第5章 交換技術(shù).ppt

1、第5章 交換技術(shù),5.1 交換機(jī)基礎(chǔ),交換機(jī) (Switch)它是集線器的升級換代產(chǎn)品，擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣,它的所有端口都掛接在這條背部總線上。 交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗(yàn)、幀序列以及流量控制。交換機(jī)能夠連接同種或不同類型的網(wǎng)絡(luò)。,交換機(jī)是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)對于因第一次發(fā)送到目的地址不成功的數(shù)據(jù)包會再次對所有節(jié)點(diǎn)同時發(fā)送，企圖找到這個目的MAC地址，找到后就會把這個地址重新加入到自己的MAC地址列表中，這樣下次再發(fā)送到這個節(jié)點(diǎn)時就不會發(fā)錯。,交換機(jī)的每一端口都是獨(dú)享交換機(jī)的一部分總帶寬，這樣在速率上

2、對于每個端口來說有了根本的保障。交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過交換機(jī)。,交換機(jī)有三種主要的交換技術(shù)： 端口交換：這類集線器的背板通常劃分有多條以太網(wǎng)段，以大主模塊插入后通常被分配到某個背板的網(wǎng)段上，端口交換用于將以太模塊的端口在背板的多個網(wǎng)段之間進(jìn)行分配、平衡。根據(jù)支持的程度，端口交換還可細(xì)分為：模塊交換、端口組交換、端口級交換。 幀交換：通過對傳統(tǒng)傳輸媒介進(jìn)行微分段，提供并行傳送的機(jī)制，以減小沖突域，獲得高的帶寬。對網(wǎng)絡(luò)幀的處理方式：直通交換和存儲轉(zhuǎn)發(fā)。,信元交換：ATM采用固定長度53個字節(jié)的信元交換，采用專用的非差別連接，并行運(yùn)行，可以通過一個交換機(jī)同時建立多個節(jié)點(diǎn)，還容許在源節(jié)點(diǎn)和目標(biāo)

3、、節(jié)點(diǎn)建立多個虛擬鏈接，采用了統(tǒng)計(jì)時分電路進(jìn)行復(fù)用。,交換機(jī)的重要技術(shù)參數(shù)介紹,轉(zhuǎn)發(fā)技術(shù)：轉(zhuǎn)發(fā)技術(shù)是指交換機(jī)所采用的用于決定如何轉(zhuǎn)發(fā)數(shù)據(jù)包的轉(zhuǎn)發(fā)機(jī)制。 直通轉(zhuǎn)發(fā)技術(shù)：一旦解讀到數(shù)據(jù)包目的地址，就開始向目的端口發(fā)送數(shù)據(jù)包。優(yōu)點(diǎn)：轉(zhuǎn)發(fā)速率快、減少延時和提高整體吞吐率；缺點(diǎn)：交換機(jī)在沒有完全接收并檢查數(shù)據(jù)包的正確性之前就已經(jīng)開始了數(shù)據(jù)轉(zhuǎn)發(fā)。 存儲轉(zhuǎn)發(fā)技術(shù)：交換機(jī)在接收到全部數(shù)據(jù)包后再決定如何轉(zhuǎn)發(fā)。優(yōu)點(diǎn)：沒有殘缺數(shù)據(jù)包轉(zhuǎn)發(fā)，減少了潛在的不必要數(shù)據(jù)轉(zhuǎn)發(fā)。缺點(diǎn)：轉(zhuǎn)發(fā)速率比直接轉(zhuǎn)發(fā)技術(shù)慢。 碰撞逃避轉(zhuǎn)發(fā)技術(shù)：在高轉(zhuǎn)發(fā)速率和高正確率之間選擇了一條折衷的解決辦法。,延時：指從交換機(jī)接收到數(shù)據(jù)包到開始向目的端口復(fù)

4、制數(shù)據(jù)包之間的時間間隔。采用直通轉(zhuǎn)發(fā)技術(shù)的交換機(jī)有固定的延時；采用存儲轉(zhuǎn)發(fā)技術(shù)的交換機(jī)的延時與數(shù)據(jù)包大小有關(guān)。 管理功能：指交換機(jī)如何控制用戶訪問交換機(jī)，以及用戶對交換機(jī)的可視程度如何。 單/多MAC地址類型：單MAC交換機(jī)的每個端口只有一個MAC硬件地址。多MAC交換機(jī)的每個端口捆綁有多個MAC硬件地址。,外接監(jiān)視支持：允許外接網(wǎng)絡(luò)分析儀直接連接到交換機(jī)上監(jiān)視網(wǎng)絡(luò)狀況。 擴(kuò)展樹：交換機(jī)一般采用擴(kuò)展樹協(xié)議算法讓網(wǎng)絡(luò)中的每一個橋接設(shè)備相互知道，自動防止拓?fù)洵h(huán)現(xiàn)象，帶有擴(kuò)展樹協(xié)議支持的交換機(jī)可以用于連接網(wǎng)絡(luò)中關(guān)鍵資源的交換冗余。 全雙工：全雙工端口可以同時發(fā)送和接收數(shù)據(jù)，優(yōu)點(diǎn)：高吞吐量，避免碰撞，

