官方配套教材教材3交換技術第1頁/共173頁3交換技術3.1LAN設計3.2交換機的基本概念和配置3.3VLAN3.4VTP3.5STP3.6VLAN間的路由3.7無線的基本概念和配置第2頁/共173頁3交換技術3.1LAN設計（N3-1）第3頁/共173頁3.1.1交換式LAN體系結構分層網(wǎng)絡模型接入層的主要目的是提供一種將設備連接到網(wǎng)絡并控制允許網(wǎng)絡上的哪些設備進行通信的方法。分布層先匯聚接入層交換機發(fā)送的數(shù)據(jù)，再將其傳輸?shù)胶诵膶樱詈蟀l(fā)送到最終目的地。核心層是網(wǎng)際網(wǎng)絡的高速主干。核心層也可連接到Internet資源。第4頁/共173頁3.1.1交換式LAN體系結構分層網(wǎng)絡設計的優(yōu)點可擴展性，可以方便地擴展分層網(wǎng)絡冗余性，核心層和分布層的冗余性確保路徑的可用性性能，通過在各層之間采用鏈路聚合技術并采用高性能的核心層和分布層交換機可讓整個網(wǎng)絡接近線速運行安全性，接入層的端口安全功能和分布層的策略讓網(wǎng)絡更安全易于管理性，各層之間的一致性讓管理更方便易于維護性，分層設計的模塊可讓網(wǎng)絡輕松實現(xiàn)擴展，不至于變得過于復雜第5頁/共173頁3.1.1交換式LAN體系結構分層網(wǎng)絡設計的原則網(wǎng)絡直徑----網(wǎng)絡直徑是指數(shù)據(jù)包到達目的地之前必須穿過的設備數(shù)量。帶寬聚合----通過將兩臺交換機之間的多條并行鏈路合并為一條邏輯鏈路來實現(xiàn)帶寬聚合。冗余鏈路----現(xiàn)代網(wǎng)絡在分層網(wǎng)絡的各層之間使用冗余鏈路來確保網(wǎng)絡的可用性。網(wǎng)絡直徑帶寬聚合冗余鏈路第6頁/共173頁3.1.1交換式LAN體系結構融合網(wǎng)絡融合是在數(shù)據(jù)網(wǎng)絡上融入語音和視頻通信的過程。融合網(wǎng)絡的一大優(yōu)點是它只有一個網(wǎng)絡需要管理。融合網(wǎng)絡的另一個優(yōu)點是可以降低實現(xiàn)和管理的成本。融合網(wǎng)絡可提供前所未有的選擇。

第7頁/共173頁3.1.2將交換機與指定的LAN功能進行配對分層網(wǎng)絡交換機的考慮因素流量分析流量分析是測量網(wǎng)絡帶寬使用率并分析相關數(shù)據(jù)來調整性能、規(guī)劃容量并做出硬件升級決策的過程。用戶群分析用戶群分析是確定各類用戶群體及其對網(wǎng)絡性能的影響的過程。數(shù)據(jù)存儲和數(shù)據(jù)服務器分析在考慮數(shù)據(jù)存儲和服務器的流量時，應同時考慮客戶端到服務器的流量和服務器到服務器的流量。拓撲圖拓撲圖是網(wǎng)絡基礎架構的圖形表現(xiàn)形式。第8頁/共173頁3.1.2將交換機與指定的LAN功能進行配對交換機的特性交換機的外形因素固定配置交換機模塊化交換機可堆疊交換機交換機的性能端口密度轉發(fā)速率鏈路聚合以太網(wǎng)供電(PoE)和第3層功能第9頁/共173頁3.1.2將交換機與指定的LAN功能進行配對分層網(wǎng)絡中交換機的性能第10頁/共173頁3.1.2將交換機與指定的LAN功能進行配對適合中小型企業(yè)的交換機/web/CN/products/products_netsol/switches/index.html第11頁/共173頁3交換技術3.2交換機的基本概念和配置（N3-2）第12頁/共173頁3.2.1Ethernet/802.3LAN簡介載波偵聽多路訪問/沖突檢測(CSMA/CD)網(wǎng)絡設備在發(fā)送報文的之前必須先偵聽網(wǎng)絡是否空閑。如果設備檢測到來自其它設備的信號，它就會等待特定的時間的后再嘗試發(fā)送。如果沒有檢測到流量，設備將發(fā)送報文。在發(fā)送過程中，設備仍會繼續(xù)偵聽LAN中的流量或沖突。報文發(fā)送之后，設備將恢復默認偵聽模式。如果設備之間的距離造成一臺設備的信號延時，也就是說，另一臺設備無法檢測到信號，則另一臺設備可能也會開始發(fā)送。那么，現(xiàn)有兩臺設備同時在介質中發(fā)送信號。報文將在介質中傳播，直到相互碰頭。此時，雙方的信號就會混合，報文被損壞，從而形成沖突。檢測到?jīng)_突之后，發(fā)送設備將發(fā)出堵塞信號。堵塞信號通知其它設備發(fā)生了沖突，以便它們調用回退算法。回退算法將使所有設備在隨機時間內停止發(fā)送，以讓沖突消除。第13頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的關鍵要素交換LAN網(wǎng)絡中的通信以三種方式進行：單播、廣播和組播：第14頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的關鍵要素以太網(wǎng)幀：MAC地址第15頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的關鍵要素雙工設置半雙工（CSMA/CD）：單向數(shù)據(jù)流；沖突可能性高；集線器鏈接；全雙工：僅限點對點；連接到專用交換端口；需要兩端都支持全雙工；無沖突；沖突檢測電路禁用。CiscoCatalyst交換機有三種設置：auto選項設置雙工模式自動協(xié)商。啟用自動協(xié)商時，兩個端口通過通信來決定最佳操作模式。full選項設置全雙工模式。half選項設置半雙工模式。auto-MDIX在運行CiscoIOSR12.2(18)SE或更高版本的交換機上，默認啟用auto-MDIX功能。第16頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素MAC尋址和交換機MAC地址表第17頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素思考：MAC尋址和交換機MAC地址表？交換機剛剛加電，交換機MAC表的情況？交換機如何學習和維持MAC地址表？交換機的MAC地址記錄中的老化時間（AgedTime）的作用？當目的MAC地址為主機地址，且目的地址信息在交換機的MAC地址標中有記錄時，交換機如何轉發(fā)數(shù)據(jù)幀？當目的MAC地址為主機地址，且地址信息在交換機的MAC地址標中沒有找到記錄時，交換機如何轉發(fā)數(shù)據(jù)幀？當目的MAC地址為廣播地址時，交換機如何轉發(fā)數(shù)據(jù)幀？第18頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素帶寬和吞吐量共享以太網(wǎng)絡的節(jié)點數(shù)量將影響網(wǎng)絡的吞吐量或效率。沖突域沖突域是指發(fā)出的幀可能產(chǎn)生沖突的網(wǎng)絡區(qū)域。所有共享介質環(huán)境（例如使用集線器創(chuàng)建的介質環(huán)境）都屬于一個沖突域。交換機為每個網(wǎng)段提供專用帶寬，因此減少了網(wǎng)段上的沖突，并提高了網(wǎng)段上的帶寬使用率。（交換機每個端口都屬于一個沖突域）第19頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素沖突域第20頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素廣播域雖然交換機基于MAC地址過濾大多數(shù)幀，但是它們不過濾廣播幀。LAN上的其它交換機如需獲得廣播幀，交換機必須轉發(fā)廣播幀。相連交換機的集合構成了一個廣播域。只有第3層實體，如路由器或虛擬局域網(wǎng)(VLAN)才能阻隔第3層的廣播域。交換機收到廣播幀時，它將

