收藏 分销(赏)
立即下载 开通VIP

项目一-交换机配置(课堂PPT).ppt

上传人:快乐****生活 文档编号:10213146 上传时间:2025-04-27 格式:PPT 页数:80 大小:1.26MB
下载 相关 举报
项目一-交换机配置(课堂PPT).ppt_第1页
第1页 / 共80页
项目一-交换机配置(课堂PPT).ppt_第2页
第2页 / 共80页
项目一-交换机配置(课堂PPT).ppt_第3页
第3页 / 共80页
项目一-交换机配置(课堂PPT).ppt_第4页
第4页 / 共80页
项目一-交换机配置(课堂PPT).ppt_第5页
第5页 / 共80页
点击查看更多>>
资源描述

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,交换机配置,1,本章内容,交换机概述,交换机的交换模式,交换机的硬件结构,交换机的接口,交换机初始化配置,虚拟局域网与多层交换,2,1.,交换机的基本概念,交换机,英文名称为,Switch,,也称为交换式集线器,是一种基于,MAC,地址识别,能完成封装转发数据包功能的网络设备。交换机可以,“,学习,”,MAC,地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。,1.1,交换机概述,3,2.,交换机的工作特点,拥有一条很高带宽的背板总线和

2、内部交换矩阵,所有的端口都挂接在这条背板总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的,MAC,地址的网卡(,NIC,)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的,MAC,若不存在才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部,MAC,地址表中。,1.1,交换机概述,4,3.,交换机的特性,与网桥和集线器相比,交换机从下面几方面改进了性能:,(,1,)通过支持并行通信,提高了交换机的信息吞吐量。,(,2,)将传统的一个大局域网上的用户分成若干工作组,每个端口连接一台设备 或连接一个工作组,有效地解决拥挤现象。,(

3、3,)虚拟网(,Virtual LAN,)技术的出现,给交换机的使用和管理带来了更大 的灵活性。,(,4,)端口密度可以与集线器相媲美,一般的网络系统都是有一个或几个服务器,而绝大部分都是普通的客户机。客户机都需要访问服务器,这样就导致服务器的通信和事务处理能力成为整个网络性能好坏的关键。,1.1,交换机概述,5,4.,交换机的三个主要功能,(,1,)学习 以太网交换机了解每一端口相连设备的,MAC,地址,并将地址同相应的端口映射起来存放在交换机缓存中的,MAC,地址表中。,(,2,)转发,/,过滤 当一个数据帧的目的地址在,MAC,地址表中有映射时,它被转发到连接目的节点的端口而不是所有端

4、口(如该数据帧为广播,/,组播帧则转发至所有端口)。,(,3,)消除回路 当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。,1.1,交换机概述,6,1.2,交换机的交换模式,概念:,交换机将数据从一个端口转发至到另一个端口的处理方式称为交换模式。,类型:,存储转发,(,Store and Forward,),直通交换,(,CutThrough,),碎片丢弃,(,Fragmentfree,),7,1.2,交换机的交换模式,存储转发,(Store and Forward),特点:,交换机接收到数据包后,首先将数据包存储到缓冲器中,进行,CRC,循环冗余校

5、验,如果这个数据包有,CRC,错误,则该包将被丢弃;如果数据包完整,交换机查询地址映射表将其转发至相应的端口。,优点:,没有残缺数据包转发,可减少潜在的不必要的数据转发,缺点:,转发速率比直接转发方式慢。,适用环境:,存储转发技术适用于普通链路质量或质量较为恶劣的网络环境,这种方式要对数据包进行处理,所以,延迟和帧的大小有关。,8,1.2,交换机的交换模式,直通交换(Cut,Through),特点:,交换机只读出数据帧的前,6,个字节,即通过地址映射表中查找目标地址,将数据帧传送到相应的端口上。直通交换能够实现较少的延迟,因为在数据帧的目的地址被读出,确定了转发端口后马上开始转发这个数据帧。,

