Download presentation
Presentation is loading. Please wait.
Published by晁 艾 Modified 7年之前
1
第5章 交换机的选择和安装配置 教学目的: 在掌握交换机的基本原理和基本功能基础上,进一步学习交换机的分类、性能指标、选择,交换机的配置, 端口技术,VLAN技术,STP技术,交换机的管理等应用技术。
2
5.1交换机的选择 交换机的分类 交换机的技术指标 交换机的选择故障分析和排除的综合方法
3
5.1.1交换机的分类 交换机包括电话交换机(PBX)、数据交换机(Switch),以下我们所提到的交换机都是指数据交换机。
交换机的分类方法有多种,从广义上来讲,交换机可以分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC工作站及服务器等。以下将要讨论的内容都是基于局域网交换机而言的。
4
1.按照ISO/OSI七层参考模型的分层结构来划分
二层交换机 三层交换机 四层交换机 七层交换机 2.按照网络设计的三层结构来划分 核心层交换机 汇聚层交换机 接入层交换机
5
3.按照外观和架构特点来划分 机箱式交换机 机架式交换机 桌面型交换机 七层交换机 4.按照传输速率不同来划分 按照交换机支持的最大传输速率的不同,局域网交换机可以分为以太网交换机、快速以太网交换机、千兆以太网交换机、万兆以太网交换机、FDDI交换机和令牌环交换机等多种
6
5.按照是否支持网络管理功能来划分 网管型交换机 非网管型交换机 6.按照交换机是否可以进行堆叠来划分 可堆叠交换机 不可堆叠层交换机 7.按照应用规模来划分 企业级交换机 部门级交换机 工作组交换机
7
5.1.2交换机的技术指标分析 不同档次的交换机,其技术指标不相同,下面列举出一些最常用的技术指标参数,以帮助我们加深对交换机产品的认识。
8
背板吞吐量 缓冲区大小 最大MAC地址表大小 支持端口镜像 支持的协议和标准 最大VLAN数量 支持的网管类型 管理界面 支持的包过滤方法
9
QoS 支持基于策略的第2层交换 每端口最大优先级队列数 支持基于策略的第3层交换 支持基于策略的应用级QoS 动态带宽分配 支持端口链路聚和协议 负载均衡
10
5.1.3交换机的选择 选择交换机之前,用户首先应详细了解网络基本状况,如网络的主要应用、网络节点数、网络节点分布情况等;然后决定需要的交换机种类、交换机数量、交换机的价格;其次,了解产品的品牌、质量认证、厂商研发能力与核心技术实力及售后服务情况,尽可能选择知名供应商的主流产品。第三,从交换机体系结构、背板带宽、交换能力、包转发能力、端口速率、端口数量等各个方面深入分析和综合比较,目前建议选择具备千兆端口或能够升级到更高速率的产品,以适应未来网络升级的需要。在交换机的端口数量上建议多选择24或48端口的交换机。第四,选择高可扩展性、高伸缩性的交换机产品,为网络提供日后的升级扩容能力。
11
交换机的选择注意事项较多,下面从交换机的几个主要性能指标上来进一步讨论交换机的选择。
交换结构 吞吐量(Mpps) 交换容量/背板带宽 转发方式 时延 MAC地址数 端口速率 端口密度
12
端口密度 堆叠能力 VLAN支持 QoS支持能力 管理功能
13
锐捷网络 STAR-S2126G
14
1)可堆叠智能安全交换机,提供百兆端口数量≥24个;提供百兆和千兆上联口扩展槽位≥2个;
2)背板带宽≥12.8Gbps;包转发率≥6.6Mpps;MAC地址数≥8K;静态MAC地址数≥1K;IEEE 802.1Q VLAN数量≥250个;支持GVRP、动态VLAN跳转、PVLAN;支持生成树协议STP、RSTP、MSTP,符合IEEE 802.1d、802.1w、802.1s、802.1x标准; 3)支持广播风暴抑制、支持链路聚合IEEE 802.3ad、支持DHCP Relay、支持DHCP Option82;支持用户的IP与用户MAC在交换机上动态绑定,支持基于端口的和基于整机两种形式; 4)可实现用户帐号、IP地址、MAC地址、VLAN ID、交换机IP、交换机端口多元素任意绑定,进行802.1x安全认证; )支持多种硬件ACL访问控制策略:可对报文中源目的MAC、源目的IP、TCP/UDP端口号、协议类型、VLAN ID、时间段进行灵活任意组合;支持Telnet、Console、Web (Java-Based)、SNMP v1/v2/v3、CLI、SSH、Syslog、SNTP。
16
1)IPv4/IPv6双协议栈三层交换机;提供千兆SFP接口插槽4个,百兆端口24个。
2)背板带宽≥37.6G;IPv4包转发率≥9.6M、IPv6包转发率≥9.6M;MAC地址表≥16K;VLAN≥4K; 3)支持GVRP、支持多对一的端口镜像、链路聚合、支持端口、MAC地址绑定;支持IEEE 802.1x、路由表4K; 4)支持RIP v1/v2、OSPF等主流路由协议;支持IGMP v1/v2/v3、PIM(SM、DM、SSM)、DVMRP、DHCP Relay、IEEE 802.1Q 、DNS Client、802.1p、DSCP优先级以及SP、WRR等QoS队列调度机制; 5)支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和ISATAP隧道等)、支持ICMPv6、IPv6动态路由协议OSPF v3; 6)支持模块热插拔、支持CPU带宽控制保护; 7)硬件支持标准IP ACL、扩展IP ACL、MAC扩展ACL、时间ACL等多种ACL策略; 8)基于ASIC或NP硬件支持IPv6;支持IPv6源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型、时间选型的硬件IPv6 ACL & QoS; 9)支持CLI(需兼容业界主流标准)、SNMP v1/v2/v3、Telnet、Console、RMON、Web管理、SSH。
