《网络工程设计与项目实训》-03 交换网络设计

*第1页第3章交换网络设计*第2页学习目标理解：对等网络的设计与实现掌握：VLAN设计与实现理解：三层交换与三层交换机掌握：利用三层交换机实现VLAN间互连学习完本次课程，您应该能够：*第3页课程内容

小型办公网络设计VLAN的设计与实现三层交换与VLAN间的互连*第4页1小型办公网络设计学习内容小型办公网络及组网设备交换机的互连技术小型办公网络的设计与实现*第5页1.1小型办公网络及组网设备小型办公网络是指通过网络设备将一个或几个相邻的办公场所的计算机连接起来，以达到办公区域内部相互通信和资源共享目的的小型局域网络。小型办公网络中的电脑的IP地址都在同一个网段中，也即小型办公网络是一个单一网段的简单局域网。连网设备主要是集线器（Hub）或交换机。从性能上看，交换机会更好。由于当前交换机的普遍使用，现实中一般都是使用交换机。*第6页集线器与冲突域集线器是一个物理层的连网设备，集线器对帧没有识别能力，在接到数据信号后，对数据信号进行整形、放大后，以广播形式发送到除接收端口外的其他所有端口。集线器内部以总线形式构成，每一个具体时刻只能有一个端口发送数据，其他端口只能接收数据，所有用户共享端口带宽，所有端口在一个冲突域和一个广播域中。 冲突域是指一个网络范围，在这个范围内同一时间内只能有一个设备可以发送数据，如果二台以上设备同时发送数据，就会发生数据冲突，那么这个网络范围就称为一个冲突域。集线器的所有端口在一个冲突域中，由集线器构成的网络，所有的设备在一个冲突域中。*第7页以太网交换机与广播域二层以太网交换机是一个数据链路层的设备，二层以太网交换机是一个多端口的透明网桥，采用反向学习的方式建立起自已的MAC地址表，以太网交换机根据MAC地址表对帧进行转发。以太网交换机对帧有识别功能，能对网络中的流量起到过滤的作用。默认情况下，通过交换机连接的网络是一个广播域。交换机的每一个端口是一个单独的冲突域。*第8页集线器与交换机的区别工作层次：集线器工作在物理层，交换机工作在数据链路层；工作原理：集线器对帧没有识别能力，对所有接到的信号都做广播处理，用集线器连接的网络属于同一个冲突域；交换机对帧具有过滤功能，交换机的每一个端口是一个冲突域，默认情况下，用交换机连接的网络属于同一个广播域。*第9页1.2交换机互连技术多台交换机的互连方式主要有二种：级联（Uplink）堆叠（Stack）。*第10页交换机的级联指用双绞线或光纤电缆将二台或多台交换机连接起来，以达到扩展网络，增加交换机端口的目的。交换机级联可以通过普通RJ45端口、Uplink端口或光纤端口进行。*第11页交换机的堆叠是指多台交换机之间，通过专用的堆叠模块和堆叠线缆相互连接起来的连接方式。相互堆叠起来的多台交换机组成一个堆叠单元。交换机堆叠可以增加用户端口；交换机堆叠通过堆叠模块与堆垒线缆在交换机之间建立一条较宽的宽带链路，可以比交换机级联更好地在各交换机端口间进行数据传输。交换机堆叠可以将多台交换机作为一台大的交换机，进行统一管理。*第12页交换机的菊花链式堆叠*第13页级联与堆叠的区别实现的方式不同设备数目限制不同连接后性能不同连接后逻辑属性不同连接距离限制不同*第14页1.3小型办公网络的设计与实现项目背景A办公区域内的5台计算机需要通过交换机（或集线器）连接起来组成一个小型办公局域网络，其中1台计算机作为服务器使用，其余4台计算机作用客户机使用。共享资源放在服务器的D:\Share目录中。服务器上连接一台打印机，作为办公室共用的打印机。*第15页网络设计与部署网络拓扑设计*第16页网络设备的安装与配置将交换机安装到机柜中。由于这个办公室网络中的所有设备都在一个网段中，所以交换机不需要进行任何配置，只保持在默认配置状态下就可以。制作双绞线，将网络设备（交换机或集线器）与各计算机连接起来。规划IP地址PC0：192.168.1.1，子网掩码255.255.255.0PC1：192.168.1.2，子网掩码255.255.255.0PC2：192.168.1.3，子网掩码255.255.255.0PC3：192.168.1.4，子网掩码255.255.255.0服务器：192.168.1.250，子网掩码255.255.255.0*第17页计算机上的配置TCP/IP参数计算机之间的连通性测试在服务器上，将文件夹D:\Share设置为共享共享验证*第18页课程内容

