交换机的基本概念及配置.docx
《交换机的基本概念及配置.docx》由会员分享,可在线阅读,更多相关《交换机的基本概念及配置.docx(22页珍藏版)》请在冰点文库上搜索。
交换机的基本概念及配置
第5章交换机
●交换机的基本概念及配置——这一节概述了交换机的基本概念、生成树协议以及CISCO交换机IOSCLI和路由器IOSCLI的相似之处,并且对比其命令,语法和交换机所特有的所需配置元素。
●VLAN——VLAN的有关术语和概念,并讲述了单个交换机的VLAN配置
5.1交换机的基本概念及配置
5.1.1交换机的基本概念
如今局域网变得越来越拥塞和不堪重负。
交换技术是解决这一问题的一个方法。
它减少了流量并增加了带宽。
局域网交换经常代替共享集线器,它被设计成与已经存在的电缆基本框架共存,这样它们可以在不破坏已存在的网络流量下安装。
如今,在数据通信中,所有的交换设备执行两个基本操作:
●交换数据帧——在当帧到达输入介质并发送到输出介质时发生。
●维护交换操作——在这个操作中,构造交换并维护交换表。
连接局域网段的交换机都使用MAC地址表,用它来决定数据报需要在哪个段上传送并减少流量。
交换机(第二层交换机)使用第二层交换发送帧。
用第二层交换,帧是基于MAC地址信息交换的。
第二层交换并不看数据包内的网络层信息。
第二层交换查看帧内的MAC目的地址。
如果它知道目的地址的位置,则把信息发送给相应的接口。
第二层交换建立和维护交换表,交换表了解哪个MAC地址属于哪个端口或接口。
如果第二层交换不知道帧应该发送到哪里,它向通向网络的所有外出端口广播帧来了解正确的目的地。
当帧的回复返回时,交换机就了解地址的位置并把此信息加到交换表上。
以太网交换机能通过读取传送数据包的源地址和记录帧进入交换机的端口来学习网络上每个设备的地址。
然后,交换机把该信息加到它的转发数据库。
这意味着,当读取新地址时它们被学习并存储在内容可寻址存储器中(Content-addressablememorg,CAM)。
当在CAM中没有被找的源被读取时,它被学习并存储以备将来使用。
每次存储地址时,地址被打上时间标记。
这使得地址能存储一段时间。
每次当地址被引用或在CAM中找到时,它将收到一个新的时间标记。
那些一段时间内还没有被引用的地址将从列表中移走。
通过移走过时的或老的地址,CAM维护了一个精确并有用的转发数据库。
可以使用两种交换模式来通过交换机转发数据帧:
(1)存储转发——在转发发生之前整个帧被接收。
目的和/或源地址被读取,并且在帧发送之前进行过滤。
延迟发生在当帧收到时;越大的帧延时越大,因为整个帧需要更正的时间来读取。
错误检测是高级别的,因为当路由器等待整个帧接收时,路由器有时间来检查错误。
(2)直通交换——交换机在接收整个帧之前读取目的地址。
然后,在整个帧到达之前帧被转发。
这种模式减少了传输延时但减弱了错误检测。
快速转发和自由分段是直通交换的两种形式:
●快速转发交换——快速转发交换是一收到目的地址就马上转发数据包的一种交换形式,因此提供了最低级别的延时。
由于快速转发交换在整个包全部接收之前就开始转发,因此可能造成数据包带有错误而续传。
尽管这不经常发生而且目的网络的适配器会在接收器上丢失错误的数据包,但是多余的流量在某些环境中被认为是不可接受的。
可以使用自由分段选项来减少有错误的数据包的转发数量。
在快速转发模式中,延时从收到第一个比特起算到开始发送第一个比特,或者是先进先出(FIFO)。
●自由分段交换——自由分段交换在转发开始时过滤出大量数据包错误的冲突分段。
在正常运行的网络中,冲突段必须小于64字节。
任何大于64字节的数据包是合法包,通常被无误地接收。
在自由分段交换前,要等到接收到的数据包已经被认为不是个冲突分段时,才开始转发该数据包。
在自由分段交换模式中,延时按FIFO衡量。
每个交换模式的延时决定于交换机如何转发帧。
越快的交换模式,交换机的延时就越小。
为了完成快速帧转发,交换机用较少的时间检查错误。
折衷方案是较少的错误检查,但这会导致大量的重传。
5.1.2生成树协议
生成树协议的目的是动态地建立一个桥接/交换网络,其中在任何两个局域网段(冲突域)间只有一条活跃路径。
为完成这个任务,所有桥接设备,包括交换机,均使用一个动态协议。