17
S6806E-BASE核心路由交换机 1)背板带宽≥800G;交换容量≥600G;包转发率≥286Mpps;插槽数≥6个。
2)支持NP+ASIC结构;支持基于硬件的同步式数据处理技术;支持16个万兆端口,192个千兆端口;MAC地址表64K;IEEE 802.1Q VLAN 4K; 3)支持IGMP v1/v2/v3 Snooping;三层路由表256K;支持最长匹配与主机直接路由技术;支持RIP v1/v2、OSPF、BGP等主流路由协议; 4)支持策略路由技术;支持IGMP v1/v2/v3、支持PIM(SM、DM、SSM)、支持DVMRP;支持ARP Proxy、DHCP Relay、DNS Client;硬件支持IPv6,已通过IPv6Ready论坛认证测试,具有认证证书; 5)支持ECMP、WCMP路由技术;支持管理冗余、支持风扇冗余、支持模块热插拔; 6)支持多种硬件ACL访问控制策略:一条ACL命令中可对报文中源目的MAC、源目的IP、TCP/UDP端口号、协议类型、VLAN ID、时间段进行灵活任意组合; 7)支持防DOS攻击 (Smurf、Synflood)、防IP扫描 (PingSweep)、防源IP地址欺骗 (Source IP Spoofing);支持CLI(需兼容业界主流标准);支持Telnet、Console、Web、RMON、SSH、SNMP v1/v2/v3等管理方式、支持SNTP和Syslog。 8)支持管理引擎模块冗余管理及模块热插拔,支持通过管理引擎模块扩展背板带宽到1.6T。
18
模块配置 核心路由交换机模块 M6806E-CM :管理引擎模块(硬件版本V3.x,可以冗余,提供600G交换容量)
核心路由交换机模块 M6806E-12SFP/GT : 12口10/100/1000M电口/MINI-GBIC复用模块
19
S2150G 1)可堆叠智能安全交换机,提供百兆端口数量≥24个;提供百兆和千兆上联口扩展槽位≥2个;
2)背板带宽≥18Gbps;包转发率≥6.6Mpps;MAC地址数≥8K;静态MAC地址数≥1K;IEEE 802.1Q VLAN数量≥250个;支持GVRP、动态VLAN跳转、PVLAN;支持生成树协议STP、RSTP、MSTP,符合IEEE 802.1d、802.1w、802.1s、802.1x标准; 3)支持广播风暴抑制、支持链路聚合IEEE 802.3ad、支持DHCP Relay、支持DHCP Option82;支持用户的IP与用户MAC在交换机上动态绑定,支持基于端口的和基于整机两种形式; 4)可实现用户帐号、IP地址、MAC地址、VLAN ID、交换机IP、交换机端口多元素任意绑定,进行802.1x安全认证; )支持多种硬件ACL访问控制策略:可对报文中源目的MAC、源目的IP、TCP/UDP端口号、协议类型、VLAN ID、时间段进行灵活任意组合;支持Telnet、Console、Web (Java-Based)、SNMP v1/v2/v3、CLI、SSH、Syslog、SNTP。
20
将配置以下模块 交换机多模模块 锐捷Mini-GBIC-SX 1000BASE-SX mini GBIC转换模块,多模光纤模块 块 16
1,925 交换机单模模块 锐捷Mini-GBIC-LX 1000BASE-LX mini GBIC转换模块,单模光纤模块 3,815
21
5.2以太网交换机端口技术 以太网交换机的配置方式 以太网交换机端口基本配置常用命令 以太网交换机端口镜像配置 以太网交换机端口聚合配置
22
5.2.1以太网交换机的配置方式 DNS网管型交换机可以通过两种方法进行配置:一种是带外管理配置方式,另一种是带内管理配置方式。具体而言有串行口带外管理配置方式、Web带内管理配置方式、Telnet带内管理配置方式和网管软件带内管理方式,下面分别讲述: 1. 串行口带外管理配置方式 2. Web带内管理配置方式 3. Telnet带内管理配置方式 4.通过网管软件的带内管理方式 。
23
以太网交换机端口 基本配置常用命令 在以下讨论的是基于IOS操作系统的Cisco交换机的常用端口基本配置命令。如无特别说明,以下的配置语句中黑体字部分为配置命令,其它部分为提示或说明。 switch> 是交换机处于一般用户配置模式下的提示符 switch# 是交换机处于特权用户配置模式下的提示符 switch(config)# 是交换机处于全局配置模式下的提示符 switch(config-if)# 是交换机处于端口配置模式下的提示符 switch(config-if-range)# 是交换机处于组端口配置模式下的提示符
24
1.进入以太网端口配置模式 2. 打开与关闭以太网端口 3. 以太网交换机的端口描述 4. 以太网交换机端口的双工状态配置 5. 以太网交换机的端口速率配置 6. 端口流量控制 7. 设置以太网端口风暴抑制比 8.以太网交换机端口工作模式配置
