路由器交换机基础知识、基本配置

路由器和交换机基础知识与基本配置路由器与交换机的作用与特点交换机基础与基本配置路由器基础与基本配置目录交换机的作用PCBPCAPCDPCCSWASWB•连接多个以太网物理段，隔离冲突域•对以太网帧进行高速而透明的交换转发•自行学习和维护MAC地址信息交换机的特点•主要工作在OSI模型的物理层、数据链路层•提供以太网间的透明桥接和交换•依据链路层的MAC地址，将以太网数据帧在端口间进行转发路由器的作用RTCRTBRTARTDRTEPCBPCA•连接具有不同介质的链路•连接网络或子网，隔离广播•对数据报文执行寻路和转发•交换和维护路由信息路由器的特点•主要工作在OSI模型的物理层、数据链路层和网络层•根据网络层信息进行路由转发•提供丰富的接口类型•支持丰富的链路层协议•支持多种路由协议路由器与交换机的发展趋势•路由和交换的融合•多业务功能的融合路由器与交换机的作用与特点交换机基础与基本配置路由器基础与基本配置本章目录目标–交换原理–VLAN原理–生成树协议其本原理–交换机基本配置–交换机特性介绍–地址学习–转发/过滤–防止环路交换机的三大功能交换机的地址学习功能•起初MAC地址表是空的MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD交换机的地址学习功能•工作站A向工作站C发送一个数据帧•交换机分析该帧，帧的头部记录了源地址A，交换机由此知道工作站是连接在端口E0之上的•由于MAC地址表中没有C工作站的记录，所以交换机向所有的端口转发该帧（Flood泛洪）MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA交换机的地址学习功能•同样，工作站B给A发数据包的时候，交换机将其MAC地址和端口关联起来•MAC地址表记录了这样的一种关联，用于专用的集成电路ASIC的转发依据•转发数据由ASIC完成，不再需要CPU参与MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E1:0260.8c01.3333E0E1E2E3DCAB交换机的过滤功能•MAC地址表建立之后，当工作站A往工作C发送数据包，交换机知道只需要转发到端口E2,不需要复制到E1、E3,这就是交换机的过滤功能•过滤功能减少了网络流量对工作站的干扰，提高了可用带宽E0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstable网络拓扑冗余–冗余的网络拓朴结构可以防止单点故障，但也带来一些问题:广播风暴、重复帧、MAC地址表不稳定Segment1Segment2Server/hostXRouterYSegment1Segment2Server/hostXRouterYBroadcastSwitchASwitchB主机X发送的广播包由交换机A发送到网段2广播风暴Segment1Segment2Server/hostXRouterYBroadcastSwitchASwitchB交换机B把广播包又转发到网段1广播风暴Segment1Segment2Server/hostXRouterYBroadcast广播包就这样被反复传送直到占完带宽，造成网络服务中断SwitchASwitchB广播风暴端口速度Cost(当前IEEE规范)Cost(前IEEE规范)----------------------------------------------------------------------------------------------------10Gbps211Gbps41100Mbps191010Mbps100100生成树协议的路径成本生成树协议通过引入生成树协议，交换机把某些端口置于阻断状态，避免环路问题BlockxIEEE802.3d•在一个网络中只存在一个根桥(rootbridge)•非根桥上只有一个根端口(到根桥的cost最低)•在每一个网段上只有一个指定端口(designatedport)xDesignatedport(F)Rootport(F)Designatedport(F)Nondesignatedport(B)RootbridgeNonrootbridgeSWXSWY100baseT10baseT生成树基本原理SwitchYDefaultpriority32768MAC0c0022222222SwitchXDefaultpriority32768MAC0c0011111111RootbridgexPort0Port1Port0Port1100baseT10baseTDesignatedport(F)Rootport(F)Nondesignatedport(B)Designatedport(F)生成树协议的端口状态F–Forward转发状态B–Blocking阻断状态非指定端口将被交换机置于阻断状态，其它端口（根端口、指定端口）都将工作于转发状态Blocking阻断(20sec)Listening侦听(15sec)Learning学习(15sec)Forwarding转发在进行数据转发之前端口依次要经过以下几种状态…以默认参数工作时整个过程需要50秒！