5、突破長度限制。 高速端口集成：常見的高速端口有FDDI，F(xiàn)ast Ethernet / Gigabit Ethernet。,5.1.1 MAC表的建立,MAC地址表顯示了主機(jī)的MAC地址與以太網(wǎng)交換機(jī)端口映射關(guān)系，指出數(shù)據(jù)幀去往目的主機(jī)的方向。 如果在MAC地址表中沒有相應(yīng)的匹配項(xiàng)，則向除接收端口外的所有端口廣播該數(shù)據(jù)幀，有人將這種操作翻譯為泛洪。而當(dāng)MAC地址表中有匹配項(xiàng)時，該匹配項(xiàng)指定的交換機(jī)端口與接收端口相同則表明該數(shù)據(jù)幀的目的主機(jī)和源主機(jī)在同一廣播域中，不通過交換機(jī)可以完成通信，交換機(jī)將丟棄該數(shù)據(jù)幀。否則，交換機(jī)將把該數(shù)據(jù)幀轉(zhuǎn)發(fā)到相應(yīng)的端口。,交換機(jī)能夠?qū)V播幀的轉(zhuǎn)發(fā)進(jìn)行限制，能對泛洪

6、這種操作進(jìn)行限制，還可以檢查收到數(shù)據(jù)幀的源MAC地址，并查找MAC地址表中與之相匹配的項(xiàng)。 泛洪現(xiàn)象，數(shù)據(jù)幀的丟棄這兩個測試意義非常重要，MAC地址表學(xué)習(xí)和MAC地址老化時間的設(shè)定會影響到測試結(jié)果。,5.1.2 管理冗余鏈路,5.1.2.1 關(guān)于冗余鏈路的技術(shù)綜述 如果網(wǎng)橋接到一個數(shù)據(jù)幀時，該幀的目的位于接收端口的網(wǎng)段上，就過濾掉該數(shù)據(jù)幀；如果目的MAC地址位于另一個端口，網(wǎng)橋就將該幀轉(zhuǎn)發(fā)到該端口。當(dāng)網(wǎng)橋接收廣播幀時，它立即轉(zhuǎn)發(fā)到除接收端口之外的所有其他端口，有的時候，交換機(jī)學(xué)不到正確的信息，數(shù)據(jù)幀永遠(yuǎn)朝著錯誤的方向發(fā)送，當(dāng)網(wǎng)絡(luò)存在環(huán)路時，交換機(jī)處理器的利用率會從上升到，橋接環(huán)路也會給路由器帶

7、來一定的影響。當(dāng)網(wǎng)絡(luò)內(nèi)用冗余鏈路連接多個第層交換機(jī)時，就存在第層交換環(huán)路的潛在危險(xiǎn)。由單播幀引起的網(wǎng)絡(luò)瓶頸也可以讓網(wǎng)絡(luò)癱瘓。,生成樹協(xié)議（STP）就是為了克服冗余網(wǎng)絡(luò)中透明網(wǎng)橋的環(huán)路問題而創(chuàng)建的，生成樹算法復(fù)雜,但用于收斂出一個無環(huán)拓?fù)涞某跏歼^程只包括下面的3個步驟： 選擇根網(wǎng)橋 選擇根端口 選擇指定端口 當(dāng)有交換機(jī)加入或從網(wǎng)絡(luò)移去，或者鏈路失效時，要重新計(jì)算機(jī)生成樹生成樹總是使用相同的步判決過程： 確定根網(wǎng)橋 計(jì)算到根網(wǎng)橋的最小路徑成本 確定最小的發(fā)送方網(wǎng)橋ID 確定最小的端口ID,為了作出好的決定，STP需要保證： 參于過程的所有網(wǎng)橋都包含正確的信息。 網(wǎng)橋之間需要傳遞STP信息傳遞生成樹

8、信息時，交換機(jī)使用稱為網(wǎng)橋數(shù)據(jù)單元的層數(shù)據(jù)幀。 網(wǎng)橋啟動時，所有的端口都會每隔秒（缺?。┌l(fā)送一次BPDU然而，如果一個端口從其他網(wǎng)橋收到更好的BPDU，就會停止發(fā)送BPDU如果連續(xù)20秒都沒有收到鄰居發(fā)送的更好的BPDU，本地端口就會繼續(xù)發(fā)送BPDU最大時限是最佳BPDU的超時時間。 STP的核心就是生成樹算法生成樹算法是根據(jù)一組參數(shù)來進(jìn)行判別的。,根路徑成本和路徑成本的區(qū)別如下： 根路徑成本包含在BPDU之中，而且，其他交換機(jī)在累加根路徑成本值時，可能會修改根路徑成本的值。 路徑成本是不包括在BPDU報(bào)文中的，而且，只有本地交換機(jī)才知道該端口路徑成本路徑成來只有本地意義。,網(wǎng)橋ID是一個字節(jié)