小型办公网络的设计与实现VLAN的设计与配置三层交换与VLAN间的互连*第19页2VLAN的设计与配置主要内容VLAN及其工作机制单交换机VLAN的配置跨交换机多VLAN的配置*第20页2.1VLAN及其工作机制传统网络的问题交换机对广播帧的无条件转发造成网络问题为解决广播引发的问题，分割网络的方法路由器VLAN*第21页虚拟局域网（VirtualLocalAreaNetwork，VLAN）是在交换局域网的基础上，使用软件划分出来的与物理位置无关的逻辑网络；是一种通过将交换局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。一个VLAN就是一个逻辑工作组。一个VLAN是一个逻辑广播域*第22页VLAN具有以下特征VLAN与物理位置无关VLAN可以隔离广播VLAN之间的主机通信必须通过路由器或三层交换机VLAN可以提高网络安全性、简化网络管理，同时也使得网络的建设和扩展变得方便。*第23页VLAN的分类基于端口的VLAN基于MAC地址的VLAN基于IP地址的VLAN基于IP组播的VLAN*第24页跨交换机的VLAN与Trunk如果一个VLAN跨越多个交换机，如何实现不同交换机上，同一VLAN中设备的通信？*第25页简单的方法如下：缺点：用于连接的端口开销将会很大*第26页使用Trunk实现跨交换机同一VALN的通信Trunk链路可以为多个VLAN传送流量。Trunk链路两端的端口称为Trunk端口。*第27页IEEE802.1Q是国际标准，几乎所有的交换机都支持IEEE802.1Q规定在以太网的帧格式中的源MAC地址后插入4个字节的VLAN标签。*第28页IEEE802.1QVLAN标签格式TPID（标签协议标识符）16位，用于说明给此帧打标签的协议类型。

TCI（标签控制信息）16位，包括用户优先级（User

Priority）、规范格式指示器（Canonical

Format

Indicator）和

VLAN

ID等*第29页划分VLAN情况下，交换机的端口类型：访问端口（AccessPort）这种端口只能属于一个VLAN，并且是通过手工设置指定VLAN的，这个端口不能从另外VLAN接收信息，也不能向其他VLAN发送信息。在大多数情况下，访问端口连接的是客户机。主干端口（TrunkPort）默认情况下，主干端口属于本交换机所有VLAN，能够转发所有VLAN的帧。也可以通过设置许可VLAN列表（Allowed-VLANS）来加以限制。Trunk端口应当在相互连接的两台交换机上分别设置，否则Trunk将无法生效。*第30页2.2单交换机VLAN的配置单交换机VLAN的主要设置步骤在交换机上创建VLAN；将交换机的端口划归到指定的VLAN中。*第31页VLAN的基本配置创建或修改VLAN模式：全局配置模式命令格式：Switch(config)#vlanvlan-id

参数说明：vlan-id：是要创建或修改的VLANID号，范围为1—4094.*第32页定义VLAN的名称模式：VLAN配置模式命令格式：Switch(config-vlan)#namevlan-name参数说明：vlan-name：是要给此VLAN取的名字。*第33页删除一个VLAN模式：全局配置模式命令：Switch(config)#novlanvlan-id

参数说明：vlan-id：是要删除的VLAN的ID号。*第34页向VLAN中添加一个Access端口：模式：接口配置模式命令：Switch(config)#interfaceport-id

Switch(config-if)#switchportaccessvlanvlan-id参数说明：port-id：欲加入到VLAN中的端口号。vlan-id：端口欲加入的VLAN的ID。*第35页【例】定义一个ID为20的VLAN，将此VLAN命名为bangong，并把FastEthernet0/1和FastEthernet0/2指派给这个VLAN。Switch(config)#vlan20//创建编号为20的VLANSwitch(config-vlan)#namebangong//将这个VLAN命名为bangongSwitch(config-vlan)#exit//退回到全局配置模式Switch(config)#interfacef0/1//进入FastEthernet0/1的配置子模式Switch(config-if)#switchportaccessvlan20//将此端口以access方式加入Switch(config-if)#interfacef0/2Switch(config-if)#switchportaccessvlan20*第36页向VLAN中添加多个Access端口模式：接口配置模式命令：Switch(config)#interfacerangeport-id范围