6、优点:,转发速率快、减少延时和提高整体吞吐率,缺点:,会给整个交换网络带来许多垃圾通信包,适用环境:,网络链路质量较好、错误数据包较少的网络环境,延迟时间跟帧的大小无关。,9,1.2,交换机的交换模式,碎片丢弃(Fragmentfree),特点:,这是介于前两者之间的一种解决方案。它检查数据包的长度是否够,64,个字节,如果小于,64,字节,说明是假包,则丢弃该包;如果大于等于,64,字节,则发送该包。,优点:,数据处理速度比存储转发方式快,缺点:,比直通式慢,适用环境:,一般的通讯链路,10,1.3,交换机的硬件结构,RAM,FLASH,CPU,Interface,ROM,交换机操作系统(,

7、RGNOS,)、配置文件(,config.text,),交换机当前运行的配置(,running-config,),Mini OS,、,BootStart,11,1.4,交换机的接口,交换机的接口是随着网络类型的变化和传输介质的发展而产生的不同的接口规格,主要有:,双绞线,RJ-45,接口,光纤接口,AUI,接口与,BNC,Console,接口,FDDI,接口,12,双绞线,RJ-45,接口,数量最多、应用最广的一种接口类型,它属于以太网接口类型。它不仅在最基本的,10Base-T,以太网网络中使用,还在目前主流的,100Base-TX,快速以太网和,1000Base-TX,千兆以太网中使用。,

8、1.4,交换机的接口,13,1.4,交换机的接口,光纤接口,目前光纤传输介质发展相当迅速,各种光纤接口也是层出不穷,分别应用于,100Base-FX,、,1000Base-FX,等网络中。在局域网交换机中,,SC,类型是一种常见的光纤接口,,SC,接口的芯在接头里面,右图所示的是一款,100Base-FX,网络的,SC,光纤接口模块。,14,1.4,交换机的接口,AUI,接口,这是专门用于连接粗同轴电缆的,目前这种网络在局域网中已不多见。现在部分交换机保留了,AUI,接口。,AUI,接口是一个,15,针,“,D,”,形接口,类似于显示器接口。这种接口在其他网络设备中也可以见到,如路由器,甚至服

9、务器中。右图中所示的是交换机上的,AUI,接口示意图。,15,1.4,交换机的接口,BNC,接口,这是专门用于连接细同轴电缆的接口,目前提供这种接口的交换机比较少见。个别交换机保留,BNC,接口,主要是用于与细同轴电缆作为传输介质的令牌网络连接。,右图是,BNC,接口的网卡。,16,1.4,交换机的接口,Console,接口,用于配置交换机而使用的接口。,不同交换机的,Console,接受有所不同,有些与,Cisco,路由器一样采用,RJ-45,类型,Console,接口,而有的则采用串口作为,Console,接口。,17,1.4,交换机的接口,FDDI,接口,在早期的,100Mbps,时代,

10、还有一种,FDDI,网络类型,即,“,光纤分布式数据接口,”,,其传输介质也是光纤,其接口类型如右图。目前由于它的优势不明显,已经很少见了。,18,1.5,交换机初始化配置,【,实验命令,】,1.,查看交换机的版本和当前配置。,show version/显示版本号和寄存器值,show running-config/,显示所有的配置,2.,配置交换机的名称。,Switch,Switchenable/进入特权模式,Switch#configure terminal/进入全局配置模式,Switch,(,config,),#hostname SW2950/设置交换机的主机名,SW2950,(,conf

11、ig,),#,19,1.5,交换机初始化配置,3.,配置交换机的终端密码(控制台,Console,口密码)。,SW2950,SW2950enable,SW2950#configure terminal,SW2950,(,config,),#Line console 0/进入控制台口,SW2950,(,config-Line,),#password 123456,SW2950,(,config-Line,),#login/配置启用,SW2950,(,config-Line,),#exit,SW2950,(,config,),#,4.,设置用户特权密码。,SW2950,SW2950enable,S

12、W2950#configure terminal,SW2950,(,config,),#enable password swpassword,(非加密),SW2950,(,config,),#enable secret swsecret,(加密),20,5.,配置交换机的虚拟终端密码(远程登录密码,,Vty,口密码。交换机为,15,级,路由器为,4,级)。,SW2950,SW2950enable,SW2950#configure terminal,SW2950,(,config,),#Line vty 0 15 /,进入虚拟终端,同时允许,0-15,个登录,SW2950,(,config-Li