9、的字段：前個字節(jié)的十進(jìn)制數(shù)被稱為網(wǎng)橋優(yōu)先級，取值范圍65535，缺省值：32768；后個字節(jié)是MAC地址，每個交換機(jī)都有一個MAC地址。 兩個網(wǎng)橋ID不會相同，因?yàn)榻粨Q機(jī)上分配的MAC地址都是全局惟一的。,端口ID是一個字節(jié)的STP參數(shù)，第一個數(shù)字被稱為端口優(yōu)先級，第二數(shù)字被稱為端口編號，兩個數(shù)字都是位。 端口ID越低，其優(yōu)先級越高。在模塊上，端口編號要求是連續(xù)的，但在模塊之間不需要。,BPDU共有兩種類型： 配置BPDU ，用于生成樹計(jì)算； 拓?fù)渥兏ǜ妫═opology Change Notfication） BPDU ，用于通告網(wǎng)絡(luò)拓?fù)涞淖兓?根網(wǎng)橋的選擇 是一個反復(fù)的過程，如果有交換

10、機(jī)加入進(jìn)來，每臺交換機(jī)開始時發(fā)送一些含根網(wǎng)橋ID和發(fā)送網(wǎng)橋ID的BPDU報(bào)文，并使這兩個ID分別等于它自己的網(wǎng)橋ID，生成樹選擇進(jìn)程對收到報(bào)文進(jìn)行分析，看它的根網(wǎng)橋ID是否比其他的要小，如果兩個網(wǎng)橋的優(yōu)先級相等，剛認(rèn)為MAC地址較小的那個網(wǎng)橋ID較好，經(jīng)過一段時間后，生成樹收斂了。,當(dāng)選舉完根網(wǎng)橋之后，每臺交換機(jī)必須和根網(wǎng)橋建立某種關(guān)聯(lián)，生成樹協(xié)議在網(wǎng)橋上面開始選擇根端口和指定端口。為了選擇端口，生成樹協(xié)議要考察BPDU中的個部分：到根網(wǎng)橋的最低根路徑成本，最小的發(fā)送網(wǎng)橋ID ，最小的端口ID。 選擇一個根端口的根據(jù)是比較根路徑成本，如果根路徑成本相同，然后比較網(wǎng)橋ID和端口ID 。 選擇指定

11、端口是在每一個網(wǎng)段上標(biāo)定一個指定端口，交換機(jī)根據(jù)到達(dá)根網(wǎng)橋的最小根路徑累加值選擇一個指定端口。,確定一個根路徑成本 當(dāng)根網(wǎng)橋的端口就在它本身上，根網(wǎng)橋發(fā)送一個根路徑成本值為的BPDU報(bào)文。 當(dāng)離根網(wǎng)橋最近的下一級交換機(jī)收到BPDU報(bào)文時，就把BPDU所到達(dá)的那個端口的路徑成本與根網(wǎng)橋的根路徑成本值相加。 鄰接交換機(jī)再以這個新的累加值作為根路徑成本，然后發(fā)送出包含此值的路徑BPDU報(bào)文 當(dāng)這個鄰接交換機(jī)下面的每一臺都收到這個BPDU報(bào)文時，再把隨后的交換機(jī)端口路徑成本與這個值相加，仿效類推,STP配置根端口和指定端口對數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，配置非指定端口進(jìn)入阻塞狀態(tài)，以消除環(huán)路。交換機(jī)的每一個端口都必須

12、依次經(jīng)歷好幾種狀態(tài)。 disable（禁用）由網(wǎng)絡(luò)管理員設(shè)定或因網(wǎng)絡(luò)故障由系統(tǒng)的端口處于shutdown狀態(tài)。 blocking（阻塞）在端口初始化后，一個端口既不能接收或發(fā)送數(shù)據(jù)，也不能向它的地址表添加MAC地址。相反，這樣的一個端口僅允許接收BPDU報(bào)文，以便偵聽聽到其他鄰接交換機(jī)的信息。,listening（偵聽）如果一個交換機(jī)認(rèn)為一個端口可選為根端口或指定端口，那么，它就把該端口blocking狀態(tài)變?yōu)閘istening狀態(tài)。 learning（學(xué)習(xí)）一個端口在listening狀態(tài)下經(jīng)過一段時間（轉(zhuǎn)發(fā)延遲）后，將轉(zhuǎn)為learning狀態(tài)。該端口仍像從前一樣發(fā)送和接收BPDU報(bào)文。 f

13、orwarding（轉(zhuǎn)發(fā)）發(fā)送接收用戶數(shù)據(jù)。,5.1.2.2 STP的目的與運(yùn)作 生成樹協(xié)議 Spanning Tree 定義在 IEEE 802.1D 中，是一種橋到橋的鏈路管理協(xié)議，它在防止產(chǎn)生自循環(huán)的基礎(chǔ)上提供路徑冗余。該協(xié)議規(guī)定了網(wǎng)橋創(chuàng)建無環(huán)回loop free 邏輯拓?fù)浣Y(jié)構(gòu)的算法。生成樹協(xié)議操作對終端站透明，通過發(fā)送 BPDU 信息為交換網(wǎng)絡(luò)配置根交換和根端口，并為每個交換網(wǎng)路區(qū)段（switched segment）配置根端口和指定端口。,網(wǎng)橋中的生成樹算法可以用來決定如何使用生成樹協(xié)議。利用生成樹算法可以決定網(wǎng)絡(luò)路徑（哪臺計(jì)算機(jī)主機(jī)在哪個區(qū)段），并通過 BPDU 信息交換以上數(shù)據(jù)。