該幀轉發(fā)到自己的每一個端口。

（接收該廣播幀的傳入端口除外）第21頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素網(wǎng)絡延時延時是一個幀或一個數(shù)據(jù)包從源工作站到達最終目的地所用的時間。網(wǎng)卡延時線纜延時設備延時延時不單單取決于設備的距離和數(shù)量，還取決于設備的類型。網(wǎng)絡擁塞計算機和網(wǎng)絡技術的功能日益強大網(wǎng)絡流量日益增加高帶寬應用程序第22頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素LAN分段將LAN分割成多個更小部分的主要原因是為了隔離流量以及使每位用戶更好地利用帶寬。使用路由器和交換機可以將LAN分割成很多更小的沖突域和廣播域。交換機通常用于將大型LAN分割成很多更小的網(wǎng)段。雖然LAN交換機縮小了沖突域的規(guī)模，但是連接到交換機的所有主機仍都處于同一個廣播域中。隔離沖突域主要設備：交換機、路由器、網(wǎng)橋用路由器創(chuàng)建更多、更小的廣播域將減少廣播流量，并為單播通信提供更多可用帶寬。每個路由器接口都連接到單獨的網(wǎng)絡，廣播流量的范圍僅限于發(fā)出該廣播的LAN網(wǎng)段內。隔離廣播域主要設備：路由器第23頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素沖突域與廣播域第24頁/共173頁3.2.1Ethernet/802.3LAN簡介Ethernet/802.3網(wǎng)絡的設計考慮因素控制網(wǎng)絡延時考慮網(wǎng)絡上每臺設備造成的延時。支持48個端口，以1000Mb/s全雙工運行的核心級交換機，如需使所有端口的導線速度同時保持全速，則需要96Gb/s的內部吞吐量。OSI高層設備也可能增加網(wǎng)絡延時。適度使用高層設備，既要降低網(wǎng)絡延時，又要防止廣播流量爭用資源或高沖突率。消除瓶頸更高容量的鏈路（例如，從100Mb/s連接升級到1000Mb/s）以及利用鏈路聚合技術的多鏈路（例如，將兩條鏈路合并為一條以使連接容量加倍）有助于減少交換機間鏈路和路由器間鏈路所造成的瓶頸。第25頁/共173頁3.2.2交換機的數(shù)據(jù)幀轉發(fā)交換機轉發(fā)方法交換機使用下面的兩種轉發(fā)方法之一來進行網(wǎng)絡端口間的數(shù)據(jù)交換

存儲轉發(fā)交換(Store-and-Forward)，當交換機收到幀時，它將數(shù)據(jù)存儲在緩沖區(qū)中，直到收下完整的幀。存儲過程期間，交換機分析幀以獲得有關其目的地的信息，同時還將使用以太網(wǎng)幀的循環(huán)冗余校驗(CRC)幀尾部分來執(zhí)行錯誤檢查。

直通交換

快速轉發(fā)(Fast-forward)交換，快速轉發(fā)交換在讀取目的地址之后立即轉發(fā)數(shù)據(jù)包。快速轉發(fā)交換提供最低程度的延時。

免分片(fragment-free)交換，交換機在轉發(fā)之前存儲幀的前64個字節(jié)。免分片交換在轉發(fā)幀之前對幀的前64個字節(jié)執(zhí)行小錯誤檢查以確保沒有發(fā)生過沖突，并且嘗試通過這種方法來增強直通交換功能。第26頁/共173頁3.2.2交換機的數(shù)據(jù)幀轉發(fā)交換機轉發(fā)方法第27頁/共173頁3.2.2交換機的數(shù)據(jù)幀轉發(fā)練習：存儲轉發(fā)請參見圖示。通信從PC路由到筆記本電腦時，會進行多少次唯一的CRC計算？

1248第28頁/共173頁3.2.2交換機的數(shù)據(jù)幀轉發(fā)內存緩沖以太網(wǎng)交換機在轉發(fā)幀之前，可以使用緩沖技術存儲幀。當目的端口由于擁塞而繁忙時，也可以使用緩沖，交換機將一直存儲幀，直到可以傳送該幀。將內存用于存儲數(shù)據(jù)的功能稱為內存緩沖，有兩種內存緩沖方法：基于端口和共享內存。

基于端口的內存緩沖，幀存儲在鏈接到特定傳入端口的隊列中。

共享內存緩沖，所有幀都放入交換機上所有端口共享的公共內存緩沖區(qū)中。第29頁/共173頁3.2.2交換機的數(shù)據(jù)幀轉發(fā)第2層交換和第3層交換第2層LAN交換機（如Catalyst2960），只根據(jù)OSI數(shù)據(jù)鏈路層MAC地址執(zhí)行交換和過濾。對網(wǎng)絡協(xié)議和用戶應用程序完全透明。第3層交換機（如Catalyst3560），不僅使用第2層MAC地址信息來作出轉發(fā)決策，而且還可以使用IP地址信息。第3層交換機不僅知道哪些MAC地址與其每個端口關聯(lián)，而且還可以知道哪些IP地址與其接口關聯(lián)。第3層交換機還能夠執(zhí)行第3層路由功能，從而省去了LAN上對專用路由器的需要。但是第3層交換機不能完全取代網(wǎng)絡中的路由器。第30頁/共173頁3.2.3交換機管理配置切換命令行界面模式替代命令行界面的圖形化用戶界面第31頁/共173頁3.2.3交換機管理配置幫助設施詞語幫助：如果您記不起完整命令，但是記得開頭幾個字符，則可以按順序先輸入這幾個字符，然后再輸入一個“?”（問號前面不要加入空格）。命令語法幫助：如果不熟悉在CiscoIOSCLI的當前上下文中可以使用哪些命令，或者不知道要使給定命令完整需要哪些參數(shù)或可以使用哪些參數(shù)，則可以輸入“?”命令（問號前面必須加空格）。命令歷史記錄CiscoCLI提供已輸入命令的歷史記錄。這種功能稱為命令歷史記錄，它對于重復調用較長或較復雜的命令或輸入項特別有用。第32頁/共173頁3.2.3交換機管理配置交換機啟動順序交換機加載啟動加載器軟件。啟動加載器是存儲在ROM中的小程序，并且在交換機通電時運行。啟動加載器執(zhí)行低級CPU初始化。執(zhí)行CPU子系統(tǒng)的加電自檢(POST)。將默認操作系統(tǒng)軟件映像加載到內存中，并啟動交換機。操作系統(tǒng)使用配置文件config.text（存儲在交換機閃存中）中找到的CiscoISO命令來初始化接口。第33頁/共173頁3.2.3交換機管理配置準備配置交換機步驟1.啟動交換機之前，請驗證以下事項：所有網(wǎng)絡電纜都連接牢固。

