02交换机高级配置.ppt

交换机高级配置 主要内容: 了解VLAN的基本概念与VLAN协议 掌握交换机中VLAN的配置 掌握VTP的配置 了解交换机的端口安全性配置 了解交换机的其他配置 VLAN的基本概念与VLAN协议介绍 为什么要用虚拟局域网（VLAN） 虚拟局域网的运作原理 为什么要用虚拟局域网（VLAN） 以太网交换物理上把LAN分成单独的冲突域，但是每个段仍然是一个广播域的一部分。VLAN是网络设备（如交换机）上连接的不受物理限制的用户的一个逻辑组。一个VLAN上的用户可以按功能、部门、应用等分类，而不管其物理位置。VLAN创建了不局限于物理段的单一广播域，并将其像一个子网一样对待。 VLAN可以减轻网络工程师的工作负担。VLAN允许网络管理员取消物理限制，并对用户的第三层网络地址进行控制，而不管其处在网络中的哪个位置。 VLAN的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。Cisco Catalyst交换机能够完成很多功能来加强和简化VLAN的实现。中继的使用允许V L A N跨接由小型或大型区域分开的多个交换机，但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。 虚拟局域网的运作原理 在企业发展初期，为了节约成本，企业采取了通过路由器实现分段的简单结构。在这样的网络中，每一个局域网上的广播数据包都可以被其上的所有设备收到，而无论这些设备是否需要。 虚拟局域网的运作原理 VLAN概念的引入使交换机承担了网络的分段工作，而不再使用路由器。VLAN可以控制广播，具有安全性、灵活性及可扩展性等技术优势。 虚拟局域网的运作原理 通过使用VLAN能够把一个物理的局域网划分成很多个逻辑意义上的子网，而不必考虑具体的物理位置，每一个VLAN都可以对应于一个逻辑单位，如部门、车间和项目组等。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机，因此，减少了数据交互的可能性，极大地增强了网络的安全性。 交换机中VLAN的配置 动态配置VLAN方式 静态配置VLAN方式 帧标记 动态配置VLAN方式 动态VLAN提供以客户端设备的MAC地址为基础的成员。当一台设备连接到交换机端口时，这台交换机必须有效地查询数据库以建立VLAN成员。网络管理者必须把用户MAC地址分配到一个在VLAN成员策略服务器（VMPS）数据库中的VLAN。 动态VLAN可以使用网络管理工具创建和管理Cisco交换机，如Cisco Works 2000。动态VLAN允许客户端具有充分的机动性和灵活性，但是需要更多的管理开销。 静态配置VLAN方式 静态VLAN提供基于端口的成员，网络管理员可以将交换机端口分配到VLAN，其具有静态的特征。每一个端口接收一个端口VLAN ID（PVID），将它和VLAN编号相关联。在一台单独的交换机上，端口可以被分配或者聚集到许多VLAN。 这种方式有很好的安全性，但灵活性较差。 帧标记 帧在网络中被交换时，交换机根据类型对其进行跟踪，并根据硬件地址来判断如何对他们进行操作。需要说明的是，在不同类型的连接中，帧被处理的方式也不一样。 帧标记 交换环境中的两种连接类型： access links：是只属于一个VLAN，且仅向该VLAN转发数据帧的端口，也叫做native VLAN。交换机把帧发送到access-link设备之前会删除VLAN信息。access-link设备不能与VLAN外通信，除非access-link设备上的数据包被路由。 trunk links：是能够转发多个不同VLAN的通信的端口。trunk link必须使用100Mb/s以上的端口来进行点对点连接，一次最多可以携带1 005个VLAN信息。trunk link使其单独的一个端口同时成为数个VLAN的端口，这样可以不需要三层设备。如果在交换机之间使用了trunk link，多个VLAN的信息将从这个连接上通过；如果交换机之间没有使用trunk link而使用一般的连接，那么只有VLAN1的信息通过这个连接传递。VLAN1默认作为管理VLAN。 帧标记 VLAN标识符：在交换机的trunk link上，可以通过对数据帧附加VLAN信息构建跨越多台交换机的VLAN。最具有代表性的附加VLAN信息的方法有： Inter-Switch Link（ISL）：属于Cisco私有，只能在快速和千兆以太网连接中使用。 IEEE 802.1Q：在Cisc