交換機(jī)配置及vlan

第4章

交換型網(wǎng)絡(luò)技術(shù)與實(shí)踐1主要內(nèi)容1、交換機(jī)基本配置2、show命令的使用3、交換機(jī)端口基本配置4、VLAN的概念5、vlan的配置交換機(jī)相關(guān)實(shí)踐21、交換機(jī)的基本配置交換機(jī)的配置基于會(huì)話方式的配置

在第一次進(jìn)入交換機(jī)時(shí)出現(xiàn)或在命令行配置模式中輸入“setup”命令“yes”進(jìn)入配置，“no”不進(jìn)入，若回答“yes”后，可按“ctrl+c”退出3基于命令行的基本配置

在退出會(huì)話配置模式后則進(jìn)入基于命令行的配置。在命令行配置中可以用命令完成交換機(jī)的所有配置。41、交換機(jī)的基本配置交換機(jī)的配置模式用戶模式（UserEXEC）:switch>特權(quán)模式（PrivilegedEXEC）:Switch#用戶模式輸入enable進(jìn)入，輸exit退出到用戶模式VLAN數(shù)據(jù)庫(kù)模式（VLANdataBase）:Switch(vlan)#從#模式輸入vlandatabase進(jìn)入全局配置模式（GlobalConfiguration）:Switch(config)#從#模式輸入configterminal進(jìn)入接口配置模式(InterfaceConfiguration):Switch(config-if)#從(config)#模式輸入interface+接口號(hào)進(jìn)入終端線路配置模式(LineConfiguration):Switch(config-line)#從(config)#模式輸入line+終端標(biāo)識(shí)進(jìn)入在所有模式中，輸入exit返回上級(jí)，輸入end或ctrl+z退出5交換機(jī)的基本配置命令設(shè)置主機(jī)名通過hostname配置命令來實(shí)現(xiàn)，其用法為：hostname（名稱）設(shè)置密碼交換機(jī)的基本密碼項(xiàng)目包括Console密碼、Password密碼、Secret密碼和Telnet密碼。（1）設(shè)置Console密碼lineconsole0;pass***;login（2）設(shè)置Password密碼enablepassword***（3）設(shè)置Secret密碼enablesecret***(優(yōu)先級(jí)高）（4）設(shè)置虛擬終端密碼linevtyx;passw***;login刪除某個(gè)設(shè)置no+之前的設(shè)置命令6關(guān)閉域名查找noipdomain-lookup設(shè)置超時(shí)時(shí)間exec-timeout00輸入同步loggingsynchronous保存配置Writecopyrunning-configstartup-config“？”的使用Conf?Conf?Tab健使用72、show命令的使用查看IOS版本查看IOS版本的命令為：showversion。查看配置信息要查看交換機(jī)的配置信息，需要在特權(quán)模式中執(zhí)行showrunning-config命令。

查看端口信息若要查看某一端口的工作狀態(tài)和配置參數(shù)，可使用showinterface命令來實(shí)現(xiàn)，其用法為：showinterface端口類型端口號(hào)

查看歷史信息查看歷史信息的命令為“showhistory”，它可以列出當(dāng)前用戶輸入過的所有字符。8查看當(dāng)前時(shí)間查看當(dāng)前時(shí)間的命令為“showclock”。查看配置信息要查看交換機(jī)的配置信息，需要在特權(quán)模式中執(zhí)行showrunning-config命令。查看交換機(jī)的MAC地址表

showmac-address-table93、交換機(jī)的端口基本配置選擇端口interface端口類型端口號(hào)interfacerange端口類型起始端口號(hào)-結(jié)束端口號(hào)關(guān)閉端口進(jìn)入該端口shutdown如何打開呢？為端口指定一個(gè)描述性文字在實(shí)際配置中，可為端口指定一個(gè)描述性的注意文字，對(duì)端口的功能和用途等進(jìn)行注意，以起備忘作用，其配置命令為：descriptionxxxxxxxxxxxxxx4．設(shè)置端口通信速度設(shè)置端口通信速度的配置命令：speed[10|100|1000|auto]5．設(shè)置端口的單雙工模式設(shè)置端口的單雙工模式的配置命令：duplex[full|half|auto]10端口與mac地址綁定及端口安全Switch(config)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-security

