学会使用三层交换机实现VLAN间路由.ppt

1、7.1 任务描述,第7章：使用三层交换机实现VLAN间路由,王老师所在学校的网络为解决广播风暴，采用虚拟局域网技术，不仅提高了网络传输效率，还提高了网络中信息的安全性，但是在使用过程中感到很不方便，有时计算机系需要共享机电工程系的资源，有时需要共享学生机房的资源，也就是各个部门需要经常共享资源，而他们之间网络是不同的，怎样才能实现网络资源的共享呢。同时为了保证网络安全，办公楼上的财务处的计算机不允许学生机房访问。,7.2 相关知识,第7章：使用三层交换机实现VLAN间路由,7.2.1 VLAN路由简介,7.2.2 单臂路由器配置,7.2.3 使用第三层交换机进行VLAN间路由,7.2.1 VL

2、AN路由简介,每个路由器接口对应一个VLAN,单臂路由器,第三层交换机,VLAN间路由方法,VLAN间的通信等同于不同广播域之间的通信，也就是要在VLAN之间传输分组，必须借助第三层设备。传统上，这是路由器的功能。要在VLAN之间转发分组，路由器就必须有到每个VLAN的物理或逻辑连接，这被称为VLAN间路由选择。,7.2.1 VLAN路由简介,1.每个路由器接口对应一个VLAN,传统路由要求路由器具有多个物理接口，以便进行VLAN间路由。路由器通过每个物理接口连接到唯一的VLAN，从而实现路由。各接口配置有一个IP地址，该IP地址与所连接的特定VLAN子网相关联。由于各物理接口配置了IP地址，

3、各个VLAN相连的网络设备可通过连接到同一VLAN的物理接口与路由器通信。,7.2.1 VLAN路由简介,7.2.1 VLAN路由简介,1.每个路由器接口对应一个VLAN,（1）PC1将发往PC3的单播流量发送到VLAN10中的交换机S2，随后再从中继接口转发到交换机S1。 （2）交换机S1通过f0/4端口将该单播流量转发至路由器R1的F0/0接口。 （3）路由器通过连接到VLAN30的接口F0/1发送单播流量。 （4）路由器又将该单播流量转发到VLAN 30中的交换机S1。 （5）交换机S1通过中继链路将该单播流量转发到交换机S2后，交换机S2可将其转发到VLAN30中的PC3。,7.2.1

4、 VLAN路由简介,2.单臂路由器,要克服基于路由器物理接口的VLAN间路由的硬件局限，需使用虚拟子接口和中继链路。子接口是基于软件的虚拟接口，可分配到各物理接口。每个子接口配置有自己的IP地址、子网掩码和唯一的VLAN分配，使单个物理接口可同属于多个逻辑网络。这种方法适用于在网络中有多个VLAN但只有少数路由器物理接口的VLAN间路由。 使用单臂路由器模式配置VLAN间路由时，路由器的物理接口必须与相邻交换机的中继链路相连接。子接口针对网络上唯一的VLAN/子网创建。每个子接口都分配有所属子网的IP地址，并对与其交互的VLAN帧添加VLAN标记。这样，路由器可以在流量通过中继链路返回交换机时

5、区分不同子接口的流量。,7.2.1 VLAN路由简介,2.单臂路由器,7.2.1 VLAN路由简介,2.单臂路由器,（1）PC1将它的单播流量发送到交换机S2。 （2）交换机S2将该单播流量标记为来源于 VLAN10后，将其从中继链路转发到交换机S1。 （3）交换机S1将标记流量从端口F0/5上的另一个中继接口转发到路由器R1上的接口。 （4）路由器R1接收VLAN10上被标记的单播流量，并通过所配置的子接口发送到VLAN30。 （5）单播流量从路由器接口发送到交换机S1时被标记为VLAN30。 （6）交换机S1将被标记的单播流量从另一个中继链路转发到交换机S2。 （7）交换机S2将单播帧的V

