交换机基本配置与VLAN简介.ppt

,计算机网络技术,学习情境二：构建中型网络,项目四：部门间网络的安全隔离,相关知识,交换机基本配置与管理,硬件系统,CPU 交换机背板的ASIC芯片 RAM、ROM FLASH 非易失性RAM ，NVRAM 端口（Ethernet、Fast Ethernet 、GIgabie Ethernet、 console ）,交换机的组成 硬件和软件组成,交换机基本配置与管理,CPU,提供控制和管理交换机功能，控 制和管理交换机所有网络通信的 运行,交换机基本配置与管理,交换机背板 的ASIC芯片,是交换机内部的硬件集成电路， 用于交换机所有端口之间直接并 行转发数据，以提高交换机高速 转发数据性能。,交换机基本配置与管理,非易失性RAM NVRAM,非易失性RAM存储交换机的初始化或 启动配置文件（startup-config）， 系统启动时将从其中读取该配置文 件。另外，NVRAM还包含软件配置登 记码（Cisco IOS软件中的一种可 配置设置，决定引导交换机时使用 哪个映像）。 NVRAM的内容在断电 或重启时可以保持。,交换机基本配置与管理,RAM,随机存储器，存储运行配置 （Running Config） 主要用辅助CPU工作，对CPU处 理的数据进行暂时存储。,交换机基本配置与管理,ROM,存储开机诊断程序POST、引导程序 和操作系统软件IOS。,交换机基本配置与管理,FLASH,用来保存交换机的操作系统程序 以及交换机系统的配置文件信息 等，它可读、可写、可存储，读 写速度快。,配置交换机可以通过其配置口进行，也可通过其Ethernet口进行。 带外管理 通过带外对交换机进行管理(PC 与交换机直接相连) 带内管理 通过Telnet 对交换机进行远程管理 通过Web 对交换机进行远程管理 通过SNMP 工作站对交换机进行远程管理,交换机管理方式,交换机基本配置与管理,配置 模式,通过Console口对交换机进行配置和管理,通过Telnet 对交换机进行远程管理,通过Web对交换机进行远程管理,通过Ethernet上的SNMP网管工作站对交换机进行管理,在主机DOS命令行下输入： telnet ip address（交换机管理IP）,TELNET管理交换机,输入telnet密码和特权密码即可进入到交换机的配置界面,TELNET管理交换机,在web页面中输入交换机的管理IP可以进入交换机的web管理页面,基于WEB的管理,在web页面下对交换机进行管理,基于WEB的管理,基于SNMP协议的管理,交换机基本配置与管理,交换机的配置模式, Cisco IOS内置的命令行解释器，通过一系列的配置命令实现对交换机的全部管理功能。 命令行解释器有多种命令模式，用于管理的安全性和实现不同的管理功能。,可网管交换机工作模式,用户模式,特权模式,配置模式,交换机基本配置与管理,交换机基本配置与管理,当PC计算机和交换机建立连接，配置好仿真终端时，首先处于用户模式（User EXEC模式）。 在用户模式下，可以使用少量用户模式命令，命令的功能也受到一定限制。用户模式命令的操作结果不会被保存。 用户模式状态：Switch,用户模式,交换机基本配置与管理,要想在可网管交换机上使用更多的命令， 必须进入特权模式（Privileged EXEC模式）。 通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。 特权模式状态：Switch,特权模式,交换机基本配置与管理,通过configure terminal命令，可以由特权模式进入配置模式。在配置模式下，可以使用更多的命令来修改交换机的系统参数。 使用配置模式（全局配置模式，接口配置模式、VLAN配置模式、线程工作模式）的命令会对当前的配置产生影响。如果用户保存了配置信息，这些命令将被保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。从全局配置模式出发，可以进入接口配置模式等各种配置子模式。,配置模式,交换机基本配置与管理,Exit 或Ctrl-Z,Exit 或Ctrl-Z,Configure terminal,各种特定配置模式,switch,switch#,switch（config）#,用户EXEC模式,特权EXEC模式,全局配置模式,Enable,1、在任何模式下可通过“？”获得帮助信息 2、命令的简写。如：configure terminal 可简写为conf t 3、命令的自动补齐 。按 Tab键，如configurek 可在输入conf 后按 Tab键 4、快捷键的功能。如在任意命令模式下都可按ctrl +c 退回到特权模式, ctrl +A,可移动光标到第一个字符等。 5、字母+？，可显示当前模式下所有以该字母开头的命令。如c？ 备注：使用命令简写和自动补齐时，要求简写的字母必须能够唯一区别该命令。如想得到configure，若只输入co，就无法得出。因 copy 也是co 开头，命令行解释器不知如何解释。,命令行解释器中交换机支持：,1、性能指标 MPPS：是Million Packet Per Second，即每秒可转发多少个百万数据包。 背板带宽：直接影响交换机包转发和数据流处理能力，是交换机处理器和数据总线之间所能吞吐的最大数据量。 24X100MX24.8G S2126G 12.8G,扩展知识：交换机的性能指标,2、功能指标 支持组播 支持服务质量QOS 支持端口聚合功能 支持802.1Q协议或ISL协议,扩展知识：交换机的性能指标,可以跨网段将数据发给网络中一组节点，在视频点播、视频会议、多媒体通信中应用较多。,Qos机制能够识别通过数据包的特征，并根据这些特征采取不同的传输策略，对于多媒体传输意义重大，利用Qos可以给不同的应用程序分配不同的带宽。,端口聚合是指将若干个端口聚合绑定在一起，形成一个逻辑端口，提高了链路带宽。,是TRUNK链路打包封装协议，以实现跨交换机的VLAN。,支持流量控制 易于扩展 管理功能 网络标准 MAC地址容量,扩展知识：交换机的性能指标,能够控制交换机的数据流量，标准HDX/FDX。