13、ne,),#password abcdef,SW2950,(,config-Line,),#login,SW2950,(,config-Line,),#exit,SW2950,(,config,),#,6.,查看交换机的,MAC,地址表。,SW2950#show mac-address-table,1.5,交换机初始化配置,21,1.5,交换机初始化配置,7.,配置交换机的管理地址和默认网关。,SW2950,SW2950enable,SW2950#configure terminal,SW2950,(,config,),#interface VLAN 1/,进入,VLAN 1,SW2950,(

14、config-VLAN,),#ip address 192.168.0.10 255.255.255.0,SW2950,(,config-VLAN,),#no shutdown/,激活端口,SW2950,(,config-VLAN,),#exit,SW2950,(,config,),#ip default-gateway 192.168.0.254,SW2950,(,config,),#,8.,保存当前配置文件。,SW2950#copy running-config startup-config,SW2950#write memory,22,1.6,交换机,VLAN,划分,定义:,虚拟局域网

15、Virtual Local Area Network,)通常简称为,VLAN,。它是将局域网从逻辑上划分为一个个的网段,从而实现虚拟工作组的一种交换技术,。,23,1.6,交换机,VLAN,划分,划分,VLAN,的作用:,1,、,控制网络的广播,增加广播域的数量,减小广播域的大小。,2,、,便于对网络进行管理和控制。,3,、,增加网络的安全性,24,1.6,交换机,VLAN,划分,静态,VLAN,与动态,VLAN,1,静态,VLAN,静态,VLAN,就是明确指定各端口所属,VLAN,的设定方法,通常也称为基于端口的,VLAN,,其特点是将交换机按端口进行分组,每一组定义为一个,VLAN,,

16、属于同一个,VLAN,的端口,可来自一台交换机,也可来自多台交换机,即可以跨越多台交换机设置,VLAN,。基于端口的,VLAN,划分如右图所示。,25,1.6,交换机,VLAN,划分,静态指定各端口所属的,VLAN,,需要一个端口一个端口地进行设置,当要设定的端口数目较多时,工作量会比较大,通常适合于网络拓扑结构不是经常变化的情况。静态,VLAN,是目前最常用的一种,VLAN,端口划分方式。,26,1.6,交换机,VLAN,划分,2,动态,VLAN,动态,VLAN,是根据每个端口所连的计算机,动态设置端口所属,VLAN,的设定方法。动态,VLAN,通常可分为基于,MAC,地址的,VLAN,、基

17、于子网的,VLAN,和基于用户的,VLAN,。,27,基于,MAC,地址的,VLAN,,就是根据端口所连计算机的网卡,MAC,地址,来决定该端口所属的,VLAN,。在这种方式下,端口所属的,VLAN,,不是事先固定的,而是由所连计算机的,MAC,地址来决定的。,比如,若,MAC,地址为,“,00-0C-6E-E1-1B-36,”,的计算机被设置为属于,VLAN2,,则该台计算机无论接到交换机的哪个端口,其所连端口就会被自动划归为,VLAN2,。,1.6,交换机,VLAN,划分,28,1.6,交换机,VLAN,划分,基于子网的,VLAN,,是根据端口所连计算机的,IP,地址,来决定端口所属的,V

18、LAN,。,基于用户的,VLAN,,是根据端口所连计算机的当前登录用户,来决定该端口所属的,LAN,。,29,1.6,交换机,VLAN,划分,【,实验命令,】,1.,创建,VLAN,。,SW1#vlan database/,进入,VLAN,设置,SW1,(,vlan,),#vlan 2,SW1,(,vlan,),#exit,SW1#,或,SW1,(,config,),#vlan 2,SW1,(,config-vlan,),#exit,SW1,(,config,),#,30,1.6,交换机,VLAN,划分,2.,查看,VLAN,。,SW1#show vlan,3.,划分,port-vlan,。,

19、SW1,(,config,),#interface FastEthernet 0/5/,进入端口,SW1,(,config-if,),#switchport access vlan 3 /,加入当前端口,SW1,(,config,),#interface range FastEthernet 0/1-4,SW1,(,config-if-range,),#switchport access vlan 2,4.,删除,VLAN,。,SW1,(,config,),#interface FastEthernet 0/5,SW1,(,config-if,),#switchport access vlan