6、LAN标记删除后，将该帧转发到端口F0/6上的PC3。22,7.2.1 VLAN路由简介,2.单臂路由器,（1）端口限制：物理接口为网络上的每个VLAN配置一个接口。与物理接口相比，子接口方式允许路由器容纳更多的VLAN。对于有许多VLAN的大型环境下的VLAN间路由，更适合使用有多个子接口的单个物理接口。 （2）性能：与子接口相比，物理接口的性能更好。子接口用于VLAN间路由时，被发送的流量会争用单个物理接口的带宽。网络繁忙时，会导致通信瓶颈。 （3）接入端口和中继端口：要连接物理接口用于VLAN间路由，需要将交换机端口配置为接入端口。而使用子接口则需要将交换机端口配置为中继接口，以接收中继

7、链路上的VLAN标记流量。如果使用子接口，则多个VLAN可通过单个中继链路路由，而不需通过各个VLAN的单个物理接口。,7.2.1 VLAN路由简介,2.单臂路由器,（4）成本：从成本方面来说，使用子接口比独立的物理接口更经济。带有多个物理接口的路由器的成本显著高于带有单个接口的路由器。此外，如果使用带有多个物理接口的路由器，且各接口与单独的交换机端口相连，这将占用网络中更多的交换机端口。交换机端口是高性能交换机的宝贵资源。由于VLAN间路由功能占用了大量端口，VLAN间路由解决方案的总成本会被交换机和路由器抬高。 （5）复杂性：如果使用子接口进行VLAN间路由，其物理配置的复杂性比单独的物理

8、接口低，因为仅用少量的物理网络电缆就实现了路由器和交换机的交互。由于电缆数量少，交换机上的电缆连接并不混乱。由于VLAN在单条链路上进行中继，更易于排查物理连接的故障。,7.2.1 VLAN路由简介,3.第三层交换机,三层交换（也称交换技术，或称IP交换技术）是相对于传统交换概念而提出的。三层交换技术在网络模型中的第三层实现了分组的高速转发。简单说，三层交换技术就是“二层交换技术三层转发”。三层交换技术的出现，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 从使用者的角度可以把三层交换机看成是一个带有第三层路由功能的第二层交换机，但它是两者的有机结合，而不是简单地把路由器设备的硬件和软件叠加

9、到在局域网的交换机上。,7.2.1 VLAN路由简介,3.第三层交换机,7.2.1 VLAN路由简介,3.第三层交换机,（1）PC1将它的单播流量发送到交换机S2。 （2）交换机S2将该单播流量标记为来源于VLAN10，并将其从中继链路转发到交换机S1。 （3）交换机S1将VLAN标记删除后，将该单播流量转发到VLAN10接口。 （4）交换机 S1将单播流量发送到它的VLAN30接口。 （5）交换机S1重新将单播流量标记为VLAN30，并从中继链路转发回交换机S2。 （6）交换机S2将单播帧的VLAN标记删除后，将该帧转发到端口F0/6上的PC3。,7.2.2 使用第三层交换机进行VLAN间路

10、由,Switch Port,L2 Aggreate Port,二层接口,第3层路由端口（Routed Port）,交换虚拟接口（Switch Virtual Interface ，SVI接口）,三层接口,三层模式的EtherChannel接口,交换机接口类型,1.交换机接口类型,7.2.2 使用第三层交换机进行VLAN间路由,Switch Port：Switch Port由设备上的单个物理端口构成，只有两层交换功能。该端口可以是一个Access Port或一个Trunk Port。 Aggreate Port：Aggreate Port是由多个物理成员端口聚合而成的。可以把多个物理连接捆绑在一

11、起形成一个简单的逻辑链接，这个逻辑链接称之为一个Aggregate Port(简称AP)。,1.交换机接口类型,7.2.2 使用第三层交换机进行VLAN间路由,第3层路由端口（Routed Port）：第3层路由端口是一个物理接口，它类似于传统路由器上配置了第3层地址的接口，能用一个三层路由协议配置。可使用“no switchport”接口配置命令配置一个物理接口作为第3层接口。 交换虚拟接口（Switch Virtual Interface ，SVI接口）： SVI是虚拟的路由VLAN接口，是代表整个VLAN的逻辑接口；使用“interface VLAN vlan-id”全局配置命令和第3层

