1、任务一任务一 交换机基本配置交换机基本配置3.1.1 任务目标任务目标l通过本任务,我们能够对交换机进行基本配置,具体包括以下几个方面。l了解交换机的产品及外观l理解交换机的工作原理l理解交换机的基本功能l理解集线器、网桥、交换机、路由器的区别l理解二层交换机、三层交换机、四层交换机的区别l能够对以多种方式对交换机进行配置管理l能够对交换机进行基本配置3.1.2 任务描述任务描述l你作为一个企业的网络管理员,公司的效益较好,生产规模扩大了,公司的员工人数也大幅度增加了,公司领导决定扩大网络的规模,新购进了一批交换机,你作为网络管理员,首要的工作就是登录交换机,了解、掌握交换机的命令操作。l经过
2、一段时间的工作,你很快掌握了交换机配置命令使用方法,并对交换机进行了初始配置,你和其他网络管理员一起对网络规模进行了扩大。你希望不仅坐在办公室,而且出差或下班后在家里也能对公司的所有交换机进行修改配置等远程管理工作。你如何在各交换机上进行适当配置,可以满足这一要求。 3.1.3 支撑知识支撑知识1、网络设备分类l中继器:扩展网络距离,信号再扩大。l集线器:相当于多个端口的中继器。l网桥:网桥(Bridge)又称为桥接器。和中继器类似,传统的网桥只有两个端口,用于连接不同的网段。 l交换机:交换机(Switch)也被称为交换式集线器。它的出现是为了解决连接在集线器上的所有主机共享可用带宽的缺陷
3、。l路由器l在讲述交换机与集线器、网桥、路由器的区别之前,首先了解两个术语:冲突域和广播域。l冲突是指在同一个网段上,同一个时刻只能有一个信号在发送,否则两个信号相互干扰,即发生冲突。冲突域是指能够发生冲突的网段。冲突域大了,有可能导致一连串的冲突,最终导致信号传送失败。 l单播和广播是以太网中两种主要的信息传送方式。广播方式是指一台主机同时向网段中所有的其他计算机发送信息,广播方式会占用大量的资源。广播域是指广播能够到达的网络范围,也即一个广播包能够到达的所有网络设备就构成了一个广播域。因此,广播域的大小要有一定的限制。 (1)集线器(Hub)l集线器的内部总线是所有用户共享的,连接在集线器
4、上的用户同一时刻只能有一个占用集线器来传输数据。集线器属于物理层设备,连接在集线器上的一台主机发送数据是采用广播方式发送的,其他主机均能收到该数据。因此,集线器的工作特点是共享带宽和广播数据,集线器及其所有接口所接的主机共同构成了一个冲突域和广播域。如图-1-16,主机A向主机B发送一个单播包,由于集线器是共享设备,该包被发送到所有主机,但只有主机B接收该数据包,其他主机将收到的包丢弃。l集线器连接的网络(2)网桥(Bridge)l网桥是根据MAC地址传递数据帧的的OSI第二层的设备。网桥可以把一个大的网络分段,主机被分开放置在每个网络分段中。这样,相对于把主机集中放置在一个大的网段里,每个分
5、段中主机的冲突机会都会减少。网桥的每个端口都是一个冲突域,但网桥的各个端口仍然处于一个广播域中。如图3-1-17,主机A给主机B发送的单播包不能通过网桥传递到网段2,但主机A发送的广播包却可以被网桥转发,传递到整个广播域中。l网桥连接的网络(3)交换机(Router)l网桥是基于软件的,而交换机主要是基于硬件,我们可以认为交换机是硬件桥,把交换机看作是多端口网桥。网桥只能有一个生成树,但交换机可以有多个,每VLAN一个生成树。交换机的每个端口是一个冲突域,所有连接在交换机上的主机都在一个广播域中。如图3-1-18,交换机为主机A和B建立一个信道,同时也为主机C和D建立一个信道。用交换机作为互联
6、设备的网络称为交换网络。l交换机连接的网络(4)路由器(Router)l路由器工作在网络层,有能力过滤广播包。除非做特殊配置,否则,路由器是不转发广播类型的数据包。因此,每个路由器的接口所连的网段是一个广播域。这样,当爆发广播风暴时,由于有路由器的保护,广播风暴被路由器限制在一个网段里,不会扩散到整个网络中。相比网桥和交换机,路由器可以连接不同的网络或子网,为网络或子网提供路由服务。如图3-1-19所示。l第三层交换机也可以分割广播域,为网络或子网提供路由服务。l路由器连接的网络2、交换机的分类、交换机的分类l交换机分为二层交换机、三层交换机和四层交换机。二层交换机二层交换机l二层交换机工作在
7、OSI参考模型的第二层数据链路上,它是基于目的MAC地址转发数据帧。二层交换机通过读取封装在数据帧头里的目的MAC地址,了解该数据帧所要去的物理位置,然后通过和MAC地址表里的条目对比,找到该数据帧所要被发送去的端口,将它转发。如果该目的MAC地址在MAC地址表里没有被记录,则“泛洪”到交换机的其他所有端口。l二层交换机是基于硬件的交换,具有线速转发能力,能够对多个端口的数据进行同时交换。三层交换机三层交换机l三层交换机是在二层交换机的基础上整合了三层路由功能的交换机,它工作在OSI参考模型的第三层上,它是基于目的IP地址转发数据包。当然,三层交换机也具有二层交换机依据目的MAC地址转发数据帧
