- 企业网搭建及应用宝典
- 邓泽国 孙绍志 杨显青编著
- 11字
- 2020-08-27 03:49:45
第二部分 企业网交换技术
第3章 企业网交换机的基本配置
■ 本章提要
通过本章的学习,能够认识交换机,了解交换机的各种接线方式及启动过程,理解交换机的命令结构,掌握交换机的Console及Telnet登录方法。掌握VLAN技术,能够创建VLAN,并将端口划分到VLAN中,掌握端口与VLAN的设置。能够理解PVLAN技术、堆叠技术、地址绑定技术和端口镜像技术等基础性配置。
3.1 交换机的安装和基本操作
3.1.1 交换机的安装
1.安装交接机
交换机可以安装在19英寸标准机柜内,安装过程如下:
步骤1:检查机柜的接地与稳定性。需要将包装箱内已提供的两个L型上架配件固定在交换机的两侧,如图3-1所示。
图3-1 固定架配件安装
步骤2:将交换机放置在机柜的一个托盘上,根据实际情况,沿机柜导槽移动交换机至合适位置,注意保证交换机与导槽间的位置合适。
步骤3:用M3×6FMO沉头螺钉,将上架配件固定在机柜两端的固定导槽上,保证机柜每个槽位的托盘和上架配件将交换机稳定地固定在机柜上,如图3-2所示。
图3-2 固定交换机
注:交换机的两个L型上架配件并不是用来承重的,它只起固定作用,交换机安装在19英寸机柜内时,交换机机箱的下边要有滑道(固定在机架上)来支撑交换机。如果机柜中没有托盘或滑道时,需要在机架后侧安装弯脚架进行承重。
2.交换机配置前的连接
步骤1:交换机与计算机的物理连接。
计算机与交换机的连接方法有几种,这里介绍最常用的是通过Console端口配置的方法。Console口是位于交换机背板的一个基本接口,通过计算机的COM口连接到Console口上就可以对交换机进行配置,如图3-3所示,所用的连接线缆为一端是DB9母头(接计算机COM口),一端是RJ-45接头(接交换机Console口)的专用Console线缆。
图3-3 通过Console端口配置交换机
步骤2:交换机与计算机的逻辑连接。
按照上述说明完成物理连接以后,不要打开交换机电源。在计算机上打开超级终端,依次单击【开始】→【程序】→【附件】→【通信】→【超级终端】。设置终端通信参数如图3-4和图3-5所示。
图3-4 “新建连接”窗口
图3-5 “设置COM端口属性”窗口
3.交换机加电初始化
接通交换机的电源,交换机的启动和初始化过程如下:
C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(11r)EA1, RELEASE SOFTWARE
(fc1)
Compiled Mon 22-Jul-02 18:57 by miwang
Cisco WS-C2950-24 (RC32300) processor (revision C0) with 21039K bytes of
memory.
2950-24 starting...
Base ethernet MAC Address: 0090.2B15.0826
Xmodem file system is available.
Initializing Flash...
…… //省略
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE
SOFTWARE(fc1)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 18-May-05 22:31 by jharirba
Press RETURN to get started!
Switch>
3.1.2 交换机的命令模式
配置交换机是在命令行方式下进行的,并且有几种工作模式。
(1)用户配置模式。
交换机加电启动后,首先进入的是用户模式。在用户模式下,只能查看一些统计信息。命令提示符如下所示。(“//”后边是注释内容,起解释或说明之用,下同)
Switch> //交换机刚启动时,即显示此状态,为用户模式
(2)特权用户配置模式。
在用户配置模式下输入enable命令就进入了特权用户配置模式。在特权用户配置模式下,用户可以查看、修改交换机的配置。特权用户配置模式提示符如下所示。
Switch>enable //由用户模式进入特权模式
Switch#
(3)全局配置模式。
在特权模式下输入config terminal命令就进入了全局配置模式。在全局配置模式下,用户可以修改交换机的全局配置。全局配置模式提示符如下所示。
Switch#configure terminal //由特权模式进入全局配置模式
Swithc(config) #
(4)接口配置模式。
在全局配置模式下,输入命令interface就可以进入到相应的接口配置模式。
有三种接口类型:以太网端口、VLAN接口、port-channel(聚合后的端口)。
在全局模式下输入interface fastethernet 0/1(可以简写为int f0/1)就进入了以太网接口配置模式。在接口配置模式下所作的配置是针对接口的设置。接口配置模式提示符如下所示。
Swithc(config) #int f0/1 //相当于输入interface FastEthernet 0/1
Switch(config-if) #
Interface f0/1命令的含义如下:
• Interface:是进入接口模式的关键字。
• f:是接口类型,f表示快速以太网接口,e表示以太网接口,s表示串口。
• 0/1:“0”表示模块号,“1”表示端口号。
(5)VLAN配置模式。
在全局配置模式下,使用VLAN VLAN_id命令创建一个新的VLAN,VLAN_id的取值范围在1~4094之间。在全局配置模式下,使用interface命令,进入一个已经创建的VLAN,在VLAN模式下配置VLAN参数。VLAN模式命令提示符如下所示。
Switch(config)#VLAN 10 //创建一个以"10"为命名的VLAN
Switch(config-VLAN)#
Switch(config-VLAN)#exit //exit命令返回上一级
Switch(config) #int VLAN 10
Switch(config-if)# //在此状态下进行的配置为VLAN接口配置模式
(6)DHCP地址池配置模式。
在全局配置模式下用ip dhcp pool <name>命令进入到DHCP地址池配置模式,在DHCP地址池配置模式下可以配置DHCP地址池。
Switch(config)#ip dhcp pool 20
Switch(dhcp-config)#
各配置模式之间的关系如图3-6所示。
图3-6 各配置模式之间的关系图
注:其他配置模式可能为DHCP或访问控制列表等配置模式。
3.1.3 交换机的帮助信息
交换机为用户提供了获得帮助的方法。
(1)?:用户可以在任何模式的命令提示符下输入“?”,列出该模式支持的命令。
Switch(config)#interface VLAN 10
Switch(config-if)#?