使用协议的结果是桥接设备的每一个接口将被设置成阻塞或转发状态。
阻塞表示该接口无法转发所接收的数据帧,但它可以发送和接收配置网桥协议数据单元(CBPDUs);转发则表示此接口可以转发数据帧。
通过将接口的一部分正确地设置为阻塞,在每两个局域网间将只存在一条当前活跃的逻辑路径。
当然,对可用性来说,网段间只有一条物理路径是一个糟糕的设计。
如果该路径中任意部分出了故障,网络就会断成若干分开的部分,各自的设备无法通讯。
于是,就要求有物理上的冗余,但由于透明网桥逻辑不允许多活跃路径,所以只能有一条活跃路径。
解决的方法是建立具有物理冗余的桥接网络并使用生成树动态地阻塞某些接口,以便在需要的任何时刻只有一条活跃路径。
综上所述,生成树协议的优点在于:
●允许网络中存在物理上的冗余路径,以便在其他逻辑发生故障时使用。
●通向同一个MAC地址的多条活跃路径将使桥接逻辑发生混淆;生成树协议通过建立唯一的一条(活跃)路径避免这种情况。
●避免桥接网络中的环路。
生成树协议是如何工作的
生成树算法使得每个网桥接口被置为转发或阻塞状态。
处于转发状态的接口被认为是处在当前的生成树中;而处于阻塞状态的接口则不在该树中。
算法的关键在于假定至少有一条可用物理路径,设置所有(位于树中的)转发接口以形成穿越局域网网段(冲突字段)的一条路径。
将接口设置为转发状态的3条准则如下:
●根网桥上的所有接口均设置为转发状态。
●对每个非根网桥,选择一个在其自身与根网桥之间管理代价最小的端口。
该端口,称为此网桥的根端口,将其设置为转发状态。
●多个网桥可以连接到同一个网段。
这些网桥使用配置网桥协议数据单元(CBPDUs),声明各自通向根网桥的管理代价。
网段上所有网桥中此代价最小的网桥被称为指定网桥。
指定网桥的此网段上的接口设置为转发状态。
所有其他接口被设置为阻塞状态。
建立一棵初始生成树
每个网桥开始时都声称自己是根网桥。
生成树协议定义了用来和其他的网桥交换信息的消息。
这些消息被称为配置网桥协议数据单元(CBPDUs)。
每个网桥开始时发送一个CBPDU报文说明以下内容:
●根网桥的网桥标识。
通常是此网桥某个接口的MAC地址。
每个网桥将自己的网桥标识设置为这个值。
●一个通过管理设置的优先级。
●在发送CBPDU的网桥和根网桥之间的代价。
在此过程开始时,每个网桥都声称是根网桥,所以这个值被置为0。
●发送CBPDU网桥的网桥标识。
在此过程开始时,每个网桥都声称是根网桥,所以该标识与根网桥标识相同。
拥有最低优先级的网桥将成为根网桥。
如果出现优先级相等的情况,拥有最小标识的网桥将成为根网桥。
网桥的标识应当是唯一的,因为MAC地址是唯一的。
选择根的过程从所有网桥通过发送带有网桥标识和优先级的CBPDU声称自己是根开始。
如果一个网桥侦听到一个更好的侯选者,它停止公布自己是根,并开始转发由更佳侯选者发送的CBPDU。
在转发该CBPDU之前,此网桥将代价增加一个值,此值根据接收到更佳侯选者CBPDU的接口的代价值而定。
网络拓扑变化的通知和响应
所有网桥都会收到定期的通告,告知网络没有发生任何变化。
当根向它所有接口发送含有与以前相同信息的CBPDU:
自身的网桥标识、优先级、代价和就是它自身的根网桥标识时,此协议机制就开始工作。
由根网桥建立的CBPDU也包括一些重要的定时器:
●Hellotime——根在周期性重发CBPDU前所需等待的时间,CBPDU由后续的网桥转发。
●MaxAge——任一网桥在认定网络拓扑发生改变前必须等待的时间。
●ForwardDelay——当一个接口从阻塞状态变为转发状态时,影响其所用时间的延时。
MaxAge定时器通常是Hello定时器的好几倍,这允许某些CBPDU发生丢失而网桥并不响应和改变生成树。
MaxAge的设置也需要考虑到CBPDU在网络中传输时间的变化。
在一个局域环境中,除非产生严重的拥塞导致大量的帧被丢弃,否则这些变化应该很小。
响应生成树的变化
用于对拓扑改变作出响应的过程视情况而不同。
但此过程总是从网桥在MaxAge时间内没有从其根端口接收到CBPDU开始。
任何端口都没受到CBPDU
如果一个网桥在MaxAge参数已经超过时仍没从非根端口接收到任何其他CBPDU时,该网桥以声明自己为根网桥并开始发送描述自己CBPDU来响应。
某些端口接收到CBPDU