8、的功能。l三层交换机通过读取封装在数据包头里的目的IP地址,了解该数据包所要去的逻辑位置,然后通过和路由表里的条目对比,找到该数据包的所要被发送去的接口并将它转发。如果该目的IP地址在路由表里没有相应的路由条目,则丢弃该数据包。l当某一信息源的第一个数据流进入第三层交换机后,其中的路由系统将会产生一个MAC地址与IP地址映射表,并将该表存储起来,当同一信息源的后续数据流再次进入第三层交换机时,交换机将根据第一次产生并保存的地址映射表,直接从第二层由源地址传输到目的地址,而不再需要经过第三层路由系统处理,从而消除了路由选择时造成的网络延迟,提高了数据包的转发效率,解决了网间传输信息时路由产生的速
9、率瓶颈。l第三层交换机是将第二层交换机和第三层路由器两者优势结合成一个有机、灵活并可在各层次提供线速性能的整体交换方案。四层交换机四层交换机l第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。 交换机工作原理l交换机是一种为数据帧选择一条线路并且把它发送出去的网络设备,它的基本原理具体如下:l(1)当交
10、换机从某个端口收到一个数据帧,它先读取帧头中的源MAC地址,并将源MAC地址与端口的对应关系存入MAC地址表中,这样它就知道源MAC地址的设备是连在哪个端口上;l(2)然后交换机再去读取包头中的目的MAC地址,并在交换机的MAC地址表中查找相应的端口;l(3)如表中有与这目的MAC地址对应的端口,把数据包直接从该端口转发出去,否则将数据包从收到该包端口之外的其他端口转发出去。交换机的基本功能交换机的基本功能l以太网交换机工作在OSI参考模型的数据链路层上,它的主要功能有三个方面:lMAC地址学习l数据帧的转发/过滤l维持网络无交换环路(1)MAC地址学习l交换机通过学习MAC地址了解网络中主机
11、的物理位置,它会将学习到的MAC地址与端口进行映射,然后将该映射关系保存在MAC地址表中。交换机把MAC地址表存放在CAM(Content Addressable Memory)中。l下面简述交换机MAC地址的学习过程,为方便理解,这里假定主机A的MAC地址为AAAA.AAAA.AAAA,主机B、主机C和主机D的MAC地址依次为BBBB.BBBB.BBBB、CCCC.CCCC.CCCC和DDDD.DDDD.DDDD。 l当主机B向A发送数据帧时,交换机也学习到主机B的MAC地址。主机B向A发送数据帧时,目的MAC地址就是主机A的MAC地址,交换机查询MAC地址表,查到目的MAC地址对应的端口是
12、F0/1,那么交换机就将B向A发送的数据帧直接从f0/1端口转发出去,此时,不会出现“泛洪”现象,这体现了MAC地址表的作用。当主机D发送数据帧时,交换机也学习到主机D的MAC地址。如图所示交换机不会学习广播和多点广播地址,交换机会把广播、多点广播帧“泛洪”。(2)转发/过滤数据帧l当交换机接收一个数据帧,会在交换机MAC地址表中查询其目的MAC地址,若找到,交换机就将该帧转发到目的MAC地址对应的端口,而不会从其他端口转发出去。如图,主机B发送一个数据帧给主机A,交换机转发此帧的步骤如下。l第1步,交换机F0/2端口接收数据帧,查看目的MAC地址。l第2步,交换机查询MAC地址表,发现目的M
13、AC地址对应的端口为F0/1,交换机将该帧从F0/1端口转发出去。l第3步,交换机没有将该数据帧转发到其他端口,其他端口不受该数据帧的影响,此种情况称做帧过滤。(3)维持网络无交换环路l在交换网络中,通常设计有冗余链路和冗余设备,这会导致网络中出现交换环路,交换机上运行的生成树协议可以消除交换网络中的环路。交换机转发数据帧的三种模式交换机转发数据帧的三种模式l存储转发模式(Store-and-Forward)l在存储转发模式中,交换机在转发数据帧之前必须完整地接收整个数据帧,读取数据帧的源MAC地址和目的MAC地址,并且根据数据帧的最后一个字段帧校验序列(FCS)进行数据校验。如果校验正确就转
14、发数据帧,否则丢弃该数据帧。l采用存储转发模式转发数据帧不会将错误的数据帧转发出去,保证了数据的正确性,但整个数据帧要被完全接收并校验后才能转发,因此这种转发模式的延迟是最大的。l快速转发模式(Fast-forward)l快速转发模式又叫直通传送模式(Cut-through)。在快速转发模式中,交换机不等到数据帧完全进入,而是当帧头刚刚进入交换机时,就读取其中的目的MAC地址就立即将数据帧转发到相应的端口。因此,对数据帧的延迟最小,加大了数据包的吞吐率。缺点是无法有效地检查出错误帧。这种模式是交换速度最快但是出错率最高的模式。l无碎片模式(Fragment-free)l无碎片模式又叫自由分段模