20、 1,31,1.6,交换机,VLAN,划分,SW1,(,config-if,),#end,SW1#VLAN database,SW1,(,VLAN,),#no vlan 3,【,注意事项,】,1.,注意交换机的提示符状态,不同情况下做的命令和事情是不一样的。如下面的错误情况(本想创建完,VLAN 3,,再把,F0/5,口加入),请分析原因。,SW1#vlan database,SW1,(,VLAN,),#vlan 3,SW1,(,VLAN,),#interface FastEthernet 0/5,此时发现命令错误,SW1,(,config-if,),#switchport access vl

21、an 3,2.,是否发现,PC1,已经不能对交换机进行远程登录了,那是因为,PC1,和交换机的,IP,不在同一个,VLAN,中。可以把交换机的,Console,口配置线移至,PC4,的,RS232,口上进行远程登录。,32,1.7,VLAN,的汇聚链接与封装协议,在实际应用中,通常需要跨越多台交换机的多个端口划分,VLAN,,比如,同一个部门的员工,可能会分布在不同的建筑物或不同的楼层中,此时的,VLAN,,就将跨越多台交换机。,跨越多台交换机的,VLAN,VLAN,内的主机彼此间应可以自由通讯,当,VLAN,成员分布在多台交换机的端口上时,如何才能实现彼此间的通讯呢?,33,1.7,VLAN

22、的汇聚链接与封装协议,解决的办法就是在交换机上各拿出一个端口,用于将两台交换机级联起来,专门用于提供该,VLAN,内的主机跨交换机相互通讯。有多少个,VLAN,,就对应地需要占用多少个端口,用来提供,VLAN,内主机的跨交换机相互通讯,如图所示。,VLAN,内的主机在交换机间的通讯,34,1.7,VLAN,的汇聚链接与封装协议,这种方法虽然解决了,VLAN,内主机间的跨交换机通讯,但每增加一个,VLAN,,就需要在交换机间添加一条互联链路,并且还要额外占用交换机端口,这对保贵的交换机端口而言,是一种严重的浪费,而且扩展性和管理效率都很差。,为了避免这种低效率的连接方式和对交换机端口的大量占用

23、人们想办法让交换机间的互联链路汇集到一条链路上,让该链路允许各个,VLAN,的通讯流经过,这样就可解决对交换机端口的额外占用,这条用于实现各,VLAN,在交换机间通讯的链路,称为交换机的汇聚链路或主干链路(,Trunk Link,),如下图所示。,35,1.7,VLAN,的汇聚链接与封装协议,用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路承载了所有,VLAN,的通讯流量,因此要求只有通讯速度在,100Mbps,或以上的端口,才能作为汇聚端口使用。,利用汇聚链路实现各,VLAN,内主机跨交换机的通讯,36,1.7,VLAN,的汇聚链接与封装协议,在引入,VLAN,后,交换机的端口按用途就分

24、为了,访问连接,端口(,Access Link,)和,汇聚连接,(,Trunk Link,)端口两种。,访问连接,端口通常用于连接客户,PC,机,以提供网络接入服务。该种端口只属于某一个,VLAN,,并且仅向该,VLAN,发送或接收数据帧。端口所属的,VLAN,通常也称作,native vlan,。,汇聚连接,端口属于所有,VLAN,共有,承载所有,VLAN,在交换机间的通讯流量。,37,1.7,VLAN,的汇聚链接与封装协议,由于汇聚链路承载了所有,VLAN,的通讯流量,为了标识各数据帧属于哪一个,VLAN,,为此,需要对流经汇聚链接的数据帧进行打标(,tag,)封装,以附加上,VLAN,信

25、息,这样交换机就可通过,VLAN,标识,将数据帧转发到对应的,VLAN,中。,目前交换机支持的打标封装协议有,IEEE802.1Q,和,ISL,。,38,1.7,VLAN,的汇聚链接与封装协议,IEEE802.1Q,是经过,IEEE,认证的对数据帧附加,VLAN,识别信息的协议,属于国际标准协议,适用于各个厂商生产的交换机,该协议通常也简称为,dot1Q,。,IEEE802.1Q,所附加的,VLAN,识别信息,位于数据帧中,“,发送源,MAC,地址,”,和,“,类别域(,Type Field,),”,之间,所添加的内容为,2,字节的,TPID,和,2,字节的,TCI,,共计,4,个字节,其对数

