CCNA官方配套教材教材-3交换技术.ppt-道客多多

资源描述

1、3 交换技术,3 交换技术,3.1 LAN设计 3.2 交换机的基本概念和配置 3.3 VLAN 3.4 VTP 3.5 STP 3.6 VLAN间的路由 3.7 无线的基本概念和配置,3 交换技术,3.1 LAN设计（N3-1）,3.1.1 交换式LAN体系结构,分层网络模型接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。核心层是网际网络的高速主干。核心层也可连接到Internet 资源。,3.1.1 交换式LAN体系结构,分层网络设计的优点可扩展性，可以方便地扩展分层网

2、络冗余性，核心层和分布层的冗余性确保路径的可用性性能，通过在各层之间采用链路聚合技术并采用高性能的核心层和分布层交换机可让整个网络接近线速运行安全性，接入层的端口安全功能和分布层的策略让网络更安全易于管理性，各层之间的一致性让管理更方便易于维护性，分层设计的模块可让网络轻松实现扩展，不至于变得过于复杂,3.1.1 交换式LAN体系结构,分层网络设计的原则网络直径-网络直径是指数据包到达目的地之前必须穿过的设备数量。带宽聚合-通过将两台交换机之间的多条并行链路合并为一条逻辑链路来实现带宽聚合。冗余链路-现代网络在分层网络的各层之间使用冗余链路来确保网络的可用性。,网络直径,带宽聚

3、合,冗余链路,3.1.1 交换式LAN体系结构,融合网络融合是在数据网络上融入语音和视频通信的过程。融合网络的一大优点是它只有一个网络需要管理。融合网络的另一个优点是可以降低实现和管理的成本。融合网络可提供前所未有的选择。,3.1.2 将交换机与指定的LAN功能进行配对,分层网络交换机的考虑因素流量分析流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程。用户群分析用户群分析是确定各类用户群体及其对网络性能的影响的过程。数据存储和数据服务器分析在考虑数据存储和服务器的流量时，应同时考虑客户端到服务器的流量和服务器到服务器的流量。拓扑图拓扑图是网络基

4、础架构的图形表现形式。,3.1.2 将交换机与指定的LAN功能进行配对,交换机的特性交换机的外形因素固定配置交换机模块化交换机可堆叠交换机交换机的性能端口密度转发速率链路聚合以太网供电(PoE)和第3层功能,3.1.2 将交换机与指定的LAN功能进行配对,分层网络中交换机的性能,3.1.2 将交换机与指定的LAN功能进行配对,适合中小型企业的交换机,http:/ 交换技术,3.2 交换机的基本概念和配置（N3-2）,3.2.1 Ethernet/802.3 LAN简介,载波侦听多路访问/冲突检测 (CSMA/CD) 网络设备在发送报文的之前必须先侦听网络是否空闲。如果设备检测到来自其它

5、设备的信号，它就会等待特定的时间的后再尝试发送。如果没有检测到流量，设备将发送报文。在发送过程中，设备仍会继续侦听LAN中的流量或冲突。报文发送之后，设备将恢复默认侦听模式。如果设备之间的距离造成一台设备的信号延时，也就是说，另一台设备无法检测到信号，则另一台设备可能也会开始发送。那么，现有两台设备同时在介质中发送信号。报文将在介质中传播，直到相互碰头。此时，双方的信号就会混合，报文被损坏，从而形成冲突。检测到冲突之后，发送设备将发出堵塞信号。堵塞信号通知其它设备发生了冲突，以便它们调用回退算法。回退算法将使所有设备在随机时间内停止发送，以让冲突消除。,3.2.1 Ethernet/8

6、02.3 LAN简介,Ethernet/802.3 网络的关键要素交换LAN 网络中的通信以三种方式进行：单播、广播和组播：,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的关键要素以太网帧：MAC地址,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的关键要素双工设置半双工（CSMA/CD）：单向数据流；冲突可能性高；集线器链接；全双工：仅限点对点；连接到专用交换端口；需要两端都支持全双工；无冲突；冲突检测电路禁用。 Cisco Catalyst 交换机有三种设置： auto 选项设置双工模式自动协商