12、接口创建一个VLAN接口。 三层模式的EtherChannel接口：使用“interface port-channel port-channel-number”全局配置命令和绑定以太网接口到channel组来创建一个port-channel逻辑接口。,1.交换机接口类型,7.2.2 使用第三层交换机进行VLAN间路由,静态路由,动态路由,路由方式,默认路由,2. 第三层交换IP路由选择类型,7.2.2 使用第三层交换机进行VLAN间路由,2. 第三层交换IP路由选择类型,（1）使用预先设置的静态路由 手工设定某些目的IP地址的报文发送指定的接口。静态路由很可靠并且使用很少的带宽，但是它不能自动

13、响应网络中的变化，所以可能会导致目的地不可达。当网络规模不断扩大时，手工设置静态路由将是一件很复杂的工作。 （3）使用缺省路由 通过静态路由和动态路由方法无法寻径的IP报文发送到默认的接口。,7.2.2 使用第三层交换机进行VLAN间路由,2. 第三层交换IP路由选择类型,（2）使用动态路由协议生成的路由 三层交换机通过动态路由协议来计算转发报文的最佳路径。 动态路由协议有两种类型： 距离矢量协议（如RIP协议）通过距离值维护路由表，并且周期性的将路由表向他们的相邻设备传送。距离矢量协议通过跳数单位计算出最佳路由。特点是易于配置和使用。 链路状态路由协议（如OSPF协议）维护了一个网络拓扑图结

14、构的数据库，该数据库基于路由器之间链路状态通告（ISA）的交换。,7.2.2 使用第三层交换机进行VLAN间路由,Switch#show interfaces fastEthernet 0/1 switchport Name: Fa0/1 Switchport: Enabled /表示是第3层接口，如为disable则为第2层接口。 Administrative Mode: dynamic auto Operational Mode: down Switch# 如果接口处于第3层模式，可以将其重新配置为第2层接口，使用命令如下： Switch(config)#interface type mo

15、d/num Switch(config-if)#switchport 然后就可以使用switchport命令的其他关键字来配置中继、接入VLAN等。,3.第2层接口的配置,7.2.2 使用第三层交换机进行VLAN间路由,要支持第3层功能，命令如下： Switch(config)#interface type mod/num Switch(config-if)#no switchport Switch(config-if)#ip address ip-address mask secondary 第3层接口将网络地址分配给特定的物理接口。如果多个接口被捆绑为以太信道，该以太信道也可成为第3层接口

16、。这种情况下，网络地址被分配给port-channel接口，而不是以太信道中的物理链路。,4.第3层接口的配置,7.2.2 使用第三层交换机进行VLAN间路由,在多层交换机中，还可以为整个VLAN启用第3层功能。将网络地址分配给一个逻辑接口，即VLAN的逻辑接口。当交换机将很多接口分配给同一个VLAN，并需要对进出该VLAN的数据流进行路由时，配置的第3层网络地址将是连接到该接口或VLAn的所有主机的默认网关，主机将通过这个第3层接口与其所属的广播域外部通信。 第3层逻辑接口称为SVI。配置SVI时，首先要指定VLAN接口，使用命令如下： Switch(config)#interface vl

17、an vlan-id Switch(config-if)# ip address ip-address mask secondary Switch(config-if)#no shutdown,5.SVI接口的配置,7.2.2 使用第三层交换机进行VLAN间路由,步骤1：启动路由功能 在三层交换机全局配置模式下使用ip routing启用路由功能。 Switch(config)#ip routing 步骤2：创建VLAN 为了支持VLAN接口，用户必须在交换机创建和配置VLAN，同时配置二层接口的VLAN成员。 Switch(config)#vlan vlan-id Switch(config

18、-vlan)#name vlan-name Switch(config-vlan)#exit Switch(config)#interface vlan vlan-id Switch(config-if)#ip address ip-address mask secondary Switch(config-if)#no shutdown,6.IP路由配置过程,7.2.2 使用第三层交换机进行VLAN间路由,步骤3：配置三层网络接口。 Switch(config)#interface type mod/num Switch(config-if)#no switchport 步骤4：配置三层网络接

