1、一.虚拟局域网(VLAN)二.VLAN中继协议 (VTP)三.生成树算法的网桥协议 (STP)四.思科交换机端口限速和思科交换机端口限速和MAC绑定绑定 一.物理层(物理层(Physical Layer) 二二.数据链路层(数据链路层(Data Link Layer) 三三.网络层(网络层(Network Layer) 四四.传输层(传输层(Transport Layer) 五五.会话层(会话层(Session Layer) 六六.表示层(表示层(Presentation Layer) 七七.应用层(应用层(Application Layer) OSL七层七层.doc 一一. 冲突域和广播域冲
2、突域和广播域交换机是根据网桥的原理发展起来的,学习交换机先认识两个概 念: (1)冲突域: 冲突域是数据必然发送到的区域。 HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。 交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。 (2)广播域: 广播数据时可以发送到的区域是一个广播域。 交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。 路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。一一.什么是什么是VLAN IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案. 同一物理局域网内的不同用
3、户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性 .二二.虚拟局域网的功能与作用虚拟局域网的功能与作用 虚拟局域网()是将计算机通信网上一组位于虚拟局域网()是将计算机通信网上一组位于不同物理网段上的用户和服务器从逻辑上划分成的终端不同物理网段上的用户和服务器从逻辑上划分成的终端站组站组 .它在功能和操作上与传统的基本相同,可以它在功能和操作上与传统的基本相同,可以提供一定范围同内终端系统的互联和传输提供一定范围同内终端系统的互联和传输三、三、VLAN的优越性的优越性 1. 增加了网络连接的灵活性增加了网络连接的灵活性 2. 控
4、制网络上的广播控制网络上的广播3. 增加网络的安全性增加网络的安全性 一.根据端口来划分VLAN 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法.该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备. 二.根据MAC地址划分VLAN MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的.MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC).网络管理员可按MAC地址把一些站点划分为一个逻辑子网. 三.基于路由基于路由划分VLAN 路由协议工作在网络层,相应的
5、工作设备有路由器和路由交换机(即三层交换机).该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中创建创建vlan方法一方法一switch#vlan database switch(vlan)#vlan 10 name wz 创建创建vlan方法二方法二Switch(config)#vlan 2 name vlan2 将端口加入到将端口加入到vlan中中 Switch(config-if)#switchport mode accessswitch(config-if)#switchport access vlan 10 switch(config)# interface rang
6、e f0/15 switch(config)#interface range f0/6-8,0/9-11,0/22 将不连续多个端口加入到将不连续多个端口加入到Vlan中中 switch(config-if-range)#switchport access vlan 10 将端口从将端口从vlan中删除中删除 switch(config-if)#no switchport access vlan 10查看所有查看所有vlan的摘要信息的摘要信息 switch#show vlan brief看指定看指定vlan的信息的信息 switch#show vlan id 10 Switch1#vlan
7、databaseSwitch1(vlan)#vlan 2Switch1(vlan)#vlan 3Switch1(vlan)#vlan10 Switch1(config)#interface vlan2Switch1(config-if)#ip address 192.168.2.1 255.255.255.0Switch1(config-if)#no shutdownSwitch1(config)# interface vlan3Switch1(config-if)#ip address 192.168.3.1 255.255.255.0Switch1(config-if)#no shutdo
8、wnSwitch1(config)# interface vlan10Switch1(config-if)#ip address 192.168.10.1 255.255.255.0Switch1(config-if)#no shutdown Switch1(config)#interface fastethernet0/2Switch1(config-if)#switchport mode AccessSwitch1(config-if)#switchport access vlan2Switch1(config)#interface fastethernet0/3Switch1(confi
