交换机工作原理与交换机基本配置

交换机工作原理与交换机基本配置学习目标：1.理解交换机的工作原理2.掌握设备命名的方法3.掌握VLAN划分方法4.实现VLAN之间的通信5.了解实现端口安全的方法冲突和广播1、冲突及冲突域

在网络中所有节点在任何需要的时候都可以发送数据，而共享式以太网却努力确保任一时刻只有一个节点发送数据。但是，两个节点却有可能同时发送数据，例如图中的节点A和节点C。BAC冲突（collision）

冲突是传统以太网中的一种现象。如果2台或者多台设备试图同时发送数据，那么就会发生冲突。一个网络中冲突太多的时候，会导致缓慢的网络响应时间，表示网络变得过于拥塞冲突域

构成冲突的所有节点组成的区域就是冲突域。即一个支持共享介质的网段。集线器不能隔离冲突域，因此集线器所有的端口同在一个冲突域。交换机能隔离冲突域，交换机每个端口一个冲突域。2、广播及广播域

LAN上的所有节点都应该接收和处理送往广播地址的帧，发往广播地址的帧将发送到LAN上的所有节点。BACFFFF.FFFF.FFFFDATA目标MAC地址广播帧广播（Broadcast）在网络传输中，向所有连通的节点发送消息称为广播。广播域广播帧传输的网络范围称广播域，即网络中能接收任何节点发出的广播报文的所有节点的集合。交换机不能隔离广播域，因此，一个网络中的交换机的所有端口在同一广播域。路由器能隔离广播域，因此，一个路由器的不同端口处于不同的广播域交换式局域网以交换机（switch）构建的星形网络Switch基于MAC地址转发/过滤利用CSMA/CD机制来避免冲突利用缓存机制来解决端口冲突支持全双工例如，图中显示了交换机内数据的流动情况。假定节点1向节点4发送数据，节点2和节点3并不知道上述数据的传输，因为这些数据并没有传到这两个端口上。交换机的分段给网络上每个用户提供了专用带宽，每个用户即刻接入到全部带宽，且不必和其他用户竞争可用带宽。交换机功能功能优点支持多数据流同时通过能同时传输更多的业务，从而增加任一指定时间段内业务流量。支持虚拟局域网(VLAN)VLAN增加了网络的灵活性，并取消了节点物理位置发生变化带来的开销。能升级到其他高性能交换式网络交换机能接入骨干网，也能升级到这些更快的技术管理特性交换机能够阻止小于64字节的帧及其他坏帧进入网络。交换机还能提供每个端口活动情况的详细信息。能够从交换机获取的信息包括流入流出特定端口的业务流量，以及超出警戒阈限的次数等。安全特性因为数据目的地址为一个特定端口而不是整个交换机，所以仅通过插进一个端口就想在交换机上“窃听”是不可能的。交换机帧处理过程交换机对帧处理的5个过程包括：学习（learning）、泛洪（flooding）、转发（forwarding）、过滤（filtering）、老化（aging）学习交换机的学习指的是地址学习过程。交换机会记录发送源的源MAC地址和源端口，这个过程就是学习过程。交换机只学习单播源地址。假设工作站A欲传输单播帧到工作站D，交换机从端口E0收到这个帧并查看帧的源MAC地址，然后把这个地址和对应端口E0放进MAC地址表中。泛洪当工作站A发送帧给D的时候，交换机会查看帧的目标MAC地址并看其MAC地址表里有没有该条目，但是此时交换机只有A的MAC地址，并没有目标D的MAC地址，即此时交换机收到的是未知单播帧，交换机将把未知单播帧从它的所有端口（除了源端口外）发送，这个过程就叫泛洪。除了泛洪未知单播帧，交换机还会泛洪另外两种类型的帧：广播帧和组播帧。转发或过滤如果到达交换机的帧目标地址是已知的，交换机则只会将帧转发给连接目标工作站的特定端口，而不是转发给所有端口。即对该特定端口为转发，其他端口称为过滤。如：工作站A将帧送往工作站B的过程如下：①将发送帧的目标MAC地址0260.8c01.2222与MAC表中的表项进行比较；②查到该地址可通过E1端口到达,将帧转发到该端口；③交换机不会再将帧转发到E2、E3端口，即过滤(framefiltering)以节省链路带宽。老化（或称计时）当交换机学习到某个源MAC地址之后，它会给这个条目打上时间戳。每当交换机收到来自这个源MAC地址的帧之后，这个时间戳会被更新。当老化计时器(agingtimer)超时之后还没有收到来自该源MAC地址的帧，那么这个条目就会从桥接地址表里移除。老化计时器的默认时间为5分钟，可以人工对其进行修改。

