1、第四章 交换原理与应用,神州数码网络大学 2007-4,前期内容回顾,物理层设备与冲突域 数据链路层设备与广播域 网络层设备与寻址 局域网线缆制作 常用命令:ping,arp,tracert,ipconfig,route,nslookup,netsh等。,本章重点内容,传统以太网基础 CSMA/CD、MAC帧格式、帧长度的限制 交换式以太网的工作原理 交换机的基本功能、交换机的交换方式 交换机配置方法 课堂实验1-7,12-15 交换机园区网常用技术 ,课堂实验8-11,16-22 提升性能:VLAN、堆叠、链路聚合、生成树 提升安全和可管理性 :私有vlan(可选)、端口镜像、MAC与端口地
2、址绑定,传统以太网技术,CSMA/CD的必要,冲突的产生,.,.,PC1,PC2,PC10,PC8,PC11,共享总线 10Mbps,没数据在,我要发数据,CSMA/CD过程,CS-载波侦听(每个设备都能检测到信号),MA-多路访问(附在同一物理介质上的设备),CD-碰撞检测(碰撞发生使每个设备都能知道),冲突,冲突,冲突,冲突,冲突,MAC帧格式,802.3标准,7字节 1字节 6字节 6字节 2字节 46-1500字节 4字节,有效部分,起始信号,帧长度的限制,最小帧长设置原则 即使在网络可达的最远端发生碰撞,在碰撞传回前,发送源不会完成数据发送过程,以确保数据可被重传最大帧长设置原则 缓
3、冲器容量和网卡等待传送数据的时间极限值,我的数据没有删除,可以重传,传统以太网的局限性,易产生碰撞,效率低 一段时间内,终端平分整个介质带宽而已,。,。,。,我在发数据,你们都不能发,同时都有数据要发送时,串行使用共享的介质,交换式以太网的工作原理,认识交换式以太网,几乎没有碰撞,效率高 整个网络的传输介质被分割成不同的碰撞域,碰撞域之间可同时使用传输介质,。,。,。,我在发数据,你们也可以发,互不影响,同时都有数据要发送时,并行使用传输介质,认识交换机,判断+逻辑,交换机的基本功能,地址学习(address learning),E1,E2,A,B,C,F,外部网,01-11-51-00-3C
4、-C5,E2,F,01-11-51-00-E0-4F,E1,C,01-11-5A-00-74-A0,E1,B,端口,MAC,设备,判断依据的形成,交换机的基本功能,转发/过滤决定,判断方法及最终结果,交换机的硬件构成,BUS,SDRAM,FLASH,交换机的交换方式,直通转发(Cut-through),直通转发:不进行错误检查,交换机的交换方式,存储转发(Store-and-forward),存储转发:对所有的错误进行检查,延迟高,交换机的交换方式,碎片隔离(FragmentFree),碎片隔离:检查前64字节的数据,没有增加显著的延迟,交换机的工作层次,课堂实验,学会使用PC串行接口配置交换
5、机认识交换机的各个端口 学会使用超级终端配置连接波特率等属性 进入交互机“setup”模式 进入交换机”switch”模式 使用enable命令进入“switch#”模式 使用show running-config命令查看交换机端口名称并将他们与物理端口对应,网络设备的基本存储组件,SDRAM,NVRAM,BootROM,Flash,配置文件 Startup-config,软件版本 *.bin,动态表及其他运行信息 Running-config 等,设备启动版本,不可更新删除,用于错误恢复等操作,1,2,3,课堂实验,理解交换机配置模式配置PC机超级终端进入交换机 掌握setup模式的进入方法
6、 退出setup模式,进入普通用户模式,使用帮助命令查看当前可用命令 进入特权用户模式,使用帮助命令查看当前可用命令,与普通用户模式命令做比较,有什么结论? 进入全局配置模式,使用帮助命令查看当前可用命令,与普通用户及特权用户模式命令做比较,有什么结论? 进入端口配置模式,使用帮助命令查看当前可用命令,与全局配置模式命令做比较,有什么结论? 使用命令从端口配置模式一次性退出到特权用户模式。,思考及练习,除了实验中可进入的状态,设备还有哪些模式可进入,使用什么命令可以进入? 在每种模式下通过“?”查看可用的命令,并进一步使用“?”查看命令的具体用法,熟悉帮助信息 区别帮助信息中对关键字和参数的不