19、口的IP地址。 Switch(config-if)#ip address ip-address mask secondary Switch(config-if)#no shutdown,6.IP路由配置过程,7.2.3 交换机端口的高级配置,Catalyst 2960和3560都提供了复用端口，同时提供双绞线和SFP两种连接类型。对于该类型端口，可以借助相应配置使其具有链路冗余的功能，在一种类型的链路失败后，及时使用另外一种类型的链路以保持通信。 （1）选择交换机端口，在全局配置模式下输入如下命令： switch(config)#interface type mod/num （2）选择双用途链

20、路的接口和类型 switch(config-if)#media-type auto-select |rj-45|sfp 其中：auto-select关键字 表示由交换机动态选择介质类型。,1.配置复用端口,7.2.3 交换机端口的高级配置,流控制只适用于1000Base-T、1000Base-SX和GBIC端口。在千兆端口启用流控制后，可以在拥塞期间暂停其他终端的连接。当端口处于拥塞状态无法接收到数据流时，将通知其他端口暂时发送，直到恢复正常状态。当本地设备发现任何终端发生拥塞时，将发送一个暂停帧，以通知其连接伙伴或远端拥塞设备。收到暂停帧后，远程设备将停止发送任何数据包，以防止在拥塞期间内任

21、何数据包。 可以设置暂停帧的发送（send）或接收（receive）设置为on、off或desired。默认状态为off。当设置为desired时，接口能够与发送流控包的互联设备通信，也能与不必发送但能够发送流控包的互联设备通信。,2. 配置流控制,7.2.3 交换机端口的高级配置,注意：只有Catalyst 450040006500系列交换机才能够发送暂停帧，而其他系列的接入、汇聚交换机。只能设置是否接收暂停帧。另外，当在交换机配置有QoS时，不要再配置IEEE 802.3X流控制。 （1）选择交换机端口，在全局配置模式下输入如下命令： switch(config)#interface ty

22、pe mod/num （2）选择双用途链路的接口和类型 switch(config-if)#flowcontrol receive |send on |off|desired,2. 配置流控制,7.2.4 交换机接入安全,端口安全（Port Security）是一种对网络接入进行控制的安全机制。端口安全的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，防止非授权设备访问连接网络。 未提供端口安全性的交换机将让攻击者连接到本系统上未使用的已启用端口，并执行信息收集和攻击。 在部署交换机之前，应保护所有交换机端口。在交换机使用之前，应保护未使用的交换机端口，应采用shutdown

23、命令禁用这些未使用的端口。,1.端口安全,7.2.4 交换机接入安全,（1）端口安全的类型 在启用了端口安全策略的端口通常称为安全端口（Security Port）。 在交换机端口处于动态协商、trunk端口、镜像端口或者被动态划分给某一个VLAN时，该端口不能启用端口安全功能。 （2）配置端口安全的方法 配置端口安全性有很多方法。在Cisco交换机上配置端口安全性的方法： （1）配置端口模式为Access switch(config-if)#switchport mode access （2）对端口启用安全功能 switch(config-if)#switchport port-securi

24、ty,1.端口安全,7.2.4 交换机接入安全,（1）端口安全的类型 在启用了端口安全策略的端口通常称为安全端口（Security Port）。 在交换机端口处于动态协商、trunk端口、镜像端口或者被动态划分给某一个VLAN时，该端口不能启用端口安全功能。 （2）配置端口安全的方法 配置端口模式为Access switch(config-if)#switchport mode access 对端口启用安全功能 switch(config-if)#switchport port-security 配置指定端口授权访问的最大MAC地址数 switch(config-if)#switchport

25、port-security maximum value,1.端口安全,7.2.4 交换机接入安全,（3）配置指定端口授权访问的主机MAC地址 授权访问主机的MAC地址的指定方法有三种如下方式： 手工静态配置制定 switch(config-if)#switchport mac-address mac_address 让交换机动态学习 默认情况下，交换机会自动学习插入到端口的主机或网络设备的MAC地址。 配置动态粘滞MAC 地址 动态粘滞MAC 地址方式支持动态学习或手工静态指定，其配置命令为： switch(config-if)#switchport port-security mac-add