9、g-if)#switchport mode accessSwitch1(config-if)#switchport access vlan3 VTP(VLAN Trunking Protocol) 是VLAN中继协议,也被称为虚拟局域网干道协议 VTP的作用 作用是多台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。一.服务器模式(服务器模式(Server) 提供提供VTP消息:包括消息:包括VLAN ID和名字信息和名字信息,学习相同域名的学习相
10、同域名的VTP消息消息 转发相同域名的转发相同域名的VTP消息消息,可以添加、删除和更改可以添加、删除和更改VLAN二二.客户机模式(客户机模式(Client) 请求请求VTP消息消息,学习相同域名的学习相同域名的VTP消息消息,转发相同域名的转发相同域名的VTP消息消息 不可以添加、删除和更改不可以添加、删除和更改VLAN 三三.透明模式(透明模式(Transparent) 不提供VTP消息,不学习VTP消息,转发VTP消息可以添加、删除和更改VLAN,只在本地有效 VLAN信息写入NVRAM新交换机出厂时的默认配置为VLAN1,VTP 模式为服务器 VTP配置方法配置方法进入配置模式: s
11、witch#configure terminal 配置VTP域名: switch(config)#vtp domain test 配置VTP运行模式: switch(config)#vtp mode server/Client/Transparent 配置VTP的版本 switch(config)#vtp version 1|2 配置VTP口令: switch(config)#vtp password 2 3 7 一.ISL:使用Cisco ISL 协议在每帧中标记VLAN二.Dot1q:使用IEEE802.1Q,标准协议在每帧中标记VLAN.惟一的例外是本征VLAN,它被正常发送.不进行标记
12、三.NEGOTIATE:通过协商选择中继线两端都支持的通过协商选择中继线两端都支持的ISL或或IEEE802.1Q switch(config)#interface fa 0/1 switch(config-if)#switchport trunk encapsulation isl switch(config-if)#switchport mode trunk switch(config-if)#switchport switch(config-if)#switchport trunk encapsulation isl | dot1q|negotiate switchport trunk
13、native vlan 用来指定哪些用来指定哪些VLAN可使可使用该中继链路用该中继链路 switch(config-if)#switchport trunk allowed vlan vlandot-list | all add | except | remove vlan-list动态中继协议动态中继协议 动态中继协议动态中继协议DTP,是,是 VLAN 组中思科的私有协议,主要用于协商两台设备组中思科的私有协议,主要用于协商两台设备间链路上的中继过程及中继封装间链路上的中继过程及中继封装 802.1Q 类型。类型。三种动态中继协议三种动态中继协议ON , Desirable ,auto一
14、一. ON :手工静态配置为手工静态配置为Trunk 并且还会向对方并且还会向对方主动发起主动发起DTP信息信息.要求对方也工作在要求对方也工作在Trunk模模式式二二. Desirable: 此模式为此模式为DTP主动模式主动模式.工作在此工作在此模式的接口会主动向对方发起模式的接口会主动向对方发起DTP信息信息,要求要求对方也工作在对方也工作在Trunk模式模式,如果对方回复同意工如果对方回复同意工作在作在Trunk模式模式.则工作在则工作在Trunk模式模式.如果没有如果没有DTP回复回复,则工作在则工作在access 三种接口模式都会产生三种接口模式都会产生DTP信息信息,ON和和de
15、sirable是主动产是主动产生生DTP信息信息.而而auto是被动生产是被动生产DTP信息信息,如果手工将接口如果手工将接口配置成配置成Trunk模式后模式后.可以关闭可以关闭DTP信息以节省资源信息以节省资源.关闭关闭DTP的模式为的模式为nonegotiate Sw1(config)#int fo/1 配置配置DTP主动模式主动模式 Sw1(config-if)#switchport mode dynamic desirable Sw1(config-if)#switchport trunk encapsulation dot1q Sw1(config-if)#switchport mo
16、de trunk 配置配置DTP被动模式被动模式 Sw1(config-if)switchport mode dynamic auto Sw1(config-if)#switchport trunk encapsulation dot1q Sw1(config-if)#switchport mode trunk试验目标试验目标:1、利用VTP协议实现交换机VLAN统一的配置 2、验证、验证VTP协议的一些原理协议的一些原理试验原理试验原理:VTP是一种消息协议,它使用第二层帧,在全网的基础上管理VLAN的添加、删除和重命名,以实现VLAN配置的一致性。有了VTP,就可以在一台交换机上集中修改V
17、LAN的配置,所做的修改会被自动传播到网络中的所有其它计算机上 试验步骤:一、 配置SW3为服务器(server)模式,SW5和SW6为客户端(client)模式。验证SW5和SW6是否能够学习到SW3的VLAN信息。1、配置SW3的F0/23,SW5的F0/23、F0/24以及SW6的F0/24号端口为trunk模式。(在所以的交换机之间必须启用中继模式)具体配置以SW5为例如下图2、设置SW3的VTP域名为,并设置其模式为服务器(server)模式,启用版本1(缺省值),启用VTP修剪功能(减少中继端口上不必要的广播信息量)Sw3#vtp domain Sw3#vtp mode serve
