01交换机的基本配置

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,交换机的基本配置,主要内容:,了解交换机工作原理与堆叠连接方法,掌握交换机的主机名配置,掌握交换机,IP,地址配置,掌握交换机的口令安全性配置,1,交换机工作原理与堆叠连接方法,OSI,参考模型第二层交换,生成树协议,交换机的,3,种交换方式,2,OSI,参考模型第二层交换,局域网交换技术是为对共享式局域网提供有效的网段划分的解决方案而出现的，它可以使每个用户尽可能地分享到最大带宽。交换机工作在在,OSI 7,层网络模型中的数据链路层,因此，交换机对数据包的转发是建立在,MAC,（,Media Access Control,）地址基础之上的，对于,IP,网络协议来说，它是透明的，即交换机在转发数据包时不知道也无须知道信源机和信宿机的,IP,地址，只需知道其物理地址，即,MAC,地址。,3,OSI,参考模型第二层交换,交换机在操作过程中会不断地收集信息，以建立,MAC,地址表，,MAC,地址表说明了某个,MAC,地址是在哪个端口上被发现的，所以当交换机收到一个,TCP,IP,数据包时，它会查看该数据包的目的,MAC,地址，然后核对自己的,MAC,地址表以确认应从哪个端口把数据包发出去。这个由,ASIC(Application Specific Integrated Circuit),进行的功能速度相当快，一般只需几十微秒，交换机便可以决定一个,IP,数据包应送向哪里。,4,OSI,参考模型第二层交换,当交换机收到一个目标地址未知的数据包，即目的,MAC,地址不能在其,MAC,地址表中找到时，交换机会把,IP,数据包从它的每一个端口送出去。,5,交换机的特性,地址学习,转发或过滤,避免循环,6,地址学习,以太网交换机能够通过读取传送包的源,MAC,地址和记录帧进入的交换机的端口来学习网络上每个设备的地址。然后，交换机把此信息添加到它的转发数据库。地址是动态学习的，这意味着读取新,MAC,地址时，它们被学习并存储在,CAM,（,Content-Addressable Memory,，内容可寻址存储器）中。,每次存储地址时，地址被打上时间标记，那些一段时间内还没有被引用的地址从列表中移走，通过移走过时的或老的地址，,CAM,维护了一个精确和有用的转发数据库。,7,转发或过滤,当主机,A,发一个帧给主机,B,时，由于目的,MAC,地址（主机,B,的,MAC,地址）已在,MAC,地址表中存在对应项，因此，交换机将此帧直接发到主机,B,所在的交换机的端口。交换机不会再将帧发往其他端口，这样就节省了其他端口上的带宽，这就是所谓的转发与过滤。,但是，对于广播和组播，交换机通常是把广播帧或组播帧向所有端口转发，不管,MAC,地址表是否完整。而一个交换机永远学习不到广播或组播地址，因为它们永远不会出现在一个帧的源地址中。因此，第二层的交换机无法控制广播域，用交换机分割的网段虽然处于不同的冲突域中，但仍然处于同一个广播域中，此时需要使用第三层设备（如路由器）来分割广播域。,8,避免循环,在网络设计中，冗余链路通常是必不可少的。如果使用单一链路，发生断路时可能会使整个网络陷入瘫痪的窘镜。,但是，冗余路径也有很多的问题：,（,1,）广播风暴。,（,2,）重复帧复制。,（,3,）,MAC,地址表表项不稳定。,9,广播风暴,10,广播风暴,当服务器想知道默认网关（路由器,X,）的,MAC,地址时，会起用,ARP,。一个,ARP,帧就是一个广播帧（目的,MAC,地址为全,1,），交换机,A,收到此帧后就会转发到网段,2,上，交换机,B,收到后，又转发到网段,1,上，从而形成循环，这就是广播风暴。这极大地浪费了网络资源。,可以通过阻塞（逻辑上）其中的某一个端口（不允许接收帧和发送帧）来消除广播风暴问题。,11,重复帧复制,由于冗余路径的存在，主机可能会从不同的路径接收到相同的帧，造成资源的浪费。,12,MAC,地址表表项不稳定,由于冗余链路导致,MAC,地址表的表项不唯一，如果交换机,A,要传送帧至某个服务器，就可能会产生困惑，因为从端口,E0,发送可以到达，从端口,E1,发送也可到达，从而可能使交换机不转发此帧，或者重复发送到不同端口，造成主机,A,收到多份副本。这也是对网络资源的浪费。,13,生成树协议,生成树协议的作用与原理,生成树操作,根网桥选举,路径花费,生成树的端口状态,汇聚,14,生成树协议的作用与原理,STP,（生成树协议）的主要任务是防止,2,层的循环，,STP,使用生成树算法来创建拓扑数据库，然后查找出冗余连接并破坏它。,15,生成树操作,STP,的任务就是查找出网络中的所有连接，关闭一些会造成循环的冗余连接。,STP,首先选举一个根桥，用来对网络中的拓扑结构作决定。当所有的交换机认同了选举出来的根桥后，所有的网桥开始查找根端口。如果在交换机之间有许多连接，只能有一个端口为指定端口。,16,根网桥选举,网桥,ID,用来在,STP,域里选举根桥和决定根端口，这个,ID,长为,8,字节，包含优先级和设备的,MAC,地址，,IEEE,版本的,STP,的默认优先级是,32768,。