7、同指示 学会识别不同的命令报错信息代表的含义 尝试使用实验指导书的步骤将交换机恢复到出厂状态,课堂实验,使用TFTP服务器(PC)对交换机的系统文件进行备份PC网卡IP配置为192.168.1.10/24,使用命令为交换机配置管理IP地址192.168.1.1/24 使用交换机的验证命令(ping)测试其与PC机的连通性 在PC中安装TFTP服务器软件,配置存储文件的路径 交换机中使用show命令和相关参数查看系统文件名字 在交换机中使用copy 命令及相关参数将系统文件保存到网络TFTP服务器(PC)中 在交换机和TFTP服务器分别验证文件的传输正常。 尝试使用copy 命令的另外参数组合完
8、成交换机系统文件的升级工作 再尝试使用copy命令将交换机的启动配置文件保存到PC的TFTP服务目录下,系统是否会报错?什么错误?怎样理解?如何解决?如果保存的是运行配置文件是否会出现类似错误?为什么?,课堂实验,认识交换机的地址学习过程PC1-3配置IP地址192.168.1.11-13三个地址,使用三个双绞线接入交换机的三个端口 PC1登录交换机控制台端口配置交换机 在PC中使用ipconfig /all的命令查看与交换机连接的网卡的MAC地址并记录 使用show mac-address-table命令查看交换机当前的地址学习结果?为什么? 使用PC1发出Ping 192.168.1.99
9、的命令,再使用show mac-address-table的命令查看地址学习结果?为什么? 使用PC1发出Ping 192.168.1.12的命令,使用show mac-address-table的命令查看地址学习结果?为什么? 使用PC1发出Ping 192.168.1.13的命令,使用show mac-address-table的命令查看地址学习结果?为什么?,课堂实验,两台交换机环境的地址学习结果两台交换机使用第24口互连 使用PC1发出Ping 192.168.1.99的命令,再使用show mac-address-table的命令查看两台设备的地址学习结果?为什么? 使用PC1发出P
10、ing 192.168.1.12的命令,使用show mac-address-table的命令查看地址学习结果?为什么? 使用PC1发出Ping 192.168.1.13的命令,使用show mac-address-table的命令查看地址学习结果?为什么? 通过实验可以得出什么结论?多台交换机互连环境地址表是怎样的?,交换机功能-转发过滤决定,交换机附加功能,问题的提出,广播风暴,广播 风暴,A,B,冗余链路的危害,MAC地址系统失效,课堂实验,两台交换机在全局配置模式使用no span关闭生成树协议 交换机用1根线互连 PC1与PC2的IP地址设置相同网段 PC1 上ping PC2 t
11、连接交换机之间的另外一根线,理解现象 在交换机中频繁使用show mac-address-table命令,结果怎样?,1,4,PC1,PC2,交换机功能-避免冗余环路,服务器,E4,E3,E1,E2,E0,E5,E6,E7,E8,E9,生成树协议,课堂实验,生成树根的选择交换机之间连接一根网线,启动生成树协议 PC1连续ping PC2 将交换机之间再连接一根网线,观察连续Ping的状态如何?使用原理解释现象。 停止Ping,在交换机中使用show spanning-tree命令察看生成树状态 确定当前的根交换机是哪一个?使用原理解释为什么? 在交换机中寻找配置命令使当前的非根交换机可以在生成
12、树拓扑中成为根交换机。,PC1,PC2,课堂实验,使用前一个实验的方法将switchA设置为根交换机 在交换机中使用show spanning-tree命令查看端口状态,确定switchB中的根端口处于转发状态,使用理论解释为何3端口被阻塞 思考怎样更改设置使4端口被阻塞?如果不改设置怎样能使4端口阻塞?,提升交换网络的性能,一、VLAN技术,VLAN技术概述,VLAN: Virtual Local Area Network 中译名为虚拟局域网 一组逻辑上的设备或用户 不同交换机的端口间有可能会连通 相同交换机的端口间也有可能不能通 可以共享广播数据,单播数据可直达,VLAN功能,提升网络性能
