交换机高级配置交换机高级配置.ppt

交换机高级配置 主要内容: 了解VLAN的基本概念与VLAN协议 掌握交换机中VLAN的配置 掌握VTP的配置 了解交换机的端口安全性配置 了解交换机的其他配置 VLAN的基本概念与VLAN协议介绍 为什么要用虚拟局域网（VLAN） 虚拟局域网的运作原理 为什么要用虚拟局域网（VLAN） 以太网交换物理上把LAN分成单独的冲突域。但是，每个段仍然是一个广播域的一部分。VLAN是网络设备（如交换机）上连接的不受物理限制的用户的一个逻辑组。在一个VLAN上的用户可以按功能、部门、应用等等分类，而不管其物理段位置.。VLAN创建了不限于物理段的单一广播域，并像一个子网一样对待。 VLAN可以减轻网络工程师的工作负担。VLAN还可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行控制，而不管其处在网络中的哪个位置。 VLAN的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。Cisco Catalyst交换机能够完成很多功能来加强和简化VLAN的实现。中继线（trunking）的使用允许V L A N跨接由小型的或大型区域分开的多个交换机。但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。 虚拟局域网的运作原理 在企业发展初期，为了节约成本，企业采取了通过路由器实现分段的简单结构。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。 虚拟局域网的运作原理 VLAN概念的引入，使交换机承担了网络的分段工作，而不再使用路由器来完成。VLAN具有控制广播、安全性高和灵活性及可扩展性等技术优势。 虚拟局域网的运作原理 通过使用VLAN，能够把原来一个物理的局域网划分成很多个逻辑意义上的子网，而不必考虑具体的物理位置，每一个VLAN都可以对应于一个逻辑单位，如部门、车间和项目组等。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机，因此减少了数据交互的可能性，极大地增强了网络的安全性。 交换机中VLAN的配置 动态配置VLAN方式 静态配置VLAN方式 帧标记 动态配置VLAN方式 动态VLAN提供以端用户设备的MAC地址为基础的成员。当一台设备连接到交换机端口的时候，这台交换机必须有效地查询数据库来建立VLAN成员。网络管理者必须把用户MAC地址分配到一个在VLAN成员策略服务器（VMPS）数据库中的VLAN。 对于Cisco交换机，动态VLAN使用网络管理工具来创建和管理，例如Cisco Works 2000。动态VLAN允许端用户具有充分的机动性和灵活性，但是需要更多的管理开销。 静态配置VLAN方式 静态VLAN提供基于端口的成员，在那里交换机端口被分配到特殊的VLAN。通过网络管理员的人为干涉，交换机端口被分配到VLAN，因此具有静态的特征。每一个端口接收一个端口VLAN ID（PVID），将它和VLAN号码相关联。在一台单独的交换机上端口可以被分配或者聚集到许多VLAN。 这种方式有很好的安全性，但灵活性较差。 帧标记 当帧在网络中被交换，switches根据类型对其跟踪，加上根据硬件地址来判断如何对他们进行操作。需特别注意的是：在不同类型的连接中，帧被处理的方式也不一样。 帧标记 交换环境中的2种连接类型： access links：指的是只属于一个VLAN，且仅向该VLAN转发数据帧的端口，也叫做native VLAN。switches把帧发送到access-link设备之前，移去任何的VLAN信息。而且access-link设备不能与VLAN外通信，除非access-link设备上数据包被路由。 trunk links：指的是能够转发多个不同VLAN的通信的端口。trunk link必须使用100Mbps以上的端口来进行点对点连接，一次最多可以携带1005个VLAN信息.trunk link使其单独的1个端口同时成为数个VLAN的端口，这样可以不需要3层设备。当在switches之间使用了trunk link，多个VLAN的信息将从这个连接上通过；如果在switches之间没有使用trunk link而使用一般的连接，那么只有VLAN1的信息通过这个连接被互相传递。VLAN1默认作为管理VLAN。 帧标记 VLAN标识符：在交换机的trunk link上，可以通过对数据帧附加VLAN信息，构建跨越多台交