25
以太网交换机 端口镜像配置 端口镜像是把交换机一个或多个端口(包括VLAN)的数据镜像到一个或多个端口的技术。 端口镜像通常用于监听网络流量,通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。 配置命令格式有两种: 一种是monitor session命令。 另外一种是在端口下的port monitor命令。
26
以太网交换机 端口聚合配置 通常端口聚合(port trunking)又称链路聚合,其实质是通过交换机软件配置方式,将两台交换机设备之间的几条物理链路组合在一起成为一条逻辑的数据链路,这条链路称为一条聚合链路。端口聚合后,数据流量可以同时由聚合逻辑链路中被绑定的所有物理链路共同承担,因此具有链路冗余的作用,当其中一条或多条链路断开时,剩下的链路将继续传输数据。链路聚合通过将设备的多个低带宽端口捆绑,使交换机与交换机之间、交换机与服务器之间形成一条点到点的高带宽链路。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。链路聚合技术的正式标准为IEEE 802.3ad。
27
Cisco交换机采用以太通道端口组(Etherchannel Group)技术把交换机多个以太端口聚合后当作一个逻辑交换端口来对待。除了DTP、CDP和PagP等协议只能在物理接口上运行外,大多数协议能够在单独或是聚合的接口上运行。 每个以太通道具有一个port-channel端口号。当绑定一个以太通道时,会产生一个逻辑port-channel端口,逻辑端口下的配置可影响与之绑定的物理端口,但物理端口下的配置不会影响逻辑端口的配置。 三层以太通道端口聚合的基本配置的实例 二层以太通道端口聚合的基本配置的实例
28
5.3虚拟局域网技术 VLAN(Virtual Local Area Network)即虚拟局域网,是一种将物理局域网逻辑划分成多个不同的网段从而实现虚拟工作组的技术。虚拟局域网是建立在交换式局域网基础之上的。VLAN可以有效地解决以太网的广播风暴和安全性问题。 VLAN将一个物理的局域网逻辑地划分成多个不同的广播域,每个广播域属于一个VLAN,由于是逻辑地划分,所以同一个VLAN内的各个工作站可以属于同一个物理网段,也可以属于不同的物理网段。一个VLAN内部的广播和单播流量在数据链路层是无法转发到其他VLAN中的,即使是两台计算机处于同一物理网段,但如果它们的VLAN号不同,则它们各自的广播流也不会相互转发, 所以,一个VLAN中的广播只有同一VLAN中的成员才能收到,其它VLAN中的成员是收不到的,这样可以有效地限制广播范围, 避免不必要的广播风暴产生。
29
VLAN技术在数据链路层隔离了各个不同VLAN之间的通信,如果要实现不同VLAN之间的相互通信,必须借助网络层的路由功能来完成。 所以,网络管理员通过对VLAN之间路由参数或访问控制列表的配置,就可以控制不同VLAN之间站点的相互通信,全面管理企业内部不同部门之间的信息互访,这样可以大大增强企业网络中不同部门之间数据通信的安全性。
30
VLAN具有以下几个优点: (1) 控制广播风暴 一个VLAN就是一个逻辑广播域,VLAN能够将广播风暴控制在一个VLAN内部,由于缩小了广播域,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。 (2) 提高网络整体安全性 通过路由访问控制列表和MAC地址分配等VLAN划分原则,可以控制用户访问的权限和逻辑网段的大小,将不同用户群划分在不同VLAN,限制VLAN中用户的数量,禁止未经许可而访问VLAN中的应用,从而提高交换式网络的整体性能和安全性。
31
(3) 简化网络管理 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,网络管理工作量将增加。采用VLAN技术后,可以根据部门职能、用户对象或者网络应用将处于不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。采用VLAN技术,可以大大减轻网络管理和维护的工作量,降低网络维护费用。
32
VLAN的划分 VLAN帧格式 VLAN之间的路由 VLAN的配置
33
5.3.1 VLAN的划分 VLAN的划分方式很重要,在设计与实现VLAN应用时,首先要决定如何划分VLAN,即依据什么标准来组织VLAN成员。下面介绍几种常用的划分方式,不同的划分方式代表了不同的VLAN实现类型。 1. 基于交换机端口来划分VLAN 2. 基于MAC地址划分VLAN 3. 基于网络层划分VLAN 4. 基于IP组播划分VLAN 5. 基于策略划分VLAN 6. 基于用户定义、非用户授权划分VLAN 7. Super VLAN的划分
34
5.3.2 VLAN帧格式 在IEEE802.1q协议标准定义了在同一条物理链路上承载多个子网的数据流的方法,它是一个有关Trunk封装方式的标准。 为了保证不同厂家生产的设备能够顺利互通,IEEE 802.1q标准严格规定了统一的VLAN帧格式以及其它重要参数。IEEE 802.1q 标签帧格式是在原有标准以太网帧格式基础上修订而成的,它在以太网数据帧的源MAC地址后面增加了4字节的Tag域,该域前2个字节是标签协议标识(TPID),后2个字节为标签控制信息(TCI)。
35
