交换式网络及交换机基本配置PPT学习课件.ppt

1、Slide Title,*,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,思科网络技术学院理事会,.,Segue and Q&A,Subtitle,*,思科网络技术学院理事会,.,1.1,交换式,LAN,体系结构,1.2,将交换机与指定的,LAN,功能进行配对,内容索引,第一章 交换式网络及交换机配置,分层网络设计需要将网络分成互相分离的层。每层提供特定的功能，这些功能界定了该层在整个网络中扮演的角色。,1.1.1,分层网络模型,接入层,的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。,1.

2、1.1,分层网络模型,分布层,先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。,1.1.1,分层网络模型,分层设计的,核心层,是网际网络的高速主干。核心层也可连接到,Internet,资源。,1.1.1,分层网络模型,分层网络设计的优点,1.1.1,分层网络模型,网络直径,-,网络直径是指数据包到达目的地之前必须穿过的设备数量。,1.1.2,分层网络设计的原则,带宽聚合,-,通过将两台交换机之间的多条并行链路合并为一条逻辑链路来实现带宽聚合。,1.1.2,分层网络设计的原则,冗余链路,-,现代网络在分层网络的各层之间使用冗余链路来确保网络的可用性。,1.1.2,分层网络

3、设计的原则,流量分析,-,流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程,。,用户群分析,-,用户群分析是确定各类用户群体及其对网络性能的影响的过程。,数据存储和数据服务器分析,-,在考虑数据存储和服务器的流量时，应同时考虑客户端到服务器的流量和服务器到服务器的流量。,拓扑图,-,拓扑图是网络基础架构的图形表现形式。,1.2.1,分层网络交换机的考虑因素,分层网络中使用的交换机的主要特性,1.2.2,交换机的特性,分层网络中使用的交换机的主要特性,1.2.2,交换机的特性,以太网供电,(PoE),允许交换机通过现有的以太网电缆对设备供电。,1.2.2,交

4、换机的特性,分层网络中交换机能够提供的部分第,3,层功能,1.2.2,交换机的特性,接入层,交换机支持将终端节点设备连接到网络。,1.2.3,分层网络中交换机的功能,分布层,交换机在网络中扮演着非常重要的角色。它们收集所有接入层交换机发来的数据并将其转发到核心层交换机。,1.2.3,分层网络中交换机的功能,核心层,是网络的高速主干，需要能够转发非常庞大的流量。,1.2.3,分层网络中交换机的功能,识别在中小型企业中使用的,Cisco,交换机应用,1.2.4,适合中小型企业的交换机,总结,分层设计模型提高网络的性能、可扩展性、易于管理性和易于维护性。,通过为要合并到现有数据网络中的语音和视频数据

5、提供必要的性能支持，分层网络拓扑有力地推动了网络的融合。,可通过执行流量、用户群、数据存储和服务器的位置，以及拓扑图分析来帮助定位网络瓶颈。随后可以解决该瓶颈来提高网络性能和准确制定满足网络性能需求的合理硬件需求。,Cisco,交换机针对外形因素、性能、,PoE,和第,3,层支持功能进行了特别的设计，能够满足分层网络设计的各层需求。,目标,总结,IEEE802.3,标准中针对,100/1000 Mbps LAN,定义的以太网运作原理,说明使交换机在,LAN,中转发以太网帧的功能,配置一台交换机，使其在支持语音、视频和数据传输的网络中正常工作,配置交换机的基本安全性，该交换机将在支持语音、视频和

6、数据传输的网络中工作,交换机的基本概念和配置,内容索引,2.1 Ethernet/802.3 LAN,简介,2.2,使用交换机转发帧,2.3,交换机管理配置,2.4,配置交换机安全性,交换,LAN,网络中的通信以三种方式进行：,单播,、,广播,和,组播,：,2.1.1 Ethernet/802.3,网络的关键要素,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,2.1.1 Ethernet/802.3,网络的关键要素,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,2.1.1 Ethernet/802.3,网络的关键要素,2.1.