26、帧的封装过程如下图所示。,39,1.7,VLAN,的汇聚链接与封装协议,IEEE802.1Q,协议对数据帧的打标封装,40,1.7,VLAN,的汇聚链接与封装协议,ISL,是,Inter Switch Link,的缩写,是,Cisco,系列交换机支持的一种与,IEEE802.1Q,类似的,用于在汇聚链路上附加,VLAN,信息的协议,可用于以太网和令牌环网。,41,1.7,VLAN,的汇聚链接与封装协议,ISL,对数据帧进行打标封装时,采取在数据帧的头部附加,26,字节的,ISL,包头(,ISL Header,),并且在数据帧的尾部带上对包括,ISL,包头在内的整个数据帧进行计算后得到的,4,字

27、节的,CRC,值,即,ISL,协议保留数据帧原来的,CRC,,然后再附加上一个新的,CRC,,即封装时总共增加了,30,个字节的信息。当数据帧离开汇聚链路时,,ISL,只需简单地去除,ISL,包头和新,CRC,就可以了,由于数据帧原来的,CRC,被完整保留,因此无需重新计算。,42,1.7,VLAN,的汇聚链接与封装协议,ISL,与,IEEE802.1Q,协议互不兼容,,ISL,是,Cisco,独有的协议,只能用于,Cisco,网络设备之间的互联。,ISL,协议对数据帧的打标封装,43,1.8,利用三层交换机实现不同,VLAN,互通,同一个,VLAN,属于同一个广播域,主机彼此间可相互自由通讯

28、不同,VLAN,的主机若要相互通讯,则必须为,VLAN,指定路由,否则不能通讯。,对于没有路由功能的二层交换机,若要实现,VLAN,间的相互通信,就要借助外部的路由器来为,VLAN,指定默认路由,。,44,1.8,利用三层交换机实现不同,VLAN,互通,二层交换机借助外部路由器实现,VLAN,间通讯,VLAN,间的主机通讯,遵循以下通讯过程:,源主机交换机路由器交换机目的主机,汇聚链路连接方式,创建虚拟子接口,设置虚拟子接口,IP,地址,45,1.8,利用三层交换机实现不同,VLAN,互通,三层交换机是带有路由功能的交换机,可实现高速度的路由,并且在对第一个数据帧进行路由后,将会产生一个,M

29、AC,地址与,IP,地址的映射表,当同样的数据帧再次通过时,交换机会直接从二层转发,而不用再路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。另一方面,交换机的路由模块与交换模块是在交换机内部直接汇聚连接的,可以提供相当高的带宽,因此,使用三层交换机来配置,VLAN,和提供,VLAN,间的通讯,比使用二层交换机和路由器更好,配置和使用也更方便。,46,1.9,生成树配置,1,、冗余链路,F0/2,SW1,F0/2,F0/1,SW2,F0/1,47,1.9,生成树配置,产生环路,F0/2,F0/1,F0/1,F0/2,出现广播风暴,多帧复制,Mac,地址表的不稳定,.,

30、48,广播风暴:在没有避免交换环路措施的情况下,每个交换机都无穷无尽的转发广播帧。广播流量破坏了正常的通信流,消耗了带宽和交换机的,CPU,资源,直至交换机死机或者关机才算结束。,1.9,生成树配置,49,1.9,生成树配置,多帧复制:也叫重复帧传送,单播的数据帧可能被多次复制传送到目的站点。很多协议都只需要每次传输一个拷贝。多帧复制会造成目的站点收到某个数据帧的多个副本,不但浪费了目的主机的资源,还会导致上层协议在处理这些数据帧时无法选择,严重时还可能导致不可恢复的错误。,单播,F0/2,F0/1,F0/1,F0/2,SW1,SW1,SW2,单播,主机,A,主机,B,50,1.9,生成树配置

31、MAC,地址表抖动也就是,MAC,地址表不稳定,这是由于相同帧的拷贝在交换机的不同端口上被接收引起的。如果交换机将资源都消耗在复制不稳定的,MAC,地址表上,那么数据转发的功能就可能被消弱了。,单播,F0/2,F0/1,F0/1,F0/2,SW1,SW2,单播,主机,A,主机,B,F0/1,:主机,B,?,F0/2,:主机,B,?,F0/1,:主机,A,?,F0/2,:主机,A,?,51,1.9,生成树配置,怎么解决环路中所产生的问题呢?,F0/2,F0/1,F0/1,F0/2,X,临时关闭网络中冗余的链路,52,1.9,生成树配置,2,、生成树协议(,Spanning-Tree Proto