重新计算生成树的过程仅当CBPDU不再由根端口接收时才会发生。
然而,网桥还可以从其他端口接收CBPDU。
下表总结了生成树的中间状态。
表5-1
状态
是否转发数据帧
是否基于接收到的帧学习MAC地址
是暂时或是稳定状态
阻塞
否
否
稳定
侦听
否
否
暂时
学习
否
是
暂时
转发
是
是
稳定
当网桥选者一个新的根网桥时,侦听和学习状态是中间状态。
在侦听状态,最重要的就是侦听CBPDU,以决定新的根网桥和指定网桥。
在学习状态,可基于到达帧学习MAC地址。
生成树协议小结
●生成树协议达到了允许物理冗余目的,但在桥接网络中只存在一条活跃路径。
生成树使用以下特性达到目的:
●所有网桥接口最终稳定在转发或阻塞状态。
转发状态的接口被当成生成树的一部分。
●其中一个网桥被选作根。
这个过程包括所有的网桥都声称是根,直到有一个被公认为最好。
根网桥的所有接口处于转发状态。
●每个网桥直接或通过其他网桥转发从根接收CBPDU。
每个网桥能在它的接口上接收不止一个这样的消息,但接收到CBPDU开销最小的端口被称为此网桥的根端口,随后该端口被置为转发状态。
●其他所有端口设置为阻塞状态。
●根每过Hellotime秒后发送CBPDU。
其他网桥期待收到这些CBPDU的拷贝,这样它们知道没有变化发生。
Hellotime在根的CBPDU中定义,所以所有网桥使用相同的值。
●如果网桥在MaxAge时间内没收到CBPDU,它将开始改变生成树的过程。
响应随拓扑的不同而不同。
●根据网络的变化,一个或多哥网桥决定把接口状态从阻塞变为转发,或反之。
如果从阻塞变为转发,会先进入暂时的侦听状态。
在ForwardDelay时间后,变为学习状态。
在又过了一个ForwardDelay时间后,接口被置为转发状态。
●生成树协议包括这些时延是为了预防产生暂时的环路。
5.1.3缺省的1900配置
交换机的IOSCLI和路由器IOSCLI有很多相似之处。
下面的实验中我们将向大家介绍的是CISCO1900系列交换机的一些实现细节。
(注意:
不是所有的CISCO局域网交换机都向网络工程师提供IOSCLI接口)
在Catalyst1900交换机中,有3种不同的配置方法:
●从控制台端口进入菜单驱动接口
●基于Web的可视化交换机管理器(VSM)
●IOS命令行接口(CLI)
下表列出了一些常用的交换机命令:
表5-2
命令
说明
ipaddressaddresssubnet-mask
设置交换机的带内管理IP地址
ipdefault-gateway
设置缺省网关
showip
显示IP地址配置
showinterface
显示接口信息
mac-address-tablepermanentmacaddresstypemodule/port
设置一个永久MAC地址
mac-address-tablerestrictedstaticmacaddresstypemodule/portsre-if-list
设置一个有限制的静态MAC地址
portsecure[max-mac-countcount]
设置端口安全
showmac-address-table{seccurtity}
显示MAC地址表:
security选项显示有关限制或静态设置的信息
address-violation{suspend|disable|ignore}
设置安全地址冲突时,交换机所采取的行动
showversion
显示版本信息
copytftp:
//10.1.1.1/config.cfgnvram
从IP地址为10.1.1.1的TFTP服务器拷贝配置文件
copynvramtftp:
//10.1.1.1/config.cfg
在IP地址为10.1.1.1的TFTP服务器上保存配置文件
deletenvram
清除所有配置参数,升级交换机返回出厂时的缺省设置
缺省值随交换机的特性不同而不同。
下面列述了一些Catalyst1900交换机的缺省配置:
●IP地址:
0.0.0.0
●CDP:
有效
●交换模式:
不分段
●100BaseT端口:
自动协商双工模式
●生成树:
有效
●控制台口令:
无
5.1.4基本的IP和端口双工配置
看到这个标题肯定有同学会问:
“传统的局域网交换机是工作在第二层的设备,我们为什么要给它配IP地址呢?