14、該過程主要分為以下兩個步驟： 通過評估網(wǎng)橋接收的配置信息以及選擇最佳選項(xiàng)，再利用生成樹算法來決定網(wǎng)橋發(fā)送的最佳信息。 一旦選定某發(fā)送信息，網(wǎng)橋?qū)⒃撔畔⑴c來自無根（non-root）連接的可能配置信息相比較。如果步驟1中選擇的最佳選項(xiàng)并不優(yōu)于可能配置信息，便刪除該端口。,配置STP的實(shí)例： 設(shè)置STP模式： config spanning-tree mode。 配置STP： create stpd和delete stpd可以創(chuàng)建或刪除STP， config stpd可以使能或關(guān)閉STP，config stpd port使能或關(guān)閉指定STP的端口。 配置STP的參數(shù)：常用命令config stpd

15、 forwarddelay，config stpd maxage，config stpd port priority 。 顯示STP狀態(tài)：show stpd。,5.1.3 網(wǎng)橋與交換機(jī)的區(qū)別 局域網(wǎng)交換機(jī)的基本功能與網(wǎng)橋一樣，具有幀轉(zhuǎn)發(fā)、幀過濾和生成樹算法功能，且都工作在數(shù)據(jù)鏈路層，但是還是存在不同的： 交換機(jī)是多個網(wǎng)橋功能的集合，可以把網(wǎng)絡(luò)系統(tǒng)劃分成為更多的物理網(wǎng)段，交換機(jī)的傳輸速率要快于網(wǎng)橋，網(wǎng)橋通常要接收到完整的數(shù)據(jù)幀并執(zhí)行幀檢測序列FCS后才開始轉(zhuǎn)發(fā)該數(shù)據(jù)幀，而交換機(jī)具有存儲轉(zhuǎn)發(fā)和直接轉(zhuǎn)發(fā)兩種幀轉(zhuǎn)發(fā)方式。,根據(jù)產(chǎn)品的不同特點(diǎn)對網(wǎng)橋進(jìn)行劃分 本地網(wǎng)橋：用來提供同一地理區(qū)域內(nèi)的多個局域網(wǎng)段

16、之間的直接連接； 遠(yuǎn)程網(wǎng)橋：用于連接不同區(qū)域內(nèi)的局域網(wǎng)段，一般都需要使用電話線路。,5.1.4 交換機(jī)的類型,從網(wǎng)絡(luò)覆蓋范圍劃分 廣域網(wǎng)交換機(jī)：主要是應(yīng)用于電信城域網(wǎng)互聯(lián)、互聯(lián)網(wǎng)接入等領(lǐng)域的廣域網(wǎng)中，提供通信用的基礎(chǔ)平臺。 局域網(wǎng)交換機(jī)：用于連接終端設(shè)備，如服務(wù)器、工作站、集線器、路由器、網(wǎng)絡(luò)打印機(jī)等網(wǎng)絡(luò)設(shè)備，提供高速獨(dú)立通信通道。,根據(jù)傳輸介質(zhì)和傳輸速度劃分 以太網(wǎng)交換機(jī)：帶寬在100Mbps以下 快速以太網(wǎng)交換機(jī)：實(shí)現(xiàn)100Mbps傳輸帶寬的網(wǎng)絡(luò)技術(shù) 千兆以太網(wǎng)交換機(jī)：帶寬可以達(dá)到1000Mbps 10千兆以太網(wǎng)交換機(jī)：采用光纖 ATM交換機(jī)：支持語音，視頻和數(shù)據(jù)應(yīng)用 FDDI交換機(jī),根據(jù)

17、應(yīng)用層次劃分 企業(yè)級交換機(jī)：采用模塊化的結(jié)構(gòu)，可以提供用戶化定制、優(yōu)先級隊(duì)列服務(wù)和網(wǎng)絡(luò)安全控制，并能很快適應(yīng)數(shù)據(jù)增長和改變的需要。 校園網(wǎng)交換機(jī)：具有快速數(shù)據(jù)交換和全雙工能力，提供容錯等智能特性，還支持?jǐn)U充選項(xiàng)及第三層交換中的虛擬局域網(wǎng)等多種功能。 部門級交換機(jī)：可以是固定配置，也可以是模塊配置。 工作組交換機(jī)：沒有網(wǎng)絡(luò)管理的功能。 桌面型交換機(jī)：支持的每端口MAC地址很少。,根據(jù)交換機(jī)的結(jié)構(gòu)劃分 固定端口交換機(jī)：所帶有的端口是固定的，不能再擴(kuò)展，又分為桌面式和機(jī)架式。 模塊化交換機(jī)：擁有更大的靈活性和可擴(kuò)充性。,根據(jù)交換機(jī)工作的協(xié)議層劃分 第二層交換機(jī)：工作在數(shù)據(jù)鏈路層，主要功能包括物理編址

