《《网络管理与维护技术》-苏英如-电子教案 03第3章 交换机配置》由会员分享,可在线阅读,更多相关《《网络管理与维护技术》-苏英如-电子教案 03第3章 交换机配置(40页珍藏版)》请在金锄头文库上搜索。
1、网络管理与维护技术,主编 苏英如,中国水利水电出版社,【本章要点】 管理用VLAN、管理用IP参数、端口角色设置 端口(链路)捆绑、端口流控、端口与地址捆绑,端口 接入设备数控制 交换机间链路、VTP VLAN定义、端口VLAN设置、VLAN间路由 生成树状态查看方法、生成树性能优化 在第3层交换机上构建DHCP服务器 在第3层交换机上将IP地址与MAC地址绑定,第3章 交换机配置,3.1 交换机基本配置 3.2 VLAN 3.3 STP 3.4 在第3层交换机上配置DHCP服务 3.5 在第3层交换机上将IP地址与MAC地址绑定,第3章 交换机配置,3.1.1 管理用IP参数 3.1.2 端
2、口通信参数 3.1.3 端口角色转换 3.1.4 EtherChannel端口捆绑 3.1.5 端口流控 3.1.6 将地址捆绑至端口 3.1.7 限制端口可接入设备数,3.1 交换机基本配置,对一个LAN而言,一般应将所有交换机的管理IP地址设置在一个私有网段(如10.9.9.0/24)内,该IP子网的网关通常为第3层交换机上的虚拟端口VLAN1,如图3-1所示。 图3-1 设置管理用IP参数,3.1.1 管理用IP参数,S1(config)#int vlan 1 S1(config-if)#ip address 10.9.9.1 255.255.255.0 S1(config-if)#ex
3、it S1(config)#ip default-gateway 10.9.9.254,S0(config)#int vlan 1 S0(config-if)#ip address 10.9.9.254 255.255.255.0,场景如图3-1所示,要求: 设置交换机S1的f0/1f0/10的通信速度为100Mbps,通信模式为全双工; 将端口f0/11,f0/20f0/23定义为宏组,并在这些端口上启用Port Fast特性。 S1(config-if-range)#int range f0/1 10 S1(config-if-range)#speed 100 S1(config-if-r
4、ange)#duplex full S1(config)#define interface-range G1 fastEthernet 0/11 , f0/20 23 S1(config)#interface range macro G1 S1(config-if-range)#spanning-tree portfast,3.1.2 端口通信参数,对第3层交换机而言,其端口既可用做第2层端口,又可用做第3层端口。型号不同的交换机,端口的默认角色不同。 S0(config)#do sh run int f0/1 interface FastEthernet0/1 no switchport n
5、o ip address 根据配置信息,可知端口f0/1默认为第2层端口。,3.1.3 端口角色转换,1第2层端口捆绑 场景:交换机S0的端口f0/1、f0/2已经分别与S1的端口f0/1、f0/2连接。 要求:将上述2条信道捆绑为1条逻辑信道,以实现冗余和负载均衡。 S0(config)#int range f0/1 - 2 S0(config-if-range)#channel-group 1 mode on S0(config-if-range)#Z S0#sh etherchannel load-balance Source MAC address S0#conf t S0(confi
6、g)#port-channel load-balance dst-mac,3.1.4 EtherChannel端口捆绑,2第3层端口捆绑 场景:交换机S0的第3层端口g1/0/11、g1/0/12已经分别与S1的第3层端口g1/0/11、g1/0/12连接。 要求:将上述2条信道捆绑为1条逻辑信道,以实现冗余和负载均衡。 设置方法与第2层EtherChannel类似。需要注意的是成员端口不能设置IP参数,配置完成后,所生成的逻辑端口为第3层端口,功能与普通的第3层端口相同(如:可为其设置IP参数)。 S0(config)#int range g1/0/11 - 12 S0(config-if-
7、range)#no switchport S0(config-if-range)# no ip address S0(config-if-range)# channel-group 1 mode on S0(config-if-range)#Z S0(config)#port-channel load-balance src-dst-ip,3.1.4 EtherChannel端口捆绑,交换机的许多端口(尤其是第2层端口)与用户设备直接相连。屏蔽来自用户设备的“不和谐”报文,有助于净化网络流量,提高速度。 通常,抑制广播报文是最常见的,有时,也需要限制单播或组播报文。 流控功能的强弱、语法与设备
8、密切相关。 以WS-C2960-48TC-L+IOS Ver 12.2平台为例: 1抑制广播报文 S(config)#int f0/24 S(config-if)#storm-control broadcast level 50 30 2抑制单播报文 S(config)#int f0/25 S(config-if)#storm-control unicast level bps 50m 30m 3抑制组播报文 S(config)#int f0/26 S(config-if)#storm-control action shutdown S(config-if)#storm-control mul
