1、网络设备管理第4章 交换机的高级配置4.1 虚拟局域网虚拟局域网4.1.1 虚拟局域网的基本概念虚拟局域网的基本概念 虚拟局域网是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN具有管理信息库,并可支持生成树。VLAN是建立在物理网络基础上的一种逻辑子网,因此,建立VLAN需要相应的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备,可以使用路由器,也可以使用三层交换机。VLAN在以太
2、网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访。物理网络中允许存在多个不同的VLAN,一个VLAN就是一个交换网,其在逻辑上是按功能、项目、应用来划分的,不必考虑用户的物理位置。也就是说,同一逻辑工作组的成员不一定要连接在同一个物理网段上,它们可以连接在同一个局域网交换机上,也可以连接在不同局域网的交换机上,只要这些交换机是互联的,IP包、广播包及组播包均可以发送或广播给此VLAN内的最终用户。当一个节点从一个逻辑工作组转移到另一个逻辑工作组时,不需要改变节点在网络中的物理位置。同一个逻辑工作组的节点可以分布在不同的物理网段上,但它们之间的通
3、信就像在同一个物理网段上一样。每一个VLAN均可看成是一个逻辑网络,发往另一VLAN的数据包必须由路由器或网桥转发。4.1.2 VLAN的划分方法的划分方法 1.基于端口划分基于端口划分 基于以太网交换机的端口来划分VLAN,就是将VLAN交换机上的物理接口和VLAN交换机内部的PVC端口分成若干组,每组构成一个虚拟网,相当于一个独立的VLAN交换机。这种划分方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义到相应的VLAN组即可。缺点是如果某用户离开了原来的端口,必须重新定义VLAN。2.基于基于MAC地址划分地址划分 基于每台主机的MAC地址来划分VLAN,就是为每个MAC地址
4、对应的主机都配置其隶属的VLAN组,VLAN交换机跟踪属于本VLAN组的MAC地址。这种VLAN划分方式的优点是允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份,不用重新配置VLAN。缺点是初始化时,所有的用户都必须进行配置,交换机的执行效率较低。3.基于网络层协议划分基于网络层协议划分 基于网络层协议来划分VLAN,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议组成的VLAN可使广播域跨越多个VLAN交换机。其优点是灵活性大,根据网络协议识别用户和组,当用户的物理位置改变时,不需要重新配置所属的VLAN。它
5、的主要缺点是交换机的执行效率低。4.基于基于IP组播划分组播划分 基于IP组播实现VLAN划分,每个组播组形成一个VLAN单元。这种划分方法将VLAN扩大到了广域网,因此具有很大的灵活性。这种方式主要适合于不在同一地理范围的用户使用,但不适合在局域网中使用,主要原因是交换机的执行效率太低。5.基于用户定义基于用户定义/非用户授权划分非用户授权划分 基于用户定义/非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,并可以让非VLAN群体用户访问VLAN,但是需要提供认证密码,在得到VLAN管理的认证后才可以加入一个VLAN。4.1.3 VL
6、AN的实现方式的实现方式 VLAN的实现方式有静态和动态两种。静态实现是网络管理员将交换机接口分配给某一个VLAN。这是经常使用的一种配置方式,容易实现和监视,而且比较安全。在动态实现方式中,管理员必须事先建立一个数据库,输入要连接网络设备的MAC地址及相应的VLAN号,当网络设备连接到交换机接口时,交换机自动把这个网络设备所连接的接口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、相关的应用所使用的协议。实现动态VLAN时,一般使用管理软件来进行管理。在Cisco交换机上可以使用VLAN管理策略服务器(VMPS)实现基于MAC地址的动态VLAN配置。这种配置方
