网络设备互联技术第3章交换技术课件.ppt

1、第3章交换技术交换技术l了解交换机的基本功能工作原理。l了解VLAN、Trunk、VTP的基本概念并掌握其配置方法。l了解端口安全的概念并掌握其配置方法。l了解生成树的原理、作用及选举过程。l了解子接口的概念并掌握VLAN间路由的配置。目标目录 3.1交换机基础 3.2VLAN、Trunk和VTP 3.3端口安全 3.4生成树 3.5VLAN间单臂路由3.1交换机基础 学习MAC地址 转发/过滤Frame 防止回路交换机功能：5交换机学习主机地址 开机时MAC地址表是空的MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444

2、E0E1E2E3ABCD6交换机学习主机地址 主机A发送数据帧给主机C 交换机记录下主机A的MAC地址 对应端口E0 帧被转发到除端口E0以外的其它所有端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBAMAC地址表7交换机学习主机地址 主机D发送数据帧给主机C 交换机记录下主机D的MAC地址对应端口E3 帧被转发到除端口E3以外的其它所有端口0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c

3、01.1111E3:0260.8c01.4444E0E1E2E3DCABMAC地址表8交换机确定转发过滤帧 host A发送数据帧给主机C 在地址表中有目标主机，数据帧不再泛洪而直接转发E0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMAC地址表9 主机D发送广播帧或多点帧 广播帧或多点帧泛洪到除源端口外的所有端口0260.8c01.11110260.8c01.2222

4、0260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444广播帧和多播帧（生存期300秒）MAC地址表10冗余网络拓扑 冗余拓扑消除了由于单点故障所引起的网络问题 冗余拓扑却带来了广播风暴、重复帧和MAC地址表不稳定的问题服务器/主机 X路由器 Y11 广播交换机 A交换机 B主机 X 发送一广播信息广播风暴服务器/主机 X路由器 Y12 广播交换机 A交换机 B主机 X 发送一广播信息广播风暴服务器/主机 X路由器 Y13 广播交换机不

5、停地发出广播信息广播风暴交换机 A交换机 B服务器/主机 X路由器 Y14重复帧 单点帧 主机X发送一单点帧给路由器Y 路由器Y的MAC地址还没有被Switch A和B学习到交换机 A交换机 B主机 X路由器 Y15 单点帧 主机X发送一单点帧给路由器Y 路由器Y的MAC地址还没有被Switch A和B学习到 路由器Y会收到同一帧的两个拷贝单点帧 单点帧重复帧交换机 A交换机 B服务器/主机 X路由器 Y16单点帧 单点帧 主机X发送一单点帧给路由器Y 路由器Y的MAC地址还没有被Switch A和B学习到端口 0端口1端口0端口1MAC地址表不稳定交换机 A交换机 B主机 X路由器 Y17

6、Unicast X发送一单点帧给Y A和B没有Y的MAC地址 A和B都学习到X的MAC地址对应E0 到Y的帧在A和B上被扩散MAC地址表不稳定 单点帧端口 0端口1端口1端口0交换机 A交换机 B主机 X路由器 Y端口2端口218 每个网络只能有一个根网桥 每个非根网桥只能有一个根端口 每段只能有一个指定端口 根端口和指定端口都是Forwarding 其他端口为Blocking*生成树协议的规则(解决环路问题)配置IP地址（交换机）wg_sw_2950(config)#interface vlan 1wg_sw_2950(config-if)#ip address 10.5.5.11 255.

7、255.255.0 wg_sw_2950(config)interface vlan 1wg_sw_2950(config-if)#ip address ip_address mask Configures an IP address and subnet mask for the switch VLAN1 interface Catalyst 295020Showing the Switch IP AddressCatalyst 2950wg_sw_2950#show interface vlan 1Vlan1 is up,line protocol is up Hardware is Ca

8、t5k Virtual Ethernet,address is 0010.f6a9.9800(bia 0010.f6a9.9800)Internet address is 172.16.80.79/24 .wg_sw_2950#21双工模式Half Duplex(CSMA/CD)HUB工作在半双工模式 同时只有一个方向传输数据 Full Duplex 交换机工作在全双工 100M的交换机在全双工的模式可以在 每个方向达到100M的带宽22设置双工Catalyst 2950wg_sw_2950(config)#interface fa0/1wg_sw_2950(config-if)#duplex

