第十章交换原理及Vlan上.ppt

资源描述

《第十章交换原理及Vlan上.ppt》由会员分享，可在线阅读，更多相关《第十章交换原理及Vlan上.ppt（65页珍藏版）》请在三一文库上搜索。

1、第十章交换原理及Vlan （上）,本章目标,学习目标： 1.掌握交换机的工作原理 2.掌握Vlan工作原理及配置学习重点： 1.Vlan工作原理及配置 2.Vlan中继协议 3.VTP协议配置 4.交换机工作原理,什么是以太网,以太网由施乐公司PARC研究中心于1973年5月22日首次提出，经过不断的发展和创新，已成为世界上最流行的局域网技术。以太网是一种典型的广播网络。,以太网是基于共享介质的广播式网络共享：共享带宽共享冲突广播：如果以太网想在网络中运行必须要解决上述三个问题交换机的出现解决了上述的三个问题,以太网与CSMA/CD,CSMA/CD（Carrier Sense M

2、ultiple Acess with Collision Detection）即载波监听多路访问冲突检测，它是广播式以太网共享传输介质的理论基础，用来解决冲突。 CSMA/CD规定一个想传输数据的节点必须执行以下步骤：监视信道直到其空闲；传输数据，并监视信道是否有冲突发生；如果检测到冲突发生，则停止传输并发出一个冲突信号到网络上，以便其它节点知道网络上有冲突，再等待一个随机的时间，然后回到第一步。这个随机时间依如下规则选定：如果数据包冲突了n次（n15,则放弃发送。,以太网络与802.3标准,IEEE 802.3标准规定了以太网的物理层和数据链路层。 IEEE 802.3规定的以太网物理

3、层： 10BASE-5 使用粗同轴电缆，最大传输距离为500m； 10BASE-2 使用细同轴电缆，最大传输距离为200m； 10BASE-T 使用非屏蔽双绞线，最大传输距离为100m； 10BASE-F 使用光缆，最大传输距离为2000m；,双绞线是以太网中最常用的线缆,两个标准：TCP/IP 模型里面的 eternet II OSI 模型里面的 802.3（MAC子层) 和 802.2(LLC子层),3种常用的802.3连接方式,1、10Base-5：总线型结构，使用粗缆和收发器连接主机。 2、10Base-2：总线型结构，使用细缆和无源BNC T型接头连接主机。 3、10Base-T：总

4、线型（或星型）结构，双绞线和集线器连接主机。,基于软件实现每个桥只能有一个生成树每个桥通常最多到16个端口,桥,基于硬件实现(ASIC) 每个交换机可以有多个生成树有更多的端口,交换机,桥与交换机的比较,透明桥接：只转发数据不修改数据交换机发送数据是透明的而路由器转发数据则不是透明因为至少TTL值是减少的,帧交换,直通转发Cut-through 交换机检测到目标地址后即转发帧,Frame,交换机一确定帧的目的MAC地址和正确的端口号，就立即将帧转发出去。通常情况下，大约在收到帧头14个字节左右就开始转发。这使得直通法比存储转发法具有更小且相对固定的延迟时间，但它连小于64字节的帧以

5、及一些坏帧也一块儿转发，可能浪费带宽。,追求数据传输的快速性但是会导致数据的不完整,帧交换,存贮转发Store and forward 完整地收到帧并检查无错后才转发,直通转发交换机检测到目标地址后即转发帧,Frame,Frame,Frame,Frame,交换机将帧向目的端口转发之前要先收到完整的帧并进行CRC校验、确定目的地址。交换机将整个帧存储在内存缓冲区中，直到它获得有效资源才将其发往目的地。好处是能够抛弃小于64字节的帧以及其他任何受损的帧，这样可以节约带宽。缺点是延迟较大且不固定，因为它在转发之前要收到并处理完整的帧。,将数据接受之后并存储起来，进行一次数据的检测若无错误则转发