Interface configuration commands:
arp Set arp type (arpa, probe, snap) or timeout
description Interface specific description
exit Exit from interface configuration mode
ip Interface Internet Protocol config commands
no Negate a command or set its defaults
shutdown Shutdown the selected interface
还可以用于部分提示帮助:
Switch(config)#int?
interface
输入“e?”则给出以e为开头的三个命令:
Switch(config)#e?
enable end exit
(2)Tab键:当输入的字符串可以无冲突地表示命令或关键字时,可以使用Tab键将其补充成完整的命令或关键字。
Switch(config)#ex //按下制表符Tab键
Switch(config)#exit //自动弹出以ex开头的命令
Switch#
(3)使用历史命令。
系统提供了用户输入的命令记录,从历史命令记录中重新调用输入过的命令,可以使用上方向键“↑”操作。最多可单行显示最近输入的10条命令。
还可以使用show history命令,显示之前输入的全部命令:
Switch#show history
ena
configure te
show history
(4)显示系统IOS名称及版本。
Switch>enable
Switch # show version //查看系统中所有版本信息
其他常用查看命令:
Switch# show VLAN //显示VLAN信息
Switch# show interface VLAN 1 //查看交换机有关IP协议的配置信息
Switch# show running-configure //查看交换机当前起作用的配置信息
Switch #show startup-config //查看保存的配置信息
Switch# show interface fastethernet 0/1 //查看交换机1接口的具体配置和
统计信息
Switch# show mac-address-table //查看MAC地址表
Switch# show mac-address-table aging-time //查看MAC地址表自动老化时间
(5)设置主机名。
Swithc(config) #hostname Sw1
Sw1(config) # //以后在不进行更改的情况下,以Sw1为名称显示
(6)保存当前配置信息。
Sw1(config) # copy run star//copy running-config startup-config将当前
正在运行的配置命令,保存到启动的配置文件中,下次
启动时按新配置命令执行
还可以使用如下简单命令保存当前的配置:
Sw1(config) #write memory
(7)交换机恢复出厂默认设置。
switch>enable
switch# erase startup-configure
switch# reload
此命令会清空交换机里所输入过的所有命令,恢复到出厂时的状态。做实验时经常会用到恢复出厂设置命令,但是在配置完成的企业网实际应用中,应谨慎使用此配置命令。
3.1.4 交换机的管理和密码的设置与恢复
用户在购买交换机设备之后,需要对不同位置和环境的交换机进行配置来满足用户对网络的需求。一般根据配置交换机的时候是否占用交换机的背板带宽分为带外管理和带内管理两种。
1.带外管理
管理和配置交换机时,不占用交换机的背板带宽。即前面提到的通过计算机COM口与交换机Console口相连,然后利用“超级终端”对交换机进行管理和配置。初次购买的可管理交换机和能用命令恢复出厂设置的交换机,必须使用这种方法进行初始化等配置。
2.带内管理
管理和配置交换机时,需要使用交换机的背板带宽。可以使用一根直连双绞线,连接计算机网卡和交换机的以太网接口,然后可以使用Web、Telnet、FTP、ASDM(Cisco专用)等方式对交换机进行管理和配置。带内的几种管理方式,都需要提前对交换进行初始设置。
在进行带内管理之前,必须通过带外管理(即通过Console口方式)设置交换机的IP地址。如先将计算机的IP地址设置成10.1.100.105,则在交换机上进行如下配置:
Switch>
Switch>enable
Switch# configure terminal
Switch (config)#interface VLAN 1 //此处必须进入VLAN 1
Switch(config-if)#ip address 10.1.100.105255.255.255.0
//必须是与计算机IP地址不冲突的,一个网段
内的IP地址
Switch(config-if)#no shutdown //激活管理IP
注意:新购买的交换机与恢复出厂设置的交换机,所有端口均属于VLAN 1,设置VLAN 1的IP地址即为交换机的IP地址。
3.密码设置
在思科与锐捷设备上设置密码和授权Telnet用户:
Switch>enable
Switch# configure terminal
Switch (config)# enable password cisco123 //配置使能口令,即特权模式密码
Switch (config)# enable secret ciscolab //配置使能密码
Switch (config)# line vty 0 4 //设置0~4(5个)用户可以
Telnet远程登录
Switch (config)# login //启用需要输入密码才能Telnet
登录成功
Switch (config)# password edge456 //设置以edge456为远程登录的用
户密码
使能口令(Enable Passsword)和使能密码(Enable Secert)一般情况下只需配置一个即可,当两者同时配置时,后者生效。这两者的区别是使能口令以明文显示,而使能密码以密文显示。
也可以使用以下命令完成上面设置密码的过程:
Switch>enable
Switch# configure terminal
Switch (config)# enable secret level 1 0 edge456 //配置远程登陆密码为
edge456
Switch (config)# enable secret level 15 0 star //配置特权密码为star
注意:level 1为普通用户级别,可选1~15,15为最高权限级别;0表示密码不加密,如果使用神州数码设备,Telnet用户按如下方式进行设置:
Switch>en
Switch# con
Switch#telnet-user admin123 password 0 pwd123
4.Telnet登录设置
通过直连双绞线登录到交换机,而不是使用Console配置线。需要将一根直连双绞线两端分别连接到计算机网卡和交换机任何一个以太网端口上(未进行VLAN划分的端口即可)。单击【开始】→【运行】,弹出窗口“cmd(或者“command”),打开命令提示符模式。
PC>telnet 10.1.100.105 //交换机VLAN 1的IP地址
Trying 10.1.100.105 ...Open
User Access Verification
Password: //输入密码:edge456
Switch>enable
Password: //输入密码:ciscolab
Switch#conf //以下配置与Console口配置完全一样
Switch#configure t
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
5.密码的取消与恢复
取消密码的操作是在配置密码命令前加no。
Switch>enable