7、1 Ethernet/802.3,网络的关键要素,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,2.1.1 Ethernet/802.3,网络的关键要素,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,2.1.1 Ethernet/802.3,网络的关键要素,当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,2.1.1 Ethernet/802.3,网络的关键要素,2.1.1 Ethernet/802.3,网络的关键要素

8、当前以太网帧标准，即修订后的,IEEE 802.3(Ethernet),的结构,Ethernet MAC address,2.1.1 Ethernet/802.3,网络的关键要素,用于以太网通信的双工设置有两种：半双工和全双工,.,2.1.1 Ethernet/802.3,网络的关键要素,MAC,寻址和交换机,MAC,地址表,2.1.1 Ethernet/802.3,网络的关键要素,带宽和吞吐量,-,共享以太网络的节点数量将影响网络的吞吐量或效率。,冲突域,冲突域是指发出的帧可能产生冲突的网络区域。,所有共享介质环境（例如使用集线器创建的介质环境）都是冲突域。,-,交换机为每个网段提供专用带

9、宽，因此,减少了网段上的冲突,，并,提高了网段上的带宽使用率,。,2.1.2 Ethernet/802.3,网络的设计考虑因素,广播域,-交换机收到,广播帧,时,，它将该帧转发到自己的每一个端口。（接收该广播帧的传入端口除外）。,2.1.2 Ethernet/802.3,网络的设计考虑因素,网络延时,-,延时,是一个帧或一个数据包从源工作站到达最终目的地所用的时间。延时有至少三个来源。,2.1.2 Ethernet/802.3,网络的设计考虑因素,网络拥塞,-,以下是,网络拥塞,最常见的原因：,计算机和网络技术的功能日益强大。,网络流量日益增加。,高带宽应用程序。,2.1.2 Ethernet

10、/802.3,网络的设计考虑因素,将,LAN,分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。,使用,路由器,和,交换机,可以将,LAN,分割成很多更小的冲突域和广播域。,交换机通常用于将大型,LAN,分割成很多更小的网段。虽然,LAN,交换机,缩小了冲突域,的规模，但是连接到交换机的所有主机仍都处于,同一个广播域,中。,用路由器创建更多,、更小的广播域将,减少广播流量,，并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络，广播流量的范围仅限于发出该广播的,LAN网段内。,2.1.2 Ethernet/802.3,网络的设计考虑因素,每个,路由器,缩小了,L

11、AN,上,广播域,的规模,2.1.2 Ethernet/802.3,网络的设计考虑因素,每个,交换机,将,LAN,上的,冲突域,规模缩小为单条链路。,2.1.2 Ethernet/802.3,网络的设计考虑因素,控制网络延时,在设计网络以减少延时时，需要考虑网络上,每一台设备所引起的延时,。,使用更高层的设备也可能增加网络延时。,当第,3,层设备（例如路由器）需要检查帧中包含的第,3,层寻址信息时，它必须比第,2,层设备更深入地读取帧，这将造成处理时间更长。,.,适当使用,第,3,层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。,.,2.1.3 LAN,设计考虑因素,

12、消除瓶颈,网络中的瓶颈是高网络拥塞导致性能下降的位置。,2.1.3 LAN,设计考虑因素,交换机使用下面的两种转发方法之一,来进行网络端口间的数据交换：存储转发交换或直通交换。,.,2.2.1,交换机转发方法,存储转发交换,2.2.1,交换机转发方法,2.2.1,交换机转发方法,存储转发交换,存储转发交换,2.2.1,交换机转发方法,2.2.1,交换机转发方法,存储转发交换,2.2.1,交换机转发方法,存储转发交换,2.2.1,交换机转发方法,存储转发交换,2.2.1,交换机转发方法,直通交换,2.2.1,交换机转发方法,直通交换,直通交换,2.2.1,交换机转发方法,根据带宽分配给交换机端口