PC或終端已連接到控制臺端口。終端仿真器應用程序(如HyperTerminal)正在運行且配置正確。步驟2.將電源線插頭插入交換機電源插口。交換機將啟動。某些Catalyst交換機（包括CiscoCatalyst2960系列）沒有電源按鈕。步驟3.觀察下面的啟動順序：當交換機開啟時，POST開始。POST期間，當交換機執(zhí)行一系列測試來確定工作是否正常時，LED將閃爍。POST完成后，SYSTLED快速閃爍綠光。如果交換機未能通過POST，則SYSTLED變?yōu)殓晟?。當交換機不能通過POST測試時，有必要維修交換機。第34頁/共173頁3.2.3交換機管理配置交換機的基本配置配置管理接口配置默認網(wǎng)關驗證配置配置雙工和速度配置Web接口管理MAC地址表第35頁/共173頁3.2.3交換機管理配置交換機的基本配置配置管理接口配置默認網(wǎng)關驗證配置配置雙工和速度配置Web接口管理MAC地址表S1#showmac-address-tableS1(config)#mac-address-tablestaticMAC-addressvlanvlan-idinterfaceinterface-id

第36頁/共173頁3.2.3交換機管理配置驗證交換機的配置修改配置替換，屬性唯一時，重新配置將直接替換原屬性，例如：hostnameno指令，返回默認值或刪除配置記錄，例如：nohostname第37頁/共173頁3.2.3交換機管理配置基本交換機管理（特權執(zhí)行模式）備份和恢復交換機配置

copyrunning-configstartup-configcopystartup-configflash:filenamecopyflash:config.bak1startup-config，然后reload將配置文件備份到TFTP服務器

copysystem:running-configtftp:[[[//location]/directory]/filename]copynvram:startup-configtftp:[[[//location]/directory]/filename].清除配置信息

erasenvram:或erasestartup-config刪除存儲的配置文件

deleteflash:filename特權執(zhí)行命令第38頁/共173頁3.2.4配置交換機安全性配置口令選項配置控制臺口令(要防止控制臺端口console受到未經(jīng)授權的訪問)配置執(zhí)行模式口令配置加密口令(所有系統(tǒng)口令都將以加密形式存儲)S1(config)#servicepassword-encryption第39頁/共173頁3.2.4配置交換機安全性配置口令選項配置vty端口(Cisco交換機的vty端口用于遠程訪問設備)transportinput{telnet|ssh|all}Telnet是vty線路的默認傳輸方式S1#configureterminalS1(config)#linevty04S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#endSSH配置S1#configureterminalS1(config)#ipdomain-nameS1(config)#cryptokeygeneraterseS1(config)#ipsshversion2S1(config)#linevty04S1(config-line)#passwordciscoS1(config-line)#transportinputsshS1(config-line)#login第40頁/共173頁3.2.4配置交換機安全性常見安全攻擊MAC地址泛洪主機A向主機B發(fā)送流量。交換機收到幀，并在其MAC地址表中查找目的MAC地址。如果交換機在MAC地址表中無法找到目的MAC，則交換機將復制幀并將其從每一個交換機端口廣播出去。理解MAC地址表溢出攻擊工作方式的關鍵是要知道MAC地址表的大小有限。MAC泛洪利用這一限制用虛假源MAC地址轟炸交換機，直到交換機MAC地址表變滿。交換機隨后進入稱為“失效開放”(fail-open)的模式，開始像集線器一樣工作，并將數(shù)據(jù)包廣播到網(wǎng)絡上的所有機器第41頁/共173頁3.2.4配置交換機安全性常見安全攻擊欺騙攻擊攻擊者竊取網(wǎng)絡流量的一種辦法是偽裝有效DHCP服務器發(fā)出的響應。CDP攻擊默認情況下，大多數(shù)Cisco路由器和交換機都啟用了CDP。建議如果設備不需要使用CDP，則在設備上禁用CDP。telnet攻擊的類型暴力密碼攻擊

Dos攻擊抵御暴力密碼攻擊經(jīng)常更改密碼使用強密碼限制可通過vty線路進行通信的人員Dos攻擊更新為最新版本的CiscoIOS軟件第42頁/共173頁3.2.4配置交換機安全性配置端口安全性安全MAC地址有以下類型：靜態(tài)安全MAC地址動態(tài)安全MAC地址粘滯安全MAC地址

粘滯安全MAC地址有以下特性：

switchportport-securitymac-addresssticky，動態(tài)學習，轉換為存儲在運行配置中的粘滯安全MAC地址。

noswitchportport-securitymac-addresssticky，禁用粘滯學習將從運行配置中移除MAC地址，但是不會從MAC表中移除，將把粘滯MAC地址轉換為動態(tài)安全地址。如果將粘滯安全MAC地址保存在配置文件中，則當交換機重新啟動或者接口關閉時，接口不需要重新獲取這些地址。如果不保存粘滯安全地址，則它們將丟失。第43頁/共173頁3.2.4配置交換機安全性配置端口安全性安全違規(guī)模式在以下情況發(fā)生：地址表中添加了最大數(shù)量的安全MAC地址，有工作站試圖訪問接口，而該工作站的MAC地址未出現(xiàn)在該地址表中。在一個安全接口上獲取或配置的地址出現(xiàn)在同一個VLAN中的另一個安全接口上。protectrestrict

shutdown第44頁/共173頁3.2.4配置交換機安全性配置端口安全性在端口上啟用端口安全性：S1#configureterminalS1(config)#interfacefastEthernet0/18S1(config-if)#switchportmodeaccessS1(config-if)#switchportport-securityS1(config-if)#switchportport-securitymaximum50S1(config-if)#switchportport-securityviolation

shutdownS1(config-if)#switchportport-securitystickyS1(config-if)#switchportport-securitymac-address000e.83B3.D842注意1：端口模式不能是工作在動態(tài)模式(dynamic)，藍色部分參數(shù)可調整；注意2：交換機端口安全模式默認不啟用，當管理員啟用后，允許的最大MAC地址默認為“1”，違規(guī)模式為“關閉”，粘滯地址狀態(tài)為“禁用”第45頁/共173頁3.2.4配置交換機安全性配置端口安全性驗證端口安全性：第46頁/共173頁3交換技術3.3VLAN（N3-3）第47頁/共173頁3.3.1VLAN簡介什么是VLAN構建VLAN之前第48頁/共173頁3.3.1VLAN簡介什么是VLAN構建VLAN之前VLAN概述

VLAN，虛擬局域網(wǎng)。VLAN可讓網(wǎng)絡管理員建立多組邏輯上聯(lián)網(wǎng)的設備，即使這些設備與其它VLAN共享相同的基礎架構，它們也能像在獨立的網(wǎng)絡中一樣運作。

