交换机如何进行高级配置

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,交换机如何进行高级配置,需要掌握的重点:,了解,VLAN,的基本概念与,VLAN,协议,掌握交换机中,VLAN,的配置,掌握,VTP,的配置,了解交换机的端口安全性配置,了解交换机的其他配置,VLAN,的基本概念与,VLAN,协议介绍,为何为要用虚拟局域网（,VLAN,）,虚拟局域网的运作原理,何为是虚拟局域网,我们为何为要用虚拟局域网（,VLAN,）,以太网交换物理上把,LAN,分成单独的冲突域。但是，每个段仍然是一个广播域的一部分。,VLAN,是网络设备（如交换机）上连接的部门、应用等等分类，而不管其物理段位置,.,。,VLAN,创建了不限于物理段的单一广播域，并像一个子网一样对待。,VLAN,可以减轻网络工程师的工作负担。,VLAN,还可以允许网络在网络中的哪个位置。,VLAN,的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。,Cisco Catalyst,交换机能够完成很多功能来加强和简化,VLAN,的实现。中继线（,trunking,）的使用允许,V L A N,跨接由小型的或大型区域分开的多个交换机。,但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。,虚拟局域网的运作流程,在企业发展初期，为了节约成本，企业采取了通过路由器实现分段的简单结构。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。, ,虚拟局域网的运作原理,VLAN,概念的引入，使交换机承担了网络的分段工作，而不再使用路由器来完成。,VLAN,具有控制广播、安全性高和灵活性及可扩展性等技术优势。,虚拟局域网的运作流程,通过使用,VLAN,，能够把原来一个物理的局域逻辑意义上的子网，而不必考虑具体的物理位置间和项目组等。由于在相同,VLAN,内的主机间传送的数据不会影响到其他,VLAN,上的主机，因此减少了数据交互的可能性，极大地增强了网络的安全性。,交换机中,VLAN,的处理,动态配置,VLAN,方式,静态配置,VLAN,方式,帧标记,零状态,动态配置,VLAN,方式,动态,VLAN,提供以端用户设备的,MAC,地址为基础把用户,MAC,地址分配到一个在,VLAN,成员策略服务器（,VMPS,）数据库中的,VLAN,。,对于,Cisco,交换机，动态,VLAN,使用网络管理工具来创建和管理，例如,Cisco Works 2000,。动态,VLAN,允许端用户具有充分的机动性和灵活性，但是需要更多的管理开销。,静态配置,VLAN,方式,静态,VLAN,提供基于端口的成员，在那里交换机端口被分配到特殊的,VLAN,。通过网络管理员的人为干涉，交换机端口被分配到,VLAN,，因此具有静态的特征。每一个端口接收一个端口,VLAN ID,（,PVID,），将它和,VLAN,号码相关联。在一台单独的交换机上端口可以被分配或者聚集到许多,VLAN,。,这种方式有很好的安全性，但灵活性较差。,帧标记,当帧在网络中被交换，,switches,根据类型对其跟踪，加上根据硬件地址来判断如何对他们进行操作。需特别注意的是：在不同类型的连接中，帧被处理的方式也不一样。,帧标记,交换环境中的,2,种连接类型：,access links,：指的是只属于一个,VLAN,，且仅向该,VLAN,转发数据帧的端口，也叫做,native VLAN,。,switches,把帧发送到,access-link,设备之前，移去任何的,VLAN,信息。而且,access-link,设备不能与,VLAN,外通信，除非,access-link,设备上数据包被路由。,trunk links,：指的是能够转发多个不同,VLAN,的通信的端口。,trunk link,必须使口，这样可以不需要,3,层设备。当在,switches,之间使用了,trunk link,，多个,VLAN,的信息将从这个连接上通过；如果在,switches,之间没有使用,trunk link,而使用一般的连接，那么只有,VLAN1,的信息通过这个连接被互相传递。,VLAN1,默认作为管理,VLAN,。,帧标记,VLAN,标识符：在交换机的,trunk link,上，可以通过对数据帧附加,VLAN,信息，构建跨越多台交换机的,VLAN,。附加,VLAN,信息的方法，最具有代表性的有：,Inter-Switch Link,（,ISL,）：属于,Cisco,私有，只能在快速和千兆以太网连接中使用，,ISL,路由可以使用在,switch,的断端口，,router,的接口和服务器接口卡等。,IEEE 802.1Q,：俗称,dot 1 Q.,由,IEEE,创建，所以在,Cisco,和非,Cisco,设备之间，就不能使用,ISL,必须使用,802.1Q.802.1Q,所附加的,VLAN,识别信息，位于数据帧中的源,MAC,地址与类型字段之间。基于,IEEE802.1Q,附加的,VLAN,信息，就像在传递物品时附加的标签当然,ISL,和,802.1Q,的主要目的是提供,VLAN,间通信。,VTP,的配置,何为是,VTP,配置,VTP,何为,VTP,在交换机或者一个小的交换机机组上的,VLAN,配置和连接中继（,trunking,）是相当依靠直觉的。