1. ① 前导码字段Pre(preamble):占7字节,每个字节的比特模式为“ ”,用于实现收发双方的时钟同步。其作用是使接收端能根据“1”、“0”交变的比特模式迅速实现物理层比特同步。 ② 帧起始定界符字段SFD(Start-of-Frame Delimiter):占1个字节,其比特模式为“ ”,用于指示一帧的开始。当接收方检测到连续两位“1”时,即检测到SFD最末两位时,便将后续的数据递交给MAC子层。 ③ 目的地址字段DA(Destination Address):占2个或6个字节,用于标识接收站点的地址,它分为:单播地址、组播地址和广播地址。 表示单播地址时,DA字段最高位为“0”; 表示组播地址时,DA字段最高位为“1”,其余位不全为“1”,该地址指定网络上给定的多个站点; 表示广播地址时,DA字段全“1”,该地址指定网络上所有的站点;
36
④ 源地址字段SA(Source Address):占2个或6个字节,其长度与目的地址字段的长度相同,它用于标识发送站点的地址。
在6字节地址字段中,可以利用其48位中的次高位来区分是局部地址还是全局地址。局部地址是由网络管理员分配,只在本网中有效;全局地址由IEEE统一分配,采用全局地址的网卡出厂时被赋予惟一的IEEE地址,使用这种网卡的站点也就具有了全球独一无二的物理地址。 ⑤ 标记协议标识TPID(Tag Protocol Identifier):占2字节,该字段固定的值为16进制0x8100,表示这是一个添加了802.1q标签的帧。 ⑥ 标签控制信息TCI(Tag Control Information):占2字节,它包括3比特的用户优先级UP(User Priority)、1比特的规范格式指示器CFI(Canonical Format Indicator)和 12比特的VLAN ID。 IEEE 802.1q协议标准中没有定义和使用优先级字段,而 IEEE 802.1P 中则定义了该字段。
37
⑦ 长度字段LEN(Length/Type):占2个字节,其值表示数据字段的字节数长度。如果是采用可选格式组成帧结构时,该字段既表示包含在帧数据字段中的数据长度,也表示帧类型ID。
⑧ 数据字段(Data):其内容即为LLC子层递交的LLC帧序列,其长度为0~1500个字节。 ⑨ 填充字段PAD:占0-46个字节。它的存在是为了维持一个最短帧长度64字节,以检测出冲突的无效帧。对于MAC层使用CSMA/CD协议的10Mbps基带以太网, MAC帧长为64~1518字节。当数据字段长度为0时,填充字段长是46个字节。 ⑩ 帧校验序列字段FCS(Frame Check Sequence):占4字节,该序列包含32位的循环冗余校验码(CRC)值,其校验范围不包括前导码字段P及帧起始定界符字段SFD。由发送方生成,接收方根据此值重新计算可判断并校验被破坏的帧
38
⑦ 长度字段LEN(Length/Type):占2个字节,其值表示数据字段的字节数长度。如果是采用可选格式组成帧结构时,该字段既表示包含在帧数据字段中的数据长度,也表示帧类型ID。
⑧ 数据字段(Data):其内容即为LLC子层递交的LLC帧序列,其长度为0~1500个字节。 ⑨ 填充字段PAD:占0-46个字节。它的存在是为了维持一个最短帧长度64字节,以检测出冲突的无效帧。对于MAC层使用CSMA/CD协议的10Mbps基带以太网, MAC帧长为64~1518字节。当数据字段长度为0时,填充字段长是46个字节。 ⑩ 帧校验序列字段FCS(Frame Check Sequence):占4字节,该序列包含32位的循环冗余校验码(CRC)值,其校验范围不包括前导码字段P及帧起始定界符字段SFD。由发送方生成,接收方根据此值重新计算可判断并校验被破坏的帧
39
5.3.3 VLAN之间的路由 以太网内的两台主机通信时,发送方在进行数据封装之前,要在数据帧头中指定目的主机的MAC地址。为获取目的主机的MAC地址,TCP/IP协议下使用ARP协议。ARP解析MAC地址的方法,则是通过广播。也就是说,如果广播报文无法到达目的主机,那么就无法解析到目的主机的MAC地址,亦即无法直接通信。 如果主机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同VLAN的计算机之间无法在数据链路层直接通信。如果要实现不同VLAN之间的相互通信,必须借助网络层的路由功能来完成。 路由功能,一般由路由器提供。现在常用带有路由功能的三层交换机来实现。 。
40
1. 使用路由器实现VLAN之间的路由 路由器与交换机端口之间的连接方式,大致有以下两种: (1) 将路由器与交换机上的每个VLAN分别连接 将交换机上用于和路由器互联的每个端口设为访问链接,然后分别用网线与路由器上的独立以太网端口互联。交换机上有n个VLAN,那么就需要在交换机上保留n个端口用于与路由器互联,路由器上同样也需要有n个端口,两者之间用n条网线分别连接。
41
(2) 路由器与交换机之间只用一条链路连接 使用这种方式进行VLAN间路由时,需要用到汇聚链接。 汇聚链接是指链路上能够转发多个不同VLAN的数据。汇聚链路上传输的数据帧中,都被附加了用于识别VLAN的特殊信息。 汇聚链接具体实现过程为:首先将用于连接路由器的交换机端口设为汇聚链接,而路由器上的端口也必须支持汇聚链接。双方用于汇聚链路的协议必须相同。在路由器上定义对应各个VLAN的“子接口”。尽管实际与交换机连接的物理端口只有一个,但在理论上我们可以把它分割成多个虚拟子端口。 VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器也必须拥有分别对应各个VLAN的虚拟接口。以后在交换机上新建VLAN时,网络管理员只需在路由器上新增设一个对应新VLAN的子接口即可。