13、的方式，LAN交换机可分为对称或非对称两类。,2.2.2,对称交换和非对称交换,以太网交换机在转发帧之前，可以使用缓冲技术存储帧。,当目的端口由于拥塞而繁忙时，也可以使用缓冲，交换机将一直存储帧，直到可以传送该帧。,将内存用于存储数据的功能称为内存缓冲,2.2.3,内存缓冲,2.2.4,第,2,层交换和第,3,层交换,第,2,层,LAN,交换机只根据,OSI,数据链路层（第,2,层）,MAC,地址,执行交换和过滤。第,2,层交换机对网络协议和用户应用程序完全透明。,第,3,层交换机不仅使用第,2,层,MAC,地址信息来作出转发决策，而且还可以使用,IP,地址,信息。,第,3,层交换机还能够执行

14、第,3,层路由功能,，从而省去了,LAN,上对专用路由器的需要。,第,3,层交换机,第,3,层交换机通过检查以太网数据包中的第,3,层信息来作出转发决策。,第,3,层交换机可以像专用路由器一样在不同的,LAN,网段之间路由数据包。,路由器,建立与远程网络和设备的远程访问连接。,专用路由器在支持WAN接口卡(WIC)方面更加灵活,，这使得它成为用于,连接,WAN,的首选设备,，而且有时是唯一的选择。,2.2.4,第,2,层交换和第,3,层交换,2.2.4,第,2,层交换和第,3,层交换,第,3,层交换机不能完全取代网络中的路由器。路由器不仅可以执行第,3,层交换机无法完成的其它第,3,层服务，

15、还能够执行第,3,层交换机所无法实现的一些数据包转发任务，例如建立与远程网络和设备的远程访问连接。,2.3.1,切换命令行界面模式,作为一项安全功能，,Cisco IOS,软件将,EXEC,（执行）会话分成以下访问级别,用户执行,：只允许用户访问有限量的基本监视命令。用户执行模式是在从,CLI,登录到,Cisco,交换机后所进入的默认模式。用户执行模式由,提示符标识。,特权执行,：允许用户访问所有设备命令，如用于配置和管理的命令，特权执行模式可采用口令加以保护，使得只有获得授权的用户才能访问设备。特权执行模式由,#,提示符标识。,2.3,交换机基本配置,2.3.1,切换命令行界面模式,Cisc

16、o IOS软件的命令模式结构采用,分层的命令结构,。每一种命令模式支持与设备中某一类型的操作关联的特定 Cisco IOS命令。,2.3.2,使用帮助,Cisco IOS CLI,提供了两种类型的帮助：,-,词语帮助,-,命令语法帮助,2.3.2,使用帮助,控制台错误消息,-,当输入了不正确的命令时，控制台错误消息有助于确定问题。,Cisco CLI,提供已输入命令的历史记录。对于命令历史记录功能，可以完成以下任务：,-,显示命令缓冲区的内容。,-,设置命令历史记录缓冲区大小。,.,-,重新调用存储在历史记录缓冲区中的先前输入的命令。每一种配置模式都有相应的缓冲区。,2.3.3,访问命令历史记

17、录,2.3.4,交换机启动顺序,启动加载器是存储在,NVRAM,中的小程序，并且在交换机第一次开启时运行。,Catalyst,交换机的初始启动需要完成以下步骤：,-,步骤,1,：,PC,或终端已连接到控制台端口。,2.3.5,准备配置交换机,2.3.5,准备配置交换机,Catalyst,交换机的初始启动需要完成以下步骤：,-,步骤,2,：终端仿真器应用程序（如,HyperTerminal,）,正在运行且配置正确,。,2.3.5,准备配置交换机,Catalyst,交换机的初始启动需要完成以下步骤：,-,步骤,3,：在控制台上查看启动过程,2.3.6,基本交换机配置,管理接口注意事项,-,要使用,