6、，追求数据的完整性，但是会使延迟增加，不过随着交换机硬件的发展，我们不会感受到延迟的困扰,直通转发Cut-through 交换机检测到目标地址后即转发帧,Frame,片断转发 Fragment free (直通转发的修订版)Cat1900 的缺省模式 (modified cut-through) 交换机检测到帧的前64字节后即转发,Frame,存贮转发Store and forward 完整地收到帧并检查无错后才转发,Frame,Frame,Frame,帧交换,多层交换,第2层交换：本质上是多端口的透明桥接，但比传统桥接增加了存储转发外的两种转发交换方式。2层交换机比桥增加了VLAN功能，

7、同一交换机可以当作多个独立的桥使用，在分割冲突域的同时，分隔广播域。第3层交换：类似于路由，根据目的IP来转发帧，同时改变帧中的MAC地址，减少生存期TTL域，执行一次帧检测。但3层交换机使用ASIC来实现，传统路由器使用通用微处理器和软件来实现。Cisco实现了“路由一次，交换多次”的快捷交换方式。第4层交换：即交换机的ASIC硬件可以识别第4层的传输控制协议TCP和用户数据报协议UDP，并且使用不同的服务层次来区分应用。也就是说，可以一次完成基于MAC地址、IP地址和上层应用端口号在内的复杂路由与交换功能。,区别：交换依据不同二层 MAC 地址三层 IP 地址四层端口号,交换机

8、概述,交换机：是全双工，可收可发，能识别数据帧中的MAC地址信息，根据地址信息把数据交换到特定的接口。路由器转发数据通过路由表交换机转发数据通过 MAC地址表交换机工作原理：交换机是根据数据帧中的封装的目的MAC地址来作出转发数据的决定,交换机的MAC表,交换机的MAC表：是目的MAC和交换机接口的映射，交换机根据MAC表把数据发送到相应的接口 MAC表的建立： 1.初始时为空 2.学习过程（回忆产生路由表的过程）直连静态路由配置动态路由配置路由表的产生是需要人为干预的而MAC地址表是设备自动学到的很少需要人为干预 3.转发过程当路由器收到一个数据包，发现这个包

9、中的目的地址在本设备的路由表中不存在，则将数据包丢弃而交换机接到一个数据帧之后，若发现该帧中的目的MAC在本机的MAC表中不存在则会执行一次广播向交换机的所有接口进行 flood 泛洪,学习过程：,一台PC和一个交换机相连，当PC发送一个数据包到交换机时候与PC相连的交换机端口就会学习到PC的MAC地址并将该MAC 地址和它与PC相连端口的MAC地址进行一个映射,地址学习帧的转发/过滤环路防止 (通过STP),交换机的三个功能,交换机的地址学习,最初开机时MAC地址表是空的 Mac地址表条目默认老化时间是300秒，老化时间：交换机的端口与PC的MAC地址进行映射之后，若

10、该端口再从这台PC得到数据，那么将从MAC地址表中丢弃PC的MAC地址条目以下命令可改变老化时间: wg_sw_a(config)#mac-address-table aging-time ? Aging time value,MAC地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,交换机的地址学习,主机A发送数据帧给主机C 交换机通过学习数据帧的源MAC地址，记录下主机A的MAC地址对应端口E0 该数据帧转发到除端口E0以外的其它所有端口 (不清楚目标主机的单点传送用泛

11、洪方式),0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,MAC地址表,当C 发送一个数据帧给B 通过查看MAC地址表发现B的MAC地址在表中则设备会将帧向哪个端口转发主机D发送广播帧或多点帧广播帧或多点帧泛洪到除源端口外的所有端口,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,E0: 0260.8c01.1111,E2: 0

12、260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,广播帧和多点传送帧,MAC地址表,单点失效,两台PC连接到一个交换机上即可互相通信，若有internet 则可上网但是当交换机down 掉时候，我们的两台机器就不能通信了，所以在日常网络中我们必须要用两台或以上的设备，对网络进行备份冗余。这样就可以减少网络设备故障，对网络使用者的影响图示该种故障称为单点失效,环路的防止,1.运行STP协议防止环路 2.某些端口置于阻塞状态能防止冗余结构的网络拓扑产生环路,链路冗余结构拓扑出现问题。因为交换机是在一个广播域的环境中，若有一个

