合勤交换机技术培训.ppt

以太网交换机 合勤科技 ZyXEL Communications Corp.,概述,iSafe 入侵锁定 MAC冻结 广播风暴控制 802.1x验证 L2/L3/L4 ACL iManage 智能管理工具集 安全管理连接 iStacking NetAtlas Enterprise 网管软件 PoE 功能对照表 5. Q & A,产品概览,产品概览,可堆叠 L2 入门级交换机,PoE,可堆叠 L3+ 交换机,可堆叠 L2+ 中级交换机,可网管快速以太网交换机,可网管千兆以太网交换机,企业核心网,企业接入网,GS-4024(20G+4D.P.) GS-4012F(8SFP+4D.P.),ES-4024A (24FE+2G/2SFP),GS-3012(8G+4D.P.) GS-3012F(8SFP+4D.P.),ES-2024A(24FE+2G+2SFP) ES-2108,GS-2024(22G+2D.P.),ES-3124(24FE+4G+2SFP) ES-3124PWR(24PoE+4G+2SFP) ES-3148(48FE+4G+2SFP),可堆叠 L2 入门级交换机,PoE,可堆叠 L3+ 交换机,可堆叠 L2+ 中级交换机,GS-4024 GS-4012,快速以太网,千兆以太网,ES-4124,GS-3012 GS-3012F,企业接入网,ES-3124 ES-3124PWR ES-3148,GS-2024,ES-2108 ES-2108-G ES-2108-LC ES-2108PWR,iStacking Dual Personality 千兆上行口 PoE,ES-2024A,企业核心网,产品发展,目前产品组合,Layer 2,Layer 3+,桌面型,千兆型,L2 非可网管型,机架型,Layer 2+,ES-4024A,GS-4012F,GS-4024,ES-3124,ES-3148,ES-3124PWR,GS-3012,GS-3012F,ES-2024A,ES-2108 ES-2108-G,GS-2024A,ES-105A ES-108A ES-108P,ES-1016B ES-1024B ES-1124,ES-116P ES-124P,GS-105A GS-108A,GS-1116 GS-1124,模块型,未来产品组合(至2006年年底),Layer 2,Layer 3+,L2 非可网管型,Layer 2+,ES-4024A,GS-4012F,GS-4024,ES-3124,ES-3148,ES-3124PWR,GS-3012,GS-3012F,ES-2024A,ES-2108 ES-2108-G,GS-2024A,ES-105A ES-108A ES-108P,ES-1016B ES-1024B ES-1124,ES-116P ES-124P,GS-105A GS-108A,GS-1116 GS-1124,ES-4124,MS-7206,ES-2024PWR,GS-1116A GS-1124A,ES-2108-LC ES-2108PWR,桌面型,千兆型,机架型,模块型,主要功能介绍,冗余性,链路聚合,链路聚合,绑定一些物理以太连接作为逻辑连接来获取更大带宽。 支持IEEE 802.3ad LACP 所有L2/L2+/L3+ 可网管交换机均支持,链路聚合,LACP只工作在全双工链路。 同一个链路聚合组的所有端口必须是相同的媒体介质，双工模式和流控设置。,链路聚合,PC 1,PC 6,通信量的分布是基于源和目的端口MAC地址的 一对客户之间的通信量会通过trunk组中的一个连接传输。,Link Aggregation Ports,PC 2,PC 3,PC 5,PC 4,生成树协议STP/RSTP,为什么需要生成树协议？ 消除回路 链路冗余 所有L2/L2+/L3+可网管交换机均支持: IEEE 802.1d Spanning Tree Protocol, STP IEEE 802.1w Rapid Spanning Tree Protocol, RSTP,生成树协议,广播风暴,如果没有STP的避免环路机制，每台交换机都会无止境的广播包到所有的端口，这种情况就叫做广播风暴。,消除回路,广播包,生成树协议 (STP, RSTP) 可以消除回路,Spanning Tree Protocol,消除回路,广播包,广播包,打断回路,生成树协议 (STP, RSTP) 可以提供冗余连接，增强网络的稳定性,Spanning Tree Protocol,原来的连接断开后，被阻塞的连接恢复，成为冗余连接,被阻塞的连接可以作为备份连接,X,链路冗余,教育网,VLAN,VLAN Trunking,VLAN Trunking,Enable VLAN Trunking,所有L2/L2+/L3+可网管交换机均支持,VLAN堆叠,VLAN Stacking（VLAN堆叠）,VLAN Stacking（VLAN 堆叠）: 一个VLAN被封装到另外一个VLAN中. 