18、TCP/IP,来远程管理交换机，就需要为交换机分配,IP,地址。,2.3.6,基本交换机配置,配置管理接口,-,要在交换机的管理,VLAN,上配置,IP,地址和子网掩码，您必须处在,VLAN,接口配置模式下。,2.3.6,基本交换机配置,配置默认网关,-,需要将交换机配置为可将,IP,数据包转发到远程网络。,2.3.6,基本交换机配置,验证配置,-,显示了,VLAN 99,已经配置了,IP,地址和子网掩码，并且快速以太网端口,F0/18,已经分配了,VLAN 99,管理接口。,2.3.6,基本交换机配置,配置双工和速度,-,使用,duplex,接口配置命令来指定交换机端口的双工操作模式。可以手

19、动设置交换机端口的双工模式和速度，以避免厂商间的自动协商问题。,2.3.6,基本交换机配置,配置Web接口,-,现代,Cisco,交换机有很多基于,Web,的配置工具，这些工具需要交换机配置为,HTTP,服务器。,2.3.6,基本交换机配置,管理MAC地址表,-,交换机使用,MAC,地址表来确定如何在端口间转发流量。这些,MAC,表包含动态地址和静态地址。,2.3.7,验证交换机配置,使用,Show,命令,-,交换机使用,MAC,地址表来确定如何在端口间转发流量。这些,MAC,表包含动态地址和静态地址。,使用,Show,命令,-,当需要验证,Cisco,交换机的配置时，,show,命令非常有用

20、2.3.7,验证交换机配置,使用,Show,命令,-,show running-config,命令显示交换机上当前正在运行的配置。使用此命令可验证是否正确配置了交换机。,2.3.7,验证交换机配置,使用,Show,命令,-,show interfaces,命令,显示交换机网络接口的状态信息和统计信息。在配置和监视网络设备时，经常会用到 show interfaces 命令。,2.3.7,验证交换机配置,备份配置,-,图中显示了三个将配置备份到闪存的示例。,2.3.8,基本交换机管理,恢复配置,用已存配置覆盖当前配置。,当配置恢复到,startup-config,中后，可在特权执行模式下使用

21、reload,命令重新启动交换机，以使其重新加载新的启动配置。,2.3.8,基本交换机管理,将配置文件备份到,TFTP,服务器,可以使用,TFTP,通过网络备份配置文件。,当配置成功存储在 TFTP 服务器上之后，可以使用以下步骤将配置复制回交换机上：,#,copy tftp,:/,location/directory/filename,system:running-config,2.3.8,基本交换机管理,清除配置信息,要清除启动配置的内容，请使用,erase nvram:,或,erase startup-config,特权执行命令。,要从闪存中删除文件，请使用,delete flash:

22、filename,特权执行命令。,2.3.8,基本交换机管理,2.4.1,配置口令选项,保护控制台,-,要防止,控制台端口,console,受到未经授权的访问,2.4,交换机安全管理和配置,2.4.1,配置口令选项,保护,vty,端口,-,Cisco 交换机的 vty 端口用于远程访问设备。,2.4.1,配置口令选项,配置执行模式口令,-,enable password,命令存在的一个问题是，它将口令以,可阅读文本的形式,存储在 startup-config 和 running-config 中。,-,在全局配置模式提示符下输入,enable secret,命令以及所要的口令，这样即可指定加密

23、形式的,enable,口令。如果配置了,enable secret,口令，则交换机将使用,enable secret,口令，而不使用,enable password,口令。,2.4.1,配置口令选项,配置加密口令,-,人们普遍认同口令应该加密，并且不能以明文格式存储。,-,当从全局配置模式下输入,service password-encryption,命令后，,所有系统口令,都将以加密形式存储。,2.4.1,配置口令选项,enable,口令恢复,-,万一遗失或遗忘了访问口令，,Cisco,提供了,口令恢复机制,以便于管理员仍能访问其,Cisco,设备。口令恢复过程需要实际接触设备。,并不能实际

