《路由交换技术》第七章 交换机基本配置
第七章
0. 浅浅测一下吧~
- D 2. A 3. AC
1. 交换机概述
是第2层网络设备。
是一台多端口的网桥,是当前采用星型拓扑结构的以太局域网的标准技术。
为所连接的两台的连网设备提供一条独享的点到点的虚线路,因此避免了冲突。
可以工作在全双工模式之下,可以同时发送和接收数据。
原理(从“源”学习,基于 “目的” 转发)
交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。如果数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发(即flood泛洪)。
交换机从“源”学习,基于 “目的” 转发。
交换机自学习功能(了解)
初始为空。
A 先向 B 发送一帧从接口 1 进入到MAC地址表。
交换机收到帧后,先查找MAC地址表,没有查到应从哪个接口转发这个帧。
交换机把这个帧的源地址 A 和接口 1 写入MAC地址表中,并向除接口1以外的所有的接口广播这个帧
C 和 D 将丢弃这个帧,因为目的地址不对。只有B 才收下这个目的地址正确的帧。这也称为过滤。
从新写入MAC地址表的项目 (A, 1) 可以看出,以后不管从哪一个接口收到帧,只要其目的地址是A,就应当把收到的帧从接口1转发出去。
B 通过接口 3 向 A 发送一帧。
交换机查找MAC地址表,发现MAC地址表中的 MAC 地址有 A。表明要发送给A的帧(即目的地址为 A 的帧)应从接口1转发。于是就把这个帧传送到接口 1 转发给 A。显然,现在已经没有必要再广播收到的帧。
MAC地址表这时新增加的项目 (B, 3),表明今后如有发送给 B 的帧,就应当从接口 3 转发出去。
经过一段时间后,只要主机 C 和 D 也向其他主机发送帧,以太网交换机中的MAC地址表就会把转发到 C 或 D 应当经过的接口号(2 或 4)写入到MAC地址表中。
交换机收到一帧后先进行自学习。查找MAC地址表中与收到帧的源地址有无相匹配的项目。
如没有,就在交换表中增加一个项目(源地址、进入的接口和有效时间)。
如有,则把原有的项目进行更新(进入的接口或有效时间)。
转发帧。查找MAC地址表中与收到帧的目的地址有无相匹配的项目。
如没有,则向所有其他接口(进入的接口除外)转发。
如有,则按交换表中给出的接口进行转发。
若MAC地址表中给出的接口就是该帧进入交换机的接口,则应丢弃这个帧(因为这时不需要经过交换机进行转发
以太网交换机的这种自学习方法使得以太网交换机能够即插即用,不必人工进行配置,因此非常方便。
功能(避免回路)
以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口。
冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
工作特性(独立冲突域、同一广播域,依据帧头转发)
交换机的每一个端口所连接的网段都是一个独立的冲突域。
交换机所连接的设备仍然在同一个广播域内。
交换机依据帧头的信息进行转发。
分类(CRC检验与缓冲)
存储转发:收到整个帧并检测完帧中的错误后才转发
直通交换:在确定了帧的目的MAC地址和出口端口后就开始转发
存储转发的两个优势:
错误检查:比较FCS
自动缓冲: 支持不同速度的以太网接口
2. 启动交换机
交换机包括:
CPU RAM 操作系统
面板的指示灯:
系统指示灯(system LED)
远程电源供应(RPS)指示灯
端口模式指示灯(Port Mode LEDs)
端口状态指示灯(Port States LEDs)
3. 初始配置
默认配置(show running-config)
在没有做任何配置之前,就已经有默认的配置存在于运行配置文件中。
当交换机第一次启动的时候,这个默认的配 置就会被调入内存运行。
在这个默认配置中,交换机的名字叫做Switch,交换机的控制台或虚拟终端线路都没有配置口令。
对于Cisco基于IOS命令的交换机,可以用show running-config命令来显示交换机的默认配置。
端口属性(show interface)
显示快速以太网接口0/1默认接口属性。
Switch#show interface fastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (disabled)
Hardware is Lance, address is 00d0.58da.ad01 (bia 00d0.58da.ad01)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
VLAN属性 (show vlan)
显示VLAN1属性
Switch#show vlan
VLAN Name Status Ports1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig1/1, Gig1/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 - - - - - 0 0
1002 enet 101002 1500 - - - - - 0 0
1003 enet 101003 1500 - - - - - 0 0
1004 enet 101004 1500 - - - - - 0 0
1005 enet 101005 1500 - - - - - 0 0
闪存目录(dir flash:)
显示默认闪存目录。
Switch#dir flash:
Directory of flash:/
1 -rwx- 1674921 Apr 30 2001 15:09:51 c2950-c3h2s-mz.120-5.3.WC.1.bin
2 -rwx 269 Jan 01 1970 00:00:00 env_vars
3 drwx 10240 Apr 30 2001 15:09:52 html
7741440 bytes total (4780544 bytes free)
显示IOS版本信息(show version)
Switch#show version
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
ROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)
System returned to ROM by power-on
Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.