生成树协议端口状态SwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port110baseTx100baseTRootBridgeDesignatedportRootport(F)Nondesignatedport(BLK)Designatedport生成树重计算如果网络拓朴发生变化，生成树必须要进行重新计算，以启用必要的链路SwitchYMAC0c0022222222Defaultpriority32768SwitchXMAC0c0011111111Defaultpriority32768Port0Port1Port0Port110baseTx100baseTRootBridgeDesignatedportRootport(F)Nondesignatedport(BLK)DesignatedportBPDUxMAXAGEx生成树重计算交换机Y经过Maxage定义的时间仍收不到BPDU，可以认为根桥已经当掉，拓朴发生变化,重新进行计算关键问题：会聚所需时间•所有交换机完成计算，将端口置于阻断/转发状态之后整个网络就会聚完毕•当网络的拓扑结构发生变化时，交换机必须重新计算生成树协议，这期间用户的数据传送被中断生成树协议的扩展与发展•PVST:每个VLAN一个生成树•PortFast:端口快速进入转发状态•RSTP/MSTP:新一代的生成树PVSTVLAN10用户群VLAN20用户群VLAN10、20少数用户x阻断状态RootBridgeVLAN10的流量并非最优路径选择合适的根桥可以优化流量PVSTVLAN10用户群VLAN20用户群VLAN10、20少数用户xRootBridgeVLAN10的流量并非最优路径RootBridgex调整生成树设置可以达到某种程度的负载均衡PortFast•直接将端口置于转发状态，“立即可用”•避免了生成树启动的一些问题：如DHCP失败•只应在连接主机的端口上使用•3550高级特性：避免交换机间的端口工作于PortFast方式快速生成树•非常快的收敛速度，使生成树计算对网络数据的影响降到最小•分区域（等级）的生成树增强了扩展性•标准化技术，向后兼容•目前仅3550,6500等部分高档交换机支持，推荐应用于中心接入Halfduplex(CSMA/CD)•单向数据•冲突率高•一般出现在用HUB的情况SwitchHub半双工SwitchHubFullduplex•点对点•每个交换机端口上只连接一台设备•双方都支持(可通过自动协议选定)•不会有冲突发生•冲突检测自动关闭全双工Halfduplex(CSMA/CD)•单向数据•冲突率高•一般出现在用HUB的情况•划分网段•灵活性•安全性三楼二楼一楼用电财务工区VLAN把一组物理设备划分为多个逻辑网络VLAN概述SwitchAGreenVLANBlackVLANRedVLAN•VLAN之间互相隔离，就好象用户连接到不同的交换机一样VLAN的特点SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN•VLAN之间互相隔离，就好象用户连接到不同的交换机一样•VLAN可以跨越多个交换机VLAN的特点SwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLANTrunk•VLAN之间互相隔离，就好象用户连接到不同的交换机一样•VLAN可以跨越多个交换机•TRUNK(干道)传送多个VLAN的数据，它们使用“封装”标记不同VLAN的数据FastEthernetVLAN的特点38VLAN指定：动态与静态VLAN5StaticVLANDynamicVLANMAC=1111.1111.1111TrunkVMPS1111.1111.1111=vlan10VLAN10Porte0/9Porte0/439封装：标记–ISL是cisco专有技术–802.1Q是开放标准–可用于交换机之间或交换机与主机、路由器之间–由于新技术的发展，已经逐步统一于dot1qISL或802.1Q封装方法通过TRUNK传输前加上标记去掉标记传输VTP–VLANTrunkProtocol照字面翻译是VLAN干道协议，但其实称为VLAN管理协议更合适–VTP在一个由多台交换机组成的域内创建、修改和同步VLAN数据库–VTP信息只通过TRUNK传输–支持混合介质(以太网，ATM)1.“已建立新的VLAN”3.获知新VLAN的信息2VTPDomain“JSEPC”41VTP角色Transparent•转发通告信息•同步VLAN信息•不在NVRAM中•保存VLAN信息•建立VLAN•修改VLAN•删除VLAN•发送/转发通告•同步VLAN信息•在NVRAM保存信息•创建VLAN•修改VLAN•删除VLAN•转发通告•不同步到域•在NVRAM中保存42VTP操作VTP使用组播方式发送通告VTPserver和client同步到最新版本的VLAN数据库VTP通告每五分钟发送一次，或当VLAN数据库有修改时发送VTP使用组播方式发送通告VTPserver和client同步到最新版本的VLAN数据库VTP通告每五分钟发送一次，或当VLAN数据库有修改时发送1.创建新VLAN2.修改VLAN数据库版本号:Rev3--Rev4ServerClientClient4.Rev3--Rev45.同步到新的VLAN数据库334.Rev3--Rev45.同步到新的VLAN数据库同步过程热点问题：安全手段只允许特定机器使用该端口:portsecureWAN只允许特定机器(mac)使用某IP:静态ARP指定只允许特定IP访问某些资源:访问控制列表ACL配置安全手段PortSecure:(二层交换机)interf0/12portsecuritymax-mac-count1portsecurityactionshutdown!mac-address-tablesecure000C.00AB.1129f0/1