18、、錯誤校驗(yàn)、幀序列以及數(shù)據(jù)流控制。 第三層交換機(jī)：工作在網(wǎng)絡(luò)層，具有路由功能。 第四層交換機(jī)：工作在傳輸層，為每個供搜尋使用的服務(wù)器組設(shè)立虛IP地址，每組服務(wù)器支持某種應(yīng)用。,根據(jù)是否支持網(wǎng)管功能分 “網(wǎng)管型”：任務(wù)就是使所有的網(wǎng)絡(luò)資源處于良好的狀態(tài)，提供了基于終端控制口（Console）、基于Web頁面以及支持Telnet遠(yuǎn)程登錄網(wǎng)絡(luò)等多種網(wǎng)絡(luò)管理方式，支持SNMP協(xié)議，采用嵌入式遠(yuǎn)程監(jiān)視（標(biāo)準(zhǔn)用于跟蹤流量和會話，提供基于策略的QoS。 “非網(wǎng)管型”,交換機(jī)應(yīng)用中有幾個值得注意的問題 網(wǎng)絡(luò)中的瓶頸問題：在當(dāng)前的客戶服務(wù)器模式的網(wǎng)絡(luò)中多臺工作站同時訪問服務(wù)器時容易形成服務(wù)器瓶頸。解決方法：在交

19、換機(jī)中設(shè)計(jì)了一個或多個高速端口，用戶也可以通過設(shè)計(jì)多臺服務(wù)器或追加多個網(wǎng)卡來消除瓶頸。 網(wǎng)絡(luò)中的廣播幀：局域網(wǎng)中廣播包的存在會大大降低交換機(jī)的效率，可以利用交換機(jī)的虛擬網(wǎng)功能將廣播包限制在一定范圍內(nèi)。 虛擬網(wǎng)的劃分：靜態(tài)端口分配、動態(tài)虛擬網(wǎng)、多虛擬網(wǎng)端口配置。 高速局域網(wǎng)技術(shù)的應(yīng)用：100BASE-TX、100BASAE-T4及100BASE-FX對傳輸距離和級連都有了比較大的限制，通過100Mbps的交換機(jī)可以打破這些局限。,5.1.5交換機(jī)的工作模式,直通方式：在輸入端口檢測到一個數(shù)據(jù)包時，獲取包的目的地址，啟動內(nèi)部的動態(tài)查找表轉(zhuǎn)換成相應(yīng)的輸出端口，在輸入與輸出交叉處接通，把數(shù)據(jù)包直通到相

20、應(yīng)的端口，實(shí)現(xiàn)交換功能。優(yōu)點(diǎn)：不需要存儲，延遲小，交換快；缺點(diǎn)：不能提供錯誤檢測能力，不能將具有不同速率的輸入/輸出端口直接接通。 存儲轉(zhuǎn)發(fā)方式：把輸入端口的數(shù)據(jù)包先存儲起來，然后進(jìn)行CRC撿查，在對錯誤包處理后才取出數(shù)據(jù)包的目的地址，通過查找表轉(zhuǎn)換成輸出端口送出包。優(yōu)點(diǎn)：對進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行錯誤檢測，支持不同速度的輸入輸出端口的轉(zhuǎn)換；缺點(diǎn)：數(shù)據(jù)處理時延時大。,5.1.6 簡單配置命令與實(shí)例,配置命令： 在基于IOS的交換機(jī)上設(shè)置主機(jī)名/系統(tǒng)名: switch(config)# hostname 在基于CLI的交換機(jī)上設(shè)置主機(jī)名/系統(tǒng)名: switch(enable)set system

21、name 在基于IOS的交換機(jī)上設(shè)置登錄口令: switch(config)# enable password level 1 password 在基于CLI的交換機(jī)上設(shè)置登錄口令: switch(enable) set password switch(enable) set enalbepass,從一條中繼鏈路上刪除VLAN: switch(enable) clear trunk module/port vlan-range 配置LECS: ATM(config)# lane database database-name ATM(lane-config-databade)# name ela

22、n1-name server- atm-address les1-nsap-address ATM(lane-config-databade)# name elan2-name server- atm-address les2-nsap-address ATM(lane-config-databade)# name 配置默認(rèn)路由: switch(enable) set ip route default gateway 顯示MLS高速緩存記錄： switch(enable) show mls entry,實(shí)際配置案例 配置要求：VLAN、VLAN Trunk、VTP在交換機(jī)的配置中是非常重要的內(nèi)

23、容，本實(shí)驗(yàn)就是有關(guān)這幾項(xiàng)配置的基本操作。 實(shí)驗(yàn)?zāi)康模和ㄟ^本實(shí)驗(yàn)，讀者可以掌握: 配置VLAN; 通過VLAN Trunk配置跨交換機(jī)的VLAN; 配置VTP; 使用校驗(yàn)命令查看上述配置項(xiàng)目的相關(guān)信息 設(shè)備需求 ：本實(shí)驗(yàn)需要以下設(shè)備及相關(guān)網(wǎng)線: Cisco Catalyst 1900系列交換機(jī)2臺，交叉線序網(wǎng)線1條，及用于反向Telnet的相應(yīng)電纜，1臺帶有超級終端程序的PC機(jī)，以及Consoie電纜及轉(zhuǎn)接器。,線纜連接及配置說明：用交叉網(wǎng)線把 SW1交換機(jī)的Fast Ethernet0/26端口和SW2交換機(jī)的Fast Ethernet0/26端口連接起來。,開始配置： 第1步：在SW1和SW