18、rSw3#vtp version 1Sw3#vtp pruning3、配置SW3的VLAN1的IP地址(交换机的管理IP地址标示了VTP通告的具体位置)Sw3#interface vlan 1Sw3#ip address 172.16.18.18 255.255.255.0Sw3#no shutdownSw3#vlan databaseSw3#vlan 10 name caiwuSw3#vlan 20 name xiaoshouSw3#vlan 30 name gongcheng5、配置SW5和SW6的VTP域名为,并启用V1版本(缺省值)以SW5为例 Sw5#vtp domain Sw5#v
19、tp mode client6、现在查看SW3、SW5、SW6上的VLAN配置信息是否一致 Sw5#show vlanSw5#show vtp status显示当前的VTP参数.包括最后发出通告的服务器 show vtp status 显示VTP通告和修剪统计数据 show vtp counters 显示定义的VLAN show vlan brief 显示中继线状态,包括受制于修剪的Vlanshow interface type mod/num switchport显示VTP修剪状态 show interface type mod/num pruning 逻辑上断开环路,防止二层网络的广播风暴
20、的产生 ,当线路出现故障,断开的接口被激活,恢复通信,起备份线路的作用 生成树协议的主要功能有两个 一.是在利用生成树算法、在以太网络中,创建一个以某台交换机的某个端口为根的生成树,避免环路。 二.是在以太网络拓扑发生变化时,通过生成树协议达到收敛保护的目的。STP的原理的原理 STP的作用是通过阻断冗余链路,使一个有回路的桥接网络修剪成一个无回路的树形拓扑结构 STP的算法的算法 选择根网桥(Root Bridge) 选择根端口(Root Ports) 选择指定端口(Designated Ports)选择根网桥的依据选择根网桥的依据 交换机之间选择网桥ID值最小的交换机作为网络中的根网桥。
21、交换机优先级(缺省32768)和MAC地址构成网桥ID 1. 首先确定根网桥,依据网桥ID(先优先级和再MAC地址两部分组成)2. 确定根端口.指定端口和被动端口(由路径成本,网桥ID,端口优先级,端口ID来确定)3. 可以启用上行端口和速端口配置 1. 在VLAN上启用生成树:spanning-tree2. 建立根网桥:(1)直接建立:spanning-tree vlan 2 root primary(2)通过修改优先级建立:spanning-tree vlan 2 priority 24768(4096的倍数,值越小,优先级越高.默认为32768)一.可通过修改端口成本: (在配置模式下)
22、spanning-tree vlan 2 cost *(100m为19,10m为100,值越小,路径越优先)二.可修改端口优先级: (在接口模式下)spanning-tree vlan 2 port-priority *(0-255,默认为128)可修改计时器 一.修改HELLO时间:spanning-tree vlan 2 hello-time *(1-10s,默认为两秒)二.修改转发延迟时间:spanning-tree vlan 2 forward-time *(4-30s,默认为15s)三.修改最大老化时间:spanning-tree vlan 2 max-age *(6-40,默认是2
23、0秒) 1.阻塞(Blocking):能收BPDU报文,其他的什么不干2.侦听(Listening):能收BPDU报文,能发送BPDU报文,也不能学习MAC地址.3.学习(learning):能接收发送BPDU报文,也能学习MAC地址,并添加到MAC表中,但不会发送数据帧.4.转发(Forwarding):什么都能干了,开始正常接收和发送数据帧 5.从阻塞到侦听20秒,从侦听到学习15秒,从学习到转发15秒(默认) Cisco有一个专用的CST版本,其灵活性比CST(通用生成树)版本高.PVST为每个VLAN运行一个独立的STP实例.多个生成树通过冗余链路进行负载均衡 PVST要求CISCO的
24、中继封闭交换机链路(ISL)PVST+(pet-VLAN生成树增强版) CISCO另一个专用的STP版本,主设备能够同PVST和CST互操作.CST _ 一个STP实例,在本征VLAN上运行,基于802.1QPVST_ 每个VLAN一个实例,基于CISCO ISLPVST+_提供CST和PVST之间的互操作:基于802.1Q和 CISCO ISL) 启用生成树 Switch(config)#spanning-tree vlan vlan-list 直接建立根网桥 Switch(config)#spanning-tree vlan vlan-id root primary(主ROOT网桥优先级被
25、置为24576) Switc(config)#spanning-tree vlan vlan-id root secondary(备份ROOT网桥优先级被置为28672) 修改端口成本 Switch(config-if)#spanning-tree vlan vlan-id cost cost值(为某个VLAN配置端口成本) Switch(config-if)#spanning-tree vlan vlan-id port-priority速端口的配置(减少处于侦听和学习状态的时间,立刻进入转发状态) Switch(config-if)#spanning-tree portfast Switc
26、h(config-if)#no spanning-tree portfast(关闭) 注意:端口下面接的是终端的时候,才可启用速端口设置 配置上行端口 spanning-tree uplinkfast 1.检查生成树:show spanning-tree summary2.检查根网桥:show spannint-tree vlan 2 detail3.检查网桥优先级:show spanning-teee vlan 2 detail4.检查端口成本:show spanninn-tree interface f0/2 detail5.检查端口优先级:show spanning-tree inter