42
2.使用三层交换机实现VLAN之间的路由 传统路由器要将收到的每一个数据包中的目的地址与路由表项对照来决定数据包的转发路径,与局域网速度相比,其处理速度要慢的多,当使用传统路由器进行VLAN之间路由时,随着VLAN之间数据流量的不断增加,路由器很可能成为整个网络的瓶颈。 三层交换机本质上是“带有路由功能的(二层)交换机”,既有三层路由的功能,又具有二层交换的速度。三层交换机利用网络层协议中的IP数据包的包头信息来对后续数据流进行标记,具有同一标记数据业务流的后续报文将在数据链路层直接交换,从而在源IP地址和目的IP地址之间形成了的一条数据链路层的通路。通过这条通路,三层交换机无须每次对接收到的数据包进行拆包来判断路由,而是将后续数据包直接进行二层转发。除了需要对收发方每次正式通信之前进行一次路由寻径外,大部分数据转发由二层交换来处理完成,这样将大大地提高数据包的转发效率
43
三层交换机通过使用硬件交换机构实现IP的路由功能,在一台三层交换机内,分别设置了交换机模块和路由器模块。与交换模块一样,内置路由模块也使用ASIC硬件处理路由,因此,与传统路由器相比,其路由速度大大提高。此外,路由与交换模块是汇聚链接的,由于是内部连接,其数据转发带宽相当宽。其优化的路由软件使得路由效率大为提高,解决了传统路由器软件路由的速度问题。因此,三层交换机具有“路由器的功能、交换机的性能”。 三层交换机内部数据的转发基本上与使用汇聚链路连接路由器与交换机时的情形相同。 当使用路由器连接各VLAN时,一般需要在路由器的LAN接口上设置对应各VLAN的子接口, 而三层交换机则是在内部生成用于各VLAN之间转发数据的VLAN接口(VLAN Interface)。
44
VLAN的配置 通常端口聚合(port trunking)又称链路聚合,其实质是通过交换机软件配置方式,将两台交换机设备之间的几条物理链路组合在一起成为一条逻辑的数据链路,这条链路称为一条聚合链路。端口聚合后,数据流量可以同时由聚合逻辑链路中被绑定的所有物理链路共同承担,因此具有链路冗余的作用,当其中一条或多条链路断开时,剩下的链路将继续传输数据。链路聚合通过将设备的多个低带宽端口捆绑,使交换机与交换机之间、交换机与服务器之间形成一条点到点的高带宽链路。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。链路聚合技术的正式标准为IEEE 802.3ad。
45
下面以案例方式来说明如何通过交换机的基本配置在一个千兆以太局域网中实现VLAN。
如图5-4所示,该局域网交换设备由1台起核心交换作用的三层交换机cisco 4006与6台起接入作用的二层交换机cisco 2950采用星型拓扑结构互连所组成。我们假设三层核心交换机的名称为:CENTER;二层接入交换机的名称分别为:SWITCH1、SWITCH2、SWITCH3、SWITCH4、SWITCH5、SWITCH6;这6台二层交换机的Giga0/1端口分别通过光纤与核心交换机的Giga3/1端口、Giga3/2端口、Giga3/3端口、Giga3/4端口、Giga3/5端口和Giga3/6端口相连;同时我们假设创建三个VLAN,各自的VLAN号分别为:2、3和4,每个VLAN的名称分别为TEACHER、STUDENT和MANAGING。
46
4006 2950
47
根据上述需求, 我们要做的几项基本工作是:
设置VTP DOMAIN(核心、接入交换机上都设置) 设置中继Trunk(核心、接入交换机上都设置) 创建VLAN(在CENTER上设置) 将交换机端口划入VLAN 配置三层交换
48
设置VTP DOMAIN VTP DOMAIN 称为管理域, 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的接入交换机与核心交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都能加入该管理域,这样管理域内所有交换机都能获得彼此的VLAN信息。
49
配置中继 配置中继是为了保证管理域能够将VLAN信息传递给所有的分支交换机。 Cisco交换机能够支持任何介质作为中继线,为了实现中继Cisco使用其独有的ISL标签。ISL(Inter-Switch Link)是一个在Cisco交换机之间、Cisco交换机与Cisco路由器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机相应端口配置ISL封装协议,即可实现跨越交换机进行整个网络的VLAN分配和配置。
50
创建VLAN 在建立了管理域的基础上,下一步我们开始创建VLAN。
由于我们在核心交换机设置了VTP Server模式,所以 VLAN的建立是在核心交换机上进行的,只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN,它就会通过VTP协议通知本管理域中的所有其它交换机。但如果要将具体的交换机端口划入某个VLAN,还必须在该端口所属的交换机上进行设置。
51