Switch(config-if)#switchportport-securitymac-address0060.6700.dd5bSwitch(config-if)#switchportport-securityviolationrestrict

Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityViolationSecurityAction(Count)(Count)(Count)-------------------------------------------------------------------------------Fa0/113210Restrict114、vlan的概念虛擬局域網(wǎng)（VirtualLocalAreaNetwork）通常簡(jiǎn)稱為VLAN。它是將局域網(wǎng)從邏輯上劃分為一個(gè)個(gè)的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種交換技術(shù)。使用集線器或交換機(jī)所構(gòu)成的一個(gè)物理局域網(wǎng)，整個(gè)網(wǎng)絡(luò)屬于同一個(gè)廣播域。網(wǎng)橋、集線器和交換機(jī)設(shè)備都會(huì)轉(zhuǎn)發(fā)廣播幀，占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。目前，蠕蟲病毒相當(dāng)泛濫，如果不對(duì)局域網(wǎng)進(jìn)行有效的廣播域隔離，一旦病毒發(fā)起泛洪廣播攻擊，將會(huì)很快占用完網(wǎng)絡(luò)的帶寬，導(dǎo)致網(wǎng)絡(luò)的阻塞和癱瘓。12路由器上的以太網(wǎng)接口為單位來劃分網(wǎng)段，從而實(shí)現(xiàn)對(duì)廣播域的分割和隔離。路由器所能劃分出的網(wǎng)段，取決于路由器上以太網(wǎng)接口的數(shù)目，而交換機(jī)則配備有較多的以太網(wǎng)端口，為了實(shí)現(xiàn)利用交換機(jī)端口來對(duì)網(wǎng)絡(luò)進(jìn)行分段隔離，從而誕生了VLAN交換技術(shù)。

一個(gè)VLAN就是一個(gè)網(wǎng)段，通過在交換機(jī)上劃分VLAN，可將一個(gè)大的局域網(wǎng)劃分成若干個(gè)網(wǎng)段，每個(gè)網(wǎng)段內(nèi)所有主機(jī)間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會(huì)被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個(gè)VLAN就是一個(gè)廣播域，VLAN間是不能進(jìn)行直接通信的，從而就實(shí)現(xiàn)了對(duì)廣播域的分割和隔離。13通過在局域網(wǎng)中劃分VLAN，可起到以下方面的作用：控制網(wǎng)絡(luò)的廣播，增加廣播域的數(shù)量，減小廣播域的大小。便于對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制。VLAN是對(duì)端口的邏輯分組，不受任何物理連接的限制，同一VLAN中的用戶，可以連接在不同的交換機(jī)，并且可以位于不同的物理位置，增加了網(wǎng)絡(luò)連接、組網(wǎng)和管理的靈活性。

增加網(wǎng)絡(luò)的安全性。由于默認(rèn)情況下，VLAN間是相互隔離的，不能直接通訊，對(duì)于保密性要求較高的部門，比如財(cái)務(wù)處，可將其劃分在一個(gè)VLAN中，這樣，其他VLAN中的用戶，將不能訪問該VLAN中的主機(jī)，從而起到了隔離作用，并提高了VLAN中用戶的安全性。VLAN間的通訊，可通過應(yīng)用VLAN的訪問控制列表，來實(shí)現(xiàn)VLAN間的安全通訊。14Vlan標(biāo)準(zhǔn)802.1QIEEE802.1Q俗稱dot1Q，是國(guó)際標(biāo)準(zhǔn)。

TPID的值，固定為0x8100。交換機(jī)通過TPID，來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE802.1Q的VLAN信息。而實(shí)質(zhì)上的VLANID，是TCI中的12位元。由于總共有12位，因此最多可供識(shí)別4096個(gè)VLAN?；贗EEE802.1Q附加的VLAN信息，就像在傳遞物品時(shí)附加的標(biāo)簽。因此，它也被稱作“標(biāo)簽型VLAN（TaggingVLAN）”。15ISLISL是Inter