24、2上配置VTP及trunk 第2步：Telnet 到SW2上對SW2配置VTP及trunk 第3步：配置VLAN和查看VTP信息,5.2 虛擬局域網(wǎng)VLAN,虛擬網(wǎng)絡(luò)是在整個網(wǎng)絡(luò)中通過網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網(wǎng)及地理位置無關(guān)。 虛擬網(wǎng)廣播域的縮小，使網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。,5.2.1 VLAN綜述,VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。 VLAN技術(shù)允許網(wǎng)絡(luò)管

25、理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里。,VLAN在交換機(jī)上的實(shí)現(xiàn)方法，劃分為4類： 基于端口劃分VLAN：根據(jù)以太網(wǎng)交換機(jī)的端口來劃分。優(yōu)點(diǎn)：定義成員非常簡單；缺點(diǎn)：如果用戶到了一個新的交換機(jī)的某個端口就必須重新定義。 基于MAC地址劃分VLAN：根據(jù)每個主機(jī)的MAC地址來劃分。優(yōu)點(diǎn)：當(dāng)用戶物理位置移動時，VLAN不用重新配置；缺點(diǎn)：初始化時，所有的用戶都必須進(jìn)行配置。,基于網(wǎng)絡(luò)層劃分VLAN ：根據(jù)每

26、個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分。優(yōu)點(diǎn)：用戶的物理位置改變不需要重新配置所屬的VLAN，可以根據(jù)協(xié)議類型來劃分VLAN，不需要附加的幀標(biāo)簽來識別VLAN；缺點(diǎn)：效率低。 根據(jù)IP組播劃分VLAN：認(rèn)為一個組播組就是一個VLAN。優(yōu)點(diǎn)：將VLAN擴(kuò)大到了廣域網(wǎng)，更大的靈活性，很容易通過路由器進(jìn)行擴(kuò)展；缺點(diǎn)：效率不高。,5.2.2 VLAN間連接類型,VLAN之間的數(shù)據(jù)傳輸要借助路由手段來實(shí)現(xiàn)，根據(jù)路由功能位置的不同，有五種不同的VLAN路由模式： 邊界路由：將路由功能包含在位于主干網(wǎng)絡(luò)邊界的每一個LAN交換設(shè)備中，無需再將其傳送至某個外部的路由器上。優(yōu)點(diǎn)：不會因中央路由站點(diǎn)的崩潰而導(dǎo)致整個網(wǎng)絡(luò)的

27、癱瘓；缺點(diǎn)：需要對多個物理設(shè)備進(jìn)行管理。 “獨(dú)臂”路由器：能消除主干網(wǎng)上集中式處理和高延遲。網(wǎng)絡(luò)中的大部分報(bào)文在通過主干網(wǎng)時無需通過路由器進(jìn)行處理，配置和管理方便。,路由服務(wù)器路由客戶機(jī)：路由功能將被分散到網(wǎng)絡(luò)中的多個設(shè)備中，VLAN間的報(bào)文將被緩存在主干網(wǎng)邊界上的LAN交換設(shè)備中。優(yōu)點(diǎn)：路由服務(wù)器同交換設(shè)備間的數(shù)據(jù)傳輸量降低，減少報(bào)文在主干網(wǎng)上傳輸時所經(jīng)過的站點(diǎn)數(shù)量；不足：路由器崩潰，價格較貴，配置復(fù)雜。 ATM上的多協(xié)議路由(Multiprotocol Over ATM，MPOA)：給可能屬于不同路由子網(wǎng)的多個用ATM網(wǎng)絡(luò)連接的設(shè)備提供直接的虛擬連接，優(yōu)點(diǎn)：VLAN之間的通信中將不再需要外

28、部路由器，從而降低網(wǎng)絡(luò)傳輸?shù)难舆t。 第三層交換：包括了第二層和第三層的交換功能，而且還具備路由尋址功能，優(yōu)點(diǎn)：網(wǎng)絡(luò)結(jié)構(gòu)較好，網(wǎng)絡(luò)傳輸延遲降低。,5.2.3 Trunk鏈路的封裝類型,TRUNK（端口匯聚）是在交換機(jī)和網(wǎng)絡(luò)設(shè)備之間比較經(jīng)濟(jì)的增加帶寬的方法。TRUNK 的主要功能就是將多個物理端口綁定為一個邏輯的通道，具有鏈路冗余的作用，在斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。 TRUNK功能應(yīng)用 與服務(wù)器相聯(lián)，給服務(wù)器提供獨(dú)享的高帶寬。 用于交換機(jī)之間的級聯(lián)，提高網(wǎng)絡(luò)速度。 提供負(fù)載均衡能力以及系統(tǒng)容錯。,把某個端口設(shè)成Trunk方式，命令如下： set trunk mod/port

29、on | off | desirable | auto | nonegotiate vlan_range isl | dot1q dot10 | lane | negotiate mod/port：指定用戶想要運(yùn)行Trunk的那個端口。 Trunk的運(yùn)行模式：有on | off | desirable | auto | nonegotiate四種。 Trunk鏈路的封裝類型有：Isl | dot1q dot10 | lane | negotiate。 承載的VLAN范圍：缺省下是11005。,不同封裝的比較,配置TRUNK時，必須遵循下列規(guī)則： 正確選擇TRUNK的端口數(shù)目 必須使用同一組中的

