學習情境交換機配置與管理

學習情境交換機配置與管理第一頁，共一百四十五頁，編輯于2023年，星期二回顧學習情境1

中小型網絡拓撲規(guī)劃學習情境2

網絡地址規(guī)劃管理接下來該學什么了？學習情境3網絡互聯(lián)設備學習情境4

交換機配置管理工作任務1小型網絡組網設計工作任務2網絡設備管理接下來該干什么了？工作任務3選擇優(yōu)化的網絡設備工作任務4交換機配置管理第二頁，共一百四十五頁，編輯于2023年，星期二交換機配置與管理知識目標了解交換機的功能和體系結構；了解不同交換機配置命令的區(qū)別；熟悉DigitalChina交換機的模式；熟悉交換機升級維護的任務能力目標掌握DigitalChina交換機的操作和配置方法；掌握DigitalChina端口VLAN的設置和應用；掌握DigitalChina多交換機之間VLAN設置；掌握交換機升級維護的基本操作掌握DigitalChina交換機鏈路聚合配置方法；掌握生成樹協(xié)議的配置方法；掌握端口和MAC地址綁定的配置方法；第三頁，共一百四十五頁，編輯于2023年，星期二需要帶著問題思考：以太網交換機的分層工作？交換機的硬件組成？交換機的配置文件是什么？存放在哪里？配置文件的維護都有哪些動作？交換機的管理方式？（帶外，帶內）交換機的功能、交換方式？交換機的性能怎樣提升？怎樣使用交換機提升網絡安全性和可管理性？第四頁，共一百四十五頁，編輯于2023年，星期二以太網的交換機交換機分層：二層交換機

訪問層三層交換機會聚層（分布層）四層交換機核心交換機第五頁，共一百四十五頁，編輯于2023年，星期二交換機恢復出廠設置SWITCH#setdefaultSWITCH#writeSWITCH#reload回想：同學們做過的最熟悉的交換機任務是什么？要想對交換機設備進行管理，首先要了解什么？交換機的硬件構成、軟件基礎第六頁，共一百四十五頁，編輯于2023年，星期二交換機的硬件構成CPU:中央處理器，交換機使用特殊用途集成電路芯片ASIC，以實現(xiàn)高速數(shù)據(jù)傳輸。RAM/DRAM:主存儲器，存儲運行配置NVRAM:非易失性RAM存儲備份配置文件等FlashROM：快閃存儲器存儲系統(tǒng)軟件映像、啟動配置文件等，是可擦可編程序的ROMROM:存儲開機診斷程序、引導程序和操作系統(tǒng)軟件接口電路：交換機各端口的內部電路第七頁，共一百四十五頁，編輯于2023年，星期二網絡設備的基本存儲組件這是網絡設備啟動過程，其中1代表基本操作系統(tǒng)版本，相當一個設備自舉的過程，在這個版本可正常啟動后，系統(tǒng)將進一步讀取flash中的操作系統(tǒng)文件，將操作系統(tǒng)文件讀入到SDRAM中之后，可以正常運行之后，再從NVRAM中讀取當前的配置文件，這樣當所有信息都被讀入到SDRAM中之后，設備即可按照配置文件進行正常運行了。第八頁，共一百四十五頁，編輯于2023年，星期二二層交換設備的硬件結構第九頁，共一百四十五頁，編輯于2023年，星期二二層交換設備的硬件結構第十頁，共一百四十五頁，編輯于2023年，星期二二層交換機的硬件結構第十一頁，共一百四十五頁，編輯于2023年，星期二二層交換機的軟件結構第十二頁，共一百四十五頁，編輯于2023年，星期二二層交換設備的軟件結構第十三頁，共一百四十五頁，編輯于2023年，星期二二層交換設備的軟件結構第十四頁，共一百四十五頁，編輯于2023年，星期二二層交換設備的關鍵表項第十五頁，共一百四十五頁，編輯于2023年，星期二第十六頁，共一百四十五頁，編輯于2023年，星期二交換機的升級維護原理交換機的存儲器(包含BOOTRomFlash和NVRAM)中有下列3種類型的文件，用戶可以將其上傳到TFTP服務器進行保存，或者可以從TFTP服務器下載這些文件到Flash中使用，可以對這些文件進行復制、刪除或設置為啟動文件。配置文件操作代碼啟動代碼第十七頁，共一百四十五頁，編輯于2023年，星期二配置文件該類文件用于保存交換機的配置，用戶可以通過保存命令創(chuàng)建不同的配置文件。配置文件可以設為啟動時使用，也可以通過TFTP上傳到服務器備用。操作代碼該類文件為交換機啟動后使用的系統(tǒng)文件，或稱為執(zhí)行代碼。該代碼執(zhí)行交換機操作，提供了CLI，SNMP,Web等操作界面和管理功能。啟動代碼交換機加電自檢時使用的程序。交換機升級維護第十八頁，共一百四十五頁，編輯于2023年，星期二由于存儲器的限制，交換機一般只可以保存一個至兩個操作代碼文件和診斷代碼文件，但是只要存儲器容量允許，可以保存的配置文件數(shù)量不受限制。在每類文件中，必須指定其中的一個作為交換機啟動時使用，也就是要設置為啟動文件，交換機啟動時，執(zhí)行指定為啟動文件的啟動代碼，加載指定為啟動文件的操作代碼，并將交換機按照指定為啟動文件的配置文件來進行配置。交換機升級維護第十九頁，共一百四十五頁，編輯于2023年，星期二思考：