9、ticast level pps 4000 2000,3.1.5 端口流控,捆绑MAC地址至端口,可增强接入环节的安全性;捆绑IP地址至端口,一般用于防止因用户私设IP地址而引发冲突。 1捆绑MAC地址 直接指定端口对应的MAC地址。 设置交换模式,启用端口安全特性。默认交换模式为“dynamic auto”,不支持“port-security”。 指定端口可接受的MAC地址数量、违规处理方式、可信任MAC地址。默认的违规处理方式为“shutdown”,在“protect”方式下,与非信任MAC地址有关的流量,将被滤除。,3.1.6 将地址捆绑至端口,S(config)#mac access-
10、list extended p07 S(config-ext-macl)#permit host 0030.6e00.10d3 any S(config-ext-macl)#exit S(config)#int g0/7 S(config-if)#mac access-group p07 in 只能用于in方向上。,也可以用另一方法实现port-security: S0(config)#int f0/1 S0(config-if)#switchport mode access S0(config-if)# switchport port-security ,S0(config-if)#swit
11、chport port-security maximum 2 S0(config-if)#switchport port-security violation protect S0(config-if)#switchport port-security mac-address 0030.6e00.10d4 S0(config-if)#switchport port-security mac-address 0030.6e00.10d5,2捆绑IP地址 只允许IP地址在区间118.230.167.134,118.230.167.148上的设备接入,怎样设置? ip access-list sta
12、ndard acl-p24 permit 118.230.167.148 permit 118.230.167.135 permit 118.230.167.134 permit 118.230.167.136 0.0.0.7 permit 118.230.167.144 0.0.0.3 只能用于in方向 interface FastEthernet0/24 switchport access vlan 676 ip access-group acl-p24 in 在第2层交换机上,解析第3层协议系扩展功能,因此,某些版本的IOS(如标准IOS)不支持该功能。,3.1.6 将地址捆绑至端口,3
13、.1.7 限制端口可接入设备数,有时需要控制端口可接入的设备数量,但并不关心所接设备的MAC地址。 场景之一: 交换机S1的f0/10端口,最多允许接入2台设备。若有违规,则关闭端口。 S1(config)#int f0/10 S1(config-if)#switchport mode access S1(config-if)#switchport port-security maximum 2 S1(config-if)#switchport port-security mac-address sticky S1(config-if)#switchport port-security vio
14、lation shutdown 场景之二: 交换机S1的f0/11端口,最多允许接入2台设备。若有违规,则与违规接入设备有关的流量将被丢弃。 更改违规方式为“protect”即可,3.2 VLAN,VLAN(Virtual LAN,虚拟局域网)技术用于缩小广播域,增强安全性,提高控制灵活性。一般可将VLAN理解为以太网上一组物理端口的集合。 图3-2 VLAN场景 在该场景中,交换机S0的端口f0/1-8、S1的f0/1-4构成了VLAN 227;S0的f0/13-20、S1的端口f0/11-14构成了VLAN 228。,VLAN配置过程和方法: 1配置交换机间链路Trunk 2配置VTP 3
15、定义VLAN 4将端口分配至VLAN中 5配置VLAN间路由,3.2 VLAN,与交换机级联链路类似,Trunk用于在交换机间传输流量; 与交换机级联链路不同,因VLAN跨越了交换机,为识别流量所属的 VLAN,发送至Trunk的流量必须按某种格式进行封装。 封装格式(协议)有二: Cisco私有协议ISL(交换机间链路)和IEEE 802.1Q。为兼容非Cisco设备,一般选用后者。 在图3-2中,两交换机的F0/24端口间的物理连接完成后,交换机S0的Trunk设置步骤如下: S0(config)#int f0/24 S0(config-if)#switchport mode trunk
16、S0(config-if)#switchport trunk encapsulation dot1q S0(config-if)#Z S0#sh int f0/24 trunk,1配置交换机间链路Trunk,2配置VTP,VTP(VLAN Trunking Protocol,VLAN中继协议)是Cisco的私有协议,该协议用于简化VLAN定义、配置过程。 对图3-2而言,若不运行该协议,则VLAN227和VLAN228需在两台交换机上进行定义。若配置了VTP,则每个VLAN只需定义一次,便全局有效。 在VTP域中,交换机可工作在服务器、客户机或透明模式下。 在服务器模式下,交换机接收并传播VTP通告,并据以更新VLAN设置;用户可创建、修改VLAN,有关信息将被以通告的形式传遍整个VTP域; 在客户机模式下,交换机被动地接收并传播VTP通告,并更新VLAN设置,但不能修改全局性的VLAN信息。 在透明模式下,交换机不参与VTP操作,只是简单转发VTP通告,透明模式很少使用。,2配置VTP,作为VTP