13、 广播被限制在一个VLAN内部,其他VLAN用户可保证传输效率 提升安全性 只有相同VLAN成员数据包可以随意联系 符合组织结构逻辑分布 将交换机的物理连通转变为网络的逻辑连通性 满足设置灵活的网管需要 配置在交换机中完成,网络环境的变化由网管通过配置改变,VLAN应用,物理系计算机房,外语系语音室,外语系语音室,机械系计算机房,教学楼中心机房,VLAN200,VLAN100,VLAN实现方法,通过设置端口实现VLAN划分通过终端的MAC地址实现VLAN划分,PC1,PC2,1,2,1,2,课堂实验,单台交换机的VLAN划分,步骤,按照实验指导中的规划,创建交换机中的VLAN100和200 为
14、VLAN100和VLAN200添加各自的成员端口1-8和9-16 验证:从交换机本身验证结果使用show vlan和show running-config,查看显示结果 PC2的IP设置为192.168.1.20;PC1的IP设置为192.168.1.10; PC2连接在端口16中固定不动 PC1开启在命令行模式下的ping 192.168.1.20 t 命令,查看命令结果 移动PC1到交换机1-16中的其他端口,记录在哪些端口时PC1和PC2是可以互相ping通的。 查看总结出的现象与VLAN的规划有何联系,Show vlan输出理解,VLAN Name Type Media Ports -
15、 - - - - 1 default Static ENET Ethernet0/0/1 Ethernet0/0/2Ethernet0/0/3 Ethernet0/0/4Ethernet0/0/5 Ethernet0/0/6Ethernet0/0/7 Ethernet0/0/8Ethernet0/0/9 Ethernet0/0/10Ethernet0/0/11 Ethernet0/0/12Ethernet0/0/13 Ethernet0/0/14Ethernet0/0/15 Ethernet0/0/16Ethernet0/0/17 Ethernet0/0/18Ethernet0/0/19 Et
16、hernet0/0/20Ethernet0/0/21 Ethernet0/0/22Ethernet0/0/23 Ethernet0/0/24 100 VLAN0100 Static ENET !已经创建了vlan100,vlan100中没有端口; 200 VLAN0200 Static ENET !已经创建了vlan200,vlan200中没有端口;,Show running 输出理解,Switch#Show run Current configuration: !hostname switch ! ! Vlan 1vlan 1 ! Vlan 100vlan 100 !,Vlan 200vla
17、n 200 ! ! Interface Ethernet0/0/1switchport access vlan 100 ! Interface Ethernet0/0/2 ! 。 switch#,共同思考,怎样取消一个vlan。 怎样取消一个vlan中的某些端口。 如果想将交换机的管理地址设置给VLAN100,在上述配置完成的前提下应如何配置?,课堂实验,跨交换机VLAN统一性实验,步骤,交换机之间使用24口互连 分别配置交换机A和B 创建VLAN100,添加1-8端口 创建VLAN200,添加9-16端口 进入24端口接口模式 配置24端口模式为trunk 将PC1和PC2配置相同网段的IP
18、地址,固定PC1在交换机A的1端口。 在PC1中启动连续Ping PC2的命令,移动PC2至交换机B的各个端口,记录连续Ping的结果。,问题,使用show vlan和show mac-address-table命令查看当前配置情况,24端口的特殊体现在哪里? 如果现在将IP地址配置给VLAN100的三层接口,PC1接在交换机A的8端口上,PC2接在交换机B的9端口上,哪一个可以Ping通交换机?(PC与交换机配置相同的网段地址),IEEE802.1Q,IEEE802.1Q的实现方法,课堂实验,认识802.1q数据包步骤详见实验指导教材 问题:为什么ping不通时反而可以收到802.1q的数据
19、?怎样解释?,PVID和VID,Access端口接终端设备的,1,2,3,PVID 值,VID 值,PVID和VID,Trunk端口 接支持802.1q的网络中间设备接口,5,6,理解交换机对数据的处理过程,1,2,3,4,1,2,3,4,A,B,包颜色和我的PVID一样,Access端口,Trunk端口,Access端口,Trunk端口,理解交换机对数据的处理过程,1,2,3,4,1,2,3,4,A,B,包颜色和我的PVID不一样,Access端口,Trunk端口,Access端口,Trunk端口,实验的理解,通时不可收到802.1q包,1,2,3,4,B,Vlan1接口,包颜色和我的PVI