15、式,或叫改进型直通模式(Modified Cut-Through)。无碎片模式可以在转发数据帧之前过滤出冲突碎片。冲突碎片是一种主要的数据帧错误。一般来说,冲突碎片都小于64字节,大于64字节的帧通常被认为是没有错误的。在无碎片模式中,交换机等待数据帧进入交换机达到64字节时读取数据帧头中的目的MAC地址并转发该数据帧。无碎片模式可以有效避免转发冲突碎片帧,但是它没有对数据帧进行校验,不能完全防止错误帧的转发。l无碎片模式的工作速度不如快速转发模式,但是比快速转发模式发送的错误帧少,同时又比存储转发模式快。交换机数据转发方式交换机数据转发方式1.快速转发,不进行帧的存储和校验,建立通信信道直接
16、转发数据。优点:由于不需要存储,延迟非常小、交换非常快。缺点:不保存数据包,无法检查数据包是否有误。没有缓存,不能将不同速率的输入/输出端口直接接通,容易丢包。2. 存储转发,完整存储收到的帧,进行校验后转发。优点:对数据包进行错误检测,有效地改善网络性能。支持不同速度端口间的转换,保持高低速端口间的协同工作。缺点:数据处理延时大。3.分段过滤,介于以上两者之间,检查数据包的长度是否够64B,如果小于,说明是假包,则丢弃该包;如果大于,则发送该包。优点:比存储转发快,比快速转发慢。缺点:没有校验。l交换机的连接方式l交换机互连:级联和堆叠交换机互连:级联和堆叠l级联:采用级联方式连接交换机时,
17、只需要用级联:采用级联方式连接交换机时,只需要用双绞线直接将两台交换机的某两个普通端口连双绞线直接将两台交换机的某两个普通端口连接起来就可以了。当把同类型的交换机通过普接起来就可以了。当把同类型的交换机通过普通端口级联时,需要使用交叉线(通端口级联时,需要使用交叉线(Crossover UTP)。有的交换机使用专用的级联端口,则)。有的交换机使用专用的级联端口,则连接该级联端口时可用直通线或交叉线。级联连接该级联端口时可用直通线或交叉线。级联模式是以太网扩展端口应用中的主流技术,但模式是以太网扩展端口应用中的主流技术,但交换机的级联层次不能太多。级联模式的典型交换机的级联层次不能太多。级联模式
18、的典型结构如图所示结构如图所示 l堆叠:堆叠技术是目前在以太网交换机上扩展端口使用较多的另一类技术,是一种非标准化技术。各个厂商之间不支持混合堆叠,堆叠模式为各厂商制定,不支持拓扑结构。目前流行的堆叠模式主要有两种:菊花链模式和星型模式。堆叠技术的最大的优点就是提供简化的本地管理,将一组交换机作为一个对象来管理。l菊花链式堆叠是一类简化的堆叠技术,主要是一种提供集中管理的扩展端口技术,菊花链式堆叠的层数一般不应超过四层,要求所有的堆叠组成员摆放的位置足够近(一般在同一个机架之上)。如图所示l星型堆叠技术是一种高级堆叠技术,对交换机而言,需要提供一个独立的或者集成的高速交换中心(堆叠中心),所有
19、的堆叠主机通过专用的(也可以是通用的高速端口)高速堆叠端口上行到统一的堆叠中心,堆叠中心一般是一个基于专用ASIC的硬件交换单元,其ASIC交换容量限制了堆叠的层数。l 菊花式堆叠 星型堆叠交换机的管理方式交换机的管理方式l可网管交换机的管理方式可以分为两种,可网管交换机的管理方式可以分为两种,带外管理和带外管理和带内管理带内管理。l带外管理主要是通过控制线连接交换机和带外管理主要是通过控制线连接交换机和PC机,因机,因为不会占用网络带宽,所以叫做带外管理。为不会占用网络带宽,所以叫做带外管理。l带内管理方式有多种方式,如通过带内管理方式有多种方式,如通过WEB管理、通过管理、通过远程登录远程
20、登录Telnet管理和通过网络管理软件的管理。管理和通过网络管理软件的管理。 l通过串口管理 l通过串口管理交换机同路由器一样,这种方式并不占用交换机的网络带宽,因此称为“带外管理”(Out of band)。 l通过Web管理 l可网管交换机可以通过Web(网络浏览器)管理,但是必须给交换机指定一个管理IP地址。通过WEB管理交换机的步骤如下。l(1)在交换机上启用WEB服务,为了简化管理,没有采用安全管理方式,如下所示。lSwitch#configure terminallRouter(config)#ip http serverlSwitch(config)#ip http port 8
21、0l 启用WEB服务l(2)给交换机配置一个管理IP地址,如下所示。lRouter(config)#int vlan 1lSwitch(config-if)#ip address 192.168.1.1 255.255.255.0lRouter(config-if)#no shutdownl配置管理IP地址l(3)给PC机配置一个192.168.1.0/24网段的地址,如192.168.1.2/24。l(4)在PC机的IE浏览器的地址栏中输入交换机的管理IP地址,即192.168.1.1,则进入交换机的管理界面,下面以Cisco 2960交换机为例,如图所示。l使用WEB管理交换机时,交换机相