13、PC发送一个数据给SW1 则交换机要将该数据泛洪出去若没有STP协议阻止则会发生 1.广播风暴 2.带宽消耗严重 3.MAC地址表不稳定,SW1,SW2,广播,交换机 A,交换机 B,主机 X 发送一广播信息,广播风暴,网段 1,网段 2,服务器/主机 X,路由器 Y,广播帧目的MAC 为 FF,广播,广播风暴,交换机 A,交换机 B,主机 X 发送一广播信息,网段 1,网段 2,服务器/主机 X,路由器 Y,广播,交换机不停地发出广播信息,广播风暴,交换机 A,交换机 B,网段 1,网段 2,服务器/主机 X,路由器 Y,重复帧,单点帧,主机X发一单点帧给路由器Y 路由器Y的MAC地址

14、还没有被交换机A和B学习到,交换机 A,交换机 B,网段 1,网段 2,服务器/主机 X,路由器 Y,主机X发送一单点帧给路由器Y 路由器Y的MAC地址还没有被交换机A和B学习到路由器Y会收到同一帧的两个拷贝,重复帧,交换机 A,交换机 B,网段 1,网段 2,服务器/主机 X,路由器 Y,单点帧,单点帧,主机X发送一单点帧给路由器Y 路由器Y的MAC地址还没有被交换机A和B学习到交换机A和B都学习到主机X的MAC地址对应端口0,端口 0,端口1,端口0,端口1,MAC地址表不稳定,交换机 A,交换机 B,网段 1,网段 2,服务器/主机 X,路由器 Y,Unicast,主机X发送一单点帧

15、给路由器Y 路由器Y的MAC地址还没有被交换机A和B学习到交换机A和B都学习到主机X的MAC地址对应端口0 到路由器Y的数据帧在交换机A和B上会泛洪处理交换机A和B都错误学习到主机X的MAC地址对应端口 1,MAC地址表不稳定,单点帧,端口 0,端口1,端口0,端口1,交换机 A,交换机 B,网段 1,网段 2,服务器/主机 X,路由器 Y,冗余网络拓扑,冗余拓扑消除了由于单点故障所引致的网络不通问题冗余拓扑却带来了广播风暴、重复帧和MAC地址表不稳定的问题,网段 1,网段 2,服务器/主机 X,路由器 Y,网络越复杂，产生回路的机率就越大，设备就越容易DOWN掉,服务器/主机,工作站,

16、回路,回路,回路,多重回路问题,回路的解决办法: 生成树协议 Spanning-Tree Protocol,原理：将某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路,阻塞,x,三层回路靠路由协议解决二层回路靠STP协议来解决,为了防止环路，我们可以把另一台设备不接入网络而将它的配置跟对应的交换机的配置一致，当主设备DOWN，我们将主设备的连线都接入备份设备就可以但是这在大型的网络中是不可想象的，而且工作量是十分巨大的用STP协议可以解决这个问题，STP相当于创建了一个逻辑的单点失效，来防止环路当通信的链路DOWN 则自动切换到备份线路,生成树,该拓扑结构是一

17、个树形结构我们可以看到，这种结构的拓扑可以做到百分之百的没有环路,生成树,为了网络出现故障时不影响用户的使用，我们对拓扑进行如下修改我们看到树形的拓扑变成了类似网状此时这个拓扑就有明显的环路但是通过STP协议，就是把拓扑通过逻辑上的单点失效把网状拓扑变成树状,既然是树，那么就必须有切只有一个树根我们如何进行根的选择呢？,生成树STP,在运行生成树协议的时候首先要选择一个根每个网络设备之间进行协商最后形成一个根每个设备之间发送 BPDU 报文协商形成根 BPDU 里面包含两个字段包括 root ID brige ID Root ID 作为一个二层