”
的确,如果不需要管理交换机,交换机可以根本不用IP。
交换机以一种与路由器非常不同的方式支持IP。
交换机更像是扮演一个IP主机,有一个交换机单独的地址/掩码和一个缺省路由器。
每一个端口/接口并不需要IP地址,因为传统的局域网交换机并不进行网络层路由。
在安装交换机时一定要对端口进行双工的配置,而不是允许协商。
因为自动协商往往会产生无法预知的结果。
双工方式可配置为下列模式中的一种:
●自动(auto)——设置自动协商双工模式。
这是100Mbit/sTX端口的默认选项。
●完全(full)——设置全双工模式。
●完全流量控制(full-flow-control)——设置为有流量控制的全双工模式。
●半(half)——设置半双工模式。
这是10Mbit/sTX端口的默认选项。
为了验证IP配置和给定端口的双工方式配置,使用showip和showinterface命令。
5.1.5查看和配置MAC地址表项
MAC地址表包括动态表项、永久MAC地址表项和静态限制表项。
现将它们做一个概述如下:
●动态地址——通过正常的网桥/交换机处理过程加入到MAC地址表中的MAC地址。
也就是说,在接收一帧时,其源MAC地址和到达的端口/接口相联系。
这些表中的项在超时后就不再使用,并在清理整个表时被清除。
●永久MAC地址——通过配置,MAC地址可以和一个端口相联系,就像动态地址所做的一样。
然而,表中的永久表项永远不会超时。
●静态限制表项——通过配置,MAC地址被配置为仅和一个特定的端口相联系,并有额外的限制:
到该MAC地址的帧必须来自特定的到达端口的集合。
5.1.6管理配置和系统文件
在1900系列交换机中,对配置和系统软件文件的管理与控制命令和基于IOS的路由器有一些区别。
区别的原因之一是因为交换机并不真正运行IOS——它有很多特性包括IOSCLI像IOS,但是总还是有一些区别。
下表总结了路由器IOSCLI和1900IOSCLI之间的一些主要区别。
表5-3
功能
路由器命令、特性
交换机命令、特性
查看软件版本
showversion命令,显示IOS版本
Showversion命令,显示交换机软件版本
将配置文件拷贝到TFTP服务器
copystartup-configtftp命令,路由器IOS提示TFTP参数
copynvramtftp//server/file命令,交换机IOSCLI不提示TFTP参数
更新重新装载时使用的配置文件
copyrunning-configstartup-config命令
使用配置模式改变运行中的配置会自动地反映到在NVRAM中的配置文件中
删除重新装载时使用的配置文件
writeerase或erasestartup-config命令
deletenvram命令
5.1.7所需设备
完成本实验练习需要下面的模拟设备:
(1)Catalyst1900系列交换机一台
(2)三台PC机
(3)三根直通线
5.1.8实验要求
IP地址分配
表5-4
设备
IP
掩码
Switch
172.16.1.4
255.255.255.0
PC1
172.16.1.1
255.255.255.0
DEFAULTGATEWAY
172.16.1.1
255.255.255.0
PC2
172.16.1.2
255.255.255.0
DEFAULTGATEWAY
172.16.1.2
255.255.255.0
PC3
172.16.1.3
255.255.255.0
DEFAULTGATEWAY
172.16.1.3
255.255.255.0
●用show命令查看交换机的初始配置。
●将交换机的主机名设为cc,密码为caochao,管理IP设为172.16.1.4,并在E0/4口上设置一个永久MAC地址。
●对E0/1,E0/2,E0/3三个端口进行端口描述,端口双工配置等。
●用show命令查看配置,看其与初始配置有什么不同。
5.1.9网络拓扑图
图5-1
5.1.10命令详解
(1)查看交换机的版本信息
在特权模式下showversion可看到如下图所示的信息:
图5-2
(2)查看交换机E0/1口的初始设置
在特权模式下showinterfaceethernet0/1可看到如下图所示的信息:
从显示的信息中,你可以了解到该端口的MAC地址为000C.9952.8181,最大传输单元为1500bytes,STP有效,端口工作在半双工等。
图5-3
(3)查看交换机Fa0/26口的初始设置
在特权模式下showinterfacefat0/26可看到如下图所示的信息:
从显示的信息中,你可以了解到该端口的MAC地址为000C.4419.3047,最大传输单元为1500bytes,STP有效,端口工作在全双工等。
图5-4
(4)对交换机进行一些简单的设置
enable
!