Switch(config-if)#switchportaccessvlanvlan-id参数说明：port-id范围：欲加入到VLAN中的端口号范围。vlan-id：端口欲加入的VLAN的ID。*第37页【例】如果在上例中，要将FastEthernet0/1、FastEthernet0/2、FastEthernet0/6指派给这个VLAN20，可使用下面的命令来实现。Switch(config)#interfacerangerf0/1-2,f0/6Switch(config-if-range)#switchportaccessvlan20*第38页查看VLAN信息模式：特权模式命令：Switch#showvlan[vlan-id]参数说明：vlan-id：是要查看的VLAN的ID，此参数可选。如果没有此参数，将显示所有VLAN的信息。*第39页2.3跨交换机多VLAN的配置当网络中的交换机存在多个VLAN，要实现跨交换机相同VLAN之间的通信时，要将在交换机互连的端口配置成Trunk端口。跨交换机实现不同VLAN间的通信，则要借助于路由器或三层交换机，并进行相关设置。*第40页将端口配置成Trunk端口模式：接口配置模式命令：Switch(config)#interfaceport-id

Switch(config-if)#switchportmodetrunk参数说明：port-id：要配置成Trunk端口的端口ID。注意：在思科的一些交换机上配置Trunk口时，可能还需要使用命令指明标签协议。*第41页定义Trunk接口的许可VLAN列表模式：接口配置模式命令：switchporttrunkallowedvlan{all|[remove|except]}vlan-list【配置举例】将VLAN20从FastEthernet0/24的Trunk许可列表中删除。Switch(config)#interfacefastethernet0/24Switch(config-if)#switchporttrunkallowedvlanremove20Switch(config-if)#*第42页配置NativeVLAN模式：接口配置模式命令：switchporttrunknativevlanvlan-id

说明：将接口的NativeVLAN配置为vlan-id所指示的VLAN。

【配置举例】将VLAN20配置为NativeVLAN。

Switch(config-if)#switchporttrunknativevlan20

*第43页2.4综合案例某单位设有生产部与技术部，两个部门的计算机分散地连接在两台交换机SwitchA和SwitchB上，现要求分散在两台交换机上的同属一个部门的计算机可以相互通信，且不同部门的计算机之间隔离广播。*第44页方案设计由于生产部与技术部的PC分散连接在交换机SwitchA和AwitchB上，且要隔离两个部门PC间的广播。所以，设置二个VLAN，即VLAN10与VLAN20，分别对应于生产部与技术部。两个交换机之间建立Trunk连接以实现不同交换机上相同VLAN间的通信。网络拓扑图如下。*第45页具体的VLAN设计与IP规划如下表所示。交换机SwitchA与SwitchB的具体规划：VLAN10：fastethernet0/1-20VLAN20：fastethernet0/21-40Trunk：fastethernet0/48*第46页具体配置配置交换机SwitchA：创建VLAN10，将其命名为shengchan，将端口fastethernet0/1-20加入到VLAN10中。创建VLAN20，将其命名为jishu，将端口fastethernet0/21-40加入到VLAN20中。配置Trunk。将fastethernet0/48设置为Trunk口。配置交换机SwitchB。配置内容及命令与配置SwitchA相同。验证将各PC的IP地址与子网掩码按照规划的网段配置好。同属于VLAN10的A、B、E可以相互ping通；同属于VLAN20的C、D、F也可以相互ping通。但属于VLAN10的A、B、E与属于VLAN20的C、D、F之间是不通的。如果只让同属于VLAN10的A、B、E可以相互通信；禁止同属于VLAN20的C、D与F之间的通信，可以在Trunk端口配置VLAN许可列表。*第47页课程内容