7、。启用自动协商时，两个端口通过通信来决定最佳操作模式。 full 选项设置全双工模式。 half 选项设置半双工模式。 auto-MDIX 在运行 Cisco IOS R12.2(18)SE 或更高版本的交换机上，默认启用 auto-MDIX 功能。,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素 MAC寻址和交换机MAC地址表,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素思考：MAC寻址和交换机MAC地址表？交换机刚刚加电，交换机MAC表的情况？交换机如何学习和维持MAC地址表

8、？交换机的MAC地址记录中的老化时间（Aged Time）的作用？当目的MAC地址为主机地址，且目的地址信息在交换机的MAC地址标中有记录时，交换机如何转发数据帧？当目的MAC地址为主机地址，且地址信息在交换机的MAC地址标中没有找到记录时，交换机如何转发数据帧？当目的MAC地址为广播地址时，交换机如何转发数据帧？,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素带宽和吞吐量共享以太网络的节点数量将影响网络的吞吐量或效率。冲突域冲突域是指发出的帧可能产生冲突的网络区域。所有共享介质环境（例如使用集线器创建的介质环境）都属于一个冲突域。交

9、换机为每个网段提供专用带宽，因此减少了网段上的冲突，并提高了网段上的带宽使用率。（交换机每个端口都属于一个冲突域）,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素冲突域,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素广播域虽然交换机基于 MAC 地址过滤大多数帧，但是它们不过滤广播帧。LAN 上的其它交换机如需获得广播帧，交换机必须转发广播帧。相连交换机的集合构成了一个广播域。只有第 3 层实体，如路由器或虚拟局域网 (VLAN) 才能阻隔第 3 层的广播域。交换机收到广播帧时，

10、它将该帧转发到自己的每一个端口。（接收该广播帧的传入端口除外）,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素网络延时延时是一个帧或一个数据包从源工作站到达最终目的地所用的时间。网卡延时线缆延时设备延时延时不单单取决于设备的距离和数量，还取决于设备的类型。网络拥塞计算机和网络技术的功能日益强大网络流量日益增加高带宽应用程序,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素 LAN分段将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽

11、。使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。交换机通常用于将大型LAN 分割成很多更小的网段。虽然LAN 交换机缩小了冲突域的规模，但是连接到交换机的所有主机仍都处于同一个广播域中。隔离冲突域主要设备：交换机、路由器、网桥用路由器创建更多、更小的广播域将减少广播流量，并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络，广播流量的范围仅限于发出该广播的LAN网段内。隔离广播域主要设备：路由器,3.2.1 Ethernet/802.3 LAN简介,Ethernet/802.3 网络的设计考虑因素冲突域与广播域,3.2.1 Ethernet/802.3 LAN

12、简介,Ethernet/802.3 网络的设计考虑因素控制网络延时考虑网络上每台设备造成的延时。支持 48 个端口，以 1000 Mb/s 全双工运行的核心级交换机，如需使所有端口的导线速度同时保持全速，则需要 96 Gb/s 的内部吞吐量。 OSI 高层设备也可能增加网络延时。适度使用高层设备，既要降低网络延时，又要防止广播流量争用资源或高冲突率。消除瓶颈更高容量的链路（例如，从 100 Mb/s 连接升级到 1000 Mb/s）以及利用链路聚合技术的多链路（例如，将两条链路合并为一条以使连接容量加倍）有助于减少交换机间链路和路由器间链路所造成的瓶颈。,3.2.2 交换机的数据帧