交换机结构1、交换机的组成部件

交换机实际上就是一台特殊用途的计算机，它的内部也有CPU、内存和主板，只不过这些部件是专门为数据交换而设计的。我们通常所说的交换机的背板带宽有点类似于电脑主板上的总线，是交换机接口处理器（或接口卡）和数据总线间所能吞吐的最大数据量。一台交换机的背板带宽越高，处理数据的能力就越强，同时价格也越高。交换机除了和我们熟知的传统的PC机有类似的体系结构外，它还和PC机一样拥有相应的操作系统。2、交换机的组成部件以Cisco交换机为例来了解交换机结构。Cisco交换机是由CPU、RAM、NVRAM、FLASH、ROM和一些相应的接口通过内部总线相连而构成。CPU（中央处理器）相当于PC的CPU，是交换机的大脑，负责整个系统的计算和控制。ROM（只读存储器）相当于PC的BIOS（基本输入输出系统），存放引导程序和IOS的一个最小子集。它是只读存储器，系统掉电程序不会丢失。Flash（闪存）相当于PC的硬盘，它包含操作系统（IOS）和其他伪代码。它是一种可擦写、可编程的存储器，系统掉电程序不会丢失。NVRAM（NonvolatileRAM,非易失性随机存取存储器）相当于PC的第二块硬盘，专门存放交换机的配置文件。系统掉电程序不会丢失。RAM/DRAM（随机存储器/动态存储器）相当于PC的内存，是交换机主要的存储部件，RAM也叫做工作存储器，它包含动态的配置信息。系统掉电RAM的内容会丢失。Interfaces（接口/端口）相当于PC的网卡，接口（Interface）是数据分组进出交换机的网络连接。交换机的启动过程交换机启动时首先对系统各部分的硬件进行检测，然后检查启动配置文件，根据配置文件指定的引导路径去寻找操作系统，最后从NVRAM中将配置文件加载到RAM，如果没有配置就进入系统的初始配置状态。CiscoIOS基础1、CiscoIOS软件的目的

与计算机一样路由器或交换机需要操作系统才能正常工作。Cisco将自己的操作系统称为Cisco互连网络操作系统，或者CiscoIOS软件。它内置于Cisco路由器和Catalyst交换机上。CiscoIOS提供了下列服务：基本的路由选择和交换功能对联网资源可靠和安全的访问网络的可扩展性2、Cisco设备用户界面CiscoIOS软件使用命令行界面（CLI）作为自己传统的控制台环境。CiscoIOS是一项核心技术，它跨越大多数Cisco产品线，不同设备中CiscoIOS软件的运行细节也有所区别。CLI环境常用下列方式访问：通过控制台会话

—使用低速串行连接，从PC机直接到设备的控制台端口通过telnet作为虚拟终端连接到设备3、Cisco各种用户界面模式CiscoCLI使用了一种分级的结构。这种结构要求进入不同的模式以完成各种特定的任务。

CiscoIOS软件提供了一种称为命令执行者（commandexecutive,EXEC）的命令解释器服务，每个命令输入后，EXEC都会验证并执行该命令。

CiscoIOS软件将EXEC会话分成了两个访问级别：用户EXEC模式（使用提示符“>”）

—只查看模式，不允许对配置进行修改特权EXEC模式（使用提示符“#”）—所有要进行的配置都从特权模式进入enable4、CiscoIOS命令状态

（1）帮助命令“？”

字词帮助：紧跟命令字符的后面输入？，系统将显示以

输入字符开始的一系列命令。命令行格式帮助：当你对要输入的关键词或参数没有把

握时，可以用？来代替，记住在？的前面需要插入空格，

网络设备就会显示一系列可选的命令选项。在键入命令过程中可以使用“Tab”键帮助键入未输入完的

命令。5、CiscoIOS常用命令

（2）改变状态命令任

务命

令进入特权命令状态enable退出特权命令状态disable或exit进入设置对话状态setup进入全局设置状态configterminal退出全局设置状态end进入端口设置状态interfacetypeslot/number进入线路设置状态linetypeslot/number退出局部设置状态exit

（3）显示命令任

务命

令查看版本及引导信息showversion查看运行设置showrunning-config查看开机设置（备份配置）showstartup-config显示端口信息showinterfacetypeslot/number显示路由信息showiprouter显示闪存设备信息showflash显示已经配置的协议信息showprotocols任