进入特权命令状态
configterminal
!
进入全局设置状态
hostnamecc
!
配置交换机的主机名为cc
enablepasswordlevel15caochao
ipaddress172.16.1.4255.255.255.0
!
给交换机设置管理IP为172.16.1.4,掩码给24位
mac-address-tablepermanent000c.1234.1234e0/4
!
在E0/4口设置一个永久MAC地址
interfaceethernet0/1
!
进入e0/1口
descriptiontopc1
!
对端口进行描述
duplexauto
!
将端口设置为自动协商
interfaceethernet0/2
!
进入e0/2口
descriptiontopc2
!
对端口进行描述
interfaceethernet0/3
!
进入e0/3口
descriptiontopc3
!
对端口进行描述
(5)查看MAC地址表
在特权模式下showmac-address-table可看到如下图所示的信息:
图5-5
该交换机的MAC地址表中共有四条记录,其中有三条是动态学习到的,另外一条是大家手工添加进去的永久MAC地址。
(6)再次查看交换机E0/1口的设置
图5-6
在特权模式下showinterfaceethernet0/1可看到如下图所示的信息:
我们可看到我们改动后的结果,双工方式变成了自动协商,增加了对端口的描述。
5.1.11思考题
●假设有一个20个设备组成的以太网。
现将其分为两个独立共享的网段,两网段间用透明网桥相连。
请列出有利于用户的两点好处。
5.2VLAN
5.2.1实验目的
本次实验是为了验证VLAN在局域网中所起的作用,并进一步熟悉交换机的基本配置。
5.2.2实验原理
当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。
交换技术将共享介质改为独占介质,大大提高网络速度。
虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。
同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。
一个虚拟局域网(VLAN)是由一个或多个交换机组成的广播域。
VLAN是通过配置交换机,或通过参考驻留在外部服务器上的交换机配置而建立的。
如果设计需要3个分离的广播域,可以使用3个交换机——每个广播域一个。
每个交换机还可连到一个路由器上,使得包可以在广播域之间被路由。
而使用VLAN时,可以使用一个交换机,它可以把它的3个不同的端口组当作3个不同的广播域
VLAN使移动、添加和改变变得容易。
为了在一个交换机中实现VLAN,每一个VLAN使用一张分离的地址表。
如果在VLAN2的端口上接收到帧,则查找VLAN2的地址表。
当收到一帧时,其源地址将与地址表作比较,如果该地址是未知的,它将被加到地址表中。
同样,目标地址也将被检查以便进行转发决策。
对学习和转发来说,查找只对该VLAN的地址表进行。
VLAN有以下特征:
●一个VLAN中的所有设备都是同一广播域的成员;
●一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段;
●VLAN成员通常大多数是基于交换机的端口号,但是VLAN也能够基于设备的介质访问控制(MAC)地址而动态设置;
●VLAN最常用的类型是地理上的VLAN。
地理上的VLAN是在某个地理区域内被定义的。
这个区块通常是一个接线柜;
●端到端VLAN是通过整个交换架构进行定义的。
一个端到端VLAN可以跨越几个接线柜甚至几座建筑物。
端到端VLAN通常与一个如部门或项目组这样的工作组相关联。
设置VLAN成员身份的两种常用方法如下:
●静态VLAN——这种方法也被称为“基于端口的成员身份”。
静态VLAN设置是通过将端口指派到一个VLAN中来建立的。
当一台设备进入网络时,它自动地使用该端口所属的VLAN。
如果用户改换了端口,但仍需访问原来的VLAN,网络管理员必须手工地为这个新连接做一个端口到VLAN的指派;
●动态VLAN——动态VLAN是通过使用Ciscoworks2000或用于交换型互连网络的CiscoWorks(CWSI)来建立的。
目前,动态VLAN允许基于设备MAC地址的成员身份,当一个设备连入网络时,它将向数据库查询其VLAN成员身份。
5.2.3所需设备
完成本实验练习需要下面的模拟设备:
(1)Catalyst1912一台
(2)三台PC机
(3)三根直通线
5.2.4实验要求
IP地址分配
表5-5
设备
IP
掩码
Switch
172.16.1.4
255.255.255.0
PC1
172.16.1.1
255.255.255.0
DEFAULTGATEWAY
172.16.1.1
255.255.255.0
PC2
172.16.1.2
255.255.255.0
DEFAULTGATEWAY
172.16.1.2
255.255.255.0
PC3
172.16.1.3
255.255.255.0
DEFAULTGATEWAY
172
升级会员 