了解了交換機的硬件構成、軟件基礎、存儲器、配置文件、操作代碼、啟動代碼等技術內核。

下面，系統(tǒng)進行學習交換機的維護工作。掌握交換機配置管理的關鍵點。第二十頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份switch#showstartup-config%Can’topenstartup-config系統(tǒng)報錯，沒有找到名字是startup-config的文件，在交換機的NVRAM中保存的文件叫啟動配置文件，這個文件是由管理員手動保存后才生成的，沒有找到文件就意味著管理員還沒有保存過。執(zhí)行保存命令write，再次查看就可以看到啟動配置文件了。交換機升級維護第二十一頁，共一百四十五頁，編輯于2023年，星期二配置文件的備份使用copy命令，特權模式下完成。switch#copystartup-config服務器地址/文件名第二十二頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復有時候，管理員需要將保存在服務器中的配置文件恢復到交換機中?；謴褪莻浞莸姆催^程。使用copy命令switch#copy服務器地址/文件名startup-config交換機升級維護第二十三頁，共一百四十五頁，編輯于2023年，星期二交換機配置文件的恢復（還原）第二十四頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復3。交換機恢復出廠配置交換機升級維護Switch#setdefaultAreyousure?[Y/N]=ySwitch#writeSwitch#reload注意：配置本命令后，必須執(zhí)行write命令，進行配置保留后重啟交換機即可使交換機恢復到出廠設置。第二十五頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復3。交換機恢復出廠配置4。交換機系統(tǒng)操作代碼的備份系統(tǒng)映像文件是指交換機硬件驅動和軟件支持程序等的壓縮文件交換機系統(tǒng)映像文件保存在FLASH中文件名缺省為nos.img。交換機升級維護第二十六頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復3。交換機恢復出廠配置4。交換機系統(tǒng)操作代碼的備份交換機升級維護第二十七頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復3。交換機恢復出廠配置4。交換機系統(tǒng)操作代碼的備份5。交換機系統(tǒng)操作代碼的升級升級使用copy命令，把網絡下載的新版本nos.img文件拷貝到交換機switch#copy新版本的nos.imgnos.img交換機升級維護第二十八頁，共一百四十五頁，編輯于2023年，星期二通常對交換機的維護包括以下幾個方面：1。交換機配置文件的保存、備份2。交換機配置文件的恢復3。交換機恢復出廠配置4。交換機系統(tǒng)操作代碼的備份5。交換機系統(tǒng)操作代碼的升級6。特殊情況下特權用戶密碼恢復管理員忘記登錄密碼，無法登錄特權模式維護交換機，此時可以使用緊急情況下的密碼恢復命令：交換機重啟檢測內存時，按下Ctrl+Break進入BootRom模式，執(zhí)行del命令，刪除配置文件，再輸入reboot重新啟動設備就可以沒有密碼登錄特權模式了。交換機升級維護第二十九頁，共一百四十五頁，編輯于2023年，星期二

帶外管理帶外管理：網絡的管理控制信息與用戶網絡的承載業(yè)務信息在不同的邏輯信道傳送，也就是設備提供專門用于管理的帶寬。第三十頁，共一百四十五頁，編輯于2023年，星期二帶內管理帶內管理：是指網絡的管理控制信息與用戶網絡的承載業(yè)務信息通過同一個邏輯信道傳送，簡而言之，就是占用業(yè)務帶寬。第三十一頁，共一百四十五頁，編輯于2023年，星期二9針，與接顯示器的接口不同初次配置：通過console口進行配置，需要準備好交換機的console線，進行配置的電腦需要有串口帶外管理第三十二頁，共一百四十五頁，編輯于2023年，星期二帶外管理第三十三頁，共一百四十五頁，編輯于2023年，星期二(1)點擊“開始”——“程序”——“附件”——“通訊”——“超級終端”。(2)建立超級終端連接取名字：點擊后出現(xiàn)下圖界面，輸入新建連接的名稱，系統(tǒng)會為用戶把這個連接保存在附件中的通訊欄中，以便于用戶的下次使用。點擊“確定”按扭。帶外管理第三十四頁，共一百四十五頁，編輯于2023年，星期二最后一行的“連接時使用”的缺省設置是連接在“COM1”口上，點擊下拉菜單，有其他的選項，視用戶實際連接的端口而定。