30、端口 使用連續(xù)的端口 在一組端口只產(chǎn)生一個TRUNK 基于端口號維護(hù)接線順序 為TRUNK配置端口參數(shù) 使用擴(kuò)展槽,5.2.4 VTP協(xié)議,5.2.4.1 基本概念 VTP：思科VLAN中繼協(xié)議（VTP：Cisco VLAN Trunking Protocol）。VTP 是思科私有協(xié)議，它支持大多數(shù)的 Cisco Catalyst 系列產(chǎn)品。缺省方式下，所有Cisco Catalyst交換機(jī)都被配置為 VTP 服務(wù)器。 VTP 具有三種版本。其中 VTP v2 與 VTP v1 區(qū)別不大，主要不同在于：VTP v2 支持令牌環(huán) VLANs，而 VTP v1 不支持。VTPv3 不能直接處理 V

31、LANs 事務(wù)，它只負(fù)責(zé)管理域（Administrative Domain）內(nèi)不透明數(shù)據(jù)庫的分配任務(wù)。,協(xié)議結(jié)構(gòu) VTP 頭結(jié)構(gòu)格式可以改變，取決于 VTP 信息類型，都包括以下字段： VTP 協(xié)議版本：1、2或3。 VTP 信息類型： Summary advertisements、Subset advertisement 、Advertisement requests、VTP join messages 管理域大小 管理域名稱 ：Summary Advertisements,Followers 表示該數(shù)據(jù)包后面跟隨一個Subset Advertisement 數(shù)據(jù)包。 updater ide

32、ntity 表示最后一個增加配置修訂的交換機(jī)的IP地址。 Update timestamp指配置修訂的最后增量的日期和時間。 Message Digest 5 (MD5)，在配置密碼的情況下，用于傳送VTP密碼；還用于認(rèn)證VTP 更新的有效性。,當(dāng)交換機(jī)中需要添加、刪除或改變一個 VLAN 時，發(fā)生改變的服務(wù)器交換機(jī)會增加配置修訂并發(fā)送出一個 summary advertisement，其后跟隨的是一個或多個 subset advertisement。一個 subset advertisement 包括一列 VLAN 信息。如果有多個 VLAN，那么需要提供更多 subset advertis

33、ement 來廣告所有 VLAN。,5.2.4.2 VTP模式 服務(wù)器：缺省模式，可建立、修改和刪除VLAN，向同一域中的交換機(jī)通告它的VLAN配置，并接受從Trunk鏈路上收到的通告與其它交換機(jī)進(jìn)行VLAN配置的同步。 客戶機(jī)：行為同服務(wù)器模式，但不能建立、改變或刪除VLAN；傾聽VLAN信息，使得自己的VLAN配置信息保持與VTP服務(wù)器同步；也可以把VLAN信息轉(zhuǎn)發(fā)給其它交換機(jī)。 透明：不參與VTP。在VTP v2中，配置為透明模式的交換機(jī)將在Trunk端口上轉(zhuǎn)發(fā)VTP信息以保證其他交換機(jī)接收到更新信息。 VTP v1中，透明模式的交換機(jī)也不轉(zhuǎn)發(fā)VTP信息到其它交換機(jī)。,三種形式的vtp通

34、告： Summary advertisements-vtp服務(wù)器發(fā)送，每隔300s。 Subset advertisements-vtp服務(wù)器發(fā)送，如vlan增刪、vlan的激活和掛起。 Advertisement requests from clients-vtp客戶發(fā)送，vtp服務(wù)器回復(fù)Summary advertisements和Subset advertisements。 兩種原因促使vtp客戶要發(fā)送請求： 從Subset advertisements了解到vtp狀態(tài)發(fā)生變化； 從Summary advertisements獲悉有更高的vtp version number。,Vtp v

35、2有別于v1的一些特性： Version-dependent transparent mode（與版本相關(guān)的透明模式）：v1要先檢查域名和版本，如果相同在轉(zhuǎn)發(fā)；v2則不檢查版本。 Consistency checks（一致性檢查） Token Ring support（令牌環(huán)支持）：只有v2支持。 Unrecognized Type-Length-Value (TLV) support（不認(rèn)識類型長度值的支持）,5.2.4.3 VTP pruning 可以減少廣播以達(dá)到增加帶寬的目的 Switch 3不屬于Red VLAN,VTP信息不會經(jīng)過Switch 2到達(dá)Switch 3上去 要注意的是

36、,VTP pruning只能工作在VTP server mode,5.2.5 配置命令,VTP配置如下： 在基于IOS的交換機(jī)上配置VTP管理域: switch# vlan database switch(vlan)# vtp domain domain-name 在基于IOS的交換機(jī)上配置VTP 模式: switch# vlan database switch(vlan)# vtp domain domain-name switch(vlan)# vtp sever|cilent|transparent switch(vlan)# vtp password password,在基于IOS的交