7、式的优点是网络管理员只需维护和管理相应的数据库,而不用关心用户使用哪一个接口,但是每次新用户加入时都需要进行较复杂的手工配置。而在基于IP地址的动态配置中,交换机可以通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。不同VLAN之间的通信可使用以下两种方式来实现:第一种方式采用路由器连接,第二种方式是利用支持中继的路由器端口实现中继。4.1.4 VLAN的特点的特点 1.控制广播风暴控制广播风暴 一个VLAN可以形成一个小的广播域,其成员只能在此VLAN内部广播,从而大大减少了整个局域网中广播报文的数量,使网络不会因为传播过多的广播信息而引起性能的降低。2.便于对网络进行管理和控制便于对网
8、络进行管理和控制 VLAN是对局域网中网络成员的逻辑分组,不受任何物理连接的限制。同一VLAN中的成员可以连接不同的交换机,并且可以位于不同的物理位置,这增加了网络连接、组网和管理的灵活性。3.动态管理网络动态管理网络 一个VLAN可以根据部门职能、对象组或者应用,将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下,可以任意地将工作站在工作组或子网之间移动。虚拟网络技术大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。当一个用户从一个位置移动到另一个位置时,不需要重新手动配置其网络属性,而是由动态的VLAN配
9、置来自动完成。4.1.4 VLAN的特点的特点 4.逻辑工作组逻辑工作组 可以把一些需要协同工作的用户编入同一个VLAN,以便于他们之间互相访问和交流信息,同时,组内的广播包限制在此VLAN内,不会影响其他VLAN上的用户。5.提高网络的安全性提高网络的安全性 由于默认情况下VLAN间是相互隔离的,不能直接通信,因此,对于保密性要求较高的部门,可将其划分在一个单独的VLAN中。这样,其他VLAN中的用户将不能访问此VLAN中的主机,从而起到了隔离作用,提高了VLAN的安全性。VLAN间可以通过应用访问控制列表来实现安全通信。通过MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段
10、大小,将不同用户群划分在不同VLAN中,从而提高交换式网络的整体性能。4.1.5 基于单个交换机的基于单个交换机的VLAN配置配置 当不使用VTP(VLAN中继协议)时,交换机应配置成VTP Transparent(透明模式),此时,交换机的VLAN配置主要包括如下内容:(1)使用全局命令,启用VTP Transparent 模式。(2)使用全局命令,定义每个VLAN的编号(必须的)和相应的名称(可选的)。(3)使用接口子命令,将每个接口分配到相应的VLAN。配置实例参见教材4.1.5节。4.1.6 使用使用Web方式实现交换机的配置和管理方式实现交换机的配置和管理 使用Web方式实现交换机的
11、配置和管理的操作步骤如下:(1)配置交换机的IP地址。(2)在本地计算机上安装JRE(Java运行环境)1.5,安装完毕后,用一条直通双绞线通过网卡把交换机和本地计算机连接起来。打开Web浏览器,在浏览器的地址栏中输入配置好的交换机的管理IP地址,弹出一个登录窗口,输入在第1步创建的用户名和密码。交换机经过Web认证成功后,显示配置和管理目录界面。依次向下进行,实现图形界面的VLAN划分即可,详细操作过程见教材4.1.6节。4.1.7 跨越交换机的跨越交换机的VLAN 配置配置 Trunk是端口汇聚的意思,就是通过软件配置将两个或多个物理端口组合在一起,使其成为一条逻辑路径,从而增加交换机和网
12、络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享高带宽。Trunk是一种封装技术,它基于端口汇聚功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接,支持同时传输,以提供更高带宽、更大吞吐量,从而大幅度提高整个网络的性能。用于实现各VLAN在交换机间通信的链路称为交换机的汇聚链路或主干链路,用于提供汇聚链路的端口称为汇聚端口。由于汇聚链路承载了所有VLAN的通信流量,所以要求只有通信速率在100 Mb/s或以上的端口,才能作为汇聚端口使用。跨越交换机的Trunk配置示例参见教材4.1.7节。4.2 生成树协议生成树协议4.