20、D一样,回应报文,实验的理解,不通时可以收到802.1q包,1,2,3,4,B,Vlan100接口,包颜色和我的PVID不一样,回应报文,没有地方可发,总结,总结,交换机内部的数据都是802.1q数据 进入交换机的数据寻找出口时使用数据的封装值与端口的VID值比较得出第一个可发送范围 在可发送的范围中再寻找具体端口时依据MAC地址表进行。,理解数据发送过程,二、堆叠与级联,问题的提出,集中环境或大量终端信息点的接入问题,解决问题的思路,单一接入设备无法解决,多增加几个?怎么接这几个设备,15台同时接入,15台同时接入,15台同时接入,普通网线,普通网线,管理方式不同,堆叠组,级联组,conso
21、le,其他不同,专用接口,专用线缆 非标准化的技术 通常对距离有严格限制 当堆叠设备较多时,堆叠口会成为瓶颈,普通网络端口,网线 开放标准支持 通常距离没有严格限制,网线支持即可 级联程度较高时往往性能比较差,堆叠方式,菊花链,星型,菊花链堆叠,单链单向堆叠,菊花链堆叠,单链双向堆叠,课堂实验,堆叠组的建立在断电情况下将堆叠模块插入交换机扩展槽中 将堆叠线缆正确接入对应端口 开启交换机,配置堆叠属性,重新启动 认识堆叠组,学会使用主交换机控制堆叠组,UP,UP,DOWN,DOWN,三、链路聚合技术,网络问题,网络规模扩大后,如何解决通道宽度?,问题的解决,1、增加桥梁,2、换成大桥,网络问题解
22、决,增加通道链路聚合技术 节约成本,保护已有投资换成宽带改设备连接端口 投资较大,原有投资可能被浪费,链路聚合技术,端口聚合、端口捆绑 将多个低带宽端口捆绑成一条高带宽链路 不改变现有网络设备以及原有布线 链路负载平衡,提供额外的容错性能 很高的灵活性,链路聚合条件,端口必须处于相同的VLAN之中 端口必须使用相同的网络介质 端口必须都处于全双工工作模式 端口必须是相同传输速率的端口,课堂实验,理解链路聚合的配置方法先不连接交换机之间的网线 在两台交换机中分别使用静态创建链路聚合组,并添加端口 PC1配置192.168.1.11/24;PC2配置192.168.1.12/24;从PC1 pin
23、g PC2 T;观察现象 连接交换机之间的网线,继续观察Ping的现象。理解现象。 撤掉交换机之间的一根网线,有何结果,再撤掉一根,有何结果,再撤掉一根,是否Ping会受到影响?,PC1,PC2,课堂实验问题,1、交换机中使用什么命令可以查看当前链路聚合组的动态状态? 2、通过什么办法可以判断链路聚合组的有效与否? 3、采用动态的方式启用链路聚合时填写下表,提升网络的安全性和可管理性,一、私有VLAN技术,选修,问题的提出,写字楼网络环境需求 小区宽带接入的需求 企业公共服务器和各部门机器之间的连网需求,问题的解决,使用特殊的VLAN技术 某些VLAN拥有传统VLAN所不具备的能力 某些VLA
24、N与传统VLAN相比差异很大 某些VLAN在传统VLAN基础上增加一点点功能 Private VLAN技术私有vlan技术 主VLAN 隔离VLAN 群体VLAN,私有VLAN技术,1,8,主VLAN,群体VLAN,独立VLAN,关联,课堂实验,理解私有VLAN的PVID和VID在交换机中创建三个VLAN10,20,30 在VLAN模式将vlan10配置为私有的主VLAN;vlan20配置为私有的群体VLAN ;vlan30配置为私有的隔离VLAN 在vlan10的模式中配置它与vlan20和vlan30的关联 向vlan10添加端口1-4;vlan20添加端口5-8;vlan30添加端口9-
25、16; 将PC1-3的IP地址分别配置为192.168.1.11-13/24。 将PC1用网线接在端口1上,PC2接入5,PC3接入9,从PC1使用ping命令测试与PC2和3的连通性。PC2与PC3可连通否?变换PC1的位置到2-4,结果如何?到6-8呢?到10-16又如何?理解现象? 在交换机中使用show命令查看当前的私有VLAN配置情况,解释看到的输出结果。,PC1,PC2,PC3,共同思考,主VLAN的成员端口PVID和VID值为多少? 群体VLAN的成员端口PVID和VID值又为多少? 隔离VLAN的成员端口PVID和VID呢? 私有VLAN的主VLAN端口与802.1q的端口有何