9、 auto|full|half23ABCD物理层 所有设备在同一冲突域 所有设备在同一广播域 所有设备共享相同的带宽集线器和交换机的区别24集线器：同一个冲突域 接入设备越多冲突机率越大 用CSMA/CD技术 Carrier Sense,Multiple Access with Collision DetectionABC25 每port有自己的冲突域 所有的port都在同一广播域数据链路层或123124交换机和网桥运行在链路层26交换机 每个端口有自己的冲突域 广播包向所有port转发缓冲区交换273.2.1 VLAN简介 构建VLAN之前VLAN 概述-虚拟局域网(VLAN)-让网络管理员

10、建立多组逻辑上联网的设备VLAN简介 VLAN优点-安全-成本降低-性能提高-广播风暴防范-提高IT员工的效率-简化项目管理或应用管理VLAN简介 VLAN 特性特性VLAN的类型 常见的 VLAN 术语数据 VLAN默认 VLANVLAN的类型 常见的常见的 VLAN 术语术语管理 VLAN本征 VLANVLAN的类型 一个 VLAN具备一个LAN的所有特征，因此 VLAN 必须像 LAN 一样处理网络流量 网络传输类型-网络管理和传输控制.VLAN的类型 网络流量类型-IP 电话VLAN的类型 网络流量类型IP 组播VLAN的类型 网络流量类型-普通数据交换机端口成员资格模式 VLAN 交

11、换机端口模式-静态 VLAN 交换机上的端口以手动方式分配给 VLAN-动态 VLAN-使用 VMPS 可以根据连接到交换机端口的设备的源 MAC 地址，动态地将端口分配给 VLAN-语音 VLAN 将端口配置到语音模式可以使端口支持连接到该端口的 IP 电话交换机端口成员资格模式 交换机端口模式配置交换机端口成员资格模式 语音模式配置通过 VLAN控制广播域 没有VLAN 时的网络广播通过 VLAN控制广播域 划分了VLAN的网络广播为交换机配置 VLAN 后，特定 VLAN 中的主机所发出的单播流量、组播流量和广播流量，其传输均仅限于该 VLAN 中的设备.细分广播域可以通过 VLAN（在

12、交换机上）也可以通过路由器完成。无论是否使用 VLAN，位于不同第 3 层网络的设备都必须通过路由器才能通信VLAN 内通信:通过 VLAN控制广播域 通过交换机和路由器控制广播域VLAN 间通信 通过 VLAN控制广播域 通过 VLAN 和第 3 层转发来控制广播域-换机虚拟接口(SVI)技术允许第 3 层交换机在 VLAN 之间路由数据传输3.2.2VLAN 中继 VLAN 中继？VLAN 中继的定义-中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量-VLAN 中继可让 VLAN 扩展到整个网络上-Cisco 支持使用 IEEE 802.1Q 来协调快速以太网接口和千兆以

13、太网接口-VLAN 中继不属于具体某个 VLANVLAN 中继 中继能解决什么问题？不使用不使用VLAN 中继中继使用使用VLAN 中继中继VLAN 中继 802.1Q 帧标记-交换机根据以太网帧头信息来转发数据包-802.1Q 封装帧头 VLAN 标记字段详细信息-VLAN 标记字段包含一个 EtherType（以太类型）字段、一个标记控制信息字段和 FCS 字段VLAN 中继 本征 VLAN 和 802.1Q 中继 VLAN 中继 本征VLAN 配置举例 本征 VLAN检验VLAN 中继工作方式 中继工作例子PC1发送广播给发送广播给VLAN10的主机的主机PC3发送广播给发送广播给VLA

14、N30的主机的主机S2是配置了是配置了Trunk的交换机，给的交换机，给每个数据帧打标每个数据帧打标S1和和S2之间的之间的Trunk上传输打上传输打标的数据帧标的数据帧并且发送到相应的并且发送到相应的VLAN10和和VLAN30的端口的端口S1和和S3之间的之间的Trunk上传输打上传输打标的数据帧标的数据帧S3把非打标数据帧发送到正确把非打标数据帧发送到正确端口上端口上中继模式 IEEE and ISL-IEEE 802.1Q 中继端口同时支持有标记流量和无标记流量.-在 ISL 中继端口上，所有收到的数据包都应该封装有 ISL 帧头，并且所有发送的数据包也都有 ISL 帧头。从 ISL

15、中继端口收到的本征帧（无标记帧）会被丢弃。ISL 是不再建议使用的一种中继端口模式，许多 Cisco 交换机也不再支持该模式中继模式 DTP-DTP（动态中继协议）是 Cisco 的专有协议。当交换机端口上配置了某些中继模式后，此端口上会自动启用 DTP。中继模式-开启（默认）.-动态自动-动态期望.-关闭 DTP3.2.3VTP VLAN 管理难题-VTP在网络中管理VLAN和中继-VTP 是自动学习VLAN和中继的方法，因此你不用手工配置 何谓VTP?-VTP 服务器或 VTP 客户端-VTP 仅获知普通范围内的 VLAN（VLAN ID 为 1 到 1005）。VTP 不支持此范围以外的