*4. 网络设置(default-gateway)
配置主机名和控制台、虚拟终端线路密码。
Switch(config)#hostname LanSwitch
# 以下为控制台登录配置
LanSwitch (config)#line console 0
LanSwitch (config-line)#password cisco
LanSwitch (config-line)#login
# 以下为远程登录配置
LanSwitch (config-line)#line vty 0 4
LanSwitch (config-line)#password cisco
LanSwitch (config-line)#login
为了允许远程登录交换机并且对交换机进行配置,必须在交换机上配置IP地址和默认网关。在Catalyst 2950系列的交换机上,IP地址配置在VLAN1这个虚拟接口上,在Catalyst 1900系列的交换机上,直接在全局配置模式下配置IP地址。
要实现对交换机的远程管理, 应该在交换机上配置IP地址、子网掩码和网关,并且保证交换机有接口连接在管理VLAN里。
简单来说,你要访问其他网络,网关是必须要配的。
设置交换机Catalyst 2950的IP地址和默认网关。
Switch(config)#interface vlan1
Switch(config-if)#ip address 192.168.1.2 255.255.255.0
Switch(config-if)#ip default-gateway 192.168.1.1
实例
请写出交换机、路由器,电脑pc0的配置命令,使pc0可以telnet到交换机。、
switch:
conf t
line vty 0 4
password abc
login
exit
interface vlan 1
ip add 192.168.10.2 255.255.255.0
ip default-gateway 192.168.10.1
router:
conf t
int f0/0
ip add 192.168.20.1 255.255.255.0
no shut
int f0/1
ip add 192.168.10.1 255.255.255.0
no shut
pc0:
ip :192.168.20.2
mask:255.255.255.0\
gw:192.168.20.1
5. MAC地址表管理
最大老化时间(aging-time)
例 配置老化时间为500秒。
Router(config)# mac-address-table aging-time 500
配置静态MAC地址(mac-address-table static)
静态MAC地址的好处
(1)使该MAC地址不会因为超时而被交换机自动清除。
(2)一台特殊的服务器或者工作站必须连接在交换机的某一个端口上,而且MAC地址是网络里的主机众所周知的。
(3)增加安全性。
添加静态项目
mac-address-table static mac-address vlan vlan-id interface type slot/port
Router(config)#mac-address-table static 0050.3e8d.6400 vlan 100 interface fastethernet5/7
配置端口安全(switchport port-security)
端口安全是在交换机端口上启用特定的命令以防止未经授权的有线设备访问网络的过程。
端口安全限制端口上所允许的有效MAC地址的数量允许合法设备的MAC地址进行访问,而拒绝其他MAC地址。
启用端口安全
Router(config-if)# switchport port-security
安全MAC地址有如下:
(1)静态安全MAC地址—由手工静态创建得到, 被存储在地址表中,并被添加到运行配置中.
(2)动态安全MAC地址—由动态学习得到,被存储在地址表中,当交换机重启时丢失。
(3)粘性安全MAC地址—由动态学习或手工静态 创建得到,被存储在地址表中,并被添加到 运行配置中。
如果把粘性安全MAC地址保存在启动配置文件中,当交换机重启时,接口无须重新学习这些地址。
保存到配置文件的方法是
copy running-config startup-config
违反安全规则的汇总
(1)超过端口最大安全地址数目的MAC地址试图访问这个端口。
(2)配置为某个端口的安全MAC地址试图访问其他端口。
对于违反规则的对策
(1)保护(protect)。
当在端口上的安全MAC地址数量达到允许的极限时,带有未知源地址的包被丢弃。不通知使用者
(2)限制(restrict)。
当在端口上的安全MAC地址数量达到允许的极限时,带有未知源地址的包被丢弃。通知使用者
(3)关闭(shutdown)。
端口被关闭,发送SNMP陷阱,记录日志,违反计数器增加计数。默认处理方式
当安全端口处于错误禁止(error-disable)状态,使用者可用下列方法使它离开该状态:
(1)使用全局配置模式命令errdisable recovery cause psecure-violation。
(2)输入shutdown和no shutdown命令重新启用它。
配置安全MAC地址。
Switch(config-if)# switchport port-security mac-address 1000.2000.3000
在接口上启用粘性特性。
Switch(config-if)# switchport port-security mac-address sticky
指定MAC地址作为粘性地址
Switch(config-if)#switchport port-security mac-address sticky 0000.0000.0001
设置一个端口上安全MAC地址的最大数量
Router(config-if)# switchport port-security maximum 5
设置当安全违反发生时采取的行动
Router(config-if)# switchport port-security violation protect|restrict|shutdown
注:restrict丢弃包后,增加安全违反计数,而protect丢弃包后,不增加安全违反计数。
端口安全老化(aging)
(1)绝对(absolute)。
在端口上的安全MAC地址在指定的老化时间消逝后从安全地址列表删除。
(2)非活动(inactivity)。
如果安全MAC地址在指定的老化时间内不活动,在端口上的安全MAC地址从安全地址列表删除
设置老化时间为2小时。
Switch(config-if)# switchport port-security aging time 120
设置老化类型
Switch(config-if)# switchport port-security aging type absolute | inactivity
监视与维护MAC地址表
显示MAC地址表
Switch# show mac-address-table
Dynamic Addresses Count: 9
Secure Addresses (User-defined) Count: 0
Static Addresses (User-defined) Count: 0
System Self Addresses Count: 41
Total MAC addresses: 50
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
0010.0de0.e289 Dynamic 1 FastEthernet0/1
0010.7b00.1540 Dynamic 2 FastEthernet0/5
0010.7b00.1545 Dynamic 2 FastEthernet0/5
0060.5cf4.0076 Dynamic 1 FastEthernet0/1
0060.5cf4.0077 Dynamic 1 FastEthernet0/1
0060.5cf4.1315 Dynamic 1 FastEthernet0/1
0060.70cb.f301 Dynamic 1 FastEthernet0/1
00e0.1e42.9978 Dynamic 1 FastEthernet0/1
00e0.1e9f.3900 Dynamic 1 FastEthernet0/1
清除MAC地址表中所有动态地址。
Switch# clear mac-address-table dynamic
清除在以太网接口1上的静态地址0040.C80A.2F07。
Switch# clear mac-address-table static address 0040.C80A.2F07 interface ethernet 0/1
浙公网安备 33010602011771号