如果优先级相同，就比较,MAC,地址，,MAC,地址小的为根桥。,17,路径花费,生成树的路径花费是在路径上所有链路的路径花费的总和，这是由链路带宽决定的。,18,生成树的端口状态,运行,STP,的交换机端口的,5,种状态：,堵塞,(blocking):,不转发帧,只监听,BPDUs,主要目的是防止循环的产生。在默认情况下,交换机启动时所有端口均为,blocking,状态。,监听,(listening):,端口监听,BPDUs,，以确定在传送数据帧之前没有循环会发生。,学习,(learning):,监听,BPDUs,和学习所有路径,学习,MAC,地址表,不转发帧。,转发,(forwarding):,转发和接收数据帧。,禁用,(disabled):,端口是不可操作的。,19,汇聚,汇聚也叫收敛，当所有端口为非转发或堵塞状态时，开始收敛，在收敛完成前，没有数据被传送。收敛保证了所有的设备拥有相同的数据库。一般从堵塞状态进入转发状态需要,50,秒。,20,交换机的3种交换方式,存储转发式,直通式,消除片断式（改良直通式）,21,存储转发式交换方式,存储,转发（,Store and Forward,）是计算机网络领域使用得最为广泛的技术之一，以太网交换机的控制器先将输入端口到来的数据包缓存起来，检查数据包是否正确，并过滤冲突包错误。确定包正确后，取出目的地址，通过查找表找到想要发送的输出端口地址，然后将此包发送出去。存储,转发方式在处理数据时延时大，但它可以对进入交换机的数据包进行错误检测，并能支持不同速度的输入输出端口间的交换，可有效地改善网络性能。它的另一优点就是这种交换方式支持不同速度端口间的转换，能保持高速端口和低速端口间协同工作。实现的方法是将,10Mb/s,低速包存储起来，再通过,100Mb/s,速率转发到端口上。,22,直通式交换方式,Cisco,称直通式交换方式为,cut-through,、,fastforward,或者,real time,模式。使用这种模式的时候，,LAN,交换机只读取帧的目标地址，减少了延时，但是不适合高偏向错误率的网络。,23,直通式交换方式,直通式交换方式在输入端口检测到一个数据包时，检查此包的包头，获取包的目的地址，启动内部的动态查找表，转换成相应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现交换功能。由于它只检查数据包的包头（通常只检查,14,个字节），不需要存储，所以直通式具有延迟小、交换速度快的优点。所谓延迟，是指数据包进入一个网络设备到离开此设备所花的时间。,24,直通式交换方式,直通式交换方式的缺点主要有,3,个方面：第一，因为数据包内容并没有被以太网交换机保存下来，所以无法检查所传送的数据包是否有误，不能提供错误检测；第二，由于没有缓存，不能将具有不同速率的输入输出端口直接接通，而且容易丢包。如果要连到高速网络上，如提供快速以太网（,100BASE-T,）、,FDDI,或,ATM,连接，就不能简单地将输入输出端口“接通”，因为输入输出端口间有速度上的差异，必须提供缓存；第三，当以太网交换机的端口增加时，交换矩阵变得越来越复杂，实现起来就越困难。,25,消除片断式（改良直通式）交换方式,消除片断式是介于直通式和存储,转发式之间的一种解决方案。它在转发前先检查数据包的长度是否够,64,个字节（,512 bit,），如果小于,64,字节，说明是假包（或称残帧），则丢弃该包；如果大于,64,字节，则发送该包。该方式的数据处理速度比存储,转发方式快，但比直通式慢。由于能够避免残帧的转发，所以被广泛应用于低档交换机中。,26,消除片断式（改良直通式）交换方式,使用消除片断式交换技术的交换机一般使用了一种特殊的缓存。使用这种缓存，比特从一端进入，然后以同样的顺序从另一端出来。当帧被接收时，它被保存在缓存中。如果帧以小于,512,比特的长度结束，那么缓存中的内容（残帧）就会被丢弃。因此，不存在普通直通转发交换机存在的残帧转发问题，是一个非常好的解决方案。数据包在转发之前将被缓存保存下来，从而确保碰撞碎片不通过网络传播，能够在很大程度上提高网络传输效率。,27,交换机堆叠连接方法,网络规模增长时，固定端口交换机的扩展能力会受到制约。为了使交换机满足大型网络对端口的数量要求，一般在较大型网络中采用交换机的堆叠方式，而只有可堆叠交换机具备这种端口。所谓可堆叠交换机，就是指一个交换机中同时具有,“UP”,和“,DOWN”,堆叠端口。当多个交换机连接在一起时，其作用就像一个模块化交换机一样，堆叠在一起的交换机可以当作一个单元设备来进行管理。在一般情况下，当有多个交换机堆叠时，其中存在一个可管理交换机，可利用可管理交换机对此可堆叠式交换机中的其他“独立型交换机”进行管理。,28,交换机堆叠连接方法,堆叠中的所有交换机可视为一个整体的交换机来进行管理，也就是说，堆叠中所有的交换机从拓扑结构上可视为一个交换机。堆栈在一起的交换机可以当作一台交换机来统一管理。