16、 VLAN（即 ID 大于 1005 的 VLAN）VTP 的优点 VTP 要素-VTP 域-VTP 通告-VTP 模式-VTP服务器r-VTP 客户端-VTP 透明-VTP 修剪 VTP 域 1VTP域 2默认VTP 配置 VTP 版本-TP 有三个版本：第 1 版、第 2 版和第 3 版-在一个 VTP 域中仅允许使用一个 VTP 版本-默认版本为 VTP 第 1 版-Cisco 2960 交换机支持 VTP 第 2 版，但该功能处于禁用状态默认VTP 配置 显示 VTP 状态-使用show VTP status 命令VTP域 VTP 域-案例拓扑及输出情况如下：VTP域VTP 域名传播-

17、域名传播需要使用三个 VTP 要素：服务器、客户端和通告-Cisco 建议对域名配置功能启用口令保护Domain=cisco1Domain=cisco1Domain=cisco1VTP 通告VTP帧结构-VTP数据帧结构示意VTP 通告 VTP 帧详细信息目的 MAC 地址 该地址设置为 01-00-0C-CC-CC-CC，这是为所有 VTP 消息保留的组播地址。LLC 字段 逻辑链路控制(LLC)字段包含目的服务接入点(DSAP)和源服务接入点(SSAP)，两者的值都是 AA。SNAP 字段 子网访问协议(SNAP)字段，该字段的 OUI 设置为 AAAA，类型设置为 2003。VTP 消息

18、字段 根据消息类型而变化VTP 帧头字段 此字段的内容取决于 VTP 消息类型（总结、子集或请求），但其中始终包含以下 VTP 字段：域名 标识交换机的管理域。域名长度 域名的长度。版本 设置为 VTP 1、VTP 2 或 VTP 3。Cisco 2960 交换机仅支持 VTP 1 和 VTP 2。配置修订版号 交换机的当前配置修订版号。VTP 通告 VTP 消息内容VTP 通告VTP 修订版号-配置修订版号代表 VTP 帧的修订级别，它是一个 32 位的数字-交换机的默认配置号为零-注：VTP 域名改变不会导致修订版号递增。此操作会将修订版号重置为零-配置修订版号用于确定从另一台启用 VTP

19、 的交换机上收到的配置信息是否比储存在本交换机上的版本更新VTP 通告 VTP 通告-总结通告-子集通告VTP 通告 请求通告当向相同 VTP 域中的 VTP 服务器发送请求通告时，VTP 服务器的响应方式是：先发送总结通告，接着送出子集通告。当发生以下情况时，将发送请求通告：VTP 域名变动 交换机收到的总结通告包含比自身更高的配置修订版号 子集通告消息由于某些原因丢失 交换机被重置VTP 通告 VTP 通告详细信息 总结通告VTP 通告 子集通告VTP 通告 请求通告VTP 模式 VTP 模式概述VTP 模式 VTP 的作用方式802.1Q TrunksVTP 修剪VTP 修剪-修剪功能默

20、认为禁用-启动vtp 修剪 使用命令：vtp pruning VTP 修剪 VTP 修剪的作用方式-没有使用VTP 修剪前VTP 修剪 VTP 修剪的作用方式-使用VTP 修剪后VTP 修剪 启动VTP 修剪 案例拓扑：3.3 端口安全 端口安全的作用是只允许某些特定MAC地址访问交换机端口。交换机可以动态获取这些地址，也可以配置这些地址。配置了端口安全的端口仅能从已获取的地址或已配置的地址接收帧。在所有交换机端口上实施安全措施，以：在端口上指定一组允许的有效MAC地址 只允许一个MAC地址访问端口 指定端口在检测到未经授权的MAC地址时自动关闭 75配置端口安全性安全MAC地址有以下类型：-

21、静态安全MAC地址：静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中，并添加到交换机的运行配置中。-动态安全MAC地址：动态MAC地址是动态获取的，并且仅存储在地址表中。以此方式配置的MAC地址在交换机重新启动时将被移除。-粘滞安全MAC地址：可以将端口配置为动态获得MAC地址，然后将这些MAC地址保存到运行配置中。76配置端口安全性粘滞安全MAC地址有以下特性：-动态学习，转换为存储在运行配置中的粘滞安全MAC地址。-禁用粘滞学习将从运行配置中移除MAC地址，但是