24、恢复 Cisco 设备上的口令，尤其是在已启用口令加密的情况下，但是可以将口令重设为,新值,。,系统在初始化闪存文件系统之前已中断。以下命令将初始化闪存文件系统，并完成操作系统软件的加载：,flash_init,load_helper,boot,2.4.2,登录标语,配置登录标语,Cisco IOS,命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息,(MOTD),标语。,所有连接的终端在登录时都会显示,MOTD,标语。在需要向所有网络用户发送消息时（例如系统即将停机），,MOTD,标语尤其有用。,2.4.3,配置,Telnet,和,SSH,远程访问,

25、Cisco,交换机上的,vty,有两种选择。,2.4.4,常见安全攻击,MAC,地址泛洪,-,主机,A,向主机,B,发送流量。交换机收到帧，并在其,MAC,地址表中查找目的,MAC,地址。如果交换机在,MAC,地址表中无法找到目的,MAC,，则交换机将复制帧并将其从每一个交换机端口广播出去。,2.4.4,常见安全攻击,MAC,地址泛洪,主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。,主机,C,也收到从主机,A,发到主机,B,的帧，但是因为该帧的目的,MAC,地址为主机,B,，因此主机,C,丢弃该帧。,2.4.4,常

26、见安全攻击,MAC,地址泛洪,由主机,A,（或任何其它主机）发送给主机,B,的任何帧都转发到交换机的端口,2,，而不是从每一个端口广播出去。,2.4.4,常见安全攻击,MAC,地址泛洪,攻击者使用交换机的正常操作特性来阻止交换机正常工作。,2.4.4,常见安全攻击,MAC,地址泛洪,只要网络攻击工具一直运行，交换机的,MAC,地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机,A,发送到主机,B,的帧也会从交换机上的端口,3,向外广播。,2.4.4,常见安全攻击,欺骗攻击,攻击者窃取网络流量的一种办法是伪装有效,DHCP,服务器发出的响应。

27、2.4.4,常见安全攻击,欺骗攻击,要防止,DHCP,攻击，请使用,Cisco Catalyst,交换机上的,DHCP,侦听和端口安全性功能,。,2.4.4,常见安全攻击,CDP 攻击,默认情况下,，大多数,Cisco 路由器和交换机都启用了CDP。,建议如果设备不需要使用,CDP,，则在设备上禁用,CDP,。,2.4.4,常见安全攻击,telnet,攻击,的,类型：,暴力密码攻击,Dos,攻击,抵御暴力密码攻击：,-,经常更改密码,-,使用强密码,-,限制可通过,vty,线路进行通信的人员,抵御暴力密码攻击：,更新为最新版本的,Cisco IOS,软件,网络安全工具执行以下功能：,-,网络

28、安全审计帮助您,揭示攻击者只需监视网络流量就能收集到哪种信息,确定要去除的虚假,MAC,地址的理想数量,确定,MAC,地址表的老化周期,-,网络渗透测试帮助您：,找出网络设备配置中的弱点,发起多种攻击以测试网络,小心：应仔细计划渗透测试，以避免影响网络性能,2.4.5,安全工具,现代网络安全工具的常见功能包括：,-,服务识别,支持,SSL,服务,非破坏性测试和破坏性测试,漏洞数据库,2.4.5,安全工具,2.4.5,安全工具,使用网络安全工具可以：,-,捕获聊天消息,-,从,NFS,流量中捕获文件,捕获通用日志格式的,HTTP,请求,捕获,Berkeley mbox,格式的邮件消息,捕获密码,

29、显示在,Netscape,中实时捕获的,URL,用随机,MAC,地址泛洪攻击交换,LAN,仿造对,DNS,地址查询和指针查询的响应,截获交换,LAN,上的数据包,2.4.6,配置端口安全性,在所有交换机端口上实施安全措施，以：,-,在端口上指定一组允许的有效,MAC,地址,-,只允许一个,MAC,地址访问端口,-,指定端口在检测到未经授权的,MAC,地址时自动关闭,2.4.6,配置端口安全性,安全,MAC,地址有以下类型：,-,静态安全,MAC,地址,-,动态安全,MAC,地址,-,粘滞安全,MAC,地址,2.4.6,配置端口安全性,粘滞安全,MAC,地址有以下特性：,-,动态学习，转换为存储