13、2.1 生成树相关协议生成树相关协议 生成树协议(Spanning Tree Protocol,STP)是在网络有环路时,通过一定的算法将交换机的某些端口进行阻塞,从而使网络形成一个无环路的树状结构。生成树协议使两个终端之间只有一条有效路径。1.公共生成树公共生成树 公共生成树(Common Spanning Tree,CST)是IEEE在虚拟局域网上处理生成树的特有方法。这是一种VLAN解决方案,生成树协议运行在VLAN1(即缺省的VLAN)上。公共生成树的优点是具有最小数量的BPDU通信,占用带宽少,交换机负载保持最小。但公共生成树只用一个根网桥,不能对所有的VLAN进行网桥的优化配置,这
14、导致对某些设备来说可能存在次优化路径。生成树的拓扑结构较大,这就会导致较长的收敛时间和更频繁的重新配置。4.2.1 生成树相关协议生成树相关协议 2.快速生成树协议快速生成树协议 快速生成树协议(Rapid Spanning Tree Protocol,RSTP)由IEEE 802.1w标准定义,是STP的扩展。RSTP的特点如下:(1)为根端口和指定端口设置了快速切换用的替换端口和备份端口两种角色,在根端口或指定端口失效的情况下,替换端口或备份端口会无延时地进入转发状态,而无须等待两倍的Forward Delay(转发延时)时间。(2)在只连接了两个交换端口的点对点链路中,指定端口只需要与下
15、游网桥进行一次信息交换,即可无延时地进入转发状态。如果是连接了3个以上网桥的共享链路,下游网桥不会响应上游指定端口发出的握手请求,只能等待两倍Forward Delay时间进入转发状态。(3)将直接与终端相连而不是与其他网桥相连的端口定义为边缘端口,边缘端口可以直接进入转发状态,不需要任何延时。由于网桥无法知道端口是否直接与终端相连,所以需要人工配置。RSTP的缺点如下:(1)由于整个交换网络只有一棵生成树,在网络规模比较大时会导致较长的收敛时间,拓扑结构改变对网络造成的影响也较大。(2)在网络结构不对称时,单生成树会影响网络的连通性。(3)链路被阻塞后将不承载任何流量,造成了带宽的极大浪费,
16、这在环型城域网中比较明显。4.2.1 生成树相关协议生成树相关协议 3.PVST/PVST+PVST(Per-VLAN Spanning Tree)是基于VLAN的生成树协议,它将为每个 VLAN建立一个独立的生成树实例,能够保证每一个VLAN都不存在环路。PVST的优点如下:(1)它使生成树拓扑结构的总体规模减小。(2)改进了生成树的扩展性,并减少了收敛时间。(3)提供更快的收敛恢复能力和更高的可靠性。PVST的缺点如下:(1)由于每个VLAN都需要生成一棵树,PVST的通信量将正比于Trunk的VLAN个数。(2)在VLAN个数比较多时,维护多棵生成树的计算量和资源占用量将急剧增长。特别是
17、当Trunk封装的端口状态发生变化时,所有生成树的状态都要重新计算,CPU将不堪重负。PVST(Per-VLAN Spanning Tree Plus)是Cisco提出的,可以与IEEE 802.1q公共生成树互操作。通过ISL中继,PVST与现存的Cisco交换机PVST协议兼容,同时,PVST通过IEEE 802.1q中继与CST连接并进行互操作。如果PVST区域和CST区域之间要互操作,则一定要通过PVST区域。由于协议的私有性,PVST/PVST不能像STP/RSTP一样得到广泛的支持,不同厂家的设备不能在这种模式下直接互通,只能通过一些变通的方式实现相互通信。4.2.1 生成树相关协
18、议生成树相关协议 4.多实例生成树协议多实例生成树协议 多实例生成树协议(Multiple Instance Spanning Tree Protocol,MISTP)定义了实例(Instance)的概念,MISTP就是基于实例的生成树协议。所谓实例,就是多个VLAN的一个集合。通过将多个VLAN捆绑到一个实例,可以节省通信开销和减少资源占用。MISTP既有PVST的VLAN认知能力和负载均衡能力,又拥有低CPU占用率。不过,极差的向下兼容性和协议的私有性阻碍了MISTP的大范围应用。MSTP(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种