13、转发,交换机转发方法交换机使用下面的两种转发方法之一来进行网络端口间的数据交换存储转发交换(Store-and-Forward) ，当交换机收到帧时，它将数据存储在缓冲区中，直到收下完整的帧。存储过程期间，交换机分析帧以获得有关其目的地的信息，同时还将使用以太网帧的循环冗余校验 (CRC) 帧尾部分来执行错误检查。直通交换快速转发(Fast-forward)交换，快速转发交换在读取目的地址之后立即转发数据包。快速转发交换提供最低程度的延时。免分片 (fragment-free) 交换，交换机在转发之前存储帧的前 64 个字节。免分片交换在转发帧之前对帧的前 64 个字节执行小错误检查以确保没

14、有发生过冲突，并且尝试通过这种方法来增强直通交换功能。,3.2.2 交换机的数据帧转发,交换机转发方法,3.2.2 交换机的数据帧转发,练习：存储转发请参见图示。通信从 PC 路由到笔记本电脑时，会进行多少次唯一的 CRC 计算？1 2 4 8,3.2.2 交换机的数据帧转发,内存缓冲以太网交换机在转发帧之前，可以使用缓冲技术存储帧。当目的端口由于拥塞而繁忙时，也可以使用缓冲，交换机将一直存储帧，直到可以传送该帧。将内存用于存储数据的功能称为内存缓冲，有两种内存缓冲方法：基于端口和共享内存。基于端口的内存缓冲，帧存储在链接到特定传入端口的队列中。共享内存缓冲，所有帧都放入交换机上所有端

15、口共享的公共内存缓冲区中。,3.2.2 交换机的数据帧转发,第2层交换和第3层交换第 2 层 LAN 交换机（如 Catalyst 2960），只根据 OSI 数据链路层MAC 地址执行交换和过滤。对网络协议和用户应用程序完全透明。第 3 层交换机（如 Catalyst 3560），不仅使用第 2 层 MAC 地址信息来作出转发决策，而且还可以使用 IP 地址信息。第 3 层交换机不仅知道哪些 MAC 地址与其每个端口关联，而且还可以知道哪些 IP 地址与其接口关联。第 3 层交换机还能够执行第 3 层路由功能，从而省去了 LAN 上对专用路由器的需要。但是第 3 层交换机不能完全取代网

16、络中的路由器。,3.2.3 交换机管理配置,切换命令行界面模式替代命令行界面的图形化用户界面,3.2.3 交换机管理配置,帮助设施词语帮助：如果您记不起完整命令，但是记得开头几个字符，则可以按顺序先输入这几个字符，然后再输入一个“?”（问号前面不要加入空格）。命令语法帮助：如果不熟悉在 Cisco IOS CLI 的当前上下文中可以使用哪些命令，或者不知道要使给定命令完整需要哪些参数或可以使用哪些参数，则可以输入“ ?” 命令（问号前面必须加空格）。命令历史记录 Cisco CLI 提供已输入命令的历史记录。这种功能称为命令历史记录，它对于重复调用较长或较复杂的命令或输入项特别有用。,3

17、.2.3 交换机管理配置,交换机启动顺序交换机加载启动加载器软件。启动加载器是存储在 ROM中的小程序，并且在交换机通电时运行。启动加载器执行低级 CPU 初始化。执行 CPU 子系统的加电自检 (POST)。将默认操作系统软件映像加载到内存中，并启动交换机。操作系统使用配置文件 config.text（存储在交换机闪存中）中找到的 Cisco ISO 命令来初始化接口。,3.2.3 交换机管理配置,准备配置交换机步骤 1. 启动交换机之前，请验证以下事项：所有网络电缆都连接牢固。PC 或终端已连接到控制台端口。终端仿真器应用程序(如 HyperTerminal)正在运行且配置正确。