27、face f0/2 detail6.检查HELLO时间.转发延迟.最大老化时间:show spanning-tree vlan 27.检查速端口:show spanning-tree interface f0/2 detail8.检查上行链路:show spanning-tree summary Switch1(config)#Spanning-tree Switch1(config)#Spanning-tree mode stp 启用生成树协议选择stp版本 Switch1(config)#spanning-tree priority 0000 设置交换机的优先级,一般为0或4096的倍数,
28、该处设为0,即为最高优先级 Switch1(config)#inter fa 0/1 Switch1(config-if)#spanning-tree port-priority 0 设置端口的优先级,一般为0或16的倍数,该处设为0,即为最高优先级 Switch1(config-if)#exit Switch1(config)#inter fa 0/2 Switch1(config-if)#spanning-tree port-priority 16 Switch1(config-if)#exit3.设置交换机Switch3的优先级信息Switch3(config)#Spanning-tre
29、eSwitch3(config)#Spanning-tree mode stpSwitch3(config)#spanning-tree priority 81921.在交换机上启动QOS Switch(config)#mls qos 2.定义访问控制列表 Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 控制PC1上行流量 Switch(config)#access-list 100 permit ip any 10.10.1.0 0.0.0.255 控制PC1下行流量 3.定义类,并和上面定义的访问控制列表绑定 Switch(
30、config)# class-map user1-up 定义PC1上行的类,并绑定访问列表10 Switch(config-cmap)# match access-group 10 4.定义策略,把定义的类绑定到该策略 Switch(config)# policy-map user1-up 定义PC1上行的速率为1M ,超过丢弃Switch(config-pmap)# class user1-up Switch(config-pmap-c)# trust dscp Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop
31、5.在接口上应用 Switch(config)# interface f0/1 (下联口) Switch(config-if)# service-policy input user1-up Switch(config)# interface g0/20(上联口) Switch(config-if)# service-policy input user- down 1.方案方案1基于端口的基于端口的MAC地址绑定地址绑定 Switch#config terminal 进入配置模式 Switch(config)# Interface fastethernet 0/1 进入具体端口配置模式 Swit
32、ch(config-if)#Switchport port-secruity 配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) 删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC
33、地址,才能正常使用 Switch(config)#Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)#permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)#permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )#interface Fa0/20 进入配置具体端口的模式 Switch
34、(config)#no mac access-list extended MAC10清除名为MAC10的访问列表 此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围 Switch(config)#Mac access-list extended MAC10定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)#permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)#permit any host 000
35、9.6bc4.d4bf定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)#Ip access-list extended IP10定义一个IP地址访问控制列表并且命名该列表名为IP10Switch(config)#Permit 192.168.0.1 0.0.0.0 any定义IP地址为192.168.0.1的主机可以访问任意主机 进入配置具体端口的模式 Switch(config-if )#mac access-group MAC10 in在该端口上应用名为MAC10的访问列表 Switch(config-if )#Ip access-group IP10 in 在该端口上应用名为IP10的访问列表 Switch(config)#no mac access-list extended MAC10清除名为MAC10的访问列表 注意:应用1是基于主机MAC地址与交换机端口的绑定,方案 2是基于MAC地址的访问控制列表,如果要做到IP与MAC地址的绑定只能按照方案3来实现