帶外管理第三十五頁，共一百四十五頁，編輯于2023年，星期二點擊右下方的“還原默認值”按扭，波特率為9600，數(shù)據(jù)位8，奇偶校驗“無”，停止位1，數(shù)據(jù)流控制“無”。帶外管理第三十六頁，共一百四十五頁，編輯于2023年，星期二進入配置模式第三十七頁，共一百四十五頁，編輯于2023年，星期二配置模式第三十八頁，共一百四十五頁，編輯于2023年，星期二一般用戶模式switch>?enable--EnablePrivilegedmodeexit--Exittelnetsessionhelp--helpshow--Showrunningsysteminformationswitch>“Switch>”符號“>”為一般用戶配置模式的提示符。當用戶從特權用戶配置模式使用命令exit退出時，可以回到一般用戶配置模式。用戶在一般用戶配置模式下不能對交換機進行任何配置，只能查詢交換機的時鐘和交換。第三十九頁，共一百四十五頁，編輯于2023年，星期二特權配置模式switch>enaswitch#?clear--Clearlogginginlogbuffchannelclock--Managethesystemclock“Switch#”：在特權用戶配置模式下，用戶可以查詢交換機配置信息、各個端口的連接情況、收發(fā)數(shù)據(jù)統(tǒng)計等。

進入特權用戶配置模式后，可以進入到全局配置模式對交換機的各項配置進行修改，因此進行特權用戶配置模式必須要設置特權用戶口令，防止非特權用戶的非法使用，對交換機配置進行惡意修改，造成不必要的損失。第四十頁，共一百四十五頁，編輯于2023年，星期二全局配置模式switch(Config)#?aaa--ConfigureAAA(Authentication,Authorizationandpre-Accounting)aaa-accounting--Configureaccountingaccess-list--Addanaccesslistentry