交换机堆叠技术采用了专门的管理模块和堆栈连接电缆，这样做的好处是，一方面增加了用户端口，能够在交换机之间建立一条较宽的宽带链路，这样每个实际使用的用户带宽就有可能更宽（只有在并不是所有端口都在使用情况下）。另一方面多个交换机能够作为一个大的交换机，便于统一管理。,29,可堆叠交换机常用的堆叠方式,菊花型,菊花型堆叠要求堆叠交换机通过堆叠接口或模块首尾相连，类似于普通的交换机之间的级联连接，通过相对高速的端口串接和软件的支持，最终实现构建一个多交换机的层叠结构。,30,可堆叠交换机常用的堆叠方式,星型,星型堆叠需要一个主交换机，其他是从交换机，每台从交换机都通过堆叠接口或模块与主交换机相连。这种方式要求主交换机的交换容量（背板带宽）要比从交换机的要大。,31,交换机的主机名配置,所有出厂的交换机都有默认的配置、系统名称或者提示。可以更改其名称，以便于每一台交换机在园区网中能够唯一地进行认证。,32,交换机的主机名配置,为了修改主机或者系统的名称，在配置模式中输入如下命令：,Switch (config) #,hostname,hostname,主机名称是一个由,1,255,个字母或者数字组成的字符串。一旦执行这条命令，系统提示是否修改为新的主机名称。,33,交换机,IP,地址配置,工作在第二层的交换机,IP,地址配置,工作在第三层的交换机,IP,地址配置,34,工作在第二层的交换机,IP,地址配置,在默认情况下，交换机仅允许用户通过控制台端口进行访问。即一台交换机操作在第二层，交换机超级用户处理机出于管理目的，仍然必须在第三层维护一个,IP,栈。然后，可以给交换机分配,IP,地址和子网掩码，使与交换机超级用户进行远程通信成为可能。,35,工作在第二层的交换机,IP,地址配置,可以在全局配置模式下执行如下命令，为管理,VLAN,（默认情况下是,VLAN1,）分配,IP,地址。,Switch (config) #,interface vlan,vlan-id,Switch (config-if) #,ip address,ip-address,netmask,Switch (config-if) #,ip default-gateway,ip-address,Switch (config-if) #,no shutdown,36,工作在第三层的交换机,IP,地址配置,第三层端口的配置,SVI,端口的配置,37,第三层端口的配置,在默认情况下,Catalyst 2950,、,3550,或,4500,交换机的端口都是第二层接口。当被分配了第三层网络地址并且可以路由选择的时候,交换机的物理端口也可以在第三层接口上进行工作。要使用第三层的功能,必须用下面的命令序列进行配置,:,Switch(config)#,interface,type mod/num,Switch(config-if)#,no switchport,Switch(config-if)#,ip address,ip-address mask,secondary,no switchport,命令会取消第二层操作的端口，此后,必须为此端口分配一个网络地址,相当于一个路由器的接口。,38,SVI,端口的配置,使用一个多层交换机的时候,也可以对交换机上的整个,VLAN,使用第三层功能。这就要求将网络地址分配给一个逻辑接口,VLAN,自身的接口。当交换机要为一个公共的,VLAN,分配许多端口并且需要在这个,VLAN,内部和外部路由选择的时候,这种方法是非常有效的。,39,SVI,端口的配置,第三层逻辑接口称为,SVI ,在配置,SVI,的时候,它需要使用更多的直接接口名称,vlan-id,好像,VLAN,自身是一个物理接口。首先定义或者确定,VLAN,的接口,然后使用下面的命令为接口分配第三层的所有功能：,Switch(config)#,interface vlan,vlan-id,Switch(config-if)#,ip address,ip-address mask,secondary,使用,SVI,之前,VLAN,必须在交换机上定义，并使用,no shutdown,接口配置命令激活。,40,交换机的口令安全性配置,通常,网络设备应配置为对于未被授权的访问是安全的。,Catalyst,交换机通常提供一个简单的安全形式,通过设置密码来限制注册到用户接口的人。两种可用的用户访问级别,:,用户模式及特权模式。用户模式是访问的第一级,允许访问基本的端口。特权模式需要两个密码,允许设置或改变交换机操作参数及配置。,41,交换机的口令安全性配置,为用户模式设置注册密码,需要在全局配置模式下输入下列命令,:,Switch (config)#,line con 0,Switch (config-line)#,password,password,Switch (config-line)#,login,Switch (config-l)#,line vty 0 15,Switch (config-line)#,password,password,Switch (config-line)#,login,42,