仅ES-3100系列和GS-4000系列支持802.1ad Vlan Stacking (QinQ),封包格式,以太帧,VLAN 30|VLAN 2,VLAN 30|VLAN 2,VLAN 40|VLAN 2,VLAN 40|VLAN 2,VLAN 2,VLAN 2,VLAN 2,VLAN 2,Company XX HQ,Company YY branch,Company YY HQ,1,2,3,Switch H,Switch A,Switch C,Switch B,Switch D,Switch E,Switch G,Switch F,Port 2,Port 1,Port 1,Port 1,Port 2,Port 1,Port 25,Port 25,Port 25,Port 25,Port 25,Port 3,Port 3,Port 25,Company XX branch,应用举例,IP多播,多播VLAN注册 (MVR),MVR介绍,MVR 使得单个多播 VLAN 在整个网络中共享，而用户们还是处于各自不同的单播VLAN中，从而减少了多播数据在整个网络上的流量 MVR可以有效的减少构建Multicast网络的费用，显著改善Multicast网路的性能，并且保证了安全性 ES-3100系列，GS-3000系列，GS-4000系列支持MVR,MVR和IPTV服务,CH1, VLAN1,CH1, VLAN2,CH1, VLAN4,CH1, VLAN5,CH1, VLAN6,CH1, VLAN3,single multicast stream,CH1, VLAN200,GS-3012,ES-3124,MVR和IPTV服务,CH1, VLAN1,CH1, VLAN2,CH1, VLAN4,CH1, VLAN5,CH1, VLAN6,CH1, VLAN3,single multicast stream,CH1, VLAN200,GS-3012,ES-3124,GS-3012F Support MVR,Port2: VLAN102 IP: /24,Port 1: VLAN101 IP: /24,L3 Switch GS-4024,Routing domains: 1. IP: /24 VLAN 2 2. IP: 11/24 VLAN 100 IGMPv2 3. IP: /24 VLAN 101 4. IP: /24 VLAN 102 5. IP: /24 VLAN 109 6. IP: /24 VLAN:110,Video Server IP: /24,Port 2 PVID: 2,Port 24 PVID 1,Port 28 PVID 1, VLAN Trunking,Port 27 PVID 1, VLAN Trunking,ES-3124 Support MVR,Port10: VLAN110 IP: /24,Port 9: VLAN109 IP: /24,MVR应用,iFlow,iFLOW,iFlow整合一系列的QoS机制，保证网络服务，同时减轻网络拥塞对服务的影响。ZyXEL交换机可以对数据包提供包括分类，策略，优先等动作的线速处理。 802.1P优先级 队列调度 Classifier & Policy Rule (ACL),ZyXEL Switch,Video,To Core,Data,Data,TX,RX,RX,RX,RX,Video 放入对 “延迟和丢包” 敏感的队列,通过WRR或WFQ调动队列,iFlow 智能流量策略,A,分类(L2-L4 ACL) Layer 2: MAC Address Layer 3: IP Address Layer 4: TCP/UDP Port,B,优先级,C,队列调度和流量整形,D,重定义优先级,E,策略 (流量限制),A,B,C,D,E,多重队列保证Voice质量,Voice,802.1p 优先级,802.1p 入站,802.1P 定义QoS的队列优先极 根据不同的802.1P优先级给流量分类 8种优先级，越高的越先转发 所有L2/L2+/L3+可网管型交换机均支持 帧的入口处理,标记帧,入口规则,VID,无标记帧,标记帧,标记帧,Pri.,VID,Pri.,PVID,Pri.,802.1P 类型,802.1P定义了8种不同级别的通信量类型,转发处理,例如：ES-3124 支持8种优先级队列 优先级队列的安置是根据802.1p来执行的 高优先级队列有高的处理优先权 当大量高优先级的通信量等待发送时，低优先级的通信量可能会被丢弃,转发处理,Tagged frame,Pri=7,Pri=0,Pri=1,.,Queue 7,Queue 6,Queue 1,Queue 0,高优先级,低优先级,队列调度,队列与调度,队列 高优先级队列和低优先级队列 每个队列中都遵循先进先出的原则（FIFO） 调度 排队策略 SPQ 严格优先队列 WRR 权重轮转队列 WFQ 权重公平队列（仅ES-31xx及未来的ES-41xx系列支持）,严格优先队列 (SPQ),High Queue,Low Queue,High priority first out,Switch,t,权重轮转队列 (WRR),高优先级队列先发送3个包,权重轮转队列 (WRR),高优先级队列先发送3个包,High Queue,Low Queue,Switch,t,Middle Queue,W=3,W=2,W=1,最低优先级的队列获得了最大的带宽！,权重公平队列 (WFQ),高优先级队列发送占据50%的带宽来传送数据,High Queue,Low Queue,Switch,t,Middle Queue,W=50%,W=30%,W=20%,Classifier & Policy Rule (ACL),Classifier（分类）包括二层和三层的分类机制。 