将交换机端口划入VLAN 假设要将SWITCH1、SWITCH2、SWITCH3、 SWITCH4、SWITCH5、SWITCH6各交换机的fa0/1-fa0/20端口划入TEACHER VLAN, fa0/21-fa0/40端口划入STUDENT VLAN,fa0/41-fa0/48端口划入MANAGING VLAN。 根据要求,我们采用的是基于端口划分VLAN的方法
52
配置三层交换 由于不同VLAN工作站之间要相互通信,需要通过三层路由交换来实现,所以需要给各VLAN分配IP地址。给VLAN分配IP地址有两种方法,一种方法是给VLAN所有的节点分配静态IP地址;另一种方法是给VLAN所有的节点分配动态IP地址。
53
PVLAN技术 随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,特别是对于目前日益增多的宽带接入业务,要求每户家用主机之间互相隔离,传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,在数据链路层可将各台主机相互隔离,可以防止恶意的网络攻击行为和以太网的数据探听。 然而,这种给每个客户分配一个VLAN和对应的一个IP子网的做法将受到扩展性方面的局限。
54
(1) VLAN数的限制: (2) 复杂的STP (3) IP地址的缺乏 (4) 路由的限制:每个子网都需要设置相应的默认网关。 为有效地解决上述问题,目前出现了一种新的VLAN机制,所有主机在同一个VLAN,即均在同一子网,但各主机之间不能相互通信,只能与自己的默认网关通信。这一新的VLAN就是私有虚拟局域网(Private Virtual Local Area Network,简称PVLAN),PVLAN实现了同一个广播域内2层的端口隔离,即同一VLAN中的用户相互之间不会受到影响。
55
PVLAN有三种类型:Isolated PVLAN、Community PVLAN和Primary VLAN。对于PVLAN,交换机的端口也有三种类型:Isolated port、Community port和 Promiscuous port,它们分别对应不同的VLAN类型。Isolated port属于Isolated PVLAN,Community port属于Community PVLAN,Promiscuous port属于Primary VLAN。Isolated PVLAN和Community PVLAN需要和Primary VLAN绑定在一起才能工作,因为Primary VLAN代表了一个整体的PVLAN。
56
在Isolated PVLAN中,Isolated port实现了2层端口的完全隔离,彼此不能交换数据,只能和Promiscuous port通信,所有从Isolated port发来的数据流量均被转发到Promiscuous port。 在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换数据。 Promiscuous port 与路由器或第3层交换机接口相连,它可以将收到的数据发往一个PVLAN内的Isolated port和Community port
57
5.4交换机生成树协议技术 生成树协议STP 快速生成树协议RSTP STP配置
58
5.4.1生成树协议STP 在交换机等设备之间存在多条链路时, 如果不采取适当的措施, 网络中将产生环路,交换机将周而复始地转发数据帧,将会出现广播风暴、MAC地址表不稳定等问题。为解决此问题, IEEE 802.1d定义了生成树协议(Spanning Tree Protocol,STP)。 STP协议中定义了根桥(Root Bridge)、根端口(Root Port)、指定端口(Designated Port)、路径开销(Path Cost)等概念,目的在于通过构造一棵自然树的方法达到裁剪冗余环路的目的,同时实现链路备份和路径的最优化。
59
为实现这些功能,交换机之间采用了被称作是桥协议数据单元BPDU(Bridge Protocol Data Unit)的信息交流单元来进行彼此之间的信息交流。STP的BPDU属于二层报文,目的MAC地址是多播地址01-80-C ,所有支持STP协议的交换机都会接收并处理收到的BPDU报文。该报文的数据区里携带了用于计算生成树的所有有用信息。
60
首先,STP协议根据BPDU中的信息来选择根桥。 根桥是所有交换机用来判断网络中是否存在环路的参考点。根桥会从其所有端口向外发送BPDU报文,如果一个非根桥交换机在多个端口上都能接收到由根桥发出的BPDU报文就说明它同根桥之间存在环路。这时非根桥交换机就会计算这些端口到根桥的路径开销,从中选择一个路径开销最小的端口并将其置于转发状态,然后阻断其他冗余端口。路径开销的计算主要根据端口带宽,带宽越大开销越小。一旦与处于转发状态的端口连接的链路失效或者上级交换机出现故障,在其转发端口上交换机就会失去根桥的BPDU信号,丢失BPDU信号20秒后,交换机就会将处于阻断状态且路径开销最小的端口打开并将其置于转发状态。
61