26、区别和联系? 私有VLAN的信息是否可以通过802.1q的端口传递给其他的交换机?,课堂实验,理解私有VLAN在级联环境的传递将交换机用其24口连接在一起 PC1-PC3之间无论如何都不可以相互连通 PC4和PC1-PC3无论何时都可以连通 怎样实现?,二、端口与地址绑定技术,问题的提出,公司的台式机较多,使用工位数据口区分不同岗位终端机,加以限制,但可能会有使用他人终端口接入网络的情况 公司的便携机比较多,因此对连网权限的管理需要灵活对待,使用IP地址作为区别不同岗位用户的依据,但某些限额较高的IP又容易被盗用,问题的解决,对于使用端口区分身份的网络,可以在交换机中将端口与终端机的MAC作一
27、一绑定,任何人都不可以使用他人的端口接入。 对于使用IP地址区分身份的网络,可以在接入交换机中将各个终端的IP和MAC地址与接入的端口作绑定,这样只有合适的IP与对应的MAC地址对应正确并且从正确的端口接入才可以使用网络。,端口与地址的绑定,静态 动态端口与MAC地址的绑定 端口与IP和MAC地址的绑定,课堂实验,端口与MAC地址的绑定动态PC1连接端口1;PC2连接端口2;保证端口1和2在相同VLAN内 PC1和PC2配置相同网段的IP地址,互相ping; 为交换机的MAC地址表增加有关PC1的表项; 使能1端口的MAC地址绑定功能; 锁定1端口的地址学习功能,使其不能再增加动态表项; 使用
28、命令对1端口已学习的MAC地址转化为绑定配置 在PC1中开启Ping命令不间断Ping pc2 将PC1更换到3-24端口中的任何一个端口,察看Ping结果如何?怎样解释?将PC2更换到1端口PC1在2端口或其他端口,Ping 结果又如何?怎样解释?,课堂实验,端口与MAC和IP地址的绑定PC1连接端口1;PC2连接端口2;保证端口1和2在相同VLAN内 PC1和PC2配置IP地址192.168.1.101和192.168.1.102,互相ping; 为交换机的MAC地址表增加有关PC1的表项; 使能am功能,注意确保其他端口am功能处于关闭状态 在端口1中增加am表项 在PC1中开启Ping
29、命令不间断Ping pc2 将PC1连接在1端口中,ping 结果如何?修改IP地址为192.168.1.10,结果又如何?将PC1更换到3端口,IP不变,结果如何?怎样解释?,实验思考,使用AM功能时,如果端口使能了AM但没有增加绑定表项,这个端口将处于怎样的转发状态。 如果一个公司不使用IP地址对终端进行限制,使用AM功能是否可有效控制盗用IP的现象。 实验指导中使用交换机的管理地址作为验证IP,理解这个用法。,三、端口镜像技术,问题的提出,问题的解决,网络问题及其解决,回顾HUB和交换机,我也可以收到的!,我什么也收不到了!,网管又怎么监控网络流量呢,网管机,端口镜像的作用,我可以收到这
30、个端口的所有数据了!,网管机,端口镜像要求,端口的速率必须匹配 目的端口的速率有时可以大于源端口速率,但绝对不可以小于源端 源和目的端口必须位于同一VLAN内 一般只进行一对一的镜像,课堂实验,理解端口镜像的作用PC1-PC3的IP地址设置为192.168.1.11-13,分别连接在交换机的1-3端口 在PC3中安装并开启sniffer,定制过滤器使其捕获从PC1到PC2的ICMP报文,开始捕获 交换机清空为出厂配置,从PC1pingPC2,察看PC3的捕获情况,从交换机转发原理理解为什么。 在交换机中配置端口镜像,将1端口的所有数据镜像给端口3 开启PC3的sniffer捕获过程,从PC1p
31、ingPC2,停止后察看PC3的捕获情况,这个结果说明了什么。,思考与练习,在交换机中将端口1、2划分在vlan10中,端口3划分在vlan20中,重复上面的实验,结果如何? 尝试在交换机中进行多对一的镜像,同时在多个源端口开启数据传输过程,体会目的端数据的捕获与一对一的不同。,本章小结,CSMA/CD的原理与交换机的基本功能的联系 生成树协议的作用和原理 交换机的带外和带内管理方法 VLAN划分的意义和划分方法 MAC帧格式与802.1Q帧格式的区别 提升交换网络整体性能和安全性的常用做法有哪些,思考题,不同VLAN成员如果使用相同网段地址也不可以连通,那么如果有连通的需要,该如何调整设置? 交换网络不能适合长距离通信的原因主要有哪些? 如果需要长距离连通同一企业的不同分支机构该怎样构建网络?,