19、新型的多实例生成树协议,可以将多个VLAN的生成树映射为一个实例。MSTP可以把支持MSTP的交换机和不支持MSTP的交换机划分成不同的区域,分别称作MST域和SST域。MSTP设备内部需要维护的生成树包括由若干个内部生成树(Internal Spanning Tree,IST)(其个数和连接了多少个SST域有关)和若干个多生成树实例(Multiple Spanning Tree Instance,MSTI)确定的MSTP生成树(其个数由配置了多少个实例决定)。MSTP具有VLAN认知能力,可以实现负载均衡,类似RSTP的端口状态快速切换,可以捆绑多个VLAN到一个实例中,以降低资源占用率。M
20、STP可以很好地向下兼容STP/RSTP。MSTP是IEEE标准协议,推广起来比较容易。4.2.2 生成树协议工作原理生成树协议工作原理 在一个生成树环境里选择一个网桥作为根网桥,根网桥的所有端口都处于转发状态;每一个非根网桥选一个端口到根网桥中,将其中管理成本最低的端口作为根端口,生成树协议将使根端口处于转发状态。当网络中有多个网桥时,其中管理成本最低的网桥将作为指定网桥,网桥中发送具有最低管理成本的BPDU的端口作为指定端口,该端口处于转发状态,所有其他端口被置为阻塞状态。1.根网桥的选择根网桥的选择 起初,网络中所有的网桥都通过发送STP报文来声明自己是根网桥,这些交换信息的数据称为网桥
21、协议数据单元。STP BPDU是一种二层报文,目的MAC是多播地址,所有支持STP协议的网桥都会接收并处理收到的BPDU报文,此报文的数据区携带了用于生成树计算的所有有用信息。用来标识根网桥的优先级、网桥ID和成本的报文是Hello数据包。STP通过Hello数据包中的内容来判断网络中是否有比自己更适合作为根网桥的网桥,如果有,就停止判断,并转发合适网桥的Hello数据包,最终将有一个网桥成为根网桥。BPDU有如下两种类型:(1)Configuration BPDU:即配置BPDU,用于生成树计算。(2)TCN BPDU:即拓扑变化通知(Topology Change Notification
22、,TCN)BPDU,用于通告网络拓扑变化情况。4.2.2 生成树协议工作原理生成树协议工作原理 2.根端口的选择根端口的选择 非根网桥的交换机通过判断,将具有最小根路径成本的端口选择为根端口。路径成本一直带在BPDU上,沿途的每台非根网桥的交换机都把接收BPDU的本地端口成本加上去,伴随BPDU的产生,就累加出了根路径成本。3.指定端口的选择指定端口的选择 在每个网段上选择一个交换机端口处理网络流量,网段内具有最小根路径成本的端口就为指定端口。4.STP环境中的交换机端口状态环境中的交换机端口状态 (1)禁用(Disabled):关闭的端口。(2)阻塞(Blocking):处于此状态的端口不能
23、接收或传输数据,不能把MAC地址加入地址表,只能接收BPDU。(3)监听(Listening):由根端口或指定端口担任,不能接收或传输数据,不能把MAC地址加入地址表,只能接收或发送BPDU。(4)学习(Learning):在转发延时(Forward Delay)计时时间(默认15秒)后,端口进入学习状态。处于此状态的端口不能传输数据,但可接收或发送BPDU,可以学习MAC地址并将其加入地址表。(5)转发(Forwarding):在下次转发延时(Forward Delay)计时时间(默认15秒)后,端口进入转发状态。处于此状态的端口能接收或传输数据,能学习MAC地址并将其加入地址表,也可以接收
24、或发送BPDU。4.2.3 生成树协议的基本配置生成树协议的基本配置 1.启动启动STPspanning-tree enable 2.禁止禁止STPspanning-tree disable 3.设置转发时间设置转发时间spanning-tree forward-time4003000 4.恢复转发时间恢复转发时间no spanning-tree forward-time 5.设置交换机被选为根网桥时发送设置交换机被选为根网桥时发送BPDU的时间间隔的时间间隔spanning-tree hello-time10010004.2.3 生成树协议的基本配置生成树协议的基本配置 6.恢复交换机被选为
25、根网桥时发送恢复交换机被选为根网桥时发送BPDU的时间间隔的时间间隔 no spanning-tree hello-time 7.设置设置BPDU报文老化的最长时间间隔报文老化的最长时间间隔 spanning-tree max-age6004000 8.恢复恢复BPDU报文老化的最长时间间隔报文老化的最长时间间隔 no spanning-tree max-age 9.设置优先级设置优先级 spanning-tree priority065535 10.恢复优先级恢复优先级 no spanning-tree priority 11.显示设置结果显示设置结果 show spanning-tree