Policy Rule（策略规则）可以对在Classifier中定义的流量实现QoS L2+/L3+可网管交换机支持,Classifier & Policy Rule (ACL),Classification（分类）,Classifier 根据特定的参数将一组数据归类成数据流: 比如DSCP值，源/目的地地址， 端口号等,1,Classifier,Policy Rule（策略规则）,Policy Rule 处理被归类的数据流 选择一个或多个Classifiers 在Policy Rule中设定要改变的参数或动作 应用Policy Rule,2,Traffic coming in to the Switch,Usage,Policy Rule (Action),Classifier,Diffserv (DS) 使ISP在为每个用户提供一系列基于不同应用的服务的同时，对每种服务提供不同的服务质量 DiffServ是一种CoS (服务等级)的模式，增强了Internet的尽力而为的服务。它仅应用于Layer 3 Example: 把所有目的地IP是2端口80的包的DSCP值设为60,HTTP Server 50,,HTTP Server 2,1,,,,Classifier & Policy Rule 举例,Classifier & Policy Rule 举例,Classifier & Policy Rule 举例,Classifier & Policy Rule 举例,Classifier & Policy Rule 举例,ES-3000 Series L2+ FE Switch ES-2000 Series L2 FE Switch,Layer 3 Core,Layer 2+ Server,GS-4000 Series L3+ GbE Switch,GS-3000 Series L2+ GbE Switch,GbE Uplink,GbE Trunk,GbE Uplink,Server Farm,Human Resources VLAN 10,Finance VLAN 20,Sales & Marketing VLAN 30,QoS,完善的QoS功能 802.1p WFQ 带宽保证机制 DSCP/IP 优先级 基于策略的 QoS 流量限制,QoS,QoS,完善的QoS解决方案,Layer 2 Desktop,iSafe,iSafe,ZyXEL交换机整合了一系列的安全防范技术，防止未经授权的用户访问网络 入侵锁定 MAC冻结 广播风暴控制 L2/L3/L4 ACL 802.1x端口认证,入侵锁定,高度安全网络,Server Farm,Intruder,ES-3124 L2+ FE Switch,入侵者拔掉原有机器的网线，嗅探网络信息,2,1,自动锁定启用 在网线被拔出后自动锁定端口，防止入侵者使用,Core Network,GS-4024 L3+ GbE Switch,入侵锁定,目前需要命令行来启用/关闭这项功能 所有L2/L2+/L3+可网管交换机均支持这项功能,关闭Intrusion Lock,启用Intrusion Lock,MAC冻结,高度安全网络,Server Farm,Intruder,ES-3124 L2+ FE Switch,入侵者接入网络窃取信息,2,1,MAC冻结启用 将所有已经学得的MAC地址转为静态MAC，同时启用MAC地址学习限制功能，不再学习新的MAC地址,Core Network,GS-4024 L3+ GbE Switch,MAC冻结,MAC-Freeze 目前只能通过命令行来打开 MAC Freeze 会把目前的动态MAC地址转化为静态MAC地址，同时在端口上自动打开MAC地址学习限制功能。 这样一来，任何其他计算机将无法再使用这个Port。 所有L2/L2+/L3+可网管交换机均支持,CLI: Port-Security port number mac-freeze,广播风暴控制,Server Farm,Intruder,ES-3124 L2+ FE Switch,蠕虫病毒从一台PC传到另一台PC,2,1,广播风暴控制启用 限制突发的 广播包、多播包和DLF包,Core Network,GS-4024 L3+ GbE Switch,在这里限制突发的包,广播风暴控制,L2/L3/L4 ACL,Server Farm,Hosts,ES-3124 L2+ FE Switch,黑客试图访问受限区域 (Server Farm).,2,1,安全策略启用 交换机根据L2/L3/L4策略限制连接 Layer 2: MAC地址 Layer 3: IP地址 Layer 4: TCP/UDP端口,Internet,Core Network,GS-4024 L3+ GbE Switch,L2/L3/L4 ACL,L2/L3/L4 ACL举例,阻止 /24网段的人通过ES-3124访问网络，但是允许0访问网络，怎么做？,/24,0/24,ES-3124,Internet,/24,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,802.1x 端口认证,802.1X 端口认证,只允许通过认证的用户发送数据。 需要外置的Radius服务器 支持MD5-Challenge, TLS, TTLS和PEAP,802.1X 端口认证,Radius 服务器,802.1x 客户,802.1x 客户,如果用户认证未通过，交换机就会丢弃来自该用户的通信量。