18、步骤 2. 将电源线插头插入交换机电源插口。交换机将启动。某些 Catalyst 交换机（包括 Cisco Catalyst 2960 系列）没有电源按钮。步骤 3. 观察下面的启动顺序：当交换机开启时，POST 开始。POST 期间，当交换机执行一系列测试来确定工作是否正常时，LED 将闪烁。POST 完成后，SYST LED 快速闪烁绿光。如果交换机未能通过 POST，则 SYST LED 变为琥珀色。当交换机不能通过 POST 测试时，有必要维修交换机。,3.2.3 交换机管理配置,交换机的基本配置配置管理接口配置默认网关验证配置配置双工和速度配置 Web 接口管理 MAC

19、地址表,3.2.3 交换机管理配置,交换机的基本配置配置管理接口配置默认网关验证配置配置双工和速度配置 Web 接口管理 MAC 地址表,S1#show mac-address-table S1(config)#mac-address-table static MAC-address vlan vlan-id interface interface-id,3.2.3 交换机管理配置,验证交换机的配置修改配置替换，属性唯一时，重新配置将直接替换原属性，例如：hostname no指令，返回默认值或删除配置记录，例如：no hostname,3.2.3 交换机管理配置,基本交换机管

20、理（特权执行模式）备份和恢复交换机配置copy running-config startup-config copy startup-config flash:filename copy flash:config.bak1 startup-config，然后reload 将配置文件备份到 TFTP 服务器copy system:running-config tftp:/location/directory/filenamecopy nvram:startup-config tftp:/location/directory/filename. 清除配置信息erase nvram: 或 eras

21、e startup-config 删除存储的配置文件delete flash:filename 特权执行命令,3.2.4 配置交换机安全性,配置口令选项配置控制台口令(要防止控制台端口console受到未经授权的访问)配置执行模式口令配置加密口令(所有系统口令都将以加密形式存储) S1(config)# service password-encryption,3.2.4 配置交换机安全性,配置口令选项配置vty端口 (Cisco 交换机的 vty 端口用于远程访问设备)transport input telnet | ssh | all Telnet 是 vty 线路的默认传输方式,S1#

22、configure terminal S1(config)#line vty 0 4 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#end,SSH配置,S1#configure terminal S1(config)#ip domain-name S1(config)#crypto key generate rse S1(config)#ip ssh version 2 S1(config)#line vty 0 4 S1(config-line)#password cisco S1(config-l

23、ine)#transport input ssh S1(config-line)# login,3.2.4 配置交换机安全性,常见安全攻击 MAC地址泛洪主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。理解 MAC 地址表溢出攻击工作方式的关键是要知道 MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机，直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式，开始像集线器一样工作

24、，并将数据包广播到网络上的所有机器,3.2.4 配置交换机安全性,常见安全攻击欺骗攻击攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。 CDP 攻击默认情况下，大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。 telnet攻击的类型暴力密码攻击Dos攻击抵御暴力密码攻击经常更改密码使用强密码限制可通过vty线路进行通信的人员 Dos攻击更新为最新版本的Cisco IOS软件,3.2.4 配置交换机安全性,配置端口安全性安全MAC地址有以下类型：静态安全MAC地址动态安全MAC地址粘滞安全MAC地址粘滞安全MAC地

25、址有以下特性：switchport port-security mac-address sticky，动态学习，转换为存储在运行配置中的粘滞安全MAC地址。no switchport port-security mac-address sticky，禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除，将把粘滞MAC地址转换为动态安全地址。如果将粘滞安全 MAC 地址保存在配置文件中，则当交换机重新启动或者接口关闭时，接口不需要重新获取这些地址。如果不保存粘滞安全地址，则它们将丢失。,3.2.4 配置交换机安全性,配置端口安全性安全违规模式在以下情况发生：地址表中添加了最大数

26、量的安全 MAC 地址，有工作站试图访问接口，而该工作站的 MAC 地址未出现在该地址表中。在一个安全接口上获取或配置的地址出现在同一个 VLAN 中的另一个安全接口上。,protect,restrict,shutdown,3.2.4 配置交换机安全性,配置端口安全性在端口上启用端口安全性： S1# configure terminal S1(config)# interface fastEthernet 0/18 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-i