32、col,),为了解决冗余链路引起的问题,,IEEE,通过了,IEEE802.1d,协议,即生成树协议(,STP,),它通过在交换机运行一套复杂的算法,使冗余端口置于“阻塞状态”使网络中的计算机在通信时,只有一条链路生效,而当这个链路出现故障时,,IEEE802.1d,协议将会重新计算出网络的最优链路,将处于“阻塞状态”的端口重新打开,从而确保网络连接稳定可靠。,53,1.9,生成树配置,BPDU(,网桥协议数据单元,),交换机之间交换,BPDU(,网桥协议数据单元,),数据帧源地址,:,交换机,MAC;,目的地址,:0180.C200.0000(,多播,:,桥组,)BPDU,的组成,:1.,版

33、本号,:00(IEEE 802.1D);02(IEEE 802.1W),2.,类型,:BPDU,类型,3.Bridge ID(,交换机,ID=,交换机优先级,+,交换机,MAC,地址,)4.Root ID(,根交换机,ID),5.Root Path Cost(,到达根的路径开销,)6.Port ID(,发送,BPDU,的端口,ID=,端口优先级,+,端口编号,),7.Hello Time(,定期发送,BPDU,的时间间隔,)8.Max-Age Time(,保留对方,BPDU,消息的最长时间,)9.Forward-Delay Time(,发送延迟,:,端口状态改变的时间间隔,),54,1.9,生

34、成树配置,STP,相关概念,根网桥:,为了创造一个“非循环”的环境,需要定义一个参考点,这就是根网桥,根端口:,离根网桥最近的端口为根端口,指定网桥:,在每一个网段中,离根网桥最近的网桥为指定网桥,指定端口:,与指定网桥连接的端口为指定端口,55,1.9,生成树配置,STP,的工作过程,STP,要构造一个逻辑无环的拓扑结构,需要执行下面,4,个步骤:,1,、选举一个根网桥,2,、在每个非根网桥上选举一个根端口,3,、在每个网段上选举一个指定端口,4,、阻塞非根、非指定端口,56,1.9,生成树配置,选举根网桥,STP,选举根网桥。在一个给定网络中只能存在一个根网桥,也就是具有最小网桥,ID,的

35、交换机,先比较交换机的优先级(越小越优先),再看,MAC,地址(越小越优先),当网络中的交换机启动后,每一台都会假定它自己就是根网桥,把自己的网桥,ID,写入,BPDU,的根网桥,ID,字段里然后向外泛洪。当交换机接收到一个具有更低的,Root BID,的,BPDU,时,它就会把自己正在发送的,BPDU,中的,Root BID,字段替换为这个更低的网桥,ID,,再向外发送。经过一段时间后,所有的交换机都会比较完全部的,Root BID,,并且选举出具有最小网桥,ID,的交换机作为根网桥。,57,1.9,生成树配置,F0/1,F0/2,F0/2,F0/2,F0/1,F0/1,SW1:32768.

36、00-d0-f8-00-11-11,SW2:32768.00-d0-f8-00-33-33,SW2:4096.00-d0-f8-00-22-22,Root Bridge,100M,100M,100M,三台交换机通过比较网桥优先级,发现,SW2,的优先级是最小的,因此,SW2,被选举为根网桥,58,1.9,生成树配置,选举根端口,在选举完根网桥之后,要在所有的非根交换机上选举出根端口。所谓根端口,就是从非根交换机到达根网桥的最短路径上的端口,即根路径成本最小的端口。选举根端口的依据顺序为:,根路径成本最小;,发送网桥,ID,最小;,发送端口,ID,最小。,59,1.9,生成树配置,链路带宽,成本

37、10G,2,1000M,4,100M,19,10M,100,路径成本计算,60,1.9,生成树配置,F0/1,F0/2,F0/2,F0/2,F0/1,F0/1,SW1:32768.00-d0-f8-00-11-11,SW2:32768.00-d0-f8-00-33-33,SW2:4096.00-d0-f8-00-22-22,Root Bridge,100M,100M,100M,61,1.9,生成树配置,选举指定端口,在非根交换机上选举完根端口之后,需要在每个网段中选取一个指定端口。所谓指定端口,就是连接在某个网络上的一个桥接端口,它通过该网段即向根交换机发送流量也从根交换机接收流量。桥接网段