18、的标识由优先级和 MAC 地址决定,优先级和MAC地址越小越优,最初协商时，每台设备都认为自己是根并发送BPDU 设备接收到BPDU 则会进行比对，最终选出一个根根的选举其实就是比较大小,协商出根之后其他设备停止发送BPDU 而根则源源不断发送BPDU,交换机 Y 缺省的优先级 32768 MAC 0c0022222222,交接机 X 缺省的优先级 32768 MAC 0c0011111111,BPDU,BPDU = Bridge protocol data unit (缺省地每2秒发送BPDU数据) 根桥 = 有最低桥识别码的桥（桥ID）桥识别码 = 桥优先级 + 桥MA

19、C地址例中，哪个交换机的桥识别码最低?,Root Bridge的选择,包括三个内容： root ID Brige ID Cost 值,路径代价,开销跟带宽有关带宽越大 cost 越小,生成树STP,根,4,4,2,1,2,到根最近的端口是根端口,RP,RP,RP,根端口在每一个非根桥上选举,每个物理网段上有且只有一个指定端口DP，指定端口到达根桥所花代价最低，指定端口用来转发上层发来BPDU,DP,DP,DP,DP,DP,除了 RP 和 DP 其他的端口全部阻塞掉,每个网络只能有一个根桥，根桥具有最低的桥ID，根桥上的所有端口都是指定端口每个非根桥有且只有一个根端口，根端口到达根桥

20、所花代价最低每个物理网段上有且只有一个指定端口，指定端口到达根桥所花代价最低，指定端口用来转发上层发来的BPDU,x,指派端口(F),根端口(F),指派端口(F),非指派端口(B),根桥,非根桥,SW X,SW Y,100baseT,10baseT,生成树运作,生成树会将每个端口的状态作以下变换:,生成树端口状态,不转发数据不转发BPDU 只接收BPDU,不转发数据和BPDU 学习MAC地址,正常状态,端口状态的迁移,要经历30秒的时间,收敛时间,链路1,根,4,4,2,1,2,RP,RP,RP,DP,DP,DP,DP,DP,链路1,当链路1因为故障 down 掉之后则生成树会重新进行收

21、敛如果链路1是物理down掉则生成树重新计算路径需要 30 秒如果链路1因为网络流量拥塞而 down 掉首先则会经历一个 20秒的等待时间 20秒设备无应答，则说明链路down 进而进行生成树端口状态的迁移所以总共需要 50秒的时间可收敛完毕,生成树重新生成,生成树重新生成,Switch Y 在最多20秒后会发现从 Switch X 来的 BPDU 信号消失，于是就重新计算 STP 。网络恢复后， Switch Y 将会是根桥，而且它的所有单口都会处于转发状态(Designated port)。,RSTP,根,4,4,2,1,2,RP,RP,RP,DP,DP,DP,DP,DP

22、,生成树虽然可以解决环路，但是是以牺牲时间为代价的，所以在现在的网络中基本已经不用 STP协议了取而代之的是 RSTP 快速生成树协议 RSTP 可以实现生成树的快速收敛而不用等待30秒,生成树实验,搭建类似拓扑，通过修改优先级人为控制 STP 的根 Spanning-tree vlan 1 priority 数值使用 show spanning-tree 查看生成树配置,生成树实验,将交换机的普通生成树改成快速生成树协议,变为快速生成树之后，down掉链路则会发现收敛时间大幅缩短没有经过30秒,生成树实验,当接入一台PC 接入PC对于整个拓扑来说明显不会形成环路，但是

23、交换机仍然要收敛30秒，这对于接入PC来说是不必要的。所以要想使PC连如网络，直接就进行数据收发状态，要给端口配置 portfast 特性,交换机的配置,改设备名字,Vlan1 是交换机的默认vlan 为vlan1配置IP地址有助于远程管理设备,交换机的配置,实验,交换机的端口默认情况下就是开启状态并不需要做任何的手工操作,初始情况下交换机的MAC 地址表是空的,实验,给PC配置了IP地址之后进行PING 则交换机学到了 PC的MAC地址,实验2 交换机的各种配置设置交换机接口的双工和速率,实验,为VLAN配置IP地址以远程配置,配置交换机的密码配置,Enable 加密密码,