Switch# configure terminal
Switch (config)#no enable password
Switch (config)#no enable secert
Switch (config)#line console 0
Switch (config)#mo password
Switch (config)#no login
Switch (config)#exit
Switch #show running-configure //查看取消密码后的状态
另外一种情况是在完成交换机的配置后,如果忘记密码,可用如下方式进行密码的恢复与清除(不同类型交换机,密码的恢复与清除方式不同):
① 在Console连接形式下,拔下交换机电源线;
② 接通电源,看到出现提示press Ctrl+C,按键盘上的Ctrl+C键;
③ 在switch:后执行flash_ini命令,即switch:flash_ini;
④ 查看flash中的文件,即switch:dir flash:/;
⑤ 把“config.text”文件改名为“config.old”,即switch:rename flash:config.text flash:config.old;
⑥ 执行boot,即switch:boot;
⑦ 交换机进入是否进入配置的对话,执行no;
⑧ 进入特权模式察看flash里的文件,即show flash;
⑨ 把“config.old”文件改名为“config.text”,即switch:rename flash:config.old flash:config.text;
⑩ 把“config.text”拷入系统的“running-configure”,即copy flash:config.text system running-configure;⑪把配置模式重新设置密码存盘,密码恢复成功。
通过以上复杂的密码恢复设置,在此提醒企业网管理员,机房安全很重要,不要让其他无关人员进入到网络中心机房。
3.2 VLAN(虚拟局域网)配置
3.2.1 VLAN技术简介
VLAN是虚拟局域网(Virtual Local Area Network)的简称,VLAN技术是交换技术的重要组成部分,也是交换机的重要功能之一。它把物理上直接相连的网络从逻辑上划分为多个子网,按照功能、部门及应用等因素划分成工作组,形成一个个虚拟网络。
VLAN建立在局域网交换机的基础上,同时VLAN技术的采用又使得在保持局域网原来低延迟、高吞吐量的基础上,从根本上改善了网络性能,VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。
VLAN具有如下优点:
(1)控制网络的广播流量。
局域网的整个网络是一个广播域,采用VLAN技术,划分出多个VLAN,一个VLAN的广播不会扩散到其他VLAN中,因此端口不会接收其他VLAN的广播。这样,就大大减少了广播的影响,提高了带宽的利用效率。
(2)简化网络管理,减少管理开销。
当VLAN中的用户位置变动时,不需要或只需要少量的重新布线、配置和调试,因此网络管理员能借助VLAN技术轻松管理整个网络。
(3)控制流量和提高网络的安全性。
VLAN技术能控制广播组的大小和位置,甚至能锁定某台设备的MAC地址。由于VLAN之间不能直接通信,通信流量被限制在VLAN内,VLAN之间的通信必须通过路由器。在路由器上设置访问控制,对访问有关VLAN的主机地址、应用类型、协议类型等进行控制,因此VLAN能提高网络的安全性。
(4)提高网络的利用率。
通过将不同应用放在不同的VLAN内的方法,可以在一个物理平台上运行多种相互之间要求相对独立的应用,而且各应用之间不会相互影响。
3.2.2 VLAN的划分方法
在可管理的交换机上划分VLAN,可以根据端口、MAC地址、网络层和IP组播来划分。
(1)Port VLAN(基于端口划分的VLAN)。
这种划分VLAN的方法是根据以太网交换机的端口来划分的,只有处于同一个VLAN的端口才能相互通信。例如,将交换机的1~4端口划分为VLAN 10,5~8端口划分为VLAN 20。这种划分方法的优点是定义VLAN成员时非常简单,再者比较安全、容易配置和维护。它的缺点是如果VLAN 10的用户离开了原来的端口,到了一个新的交换机的某个端口,就必须重新定义。
基于端口划分VLAN的方法是最普遍使用的一种划分VLAN的方法,在一些教材中也称为静态端口分配或静态虚拟网。
(2)基于MAC地址划分VLAN。
根据主机的MAC地址来划分,即对每个MAC地址的主机都分配置它属于哪个组。优点是当用户物理位置移动时,即从一个交换机迁移到其他的交换机时,VLAN不用重新配置。缺点是初始化时,所有的用户都必须进行配置,工作量非常大。另外一个缺点是每个交换机的端口都可能存在很多个VLAN组成员,这样就无法限制广播包了。
(3)基于网络层划分VLAN。
这种划分方法是根据每个主机的网络层地址或协议类型划分的。优点是用户物理位置改变时,不需要重新配置所属的VLAN,还可以减少网络通信量。缺点是效率低,检查每一个数据包的网络层地址需要消耗处理时间。
(4)根据IP组播划分VLAN。
IP组播实际上也是一种VLAN定义,即认为一个组播就是一个VLAN,这种划分方法将VLAN扩大到了广域网,具有更大的灵活性,但是这种方法不适合企业网,因为其效率较低。
3.2.3 VLAN的配置
一个VLAN是以VLAN ID来标识的,可以添加、删除、修改VLAN 2~VLAN 4094。交换机的默认VLAN为VLAN 1,是由交换机自动创建的,并且不可删除。
1.创建和修改VLAN
默认状态下未配置或恢复出厂设置的交换机所有端口均属于VLAN 1,网络管理员自行定义VLAN ID的取值范围为1~4094。创建一个VLAN:
Switch>enable
Switch# configure terminal
Switch (config)#vlan 100 //创建了ID为100的VLAN
也可以对VLAN进行命名
Switch (config)#vlan 100 //创建了ID为100的VLAN
Switch (config-vlan)#name test100 //将VLAN 100命名为test100
创建VLAN的完整过程如下:
Switch(config)#vlan 100
Switch(config-vlan)#name test100
Switch(config-vlan)#exit
Switch(config)#exit
Switch#show vlan
VLAN Name Status Ports
-- ------ ------ ------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
100 test100 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
--------- ------------- --- ----------- ----- ---
1 enet 1000011500 - - - - - 0 0
100 enet 1001001500 - - - - - 0 0
1002 fddi 1010021500 - - - - - 0 0
1003 tr 1010031500 - - - - - 0 0
1004 fdnet 1010041500 - - - ieee- 0 0
1005 trnet 1010051500 - - - ibm - 0 0
使用show vlan命令查看到VLAN 100创建成功,并命名为test100。
Switch(config) # copy running-config startup-config //每次做完配置均
要及时保存
如果想修改一个VLAN配置,则只要输入已经存在的VLAN ID即可。
Switch(config)#vlan 100
Switch(config-vlan)#name test200 //将VLAN 100改名为test200
