第7章 交换剖析.ppt

如果交换机的接口连接的是计算机，可以将这些端口设置为快速端口（PortFast），这就意味着，当STP正在收敛时，端口不会花费通常的50秒才进入转发状态。 打开第7章练习“02 确认和更改根网桥.pkt”，在SwitchC上，运行以下命令，将连接计算机的接口FastEthernet 0/1 – FastEthernet 2/1配置成快速端口。 Switch(config)#interface range fastEthernet 0/1 - fastEthernet 2/1 Switch(config-if-range)#spanning-tree portfast 如果将一个接口配置快速端口，运行以下命令。 Switch(config)#interface range fastEthernet 0/1 Switch(config-if)#spanning-tree portfast 上行链路快速（UplinkFast）是Cisco产品的特性，当链路失效时，它可用来改进STP的收敛时间。 如图所示，在接入层交换机启用UplinkFast，如果在SwitchE上启用了UplinkFast，当主链路正常连接时，就已经选好了备用链路，当主链路失效后，备用链路将更快的启用。 在SwitchE上启用UplinkFast。 Switch(config)#spanning-tree uplinkfast 这是一个全局配置命令， Packet Tracer软件模拟的交换机不支持以上命令。 在安全要求高的网络也许不愿意外单位的人随便将他的笔记本电脑接入你的公司的网络。想实现这种安全机制，就需要设置交换机的端口和计算机进行绑定，实现交换机端口安全。 前面讲过计算机的网卡有MAC，且全球唯一。设置交换机的端口和计算机进行绑定，你只需设置交换机的端口和计算机的MAC地址进行绑定即可。 打开第7章练习“03 交换机端口和计算机绑定.pkt”，如图所示的网络拓扑，计算机和DHCP服务器的IP地址已经配置完成。你需要设置交换机的端口和现在的计算机的MAC地址进行绑定。 详细操作步骤请参考课本 下面的图演示的是验证MAC地址违反规则后端口被自动禁用 更改PC1网卡MAC地址，将0001.63C6.E338更改为0001.63C6.E339，你会立即发现交换机上连接PC1的端口变红，说明该接口已经被禁用。 使用PC0 ping PC1的IP地址，不通。 在交换机的端口上还可以设置某个端口能够连接的计算机数量。 打开第7章练习“04 控制端口连接的计算机的数量.pkt”，网络拓扑如图所示，河北师大软件学院网络教研室通过交换机Switch1和学院机房的交换机Switch0的Fa0/4相连。 网络教研室目前只有两台计算机，学院的IT管理员不希望网络教研室随便在Switch1上连接更多的计算机。可以设置Switch0的Fa0/4接口的安全来实现。 交换机虽然比网桥或集线器性能高，端口带宽独享，每一个端口是一个冲突域，但是使用交换机组建的网络在同一网段中的计算机数量还是不宜过多。为什么呢？ 前面讲过交换机隔绝冲突域，但是如果网络中计算机发送广播帧，即目标MAC地址为FFFF.FFFF.FFFF.FFFF交换机将这类的帧发送到所有端口。同一网段计算机数量增多，发送广播的帧也会增多，将会消耗带宽。如果某个计算机中了ARP病毒在网上大量发送广播，将会造成网络堵塞，或者有MAC地址欺骗的病毒，影响同一网段的所有计算机的网络互连。 出于安全考虑，公司的网络规划有可能将同一个部门的计算机放置到一个网段，或安全性要求一致的计算机放置到一个网段，而不是按着计算机的物理位置划分网段。比如将能够访问Internet的计算机放置到一个网段，然后在防火墙上进行配置只允许这个网段能够访问Internet。 基于以上原因我们可以使用交换机按部门灵活的划分网段，而不用考虑物理位置。这就是下面要讲解的VLAN技术。 VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。 如图所示，公司的办公大楼在第一层、第二层和第三层放置了交换机，这三个交换机为接入层交换机，通过汇聚层交换机连接。公司的销售部、研发部和财务部的计算机在每一层都有。从安全和控制网络广播考虑，可以为每一个部门创建一个VLAN。 一个VLAN就是一个广播域，同一个VLAN中的计算机IP地址在同一个网段。 打开第7章练习“05 创建和管理VLAN.pkt”，网络拓扑如图所示，网络中的计算机已经配置好了IP地址，交换机所有接口默认都属于VLAN 1。PC0和PC1分别连接到交换机的Fa0/1和Fa0/2接口，