VLAN是一個邏輯上獨立的IP子網(wǎng)。交換機配置VLAN，為VLAN分配端口。無論是否使用VLAN，兩個不同網(wǎng)絡和子網(wǎng)上的設備必須通過路由器（第3層）才能通信。第49頁/共173頁3.3.1VLAN簡介VLAN的優(yōu)點 安全 成本降低 性能提高 廣播風暴防范 提高IT員工的效率 簡化項目管理或應用管理第50頁/共173頁3.3.1VLAN簡介VLANID范圍普通范圍的VLANVLANID范圍為1到1005。從1002到1005的ID保留供令牌環(huán)VLAN和FDDIVLAN使用。

ID1和ID1002到1005是自動創(chuàng)建的，不能刪除。配置存儲在vlan.dat的VLAN數(shù)據(jù)庫文件中，vlan.dat位于交換機的閃存中。

VTP只能識別普通范圍VLAN，并將其存儲到VLAN數(shù)據(jù)庫文件中。擴展范圍的VLANVLANID范圍從1006到4094。支持的VLAN功能比普通范圍的VLAN更少。保存在運行配置文件中。

VTP無法識別擴展范圍的VLAN。第51頁/共173頁3.3.1VLAN簡介VLAN類型數(shù)據(jù)VLAN，只傳送用戶產(chǎn)生的流量。默認VLAN，在交換機初始啟動之后，交換機的所有端口即加入到默認VLAN中。Cisco交換機的默認VLAN是VLAN1。VLAN1具有VLAN的所有功能，但是不能對它進行重命名，也不能刪除。第2層的控制流量（例如CDP流量和生成樹協(xié)議流量）始終從屬于VLAN1——這一點無法改變。本征VLAN，分配給802.1Q中繼端口。802.1Q中繼端口支持來自多個VLAN的流量（有標記流量），也支持來自VLAN以外的流量（無標記流量）。802.1Q中繼端口會將無標記流量發(fā)送到本征VLAN。管理VLAN，配置用于訪問交換機管理功能的VLAN。語音VLAN，支持IP語音(VoIP)的VLAN。第52頁/共173頁3.3.1VLAN簡介通過VLAN控制廣播域沒有VLAN的網(wǎng)絡以常規(guī)方式運作時，如果交換機在某個端口上收到廣播幀，它會將該幀從交換機的所有端口上轉發(fā)出去。有VLAN的網(wǎng)絡當廣播幀從配置了vlan號某個端口進入交換機時，交換機只會將此廣播幀轉發(fā)到與收到廣播幀端口配置相同VLAN號的交換機的其它端口。第53頁/共173頁3.3.1VLAN簡介通過VLAN控制廣播域通過交換機和路由器控制廣播域

VLAN內通信

VLAN間通信第54頁/共173頁3.3.1VLAN簡介通過VLAN控制廣播域通過VLAN和第3層轉發(fā)來控制廣播域交換機虛擬接口(SVI)技術第3層轉發(fā)，第3層交換機能夠在VLAN之間路由數(shù)據(jù)傳輸。其過程類似于使用單獨路由器的VLAN間通信，只不過是由SVI充當路由器接口來路由VLAN之間的數(shù)據(jù)。第55頁/共173頁3.3.2VLAN中繼VLAN中繼的定義中繼是兩臺網(wǎng)絡設備之間的點對點鏈路，負責傳輸多個VLAN的流量。VLAN中繼可讓VLAN擴展到整個網(wǎng)絡上。中繼能解決什么問題？VLAN中繼僅通過一條物理鏈路來代替每個子網(wǎng)的單獨鏈路連接交換機。接入鏈路（access）和中繼鏈路（trunk）第56頁/共173頁3.3.2VLAN中繼VLAN幀標記802.1Q幀標記由于幀頭本身并不包含到底太網(wǎng)幀應該屬于哪個VLAN的相關信息。因此，當以太網(wǎng)幀進入中繼后，以太網(wǎng)幀需要額外的信息來標識自己屬于哪個VLAN。VLAN標記字段(4個字節(jié))EtherType字段：此字段設置為十六進制值0x8100。此值也稱為標記協(xié)議ID(TPID)值。標記控制信息字段：3位的用戶優(yōu)先級；1位的規(guī)范格式標識符(CFI)；12位的VLANID(VID)－VLAN標識號，最多支持4096個VLANID。插入到源MAC地址和類型字段之間。第57頁/共173頁3.3.2VLAN中繼中繼模式IEEE802.1Q標準，CISCO私有標準ISLDTP（動態(tài)中繼協(xié)議），Cisco的專有協(xié)議開啟（默認），交換機端口定期向遠程端口發(fā)送一種稱為通告的DTP幀。使用的命令是switchportmodetrunk。動態(tài)自動，交換機端口定期向遠程端口發(fā)送DTP幀。使用的命令是switchportmodedynamicauto。動態(tài)期望，交換機端口定期向遠程端口發(fā)送DTP幀。使用的命令是switchportmodedynamicdesirable。關閉DTP，本地端口就不會再向遠程端口發(fā)送DTP幀。使用命令switchportnonegotiate

可達到目的。第58頁/共173頁3.3.2VLAN中繼中繼模式DTPSwitchport模式交互接入模式，當交換機處于接入模式時，只允許一個vlan的數(shù)據(jù)通過。使用的命令是switchportmodeaccess。第59頁/共173頁3.3.3配置VLAN配置VLAN和中繼概述配置和檢驗步驟創(chuàng)建VLAN

靜態(tài)地將交換機端口分配給VLAN

檢驗VLAN配置對交換機間連接啟用中繼檢驗中繼配置第60頁/共173頁3.3.3配置VLAN配置VLAN添加VLAN分配端口第61頁/共173頁3.3.3配置VLAN配置VLAN刪除接口所屬VLAN刪除VLANS1#configureterminalS1(config)#novlanvlan-idS1#deleteflash:vlan.dat//清空設備配置時使用第62頁/共173頁3.3.3配置VLANVLAN配置示例創(chuàng)建vlan，命名Vlan為vlan分配交換機端口第63頁/共173頁3.3.3配置VLAN檢驗VLAN配置

showvlanbrief第64頁/共173頁3.3.3配置VLAN管理VLAN第65頁/共173頁3.3.4配置中繼配置

802.1Q中繼在交換機端口上配置中繼

switchportmodetrunk配置中繼端口中繼模式

switchporttrunkencapsulationdot1q(默認)/isl配置中繼端口本征VLANswitchporttrunknativevlanvlan-id(默認本征vlan號為1)配置中繼端口允許VLANswitchporttrunkallowedvlanvlan-range（默認為all）

第66頁/共173頁3.3.4配置中繼S1#configureterminalS1(config)#interfacefastethernet0/1S1(config-if)#switchportmodetrunkS1(config-if)#switchporttrunkencapsulationdot1qS1(config-if)#switchporttrunknativevlan99S1(config-if)#switchporttrunkallowedvlan10,20,30S1(config-if)#noshutdown第67頁/共173頁3.3.4配置中繼檢查中繼配置第68頁/共173頁3.3.4配置中繼管理中繼配置第69頁/共173頁3.3.4配置中繼中繼常見問題及解決辦法本征VLAN不匹配調整中繼鏈路兩端端口參數(shù)，使其本征(native)vlan號一致