交换机强迫端口从阻断状态转变到转发状态之前要经历两种状态,第一个状态是倾听状态(15秒), 交换机用这段时间来判断根桥是否还有其他路径,并确定打开某个端口后不会在网络中造成环路;第二个状态是学习状态(15秒),交换机在学习状态过程中了解各端口MAC地址信息,然后将其记录到交换机的MAC地址表中。端口状态从阻断状态转变到转发状态的时间叫做收敛时间,在这段时间内用户数据将无法正常传递。 生成树经过一段时间(默认值是30秒左右)稳定之后,所有端口不是进入转发状态,就是进入阻塞状态。 STP BPDU仍然会定时从各个网桥的指定端口发出,以维护链路的状态。如果网络拓扑发生变化,生成树就会重新计算,端口状态也会随之改变。
62
5.4.2快速生成树协议RSTP IEEE 802.1w定义的 RSTP合并了Cisco公司为IEEE 802.1d增加的许多生成树扩展协议,如Portfast、Uplinkfast和Backbonefast等。RSTP协议采用了一种有效的网桥到网桥握手机制。 RSTP的拓扑结构利用生成树“呼唤”作为保持本地连接的方式,这就使IEEE 802.1d的Forward_Delay和Max_Age定时器主要用于备份,以维持协议的正常运行。
63
RSTP的目标是尽快地将根端口和指定端口转变为转发状态,而将替代端口和备份端口转变为阻塞状态。为防止生成转发环路,RSTP利用网桥之间的握手来确保通过网络分配的端口任务能够保持一致。由于这种握手不依赖于定时器,因此可以迅速地传送到网络边缘,并且随着拓扑结构的改变而迅速恢复连接。RSTP协议仅适用于点到点的连接中,如果是共享媒体,802.1w模式将还原到802.1d模式。
64
RSTP协议为根端口和指定端口设置了快速切换用的替换端口和备份端口。 替代端口的作用是为当前根端口所提供的根桥提供替代路径。备份端口的作用是指定端口向生成树树叶提供路径备份。当根端口/指定端口失效的情况下,RSTP自动判断端口状态处于转发状态或阻塞状态,替换端口/备份端口会无时延地进入转发状态。 端口状态可控制转发和学习过程的运作。RSTP定义了三种状态:丢弃(discarding)、学习(learning)和转发(forwarding)。网络运行稳定时,根端口和指定端口处于转发状态,而替代端口及备份端口则处于丢弃状态。
65
5.4.3 STP配置 Cisco交换机的STP基本配置步骤如下: 1. 在全局配置模式下,启用STP或禁用STP。
spaning-tree [vlan vlan_id] 禁用STP no spaning-tree [vlan vlan_id] 2. 在全局配置模式下,设置根网桥交换机。 spanning-tree vlan vlan_id root { primary | secondary } [diameter net-diameter [hello-time hello-time]] 3. 在全局配置模式下,设置网桥优先级。 spanning-tree vlan vlan_id priority priority 4. 在接口配置模式下,设置端口优先级。 spanning-tree port-priority port-priority
66
5. 在接口配置模式下,设置避免其它交换机成为STP根网桥。
spanning-tree rootguard spanning-tree guard {root | none | loop } 前者适用于Catalyst 2900XL和Catalyst 3500XL系列交换机 6. 显示STP的信息 show spanning-tree vlan vlan_id show spanning-tree interface mod/num 7. STP收敛调优 (1) 设置时间错位功能 set spantree bpdu-skewing { enable | disable } (2) 在接口配置模式下,进行PortFast设置 spanning-tree portfast spanning-tree bpduguard enable (3) 在全局配置模式下,进行UplinkFast设置 spanning-tree uplinkfast [max-update-rate pkts-per-second]
67
8. 遍历生成树的拓朴 (1) 选择一台交换机作为起点,执行show spanning-tree 可找到根网桥的MAC、优先级别、当前交换机的根端口。 (3) 沿着根端口向根网桥寻找,执行 show cdp nei detail命令。 重复以上步骤,直到找到根为止(根网桥的MAC和优先级别与当前交换机的Bridge MAC 和优先级相同)。 9. 自顶而下显示活动的拓朴图 (1) 在根网桥上:show cdp neighbor detail 显示BID、根端口和指定端口(标为Forwarding的端口),以及它们的代价。 (2) show spanning-tree brief 显示处于封锁状态的端口 (3) show spanning-tree vlan vlan | including BLOCKING 换到邻接的交换机,重复以上步骤
68
5.5 交换机集中管理技术 交换机级联 交换机堆叠 交换机集群 HGMP
69
5.5.1交换机级联 级联是两台或两台以上交换机通过一定的方式相互连接。多台交换机可以形成总线型、树型或星型的级联结构。
通常交换机之间的级联是通过普通端口进行的,有些交换机则提供了专门的级联端口(Uplink Port)。这两种端口的区别在于普通端口符合MDI标准,而级联端口(或称上行口)符合MDIX标准。当两台交换机都通过普通端口级联时,端口间连接电缆采用直通双绞线。当一台交换机通过普通端口与另一台交换机级联端口级联时,端口间连接电缆采用交叉双绞线。 为方便级联,现在许多交换机的全部或部分端口具有MDI/MDIX自适应功能,从而可以自动区别双绞线接线类型。理论上不同厂商、不同型号的以太网交换机均可进行级联,但在某些应用环境下两台交换机也有级联失败的情况。