22、不会从MAC表中移除。-当交换机重新启动时，粘滞安全MAC地址将会丢失。-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。-禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。77 端口安全默认配置 配置端口安全性78配置端口安全性79 在Cisco Catalyst交换机上配置端口安全性 配置端口安全性80 在Cisco Catalyst交换机上启用粘滞端口安全性 配置端口安全性81验证端口安全性 配置端口安全性82常见安全攻击禁用未使用的端口-一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。3

23、.4 生成树（STP）冗余功能 第 2 层冗余功能通过添加设备和电缆来实现备用网络路径，从而提升网络可用性。当有多条网络路径可用于数据传输时，即使一条路径失效，也不会影响网络上设备的连通性。冗余功能存在的问题 广播风暴:环路网络中不可避免的会产生广播风暴。随着越来越多的设备向网络中发送广播，卷入环路的流量也越来越多，最终形成广播风暴，导致网络中断。重复的单播帧:广播帧并不是会受环路影响的唯一一种帧。发送到环路网络的单播帧也可能造成目的设备收到重复的帧。3.4.1 生成树的作用：冗余功能可防止网络因单个故障点（例如网络电缆或交换机故障）而无法运行，以此提升网络拓扑的可用性。向第 2 层设计引入冗

24、余功能时，环路和重复帧现象也可能随之而出现。环路和重复帧对网络有着极为严重的影响。生成树协议(STP)便旨在解决这些问题。一般STP操作STP 可以弥补网络故障所带来的问题生成树的作用STP 会特意阻塞可能导致环路的冗余路径，以确保网络中所有目的地之间只有一条逻辑路径。当一个端口阻止流量进入或离开时，该端口便视为处于阻塞状态。阻塞冗余路径对于防止网络环路非常关键。为了提供冗余功能，这些物理路径实际依然存在，只是被禁用以免产生环路。一旦需要启用此类路径来抵消网络电缆或交换机故障的影响时，STP 就会重新计算路径，将必要的端口解除阻塞，使冗余路径进入活动状态。3.4.2 生成树操作规则：STP 使

25、用生成树算法(STA)计算网络中的哪些交换机端口应配置为阻塞才能防止环路形成。STA 会将一台交换机指定为根桥，然后将其用作所有路径计算的参考点。所有参与 STP 的交换机互相交换 BPDU 帧，以确定网络中哪台交换机的网桥 ID(BID)最小。BID 最小的交换机将自动成为 STA 计算中的根桥。BPDU 是运行 STP 的交换机之间交换的消息帧。每个 BPDU 都包含一个 BID，用于标识发送该 BPDU 的交换机。BID 内含有优先级值、发送方交换机的 MAC 地址以及可选的扩展系统 ID。BID 值的大小由这三个字段共同决定。3.4.3 生成树的决策及选举过程到根桥的最佳路径开销到根桥

26、的最佳路径开销-配置端口开销到根桥的最佳路径开销-路径开销选举过程 到根桥的最佳路径开销 检验端口和路径开销STP BPDU BPDU 字段STP BPDU广播域中的每台交换机最初都会将自己视为生成树实例中的根桥，因此其送出的 BPDU 帧中将自己的 BID 作为根 ID。默认情况下，BPDU 帧是在交换机启动后每 2 秒发送一次，也就是说 BPDU 帧中 hello 计时器的默认值是 2 秒。每台交换机都维护着有关其 BID、根 ID 以及到根桥的路径开销的本地信息。STP BPDU当邻接交换机收到 BPDU 帧时，它们会将 BPDU 帧内的根 ID 与本地根 ID 比较。如果 BPDU 中

27、的根 ID 比本地根 ID 更小，交换机便更新本地根 ID 以及它送出的 BPDU 消息内的根 ID。这些消息的作用是告诉网络新的根桥。此外，路径开销也会更新，以指出到根桥的距离。STP BPDU交换机的根 ID 更新后，其送出的所有后续 BPDU 帧都会包含新的根 ID 以及更新后的路径开销。通过这种方式，所有其它邻接交换机就能始终看到最小的根 ID。随着 BPDU 帧在其它邻接交换机之间传递，路径开销也不断更新，以指示到根桥的总路径开销。生成树中的每台交换机使用其路径开销来指示到根桥的最佳可能路径。网桥 ID网桥 ID(BID)用于确定网络中的根桥。配置并检验 BID端口角色在生成树过程中