switch(Config)#——全局配置模式在全局配置模式，用戶可以對交換機進行全局性的配置，如對MAC地址表、端口鏡像、創(chuàng)建VLAN、啟動IGMPSnooping、STP等。用戶在全局配置模式還可通過命令進入到端口對各個端口進行配置。第四十一頁，共一百四十五頁，編輯于2023年，星期二showver信息第四十二頁，共一百四十五頁，編輯于2023年，星期二showshowversion——版本信息showflash——flash中文件及大小showarp——ARP映射表showhistory——最近輸入的歷史命令showrunning-config——當前狀態(tài)配置showstartup-config——FlashMemory中交換機配置showinterfaceethernet0/0/1——交換機端口的信息第四十三頁，共一百四十五頁，編輯于2023年，星期二帶內管理Telnet遠程Shell管理HTTP遠程圖形管理TelnetClientWebuserTelnetserverWebserverConsole口Console線網線第四十四頁，共一百四十五頁，編輯于2023年，星期二Telnet遠程Shell管理設置交換機IP地址Switch(config)#interfacevlan1Switch(config-If-Vlan1)#ipaddressSwitch(config-If-Vlan1)#noshutdown交換機設置Telnet授權用戶和口令；若交換機沒有設置授權Telnet用戶，則任何用戶都無法進入交換機的CLI配置界面。Switch(config)#telnet-usertestpassword0test配置主機的IP地址，要與交換機的IP地址在同一網段在PC機上運行Telnet客戶端程序，登錄到Telnet的配置界面，輸入正確的用戶名和口令。第四十五頁，共一百四十五頁，編輯于2023年，星期二Telnet遠程Shell管理在Telnet配置界面上輸入正確的登錄名和口令，Telnet用戶就可成功的進入到交換機的CLI配置界面。Telnet登錄后與通過Console口進入后使用的命令完全一致。第四十六頁，共一百四十五頁，編輯于2023年，星期二HTTP遠程圖形管理設置交換機IP地址Switch(config)#interfacevlan1Switch(config-If-Vlan1)#ipaddressSwitch(config-If-Vlan1)#noshutdown交換機啟動HTTPServer功能Switch(config)#iphttpserver交換機設置Web授權用戶和口令；若交換機沒有設置授權Web用戶，則任何用戶都無法進入交換機的Web配置界面。Switch(config)#web-usertestpassword0test配置主機的IP地址，要與交換機的IP地址在同一網段在主機上打開Web瀏覽器，登錄到Web的配置界面，輸入正確的用戶名和口令。第四十七頁，共一百四十五頁，編輯于2023年，星期二HTTP遠程圖形管理第四十八頁，共一百四十五頁，編輯于2023年，星期二HTTP遠程圖形管理輸入正確的用戶名和密碼，進入交換機的Web配置主界面。第四十九頁，共一百四十五頁，編輯于2023年，星期二交換機基礎項目1第五十頁，共一百四十五頁，編輯于2023年，星期二交換機基礎項目2第五十一頁，共一百四十五頁，編輯于2023年，星期二二層交換機的交換功能地址學習（Addresslearning）交換機可以記住在一個接口上所收到的每個數(shù)據(jù)幀的源MAC地址，并存儲到MAC地址表中轉發(fā)/過濾決定（Forward/filterdecisons）當交換機某個接口上收到數(shù)據(jù)幀，就會查看目的MAC，并檢查MAC地址表，做出轉發(fā)/過濾決定；MAC地址表當中不存在目的MAC地址；動作：除了源MAC所在的端口，轉發(fā)數(shù)據(jù)幀給其它所有端口；MAC地址表中存在目的MAC，和源MAC不在同一個端口；動作：轉發(fā)數(shù)據(jù)幀給目的MAC所在的端口；MAC地址表中存在目的MAC，和源MAC在同一個端口；動作：過濾數(shù)據(jù)幀；避免冗余鏈路第五十二頁，共一百四十五頁，編輯于2023年，星期二交換機的交換方式第五十三頁，共一百四十五頁，編輯于2023年，星期二交換機的交換方式第五十四頁，共一百四十五頁，編輯于2023年，星期二交換機的交換方式第五十五頁，共一百四十五頁，編輯于2023年，星期二交換機管理1----生成樹第五十六頁，共一百四十五頁，編輯于2023年，星期二生成樹以太網環(huán)路產生的問題生成樹的原理標準生成樹IEEE802.1D快速生成樹IEEE802.1W按VLAN生成樹IEEE802.1S第五十七頁，共一百四十五頁，編輯于2023年，星期二生成樹協(xié)議冗余路徑會產生二層橋接環(huán)路問題，解決二層環(huán)路的方法——生成樹協(xié)議第五十八頁，共一百四十五頁，編輯于2023年，星期二主要問題廣播風暴；同一幀的多份拷貝；不穩(wěn)定的MAC地址表第五十九頁，共一百四十五頁，編輯于2023年，星期二透明橋接網絡的橋接環(huán)路問題工作站服務器E4E3E1E2交換機A交換機B廣播風暴問題1：廣播風暴第六十頁，共一百四十五頁，編輯于2023年，星期二透明橋接網絡的橋接環(huán)路問題問題2：MAC地址系統(tǒng)失效工作站服務器E4E3E1E2交換機A交換機BMAC地址系統(tǒng)失效…………00-A0-D1-D4-35-2CE100-A0-D1-D4-35-2CE200-A0-D1-D4-35-2CE1源MAC地址端口交換機A的MAC地址表…………00-A0-D1-D4-35-2CE300-A0-D1-D4-35-2CE400-A0-D1-D4-35-2CE3源MAC地址端口交換機B的MAC地址表MAC：00-A0-D1-D4-35-2C第六十一頁，共一百四十五頁，編輯于2023年，星期二生成樹協(xié)議工作站服務器E4E3E1E2交換機C327680000.08D7.120A327680000.08D7.120C交換機A交換機B交換機D327680000.08D7.120B327680000.08D7.120DE0E5E6E7E8E9根橋生成樹協(xié)議的根本目的是將一個存在物理環(huán)路的交換網絡變成一個沒有環(huán)路的邏輯樹形網絡第六十二頁，共一百四十五頁，編輯于2023年，星期二交換機的避免環(huán)路功能在于將物理環(huán)路引起的數(shù)據(jù)鏈路環(huán)路采用某種算法阻斷其中的某鏈路，從而避免數(shù)據(jù)鏈路環(huán)路的形成，而避免數(shù)據(jù)發(fā)送過程的廣播風暴問題。