如果想将VLAN的名字改回到默认的名字,输入no name命令。
Switch(config)#vlan 100
Switch(config-vlan)#no name //将VLAN 100的名字恢复到默认状态0100
2.删除VLAN
如果想删除一个已经存在的VLAN,使用no vlan命令。
Switch#vlan database
Switch(vlan)#no vlan 100
使用此命令,将会删除与该VLAN相关的配置,企业网管理员在实际使用中应谨慎操作。
3.向VLAN分配交换机端口
如果把一个端口分配给一个不存在的VLAN,那么这个VLAN将自动被创建。
Switch#configure terminal
Switch(config)#interface fastethernet0/10
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 100 //把10号端口作为access模
式加入到了VLAN 100
配置完成后,保存当前配置内容。
4.划分VLAN实例
单台交换机划分VLAN。
【实验目的】
学会并掌握二层交换机的VLAN划分方法。
在交换机上划分VLAN 10成员端口1~11,VLAN 20成员端口16。
验证VLAN内部通信和VLAN间通信。
【实验设备】
2台计算机、1台三层交换机(型号:RG-S3760E-24)。
【实验拓扑】
实验拓扑如图3-7所示。
图3-7 划分VLAN应用实例
【实验步骤】
按照图3-7所示连接设备,恢复交换机出厂设置。
将PC1和PC2的IP地址设置在同一网段内,如:
PC1的IP地址为:10.1.100.101,子网掩码为:255.255.255.0;
PC2的IP地址为:10.1.100.120,子网掩码为:255.255.255.0。
Switch#configure terminal
Switch(config)#vlan 10 //创建VLAN 10
Switch(config)#vlan 20 //创建VLAN 20
Switch(config)#interface range fasteternet 0/1-11 //取连续几个端口
Switch(config-if-range)#switchport access vlan 10 //将以上端口划入VLAN 10
Switch(config-if-range)#exit
Switch(config)#interface fastethernet 0/16 //进入16号端口
Switch(config-if)#switchport access vlan 20 //将16号端口划入VLAN 20
Switch(config-if)#exit
Switch(config)#exit
Switch#show vlan
使用查看命令show vlan结果如下:
VLAN Name Status Ports
----------- --------------------------------------
1 default active Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
10 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11
20 VLAN0020 active Fa0/16
使用查看命令show running-config结果如下:
hostname Switch
!
!
!
interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 10
!
interface FastEthernet0/3
switchport access vlan 10
!
interface FastEthernet0/4
switchport access vlan 10
!
interface FastEthernet0/5
switchport access vlan 10
!
interface FastEthernet0/6
switchport access vlan 10
!
interface FastEthernet0/7
switchport access vlan 10
!
interface FastEthernet0/8
switchport access vlan 10
!
interface FastEthernet0/9
switchport access vlan 10
!
interface FastEthernet0/10
switchport access vlan 10
!
interface FastEthernet0/11
switchport access vlan 10
!
… … …
!
interface FastEthernet0/15
!
interface FastEthernet0/16
switchport access vlan 20
!
interface FastEthernet0/17
!
… … …
interface FastEthernet0/24
!
interface Vlan1
no ip address
shutdown
!
【实验结果验证】
将PC1连接到交换机的2号端口,将PC2连接到交换机的9号端口(PC1和PC2只要连接到1~11号端口之间即可),PC间相互ping,查看结果。
同一VLAN间能够ping通。
将PC1连接到交换机2号端口(1~11号端口均可),将PC2连接到交换机16号端口,PC间相互ping,查看结果。
不同VLAN间不能ping通。
3.2.4 VLAN和Trunk(中继模式)的交换机配置
1.交换机VLAN和Trunk配置概述
交换机的端口工作模式常用的有两种:Access(普通模式)和Trunk(中继模式)。
在Access模式下,端口用于终端设备的接入,如计算机、服务器、打印服务器等的连接,Access端口只能承载一个VLAN的流量。在Trunk模式下,端口主要用于交换机间连接,以便在线路上承载多个VLAN。
除了上面两种经常使用的模式外,一般还有Multi模式和Dynamic模式。Multi模式已经逐渐退出使用,Dynamic模式用于动态选择Access模式或Trunk模式。
一个Trunk口默认时可以传输交换机支持的所有VLAN(1~4094)的流量,但是,也可以通过设置Trunk口的许可VLAN列表来限制某些VLAN的流量不能通过这个Trunk口。
Switch#configure terminal
Switch(config)#interface fastethernet0/5
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 33
Switch(config-if)#exit
Switch(config)#exit
Switch#show vlan
Switch#show running-configure
交换机的5号端口可以用来与其他交换机相连接,可以通过所有VLAN。下面将15号端口也设置为Trunk模式,设置其通过的VLAN有部分限制。
Switch#configure terminal
Switch(config)#interface fastethernet0/15
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan add 20
Switch(config-if)#switchport trunk allowed vlan add 50
Switch(config-if)#exit
Switch(config)#exit
Switch#show vlan
Switch#show running-configure
//允许VLAN 20和VLAN 50通过
switchport命令分析:
switchport trunk allowed vlan {all|add|remove|except} vlan-list
