第2章 交换机的配置与管理 2.1交换机的组成与启动 2.2交换机的管理方式与基本配置 2.3交换机VLAN划分 2.4VLAN间主机的通信 2.5交换机端口安全的配置交换机的组成与启动 交换机相当于一台特殊的计算机,也由硬件和软件两部分组成。硬件部分 主要包含CPU、存储器和端口;软件部分主要是操作系统。(1)CPU(2)存储器(3)端口1.交换机的组成(1)CPU 交换机的CPU与计算机的一样,负责数据运算和处理工作。不同型号和系列的交换机,CPU的处理能力不同,能够搭载的网络负载也不同 。(2)存储器 交换机包括多种存储器,每一种存储器负责不同的任务。不同厂家的交换机、存储器在名称上有所不同。以锐 捷交换机为例,锐捷交换机的存储器包括Flash、ROM和RAM三种。 1.交换机的组成(2)存储器 交换机包括多 种存储器,每一种存储器负责不同的任务。不同厂家的交换机、存储器在名称上有所不同。以锐捷交换机为例,锐捷交换机的存储器包括Flash 、ROM和RAM三种。FlashROMRAM1.交换机的组成1.交换机的组成(3)端口快速以太网端口高速以太网端口 控制端口 控制端口也叫CONSOLE口,是交换机或路由器专用的本地配置端口。不同品牌、不同类型的交换机CONSOLE口所处的位置 和端口的类型也有所不同,端口所处的位置有的位于前面板,有的则位于后面板,在该端口旁有“CONSOLE”的标识。 1.交换机的组成( 1)硬件自检 在这一步,交换机中的引导程序会自动检测交换机的所有硬件和端口,是否正常主要通过交换机上的指示灯进行 显示。锐捷交换机S2126G正面有多种状态指示灯(如图2-6所示),主要分为两类,一类为端口状态指示灯,一类为系统状态指示灯。 ( 2)加载操作系统(3)加载配置2.交换机的启动 课堂练习1.交换机由哪几部分组成?2.要使交换机可以通过Telnet登录,需要哪些 配置?作业1.超级终端如何配置?2.简述交换机的启动过程。 反思1.集线器工作在OSI参考模型的 物理层,形成一个冲突域,是共享式以太网的典型设备。2.交换机工作在OSI参考模型的数据链路层,分割冲突域,不分割广播域,是交换式以 太网的典型设备。交换机的管理方式 与基本配置作为一种可管理设备,如果不对交换机进行任何配置(只有出厂配置) ,那么交换机的使用方法与集线器类似。1.交换机的管理方式 通过对网络设备进行配置,可以完成更多复杂的功能,满足复杂网络配 置和管理的需要。网络设备的功能配置有本地配置方式、远程配置方式、通过Http协议使用Web页面配置方式、通过SNMP网管工作站进行 远程配置方式等,目前常用的主要是通过CONSOLE口进行本地配置的方式和通过Telnet进行远程配置的方式。 1.交换机的管理方式 (1)通过CONSOLE口进行本地配置 新购买的交换机一般不内置IP地址、域名或设备名称,因此必须通过本地配置方式设置完 成后,才能通过其它的配置方式(Web方式、Telnet方式等)配置管理交换机或路由器,因此通过CONSOLE端口连接并配置交换机是 最常用、最基本,也是网络管理员必须掌握的管理和配置方式。1.交换机的管理方式CONSOLE口配置步骤 本地配置方式首先要 通过控制线将交换机的CONSOLE端口和PC机连接在一起,然后在Windows系统中打开“开始菜单→程序→附件→通讯→超级终端”, 按照以下几步进行超级终端的配置。 第一步,选择正确的位置信息 第二步,描述连接 第三步,选择连接端口 第四步,配置串口属性 1.交 换机的管理方式(2)通过Telnet进行远程配置 在首次通过CONSOLE端口完成对交换机的配置,并设置了交换机的管 理IP地址和Telnet登录密码以后,就可以通过Telnet会话远程登录并配置交换机了。2.交换机的常用命令模式 交换机一般包括用户模式和特权模式两个命令执行级别。交换机常用的配置模式有五种。(1)用户模式(User EXEC模式)(2)特权 模式(Privileged EXEC模式)(3)全局配置模式(4)接口配置模式(5)VLAN配置模式2.交换机的常用命令模式 (1 )用户模式(User EXEC模式) 当用户和交换机管理界面建立一个新的会话连接时,用户首先处于用户模式,可使用用 户模式的命令。在用户模式下,只可以使用少量命令,并且命令的功能也受到一些限制。用户模式命令的操作结果不会被保存。 用户模式的命 令状态行为:Switch>2.交换机的常用命令模式 (2)特权模式(Privileged EXEC模式) 要使用所 有的命令,必须进入特权模式。进入特权模式的过程为:Switch>enable!进入特权模式password:!输入密码Switch #!特权模式 2.交换机的常用命令模式(3)全局配置模式从特权模式进入全局配置模式的过程为:switch#conf igure terminal!进入全局配置模式switch(config)#!全局配置模式2.交换机的常用命令模式 (4)接口配置 模式 在该模式下,可对选定的接口(端口)进行配置,并且只能执行配置交换机端口的命令。