小型办公网络的设计与实现VLAN的设计与实现三层交换与VLAN间的互连*第48页3三层交换与VLAN间的互连主要内容三层交换机与三层交换三层交换机与路由器的区别三层交换机的配置与VLAN间的互连*第49页3.1三层交换机与三层交换三层交换机三层交换机主要由两部分组成：支持VLAN划分的二层交换结构和路由模块，两者之间通过背板完成信息交换。二层交换结构就像普通以太网交换机一样，用目的MAC检索转发表，根据转发表给出的路由信息转发MAC帧。路由模块上运行路由协议，建立路由表，实现IP分组的转发；并且，路由模块还用IP分组的源、目的IP地址以及下一跳的源、目的MAC地址等信息构建三层转发表。利用三层转发表，三层交换机可以实现一次路由、多次转发，极大地加快了大型局域网内部的数据交换。*第50页二层转发与三层转发在三层交换机中的二个转发表：二层转发表、三层转发表。三层交换机收到数据帧后的处理流程：（1）如果帧中的目的MAC地址不是特殊MAC地址，对此帧进行二层交换操作，根据查询二层转发表的结果进行转发处理；（2）如果目的MAC地址是特殊MAC地址，进行三层转发操作，分离出帧的IP分组，查询三层转发表，根据检索到的信息，对帧重新封装后转发出去。（3）如果在三层转发表中没有找到与目的IP地址相匹配的三层转发项，则将该MAC帧转发给路由模块进行处理。*第51页3.2三层交换机与路由器的主要区别三层交换机与路由器的区别主要有：（1）数据转发的依据不同。三层交换机的三层交换主要是依据物理地址（即MAC地址）来确定转发数据的目的地址；路由器依据不同的IP地址来确定数据转发的地址。 （2）数据转发所需要时间不同。三层交换机的三层交换是通过查表完成，可由硬件完成，延时小，速率快。路由器的三层数据转发延时相对较长。 （3）三层交换机在路由选择协议种类的支持上，在数据过滤及信息安全方面的能力上，相对路由器较弱。另外，路由器一般还提供防火墙的服务，这是三层交换机一般不具备的。 （4）三层交换机适用于大型局域网，可以有效地减小广播风暴的危害，加强网络安全，并且快速实现VLAN间的互连。路由器可提供不同网络间的最佳路由，一般在局域网与公网互连实现跨地域的网络访问时，会使用专业的路由器。*第52页3.3三层交换机的配置与VLAN间的互连逻辑的交换机虚拟接口（SVI口）三层交换机收到数据帧后的处理流程：（1）如果帧中的目的MAC地址不是特殊MAC地址，对此帧进行二层交换操作，根据查询二层转发表的结果进行转发处理；（2）如果目的MAC地址是特殊MAC地址，进行三层转发操作，分离出帧的IP分组，查询三层转发表，根据检索到的信息，对帧重新封装后转发出去。（3）如果在三层转发表中没有找到与目的IP地址相匹配的三层转发项，则将该MAC帧转发给路由模块进行处理。*第53页逻辑的交换机虚拟接口（SVI口）三层交换机提供二种类型的三层接口：逻辑三层接口（交换机虚拟接口）、物理三层接口。逻辑三层接口，也即交换机虚拟接口（SwitchVirtualInterface，SVI），是指为交换机中的VLAN创建的虚拟三层接口，交换机虚拟接口SVI是联系二层VLAN的IP接口，一个交换机虚拟接口SVI对应一个VLAN，当需要路由虚拟局域网之间的流量，以及提供IP主机到交换机的连接的时候，就需要为相应的虚拟局域网配置相应的交换机虚拟接口，其实SVI就是指通常所说的VLAN接口，只不过它是虚拟的，用于连接整个VLAN，所以通常也把这种接口称为逻辑三层接口。*第54页创建SVI接口：其实就是给一个VLAN配置一个IP地址。模式：全局配置模式命令：

Switch(config)#interfacevlanvlan-id

Switch(config-if)#ipaddressIP-addressSubnet-MaskSwitch(config-if)#noshutdown说明：

interface命令用于指定一个VLAN，进入SVI接口配置模式。

ipaddress命令用于给这个VLAN设置IP地址和子网掩码，使它成为SVI接口。

noshutdown命令用于启动SVI接口。*第55页取消SVI只要将SVI的IP地址删除，即可取消SVI接口。

模式：全局配置模式命令：Switch(config)#interfacevlanvlan-id

Switch(config-if)#noipaddress说明：上面的命令将取消对vlan-id所指定的SVI接口。*第56页启动/关闭三层交换机上的路由功能模式：全局配置模式命令：Switch(config)#iprouting说明：启动三层交换机的路由功能，此功能默认情况下是打开的。如果要关闭三层交换机的路由功能可使用以下的命令。Switch(config)#noiprouting*第57页配置举例例1：VLAN20中包含了FastEthernet0/1和FastEthernet0/2两个接口，现为VLAN20配置一个SVI。Switch>enableSwitch#configureterminalSwitch(config)#interfacef0/1Switch(config-if)#switchportaccessvlan20Switch(config-if)#interfacef0/2Switch(config-if)#switchportaccessvlan20Switch(config-if)#interfacevlan20Switch(config-if)#ipaddress192.168.10.1255.255.255.0Switch(config-if)#endSwitch#*第58页例2：利用SVI来实现VLAN间的互连。网络拓扑结构如图3.3.1所示。*第59页现三层交换机上有二个VLAN：VLAN10和VLAN20。端口Fastethernet0/1-10属于VLAN10，分配给VLAN10的网段为192.168.1.0/24，PC0、PC1分别连接到交换机的Fastethernet0/1、Fastethernet0/2端口。端口Fastethernet0/11-20属于VLAN20，分配给VLAN20的网段为192.168.2.0/24。PC2、PC3分别连接到交换机的Fastethernet0/11、Fastethernet0/12端口。*第60页现要求实现VLAN10与VLAN20之间能够相互通信。具体配置如下：（1）在交换机上创建VLAN10和VLAN20，并将相应的端口划分到VLAN中。Switch(config)#vlan10Switch(config-vlan)#exitSwitch(config)#interfacerangefastethernet0/1-10Switch(config-