在這個基礎上，需要講解有關算法的簡單內容，即要生成一個無環(huán)路的樹，首先要選定一個根，其次在有根的前提下，要確定非根到根的最近端口，這些都已經確定之后，最后還要確定那些不到達根的物理網絡段中那個端口處于活動狀態(tài)，而其他端口應該處于被動狀態(tài)。這里需要明確三個大步驟：1、根交換機的選擇；2、非根交換機的根端口選擇；3、純葉子網段的活躍端口（這個端口的作用僅僅在于感知網絡邏輯拓撲的變化）。第一個步驟選擇的依據(jù)是交換機之間需要轉發(fā)一種數(shù)據(jù)幀，被稱為BPDU（生成樹協(xié)議數(shù)據(jù)單元），這個數(shù)據(jù)幀中包含有很多交換機本身和相關端口的ID信息，這樣第一大步驟的根交換機就是根據(jù)交換機本身ID來選擇的，值最小的就被選舉為根交換機，這個ID由兩部分組成：交換機優(yōu)先級和MAC地址。如圖所示。第二步選擇則依據(jù)交換機BPDU中攜帶的到達根交換機的花銷值選擇，花銷越小，端口越容易成為根端口?；ㄤN相同則比較上游交換機的ID值，上游ID值越小的端口越容易成為根端口。如果前兩項都相同，則交換機會根據(jù)上游交換機發(fā)出BPDU的端口ID來判斷，端口ID越小越容易成為根端口。第三步選擇則依據(jù)純葉子網段交換機的ID來決定哪個端口成為阻塞，哪個可以轉發(fā)數(shù)據(jù)，ID越小，交換機對應端口便成為轉發(fā)端口。另外的端口則成為阻塞端口。值得注意的是，阻塞端口只被動接收來自其他接口的數(shù)據(jù)幀，但并不處理，但對于上游交換機發(fā)送的BPDU數(shù)據(jù)幀，它還是會處理并根據(jù)情況作出狀態(tài)調整的。第六十三頁，共一百四十五頁，編輯于2023年，星期二橋接協(xié)議數(shù)據(jù)單元BPDU（BridgeProtocolDataUnit）目的MAC是多播地址01-80-C2-00-00-00BPDU數(shù)據(jù)包的格式第六十四頁，共一百四十五頁，編輯于2023年，星期二默認STP網橋參數(shù)參數(shù)描述默認狀態(tài)和取值范圍轉發(fā)延遲網絡拓撲變化發(fā)生時，網橋重新轉發(fā)前所等待的時間15秒取值范圍：4-30秒網橋最大老化時間網橋在初始化一次拓撲變化之前等待從根網橋發(fā)來的hello包的時間間隔20秒取值范圍：6-40秒Hello時間根網橋發(fā)送BPDU包的時間間隔2秒取值范圍：1-10秒優(yōu)先級用來定義根網橋的參數(shù)。最小值的網橋具有最高的優(yōu)先級，成為根網橋32768秒取值范圍：0-65535秒第六十五頁，共一百四十五頁，編輯于2023年，星期二生成樹形成過程決定根交換機決定根端口認定物理網段的指定交換機決定指定端口第六十六頁，共一百四十五頁，編輯于2023年，星期二決定根交換機Sw1Sw2Sw3Sw4A0-11-23-B1-0D-02A0-11-23-B1-0D-04A0-11-23-B1-0D-01A0-11-23-B1-0D-03BID子字段：根橋優(yōu)先級和根橋MAC地址第六十七頁，共一百四十五頁，編輯于2023年，星期二決定非根交換機的根端口Sw1Sw2Sw3Sw4A0-11-23-B1-0D-02A0-11-23-B1-0D-04A0-11-23-B1-0D-01A0-11-23-B1-0D-03根開銷優(yōu)先級端口號第六十八頁，共一百四十五頁，編輯于2023年，星期二認定物理網段的指定交換機Sw1Sw2Sw3Sw4A0-11-23-B1-0D-02A0-11-23-B1-0D-04A0-11-23-B1-0D-01A0-11-23-B1-0D-03根開銷優(yōu)先級交換機MAC第六十九頁，共一百四十五頁，編輯于2023年，星期二決定指定端口Sw1Sw2Sw3Sw4阻塞轉發(fā)轉發(fā)轉發(fā)轉發(fā)轉發(fā)轉發(fā)轉發(fā)物理網段的指定交換機第七十頁，共一百四十五頁，編輯于2023年，星期二生成樹狀態(tài)阻塞所有端口以阻塞狀態(tài)啟動以防止回路，由生成樹協(xié)議確定哪個端口切換為轉發(fā)狀態(tài)，處于阻塞狀態(tài)的端口不轉發(fā)數(shù)據(jù)幀但可接受并處理BPDU。監(jiān)聽不轉發(fā)數(shù)據(jù)幀，但檢測BPDU（臨時狀態(tài)）。學習不轉發(fā)數(shù)據(jù)幀，但學習MAC地址表（臨時狀態(tài)）。轉發(fā)可以傳送和接受數(shù)據(jù)數(shù)據(jù)幀。第七十一頁，共一百四十五頁，編輯于2023年，星期二生成樹的收斂拓撲改變的確切的定義當狀態(tài)為轉發(fā)的端口斷開時，例如disable。當網橋不獨立時，即網橋的轉發(fā)端口中有指定端口，并從這個端口收到了拓撲變化通知BPDU時生成樹的收斂兩個步驟網橋以發(fā)送BPDU的方式通知生成樹的根網橋。根網橋“播放”信息到整個網絡第七十二頁，共一百四十五頁，編輯于2023年，星期二通知根網橋