70
5.5.2交换机堆叠 所谓堆叠是指将多台交换机有机组合起来,提供尽可能多的端口。具有堆叠端口的多台交换机在进行堆叠之后,其作用相当于一台大型模块化交换机。一般情况下,堆叠后的交换机中有一台可管理交换机,管理员只需要利用可管理交换机就可对所有可堆叠式交换机中的其他独交换机成员进行管理了,交换机堆叠后可以当作一个单元设备来进行管理。
71
堆叠可以看作是级联的一种特殊形式。两者的不同之处在于:级联的交换机之间可以相距很远(在传输介质允许范围之内),而一个堆叠单元内的多台交换机之间的距离很近(几米范围之内) ;级联一般采用普通端口,而堆叠一般采用专用的堆叠模块和堆叠电缆。一般来说,不同厂家、不同型号的交换机可以互相级联,堆叠则不同,它必须在可堆叠的同类型交换机(至少应该是同一厂家的交换机)之间进行;级联是交换机之间的简单连接,堆叠则是将整个堆叠单元作为一台交换机来管理,堆叠后交换机的端口密度将增加,系统带宽也将加宽。采用专用堆叠模块和堆叠总线进行堆叠,不占用网络端口。多台交换机堆叠后,足够的系统带宽能够保证堆叠后交换机的每个端口仍能达到线速交换,多台交换机堆叠后,VLAN等功能不受影响。
72
堆叠的优点在于: 提供简化的本地管理, 多台交换机作为一个对象来管理, 提供统一的管理模式, 大大提高交换机端口密度和性能, 所有堆叠交换机处于同一层次。
堆叠的缺点: 堆叠交换机的距离较近, 不可分布式布置, 一般堆叠局限于一个机柜之内。 目前流行的堆叠模式主要有菊花链模式和星型模式两种。 1.菊花链模式 1)单链单向菊花链式堆叠 2)单链双向菊花链式堆叠 3)双链菊花链式堆叠 2.星型堆叠模式
73
星型堆叠技术是一种高级堆叠技术,对交换机而言,需要提供一个独立的或者集成的高速核心矩阵,称为堆叠中心,所有堆叠交换机通过专用高速堆叠端口或通用高速端口直接上行连接到堆叠中心,堆叠中心通常是一个基于专用ASIC芯片,交换容量一般在10-32G之间的硬件交换单元。任何两个端节点之间的数据转发需要且只需要经过三次交换,转发效率与一级级连模式的边缘节点通信结构相同。使用高可靠、高性能的矩阵芯片是星型堆叠的关键。一般的堆叠电缆带宽都在2G-2.5G之间(双向),比通用GE略高。高出的部分通常只用于成员交换机管理,所以有效数据带宽基本与GE数据带宽类似。但由于涉及到专用总线技术,电缆长度一般不超过2m。
74
星型堆叠模式的优点在于:与菊花链式堆叠相比,它可以显著地提高堆叠成员之间数据的转发速率;一组交换机在网络管理中,可以作为单一的节点出现,从而提供统一的管理模式。
星型堆叠模式的不足之处在于:堆叠中心的成本较高且通用性差,不同厂商生产的堆叠中心或成员交换机的堆叠端口都不能用来连接其他厂商的网络设备;由于专用总线技术的限制,所有交换机之间的连接距离较近。
75
5.5.3交换机集群 集群,就是将多台通过级联或堆叠方式互相连接的多台交换机作为一台逻辑设备进行管理。集群中,一般只有一台起管理作用的交换机,称为命令交换机,它可以管理集群中的其他交换机。 在网络中,这些交换机只需要占用一个IP地址(该地址供命令交换机使用)。在命令交换机统一管理下,集群中多台交换机协同工作,大大降低管理强度。
76
目前,集群技术的应用有一定局限性,不同厂商的集群实现方案不尽相同。通常各厂商都是采用专有协议实现集群的。不同厂商的交换机通常可以级联,但不能集群。即使是同一厂商生产的交换机,也只有指定型号的某些交换机才能实现集群。
77
Cisco公司推出的交换机集群技术可以将分布在不同地理位置的多台交换机逻辑地组合起来进行统一的管理。Cisco集群管理套件(CMS)是一种基于Web的软件, 它已被嵌入到Catalyst T、2950等交换机中。通过Cisco交换机集群管理技术,网络管理员可以利用任何标准的Web浏览器,通过单一的IP地址从网络上的任何地方管理地理上分散的交换机。Cisco交换机集群技术不受堆叠模块、堆叠电缆或互联媒介的限制,CMS能够突破单个配线室的距离限制,扩展集群域。
78
交换机的级联、堆叠、集群这3种技术既有联系又有区别。级联和堆叠是实现集群的前提,集群是级联和堆叠的目的,级联和堆叠是基于硬件实现的,集群是基于软件实现的。
79
5.5.4 HGMP 华为公司自行研发的具有专利技术的HGMP集群管理协议(Huawei Group Management Protocol),可实现整个系统的统一管理、大大减少管理对象的数量,降低网络管理和数据配置的复杂性,实现交换机的动态发现、动态拓扑自动生成、离线配置、通过基于配置模板的批量配置工具,实现全网业务数据的快速配置、配置批量下发、自动加载等功能。 。
80
通过HGMP集群管理协议,可以使华为Quidway系列交换机通过通用级连模式构建的网络上实现集中的配置和管理,一个LAN可以加入成为一个组,对于网管系统,一个组可以表现为同一台设备,使用一个IP地址进行管理,相当于甚至优于从前堆叠组的管理效果。然而作为通用性的集中表现,组成员交换机在组内可以实现拓扑设计以及成员的分布式放置,而且堆叠端口可以任意选择交换机能够支持的通用端口或者使用端口的汇聚,这样用户可以灵活控制交换网络的堆叠带宽。
Similar presentations