26、ress sticky mac_address,1.端口安全,7.2.4 交换机接入安全,（4）安全违规模式 当出现以下任一情况时，则会发生安全违规： 地址表中添加了最大数量的安全MAC地址，有工作站试图访问接口，而该工作站的MAC地址未出现在该地址表中。 在一个安全接口上获取或配置的地址出现在同一个VLAN中的另一个安全接口上。 配置命令为： switch(config-if)#switchport port-security violation protect|restrict|shutdown,1.端口安全,7.2.4 交换机接入安全,（5）端口绑定 端口安全实现了MAC地址与端口的绑定

27、。如要实现将合法用户的IP地址、MAC地址和端口三者绑定。对同一个MAC地址，系统只允许进行一次绑定操作。 Cisco的低端或较早型号的交换机可能不支持。端口绑定命令为： switch(config)#arp ip-address mac-address arpa interface-type mod/num,1.端口安全,7.2.4 交换机接入安全,（1）DHCP探测 Cisco Catalyst 交换机可以使用DHCP探测功能，帮助防范这种攻击。DHCP探测被启用时，交换机端口被分为可信和不可信的。合法的DHCP服务器位于可信端口上，而其他所有主机 不可信端口上。 交换机拦截来自不可信端口

28、的所有DHCP请求，然后向整个VLAN泛洪。任何来自不可信端口的DHCP应答都将被丢弃，因为他们肯定来自伪造的DHCP服务器。同时相应的交换机端口将自动关闭，进入errdisable状态。,2.防范欺骗攻击,7.2.4 交换机接入安全,第一步：启用dhcp探测 switch (config)#ip dhcp snooping 第二步：指定要实现DHCP探测的VLAN switch (config)#ip dhcp snooping vlan vlan-id vlan-id 第三步：配置端口信任 默认情况下，所有交换机端口都被视为不可信的，因此不期望或允许DHCP应答。switch (confi

29、g)#interface type mod/num switch (config-if)#ip dhcp snooping trust 对于不可信端口，可以限制DHCP请求的分组速率。 switch (config-if)#ip dhcp snooping rate rate 其中：rate的取值范围为1-2048 DHCP分组秒。 第四步：显示DHCP探测的状态 switch#show ip dhcp snooping,2.防范欺骗攻击,7.2.4 交换机接入安全,（2）源IP地址防护 Cisco Catalyst 交换机能够使用源IP地址防护来检测并挫败地址伪造攻击，即使攻击是在伪造地址所

30、属的子网中发起的。第2层交换机通常会获悉并存储MAC地址，交换机必须采取某种方式查阅MAC地址，并确定与之相关联的IP地址。 源IP地址防护通过使用DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作。如果配置并启用了DHCP欺骗，交换机就将获得使用DHPC的主机的MAC地址和IP地址。,2.防范欺骗攻击,7.2.4 交换机接入安全,第一步：地址获取 要配置源IP地址防护，首先需要配置并启用DHCP欺骗。 对于不使用DHCP的主机，需要配置静态的源IP地址绑定： switch (config)#ip source binding mac-address vlan vlan-id ip-ad

31、dress interface type mod/num 第二步：启用源IP地址防护 switch (config)#interface type mod/num switch (config-if)#ip verify source port-security 命令ip verify source只检查源IP地址。要同时检查MAC地址，可使用关键字port-security。,2.防范欺骗攻击,7.2.4 交换机接入安全,第三步：查看运行情况 switch#show ip verify source interface type mod/num 如果要查看源IP地址绑定数据库中的信息（动态获

32、悉或静态配置的），命令如下： switch#show ip source binding ip-addressmac-address dhcp-snooping|static interface type mod/num vlan vlan-id,2.防范欺骗攻击,7.2.4 交换机接入安全,（3）动态ARP检测 动态ARP检测（DAI）可用来验证网络中的ARP包，会拦截、记录并丢弃掉带有无效IP-MAC地址映射的ARP包，可以保护网络免受中间人攻击的影响。动态ARP检测可确保只允许有效的ARP请求和回应被转发。 第一步：在一个或多个客户vlan上启用 switch (config)#ip a