DSW1Sw1Sw2Sw3Sw4Sw5Sw6Sw7Sw8DSW2ROOT第七十三頁，共一百四十五頁，編輯于2023年，星期二快速生成樹協(xié)議（802.1w）端口作用備份端口對指定端口的同臺交換機中的備份替代端口對當前根端口的替代方案根網橋指定端口指定端口指定端口根端口根端口備份端口替換端口第七十四頁，共一百四十五頁，編輯于2023年，星期二三點改進之一端口狀態(tài)：放棄、學習和轉發(fā)當根端口/指定端口失效的情況下，替換端口/備份端口就會無時延地進入轉發(fā)狀態(tài)Sw1Sw2Sw3Sw4A0-11-23-B1-0D-02A0-11-23-B1-0D-04A0-11-23-B1-0D-01A0-11-23-B1-0D-03根端口替代端口第七十五頁，共一百四十五頁，編輯于2023年，星期二三點改進之二在只連接了兩個交換端口的點對點鏈路中，指定端口只需與下游交換機進行一次握手就可以無時延地進入轉發(fā)狀態(tài)。指定交換機下游交換機下游交換機指定交換機下游交換機下游交換機。。。。。。。。等待30秒下游交換機下游交換機1：指定交換機發(fā)出握手請求2：下游交換機阻塞指定端口3：下游交換機發(fā)出握手響應第七十六頁，共一百四十五頁，編輯于2023年，星期二三點改進之三直接與終端相連而不是把其他網橋相連的端口定義為邊緣端口（EdgePort）第七十七頁，共一百四十五頁，編輯于2023年，星期二提升交換機的性能VLAN技術堆疊與級聯(lián)鏈路聚合提升網絡安全性和可管理性私有VLAN技術端口與地址綁定技術端口鏡像技術訪問控制列表ACL技術第七十八頁，共一百四十五頁，編輯于2023年，星期二交換機管理1----VLAN技術VLAN功能第七十九頁，共一百四十五頁，編輯于2023年，星期二VLAN100VLAN200VLAN簡介第八十頁，共一百四十五頁，編輯于2023年，星期二VLAN100VLAN200基于端口的VLAN123456EthernetSwitcherVLAN100123456VLAN200EthernetSwitcher第八十一頁，共一百四十五頁，編輯于2023年，星期二VLAN在交換機中的實現(xiàn)數(shù)據(jù)1交換機內部數(shù)據(jù)1數(shù)據(jù)2數(shù)據(jù)2101102第八十二頁，共一百四十五頁，編輯于2023年，星期二VLAN劃分VLAN100PC1Console口Console線網線VLAN200PC2網線/24/24第八十三頁，共一百四十五頁，編輯于2023年，星期二VLAN劃分劃分VLAN100：包括端口e0/0/1-5Switch(Config)#vlan100 /#創(chuàng)建VLANSwitch(Config-Vlan100)#switchportinterfaceethernet0/0/1-5 /#設置相關端口的PVID劃分VLAN200：包括端口e0/0/6-10Switch(Config)#vlan200Switch(Config-Vlan200)#switchportinterfaceethernet0/0/6-10分別在VLAN100和VLAN200中接入PC機，配置IP地址在同一網段，驗證相同VLAN內主機可以互相通訊，不同VLAN內主機不能互相通訊。第八十四頁，共一百四十五頁，編輯于2023年，星期二基于MAC的VLANVLAN100VLAN200152346EthernetSwitcherVLAN100123456VLAN200EthernetSwitcher第八十五頁，共一百四十五頁，編輯于2023年，星期二基于協(xié)議的VLANVLAN100(IP)VLAN200(IPX)152346EthernetSwitcherVLAN100(IP)123456VLAN200(IPX)EthernetSwitcher第八十六頁，共一百四十五頁，編輯于2023年，星期二基于IP子網的VLANVLAN100()VLAN200()152346EthernetSwitcherVLAN100()123456VLAN200()EthernetSwitcher第八十七頁，共一百四十五頁，編輯于2023年，星期二交換機管理2----堆疊與級聯(lián)針對:集中環(huán)境或者大量終端信息點的接入問題第八十八頁，共一百四十五頁，編輯于2023年，星期二級聯(lián)與堆疊管理方式不同第八十九頁，共一百四十五頁，編輯于2023年，星期二級聯(lián)與堆疊的其它不同第九十頁，共一百四十五頁，編輯于2023年，星期二堆疊方式第九十一頁，共一百四十五頁，編輯于2023年，星期二菊花鏈堆疊第九十二頁，共一百四十五頁，編輯于2023年，星期二菊花鏈堆疊第九十三頁，共一百四十五頁，編輯于2023年，星期二堆疊練習項目第九十四頁，共一百四十五頁，編輯于2023年，星期二交換機管理3----鏈路聚合技術第九十五頁，共一百四十五頁，編輯于2023年，星期二參考生活中問題的解決第九十六頁，共一百四十五頁，編輯于2023年，星期二網絡問題的解決第九十七頁，共一百四十五頁，編輯于2023年，星期二鏈路聚合技術第九十八頁，共一百四十五頁，編輯于2023年，星期二鏈路聚合條件第九十九頁，共一百四十五頁，編輯于2023年，星期二鏈路聚合練習項目理解鏈路聚合的配置方法第一百頁，共一百四十五頁，編輯于2023年，星期二提升網絡安全性和可管理性交換機管理4----私有VLAN技術第一百零一頁，共一百四十五頁，編輯于2023年，星期二問題的解決第一百零二頁，共一百四十五頁，編輯于2023年，星期二私有VLAN技術第一百零三頁，共一百四十五頁，編輯于2023年，星期二私有VLAN的課堂練習項目第一百零四頁，共一百四十五頁，編輯于2023年，星期二提升網絡安全性和可管理性交換機管理5----端口與地址綁定技術第一百零五頁，共一百四十五頁，編輯于2023年，星期二問題的解決第一百零六頁，共一百四十五頁，編輯于2023年，星期二端口與地址的綁定第一百零七頁，共一百四十五頁，編輯于2023年，星期二端口與MAC地址動態(tài)綁定練習項目第一百零八頁，共一百四十五頁，編輯于2023年，星期二端口與MAC和IP綁定練習項目端口與MAC和IP地址的綁定第一百零九頁，共一百四十五頁，編輯于2023年，星期二交換機管理6----端口鏡像技術1提出問題提升網絡安全性和可管理性第一百一十頁，共一百四十五頁，編輯于2023年，星期二2問題解決第一百一十一頁，共一百四十五頁，編輯于2023年，星期二3網絡問題及其解決第一百一十二頁，共一百四十五頁，編輯于2023年，星期二4端口鏡像的作用第一百一十三頁，共一百四十五頁，編輯于2023年，星期二5端口鏡像的要求第一百一十四頁，共一百四十五頁，編輯于2023年，星期二6端口鏡像的實驗項目第一百一十五頁，共一百四十五頁，編輯于2023年，星期二交換機管理7----訪問控制列表ACL提升網絡安全性和可管理性第一百一十六頁，共一百四十五頁，編輯于2023年，星期二訪問控制列表配置任務列表：創(chuàng)建一個命名標準IP訪問列表（最后隱含默認是允許）：配置包過濾功能:（1）全局打開包過濾功能（2）配置默認動作(defaultaction)將accessl-list綁定到特定端口的特定方向;第一百一十七頁，共一百四十五頁，編輯于2023年，星期二ACL配置ACL介紹ACL(AccessControlLists)是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定的數(shù)據(jù)包進出網絡，交換機可以對網絡訪問進行控制，有效保證網絡的安全運行。用戶可以基于報文中的特定信息制定一組規(guī)則（rule），每條規(guī)則都描述了對匹配一定信息的數(shù)據(jù)包所采取的動作：允許通過（permit）或拒絕通過（deny）。用戶可以把這些規(guī)則應用到特定交換機端口的入口或出口方向，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進出交換機。第一百一十八頁，共一百四十五頁，編輯于2023年，星期二Access-listAccess-list是一個有序的語句集，每一條語句對應一條特定的規(guī)則(rule)。每條rule包括了過濾信息及匹配此rule時應采取的動作。Rule包含的信息可以包括源IP、目的IP、IP協(xié)議號、tcp端口等條件的有效組合。根據(jù)不同的標準，access-list可以有如下分類：根據(jù)過濾信息：ipaccess-list（三層以上信息）macaccess-list（二層信息）mac-ipaccess-list（二層以上信息）當前只支持ipaccess-list，其余兩種將在以后提供。根據(jù)配置的復雜程度：標準（standard)和擴展（extended），擴展方式可以指定更加細致過濾信息。根據(jù)命名方式：數(shù)字（numbered）和命名（named）。對一條ACL的說明應當從這三個方面加以描述。第一百一十九頁，共一百四十五頁，編輯于2023年，星期二Access-group當用戶按照實際需要制定了一組access-list之后，就可以把他們分別應用到不同端口的不同方向上。access-group就是對特定的一條access-list與特定端口的特定方向的綁定關系的描述。當您建立了一條access-group之后，流經此端口此方向的所有數(shù)據(jù)包都會試圖匹配指定的access-list規(guī)則，以決定交換動作是允許（permit）或拒絕（deny）。第一百二十頁，共一百四十五頁，編輯于2023年，星期二Access-list動作及全局默認動作Access-list動作及默認動作分為兩種：允許通過（permit）或拒絕通過（deny）。具體有如下：在一個access-list內，可以有多條規(guī)則（rule）。對數(shù)據(jù)包的過濾從第一條規(guī)則（rule）開始，直到匹配到一條規(guī)則（rule），其后的規(guī)則（rule）不再進行匹配。全局默認動作只對端口入口方向的IP包有效。對入口的非IP數(shù)據(jù)包以及出口的所有數(shù)據(jù)包，其默認轉發(fā)動作均為允許通過（permit）。只有在包過濾功能打開且端口上沒有綁定任何的ACL或不匹配任何綁定的ACL時才會匹配入口的全局的默認動作。第一百二十一頁，共一百四十五頁，編輯于2023年，星期二