27、f)# switchport port-security maximum 50 S1(config-if)# switchport port-security violation shutdown S1(config-if)# switchport port-security sticky S1(config-if)# switchport port-security mac-address 000e. 83B3.D842注意1：端口模式不能是工作在动态模式(dynamic)，蓝色部分参数可调整；注意2：交换机端口安全模式默认不启用，当管理员启用后，允许的最大MAC地址默认为“1”，违规模式

28、为“关闭”，粘滞地址状态为“禁用”,3.2.4 配置交换机安全性,配置端口安全性验证端口安全性：,3 交换技术,3.3 VLAN（N3-3）,3.3.1 VLAN简介,什么是VLAN 构建VLAN之前,3.3.1 VLAN简介,什么是VLAN 构建VLAN之前 VLAN概述VLAN，虚拟局域网。VLAN 可让网络管理员建立多组逻辑上联网的设备，即使这些设备与其它 VLAN 共享相同的基础架构，它们也能像在独立的网络中一样运作。VLAN 是一个逻辑上独立的 IP 子网。交换机配置 VLAN，为 VLAN分配端口。无论是否使用 VLAN，两个不同网络和子网上的设备必须通过路由器（第 3 层）才

29、能通信。,3.3.1 VLAN简介,VLAN 的优点安全成本降低性能提高广播风暴防范提高IT员工的效率简化项目管理或应用管理,3.3.1 VLAN简介,VLAN ID 范围普通范围的 VLANVLAN ID 范围为 1 到 1005。从 1002 到 1005 的 ID 保留供令牌环 VLAN 和 FDDI VLAN 使用。ID 1 和 ID 1002 到 1005 是自动创建的，不能删除。配置存储在vlan.dat 的 VLAN 数据库文件中，vlan.dat 位于交换机的闪存中。VTP 只能识别普通范围 VLAN，并将其存储到 VLAN 数据库文件中。扩展范围的 VLANVLAN I

30、D 范围从 1006 到 4094。支持的 VLAN 功能比普通范围的 VLAN 更少。保存在运行配置文件中。VTP 无法识别扩展范围的 VLAN。,3.3.1 VLAN简介,VLAN类型数据 VLAN，只传送用户产生的流量。默认 VLAN，在交换机初始启动之后，交换机的所有端口即加入到默认 VLAN 中。Cisco 交换机的默认 VLAN 是 VLAN 1。VLAN 1 具有 VLAN 的所有功能，但是不能对它进行重命名，也不能删除。第 2 层的控制流量（例如 CDP 流量和生成树协议流量）始终从属于 VLAN 1这一点无法改变。本征 VLAN，分配给 802.1Q 中继端口。802.

31、1Q 中继端口支持来自多个 VLAN 的流量（有标记流量），也支持来自 VLAN 以外的流量（无标记流量）。802.1Q 中继端口会将无标记流量发送到本征 VLAN。管理 VLAN，配置用于访问交换机管理功能的 VLAN。语音 VLAN，支持 IP 语音 (VoIP)的VLAN。,3.3.1 VLAN简介,通过VLAN控制广播域没有 VLAN 的网络以常规方式运作时，如果交换机在某个端口上收到广播帧，它会将该帧从交换机的所有端口上转发出去。有 VLAN 的网络当广播帧从配置了vlan号某个端口进入交换机时，交换机只会将此广播帧转发到与收到广播帧端口配置相同 VLAN号的交换机的其它端口

32、。,3.3.1 VLAN简介,通过VLAN控制广播域通过交换机和路由器控制广播域VLAN 内通信VLAN 间通信,3.3.1 VLAN简介,通过VLAN控制广播域通过 VLAN 和第 3 层转发来控制广播域交换机虚拟接口 (SVI) 技术第 3 层转发，第 3 层交换机能够在 VLAN 之间路由数据传输。其过程类似于使用单独路由器的 VLAN 间通信，只不过是由 SVI 充当路由器接口来路由 VLAN 之间的数据。,3.3.2 VLAN中继,VLAN中继的定义中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量。VLAN 中继可让 VLAN 扩展到整个网络上。中继能解决什