S1(config-if)Switchportnativevlanvlan-id中繼模式不匹配中繼端口模式不能使用access，盡可能不使用dynamicauto，最好直接配置為trunkS1(config-if)switchportmodetrunkVLAN和IP子網(wǎng)不匹配將處于同一vlan的主機地址信息調整，使其具有相同的子網(wǎng)信息不正確的VLAN列表增加或刪除中繼鏈路兩端不一致的vlan號

S1(config-if)switchportaccesstrunkallowedvlanaddvlan-idS1(config-if)switchportaccesstrunkallowedvlanremovevlan-id第70頁/共173頁練習在交換機上配置vlan的步驟是什么，請使用PT軟件完成在Catalyst2960上配置以下信息Vlan2，information，網(wǎng)關：/24Vlan3，material，網(wǎng)關：/24Vlan4，F(xiàn)oreign，網(wǎng)關：/24Vlan100，management，網(wǎng)關：/24管理vlan號為100，為交換機配置管理信息地址端口1-2屬于vlan2，端口3-4屬于vlan3，端口5-6屬于vlan4，端口7屬于vlan100，端口24屬于中繼端口，本征vlan為100，允許2-4，100通過。第71頁/共173頁3交換技術3.4VTP

（N3-4）第72頁/共173頁3.4.1VTP概念VLAN管理難題-VTP(VLANTrunkProtocol)在網(wǎng)絡中管理VLAN和中繼-VTP是自動學習VLAN和中繼的方法，避免手工配置的麻煩第73頁/共173頁3.4.1VTP概念何謂VTP?VTP允許網(wǎng)絡管理員配置交換機，使之將VLAN配置傳播到網(wǎng)絡中的其它交換機。

VTP僅獲知普通范圍內的VLAN（VLANID為1到1005）。VTP的優(yōu)點保持網(wǎng)絡VLAN配置一致準確跟蹤和監(jiān)控VLAN動態(tài)報告網(wǎng)絡中添加的VLAN當VLAN添加到網(wǎng)絡時，動態(tài)執(zhí)行中繼配置第74頁/共173頁3.4.1VTP概念VTP要素VTP域VTP通告VTP模式VTP服務器VTP客戶端VTP透明VTP修剪第75頁/共173頁3.4.2VTP運作默認VTP配置VTP的版本

VTP有三個版本，第1版、第2版和第3版，默認版本為VTP第1版在一個VTP域中僅允許使用一個VTP版本

Cisco2960交換機支持VTP第2版，但該功能處于禁用狀態(tài)。VTP默認配置

VTP域名：空

VTP版本：1VTP配置修訂版本：0VTP模式：服務器

VTP域名：空第76頁/共173頁3.4.2VTP運作默認VTP配置顯示VTP狀態(tài)，使用showVTPstatus

命令第77頁/共173頁3.4.2VTP運作VTP域VTP允許將網(wǎng)絡劃分成更小的管理域，以減輕VLAN管理工作。配置VTP域還有一個好處：如果發(fā)生配置更改錯誤，它可以限制該錯誤在網(wǎng)絡中的傳播范圍。VTP域包括一臺交換機，或共享相同VTP域名的多臺互連交換機。第78頁/共173頁3.4.2VTP運作VTP域名傳播VTP服務器將VTP域名傳播到所有交換機域名傳播需要使用三個VTP要素：服務器、客戶端和通告Domain=cisco1Domain=cisco1Domain=cisco1Cisco建議對域名配置功能啟用口令保護第79頁/共173頁3.4.2VTP運作VTP通告VTP幀結構第80頁/共173頁3.4.2VTP運作VTP通告VTP幀結構第81頁/共173頁3.4.2VTP運作VTP通告VTP消息內容VTP幀包含以下固定長度的全局域信息：VTP域名發(fā)送消息的交換機的身份，以及發(fā)送時間戳MD5摘要VLAN配置幀格式：ISL或802.1QVTP幀包含每個所配置VLAN的以下信息：VLANID(IEEE802.1Q)VLAN名稱VLAN類型VLAN狀態(tài)其它取決于VLAN類型的VLAN配置信息第82頁/共173頁3.4.2VTP運作VTP通告VTP配置修訂版號配置修訂版號代表VTP幀的修訂級別，它是一個32位的數(shù)字交換機的默認配置修訂版號為零VTP域名改變，配置修訂版號將重置為零配置修訂版號用于確定從另一臺啟用VTP的交換機上收到的配置信息是否比儲存在本交換機上的版本更新，高版本覆蓋低版本第83頁/共173頁3.4.2VTP運作VTP通告總結通告，總結通告包含VTP域名、當前修訂版號和其它VTP配置詳細信息。以下情況下會發(fā)送總結通告：VTP服務器或客戶端每5分鐘發(fā)送一次總結通告用于通知啟用VTP的交換機當前VTP配置修訂版號執(zhí)行配置操作后會立即發(fā)送總結通告子集通告，子集通告包含VLAN信息。觸發(fā)子集通告的更改包括：創(chuàng)建或刪除VLAN暫?；蚣せ頥LAN更改VLAN名稱更改VLAN的MTU第84頁/共173頁3.4.2VTP運作VTP通告請求通告，當向相同VTP域中的VTP服務器發(fā)送請求通告時。VTP服務器的響應方式是：先發(fā)送總結通告，接著送出子集通告。以下情況會發(fā)送請求通告：VTP域名變動收到的總結通告包含比自身更高的配置修訂版號子集通告消息由于某些原因丟失交換機被重置第85頁/共173頁3.4.2VTP運作VTP模式概述第86頁/共173頁3.4.2VTP運作VTP的作用方式第87頁/共173頁3.4.2VTP運作VTP修剪VTP修剪的作用是防止不需要的廣播信息從一個VLAN泛洪到VTP域中所有的中繼鏈路。VTP修剪允許交換機協(xié)商將哪些VLAN分配到中繼另一端的端口，并剪除未分配到遠程交換機端口的VLAN。只需要在域內一臺VTP服務器交換機上啟用修剪功能。修剪功能默認為禁用在接口模式下啟動vtp修剪，使用命令vtppruning第88頁/共173頁3.4.3VTP配置VTP服務器交換機確認將要配置的所有交換機都已設置為默認設置。在將配置過的交換機添加到VTP域之前，務必重置配置修訂版號。在網(wǎng)絡中配置至少兩臺VTP服務器交換機。在VTP服務器上配置VTP域。如果已經(jīng)有VTP域，請確保名稱精確匹配。VTP域名區(qū)分大小寫。如果要配置VTP口令，請確保對域內需要交換VTP信息的所有的交換機上設置相同的口令。請確保所有的交換機都配置為使用相同的VTP協(xié)議版本。在VTP服務器上啟用VTP之后，再創(chuàng)建VLAN。第89頁/共173頁3.4.3VTP配置VTP客戶端交換機確認所有交換機都已恢復到默認設置。配置VTP客戶端模式。請不要忘記，交換機默認不是VTP客戶端模式，必須配置該模式。配置中繼。VTP通過中繼鏈路工作。連接到VTP服務器。檢驗VTP狀態(tài)。配置接入端口。當交換機處于VTP客戶端模式時，不能添加新的VLAN，僅可將接入端口指定到現(xiàn)有VLAN。第90頁/共173頁3.4.3VTP配置配置VTP