24、配置telnet 密码,配置 console 密码,测试用拓扑,实验,搭建上述拓扑,主机互PING之后发现sw1 的 MAC地址表如下,结论：当一个端口对应多个MAC地址的时候则该接口连接的设备为交换机当一个端口对应一个MAC地址的时候该端口连接的是一个PC,思考,怎么确定交换机的某一个端口连接的是哪一台PC？,？,答案：IP-MAC-端口可确定 MAC地址与端口的对应关系是交换机的MAC表 IP 地址与MAC 地址的对应关系是 arp 表根据以上两张表我们就可得出结果,可见 192.168.1.3 对应 f0/2 接口,分段安全性没有三层设备的情况下不同的VLAN之间不

25、能通信，所以增加了安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),VLAN概述,Vlan的优点,1.隔离二层广播，优化网络性能 2.Vlan可以跨越交换机，简化布线方便管理 3.每个VLAN 是一个独立的子网 VLAN之间的通信需要通过三层设备，可以通过访问控制列表对VLAN之间的通信进行安全控制,Vlan的分类,静态Vlan：基于交换机接口动态Vlan：基于主机的MAC地址，不常用需要在交换机中建立一张VMPS表来标注哪些MAC属于哪个Vlan 效率低,例如公司网络部的成员要维护整个公司的网络，需要网络部门的人的主机无

26、论连接到公司交换机的哪个端口中都是处于管理VLAN中的，所以此时就要使用动态vlan,交换机 A,绿色 VLAN,黑色 VLAN,红色 VLAN,每个逻辑的VLAN就象一个独立的物理桥交换机上的每一个端口都可以分配给不同的VLAN 默认的情况下，所有的端口都属于VLAN1（Cisco）,VLAN运行,交换机A,交换机B,同一个VLAN可以跨越多个交换机,VLAN运行,绿色 VLAN,黑色 VLAN,红色 VLAN,绿色 VLAN,黑色 VLAN,红色 VLAN,创建VLAN,SwitchX# configure terminal SwitchX(config)# vlan 2 SwitchX

27、(config-vlan)# name switchlab99,方法一,在Vlan数据库模式下创建VLAN,方法二,vlanID,Vlan ID 介绍,浏览VLAN信息,SwitchX# show vlan id 2 VLAN Name Status Ports - - - - 2 switchlab99 active Fa0/2, Fa0/12 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 - - - - - - - - - - - 2 enet 100002 1500 - - - - - 0 0 .

28、 . . SwitchX#,SwitchX# show vlan brief | id vlan-id | name vlan-name,指定交换机端口到VLAN,SwitchX# configure terminal SwitchX(config)# interface range fastethernet 0/2 - 4 SwitchX(config-if)# switchport access vlan 2 SwitchX# show vlan VLAN Name Status Ports - - - - 1 default active Fa0/1 2 switchlab99 acti

29、ve Fa0/2, Fa0/3, Fa0/4,switchport access vlan vlan# | dynamic,SwitchX(config-if)#,查看VLAN成员,SwitchX# show vlan brief VLAN Name Status Ports - - - - 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4 3 vlan3 active 4 vlan4 active 1002 fddi-default act/unsup 1003 token-ring-default act/uns

30、up VLAN Name Status Ports - - - - 1004 fddinet-default act/unsup 1005 trnet-default act/unsup,SwitchX# show vlan brief,实验,默认情况下所有的端口都处于Vlan 1 中,创建查看VLAN,将vlan命名,不命名则系统自动起名,由此可见我们成功的创建了三个 vlan,将端口放入vlan,将一个端口放入VLAN,将连续的端口一次性放入Vlan 中,将不连续的端口放入vlan中,问题,1.不保存配置重启设备 vlan 的配置信息还存在吗？,答：存在因为vlan 的配置信息不是保存在 RAM 中而是保存在flash 中,所以想要完全删除vlan配置要清除 NVRAM中的配置文件还要删除 flash 中的vlan.dat,在 flash 中删除 vlan.dat,

展开阅读全文