcost） 当两台交换机之间有多条链路且都不是根端口时，就根据端口开销来决定最佳路径，链路的开销取决于链路的带宽。根端口（Rootport）根端口是指直接连到根桥的链路所在的端口，或者到根桥的路径最短的端口。如果有多条链路连接到根桥，就通过检查每条链路的带宽来决定端口的开销，开销最低的端口就成为根端口。如果多条链路的开销相同，就使用桥ID小一些的那个桥。如果多条链路来自同一台设备，就使用端口号最低的那条链路。指定端口(Designatedport) 有最低开销的端口就是指定端口，指定端口被标记为转发端口。非指定端口(Nondesignated port

16、) 非指定端口是指开销比指定端口高的端口，非指定端口将被置为阻塞状态，它不是转发端口。转发端口(Forwarding port) 指能够转发帧的端口。阻塞端口(Blocked port) 阻塞端口是指不能转发帧的端口，这样做是为了防止产生环路。然而，被阻塞的端口将始终监听帧。7.2.3生成树的操作正如前面提到的，STP的任务是找到网络中的所有链路，并关闭任何冗余的链路，这样就可以防止网络环路的产生。为了达到这个目的，STP首先需要选举一个根桥，由根桥来负责决定网络拓扑。一旦所有的交换机都同意将某台交换机选举为根桥，其余的交换机就必须找到其唯一的根端口。在两台交换机之间的每一条链路必须有唯一的指

17、定端口，在那条链路上的端口提供到根桥最大的带宽。下面将以如图7-8所示的网络设备讲解生成树的过程。生成树的操作分为三步:6. 选举根桥（Root Bridge）7. 非根桥交换机确定根端口（Root Port）8. 每个链路选定一个指定端口（Designated Port）图7-8 生成树操作 选举根网桥在以上网络中有A、B、C、D、E和F六个路由器，网桥ID最小的将被选举为根桥。网桥ID为8个字节长，其中包括了设备的优先级和MAC地址，在运行IEEE STP版本的所有设备上，默认优先级都为32768。优先级相同，MAC地址最小的将被选举为根桥。默认每隔2秒钟发送一次BPDU，它被发送到网桥/

18、交换机的所有活动端口上，通过BPDU选举根桥。在本例中，交换机A和交换机B优先级相同，交换机B的MAC为0c0011111111，比交换机A的MAC地址0c0022222222小，交换机B就更加有可能成为根桥。你可以更改交换机优先级，来指定成为根桥的首选和备用交换机。在本示例中很显然让交换机A和交换机B成为首选和备用根交换机最好，因为这两个交换机为汇聚层交换机。本示例假设交换机B是所有交换机中MAC地址最小，选举为根网桥。选举根端口确定了根网桥后，交换机A、C、D、E和F为非根桥，这些交换机需要查看哪些端口到根交换机距离近，带宽越高距离就越近。对于C交换机来说到达根网桥的最近的端口是E0。因此

19、E0接口就被选举为根端口。根端口转发数据帧。选举指定端口直白一点来说就是每根网线，都要比较看哪一端距离根桥近。距离根桥近的那一端连接的端口为指定端口。由于A和B交换机之间的连接带宽为1000M，因此A交换机的E1、E2、E3和E4端口比交换机C、D、E和F的E1端口距离根桥近，因此A交换机的E1、E2、E3和E4端口成为指定端口。根桥所有端口都是指定端口。指定端口转发数据帧。非指定端口确定了根端口和指定端口，剩下的端口就是非指定端口，非指定端口将被置为阻塞状态，不是转发端口。本示例交换机C、D、E和F的E1接口就是非指定端口。虽然不能转发帧，但仍然可以接受侦，包括BPDU。提示:网络中如果有集

20、线器设备，集线器设备是不参与生成树的。7.2.4生成树端口状态对于运行STP的网桥或交换机来说，其端口状态会在下列5种状态之间转变：阻塞(Blocking) 被阻塞的端口将不能转发帧，它只监听 BPDU。设置阻塞状态的意图是防止使用有环路的路径。当交换机加电时，默认情况下所有的端口都处于阻塞状态。侦听(Listening) 端口都侦听BPDU，以确信在传送数据帧之前，在网络上没有环路产生。在侦听状态的端口，在没有形成 MAC地址表时，就准备转发数据帧。学习(Learning) 交换机端口侦听 BPDU，并学习交换式网络中的所有路径。处在学习状态的端口形成了MAC地址表，但不能转发数据帧。转发延

21、迟意味着将端口从侦听状态转换到学习状态所花费的时间，默认时设置为15秒，可以用命令showspanning-tree显示出来。转发(Forwarding) 在桥接的端口上，处在转发状态的端口发送并接收所有的数据帧。 如果在学习状态结束时，端口仍然是指定端口或根端口，它就进人转发状态。禁用(DisabIed) 从管理上讲，处于禁用状态的端口不能参与帧的转发或形成STP。 处于禁用状态下，端口实质上是不工作的。说明：只有在学习状态或转发状态下，交换机才能填写MAC地址表。大多数情况下，交换机端口都处在阻塞或转发状态。转发端口是指到根桥的开销最低的端口，但如果网络的拓扑改变了（可能是链路失效了，或者