SwitchLink的縮寫，是Cisco系列交換機(jī)在幀上附加VLAN信息的協(xié)議，可用于以太網(wǎng)和令牌環(huán)網(wǎng)。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨(dú)有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個(gè)包裹起來，因此也被稱為“封裝型VLAN（EncapsulatedVLAN）”。165、vlan的配置劃分VLAN的方法——?jiǎng)澐衷瓌t根據(jù)功能/部門/應(yīng)用來劃分VLAN，不考慮用戶的物理位置交換機(jī)每個(gè)端口都屬于一個(gè)VLAN同一個(gè)VLAN的各端口共享廣播域不同VLAN的端口不共享廣播域17在一臺(tái)交換機(jī)上配置VLAN18跨越多臺(tái)交換機(jī)的VLAN19

VLAN的劃分方式—靜態(tài)VLAN靜態(tài)VLAN也就是基于端口劃分的VLAN交換機(jī)上的VLAN端口由管理員靜態(tài)分配，這些端口保持這種配置直到人工改變它們靜態(tài)VLAN的特點(diǎn)：配置簡(jiǎn)單直接監(jiān)控、安全靈活性差20

VLAN的劃分方式——?jiǎng)討B(tài)VLAN交換機(jī)上VLAN端口是由智能管理軟件動(dòng)態(tài)分配的分配原則通常以MAC地址、IP地址、組播優(yōu)點(diǎn)：系統(tǒng)自動(dòng)更新、維護(hù)VLAN，管理方便?；贛AC地址劃分的VLAN劃分VLAN后，交換機(jī)將該VLAN各端口主機(jī)的MAC地址存入應(yīng)用管理數(shù)據(jù)庫(kù)；當(dāng)主機(jī)移動(dòng)到其他端口，交換機(jī)會(huì)讀取其MAC地址，與數(shù)據(jù)庫(kù)的信息比較，若匹配，則將該端口加入正確的VLAN內(nèi)。該應(yīng)用管理數(shù)據(jù)庫(kù)由網(wǎng)絡(luò)管理人員初始化。21基于IP地址的VLAN根據(jù)連接到交換機(jī)端口上的主機(jī)的IP地址來劃分VLAN。第二層交換機(jī)不支持該功能。只有第三層交換機(jī)能做。優(yōu)點(diǎn)：當(dāng)主機(jī)IP地址改變時(shí)，交換機(jī)可以自動(dòng)識(shí)別并重新定義VLAN，不需要網(wǎng)絡(luò)管理員的干預(yù)。缺點(diǎn)：IP地址可以人為地改變，不安全?；诮M播的VLAN主要應(yīng)用于廣域網(wǎng)，解決核心層設(shè)備復(fù)制多份數(shù)據(jù)流22VLAN的配置Vlan2Vlan3Vlan2F0/1F0/2F0/3交換機(jī)在未劃分VLAN時(shí)，交換機(jī)只有VLAN1，且所有端口都處于VLAN1里。用戶不能創(chuàng)建刪除VLAN1.23

創(chuàng)建VLANSwitch#vlandatabase（進(jìn)入VLAN數(shù)據(jù)庫(kù)）Switch(vlan)#vlan10namevlan10如果不寫Name屬性，vlan的名字默認(rèn)為Vlan0002switch(vlan)#vlan20namevlan20

將端口劃入相應(yīng)VLANSwitch(config)#interfacefa0/1Switch(config-if)#switchportaccessvlan10(注意：空格不可少，interfacerangef0/1-3是無效的.用interfacerange命令時(shí)，這些端口必須是相同類型的，如：都是快速以太網(wǎng))interfacerangefa0/1-324

查看VLAN信息Switch#showvlan查看所有VLAN信息Switch#showvlanid10查看vlan10的信息

刪除VLAN例：刪除2號(hào)VLANswitch#vlandatabaseSwitch(vlan)#novlan2刪除VLAN2后，所有分配給VLAN2的端口都處于非活動(dòng)狀態(tài)，直到將它分配給別的VLAN為止25

將某個(gè)端口從VLAN中刪除Switch(config)#interfacef0/3Switch(config-if)#noswitchportaccessvlan2刪除后該端口仍處于活動(dòng)狀態(tài)。該端口屬于VLAN幾？26

關(guān)于二層交換機(jī)的ip地址Ip地址添加給管理vlan如：switch(config)#intervlan1switch(config-if)#ipadd192.168.1.1255.255.255.0在全局配置模式下還可以配默認(rèn)網(wǎng)關(guān)Switch(config)#ipdefault-gatewayX.X.X.