参数分别如下所述:
• all许可VLAN列表包含所有支持的VLAN;
• add将指定VLAN列表加入许可VLAN列表;
• remove将指定VLAN列表从许可VLAN列表中删除;
• except将除列出的VLAN列表外的所有VLAN加入许可VLAN列表。
2.VLAN的通信应用实例
多个交换机VLAN的配置。
【实验目的】
学会并掌握二层交换机的多个交换机VLAN的配置方法。
学会将端口划分到某个VLAN中,将两台交换机的24号端口设置为Trunk模式,并理解Trunk通信模式。
验证多个交换机间,跨交换机VLAN的通信。
【实验设备】
4台计算机、2台三层交换机(型号:RG-S3760E-24)
【实验拓扑】
跨交换机的VLAN通信应用实例拓扑图如图3-8所示。
图3-8 跨交换机的VLAN通信应用实例拓扑图
【实验步骤】
按照图3-8所示连接设备,恢复交换机出厂设置。
将PC1、PC2、PC3和PC4的IP地址设置在同一网段内,如:
PC1的IP地址为:10.1.100.111子网掩码为:255.255.255.0;
PC2的IP地址为:10.1.100.122子网掩码为:255.255.255.0;
PC3的IP地址为:10.1.100.133子网掩码为:255.255.255.0;
PC4的IP地址为:10.1.100.144子网掩码为:255.255.255.0。
先对SW1交换机进行配置,首先创建两个VLAN,分别为VLAN 10和VLAN 20,并将3号端口划分到VLAN 10中,将5号端口划分到VLAN 20中,命令行如下:
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#interface fastethernet 0/3
SW1(config-if)#switchport access vlan 10
SW1(config-if)#exit
SW1(config)#interface fastethernet 0/5
SW1(config-if)#switchport access vlan 20
SW1(config-if)#exit
SW1(config)#exit
SW1#show vlan
再对SW2交换机进行配置,首先也是创建两个VLAN,分别为VLAN 10和VLAN 20,并将17号端口划分到VLAN 10中,将19号端口划分到VLAN 20中,命令行如下:
Switch#configure terminal
Switch(config)#hostname SW2
SW2(config)#vlan 10
SW2(config)#vlan 20
SW2(config)#interface fastethernet 0/17
SW2(config-if)#switchport access vlan 10
SW2(config-if)#exit
SW2(config)#interface fastethernet 0/19
SW2(config-if)#switchport access vlan 20
SW2(config-if)#exit
SW2(config)#exit
SW2#show vlan
【实验结果验证】
PC1、PC2、PC3和PC4共4台计算机,任何两台计算机之间均不能ping通。
继续对两台交换机进行配置,将两台交换机相连的24号端口都设置为Trunk模式,交换机SW1做如下配置:
SW1(config)#interface fastethernet 0/24
SW1(config-if)#switchport mode trunk
SW1(config-if)#exit
SW1(config)#exit
SW1#show vlan
交换机SW2做如下配置:
SW2(config)#interface fastethernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#exit
SW2(config)#exit
SW2#show vlan
对实验结果进行验证:
PC1 ping PC2通;
PC3 ping PC4通;
PC1 ping PC3和PC4均不通;
PC2 ping PC3和PC4均不通。
对交换机SW1执行查看命令show running-configure,显示出如下结果:
hostname SW1
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 10
!
interface FastEthernet0/4
!
interface FastEthernet0/5
switchport access vlan 20
!
interface FastEthernet0/6
!
... ... ... ... ...
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport mode trunk
!
可以看出3号端口属于VLAN 10,5号端口属于VLAN 20,两个端口默认属于Access模式,24号端口为Trunk模式。
对交换机SW2执行查看命令show running-configure,显示出如下结果:
hostname SW2
!
!
!
interface FastEthernet0/1
!
... ... ... ... ...
interface FastEthernet0/16
!
interface FastEthernet0/17
switchport access vlan 10
!
interface FastEthernet0/18
!
interface FastEthernet0/19
switchport access vlan 20
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport mode trunk
!
同交换机SW1一样,可以看出17号端口属于VLAN 10,19号端口属于VLAN 20,两个端口默认属于Access模式,24号端口为Trunk模式。
当数据帧在交换机之间转发时,在每一个数据帧上都加上唯一的标识(Tag),用来表示这个数据帧的VLAN信息,一般称为Tag VLAN。每个交换机在将数据帧广播或者转发给其他交换机前,都要对数据帧进行分析和检查。当数据离开网络时,交换机把数据帧携带的VLAN标识清除掉,这样终端设备就可以正常地识别数据帧了。与之对应的两种动作是封装,将VLAN信息加入到数据帧的帧头中,打上Tag;解封装,将VLAN信息从数据帧的帧头内去掉,还原成为一个正常的数据帧,去掉Tag(unTag)。
交换机内部对VLAN Tag的处理按照数据包的转发方向有以下几种情况:
从Access端口进入,然后从Access端口发出,则进入是带上VLAN Tag,发出时去掉VLAN Tag,终端计算机类设备收到的是没有Tag的数据帧;
从Access端口进入,然后从Trunk端口发出;则进入时带上VLAN Tag,发出时保留VLAN Tag,这种情况是终端计算机类设备向其他VLAN里的计算机类设备发数据;
从Trunk端口进入,然后从Trunk端口发出,则VLAN Tag无变化,进来什么样出去还是什么样,此种情况,应用于交换机与交换机之间通信;
从Trunk端口进入,然后从Access端口发出,则进入时无变化,出去时去掉VLAN Tag,此种情况,由其他VLAN里的计算机类设备通过交换机传来数据。
总之,从Access口出来的都是不带Tag的,即终端计算机类设备收到的是没有Tag的数据帧,从Trunk口出来的,都是带Tag的,即交换机之间不处理Tag。
3.3 交换机基础配置
网络管理员在操作和配置交换机、管理网络时,除了对VLAN的熟练配置外,还要对PVLAN技术、地址绑定技术、堆叠技术、端口镜像技术等有一定的掌握。
3.3.1 Trunk接口修剪配置