38、中的每个网段都必须有一个指定端口。选举指定端口的依据顺序同样为:,根路径成本最小;,所在交换机的网桥,ID,最小;,端口,ID,最小,注:根网桥上的每个活动端口都是指定端口,因为它的每个端口都具有最小根路径成本(实际是它的根路径成本是,0,),62,1.9,生成树配置,F0/1,F0/2,F0/2,F0/2,F0/1,F0/1,SW1:32768.00-d0-f8-00-11-11,SW2:32768.00-d0-f8-00-33-33,SW2:4096.00-d0-f8-00-22-22,Root Bridge,100M,100M,100M,63,1.9,生成树配置,阻塞非根非指定端口,F0

39、/1,F0/2,F0/2,F0/2,F0/1,F0/1,SW1:32768.00-d0-f8-00-11-11,SW2:32768.00-d0-f8-00-33-33,SW2:4096.00-d0-f8-00-22-22,Root Bridge,100M,100M,100M,64,1.9,生成树配置,生成树协议的端口状态,在,STP,中,正常的端口具有,4,种状态:,阻塞(,blocking,),:,在初始启用端口之后的状态。端口不能接收或者传输数据,不能把,MAC,地址加入地址表,只能接收,BPDU,。,监听(,listening,),:,如果一个端口可以成为一个根端口或指定端口,那么它就转

40、入监听状态。此时端口不能接收或者转发数据,也不能把,MAC,地址加入地址表,但可以接收和转发,BPDU,;此时,端口参与进行根端口和指定端口的选举。,学习(,learning,):在转发延迟计时时间超时(默认,15,秒)后,端口进入学习状态,此时端口不能传输数据,但可以发送和接收,BPDU,,也可以学习,MAC,地址,并加入地址表。,转发(,forwarding,):在下一次转发延时计时时间到后,端口进入转发状态,此时端口能够发送和接收数据、学习,MAC,地址、发送和接收,BPDU,。在生成树拓扑中,该端口至此才成为一个全功能交换机端口。,65,1.9,生成树配置,STP,流程图,链路启动,阻

41、塞(最大老化时间,20S,),监听(转发延迟,15S,),转发,学习(转发延迟,15S,),是否选举为根端口或指定端口?,否,是,STP,收敛时间,20+15+15=50S,66,1.9,生成树配置,STP,流程,当交换机加电启动后,所有的端口从初始化状态进入阻塞状态,它们从这个状态开始监听,BPDU,。当交换机第一次启动时,它会认为自己是根网桥,所以它会转换为监听状态。如果一个端口处于阻塞状态,并在一个最大老化时间(,20S,)内没有接收到新的,BPDU,,端口也会从阻塞状态转换为监听状态。,在监听状态,所有交换机选举根网桥,在非根网桥上选择根端口,并且在每一个网段中选择指定端口。经过一个转

42、发延迟(,15S,)后,端口进入学习状态。,如果一个端口在学习状态结束后(再经过一个转发延迟,15S,)还是一个根端口或者指定端口,这个端口就进入了转发状态,可以正常接收和发送用户数据,否则就转回阻塞状态。,最后,生成树经过一段时间(默认值是,50S,左右)稳定之后,所有端口或者进入转发状态,或者进入阻塞状态,,STP BPDU,仍然会定时(默认每隔,2S,)从各个交换机的指定端口发出,以维护链路的状态。如果网络拓扑发生变化,生成树就会重新计算,端口状态也会随之改变。,67,1.9,生成树配置,快速生成树(,802.1W,),当网络发生变更的时候,快速生成树(,RSTP,)能够明显地加快重新计

43、算机生成树的速度。除了根端口和指定端口外,快速生成树协议定义了,2,种新增加的端口角色:,替代,(,alternate,)和,备份,(,backup,),这两种新增的端口用于取代阻塞端口。,此外,,RSTP,只有,3,种端口状态:丢弃(,discarding,)、学习(,learning,)和转发(,forwarding,)。,STP,中的禁用、阻塞和监听状态,就对应了,RSTP,的丢弃状态。,68,1.9,生成树配置,传统生成树的问题,STP,和,RSTP,,在网络中进行生成树计算的时候都没有考虑到,VLAN,的情况,传统生成树的计算结果可能会导致,VLAN,之间通信的链路被阻断,69,1.