然而，园区网环境通常包括很多互连机，由于配置和管理了大量的交换机。所以，,VLAN,和,VLAN,中继线很快就会失去控制。,Cisco,公司已经创建了一种用于管理园区网上全部,VLAN,的方法。,VLAN,中继线协议（,VLAN,Trunking,Protocol,，,VTP,，任何参与,VTP,交换的交换机都要意识到，并能够使用,VTP,所管理的任何,VLAN,。,何为是,VTP,VTP,的一些优点：,保持,VLAN,信息的连续性；,精确跟踪和监视,VLAN,；,动态报告增加了的,VLAN,信息给,VTP,域中所有,switch,；,可以使用即插即用（,plug-and-play,）的方法增加,VLAN,；,可以在混合型网络中进行,trunk link,，比如以太网到,ATM LANE,FDDI,等。,何为是,VTP,在使用,VTP,管理,VLAN,之前，必须先创建个,VTP,服务器（,VTP server,），所有要共享,VLAN,信息的服务器必须使用相同的域名。而且，假如把某个,switch,和其他的,switch,配置在,1,个,VTP,域里，这个,switch,就只能和这个,VTP,域里的,switch,共享,VLAN,信息。其实，如果只有,1,个,VLAN,，就不需要使,switch,通告,VTP,管理域信息，加上版本号和已知,VLAN,配置参数信息。还有种叫做透明,VTP,模式（,transparent VTP mode,），在这种模式里，可以给,switch,配置成通过,trunk,端口转发,VTP,信息，但是不接受,VTP,更新信息来更新它自己的,VTP,数据库。,switch,通过,VTP,通告检测到增加的,VLAN,，然后把新增加的,VLAN,和已有的联结在一起共享信息。新的更新信息在之前的版本号上加,1,。,何为是,VTP,在,VTP,域里操作的,3,种模式,:,：,服务器模式（,server mode,）：所有,Catalyst switches,的默认设置，,1,个,VTP,域里必须至少要有,1,个服务器用来传播,VLAN,信息，对,VTP,信息的改变必须在服务器模式下操作,.,配置保存在,NVRAM,里；,客户机模式（,client mode,）：在这种模式下，,switches,从,VTP,服务器接受信息，而且它们也发送和接收更新，但是它们不能做任何改变。在,VTP,服务器通知客户,switches,说增加了新的,VLAN,之前，不能在客户,switch,的端口上增加新的,VLAN.,配置不保存在,NVRAM,里；,透明模式（,transparent mode,）：该模式下的,switch,不能增加和删除,VLAN,，因为它们保持的有自己的数据库，不和其他的共享配置保存在,NVRAM,里。,配置,VTP,配置,VTP,管理域,配置,VTP,模式,配置,VTP,版本,配置,VTP,管理域,在交换机加入网络中之前，应当确定,VTP,的管理域。如果这台交换机是该网络中的第一台交换机，那么必须创建管理域。否则，交换机就得加入到已有的管理域（含有其他交换机）中：,使用下列通用的配置命令将交换机分配给某个管理域。其中,domain-name,是一个,32,字符厂的文本串：,Switch (,config,)#,vtp,domain,domain-name,配置,VTP,模式,使用下面的通用配置命令序列配置,VTP,模式：,Switch (,config,)#,vtp,mode server | client | tran,vtp,password,password,配置,VTP,版本,可以使用下列通用配置命令配置,VTP,版本号：,Switch (,config,)#,vtp,version 1 | 2 ,交换机的端口安全性配置,何为是端口安全性及其作用,端口安全性的配置,何为是端口安全性及其作用,在某些情况下，网络能够控制哪些站点能访问自己，从而实现对自身的保护。如果用户的工作站是固定不动的，那么往往可以通过,MAC,地址与相同接入层的交换机端口连接。如果工作站是移动的站点，也可以动态得获得其,MAC,地址并将该地址加入到一个地址列表中，以实现与交换机端口的连接。,控制安全性,该命令定义了一个最大值，即在,MAC,地址表中与该端口相联系的所允许的最多目的,MAC,地址。最大计数值范围从,1,到,132,，默认情况为,132,。即最多可有,132,个目的。,MAC,地址与该端口对应。,用,port secure,命令设置端口安全性后，该端口所对应的地址出现在,MAC,地址表中，不会以动态类型出现。因为，如果该端口对应的静态,MAC,地址数未达到最大计数值，而且交换机又从端口的帧流量源地址中学到了新的地址，则将该地址自动转变成永久,MAC,地址存入,MAC,地址表中。一旦永久或静态,MAC,地址数达到,count,值，则不再收受新的地址，这种方式称之为,Sticky-Learns,（记忆性学习）。该方式解决了未经允许而多人共用一台集线器接入交换机的一个端口所造成的不安全因素。,措施,下述两种情况均违反了端口安全性,:,一个具有安全性的端口所收到帧的源,MAC,地址已经被赋予另一个具有安全性的端口。,MAC,地址表已满时仍试图学习新地址。