22、有人添加了一台新的交换机），交换机上的端口就会处于侦听或学习状态。正如前面提到的，阻塞端口是一种防止网络环路的策略。一旦交换机决定了到根桥的最佳路径，那么所有其他的端口将处于阻塞状态。被阻塞的端口仍然能接收BPDU，它们只是不能发送任何帧。7.2.5确认和更改根网桥打开第7章练习“02 确认和更改根网桥.pkt”，可以看到网络拓扑如图7-9所示，双汇聚层设计，SwitchA连接SwitchC、SwitchD和SwitchE的端口处于阻断状态，可以断定SwitchA不是根交换机，因为根交换机的所有端口肯定是转发状态。你需要确认网络中的根网桥。你需要指定SwitchA作为首选的根桥，SwitchB

23、作为备用的根桥。这就需要更改网桥优先级。图 7-9 网络拓扑步骤：9. 在SwitchA上，查看VLAN 1 的生成树，查看根网桥。Switchen -进入特权模式Switch#show spanning-tree vlan 1 -查看VLAN 1的生成树，默认所有接口都在VLAN1VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 -这是根桥的优先级 Address 0002.4A63.C9B6 -这是根桥的MAC地址 Cost 4 Port 6(GigabitEthernet5/1) -使用G5/1这个接口

24、和根桥连接 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) -这是SwitchA的优先级 Address 00E0.F780.208C -这是SwitchA的MAC地址 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20Interface Role Sts Cost Prio.Nbr Type- - - - - -Gi5/1 Root FWD 4

25、128.6 P2p -FWD代表转发状态Gi6/1 Altn BLK 4 128.7 P2p -BLK代表阻断状态Gi7/1 Altn BLK 4 128.8 P2pGi8/1 Altn BLK 4 128.9 P2p可以断定SwitchA不是根桥，因为Root ID和Bridge ID不同，网桥ID是由优先级和MAC地址构成。10. 更改SwitchA的生成树优先级使其成为首选根桥Switch#config t -进入全局配置模式Switch(config)#spanning-tree vlan 1 priority ? -更改VLAN1的生成树优先级 bridge priority in

26、increments of 4096 -可以看到优先级值的范围Switch(config)#spanning-tree vlan 1 priority 23 -随便输入一个值% Bridge Priority must be in increments of 4096. -提示网桥优先级值增量为4096% Allowed values are: -显示所有可用的网桥优先级值 0 4096 8192 12288 16384 20480 24576 28672 32768 36864 40960 45056 49152 53248 57344 61440Switch(config)#spannin

27、g-tree vlan 1 priority 4096 -将网桥优先级的值更改为409611. 注意观察网络中的阻断端口发生变化。12. 在SwitchA上运行以下命令，查看新选举的根网桥。Switch#show spanning-tree vlan 1VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 4097 -根网桥优先级 Address 00E0.F780.208C -根网桥MAC地址 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward D

28、elay 15 sec Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) -网桥优先级 Address 00E0.F780.208C -网桥MAC地址 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20Interface Role Sts Cost Prio.Nbr Type- - - - - -Gi5/1 Desg FWD 4 128.6 P2p -转发状态Gi6/1 Desg FWD 4 128.7 P2p -转发状态Gi7/1 Desg FWD 4 1

29、28.8 P2p -转发状态Gi8/1 Desg FWD 4 128.9 P2p -转发状态可以看到更改网桥优先级后，Root ID和Bridge ID都是SwitchA了，这说明SwitchA是根桥。且所有的端口都处于转发状态。13. 在SwitchB上运行以下命令，更改其网桥优先级，将其设置为备用的根网桥。Switch(config)#spanning-tree vlan 1 priority 122887.2.6关闭VLAN 1的生成树如果你确信网络中的交换机没有环路，且将来也不会产生环路，你可以使用一下命令将VLAN 1的生成树关闭。Switch(config)#no spanning

30、-tree vlan 17.3优化生成树当网络中的交换机数量增加或链路有变化时，所有交换机上重新进行生成树操作来确定阻断端口和转发端口。在完成重新计算之前，交换机不能转发任何数据。完成计算之后，才能转发数据，这个过程需要的时间就是生成树的收敛时间。在交换机端口上，生成树拓扑从阻塞到转发的典型收敛时间为50秒。也就是说网络拓扑有变化，网络会中断50秒。通过将汇聚层或核心层交换机设置为根网桥，可以使生成树收敛得又快又好。7.3.1生成树快速端口（PortFast）如果交换机的接口连接的是计算机，可以将这些端口设置为快速端口（PortFast），这就意味着，当STP正在收敛时，端口不会花费通常的50

31、秒才进入转发状态。打开第7章练习“02 确认和更改根网桥.pkt”，在SwitchC上，运行以下命令，将连接计算机的接口FastEthernet 0/1 FastEthernet 2/1配置成快速端口。Switch(config)#interface range fastEthernet 0/1 - fastEthernet 2/1Switch(config-if-range)#spanning-tree portfast 如果将一个接口配置快速端口，运行以下命令。Switch(config)#interface range fastEthernet 0/1Switch(config-if)#spanning-tree portfast7.3.2生成树