ACL配置任務序列1.配置access-list（1）配置數(shù)字標準IP訪問列表（2）配置數(shù)字擴展IP訪問列表（3）配置命名標準IP訪問列表a)創(chuàng)建一個命名標準IP訪問列表b)指定多條permit或deny規(guī)則表項c)退出訪問表配置模式（4）配置命名擴展IP訪問列表a)創(chuàng)建一個命名擴展IP訪問列表b)指定多條permit或deny規(guī)則表項c)退出訪問表配置模式（5）配置數(shù)字標準MAC訪問列表（6）配置數(shù)字擴展MAC訪問列表（7）配置命名擴展MAC訪問列表a)創(chuàng)建一個命名擴展MAC訪問列表b)指定多條permit或deny規(guī)則表項c)退出MAC訪問表配置模式（8）配置數(shù)字擴展MAC-IP訪問列表（9）配置命名擴展MAC-IP訪問列表a)創(chuàng)建一個命名擴展MAC-IP訪問列表b)指定多條permit或deny規(guī)則表項c)退出MAC-IP訪問表配置模式第一百二十二頁，共一百四十五頁，編輯于2023年，星期二ACL配置任務序列2.配置包過濾功能（1）全局打開包過濾功能（2）配置默認動作(defaultaction)3.配置時間范圍功能（1）創(chuàng)建時間范圍名稱（2）配置周期性時段（3）配置絕對性時段4.將accessl-list綁定到特定端口的特定方向5.清空指定接口的包過濾統(tǒng)計信息第一百二十三頁，共一百四十五頁，編輯于2023年，星期二配置數(shù)字標準IP訪問列表