30、在运行配置中的粘滞安全,MAC,地址。,-,禁用粘滞学习将从运行配置中移除,MAC,地址，但是不会从,MAC,表中移除。,-,当交换机重新启动时，粘滞安全,MAC,地址将会丢失。,-,将粘滞安全,MAC,地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。,-,禁用粘滞学习将把粘滞,MAC,地址转换为动态安全地址，并将这些地址从运行配置中移除。,2.4.6,配置端口安全性,端口安全默认配置,2.4.6,配置端口安全性,在,Cisco Catalyst,交换机上配置端口安全性,2.4.6,配置端口安全性,在,Cisco Catalyst,交换机上启用粘滞端口安全性,2.4.6,配置端口安

31、全性,验证端口安全性,2.4.6,配置端口安全性,2.4.4,常见安全攻击,禁用未使用的端口,一种简单方法是禁用网络交换机上所有未使用的端口,，这样做可保护网络，使其免受未经授权的访问。,总结,802.3 Ethernet,标准使用单播流量、广播流量和组播流量进行通信。双工设置和,LAN,分段可改善性能。冲突域、广播域、网络延时和,LAN,分段是,LAN,设计的关键考虑因素。,交换机转发方法将影响,LAN,性能和延时。网络流量内存缓冲允许交换机存储帧，这样交换机就可以提供转发、对称交换、非对称交换和多层交换功能。,使用,Cisco IOS CLI,可以快速配置重复的交换机功能。,初始交换机配置

32、包括提供基本,IP,连接、主机名和标语。应使用,Cisco IOS show running-config,命令验证配置，并总是备份交换机配置。,使用,Cisco IOS CLI,，通过口令保护控制台访问和虚拟终端访问。,总结,实施口令以限制对特权执行模式的访问,，并配置系统范围的口令加密。,使用,SSH,对,Cisco,交换机进行远程终端配置。,启用端口安全性来缓解风险，定期对网络交换机执行安全性分析。,VLAN,LAN,交换和无线,第,3,章,目标,说明,VLAN,在网络中的作用,说明中继,VLAN,在汇聚网络中的作用,在网络拓扑的交换机上配置,VLAN,排除与网络交换机的,VLAN,相关

33、的常见软件或者硬件配置故障,目录,3.1 VLAN,简介,3.2 VLAN,中继,3.3,配置,VLAN,和中继,3.4 VLAN,和中继的故障排除,3.5,章节实验,3.6,本章总结,3.1 VLAN,简介,3.1.1 VLAN,简介,构建,VLAN,之前,VLAN,概述,-,虚拟局域网,(VLAN),-,让网络管理员建立多组逻辑上联网的设备,3.1.1 VLAN,简介,VLAN,优点,-,安全,-,成本降低,-,性能提高,-,广播风暴防范,-,提高,IT,员工的效率,-,简化项目管理或应用管理,3.1.1 VLAN,简介,VLAN,特性,3.1.2 VLAN,的类型,常见的 VLAN 术语

34、数据,VLAN,默认,VLAN,3.1.2 VLAN,的类型,常见的 VLAN 术语,管理,VLAN,本征,VLAN,3.1.2 VLAN,的类型,语音,VLAN,因此,VoIP,流量要求：,足够的带宽来保证语音质量,高于其它网络流量类型的传输优先级,能够在融合网络中得到路由,在网络上的延时小于,150,毫秒,(ms),3.1.2 VLAN,的类型,语音,VLAN,-,Cisco,电话是一种交换机,Cisco IP,电话集成了一台三端口的,10/100,交换机，如图所示。从这些端口可连接到如下设备：,端口,1,连接到交换机或其它,IP,语音,(VoIP),设备。,端口,2,是内部,10/10