务命

令查看版本及引导信息showversion查看运行设置showrunning-config查看开机设置（备份配置）showstartup-config显示端口信息showinterfacetypeslot/number显示路由信息showiprouter显示闪存设备信息showflash显示已经配置的协议信息showprotocols

（4）IOS文件管理命令任

务命

令手工配置路由器或交换机configterminal保存配置文件到NVRAMcopyrunstart将配置文件从NVRAM调入内存copystartrun保存配置文件到tftp服务器copyruntftp将配置文件从tftp调入内存copytftprun保存NVRAM的配置文件到tftp服务器copystarttftp将配置文件从tftp服务器拷贝到NVRAMcopytftpstart将配置文件从tftp服务器拷贝到flash中

copytftpflash将配置文件从flash拷贝到tftp服务器中copyflashtftp删除配置文件erasestartRAMNVRAMconfigterminal控制台或终端TFTP服务器copyrunstartcopystartruncopyruntftpcopytftpruncopytftpstartcopystarttftpFLASHcopytftpflashcopyflashtftperasestart垃圾桶IOS文件管理示意图：交换机的配置方式控制台：Console口接终端或运行终端仿真软件（如超级终端）的PC机Telnet:可以通过Telnet配置TFTP：可以通过TFTP服务器下载配置信息SNMP：可以通过一个运行网管软件的工作站来管理配置除了以上介绍的几种方法外，有些交换机还支持通过Web方式进行配置TelnetTFTPSNMPConsole口接口计算机Console端口RJ-45COM端口DB-9RJ-45~DB-9连接电缆第一次配置必须通过Console端口进行，只有当通过Console端口对交换机进行了相应的配置后，我们才可以通过其他的几种方式对它进行配置和管理。交换机基础配置1）设主机名和密码

hostnameswitch

enablepasswordcisco(注：使用showrun可查看到该密码)

ORenablesecrethngy(注：使用showrun查看不到该密码)若设置了enable密码后，交换机要求用户输入完enable命令后，在密码提示符后输入使能（enable）密码来访问特权模式，所以特权模式也叫做使能模式。

enablesecret密码是非常安全的，因为它使用“MD5”加密，而enablepassword很容易破解。若同时配置了enablepassword和enablesecret，则交换机要求输入enablesecret命令所定义的密码，交换机将不接收enablepassword命令所定义的密码。User

模式特权

模式使用模式

使能口令VTY

口令IP

网络控制台控制台口令线路配

置模式IOS对于控制台及Telnet的配置使用术语线路（line）。所以，控制台、Telnet口令要使用线路配置模式进行配置。一旦进入到各自的线路配置模式，就需要配置两个命令：

password

text命令定义了在交换机询问口令时必须要输入的字符串；

login命令告诉IOS口令是必须的。2）设置Console口、Telnet登录参数

linecon0

passwordcisco

login

linevty04

passwordcisco

login交换机端口配置1、进入端口

switch#

confterminal

switch(config)#int

f0/1

(指定一个端口)

switch(config)#

intrange

f0/2-5

(指定连续的一组端口)

switch(config)#

intrange

f0/6,f0/9

(指定不连接的端口)

激活端口

switch(config-if)#noshutdown2、配置二层端口交换机端口默认都是二层端口，在支持三层交换的交换机上，我们可以将每一个端口都配置成路由端口（在进入端口配置状态下，输入“noswitchport”命令），如果一个端口已经配置为三层端口，我们可以在其端口状态下，输入“switchport”命令使其恢复为交换端口。示例：（若SW3550中F0/2口已配成三层端口，现要恢复为二层端口）

sw3550#configterminal

sw3550(config)#intf0/2

switch(config-if)#switchport

2）配置端口描述

switch(config)#intf0/6

switch(config-if)#descriptionlinktovlan2

switch(config)#intf0/7

switch(config-if)#descriptionlinktosw3560f0/24

1）配置端口速率及双工模式

switch(config)#intf0/1

(配置一个端口)

或switch(config)#intrangef0/2-5

(配置一组端口)

switch(config-if)#speed100

switch(config-if)#duplexfullfull：全双工

half：半双工

auto：自动3、配置三层端口在交换机上所说的三层端口，往往指的是VLAN的虚拟接口或三层交换中使用了“noswitchport”命令后的普通物理端口。

1）配置三层交换机端口IP地址示例：

sw3560(config)#

int

f0/1

sw3560(config-if)#ipadd

sw3560(config-if)#noshut

2）配置二层交换机VLAN地址示例：

sw2950(config)#

int

vlan2

sw2950(config-if)#ipadd

sw2950(config-if)#noshut

switch(config)#interface

f0/1

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportport-security

switch(config-if)#switchportport-securitymac-address5、端口安全配置showinterface[interface-id]showinterface[interface-id]statusshowinterface[interface-id]switchportshowinterface[interface-id]descriptionshowipinterface[interface-id]showipinterface[interface-id]briefshowrunning-configinterface[interface-id]4、监控及维护端口交换机基本管理2)保存配置