Trunk模式主要用在连接其他交换机或网络设备上,以便在线路上承载多个VLAN。当把端口配置成Trunk模式后,默认情况下,Trunk端口允许所有的VLAN通过。
当要禁止某些VLAN通过,或添加某些VLAN通过时,可以对其进行如下配置。
switchport trunk allowed vlan{<vlan-list>|all}
Switch(config)#switchport trunk allowed vlan all //允许所有VLAN通过
Switch(config)#switchport trunk allowed vlan 20 //允许VLAN 20通过
Switch(config)#switchport trunk allowed vlan 126 //允许VLAN 126通过
3.3.2 PVLAN(私有虚拟局域网)的配置
PVLAN(Private VLAN称为私有VLAN,也称专有VLAN)的功能是在小区接入中,通过将用户划入不同的VLAN,实现用户之间二层报文的隔离。PVLAN采用二层VLAN的结构,在一台以太网交换机上存在Primary VLAN和Secondary VLAN。一个Primary VLAN和多个Secondary VLAN对应。
PVLAN可以使交换机的端口属于不同VLAN,但使用同一网段的地址,从本质上来说,PVLAN是一种允许在一个IP子网下划分多个VLAN的技术,它隔断了主机在二层上的通信,却允许所有的主机与同一个网关进行三层上的通信。
PVLAN中使用了主VLAN、从VLAN、混杂端口、公共端口、孤立端口等概念。一个PVLAN可以包含一个主VLAN(Primary VLAN)和多个从VLAN(Secondary VLAN),处于主VLAN中的交换机端口叫做混杂端口(Promiscuous Port)。从VLAN有两种类型:处于公共VLAN中的交换机端口叫做公共端口(Community Port),处于孤立VLAN中的交换机端口叫做孤立端口(Isolated Port)。从VLAN必须和主VLAN建立关联关系后才能正常工作,PVLAN实际上是指建立了关联关系后的一个主VLAN和多个从VLAN的组合体,通常情况下,一个PVLAN可以包含多个公共VLAN,但只能包含一个孤立VLAN。
PVLAN应用实例
【实验目的】
PC1能够访问PC2和PC3所在的VLAN,而PC2与PC3之间不能访问,通过本实验理解PVLAN,并掌握PVLAN技术和配置。
【实验设备】
三层交换机1台、路由器1台,计算机3台、双绞线。
【实验拓扑】
PVLAN应用实例的实验拓扑如图3-9所示。
图3-9 PVLAN应用实例的实验拓扑
【实验步骤】
按图3-9所示连接设备,恢复交换机和路由器的出厂设置。
PC1属于VLAN 100,连线到交换机的1号端口。PC2属于VLAN 201,连线到交换机的2号端口。PC3属于VLAN 202,连线到交换机的3号端口。交换机通过24号端口与路由器相连。
配置交换机Switch,命令行如下:
Switch(config)#vlan 201
Switch(config-vlan)#private-vlan commuity
Switch(config)#vlan 202
Switch(config-vlan)#private-vlan commuity
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 201,202
Switch(config-vlan)#exit
Switch(config)#int fa0/24
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 100201,202
Switch(config-if)#exit
Switch(config)#interface range fastethernet 0/1-2
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 100201
Switch(config-if)#exit
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 100202
Switch(config)#interface fastethernet 0/3
Switch(config)#vtp mode transparent
Switch(config)#vlan 201
Switch(config-vlan)#private-vlan commuity
Switch(config)#vlan 202
Switch(config-vlan)#private-vlan isolated
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan primary
Switch(config-vlan)#private-vlan association 201,202
Switch(config-vlan)#exit
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 100201,202
Switch(config-if)#exit
Switch(config)# interface fastethernet 0/2
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 100201
Switch(config-if)#exit
Switch(config)# interface fastethernet 0/3
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 100202
Switch(config-if)#exit
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 100202
Switch(config-if)#end
在PC1、PC2和PC3之间进行ping操作,查看配置是否成功。
目前很多厂商生产的交换机都支持PVLAN,它在解决通信安全、防止广播风暴、防止IP地址浪费、优化网络结构等方面的优势非常明显,而且PVLAN在交换机上的配置也相对简单,以上特性使得PVLAN技术可以应用在具有多个部门、多种安全级别的企业环境中。
3.3.3 地址绑定
为了提高整个网络的安全性,阻止没有授权的计算机接入网络中,我们可以采用MAC地址绑定的方法来限制非法用户。
端口绑定分为两种方式:静态绑定和动态绑定。静态绑定直接添加MAC和端口到MAC表中。这样可以阻止拥有添加到地址表中的MAC地址的计算机接入到其他端口,但是不能限制其他没有绑定的MAC地址的计算机接入到网络。另外一种是动态绑定,MAC地址学习功能关闭,不但可以阻止被绑定的计算机随意接入网络,而且可以阻止没有被绑定的计算机随意接入网络。动态MAC地址绑定的安全性要比静态绑定的安全性高一些。
在命令提示符下运行ipconfig /all,能够获取该计算机的MAC地址。即一个48位的16进制数,例如,Physical Address……00-1A-4C-7A-9B-8D,此物理地址全球唯一。
1.静态绑定MAC地址应用实例
【实验目的】
学会并掌握交换机的MAC地址绑定配置方法。
【实验设备】
三层交换机1台、计算机2台(假设PC1的MAC地址是00-1A-4C-7A-9B-8D)、双绞线。
【实验拓扑】
静态绑定MAC地址应用实例的实验拓扑如图3-10所示。
图3-10 静态绑定MAC地址应用实例的实验拓扑
【实验步骤】
按图3-10所示连接设备,并恢复交换机的出厂设置。
对交换机Switch进行配置,命令行如下:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.41.1.3255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00-1A-4C-7A-9B-8D
Switch(config-if)#exit