,通过管理功能可以使用管理软件来管理和配置交换机。,IEEE802.3、IEEE802.3u、IEEE802.1q、IEEE802.1d等,支持的MAC地址数越多，数据转发的越快。,项目实施,任务1：交换机的基本配置与管理,工作任务,某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入，公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行配置和管理。,任务1：交换机的基本配置与管理,任务1：交换机的基本配置与管理,任务目标,能够通过控制台端口对交换机进行初始配置； 能够配置交换机的各种口令； 能够对交换机进行基本配置； 能够利用show 命令查看交换机的各种状态。,任务1：交换机的基本配置与管理,Cisco2900交换机（1台）； PC计算机1台； 双绞线（若干根）； 反转电缆一根。,设备清单,网络拓扑,任务1：交换机的基本配置与管理,任务1：交换机的基本配置与管理,实施过程,步骤1：交换机启动; 步骤2：用户模式、特权模式、全局配置模式的转换; 步骤3：使用交换机的CLI; 步骤4：配置交换机的主机名;,实施过程,步骤5: 配置交换机的口令; 步骤6：查看交换机信息; 步骤7：配置2层交换机端口; 步骤8：通过Telnet连接交换机； 步骤9：测试。,任务1：交换机的基本配置与管理,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,交换网络中的问题,单交换机上划分VLAN,A3,交换式 集线器,交换机,A4,B1,交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,C2,B2,三个虚拟局域网 VLAN1, VLAN2 和 VLAN3 的构成,当 B1 向 VLAN2 工作组内成员发送数据时， 工作站 B2 和 B3 将会收到广播的信息。,交换机,A3,第二层交换式网络使用网桥或未划分VLAN的交换机做集中设备的 网络，称为第二层交换式网络。 第二层交换式网络存在如下缺点： a、全网属于一个广播域，每一次广播的数据帧无论是否需要，都会到达网络中的所有设备，这就必然会造成带宽资源的极大浪费。 b、全网属于一个广播域，极易引起广播碰撞和广播风暴等问题。 c、网络的安全性不够高。在这种网络结构中，所有用户都可以监听到服务器以及其他设备端口发出的数据包，因此是极不安全的。,第二层交换式网络的缺点与划分VLAN的好处,VLAN，是英文Virtual Local Area Network的缩写，中文名为“虚拟局域网”。,VLAN技术,虚拟局域网,VLAN技术,虚拟局域网,VLAN允许一组不限物理位置的用户群共享一个独立的广播域，可在一个物理网络中划分多个VLAN，即可使得不同的用户群属于不同的广播域 。,单交换机上划分VLAN,A3,交换式 集线器,交换式 集线器,A4,B1,交换式 集线器,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,C2,B2,交换式 集线器,三个虚拟局域网 VLAN1, VLAN2 和 VLAN3 的构成,当 B1 向 VLAN2 工作组内成员发送数据时， 工作站 B2 和 B3 将会收到广播的信息。,B1 发送数据时，工作站 A1, A2 和 C1 都不会收到 B1 发出的广播信息。,虚拟局域网限制了接收广播信息的工作站数，使得网络 不会因传播过多广播信息(即“广播风暴”)而引起性能恶化。,交换式 集线器,A3,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,VLAN 概述（Virtual Local Area Network） VLAN是划分出来的逻辑网络，是第二层网络。 VLAN端口不受物理位置的限制。 VLAN 隔离广播域。,VLAN技术,VLAN的特点 VLAN 的划分不受网络端口的实际物理位置的限制。 VLAN 有着和普通物理网络同样的属性，除了没有物理位置的限制，它和普通局域网一样。,VLAN的特点,a. 广播控制（Broadcast Control） 通过将一个网络划分成多个VLAN（即多个广播域），可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。,VLAN的好处,b. 灵活性（Flexibility） VLAN技术能够在逻辑上将不同地理位置的计算机划分在同一个广播域内。而无VLAN技术时，在更改一台主机的所属组时，必须将此主机直接接到该组所在的交换机上。这样，VLAN可以非常灵活地添加或删除域内主机而不受主机物理位置的限制。 c. 安全性（Security） 不同VLAN之间是不能够直接相互访问的。因此，按职责权限把用户(主机)划归在不同的VLAN里，就可使得各自的内部信息得到保护，从而增强了安全性。,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,单交换机上划分VLAN,VLAN的优点,有利于优化网络性能,提高了网络的安全性,便于对网络进行管理和控制,提供了基于第二层的通信优先级服务,单交换机上划分VLAN,组网方法,静态VLAN,动态VLAN,基于MAC地址的VLAN,基于路由的VLAN,用IP广播组定义虚拟局域网,VLAN的组网方式,单交换机上划分VLAN,静态VLAN配置,在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。 大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。,单交换机上划分VLAN,静态VLAN配置,在全局配置模式下使用VLAN命令: Switch（config）#vlan vlan-id,其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。 