现做的配置都记入在RAM中(running-config文件)若需要保存所作的配置，需写入启动配置文件(startup-config文件)中：

switch#copyrunstart1)为交换机管理配置地址

默认情况下所有端口都在VLAN1下，对VLAN1设置一个IP地址以方便管理

switch#conft

switch(config)#interfacevlan1

switch(config-if)#ipadd54

1、虚拟局域网（VLAN）的概念VLAN是一种逻辑上的局域网，它可以不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的虚拟网络，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间的广播信息是相互隔离的。这样，就将整个网络分割成多个不同的广播域。每一个VLAN均可看成是一个逻辑网络，发往另一个VLAN的数据包必须由路由器或具有路由功能的交换机转发。虚拟局域网VLAN及配置Switch划分VLAN后分割成两个广播域财务室VLAN开发部VLAN划分VLANVLAN的物理结构与逻辑结构一个VLAN就是一个广播域，包含了一组连接具有相同属性且物理位置无关的接口一个VLAN对应一个IP子网段VLAN内部的单播、组播、广播数据只在VLAN内部传输实现VLAN间通信必须借助于路由器(或具有三层交换功能的交换机）VLAN的优点隔离广播域减少网络管理开销；增强网络的安全性；实现组网的灵活性。VLAN在交换机上的实现方法，适用于局域网的主要有三类:2、VLAN的划分方法

1）基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。2）基于MAC地址划分VLAN

即对每个MAC地址的主机都配置属于哪个VLAN，VLAN交换机跟踪属于VLANMAC的地址。3）基于网络层IP地址划分VLAN

这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。1）VLAN范围

VLAN的范围为1~4096。Vlan1是基本VLAN，所有未被划分的接口都属于Vlan1。Vlan0、Vlan4095：保留Vlan1：基本VLANVlan2~~1001：用于以太网Vlan1002：FDDI-DefaultVlan1003：Token-Ring-DefaultVlan1004：FDDInet-DefaultVlan1005：TRnet-defaultVlan1024~~4094：用于扩展的以太网ISL封装只支持到1005；802.1Q支持全部3、VLAN的配置2）创建VLAN

方法一：特权模式下进入VLAN数据库模式

switch#vlandatabase

switch(vlan)#vlan2

namezw

switch(vlan)#vlan3

方法二：全局模式下

switch#configt

switch(config)#vlan4

switch(config)#

name

v4

3、VLAN的配置3）删除VLAN

方法一：VLAN数据库模式下

switch#vlandatabase

switch(vlan)#novlan2

方法二：全局模式下

switch#configt

switch(config)#novlan43、VLAN的配置4）与接口的绑定

（若没有绑定接口，接口默认都在VLAN1下）

switch(config)#intf0/2

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportaccessvlan2

或switch(config-if)#intrangef0/3-8

switch(config-if)#switchportmodeaccess

switch(config-if)#switchportaccessvlan35）显示VLAN

显示整个VLAN信息:

switch#showvlan

显示某个VLAN信息:

switch#showvlanbrief

查看端口的详细信息和所属的VLAN信息:

switch#showintf0/2switchport

3、VLAN的配置交换机的端口，可以分为以下两种：访问链接（AccessLink）指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。汇聚链接（TrunkLink）交换机之间要传递VLAN信息时，所链接的端口要设置成指“Trunk”模式。

VLAN中继协议及配置中继(Trunk)主要用来传递多个VLAN的信息1、中继(Trunk)的概念中继（Trunk）独立于VLAN，能够连接不同的VLAN，能够跨越多个交换机的相同VLAN。网络设备间的级连采用Trunk方式，级连端口不属于任何设备，即该端口所建立的网络设备间的级连链路是所有VLAN进行通信的公用通道。当在由多个交换机互联的网络中使用VLAN时，需要在交换机之间使用VLAN中继。使用VLAN中继时，交换机标记发往中继线的每个帧，以便接收帧的交换机知道帧属于哪个VLAN。1）ISL(Inter-SwitchLink):Cisco私有封装，支持1024个Vlan