【验证结果】
将PC1连接到交换机F0/1端口,ping交换机可以ping通;
将PC1连接到交换机其他端口,ping交换机不能ping通;
将PC2连接到交换机F0/1端口,ping交换机可以ping通;
将PC2连接到交换机其他端口,ping交换机可以ping通。
可以使用show port-security来查看配置情况。
在一个交换机端口上静态绑定多个MAC地址:
Switch(config)#interface fastethernet 0/20
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maxinum 3
Switch(config-if)#switchport port-security mac-address 00-1A-4C-7A-9B-8D
Switch(config-if)#switchport port-security mac-address 00-54-4C-67-9B-AF
Switch(config-if)#switchport port-security mac-address A4-1A-98-e3-CD-21
Switch(config-if)#exit
可以使用show port-security来查看配置情况。
2.动态绑定MAC地址应用实例
【实验目的】
理解定时器的功能;
理解交换机动态学习、锁定状态的区别;
掌握交换机动态绑定MAC地址的配置方法。
【实验设备】
三层交换机1台、计算机2台、双绞线。
【实验拓扑】
动态绑定MAC地址应用实例的实验拓扑如图3-11所示。
图3-11 动态绑定MAC地址应用实例的实验拓扑
【实验步骤】
按图3-11所示连接,并配置设备,恢复交换机的出厂设置。
配置交换机Switch,命令行如下:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.41.1.3255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security lock
Switch(config-if)#switchport port-security convert
Switch(config-if)#exit
【验证结果】
PC1只有在F0/1端口,才可以ping通PC2。端口F0/1只允许连接PC1,其他设备连接在F0/1不能通信。
可以使用show port-security来查看配置情况,还可以使用定时器进行动态绑定,操作如下;
Switch(config)#interface fastethernet 0/18
Switch(config-if)#switchport port-security timeout 5
Switch(config-if)#exit
锁定定时器超时就执行MAC地址锁定操作,将动态MAC地址转换为MAC地址。
可以用clear port-security dynamic命令来清除指定端口的动态MAC地址。
3.交换机端口和IP地址绑定应用实例
【实验目的】
掌握IP地址的绑定。
【实验设备】
三层交换机1台、计算机2台、双绞线。
【实验拓扑】
IP地址绑定的实验拓扑如图3-12所示。
图3-12 IP地址绑定的实验拓扑
【实验步骤】
按照图3-12所示连接设备,恢复交换机的出厂设置。
配置交换机Switch,命令行如下:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.41.1.3255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#am enable
Switch(config)#interface fastethernet 0/1
Switch(config-if)#am ip-pool 10.41.1.1 10 //定义地址池
Switch(config-if)#exit
【验证结果】
PC1的IP地址为10.41.1.1,并且连接到交换机F0/1端口时,ping交换机的IP地址为10.41.1.3,可以ping通。
PC1的IP地址为10.41.1.9,并且连接到交换机F0/1端口时,ping交换机的IP地址为10.41.1.3,可以ping通。
PC1的IP地址为10.41.1.11,并且连接到交换机F0/1端口时,ping交换机的IP地址为10.41.1.3,不能ping通。
PC2的IP地址为任何地址,并且连接到交换机任何端口时,ping交换机的IP地址为10.41.1.3,不能ping通。
可以使用show am命令查看配置情况,可以使用no am port命令来取消端口am功能。
4.交换机端口、MAC地址、IP地址绑定的应用实例
交换机端口、MAC地址、IP地址的绑定(部分交换机无此功能)。
【实验目的】
理解交换机端口、MAC地址和IP地址的绑定。
【实验设备】
三层交换机1台、计算机2台(获得PC1的MAC地址00-1A-5D-47-9B-E5)、双绞线。
【实验拓扑】
端口、MAC地址和IP地址绑定的实验拓扑如图3-13所示。
图3-13 端口、MAC地址与IP地址绑定的实验拓扑
【实验步骤】
按图3-13所示连接设备,恢复交换机的出厂设置。
配置交换机Switch命令行如下:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.41.1.3255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#am enable
Switch(config)#interface fastethernet 0/1
Switch(config-if)#am mac-ip-pool 00-1A-5D-47-9B-E5 10.41.1.1 1
Switch(config-if)#exit
可以使用show am命令来查看配置情况。
【验证结果】
PC1的IP地址为10.41.1.1,并且连接到交换机F0/1端口时,ping交换机的IP地址为10.41.1.3,可以ping通。
PC1的IP地址为10.41.1.1,并且连接到交换机其他端口时,ping交换机的IP地址为10.41.1.3,不能ping通。
PC1的IP地址为10.41.1.10,并且连接到交换机F0/1端口时,ping交换机的IP地址为10.41.1.3,不能ping通。
其他计算机配任何IP地址,连接到交换机的任何端口,ping交换机的IP地址为10.41.1.3,都不能ping通。
3.3.4 堆叠技术配置
当单一交换机所能够提供的端口数量不足以满足网络计算机的需求时,必须要有两个以上的交换机提供相应数量的端口,这也涉及交换机之间连接的问题。交换机之间的连接有两种方式:级联和堆叠。
1.级联和堆叠
级联是通过集线器或交换机的某个端口(例如,uplink或普通端口)与其他集线器或交换机直接相连,不做任何管理或配置,而堆叠是通过交换机的背板连接起来的,将一组交换机作为一个对象来管理。
级联只需要一根双绞线,堆叠需要使用专用的堆叠模块和堆叠线缆,还需要对其进行堆叠配置。级联后每台集线器或交换机在逻辑上仍是多个被网管的设备,而堆叠后的数台集线器或交换机在逻辑上是一个被网管的设备。
交换机间的级联,在理论上没有级联数的限制。但是,叠堆可容纳的交换机数量,各厂商都有明确的限制。多台交换机级联时会产生级联瓶颈,并将导致较大的转发延迟。而多台交换机通过堆叠连接在一起,堆叠线缆将能提供更高的背板带宽,从而可以实现所有交换机之间的高速连接。
级连层次很少的网络,级连方式可以提供最优性能。但是相对于计算机网络用户较多的企业网来说,更适合采用堆叠技术来扩展交换机端口。
2.堆叠方式
交换机堆叠是通过专用连接线,从一台交换机的“UP”堆叠端口直接连接到另一台交换机的“DOWN”堆叠端口的,以实现单台交换机端口数的扩充,一般交换机能够堆叠4~9台。
目前流行的堆叠技术有两种:菊花链式堆叠和星型堆叠。
(1)菊花链式堆叠。