22、当于一台Web服务器,此时给你的感觉就像在访问一个网站一样。这种方式占用交换机的带宽,因此称为“带内管理”(In band)。Web管理这种方式可以在局域网上进行,所以可以实现远程管理。 l2、通过远程登录Telnet方式管理l3、通过网管软件进行管理(3)交换机的基本配置,。lSwitch(config)#hostname SwitchA /将交换机命名为lSwitchASwitchA(config)#no ip domain-lookup/禁止域名解析服务lSwitchA(config)#enable password aaa /特权非加密密码为aaalSwitchA(config)#en
23、able secret bbb/特权加密密码为bbblSwitchA(config)#line con 0 /进入控制线0SlwitchA(config-line)#password ccc/设置控制线密码为ccclSwitchA(config-line)#exec-timeout 5 0 /设置超时间隔为5分钟lSwitchA(config-line)#login /从控制线登录时需要输入密码lSwitchA(config-line)#line vty 0 4 /进入第04条vty线lSwitchA(config-line)#password ddd /设置vty线密码为dddlSwitch
24、A(config-line)#login /从vty线登录时需要输入密码lSwitchA(config-line)#end /退回到特权模式l配置管理IP地址l第二层交换机是数据链路层的设备,每个端口不能设置IP地址。但是,对交换机进行WEB管理或Telnet远程登录管理时,就需要对交换机设置一个管理IP地址。为了在不同的子网管理交换机,还需要对交换机设置默认网关地址,此地址实际是和交换机某个端口相连的路由器以太网接口IP地址。如下图,设置交换机管理IP地址为192.168.1.1/24,默认网关为192.168.1.254/24,如下所示。lSwitch(config)#int vlan 1
25、lSwitch(config-if)#ip address 192.168.1.1 255.255.255.0lSwitch(config-if)#no shutdownlSwitch(config-if)#exitlSwitch(config)#ip default-gateway 192.168.1.254l配置交换机的端口速率、端口双工配置l默认情况下,交换机端口速率被设为auto,即端口根据对端设备的速率自动调整端口速率,我们可以利用speed命令强制将端口速率设置为10Mbps、100Mbps或1000Mbps,但不能超过该端口所支持的最大速率,如下所示。lSwitch(config
26、)#interface f0/1lSwitchA(config-if)#speed ?10Force 10 Mbps operation11100 Force 100 Mbps operation12auto Enable AUTO speed configurationl集线器工作在半双工模式下,交换机工作在全双工模式下。交换机端口默认情况下工作于auto,即端口根据对端设备的双工模式自动选择全双工或半双工。用交换机连接的交换式以太网中可以设置交换机的某个端口工作于半双工或全双工模式,如图3-1-28所示。lSwitch(config)#interface f0/1lSwitchA(conf
27、ig-if)#duplex ? lauto Enable AUTO duplex configuration lfull Force full duplex operation lhalf Force half-duplex operation交换机常用命令lshow running-config lshow startup-config lshow interface xxxlshow ip interface brief lshow version lshow mac address-table l首先利用控制线登录到交换机,查看交换机当前配置信息、交换机的接口状态、交换机的版本信息,查看
28、交换机的IOS映像文件名,给交换机命名为SwitchA,并配置特权非加密码aaa,特权加密密码bbb,控制线密码ccc,vty线密码ddd,接着给交换机配置一个管理IP地址192.168.1.1/24,在另外一台PC机实现对交换机的WEB管理和Telnet管理。 步骤1查看交换机的当前配置信息lSwitch#show running-configl从显示的信息可以看出,该交换机有多少个快速以太口,多少个千兆以太口,有没有设置各种密码,交换机启用了哪种生成树协议,是否禁止域名解析等。l步骤2查看交换机接口状态lSwitch#show interfaceslSwitch#show int f0/2