,iManage,iManage,ZyXEL交换机集成了多样化的智能管理工具 智能管理工具集 安全管理连接 iStacking NetAtlas Enterprise 网管软件,智能管理工具集,iManage 智能管理工具集,ZyXEL可网管交换机集成了一系列的管理工具 WEB GUI配置界面 文本格式的配置文件 CISCO Like CLI（Console/Telnet） 所有L2/L2+/L3+可网管交换机都支持CISCO Like的CLI界面,WEB GUI配置页面,分层设定流,面向功能,在线帮助,逻辑设定,WEB GUI配置页面,分层设定流,WEB GUI配置页面,面向功能,WEB GUI配置页面,在线帮助,文本格式配置文件,; Product Name = ES-3124 ; Generated by SysConf engine version 1.0 vlan 1 name 1 normal “ fixed 5-12 forbidden 1-4 untagged 1-12 ip address inband-default exit vlan 103 name “ normal 3-12 fixed 1-2 forbidden “ untagged 2 exit 。,CISCO Like CLI,User Mode hostname Enable Mode hostname# 3. Configuration Mode hostname(config)#,CISCO Like CLI,安全的管理连接,安全连接 Secure shell(SSHv2,secure Telnet) 独立 Management Port HTTPS(Secure Web),administrator,Layer 2 Desktop,Layer 3 Core,Layer 2+ Server,GS-4000 Series L3+ GbE Switch,ES-3000 Series L2+ FE Switch ES-2000 Series L2 FE Switch,GS-3000 Series L2+ GbE Switch,GbE Uplink,GbE Trunk,GbE Uplink,Server Farm,Human Resources VLAN 10,Finance VLAN 20,Sales & Marketing VLAN 30,Network Administrator,SSHv2 : Secure Telnet,Hacker,LAN,Telnet Switch A Username: John Password: John123,Switch A,Switch B,Telnet Switch A Username: %$&* Password: #$#$,#$%&*(&(%*%$,Sniffing,?,SSHv2 : Secure Telnet,需要第三方软件来建立连接,RJ45独立管理端口,除ES-2108系列和ES2024A以外，其他均支持,独立的管理端口,HTTPs（Secure Web）,HTTPs（Secure Web）,Https:/,iStacking (Cluster Management),Internet,Cluster,Administrator,Manage 24 switches,iStacking 智能堆叠,使用单一的IP来同时管理属于同一个VLAN和广播域的多个交换机。 最多可管理24台交换机 L2/L2+/L3+交换机均支持,iStacking 设定,第一步：设定Manager，发现Member,设定Manager,发现Member,iStacking 设定,第二步：添加Member,添加Member,iStacking 设定,第三步：从Manager上进行管理,Member的管理界面,NetAtlas Enterprise 交换机网管系统,系统架构,系统要求,硬件要求 CPU: Intel Pentium 4, 1.6GHz (or above) 内存: 1GB (or above) 硬盘: 20 GB Hard Disk (or above) 屏幕分辨率: 1024*768 Graphical Adapter (or above) 10/100 Mbps 以太网卡 软件要求 操作系统: Windows 2000 (with service pack 1), Windows Server 2003, Windows XP 数据库系统: PostgreSQL 8.0 Castle Rocks SNMPc Network Manager 6.0.9,主要功能,自动发现 拓扑预览 配置管理 流量监控与分析 访问控制 访问记录 告警/事件 管理 系统管理 模板 最多支持500个节点 (NE) 支持10个并发用户 每秒处理100个SNMP trap,设备支持列表,网络拓扑预览,拓扑预览 自动发现 自动显示ZyXEL设备的型号,设备预览,告警状态指示 树状显示：所有可管理设备都显示在树状菜单中,Sub-map,端口状态,端口状态 实时状态显示,端口统计 实时端口统计显示,流量分析器,流量分析器 实时流量分析 不同数据由不同颜色显示,其他管理界面,网管软件,NetAtlas Enterprise 针对企业级用户,支持多用户 支持数据库,NetAtlas Workgroup 针对中小型企业,对网络进行简便管理,Power over Ethernet,PoE的优点,降低成本 不需要重新另外布设电线 灵活的AP架设方案 无线接入点不需要架设在AC电源附近 远程管理 IP电话，无线接入点可以通过PoE远程开启或关闭 PoE由IEEE 802.3af定义 只有ES-2108PWR和ES-3124PWR支持,ES-2108PWR,