33、么问题？ VLAN 中继仅通过一条物理链路来代替每个子网的单独链路连接交换机。,接入链路（access）和中继链路（trunk）,3.3.2 VLAN中继,VLAN帧标记 802.1Q帧标记由于帧头本身并不包含到底太网帧应该属于哪个 VLAN 的相关信息。因此，当以太网帧进入中继后，以太网帧需要额外的信息来标识自己属于哪个 VLAN。 VLAN标记字段(4个字节)EtherType 字段：此字段设置为十六进制值 0x8100。此值也称为标记协议 ID (TPID) 值。标记控制信息字段：3 位的用户优先级；1 位的规范格式标识符 (CFI) ；12 位的 VLAN ID (VID) VLAN

34、标识号，最多支持 4096 个 VLAN ID。插入到源MAC地址和类型字段之间。,3.3.2 VLAN中继,中继模式 IEEE 802.1Q 标准，CISCO私有标准ISL DTP（动态中继协议）， Cisco 的专有协议开启（默认），交换机端口定期向远程端口发送一种称为通告的 DTP 帧。使用的命令是 switchport mode trunk。动态自动，交换机端口定期向远程端口发送 DTP 帧。使用的命令是 switchport mode dynamic auto。动态期望，交换机端口定期向远程端口发送 DTP 帧。使用的命令是 switchport mode dynamic d

35、esirable。关闭 DTP，本地端口就不会再向远程端口发送 DTP 帧。使用命令 switchport nonegotiate 可达到目的。,3.3.2 VLAN中继,中继模式 DTP Switchport模式交互,接入模式，当交换机处于接入模式时，只允许一个vlan的数据通过。使用的命令是 switchport mode access。,3.3.3 配置VLAN,配置VLAN和中继概述配置和检验步骤创建VLAN静态地将交换机端口分配给VLAN检验VLAN配置对交换机间连接启用中继检验中继配置,3.3.3 配置VLAN,配置VLAN 添加 VLAN分配端口,3.3.3 配置VLAN,配

36、置VLAN 删除接口所属VLAN删除VLAN S1#configure terminal S1(config)#no vlan vlan-id S1#delete flash:vlan.dat /清空设备配置时使用,3.3.3 配置VLAN,VLAN配置示例创建vlan，命名Vlan 为vlan分配交换机端口,3.3.3 配置VLAN,检验VLAN配置show vlan brief,3.3.3 配置VLAN,管理VLAN,3.3.4 配置中继,配置 802.1Q 中继在交换机端口上配置中继switchport mode trunk 配置中继端口中继模式switchport trunk en

37、capsulation dot1q(默认)/isl 配置中继端口本征VLANswitchport trunk native vlan vlan-id(默认本征vlan号为1) 配置中继端口允许VLANswitchport trunk allowed vlan vlan-range（默认为all）,3.3.4 配置中继,S1#configure terminal S1(config)#interface fastethernet 0/1 S1(config-if)#switchport mode trunk S1(config-if)#switchport trunk encapsulation

38、 dot1q S1(config-if)#switchport trunk native vlan 99 S1(config-if)#switchport trunk allowed vlan 10,20,30 S1(config-if)#no shutdown,3.3.4 配置中继,检查中继配置,3.3.4 配置中继,管理中继配置,3.3.4 配置中继,中继常见问题及解决办法本征 VLAN 不匹配调整中继链路两端端口参数，使其本征(native)vlan号一致S1(config-if)Switchport native vlan vlan-id 中继模式不匹配中继端口模式不能使用acces