35、0,接口，用于传送,IP,电话流量。,端口,3,（接入端口）连接到,PC,或其它设备。,3.1.2,VLAN,的类型,VLAN,的类型,-,简单配置,3.1.2 VLAN,的类型,一个,VLAN,具备一个,LAN,的所有特征,，因此,VLAN,必须像,LAN,一样处理网络流量,网络传输类型,-,网络管理和传输控制,.,3.1.2 VLAN,的类型,网络流量类型,-,IP,电话,3.1.2 VLAN,的类型,网络流量类型,IP 组播,3.1.2 VLAN,的类型,网络流量类型,-,普通数据,3.1.3,交换机端口成员资格模式,VLAN,交换机端口模式,-,静态,VLAN,交换机上的端口以手动方式

36、分配给,VLAN,-,动态,VLAN-,使用,VMPS,可以根据连接到交换机端口的设备的源,MAC,地址，动态地将端口分配给,VLAN,-,语音,VLAN,将端口配置到语音模式可以使端口支持连接到该端口的,IP,电话,3.1.3,交换机端口成员资格模式,交换机端口模式配置,3.1.3,交换机端口成员资格模式,语音模式配置,3.1.4,通过,VLAN,控制广播域,没有,VLAN,时的网络广播,3.1.4,通过,VLAN,控制广播域,划分了,VLAN,的网络广播,为交换机配置,VLAN,后，特定,VLAN,中的主机所发出的单播流量、组播流量和广播流量，其传输均仅限于该,VLAN,中的设备,.,细分

37、广播域可以通过,VLAN,（在交换机上）也可以通过路由器完成。无论是否使用,VLAN,，位于不同第,3,层网络的设备都必须通过路由器才能通信,VLAN,内通信,:,3.1.4,通过,VLAN,控制广播域,通过交换机和路由器控制广播域,VLAN,间通信,3.1.4,通过,VLAN,控制广播域,通过,VLAN,和第,3,层转发来控制广播域,-换机虚拟接口(SVI)技术允许第 3 层交换机在 VLAN 之间路由数据传输,3.2 VLAN,中继,3.2.1 VLAN,中继,VLAN,中继？,VLAN,中继的定义,-,中继是两台网络设备之间的点对点链路，负责传输多个,VLAN,的流量,-VLAN,中继可

38、让,VLAN,扩展到整个网络上,-Cisco,支持使用,IEEE 802.1Q,来协调快速以太网接口和千兆以太网接口,-VLAN,中继不属于具体某个,VLAN,3.2.1 VLAN,中继,中继能解决什么问题？,不使用,VLAN,中继,使用,VLAN,中继,3.2.1 VLAN,中继,802.1Q,帧标记,-,交换机根据以太网帧头信息来转发数据包,-802.1Q,封装帧头,VLAN,标记字段详细信息,-,VLAN,标记字段包含一个,EtherType,（以太类型）字段、一个标记控制信息字段和,FCS,字段,3.2.1 VLAN,中继,本征 VLAN 和 802.1Q 中继,3.2.1 VLAN,

39、中继,本征,VLAN,配置举例,本征,VLAN,检验,3.2.2 VLAN,中继工作方式,中继,工作例子,PC1,发送广播给,VLAN10,的主机,PC3,发送广播给,VLAN30,的主机,S2,是配置了,Trunk,的交换机，给每个数据帧打标,S1,和,S2,之间的,Trunk,上传输打标的数据帧,并且发送到相应的,VLAN10,和,VLAN30,的端口,S1,和,S3,之间的,Trunk,上传输打标的数据帧,S3,把非打标数据帧发送到正确端口上,3.2.2,中继模式,IEEE and ISL,-IEEE 802.1Q,中继端口同时支持有标记流量和无标记流量,.,-,在,ISL,中继端口上，