28、，交换机端口会被自动配置为四种不同的端口角色。头脑风暴:让我们做个改动!端口角色128.1?128.2?端口角色why?端口角色STP 端口状态和 BPDU 计时器STP 收敛 步骤 1.选举根桥步骤 2.选举根端口3.选举指定端口和非指定端口 STP 拓扑更改当转发端口关闭（例如被阻塞）或某端口在交换机已具有指定端口的情况下转换为转发状态时，交换机会认为自己检测到了拓扑更改。如果检测到更改，交换机会通知生成树的根桥。然后根桥将该信息广播到整个网络。3.4.6 增强型VLAN生成树(Per-VLAN Spanning Tree plus，PVST+)PVST+PVST+和 PVST+网桥 ID

29、 PVST+主根桥和次根桥PVST+交换机优先级 PVST+检验 Show Run RSTP RSTP边缘端口RSTP 边缘端口是指永远不会用于连接到其它交换机设备的交换机端口。当启用时，此类端口会立即转换到转发状态。链路类型链路类型用于将参与 RSTP 的每个端口分类。链路类型可预先确定待命端口要扮演的活动角色，以便在满足特定条件时端口立即转换到转发状态。边缘端口和非边缘端口需满足不同的条件。非边缘端口分类为两种链路类型：点对点和共享。链路类型是自动确定的，但可以使用显式端口配置覆盖。链路类型RSTP 端口状态和端口角色配置快速 PVST+配置快速 PVST+Configuring rapi

30、d PVST+验证 Show Run精心规划STP3.5 VLAN间路由 每个 VLAN 都是独立的广播域，所以在默认情况下，不同 VLAN 中的计算机之间无法通信。允许此类终端间通信的方法，称为 VLAN 间路由。我们将 VLAN 间路由定义为使用路由器从一个 VLAN 向另一个 VLAN 转发网络流量的过程。传统上的 LAN 路由通过有多个物理接口的路由器实现。各接口必须连接到一个独立网络，并配置不同的子网。“单臂路由器”是通过单个物理接口在网络中的多个 VLAN 之间发送流量的路由器配置。如图所示，路由器与交换机 S1 通过单一的物理网络连接相连。路由器接口被配置为中继链路，并以中继模式

31、连接到交换机端口。通过接收中继接口上来自相邻交换机的 VLAN 标记流量，以及通过子接口在 VLAN 之间进行内部路由，路由器便可实现 VLAN 间路由。随后，路由器会将发往目的 VLAN 的 VLAN 标记流量从同一物理接口转发出去。某些可执行第 3 层功能的交换机可代替专用路由器，执行网络中的基本路由。多层交换机可执行 VLAN 间路由。3.5.1 什么是子接口将路由器用作网关传统路由要求路由器具有多个物理接口，以便进行 VLAN 间路由。路由器通过每个物理接口连接到唯一的 VLAN，从而实现路由。各接口配置有一个 IP 地址，该 IP 地址与所连接的特定 VLAN 子网相关联。由于各物理

32、接口配置了 IP 地址，各个 VLAN 相连的网络设备可通过连接到同一 VLAN 的物理接口与路由器通信。本配置中，网络设备可将路由器用作网关，以访问与其它 VLAN 相连接的设备。接口和子接口 接口和子接口接口和子接口子接口是基于软件的虚拟接口，可分配到各物理接口。每个子接口配置有自己的 IP 地址、子网掩码和唯一的 VLAN 分配，使单个物理接口可同属于多个逻辑网络。这种方法适用于在网络中有多个 VLAN 但只有少数路由器物理接口的 VLAN 间路由。3.5.2 VLAN间配置实例 路由表及检验 路由表及检验路由器和交换机配置完毕并开始 VLAN 间路由后，下一步是检验路由器工作是否正常。

33、可运行 ping 命令，测试远程 VLAN 的接入设备。VLAN间路由故障排除交换机配置问题：用传统的路由器型号执行 VLAN 间路由时，先确定将连接路由器接口的交换机端口已配置到正确的 VLAN。如果交换机端口未配置到正确的 VLAN，那么配置到 VLAN 上的设备将无法连接到路由器接口，因此也不能实现到其它 VLAN 的路由。如果您怀疑交换机配置出现故障，请运行检验命令，检查配置并确定问题。VLAN分配不正确及接入模式不正确路由器配置问题：VLAN 间路由器配置最常见的错误之一是将路由器物理接口连接至错误的交换机端口，从而将其放置在错误的 VLAN 中而无法到达其它 VLAN。IP 编址问题IP 编址问题 IP 编址问题检验命令:Show run 及 ip config