39、s，尽可能不使用dynamic auto，最好直接配置为trunkS1(config-if)switchport mode trunk VLAN和IP子网不匹配将处于同一vlan的主机地址信息调整，使其具有相同的子网信息不正确的 VLAN 列表增加或删除中继链路两端不一致的vlan号S1(config-if)switchport access trunk allowed vlan add vlan-idS1(config-if)switchport access trunk allowed vlan remove vlan-id,练习,在交换机上配置vlan的步骤是什么，请使用PT软件完成在

40、Catalyst2960上配置以下信息 Vlan 2，information，网关：202.194.10.1/24 Vlan 3，material ，网关： 202.194.20.1/24 Vlan 4，Foreign ，网关： 202.194.30.1/24 Vlan 100，management ，网关： 202.194.100.1/24 管理vlan号为100，为交换机配置管理信息地址端口1-2属于vlan2，端口3-4属于vlan3，端口5-6属于vlan4，端口7属于vlan100，端口24属于中继端口，本征vlan为100，允许2-4，100通过。,3 交换技术,3.4 VTP

41、（N3-4）,3.4.1 VTP概念,VLAN 管理难题 - VTP(VLAN Trunk Protocol)在网络中管理VLAN和中继 - VTP 是自动学习VLAN和中继的方法，避免手工配置的麻烦,3.4.1 VTP概念,何谓VTP?VTP 允许网络管理员配置交换机，使之将 VLAN 配置传播到网络中的其它交换机。 VTP 仅获知普通范围内的 VLAN（VLAN ID 为 1 到 1005）。VTP的优点保持网络VLAN配置一致准确跟踪和监控VLAN 动态报告网络中添加的VLAN 当VLAN添加到网络时，动态执行中继配置,3.4.1 VTP概念,VTP 要素 VTP 域 VTP 通告

42、VTP 模式 VTP 服务器 VTP 客户端 VTP 透明 VTP 修剪,3.4.2 VTP运作,默认VTP配置 VTP 的版本VTP 有三个版本，第 1 版、第 2 版和第 3 版，默认版本为 VTP 第 1 版在一个 VTP 域中仅允许使用一个 VTP 版本Cisco 2960 交换机支持 VTP 第 2 版，但该功能处于禁用状态。 VTP默认配置VTP域名：空VTP版本：1VTP配置修订版本：0VTP模式：服务器VTP域名：空,3.4.2 VTP运作,默认VTP配置显示 VTP 状态，使用show VTP status 命令,3.4.2 VTP运作,VTP 域 VTP 允许将网络划分成

43、更小的管理域，以减轻 VLAN 管理工作。配置 VTP 域还有一个好处：如果发生配置更改错误，它可以限制该错误在网络中的传播范围。 VTP域包括一台交换机，或共享相同 VTP 域名的多台互连交换机。,3.4.2 VTP运作,VTP 域名传播 VTP 服务器将 VTP 域名传播到所有交换机域名传播需要使用三个 VTP 要素：服务器、客户端和通告,Domain=cisco1,Domain=cisco1,Domain=cisco1,Cisco 建议对域名配置功能启用口令保护,3.4.2 VTP运作,VTP通告 VTP帧结构,3.4.2 VTP运作,VTP通告 VTP帧结构,3.4.2 VTP运作

44、,VTP通告 VTP 消息内容 VTP 帧包含以下固定长度的全局域信息： VTP 域名发送消息的交换机的身份，以及发送时间戳 MD5 摘要 VLAN 配置帧格式：ISL 或 802.1Q VTP 帧包含每个所配置 VLAN 的以下信息： VLAN ID (IEEE 802.1Q) VLAN 名称 VLAN 类型 VLAN 状态其它取决于 VLAN 类型的 VLAN 配置信息,3.4.2 VTP运作,VTP通告 VTP 配置修订版号配置修订版号代表 VTP 帧的修订级别，它是一个 32 位的数字交换机的默认配置修订版号为零 VTP 域名改变，配置修订版号将重置为零配置修订版号用于确定