33、rp inspection vlan vlan-range 第二步：将端口指定为可信 switch (config)#interface type mod/num switch (config-if)#ip arp inspection trust 第三步：验证配置 switch#show ip arp inspection vlan vlan-id,2.防范欺骗攻击,1.2 相关知识,7.3 方案设计,为了解决不同虚拟局域网之间的通信问题，保证全校网络之间互连互通，需要启用三层交换机技术，来解决不同虚拟局域网之间安全数据通信问题，实现部门之间数据信息资源共享，数据信息安全传输。 在三层交换机

34、上建立三个VLAN：VLAN10分配给计算机系，VLAN20分配给机电工程系，VLAN30分配给汽车工程系。为了实现三部门的主机能够相互访问，三层交换机上开启路由功能。 购买一台三层交换机（Cisco 3560）作为核心交换机，从而实现全网之间的互连互通。如图7.4所示。 为了保证网络安全，个别部门不允许个别部门访问，可以在中继链路上配置不允许的VLAN数据流。,7.4 任务实施,7.4.1 实训任务,（1）配置交换机center为核心，创建4个VLAN，分别属于计算机系、机电工程系、财务处和学生机房等。 （2）配置三层交换机的路由功能，使VLAN之间互联互通。,1.2 相关知识,7.4 任务

35、实施,7.4 任务实施,7.4.2 设备清单,（1） Cisco Catalst 3560交换机（1台） （2）Cisco Catalst 2960交换机（4台）； （3）PC机8台； （4）双绞线（若干根）； （5）反转电缆一根。,1.2 相关知识,7.4 任务实施,7.4.3 实施过程,（1）规划各交换机名称，各部门VLAN ID，名称，各部门计算机IP地址、子网掩码和网关同第4章。 （2）规划各场所交换机名称，端口所属VLAN以及连接的计算机，如表7-2所示。各交换机之间的连接关系如表7-3所示。,1.2 相关知识,7.4 任务实施,7.4.3 实施过程,7.4 任务实施,1.2 相关知

36、识,7.4 任务实施,7.4.3 实施过程,步骤2：实训环境准备 （1）硬件连接。在交换机和计算机断电的状态下，按照图7.4、表7-2和表7-3所示连接硬件。交换机之间的连接采用交叉线。 （2）分别打开设备，给设备加电。 步骤3：设置各计算机的IP地址、子网掩码、默认网关。 步骤4：清除交换机配置 （1）清除交换机的启动配置； switch#erase startup-config （2）删除交换机VLAN。 Switch#delete vlan.dat 步骤5：测试连通性 使用ping分别测试PC11、PC12、PC21、PC21、PC31、PC32、PC41、PC42这8台计算机之间的连通

37、性。,1.2 相关知识,7.4 任务实施,7.4.3 实施过程,步骤6：配置交换机center （1）配置信息大楼中的核心交换机的名称 （2）在核心交换机center上配置VLAN （3）在核心交换机center上配置VTP服务器 （4）配置center和jisjsw、bangsw、shiysw和jidxsw等之间的中继链路 （5）启用核心交换机center的三层路由功能 center (config)#ip routing 步骤7：配置交换机banglsw （1）设置交换机名称； （2）配置VTP客户端； （3）配置中继链路；,1.2 相关知识,7.4 任务实施,7.4.3 实施过程,（4）

38、按照表8-2所示给交换机给端口分配VLAN（略）。 步骤8：配置交换机jisjsw、shiysw和jidxsw 和配置banglsw交换机基本上类似，鉴于篇幅（略）。 配置完成后 center#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Fa0/2 on 802.1q trunking 1 Gig0/1 on 802.1q trunking 1 Gig0/2 on 802.1q trunking 1 center#,1.2 相关知识,7.4 任务实施,7.