步驟1、配置VTP服務器

switch(config)#vtpmodeserverswitch(config)#vtpdomaindomain-nameswitch(config)#vtppassword

password

switch(config)#vtpversionversion-number

2、配置VTP客戶端

switch(config)#vtpmodeclient

如果網(wǎng)絡Server設密碼，client也必須設置相同的密碼才可以進行學習3、確認和連接

showVTPstatusshowVTPcountersshowvlanbrief第91頁/共173頁3.4.3VTP配置排查VTP配置故障常見VTP配置問題及解決辦法

VTP版本不兼容解決方法：同一VTP域中設置相同的VTP版本號

VTP口令問題解決方法：同一VTP域中設置相同的VTP口令

VTP模式名稱不正確解決方法：一個VTP域中至少有一臺設備工作在Server模式

VTP域名不正確解決方法：加入某VTP域的設備必須配置與該域中Server相同的VTP域名修訂版本號不正確解決方法：切換域名可將該設備的修訂版本號重置為0第92頁/共173頁3交換技術3.5STP（N3-5）第93頁/共173頁3.5.1具備冗余功能的第2層拓撲冗余功能在分層設計中，實現(xiàn)冗余功能的方法是在分布層和核心層添加額外的硬件（包括設備和電纜），并通過額外添加的硬件建立備用路徑。這樣即使一條路徑失效，也不會影響網(wǎng)絡上設備的連通性。第94頁/共173頁3.5.1具備冗余功能的第2層拓撲冗余帶來的問題第二層的環(huán)路廣播風暴重復的單播幀

MAC地址表動蕩第95頁/共173頁3.5.2生成樹(STP)簡介生成樹算法STP會特意阻塞可能導致環(huán)路的冗余路徑，以確保網(wǎng)絡中所有目的地之間只有一條邏輯路徑。當一個端口阻止流量進入或離開時，該端口便視為處于阻塞狀態(tài)。不過STP用來防止環(huán)路的網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)幀仍可繼續(xù)通行。一旦需要啟用此類路徑來抵消網(wǎng)絡電纜或交換機故障的影響時，STP就會重新計算路徑，將必要的端口解除阻塞，使冗余路徑進入活動狀態(tài)。第96頁/共173頁3.5.2生成樹(STP)簡介基本術語根橋，每個生成樹實例（交換LAN或廣播域）都有一臺交換機被指定為根橋。根橋是所有生成樹計算的參考點，用以確定哪些冗余路徑應被阻塞。端口角色根端口，最靠近根橋的交換機端口。指定端口，網(wǎng)絡中獲準轉發(fā)流量的、除根端口之外的所有端口。非指定端口，為防止環(huán)路而被置于阻塞狀態(tài)的所有端口。禁用端口，是處于管理性關閉狀態(tài)的交換機端口。端口開銷，端口開銷值與給定路徑上的每個交換機端口的端口速度相關聯(lián)。路徑開銷，路徑開銷是到根橋的路徑上所有端口開銷的總和。到根橋的最佳路徑，交換機到根橋的所有路徑中最短的一條路徑。第97頁/共173頁3.5.2生成樹(STP)簡介基本術語第98頁/共173頁3.5.2生成樹(STP)簡介基本術語端口開銷第99頁/共173頁3.5.2生成樹(STP)簡介基本術語BPDU，網(wǎng)橋協(xié)議數(shù)據(jù)單元，是運行STP交換機之間交換的消息幀。每個BPDU都包含一個BID，用于標識發(fā)送該BPDU的交換機。BID，網(wǎng)橋ID，BID內含有優(yōu)先級值、發(fā)送方交換機的MAC地址以及可選的擴展系統(tǒng)ID。端口ID，包含交換機端口的優(yōu)先級、接口ID。第100頁/共173頁3.5.2生成樹(STP)簡介BPDU過程最初每臺交換機都將自己作為根橋。交換機S1的優(yōu)先級在所有三臺交換機中最低。因為優(yōu)先級是選擇根橋的初始決定因素，所以S1成為根橋。如果所有交換機的優(yōu)先級相同，MAC地址便成為決定因素。當交換機S3從交換機S2收到BPDU時，S3將自己的根ID與BPDU幀中的進行比較。兩者的優(yōu)先級相同，因此交換機不得不檢查MAC地址部分，以確定哪個MAC地址的值較低。因為S2的MAC地址值更低，S3用S2的根ID更新自己的根ID。此時，S3將S2視為根橋。當S1將自己的根ID與收到的BPDU幀進行比較時，它發(fā)現(xiàn)本地根ID的值更小，所以它將來自S2的BPDU丟棄。當S3送出自己的BPDU幀時，該幀內包含的根ID是S2的ID。當S2收到該BPDU幀時，它檢查發(fā)現(xiàn)BPDU所含的根ID與自己的本地根ID匹配，所以它丟棄該幀。由于S1自己的根ID包含更低的優(yōu)先級，所以它丟棄從S3收到的BPDU幀。S1送出自己的BPDU幀。S3發(fā)現(xiàn)BPDU幀內的根ID值更小，因此它更新自己的根ID，指出現(xiàn)在的根橋是S1。S2發(fā)現(xiàn)BPDU幀內的根ID值更小，因此它更新自己的根ID，指出現(xiàn)在的根橋是S1。第101頁/共173頁3.5.2生成樹(STP)簡介配置和檢驗配置接口的端口開銷在接口配置模式下輸入spanning-treecostvalue

命令。value的范圍介于1到200,000,000之間。配置BID

spanning-treevlanvlan-idrootprimary,該交換機的優(yōu)先級即被設置為預定義的值24576，或者是比網(wǎng)絡中檢測到的最低網(wǎng)橋優(yōu)先級低4096的值。

spanning-treevlanvlan-idrootsecondary,此命令將交換機的優(yōu)先級設置為預定義的值28672。這可確保在主根橋失敗的情況下，該交換機能在新一輪的根橋選舉中成為根橋交換機默認的優(yōu)先級值為32768。配置端口優(yōu)先級值在接口配置模式下輸入命令spanning-treeport-priorityvalue

來配置端口優(yōu)先級值。端口優(yōu)先級值的范圍為0－240（增量為16）。默認的端口優(yōu)先級值是128。第102頁/共173頁3.5.2生成樹(STP)簡介配置和檢驗要檢查交換機端口的端口角色和端口優(yōu)先級，可使用特權執(zhí)行模式命令showspanning-tree。第103頁/共173頁3.5.2生成樹(STP)簡介STP端口狀態(tài)和