37、換機(jī)上配置VTP 模式: switch# vlan database switch(vlan)# vtp domain domain-name switch(vlan)# vtp sever|cilent|transparent switch(vlan)# vtp password password 在基于IOS的交換機(jī)上配置VTP版本: switch# vlan database switch(vlan)# vtp v2-mode,5.3 交換機(jī)配置基礎(chǔ),5.3.1基本操作 通過超級終端配置交換機(jī)的VLAN。 單擊“K”按鍵，選擇主界面菜單中“K Command Line”選項(xiàng) ，進(jìn)入命令行

38、配置界面。 在上一步“”提示符下輸入進(jìn)入特權(quán)模式命令“enable”，進(jìn)入特權(quán)模式。 第4步：給Catalyst 交換機(jī)起個名字，并且設(shè)置特權(quán)模式的登陸密碼。,配置VLAN 設(shè)置VTP DOMAIN 配置中繼 創(chuàng)建VLAN 將交換機(jī)端口劃入VLAN 配置三層交換,5.3.2 配置命令與實(shí)例,5.3.2.1 MSM與MSFC MSM支持特性豐富的IP、IPX和IP多點(diǎn)廣播第三層交換，同時又不會影響可擴(kuò)展的骨干/分布平臺中所要求的高性能。 MSM模塊支持的路由選擇協(xié)議包括： 增強(qiáng)的IGRP（EIGRP）、內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（IGRP）、開放式最短路徑優(yōu)先（OSPF Open shortest P

39、ath First）、路由選擇信息協(xié)議（RIP）第1和第2版本 。,多個MSM模塊可配置在一個平臺中，提供冗余和高可用性，MSM模塊可熱插拔，可以移走或替換。支持廣泛的IP、IPX和IP多點(diǎn)廣播路由選擇協(xié)議，支持基于端口的VLAN，支持SNMP。Catalyst 6500系列的MSM模塊支持廣泛的CiscoAssure策略型網(wǎng)絡(luò)管理工具和應(yīng)用。,5.3.2.2 MLS MLS功能是由插在交換機(jī)機(jī)柜上的RSM模塊來完成的，也可由與交換機(jī)相連的路由器、如7000系列來完成。MLS 提供高效的、基于硬件的第三層交換，使用標(biāo)準(zhǔn)的路由協(xié)議如OSPF、RIP、EIGRP、ISIS等作出路由選擇。MLS由三

40、部分組成： Multilayer Switching-Switching Engine (MLS-SE) Multilayer Switching-Route Processor (MLS-RP) Multilayer Switching Protocol (MLSP),MLS 操作過程： 當(dāng)一個MLS 流（假設(shè)是IP流）產(chǎn)生，它的第一個IP包到達(dá)MLSSE，MLSSE執(zhí)行包重寫，將目的MAC地址改成MLSRP地址，將其發(fā)送給MLSRP，MLSRP檢查Access List以檢查是否允許此IP流的建立，若沒有設(shè)置Access List，則根據(jù)路由協(xié)議為此包選擇出口，同時通過MLSP協(xié)議將IP

41、流信息傳給MLSSE，MLSSE在MLSSE Cache 中為此IP流建立Entry，后續(xù)同一IP流的IP包將利用剛剛建立的Entry迅速找到出口，而無須再經(jīng)過MLSRP路由，當(dāng)IP 流結(jié)束時，此Entry 自動消失。,配置MLS: 在Cisco 4500上啟用MLS； 定義實(shí)行MLS的接口所屬的VTP域； 在Cisco 4500上選擇1個和交換機(jī)相連的接口作為管理接口； 在參與MLS的接口上啟用MLS； 驗(yàn)證MLS是否配置正確。,如果使用的是外部路由器的話,還應(yīng)該在交換機(jī)上做如下配置： 啟用MLS 定義MLS-RP的地址 一些可選的設(shè)置 驗(yàn)證交換機(jī)的MLS-RP設(shè)置,5.4 工程配置實(shí)例,6

42、500介紹 Cisco Catalyst 6500系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡(luò)正常運(yùn)行時間，提供數(shù)據(jù)包丟失保護(hù)。6500機(jī)箱內(nèi)部署集成式的千兆位的網(wǎng)絡(luò)服務(wù)模塊，包括： 千兆位防火墻模塊：提供接入保護(hù)。 高性能入侵檢測系統(tǒng)（IDS）模塊：提供入侵檢測保護(hù)。 千兆位網(wǎng)絡(luò)分析模塊：提供可管理性更高的基礎(chǔ)設(shè)施和全面的遠(yuǎn)程超級（RMON）支持。 高性能SSL模塊：提供安全的高性能電子商務(wù)流量。 千兆位VPN和基于標(biāo)準(zhǔn)的IP Security（IPSec）模塊：降低的互聯(lián)網(wǎng)和內(nèi)部專網(wǎng)的連接成本。,連接設(shè)備 從console連接：第一次對6000交換機(jī)進(jìn)行配置，必須從console進(jìn)入。首先先將機(jī)器上架，按要求接好電源，然后用隨機(jī)附帶的Console線和轉(zhuǎn)接頭將交換機(jī)的console口與PC的串口相聯(lián)。 遠(yuǎn)程telnet連接：當(dāng)完成交換機(jī)配置，并起給交換機(jī)配置了管理地址，就可以直接采用遠(yuǎn)程t