39、4.3 实施过程,步骤9：测试即查看交换机状态 （1）使用ping命令，分别测试PC11、PC12、PC13、PC21、PC21、PC31、PC32、PC33、PC41、PC42这10台计算机之间的连通性。 （2）别打开各交换机，查看交换机的配置信息 center#show running-config jisjsw#show running-config jidxsw#show running-config banglsw#show running-config shiysw#show running-config 查看结果 步骤10：配置各交换机的口令（略）,1.2 相关知识,7.4 任务

40、实施,7.4.3 实施过程,步骤11：配置远程管理 在所有计算机上分别telnet各交换机，观察其结果，和前边的项目有何区别？ 步骤12：保存配置文件 通过控制台和远程终端分别保存配置文件为文本文件。 步骤13；清除交换机的所有配置 （1）清除交换机启动配置文件 （2）删除交换机VLAN,1.2 相关知识,7.4 任务实施,7.4.3 实施过程,1.2 相关知识,7.5 扩展知识,三层交换机的参数,1. 转发效率 网络中的数据是由一个个数据包组成，对每个数据包的处理要耗费资源。转发速率（也称吞吐量）是指在不丢包的情况下，单位时间内通过的包数量。是三层交换机的一个重要参数，标志着交换机的具体性能

41、。如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。支持第三层交换的设备，厂家会分别提供第二层转发速率和第三层转发速率，一般二层能力用bps，三层 能力用pps。 对于千兆交换机而言，若要实现网络的无阻塞传输，则要求： 吞吐量（Mpps）万兆端口数量14.88Mpps千兆端口数量1.488Mpps百兆端口数量0.1488Mpps,2.背板带宽 带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。 背板带宽端口数量端口速率2 根据上述公式，64Gbps的背板带宽只能满足32个1000Mb/s端口的无阻塞并发传输。 对于三层交换机来说，只有转发速率和背板带宽都达到最低

42、要求，采用理想的交换机，二者缺一不可。 3. 可扩展性 可扩展性包括以下两个方面： （1）插槽数量：插槽用于安装各种模块和接口模块。数量决定着交换机所能容纳的端口数量。 （2）模块类型：支持的模块类型越多，交换机的可扩展性越强，越能适应大众型网络中复杂的环境和网络应用的需求。,1.2 相关知识,7.5 扩展知识,三层交换机的参数,4. 系统冗余 三层交换机作为分布层交换机或核心交换机，其工作状态的稳定性直接决定着网络的稳定性，而部件的物理损坏又是无法绝对避免的，因此，交换机系统的部件冗余就显得尤其重要。通常情况下，电源模块、超级引擎模块等重要部件都必须提供冗余支持，从而保证所提供应用和服务的连

43、续性，减少关键业务数据和服务的中断。 5. 管理功能 交换机的管理功能是指交换机如何控制用户访问交换机以及管理界面的友好程度如何。通常情况下，三层交换机均支持SNMP协议。,1.2 相关知识,7.5 扩展知识,三层交换机的参数,二、简答题 1. 实现VLAN间路由选择需要什么？ 2. 可通过单条中继链路执行VLAN间路由选择吗？ 3. 要配置SVI，需要什么命令？ 三、实训题 现在公司财务处、市场部、技术部分别在自己的虚拟局域网内，为了信息安全，财务处、市场部、技术部各局域网之间隔离，但有时各部门为了资源共享，需要各部门局域网之间是连通的，这时需要采用三层交换机。网络物理连接如图7.5所示。,习题,习题,（1）按照图7.6所示进行物理连接。 （2）规划设计计算机的IP地址、子网掩码、默认网关。 （3）在计算机上配置超级终端。分别启动交换机SW1、SW2进行配置。 （4）分别配置交换机SW1、SW2的名称、交换机的口令（终端口令、远程登录口令、特权用户口令，并进行加密）。 （5）在交换机SW1、SW2上配置VLAN。 （6）配置交换机SW1、SW2的端口及所属的VLAN。 （7）在三层交换机上启动三层路由功能。 （8）配置两台交换机之间的链路状态。 （9）配置交换机后计算机通过telnet访问配置交换机SW1、SW2。 （10）测试各计算机之间的连通性。,习题,