access-list<num>{deny|permit}{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}noaccess-list<num>

第一百二十四頁，共一百四十五頁，編輯于2023年，星期二配置數(shù)字擴展IP訪問列表

access-list<num>{deny|permit}icmp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>]創(chuàng)建一條icmp數(shù)字擴展IP訪問規(guī)則；如果此編號數(shù)字擴展訪問列表不存在則創(chuàng)建此訪問列表。access-list<num>{deny|permit}igmp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>]創(chuàng)建一條igmp數(shù)字擴展IP訪問規(guī)則；如果此編號數(shù)字擴展訪問列表不存在則創(chuàng)建此訪問列表。access-list<num>{deny|permit}tcp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][ack|fin|psh|rst|syn|urg][precedence<prec>][tos<tos>]創(chuàng)建一條tcp數(shù)字擴展IP訪問規(guī)則；如果此編號數(shù)字擴展訪問列表不存在則創(chuàng)建此訪問列表。access-list<num>{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]創(chuàng)建一條udp數(shù)字擴展IP訪問規(guī)則；如果此編號數(shù)字擴展訪問列表不存在則創(chuàng)建此訪問列表。access-list<num>{deny|permit}{eigrp|gre|igrp|ipinip|ip|<int>}{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[precedence<prec>][tos<tos>]創(chuàng)建一條匹配其他特定IP協(xié)議或所有IP協(xié)議的數(shù)字擴展IP訪問規(guī)則；如果此編號數(shù)字擴展訪問列表不存在則創(chuàng)建此訪問列表。noaccess-list<num>刪除一條數(shù)字擴展IP訪問列表。第一百二十五頁，共一百四十五頁，編輯于2023年，星期二配置命名標準IP訪問列表創(chuàng)建一個命名標準IP訪問列表ipaccessstandard<name>noipaccessstandard<name>指定多條permit或deny規(guī)則[no]{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}退出命名標準IP訪問列表配置模式Exit第一百二十六頁，共一百四十五頁，編輯于2023年，星期二創(chuàng)建一個命名擴展IP訪問列表

創(chuàng)建一個命名擴展IP訪問列表

ipaccessextended<name>noipaccessextended<name>

指定多條permit或deny規(guī)則

見下頁退出命名擴展IP訪問列表配置模式

Exit

第一百二十七頁，共一百四十五頁，編輯于2023年，星期二指定多條permit或deny規(guī)則[no]{deny|permit}icmp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>][tos<tos>]創(chuàng)建一條icmp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。[no]{deny|permit}igmp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tos<tos>]創(chuàng)建一條igmp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。[no]{deny|permit}tcp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][ack|fin|psh|rst|syn|urg][precedence<prec>][tos<tos>]創(chuàng)建一條tcp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]創(chuàng)建一條udp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|<int>}{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[precedence<prec>][tos<tos>]創(chuàng)建一條其他IP協(xié)議的命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。第一百二十八頁，共一百四十五頁，編輯于2023年，星期二開啟訪問控制列表功能firewallenable命令：firewall{enable|disable}功能：允許防火墻起作用或禁止防火墻起作用。參數(shù)：enable表示允許防火墻起作用；disable表示禁止防火墻起作用。缺省情況：缺省為防火墻不起作用。命令模式：全局配置模式使用指南：在允許和禁止防火墻時，都可以設置訪問規(guī)則。但只有在防火墻起作用時才可以將規(guī)則應用至特定端口的特定方向上。使防火墻不起作用后將刪除端口上綁定的所有ACL。第一百二十九頁，共一百四十五頁，編輯于2023年，星期二配置默認動作firewalldefaultpermit命令：firewalldefault{permit|deny}功能：設置防火墻默認動作。參數(shù)：permit表示允許數(shù)據(jù)包通過；deny表示拒絕數(shù)據(jù)包通過。命令模式：全局配置模式缺省情況：缺省動作為permit。使用指南：此命令只影響端口入口方向的IP包，其余情況下數(shù)據(jù)包均可通過交換機第一百三十頁，共一百四十五頁，編輯于2023年，星期二將accessl-list綁定到特定端口的特定方向ipaccess-group<name>{in|out}noipaccess-group<name>{in|out}第一百三十一頁，共一百四十五頁，編輯于2023年，星期二訪問控制列表vlan2

vlan3

vlan4

禁止VLAN2的ICMP數(shù)據(jù)報通過，并過濾掉80、53端口5526S第一百三十二頁，共一百四十五頁，編輯于2023年，星期二交換機基礎配置Vlan2Interfaceethernet0/0/1-5Vlan3Interfaceethernet0/0/6-10Vlan4Interfaceethernet0/0/11-15Interfacevlan2IpaddressInterfacevlan3IpaddressInterfacevlan4Ipaddress第一百三十三頁，共一百四十五頁，編輯于2023年，星期二訪問控制列表配置建立訪問控制列表：Switch(Config)#ipaccess-listextendedtest1denyicmp5555permittcp5555d-port80permittcp5555d-port53permitudp5555d-port53配置包過濾功能Switch(Config)#firewallenable注：此命令允許防火墻起作用。在允許和禁止防火墻時，都可以設置訪問規(guī)則，但只有在防火墻起作用時才可以將規(guī)則應用至特定端口的特定方向上。Switch(Config)#firewalldefaultpermit注：此命令設置防火墻默認動作，缺省動作為permit。綁定ACL到端口Switch(Config)#interfaceethernet0/0/1-5Switch(Config-Ether