菊花链式堆叠是一种基于级连结构的堆叠技术,对交换机硬件上没有特殊的要求,通过相对高速的端口串接和软件的支持,最终实现构建一个多交换机的层叠结构,通过环路,可以在一定程度上实现冗余,如图3-14所示。
图3-14 菊花链式堆叠
菊花链式结构由于需要排除环路所带来的广播风暴,在正常情况下,任何时刻环路中的某一台从交换机到达主交换机只能通过一个高速端口进行,需要通过所有上游交换机来进行交换。
菊花链式堆叠是一种简化的堆叠,主要是一种提供集中管理的扩展端口技术,对于多交换机之间的转发效率并没有提升。菊花链式堆叠的层数一般不应超过四层,要求所有的堆叠组成员摆放的位置一般同在一个机柜内。
(2)星型堆叠。
星型堆叠技术是一种高级堆叠技术,对交换机而言,需要提供一个独立的或者集成的高速交换中心,一般称为堆叠中心,所有的堆叠主机通过专用的高速堆叠端口上行到统一的堆叠中心,如图3-15所示。由于涉及专用总线技术,电缆长度一般不能超过2 m,所以,采用星型堆叠模式的所有交换机一般局限在一个机柜内。
图3-15 星型堆叠
3.常见堆叠端口
(1)堆叠GBIC模块。
堆叠GBIC模块用于实现交换机之间的千兆连接。1000 Base-T GBIC模块和GigaStack GBIC堆叠模块与电缆分别如图3-16和图3-17所示。
图3-16 1000Base-T GBIC模块
图3-17 GigaStack GBIC堆叠模块和电缆
(2)SFP。
SFP(Small Form-factor Pluggables)可以理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,可以在相同面板上配置多出一倍的端口数量,SFP模块(如图3-18所示)在功能上与GBIC基本一致。
图3-18 SFP模块
4.堆叠配置应用实例
【实验目的】
了解堆叠技术,掌握堆叠的配置方法。
【实验设备】
三层交换机3台(型号:RG-S3760E-24);
堆叠模块;
堆叠专用连接线缆。
【实验拓扑】
堆叠配置应用实例的实验拓扑如图3-19所示。
图3-19 堆叠配置应用实例
【实验步骤】
按图3-19连接设备,各交换机恢复出厂设置。
配置交换机SWA,命令行如下:
Switch#configure terminal
Switch(config)#hostname SWA
SWA(config)#stacking enable simplex interface fastethernet 1/1
SWA(config)#stacking priority 80 //默认值为50,提高优先级为主交换机
SWA(config)#show stacking //查看堆叠配置情况
配置交换机SWB,命令行如下:
Switch#configure terminal
Switch(config)#hostname SWB
SWB(config)#stacking enable simplex interface fastethernet 1/1
SWB(config)#stacking enable simplex interface fastethernet 2/1
配置交换机SWC,命令行如下:
Switch#configure terminal
Switch(config)#hostname SWC
SWC(config)#stacking enable simplex interface fastethernet 2/1
命令show stacking用于查看堆叠配置信息。
堆叠数据流分为单工和双工,在配置时注意使用。单工使用参数Simplex,双工使用参数Duplex。
3.3.5 端口镜像配置
端口镜像(Port Mirroring)是把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
在一些交换机中,通过对交换机的配置来实现将某个端口上的数据包复制一份到另外一个端口上,这个过程就是“端口镜像”。交换机把某一个端口接收或发送的数据帧完全相同地复制给另一个端口;其中被复制的端口称为镜像源端口,复制到的端口称为镜像目的端口。
1.端口镜像的目的
由于网络管理员需要对网络中的流量和数据进行监听,因此需要通过配置交换机把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
2.端口镜像的功能
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧,需要提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要在网络中有一个端口能提供这种实时的监控功能。在企业网中使用端口镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出现故障时,可以做到故障定位。
3.端口镜像的条件
并不是所有的端口都可以进行端口镜像,其需要满足以下条件:
(1)端口镜像中的源和目的端口的速率必须匹配,否则可能会丢失数据。目的端口的速率优势可以大于源端口的速率,但是绝对不能小于源端口的速度。
(2)在使用端口镜像的时候,所有端口都应该在一个VLAN中。
4.端口镜像数据流
在做端口镜像时,监听端口的数据流主要分为三类:
(1)输入数据流(接收的流量):指被源端口接收进来,其数据副本发送至监控端口的数据流。
(2)输出数据流(发送的流量):指从源端口发送出去,其数据副本发送至监控端口的数据流。
(3)双向数据流(发送和接收的流量):为以上两种的综合。
5.端口镜像实例
【实验目的】
学会端口镜像技术的配置方法;
使用Sniffer抓取被镜像端口的网络数据包。
【实验设备】
计算机2台、三层交换机1台(型号:RG-S3760E-24),直连双绞线。
【实验拓扑】
端口镜像的实验拓扑如图3-20所示。
图3-20 端口镜像应用实例的实验拓扑
【实验步骤】
按照图3-20所示连接设备,将PC 1连接到交换机SWA的1号端口,将PC 2连接到交换机SWA的2号端口,恢复交换机出厂设置。
将交换机的端口F0/1和F0/2划入到VLAN 100中:
Switch#configure terminal
Switch(config)#hostname SWA
SWA(config)#interface range fasteternet 0/1-2
SWA(config-if-range)#switchport access vlan 100
Switch(config-if-range)#exit
将PC1和PC2的IP地址设置在同一网段内,如:
PC1的IP地址为10.1.100.211子网掩码为255.255.255.0;
PC2的IP地址为10.1.100.222子网掩码为255.255.255.0。
对交换机SWA进行端口镜像,在PC1上,监听PC2所发送和接收的数据流,配置命令行如下:
SWA(config)#monitor session 1 source interface fastethernet 0/2 both
SWA(config)#monitor session 1 destination interface fastethernet 0/1
SWA(config)#exit
SWA#show monitor
Session number:1
Source ports:fastethernet 0/2
RX:No
TX:No
Both:Yes
Destination port:fastethernet 0/1
-------------------------------------
在源端口列表中,RX参数表示镜像源端口接收的流量,TX参数表示从源端口发出的流量,Both参数表示镜像源端口发送和接收的流量。
在PC1上安装抓包软件Sniffer,启动Sniffer软件,用PC2 ping PC1,查看捕获的数据包,找到ICMP数据,也可以用PC1 ping PC2,同样查看捕获的数据包,找到ICMP数据。即在PC1上安装抓包软件,可以完全监听PC2上发送和接收的数据及流量。