2）802.1q:国际标准封装，可支持4096个Vlan

ISL头部

（26字节）以太网帧

(1518字节)CRC

(4字节)DMACSMACTag类型DataFCS4字节，VlanID字段2、Trunk的封装中继是连网技术中的重要组成部分，Cisco交换机支持两种不同的中继协议----ISL和IEEE802.1Q。

（Cisco的1900只支持ISL，2950只支持802.1q，2970及以上两种都支持）

int

f0/24switchporttrunkencapsulation

{ISL/802.1q}switchportmodetrunk

showinttrunk3、Trunk的配置VTP是一种通过Trunk来进行VLAN管理的协议，属于Client/Server方式。首先，VTP包含域的概念，只有处在同一个域内的交换机才构成一个管理体系。其次，对于整个域内VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端，客户端的VLAN数据库也会发生相应的变化。4、VLAN中继协议VTP(Vlantrunkprotocol)1）VTP作用

通过VTP协议来动态管理Vlan，同步VTP域中Vlan的信息2）VTP相关概念

VTP协议的参数：VTP版本VTP配置修订号VTP域名VTP修剪VTP密码VLAN信息要一致修订号高的同步配置低的要相同Vlan号、Vlan名可进行VTP修剪Pruning3）VTP的工作模式：Server服务器模式Client客户机模式Transparent透明模式可在本地创建、删除、修改vlan可以产生、发送、接收、处理VTP信息可以保存vlan信息不能创建、删除、修改vlan可以发送、接收、处理VTP信息只接收转发，不处理、不产生VTP信息可在本地创建、删除、修改vlanVTP配置修订号始终为04）VTP的同步原则：VTP域名不能为空VTP域名必须一致配置修订号高的同步配置修订号低的只同步Vlan信息，不同步Vlan与接口绑定信息只在trunk传输VTP信息5）VTP的配置：配VTP域名：switch(config)#vtpdomain

hngy设VTP模式：switch(config)#vtpmode

{server/client/transparent}查看VTP状态：switch#showvtpstatus6）VTP的修剪（Pruning）：switch(config)#vtppruningVTP修剪是在trunk链路上自动修剪vlan流量的制度。VTP修剪阻止掉广播和未知目标单播流向在vlan中没有任何端口的交换机。VTP修剪是使用VTP最重要的两个原因之一，另一个原因是使vlan配置更容易、更灵活。VLAN间路由VLAN在第2层执行网络分区和通信量分离。所以，如果没有具有路由功能的第3层设备，VLAN间就不能通信，因为网络层（第3层）设备负责在多个广播域间通信。要在VLAN间提供路由选择必须具有3个条件：1）一个具有VLAN能力的交换机2）一个路由器或具有路由功能的交换机3）在交换机和路由器之间配置特定的连接方式

V2V3VLAN间路由发展过程:早期每个VLAN接到路由器的端口上，通过路由器进行转发。中期路由器支持Trunk链路后，采用Trunk和子接口的模式，实现单臂路由。后期交换机中整合了路由功能，可直接通过带路由功能的交换机进行VLAN间路由。1、三层及以上交换机VLAN间路由配置：步骤说明命令第一步进入各个VLANinterfacevlanvlan-id第二步配置各VLAN的IP地址及掩码ipaddressip-addresssubnet第三步激活各VLANnoshutdown第四步启动交换机的IP路由功能iprouting第五步查看路由配置showiproute2、单臂路由器进行VLAN间路由配置：园区网典型布署1）交换机基础性配置2）设置VTPDOMAIN、VTPMODE3）配置中继（中心、分支交换机上都设置）4）创建VLAN（在VTPServer上设置）5）将交换机端口划入VLAN6）配置VLAN间路由1、布署方案2、案例拓朴F0/23F0/24trunktrunk1楼2950-12楼2950-2大楼交换机3560F0/1-5F0/24F0/24F0/6-10F0/1-5F0/6-10Vlan10Vlan20Vlan10Vlan203、命名及VLAN和IP地址分配部门Vlan名VlanID网关地址网段地址财务部finance1054/24技术部techniqy2054/24大楼交换机1楼交换机2楼交换机命名SW_3560SW_2950_fl1SW_2950_fl2VTPdomainCiscoCiscociscoVTPmodeServerClientclient二、配置实现1）交换机基础性配置SW3560：switch#configtswitch(config)#hostnamesw_3560SW2950-1：switch#configtswitch(config)#hostnamesw_2950_fl1SW2950-2：switch#configt