26、protocol4.3 端口安全端口安全 4.3.1端口安全概述端口安全概述 1.端口安全的内容端口安全的内容 端口安全的具体内容包括端口安全开头、最大安全地址个数、安全地址、违例处理方式,其默认设置如表4-1所示。配置端口安全时有如下一些限制:(1)一个安全端口不能是一个aggregate port。(2)一个安全端口只能是一个access port。(3)一个千兆端口上最多支持20个同时申明IP地址和MAC地址的安全地址。表4-1 端口安全的内容4.3.1端口安全概述端口安全概述 2.加满端口上的安全地址加满端口上的安全地址 当用户设置了安全端口上安全地址的最大个数后,可以使用下面几种方式
27、加满端口上的安全地址:(1)使用接口配置模式下的命令“switchport port-security mac-address”来手工配置端口的所有安全地址。(2)让端口自动学习地址,这些自动学习到的地址将变成此端口上的安全地址,直到端口数量达到最大个数。3.违反端口安全性的情况违反端口安全性的情况 下述两种情况均违反了端口安全性:(1)一个具有安全性的端口收到的帧的源MAC地址已经被赋予另一个具有安全性的端口。(2)MAC地址表已满时仍试图学习新地址。4.3.1端口安全概述端口安全概述 4.违例的处理模式违例的处理模式 当违例产生时,可以设置下面几种针对违例的处理模式:(1)Protect:
28、当安全地址个数满后,安全端口将丢弃未知名地址的包。(2)Restrict:当违例产生时,将发送一个陷阱通知。(3)Shutdown:当违例产生时,将关闭端口并发送一个通知。5.违例端口处理措施违例端口处理措施 当出现违反端口安全性的情况时,端口有以下几种处理措施:(1)Suspend(挂起):端口不再工作,直到带有合法的地址信息的数据帧流入。(2)Disable(禁用):端口不再工作,除非人工使其再次启用。(3)Ignore(忽略):忽略其违反安全性,端口仍可工作。4.3.2 端口安全的配置和维护端口安全的配置和维护1.配置端口安全配置端口安全Switch#configure terminal
29、Switch(config)#interface interface_id /指定欲配置端口安全的接口Switch(config-if)#switchport mode access /将接口设置为访问模式Switch(config-if)#switchport port-security /启用端口安全Switch(config-if)#switchport port-security maximum value Switch(config-if)#switchport port-security violationshutdown|restrict|protect Switch(confi
30、g-if)#switchport port-security limit rate invalidsourcemac Switch(config-if)#switchport port-security mac address mac-address Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#endSwitch#show port-security address interface interface_id/查看并校验配置Switch#show port-security a
31、ddressSwitch#copy running-config startup-config /保存当前配置4.3.2 端口安全的配置和维护端口安全的配置和维护2.2.配置端口安全老化配置端口安全老化switch#configure terminal/进入全局配置模式switch(config)#interface interface_id switch(config-if)#switchport port-security aging time aging_time|typeabsolute|inactivity switch(config-if)#endswitch#show port-securityinterface interface_idaddress switch#copy running-config startup-config /保存当前配置