29、4查看交换机接口状态l只查看交换机的接口的IP地址,可输入下面命令。lSwitch#show ip interface briefl步骤3查看交换机的版本lSwitch#show versionl步骤4查看交换机的MAC地址表lSwitchA#show mac address-tablel步骤5将交换机命名为SwitchAlSwitch(config)#hostname SwitchAl步骤6给交换机配置一个管理IP地址192.168.1.1/24,lSwitchA(config)#int vlan 1lSwitchA(config-if)#ip address 192.168.1.1 255
30、.255.255.0lSwitchA(config-if)#no shutdownl步骤7禁止域名解析lSwitchA(config)#no ip domain-lookupl步骤8设置超时间隔为5分钟,如图3-1-36所示。lSwitchA(config)#line con 0lSwitchA(config-if)#exec-time 5 0设置超时间隔l步骤9查看交换机的时间,将交换机的时间设置为当前时间lSwitchA#show clock *00:37:48.036 UTC Mon Mar 1 1993lSwitchA#clock set 17:53:20 24 Feb 2010lSw
31、itchA#show clock 17:53:34.646 UTC Wed Feb 24 2010设置时间l步骤10 给交换机配置一个特权非加密密码aaa,设置一个特权加密密码bbb,设置一个控制线密码ccc,设置一个vty线密码ddd,lSwitch(config)#enable password aaalSwitch(config)#enable secret bbblSwitch(config)#line con 0lSwitch(config-line)#password ccclSwitch(config-line)#loginSwitch(config-line)#line vty
32、 0 4 lSwitch(config-line)#password dddlSwitch(config-line)#loginlSwitch(config-line)#exitl步骤11在交换机上启用WEB服务,利用WEB管理方式尝试管理交换机。lSwitch(config)#ip http serverlSwitch(config)#ip http port 80配置WEB服务l找一台PC机,配置为192.168.1.0/24网段中的一个地址,在IE浏览器中输入地址192.168.1.1,登录到交换机进行WEB管理。l步骤12找一台PC机,远程登录到交换机,对交换机进行管理。l找一台PC机
33、,配置为192.168.1.0/24网段中的一个地址,打开命令提示符,输入telnet 192.168.1.1,登录到交换机进行远程管理。l步骤13交换机的F0/1端口连接了一台服务器,MAC地址为00-1F-D0-0D-F7-C8,通过配置端口安全,即使其他主机连接到该端口,也不能连接到网络,如图3-1-39所示。lSwitch(config)#int f0/0lSwitch(config-if)#switch mode accesslSwitch(config-if)#switchport port-securitylSwitch(config-if)#Switchport port-se
34、curity mac-address 001F.D00D.F7C8lSwitch(config-if)#Switchport port-security maximum 1配置端口安全lS1(config-if)#switch port-securitiy violation protect | shutdown | restrict l protect:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则这个新的计算l机将无法接入,而原有的计算机不受影响l shutdown:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则该接口将会l被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用“no shutdown”l命令重新打开。l restrict:当新的计算机接入时,如果该接口的MAC 条目超过最大数量,则这个新的计l算机可以接入,然而交换机将向发送警告信息。