例如:switch(confi g)#interface fastethernet 0/1!进入快速以太网端口0/1的配置模式switch(config-if)# speed 100!端口速度100M2.交换机的常用命令模式(5)VLAN配置模式在该模式下,可以对VLAN的相关参数进行配置。例 如:switch#switch#configure terminalswitch(config)#vlan 2!创建VLAN2并进 入VLAN配置模式switch(config-vlan)#name student!将VLAN2命名为student3.交换机的基 本配置(1)设置交换机的主机名switch(config)#hostname student-1(2)设置交换机的各级密码swit ch(config)# enable secret level 1 0 123456 !配置交换机的Telnet登录密码为1234 56switch(config)# enable secret level 15 0 123456!配置交换机的特权密码12345 63.交换机的基本配置(3)配置交换机允许Telnet登录switch(config)# enable secret level 1 0 345678switch(config)# enable secret level 15 0 345678!第一步,配置交 换机的Telnet密码和特权模式密码switch(config)# Enable services telnet-server!第 二步,在交换机上开启Telnet Server服务switch(config)# interface vlan 1 (进入接口模式 )switch(config-if)# ip address 192.168.0.1 255.255.255.0 (配置交换机的 管理IP地址)switch(config-if)#no shutdown!第三步,配置交换机的管理IPswitch(config- if)# end switch#3.交换机的基本配置(4)交换机端口基本配置选择交换机的端口 Switch(config)# Interface fastethernet 0/1设置端口速度 switch(config-if)#speed 100设置 端口的单双工模式 switch(config-if)#duplex full启用或禁用端口 switch(conf ig-if)#no shutdown switch(config-if)#shutdown(5)配置交换机的默认网关swit ch(config)#ip default-gateway 192.168.1.1(6)三层交换机端口的配置switch(conf ig)#interface fastethernet 0/1switch(config-if)#no switchport!启用三 层端口switch(config-if)#ip address 192.168.1.1 255.255.255.0!为端口配置IP 地址switch(config-if)#no ip address 192.168.1.1 255.255.255.0!删除端口的 IP地址switch(config-if)#switchport!将端口切换为二层端口3.交换机的基本配置(7)保存配置Switc h#copy running-config startup-config Switch#write memorySwitch#wr ite 3.交换机的基本配置3.交换机的基本配置(8)查看交换机的配置Switch#show running-configSwit ch# show startup-configSwitch#show version Switch3#show int erface fastethernet 0/6 Switch#show mac-address-table Swi tch#show vlan 课堂练习1.分辨交换机的基本配置模式。Switch>Switch#Switch(conf ig-if)#Switch(config)#2.配置交换机使交换机允许Telnet登录的步骤有哪些?作业1.练习交换机的基本配置命 令。 反思1.交换机出场后的初次配置必须通过CONSOLE口进行本地配置。2.一旦交换机配置好管 理IP和Telnet密码以后,管理员就可以通过网络对交换机进行远程管理和配置了。交换机VLAN的划分1.VLAN简介VLAN(Vi rtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而 实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,限制广播范围,并能够形成虚拟工作组 ,动态管理网络。 既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要路由完成 的。