Switch（config-vlan）#name vlan-name,单交换机上划分VLAN,定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。 为了添加一个VLAN到VLAN数据库，需要给VLAN分配给一个ID号和名字。VLAN1（包括VLAN1002、VLAN1003、VLAN1004和VLAN1005）是一些厂家默认VLAN ID号。,单交换机上划分VLAN,默认配置中，交换机处在VTP服务器模式，所以可以添加、更改或删除VLAN。如果交换机设置为VTP客户模式，就不能添加、更改或删除VLAN。 为了添加一个以太网VLAN，必须至少指定一个VLAN ID。如果不为VLAN输入一个名字，默认配置会在“VLAN”这个字母后自动添加VLAN的号码。例如，如果不加以命名，VLAN0004将使用VLAN 4的默认名字。,单交换机上划分VLAN,在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态接入端口。 在接口配置模式下，分配VLAN端口命令为： Switch（config-if）#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。,单交换机上划分VLAN,单交换机上划分VLAN,检验VLAN配置,在特权模式下，可以检验VLAN的配置，常用的命令有： Switch#show vlan /显示所有VLAN的配置消息。 Switch#show inteface interface switchport /显示一个指定的接口的VLAN信息。,添加、更改和删除VLAN,为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。,单交换机上划分VLAN,单交换机上划分VLAN,为了修改VLAN的属性（如VLAN的名字），应使用全局配置命令vlan vlan-id，但不能更改VLAN编号，为了使用不同的VLAN编号，需要创建新的VLAN编号，然后再分配相应的端口到这个VLAN中。,当在一个VTP服务器模式的交换机上删除一个VLAN时，这个VLAN就会在所有这个VTP域中的交换机上被删除。当在一个VTP透明模式的交换机上删除一个VLAN，这个VLAN只是在这台交换机上被删除。在VLAN配置模式下，使用命令no vlan vlan-id删除VLAN。删除VLAN之前，要确定原来在该vlan下的所有端口移到了另一个VLAN中。,单交换机上划分VLAN,项目实施,任务2：单交换机上划分VLAN,工作任务,某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,任务目标,能够在单交换机进行VLAN划分； 能够通过VLAN技术隔离网络。,设备清单,Cisco2950交换机（1台）； PC计算机6台； 双绞线（若干根）； 反转电缆一根。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,网络拓扑,任务2：单交换机上划分VLAN,实施过程,步骤1：硬件连接 步骤2：分别打开设备，给设备加电，设备都处于自 检状态，直到连接交换机的指示灯处于绿 灯，表示网络处于稳定连接状态。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如表所示。,计算机IP地址配置表,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,实施过程,步骤4：分别测试PC10、PC11、PC20、PC21、PC30、 PC31这六台计算机之间的连通性。,步骤5：配置交换机VLAN。 步骤6：项目测试。,多交换机上划分VLAN,虚拟局域网的帧格式,多交换机上划分VLAN,VLAN数据帧的传输,Access端口,只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。,多交换机上划分VLAN,Trunk端口,既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,多交换机上划分VLAN,项目实施,任务3：多交换机上划分VLAN,工作任务,任务（1）某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼。在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室。公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。 任务（2）公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。,任务3：多交换机上划分VLAN,任务3：多交换机上划分VLAN,任务目标,能够实现跨交换机上实现VLAN方法； 能够掌握将交换机端口分配到VLAN中的操作技巧。,任务3：多交换机上划分VLAN,设备清单,Cisco3560交换机（1台）； Cisco2950交换机（1台）； PC计算机6台； 双绞线（若干根）； 反转电缆一根。,任务3：多交换机上划分VLAN,网络拓扑,任务3：多交换机上划分VLAN,实施过程,步骤1：硬件连接 步骤2：分别打开设备，给设备加电。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31 的IP地址,如表所示。,计算机IP地址配置表,任务3：多交换机上划分VLAN,任务3：多交换机上划分VLAN,实施过程,步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。 步骤5：配置交换机A。 步骤6：配置交换机Cisco2950上的VLAN。 步骤7：跨交换机VLAN之间连接。 步骤8：对于任务（2）的配置。 步骤9：项目测试。,Thank,