交换机如何进行高级配置

《交换机如何进行高级配置》由会员分享，可在线阅读，更多相关《交换机如何进行高级配置（40页珍藏版）》请在金锄头文库上搜索。

1、交换机如何进行高级配置,需要掌握的重点: 了解VLAN的基本概念与VLAN协议 掌握交换机中VLAN的配置 掌握VTP的配置 了解交换机的端口安全性配置 了解交换机的其他配置,VLAN的基本概念与VLAN协议介绍,为何为要用虚拟局域网（VLAN） 虚拟局域网的运作原理 何为是虚拟局域网,我们为何为要用虚拟局域网（VLAN）,以太网交换物理上把LAN分成单独的冲突域。但是，每个段仍然是一个广播域的一部分。VLAN是网络设备（如交换机）上连接的部门、应用等等分类，而不管其物理段位置.。VLAN创建了不限于物理段的单一广播域，并像一个子网一样对待。VLAN可以减轻网络工程师的工作负担。VLAN还可以

2、允许网络在网络中的哪个位置。VLAN的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。Cisco Catalyst交换机能够完成很多功能来加强和简化VLAN的实现。中继线（trunking）的使用允许V L A N跨接由小型的或大型区域分开的多个交换机。但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。,虚拟局域网的运作流程,在企业发展初期，为了节约成本，企业采取了通过路由器实现分段的简单结构。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。, ,虚拟局域网的运作原理,VLAN概念的引入，使交换机承担了网络的分段

3、工作，而不再使用路由器来完成。VLAN具有控制广播、安全性高和灵活性及可扩展性等技术优势。,虚拟局域网的运作流程,通过使用VLAN，能够把原来一个物理的局域逻辑意义上的子网，而不必考虑具体的物理位置间和项目组等。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机，因此减少了数据交互的可能性，极大地增强了网络的安全性。,交换机中VLAN的处理,动态配置VLAN方式 静态配置VLAN方式 帧标记 零状态,动态配置VLAN方式,动态VLAN提供以端用户设备的MAC地址为基础把用户MAC地址分配到一个在VLAN成员策略服务器（VMPS）数据库中的VLAN。对于Cisco交换机，动态V

4、LAN使用网络管理工具来创建和管理，例如Cisco Works 2000。动态VLAN允许端用户具有充分的机动性和灵活性，但是需要更多的管理开销。,静态配置VLAN方式,静态VLAN提供基于端口的成员，在那里交换机端口被分配到特殊的VLAN。通过网络管理员的人为干涉，交换机端口被分配到VLAN，因此具有静态的特征。每一个端口接收一个端口VLAN ID（PVID），将它和VLAN号码相关联。在一台单独的交换机上端口可以被分配或者聚集到许多VLAN。这种方式有很好的安全性，但灵活性较差。,帧标记,当帧在网络中被交换，switches根据类型对其跟踪，加上根据硬件地址来判断如何对他们进行操作。需特别

5、注意的是：在不同类型的连接中，帧被处理的方式也不一样。,帧标记,交换环境中的2种连接类型： access links：指的是只属于一个VLAN，且仅向该VLAN转发数据帧的端口，也叫做native VLAN。switches把帧发送到access-link设备之前，移去任何的VLAN信息。而且access-link设备不能与VLAN外通信，除非access-link设备上数据包被路由。 trunk links：指的是能够转发多个不同VLAN的通信的端口。trunk link必须使口，这样可以不需要3层设备。当在switches之间使用了trunk link，多个VLAN的信息将从这个连接上通过

6、；如果在switches之间没有使用trunk link而使用一般的连接，那么只有VLAN1的信息通过这个连接被互相传递。VLAN1默认作为管理VLAN。,帧标记,VLAN标识符：在交换机的trunk link上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。附加VLAN信息的方法，最具有代表性的有： Inter-Switch Link（ISL）：属于Cisco私有，只能在快速和千兆以太网连接中使用，ISL路由可以使用在switch的断端口，router的接口和服务器接口卡等。 IEEE 802.1Q：俗称dot 1 Q.由IEEE创建，所以在Cisco和非Cisco设备之间

7、，就不能使用ISL必须使用802.1Q.802.1Q所附加的VLAN识别信息，位于数据帧中的源MAC地址与类型字段之间。基于IEEE802.1Q附加的VLAN信息，就像在传递物品时附加的标签当然ISL和802.1Q的主要目的是提供VLAN间通信。,VTP的配置,何为是VTP 配置VTP,何为VTP,在交换机或者一个小的交换机机组上的VLAN配置和连接中继（trunking）是相当依靠直觉的。然而，园区网环境通常包括很多互连机，由于配置和管理了大量的交换机。所以，VLAN和VLAN中继线很快就会失去控制。Cisco公司已经创建了一种用于管理园区网上全部VLAN的方法。VLAN中继线协议（VLAN

8、 Trunking Protocol，VTP，任何参与VTP交换的交换机都要意识到，并能够使用VTP所管理的任何VLAN。,何为是VTP,VTP的一些优点： 保持VLAN信息的连续性； 精确跟踪和监视VLAN； 动态报告增加了的VLAN信息给VTP域中所有switch； 可以使用即插即用（plug-and-play）的方法增加VLAN； 可以在混合型网络中进行trunk link，比如以太网到ATM LANE,FDDI等。,何为是VTP,在使用VTP管理VLAN之前，必须先创建个VTP服务器（VTP server），所有要共享VLAN信息的服务器必须使用相同的域名。而且，假如把某个switch