45、从另一台启用 VTP 的交换机上收到的配置信息是否比储存在本交换机上的版本更新，高版本覆盖低版本,3.4.2 VTP运作,VTP 通告总结通告，总结通告包含 VTP 域名、当前修订版号和其它 VTP 配置详细信息。以下情况下会发送总结通告： VTP 服务器或客户端每 5 分钟发送一次总结通告用于通知启用 VTP 的交换机当前 VTP 配置修订版号执行配置操作后会立即发送总结通告子集通告，子集通告包含 VLAN 信息。触发子集通告的更改包括：创建或删除 VLAN 暂停或激活 VLAN 更改 VLAN 名称更改 VLAN 的 MTU,3.4.2 VTP运作,VTP 通告请求通告，当向相

46、同 VTP 域中的 VTP 服务器发送请求通告时。VTP 服务器的响应方式是：先发送总结通告，接着送出子集通告。以下情况会发送请求通告： VTP 域名变动收到的总结通告包含比自身更高的配置修订版号子集通告消息由于某些原因丢失交换机被重置,3.4.2 VTP运作,VTP 模式概述,3.4.2 VTP运作,VTP 的作用方式,3.4.2 VTP运作,VTP 修剪 VTP 修剪的作用是防止不需要的广播信息从一个 VLAN 泛洪到 VTP 域中所有的中继链路。 VTP 修剪允许交换机协商将哪些 VLAN 分配到中继另一端的端口，并剪除未分配到远程交换机端口的 VLAN。只需要在域内一台 VTP

47、服务器交换机上启用修剪功能。修剪功能默认为禁用在接口模式下启动vtp修剪，使用命令vtp pruning,3.4.3 VTP配置,VTP 服务器交换机确认将要配置的所有交换机都已设置为默认设置。在将配置过的交换机添加到 VTP 域之前，务必重置配置修订版号。在网络中配置至少两台 VTP 服务器交换机。在 VTP 服务器上配置 VTP 域。如果已经有 VTP 域，请确保名称精确匹配。VTP 域名区分大小写。如果要配置 VTP 口令，请确保对域内需要交换 VTP 信息的所有的交换机上设置相同的口令。请确保所有的交换机都配置为使用相同的 VTP 协议版本。在 VTP 服务器上启用

48、VTP 之后，再创建 VLAN。,3.4.3 VTP配置,VTP 客户端交换机确认所有交换机都已恢复到默认设置。配置 VTP 客户端模式。请不要忘记，交换机默认不是 VTP 客户端模式，必须配置该模式。配置中继。VTP 通过中继链路工作。连接到 VTP 服务器。检验 VTP 状态。配置接入端口。当交换机处于 VTP 客户端模式时，不能添加新的 VLAN，仅可将接入端口指定到现有 VLAN。,3.4.3 VTP配置,配置 VTP 步骤 1、配置 VTP 服务器switch(config)#vtp mode serverswitch(config)#vtp domain domain-

49、nameswitch(config)#vtp password password switch(config)# vtp version version-number 2、配置 VTP 客户端switch(config)#vtp mode client如果网络Server设密码，client也必须设置相同的密码才可以进行学习 3、确认和连接show VTP status show VTP counters show vlan brief,3.4.3 VTP配置,排查VTP 配置故障常见 VTP 配置问题及解决办法VTP版本不兼容解决方法：同一VTP域中设置相同的VTP版本号VTP口令问题解决方法：同一VTP域中设置相同的VTP口令VTP模式名称不正确解决方法：一个VTP域中至少有一台设备工作在Server模式VTP域名不正确解决方法：加入某VTP域的设备必须配置与该域中Server相同的VTP域名修订版本号不正确解决方法：切换域名可将该设备的修订版本号重置为0,3 交换技术,3.5 STP（N3-5）,3.5.1 具备冗余功能的第2层拓扑,

展开阅读全文