BPDU計時器第104頁/共173頁3.5.2生成樹(STP)簡介STP端口狀態(tài)和

BPDU計時器第105頁/共173頁3.5.2生成樹(STP)簡介CiscoPortFast技術PortFast是Cisco獨有的技術。使用PortFast的交換機端口如果被配置為接入端口，該端口會直接從阻塞狀態(tài)轉換到轉發(fā)狀態(tài)，繞過常規(guī)的STP偵聽和學習狀態(tài)。配置PortFast，接口配置模式命令spanning-treeportfast。禁用PortFast輸入接口配置模式命令nospanning-treeportfast。第106頁/共173頁3.5.3STP收斂STP收斂的步驟第一步：選舉根橋根橋選舉在交換機完成啟動時或者網(wǎng)絡中檢測到路徑故障時觸發(fā)。一開始，所有交換機端口都配置為阻塞狀態(tài)，此狀態(tài)默認情況下會持續(xù)20秒。生成樹允許網(wǎng)絡的端與端之間最多有七臺交換機。這樣整個根橋選舉過程能夠在14秒內完成，此時間短于交換機端口處于阻塞狀態(tài)的時間。交換BPDU，每2秒發(fā)送一次，選取BID最小的網(wǎng)橋為根橋。最大老化時間計時器，用于確定在交換機停止從鄰居交換機接收更新時，當前BPDU配置會在交換機中保留多久。最大老化時間計時器默認為20秒。因此，如果交換機連續(xù)10次沒有收到某鄰居的BPDU幀，該交換機會假設生成樹中的一條邏輯路徑斷開，該BPDU信息已不再有效。這將觸發(fā)新一輪生成樹根橋選舉。第107頁/共173頁3.5.3STP收斂STP收斂的步驟第二步：選舉根端口生成樹拓撲中的每臺交換機（根橋除外）都需具有一個根端口。根端口是到達根橋的路徑開銷最低的交換機端口。一般情況下，只根據(jù)路徑開銷來確定根端口。不過，當同一交換機上有兩個以上的端口到根橋的路徑開銷相同時，就需依靠其它端口特征來確定根端口。當沒有使用EtherChannel（鏈路聚合）配置時，如果通過冗余鏈路來將一臺交換機上行連接到另一臺交換機，就可能出現(xiàn)此情況。到根橋的路徑開銷相同的交換機端口使用可配置的端口優(yōu)先級值。它們使用端口ID來做出抉擇。當交換機從具有等價路徑的多個端口中選擇一個作為根端口時，落選的端口會被配置為非指定端口以避免環(huán)路。第108頁/共173頁3.5.3STP收斂STP收斂的步驟第三步：選舉指定端口和非指定端口交換網(wǎng)絡中的每個網(wǎng)段只能有一個指定端口。當兩臺交換機交換BPDU幀時，它們會檢查收到的BPDU幀內的發(fā)送方BID，以了解其是否比自己的更小。BID較小的交換機會贏得競爭，其端口將配置為指定角色。失敗的交換機將其交換機端口配置為非指定角色，該端口最終會進入阻塞狀態(tài)以防止生成環(huán)路。到根橋的路徑開銷相同的交換機端口使用可配置的端口優(yōu)先級值。它們使用端口ID來做出抉擇。當交換機從具有等價路徑的多個端口中選擇一個作為根端口時，落選的端口會被配置為非指定端口以避免環(huán)路。第109頁/共173頁3.5.3STP收斂STP收斂的案例網(wǎng)橋ID：優(yōu)先級：24577MAC地址：000A00222222網(wǎng)橋ID：優(yōu)先級：32769MAC地址：000B00111111網(wǎng)橋ID：優(yōu)先級：32769MAC地址：000A00333333Fa0/1Fa0/2Fa0/3Fa0/1Fa0/2Fa0/2Fa0/3Fa0/1所有鏈路帶寬均為100M端口優(yōu)先級為默認根橋DPDPDPDPRPRPNDPNDP