,当出现违反端口安全性的情况时，端口有以下几种措施,:,Suspend,（挂起）：端口不再工作，直到有数据帧流入并带有合法的地址。,Disable,（禁用）：端口不再工作，除非人工使其再次启用。,Ignore,（忽略）：忽略其违反安全性，端口仍可工作。,默认情况是：,suspend,。,端口安全性的配置,Catalyst,交换机提供了对端口进行保护的功能，该功能基于,MAC,地址控制对端口的访问。要在一个接入层的交换机端口配置端口保护，首先用下面的接口配置命令在端口上激活保护功能：,Switch (,config,- if )#,switchport,port-,sercurity,端口安全性的配置,在各个应用了端口保护的接口，要规定被允许访问的,MAC,地址的最大数目，可以用下面的接口配置命令：,Switch (,config,- if )#,switchport,port-,sercurity,maximum,max-address,默认情况下，各个交换机端口仅允许一个,MAC,地址对其进行访问。可以设定的地址数目的范围是,1,到,1024,。,端口安全性的配置,端口安全性的配置,在各个应用了端口保护的接口，要规定被允许访问的,MAC,地址的最大数目，可以用下面的接口配置命令：,Switch (,config,- if )#,switchport,port-,sercurity,maximum,max-address,默认情况下，各个交换机端口仅允许一个,MAC,地址对其进行访问。可以设定的地址数目的范围是,1,到,1024,。,端口安全性的配置,最后，必须确定使用端口保护的接口，在遇到违法的,MAC,地址时应该怎样做，可以用下面的接口配置命令进行这项设置：,Switch (,config,- if )#,switchport,port-,sercurity,violation shutdown | restrict | protect ,违法：是指获得超过最大数目的,MAC,地址，或者一个未知的（非静态定义的）,MAC,地址试图访问端口。,交换机的其他配置,配置,MAC,地址表及相关信息,配置交换机端口,配置,MAC,地址表及相关信息,MAC,地址表对于交换机而言如同路由表对于路由器一样。因此，对,MAC,地址表的配置也尤为重要。,Switch # show,mac,-address-table,在,show,mac,-address-table,命令中我们可以看到,MAC,地址表。,MAC,地址表由三种地址组成：,永久地址,限制性静态地址,动态地址,Switch # show,mac,-address-table,MAC,地址表组成如下：,地址：目的,MAC,地址；,目的端口：从目的端口转发数据帧，即可以到达符合目的,MAC,地址的主机；,类型：动态意味着,MAC,地址表中的地址是通过学习流入该端口的数据帧的帧头中源端,MAC,地址得来的（即交换机的学习功能）。该表项必须被不断更新（即有流量通过），否则一段时间后该表项被自动删除。,1900,交换机最多可在该表中容纳,1024,个,MAC,地址。一旦,MAC,地址表已填满，除非有表项超时被自动删除，否则新地址不能加入。,源端口表：可以向目的端口转发帧的源端口集合。,设置永久地址,设置永久地址的目的,MAC,地址与其转发端口，该地址永久不会超时，所有的端口均可以转发帧给它。,命令如下：,Switch(config)#,mac,-address-table permanent,MAC Address type slot/port,设置限制性静态地址,限制性静态地址不但继承了永久地址的所有特性，更进一步严格限制了源端口，安全性得到进一步增强。,命令如下：,Switch(config)#,mac,-address-table restricted static,mac,address type slot/port source interface list,删除表项,如果不需要某条,MAC,地址表项，就可以删除它。,命令如下：,Switch#,clear,mac,-address-table,dynamic|permanent|restricted,配置交换机端口,认证端口,端口速度,端口模式,认证端口,可以给交换机端口配置增加一个文本描述来帮助认证配置，这个描述仅仅意味着一个注释域，作为端口使用的一条记录或者其他惟一的信息。当显示交换机配置的时候，包括端口描述。,为了给端口分配一个注释或者描述，在接口配置模式下输入如下命令：,Switch (,config,-if)#,description,description-string,使用接口配置命令“,no description”,移除一个描述。,端口速度,可以通过交换给配置命令给交换机端口指定一个特殊的速度，快速以太网,10/100,端口可以为自协商模式，设置速度为,10,，,100,或者,Auto,（默认）。,使用如下接口配置命令，在一个特殊的以太网端口上指定端口速度：,Switch (,config,-if)#,speed,10 | 100 | auto,端口模式,也能够为一个基于以太网的交换机端口指定一个特殊的连接模式。因此，端口在半双工、全双工或者自协商模式下操作。,在接口配置模式下输入如下命令，在交换机端口上设置连接模式：,Switch (,config,-if)#,duplex,auto | full | half ,