40、所有收到的数据包都应该封装有,ISL,帧头，并且所有发送的数据包也都有,ISL,帧头。从,ISL,中继端口收到的本征帧（无标记帧）会被丢弃。,ISL,是不再建议使用的一种中继端口模式，许多,Cisco,交换机也不再支持该模式,3.2.2,中继模式,DTP,-,DTP,（动态中继协议）是,Cisco,的专有协议。,当交换机端口上配置了某些中继模式后，此端口上会自动启用,DTP,。,中继模式,-,开启（默认）,.,-,动态自动,-,动态期望,.,-,关闭 DTP,3.3,配置,VLANs,和中继,3.3.1,配置,VLANs,和中继概述,3.3.2,配置,VLAN,添加,VLAN,-,命令,3.3

41、2,配置,VLAN,添加,VLAN,-,举例,注：您不仅可以输入单个的 VLAN ID，还可以使用 vlan vlan-id 命令，输入以逗号分隔的一系列 VLAN ID 或以连字符分割的 VLAN ID 范围，例如：switch(config)#vlan 100,102,105-107。,3.3.2,配置,VLAN,添加,VLAN,3.3.2,配置,VLAN,分配交换机端口,-,当手动将交换机端口分配给,VLAN,时，这种端口称为静态接入端口。静态接入端口一次只能分配给一个,VLAN,-,命令语句：,3.3.2,配置,VLAN,分配交换机端口,-,举例：,3.3.2,配置,VLAN,分配交

42、换机端口,-,验证配置：,3.3.3,管理,VLAN,检验,VLAN,和端口成员资格,-,配置,VLAN,后，可以使用,Cisco IOS show,命令检验,VLAN,配,.,-,命令语句如下：,3.3.3,管理,VLAN,检验,VLAN,和端口成员资格,-,用,show,命令看到的：,3.3.3,管理,VLAN,检验,VLAN,和端口成员资格,-,管理,VLAN,常用的命令,3.3.3,管理,VLAN,管理,VLAN,-,使用命令：,no vlan vlan-id,delete flash:vlan.dat,-,验证命令：,show vlan brief,注：删除 VLAN 之前，务必先将

43、所有的成员端口重新分配给其它 VLAN。在删除 VLAN 后，任何未转移到活动 VLAN 的端口都将无法与其它站点通信。,3.3.4,配置中继,配置,802.1Q,中继,-,命令语句：,-,举例：,3.3.4,配置中继,管理中继配置,-,命令语句：,-reset,及,remove,Reset example,Remove example,3.4 VLAN,和中继的故障排除,3.4.1,中继的常见问题,中继的常见问题,-,当您在交换式的基础架构上配置,VLAN,和中继时，这些类型的配置错误通常以下列顺序出现：,3.4.1,中继的常见问题,本征,VLAN,不匹配,-,案例拓扑如下：,配置后出现的提

44、示：,解决后,3.4.1,中继的常见问题,中继模式不匹配,-,案例拓扑如下：,使用,show interfaces trunk,检查,S1,，,S3,输出,重新配置,S1,，,S3,的,Trunk,模式,F0/3,F0/3,3.4.1,中继的常见问题,不正确的,VLAN,列表,-,案例拓扑：,使用：,switchport access trunk allowed vlan addvlan-id,命令配置后，使用,show interfaces trunk,检查：,在,s1,上使用：,switchport trunk allowed vlan 10,20,99,总结,VLAN,Allows an administrator to logically group devices that act as their own network,VLAN,用于在交换式,LAN,中细分广播域,VLAN,的作用包括：,减少开销、增加安全、提高性能、易于管理,总结,在,VLAN,上传输的数据类型包括：,数据,语音,网络协议,网络管理,不同,VLAN,之间传输数据需要使用：路由器或者第,3,层设备,总结,中继,在不同,VLAN,之间通信的公共通道,IEEE 802.1Q,公开的中继协议,适用侦标记的方法来识别每个侦的,不为本征,VLAN,传输打标,