2.VLAN的划分方法 从属性上说,VLAN主要分为两种,一种是静态VLAN,一种是动态VLAN。静态VLAN的划 分方法主要是根据交换机的端口来划分,动态VLAN的划分方法有很多种,常用的主要是根据MAC地址划分VLAN和根据网络层划分VLAN 。(1)基于端口的VLAN划分 (2)基于MAC地址的VLAN划分 (3)基于IP地址的VLAN划分 3.VLAN的创建与基于端口 的VLAN划分Switch#configSwitch(config)#vlan 2Switch(config-vlan)#name student!创建VLAN并命名Switch(config)#interface fastethernet 0/5Switch (config-if)#switchport mode accessSwitch(config-if)#switchport ac cess vlan 2!将端口划分至VLAN4.VLAN的Trunk连接4.VLAN的Trunk连接4.VLAN的Trunk连接T runk链路的配置Switch1(config)#int f 0/1Switch1(config-if)#switchport m ode trunkSwitch2(config)#int f 0/1Switch2(config-if)#switchport m ode trunk4.VLAN的Trunk连接 课堂练习1.什么是虚拟局域网?2.VLAN的划分方法主要有哪些?作业1.虚拟局域网 的作用是什么?2.使用Trunk链路有什么优点? 反思1.虚拟局域网是在数据链路层实现广播隔离的 方法。虚拟局域网中终端的位置与物理位置无关。2.交换机划分了虚拟局域网后,必须通过专用链路进行通信,一般采用Trunk链路。VLA N间主机的通信 因为不同VLAN属于不同广播域,如果不同VLAN间的主机进行通信,就必须为VLAN指定路径,即路由。三 层交换机的路由模块可以自动为直连的不同广播域生成直连路由,因此可以实现VLAN间的通信。 使用三层交换机实现VLAN主 机间通信,需要在三层交换机上为每一个VLAN创建一个虚拟子接口,并设置子接口的IP地址。这样就可以实现虚拟子接口之间的路由,从而实 现VLAN间的通信。各VLAN对应的子接口的IP地址就成为该VLAN成员与其他子网通信的默认网关地址。配制方法:创建虚拟子接口的命 令如下:Switch(config)#interface vlan 20 Switch(config-if)#ip address 192.168.20.1 255.255.255.0Switch(config-if)#no shutdown 设置好虚拟子接口 以后,三层交换机的路由模块就会自动在路由表中添加相应的路由。 课堂练习1.不同VLAN中的主机进行通信时需要使用什么设备?作业1. 简述怎样用三层交换机实现不同虚拟局域网之间的通信。 反思1.不同虚拟局域网中的主机要进行通信,必 须在网络中增加路由设备。交换机端口安全的配置端口安全功能是通过对MAC地址表的配置,实现在某一端口只允许一台或几台确定的设备访问此 台交换机端口。利用端口安全这个特性,可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。 为了增强安全性,既可以将MAC地址和IP地址绑定起来作为安全地址,也可以只指定MAC地址而不绑定IP地址。1.端口安全概述 首先,配置端口安全时有如下一些限制:一个安全端口不能是一个aggregate port。一个安全端口不能是SPAN的目的端口。一个 安全端口只能是一个access port。2.端口安全的配置方法(1)启用和禁用端口安全功能Switch(config-if)#s witchport port-security!启用端口安全功能Switch(config-if)#no switchport p ort-security!禁用端口安全功能(2)设置接口上安全地址的最大个数Switch(config-if)#switchpor t port-security maximum 10!端口安全地址的最大个数为102.端口安全的配置方法(3)设置处理违例的方式Switch(config-if)#switchport port-security violation [protect|restrict|shutdown](4)手工配置接口上的安全地址例如:Switch(config-if)#switchport port-security 0F-A3-16-FE-BC-D4 192.168.1.1(5)查看端口安全配置结果Switch#show port-security2.端口安全的配置方法课堂练习1.举例说明为什么要设置端口安全?作业1.当非法主机访问交换机的端口时,交换机端口的处理方法有哪些? 反思1.配置交换机的端口安全是通过配置交换机的物理地址表实现的。2.没有其他安全策略时,将交换机端口的安全地址数量设置为1并手动绑定惟一的物理地址,端口的安全性最好。 |
|