9、和其他的switch配置在1个VTP域里，这个switch就只能和这个VTP域里的switch共享VLAN信息。其实，如果只有1个VLAN，就不需要使switch通告VTP管理域信息，加上版本号和已知VLAN配置参数信息。还有种叫做透明VTP模式（transparent VTP mode），在这种模式里，可以给switch配置成通过trunk端口转发VTP信息，但是不接受VTP更新信息来更新它自己的VTP数据库。 switch通过VTP通告检测到增加的VLAN，然后把新增加的VLAN和已有的联结在一起共享信息。新的更新信息在之前的版本号上加1。,何为是VTP,在VTP域里操作的3种模式:： 服

10、务器模式（server mode）：所有Catalyst switches的默认设置，1个VTP域里必须至少要有1个服务器用来传播VLAN信息，对VTP信息的改变必须在服务器模式下操作.配置保存在NVRAM里； 客户机模式（client mode）：在这种模式下，switches从VTP服务器接受信息，而且它们也发送和接收更新，但是它们不能做任何改变。在VTP服务器通知客户switches说增加了新的VLAN之前，不能在客户switch的端口上增加新的VLAN.配置不保存在NVRAM里； 透明模式（transparent mode）：该模式下的switch不能增加和删除VLAN，因为它们保持的

11、有自己的数据库，不和其他的共享配置保存在NVRAM里。,配置VTP,配置VTP管理域 配置VTP模式 配置VTP版本,配置VTP管理域,在交换机加入网络中之前，应当确定VTP的管理域。如果这台交换机是该网络中的第一台交换机，那么必须创建管理域。否则，交换机就得加入到已有的管理域（含有其他交换机）中：使用下列通用的配置命令将交换机分配给某个管理域。其中domain-name是一个32字符厂的文本串：Switch (config)# vtp domain domain-name,配置VTP模式,使用下面的通用配置命令序列配置VTP模式： Switch (config)# vtp mode serv

12、er | client | tranvtp password password,配置VTP版本,可以使用下列通用配置命令配置VTP版本号： Switch (config)# vtp version 1 | 2 ,交换机的端口安全性配置,何为是端口安全性及其作用 端口安全性的配置,何为是端口安全性及其作用,在某些情况下，网络能够控制哪些站点能访问自己，从而实现对自身的保护。如果用户的工作站是固定不动的，那么往往可以通过MAC地址与相同接入层的交换机端口连接。如果工作站是移动的站点，也可以动态得获得其MAC地址并将该地址加入到一个地址列表中，以实现与交换机端口的连接。,控制安全性,该命令定义了一个

13、最大值，即在MAC地址表中与该端口相联系的所允许的最多目的MAC地址。最大计数值范围从1到132，默认情况为132。即最多可有132个目的。MAC地址与该端口对应。用port secure命令设置端口安全性后，该端口所对应的地址出现在MAC地址表中，不会以动态类型出现。因为，如果该端口对应的静态MAC地址数未达到最大计数值，而且交换机又从端口的帧流量源地址中学到了新的地址，则将该地址自动转变成永久MAC地址存入MAC地址表中。一旦永久或静态MAC地址数达到count值，则不再收受新的地址，这种方式称之为Sticky-Learns（记忆性学习）。该方式解决了未经允许而多人共用一台集线器接入交换机

14、的一个端口所造成的不安全因素。,措施,下述两种情况均违反了端口安全性: 一个具有安全性的端口所收到帧的源MAC地址已经被赋予另一个具有安全性的端口。 MAC地址表已满时仍试图学习新地址。 当出现违反端口安全性的情况时，端口有以下几种措施: Suspend（挂起）：端口不再工作，直到有数据帧流入并带有合法的地址。 Disable（禁用）：端口不再工作，除非人工使其再次启用。 Ignore（忽略）：忽略其违反安全性，端口仍可工作。 默认情况是：suspend。,端口安全性的配置,Catalyst交换机提供了对端口进行保护的功能，该功能基于MAC地址控制对端口的访问。要在一个接入层的交换机端口配置端

15、口保护，首先用下面的接口配置命令在端口上激活保护功能： Switch (config- if )# switchport port-sercurity,端口安全性的配置,在各个应用了端口保护的接口，要规定被允许访问的MAC地址的最大数目，可以用下面的接口配置命令： Switch (config- if )# switchport port-sercurity maximum max-address默认情况下，各个交换机端口仅允许一个MAC地址对其进行访问。可以设定的地址数目的范围是1到1024。,端口安全性的配置,端口安全性的配置在各个应用了端口保护的接口，要规定被允许访问的MAC地址的最大数

16、目，可以用下面的接口配置命令： Switch (config- if )# switchport port-sercurity maximum max-address默认情况下，各个交换机端口仅允许一个MAC地址对其进行访问。可以设定的地址数目的范围是1到1024。,端口安全性的配置,最后，必须确定使用端口保护的接口，在遇到违法的MAC地址时应该怎样做，可以用下面的接口配置命令进行这项设置： Switch (config- if )# switchport port-sercurity violation shutdown | restrict | protect 违法：是指获得超过最大数目的MAC地址，或者一个未知的（非静态定义的）MAC地址试图访问端口。,交换机的其他配置,配置MAC地址表及相关信息 配置交换机端口,配置MAC地址表及相关信息,MAC地址表对于交换机而言如同路由表对于路由器一样。因此，对MAC地址表的配置也尤为重要。,Switch # show mac-address-table,