選根橋，BID小的交換機為根橋其余交換機選RP，路徑開銷最小為RP；路徑開銷相同，端口ID小為RP

剩余網(wǎng)段選DP，BID小的為DP第110頁/共173頁3.5.3STP收斂STP拓撲更改當轉發(fā)端口關閉（例如被阻塞）或某端口在交換機已具有指定端口的情況下轉換為轉發(fā)狀態(tài)時，交換機會認為自己檢測到了拓撲更改。如果檢測到更改，交換機會通知生成樹的根橋。然后根橋將該信息廣播到整個網(wǎng)絡。第111頁/共173頁3.5.4PVST+、RSTP和快速PVST+第112頁/共173頁3.5.4PVST+、RSTP和快速PVST+PVST+在CiscoPVST+環(huán)境中，您可以微調生成樹參數(shù)，使每條上行中繼轉發(fā)一半的VLAN。第113頁/共173頁3.5.4PVST+、RSTP和快速PVST+PVST+PVST+網(wǎng)橋ID第114頁/共173頁3.5.4PVST+、RSTP和快速PVST+PVST+CiscoCatalyst2960系列交換機的的默認生成樹配置第115頁/共173頁3.5.4PVST+、RSTP和快速PVST+PVST+配置PVST+步驟1.為每個VLAN選出要作為主根橋和備用根橋的交換機。步驟2.將交換機配置為一個VLAN的主根橋，例如交換機S3是VLAN20的主根橋。步驟3.將交換機配置為另一個VLAN的備用網(wǎng)橋，配置主根橋spanning-treevlanvlan-IDrootsecondary配置備用根橋spanning-treevlanvlan-IDrootsecondary第116頁/共173頁3.5.4PVST+、RSTP和快速PVST+PVST+配置PVST+第117頁/共173頁3.5.4PVST+、RSTP和快速PVST+RSTPRSTP(IEEE802.1w)是802.1D標準的一種發(fā)展。RSTP能夠達到相當快的收斂速度，有時甚至只需幾百毫秒。RSTP重新定義了端口的類型及端口狀態(tài)。如果端口被配置為替換端口或備份端口，則該端口可以立即轉換到轉發(fā)狀態(tài)。第118頁/共173頁3.5.4PVST+、RSTP和快速PVST+RSTPRSTPBPDU第119頁/共173頁3.5.4PVST+、RSTP和快速PVST+邊緣端口RSTP邊緣端口是指永遠不會用于連接到其它交換機設備的交換機端口。當啟用時，此類端口會立即轉換到轉發(fā)狀態(tài)。與PortFast不同的是，如果RSTP邊緣端口接收到BPDU，則該端口立刻喪失邊緣端口的屬性，而成為普通的生成樹端口。第120頁/共173頁3.5.4PVST+、RSTP和快速PVST+鏈路類型鏈路類型用于將參與RSTP的每個端口分類。邊緣端口和非邊緣端口需滿足不同的條件。非邊緣端口分類為兩種鏈路類型：點對點和共享。鏈路類型是自動確定的，但可以使用顯式端口配置覆蓋。邊緣端口（相當于啟用PortFast的端口）和點對點鏈路可以快速轉換到轉發(fā)狀態(tài)。根端口不使用鏈路類型參數(shù)。根端口一旦處于同步模式下，就能快速轉換到轉發(fā)狀態(tài)。大多數(shù)情況下，替換端口和備份端口不使用鏈路類型參數(shù)。指定端口對鏈路類型參數(shù)的使用程度最高。只有當鏈路狀態(tài)參數(shù)指示為點對點鏈路時，指定端口才能快速轉換到轉發(fā)狀態(tài)。第121頁/共173頁3.5.4PVST+、RSTP和快速PVST+第122頁/共173頁3.5.4PVST+、RSTP和快速PVST+RSTP端口狀態(tài)丟棄、學習、轉發(fā)STP與RSTP第123頁/共173頁3.5.4PVST+、RSTP和快速PVST+RSTP端口角色第124頁/共173頁3.5.4PVST+、RSTP和快速PVST+配置快速PVST+第125頁/共173頁3.5.4PVST+、RSTP和快速PVST+精心規(guī)劃STP了解根橋的位置盡量減少阻塞端口VTP修剪手動修剪使用第3層交換最終要點無論是否有必要請保留STP使流量遠離管理VLAN，不要用單個VLAN覆蓋整個網(wǎng)絡不要用單個VLAN覆蓋整個網(wǎng)絡第126頁/共173頁3.5.4PVST+、RSTP和快速PVST+排除STP運行故障在排除橋接環(huán)路故障之前，您至少需要知道：網(wǎng)橋網(wǎng)絡的拓撲根橋的位置阻塞端口和冗余鏈路的位置PortFast配置錯誤網(wǎng)絡直徑問題（兩臺不同交換機之間的距離不能超過七跳）第127頁/共173頁3交換技術3.6VLAN間的路由（N3-6）第128頁/共173頁3.6.1VLAN間路由VLAN間路由簡介每個VLAN都是獨立的廣播域，所以在默認情況下，不同VLAN中的計算機之間無法通信。允許此類終端間通信的方法，稱為VLAN間路由。我們將VLAN間路由定義為使用路由器從一個VLAN向另一個VLAN轉發(fā)網(wǎng)絡流量的過程。第129頁/共173頁3.6.1VLAN間路由VLAN間路由簡介傳統(tǒng)上的LAN路由通過有多個物理接口的路由器實現(xiàn)。各接口必須連接到一個獨立網(wǎng)絡，并配置不同的子網(wǎng)。第130頁/共173頁3.6.1VLAN間路由VLAN間路由簡介“單臂路由器”是通過單個物理接口在網(wǎng)絡中的多個VLAN之間發(fā)送流量的路由器配置。如圖所示，路由器與交換機S1通過單一的物理網(wǎng)絡連接相連。第131頁/共173頁3.6.1VLAN間路由VLAN間路由簡介單臂路由器路由器接口被配置為中繼模式，并和交換機的中繼接口相連接形成中繼鏈路。通過接收中繼接口上來自相鄰交換機的VLAN標記流量，以及通過子接口在VLAN之間進行內部路由，路由器便可實現(xiàn)VLAN間路由。隨后，路由器會將發(fā)往目的VLAN的VLAN標記流量從同一物理接口轉發(fā)出去。第132頁/共173頁3.6.1VLAN間路由VLAN間路由簡介某些可執(zhí)行第3層功能的交換機可代替專用路由器，執(zhí)行網(wǎng)絡中的基本路由。多層交換機可執(zhí)行VLAN間路由。第133頁/共173頁3.6.1VLAN間路由接口和子接口接口，傳統(tǒng)路由要求路由器具有多個物理接口，以便進行VLAN間路由。路由器通過每個物理接口連接到唯一的VLAN，從而實現(xiàn)路由。各接口配置有一個IP地址，該IP地址與所連接的特定VLAN子網(wǎng)相關聯(lián)。由于各物理接口配置了IP地址，各個VLAN相連的網(wǎng)絡設備可通過連接到同一VLAN的物理接口與路由器通信。第134頁/共173頁3.6.1VLAN間路由接口和子接口子接口，是基于軟件的虛擬接口，可分配到各物理接口。每個子接口配置有自己的IP地址、子網(wǎng)掩碼和唯一的VLAN分配，使單個物理接口可同屬于多個邏輯網(wǎng)絡。這種方法適用于在網(wǎng)絡中有多個VLAN但只有少數(shù)路由器物理接口的VLAN間路由。第135頁/共173頁3.6.1VLAN間路由接口和子接口第136頁/共173頁3.6.2配置VLAN間路由配置VLAN間路由接口第137頁/共173頁3.6.2配置VLAN間路由配置VLAN間路由子接口第138頁/共173頁3.6.2配置VLAN間路由配置VLAN間路由接口子接口第139頁/共173頁3.6.3排查VLAN間路由故障交換配置問題第140頁/共173頁3.6.3排查VLAN間路由故障路由配置問題第141頁/共173頁3.6.3排查VLAN間路由故障IP編址問題網(wǎng)關與子網(wǎng)不匹配主機與子網(wǎng)不匹配第142頁/共173頁3交換技術3.7無線的基本概念和配置（N3-7）第143頁/共173頁3.7.1無線LAN第144頁/共173頁3.7.1無線LANWLAN與LAN的比較第145頁/共173頁3.7.1無線LAN無線LAN標準第146頁/共173頁3.7.1無線LAN無線LAN標準ITU-R管理RF頻段的分配。IEEE規(guī)定如何調制射頻來傳送信息。Wi-Fi確保供應商生產(chǎn)的設備可互操作。無線基礎架構組件無線網(wǎng)卡無線接入點無線交換機、無線路由器等第147頁/共173頁3.7.1無線LANCSMA/CA第148頁/共173頁3.7.1無線LAN“隱藏節(jié)點”第149頁/共173頁3.7.1無線LAN無線網(wǎng)絡的運行第150頁/共173頁3.7.1無線LAN無線網(wǎng)絡的運行ESS在擴展服務區(qū)的蜂窩之間應該有10%到15%的重疊。當蜂窩之間存在15%的重疊時，可以創(chuàng)建一個SSID和非重疊信道（一個蜂窩位于信道1，另一個蜂窩位于信道6）并提供漫游功能。第151頁/共173頁3.7.1無線LAN無線網(wǎng)絡的運行第152頁/共173頁3.7.2無線LAN的安全性無線網(wǎng)絡面臨的安全威脅未經(jīng)授權的訪問駕駛攻擊黑客員工流氓接入點中間人攻擊拒絕服務802.11b和802.11gWLAN使用免授權的2.4GHzISM頻段。大多數(shù)日常無線產(chǎn)品（包括嬰兒監(jiān)控儀、無繩電話（cordlessphones）和微波爐（microwaveovens））都使用該頻段第153頁/共173頁3.7.2無線LAN的安全性無線安全協(xié)議第154頁/共173頁3.7.2無線LAN的安全性無線安全協(xié)議第155頁/共173頁3.7.2無線LAN的安全性無線安全協(xié)議802.11i規(guī)定了兩種企業(yè)級加密機制，分別是：TKIP（臨時密鑰完整性協(xié)議）和AES（高級加密標準）TKIP主要有兩項功能：加密第2層負載基于與WEP相同的加密算法(RC4)

在加密數(shù)據(jù)包中執(zhí)行消息完整性檢查(MIC)。這有助于確保防止消息被纂改。AES包含與TKIP相同的功能，還增加利用MAC報頭的附加數(shù)據(jù)，讓目的主機能夠辨別出是否有加密位被纂改。在加密的數(shù)據(jù)報頭添加一個序列號。第156頁/共173頁3.7.2