44、9,生成树配置,多生成树,MSTP,MST,(,Multiple Spanning Tree,,多生成树),多生成树(,MST,)是把,IEEE802.1w,的快速生成树(,RST,)算法扩展而得到的。,采用多生成树(,MST,),能够通过干道(,trunks,)建立多个生成树,关联,VLANs,到相关的生成树进程,每个生成树进程具备单独于其他进程的拓扑结构;,MST,提供了多个数据转发路径和负载均衡,提高了网络容错能力,因为一个进程(转发路径)的故障不会影响其他进程(转发路径)。,MSTP,设置,VLAN,映射表(即,VLAN,和生成树的对应关系表),把,VLAN,和生成树联系起来;通过增加

45、实例”(将多个,VLAN,整合到一个集合中)这个概念,将多个,VLAN,捆绑到一个实例中,以节省通信开销和资源占用率。,70,1.10,端口聚合,定义:,将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个拥有较大带宽的端口,形成一条干路,可以实现均衡负载,并提供冗余链路。,71,1.10,端口聚合,聚合端口,Aggregate Port,(,AP,):把多个物理接口捆绑在一起而形成的一个简单逻辑接口,标准为,IEEE 802.3ad,可扩展链路带宽,实现成员端口上的流量平衡,自动链路冗余备份,1000M,Aggregate Link,1000M,1000M,10/100M,1

46、0/100M,72,1.10,端口聚合,配置端口聚合的注意事项,AP,成员端口的端口速率必须一致,AP,成员端口必须属于同一个,VLAN,AP,成员端口使用的传输介质应相同,缺省情况下创建的,Aggregate Port,是二层,AP,二层端口只能加入二层,AP,,三层端口只能加入三层,AP,AP,不能设置端口安全功能,当把端口加入一个不存在的,AP,时,,AP,会被自动创建,一个端口加入,AP,,端口的属性将被,AP,的属性所取代,一个端口从,AP,中删除,则端口的属性将恢复为其加入,AP,前的属性,当一个端口加入,AP,后,不能在该端口上进行任何配置,直到该端口退出,AP,73,1.11,

47、交换机端口安全,技术原理,交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数,二是针对交换机端口进行,MAC,地址、,IP,地址的绑定。,限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意,ARP,欺骗。,交换机端口的地址绑定,可以针对,IP,地址、,MAC,地址、,IP+MAC,进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。,74,1.11,交换机端口安全,配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违

48、例,产生安全违例的处理方式有,3,种:,Protect,当安全地址个数满后,安全端口将丢弃未知名地址的包。,Restrict,当违例产生时,将发送一个,Trap,通知。,Shutdown,当违例产生时,将关闭端口并发送一个,Trap,通知。,75,1.11,交换机端口安全,交换机端口安全配置注意事项,交换机端口安全功能只能在,ACCESS,接口进行配置,交换机最大连接数限制取值范围是,1128,,默认是,128.,交换机最大连接数限制默认的处理方式是,protect,。,76,1.11,交换机端口安全,交换机端口安全配置与验证,1,、搭建拓扑结构,并进行基本,IP,地址配置,77,1.11,交

49、换机端口安全,2,、查看交换机的,MAC,地址表,Switchen,Switch#show mac-address-table,3,、验证网络的连通性,在,PC3,上使用,ping,命令连通,PC1,和,PC2,4,、再次查看交换机的,MAC,地址表,Switchen,Switch#show mac-address-table,78,1.11,交换机端口安全,5,、配置交换机端口安全功能,Switchen,Switch#conf t,Switch(config)#int f0/1,Switch(config-if)#shutdown,Switch(config-if)#switchport m

50、ode access,Switch(config-if)#switchport port-security,Switch(config-if)#switchport port-security maximum 1,Switch(config-if)#switchport port-security violation shutdown,Switch(config-if)#switchport port-security mac-address 00D0.BC49.D378,Switch(config-if)#no shut,79,1.11,交换机端口安全,6,、查看配置和验证,注意:如果交换机

展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4009-655-100  投诉/维权电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服