发布时间 : 星期二 文章CCNA复习知识点更新完毕开始阅读044614e7c77da26925c5b0df
S1(config)#interface vlan 1 //进入逻辑接口Vlan1
S1(config-if)#ip address 192.168.10.17 255.255.255.240 //为逻辑接口设置IP便于管理 S1(config-if)#no shutdown
端口安全
S1(config)#interface range fastethernet0/3-4 //进入端口F0/3和F0/4
S1(config-if-range)#switchport port-security maximum 1 //充许端口最大接入数为1 S1(config-if-range)#switchport port-security mac-address sticky
//接入设备的MAC地址自动关联,这样就不必手工输入每台设备的所有MAC地址了。 S1(config-if-range)#switchport port-security violation shutdown //违规则关闭端口
S1(config-if-range)#spanning-tree portfast //启用生成树快速端口
S1(config-if-range)#spanning-tree bpduguard enable
//为配置了portfast的端口开启BPDU护卫,可防止错误地在出现环路的端口上使用portfast。它会将该端口自动置为错误的禁用状态。该命令只在接入层交换机上使用。 S1(config-if-range)#spanning-tree bpdufilter enable //为配置了portfast的端口开启BPDU过滤,与bpduguard不同的是,它将使端口保持打开,但不运行Portfast。 S1(config-if-range)#exit
S1(config)#spanning-tree uplinkfast
//启用生成树上行链路快速,它是一个全局命令,在每个端口上都可以启用。用于接入层交换机。用来在本地交换机上检测链路失效并修复。 S1(config)#spanning-tree backbonefast
//启用生成树主干快速,与uplinkfast不一样的是,它可在网络中所有交换机上配置,用来在远端交换机上检测链路失效并且修复。
9、配置EtherChannel
如:S1的F0/1、F0/2分别与Core交换机的F0/7、F0/8相连
F0/1S1F0/2F0/7CoreF0/8
对于S1:
S1(config)#interface port-channel 1 //创建逻辑聚合端口通道1 S1(config-if)#interface range f0/1-2 //捆绑接口F0/1、F0/2
S1(config-if-range)#switchport mode trunk //定义为trunk(干线/中继)端口
S1(config-if-range)#switchport nonegotiate //关闭端口自动协商,以阻止交换机试图自动检测链路类型,以及自动设置中继。
S1(config-if-range)#channel-group 1 mode desirable //desirable选项:交换机主动要求形成一个EthernetChannel 并发送pagp分组。 对于Core:
Core(config)#interface port-channel 1 Core(config-if)#interface range f0/7-8
Core(config-if-range)#switchport trunk encapsulation dot1q //中继线路封装802.1q协议 Core(config-if-range)#switchport mode trunk Core(config-if-range)#switchport nonegotiate
Core(config-if-range)#channel-group 1 mode desirable
10、验证Cisco Catalyst交换机的配置
交换机上并不需要IP地址,在交换机上设置IP地址、掩码、和默认网关的唯一理由是出于管理的需要,它们都配置在vlan下:
S1#show running-config //显示配置文件了解设备的大致情况 S1#show interface vlan 1 //显示vlan1下的IP地址、掩码等
S1#show mac address-table //显示转发过滤表,也称内容可寻址内存(content addressable memory,CAM)表。
11、分配静态MAC地址 S1#config t
S1(config)#mac-address-table static aaaa.bbbb.cccc vlan 1 int fa0/5
//将MAC地址aaaa.bbbb.cccc静态地分配给vlan 1中的快速以太网端口fa0/5
12、生成树相关信息
S1#show spanning-tree //显示生成树协议运行情况
S1#show spanning-tree vlan 2 //显示vlan 2的STP运行情况。每个vlan都运行它自己的STP。
13、确定根桥
a、首先看优先级,优先级小的胜出;
b、看MAC地址,MAC地址最小的设备胜出。
14、设置根桥
方法1:改变优先级 S1#config t
S1(config)#spanning-tree vlan 1 priority 16384
//优先级取值范围是0~61440,如果为0,表示那台交换机始终是根桥,如果为61440,就表示那台交换机永远不会成为根桥。 方法2:直接设置为根桥
S1(config)#spanning-tree vlan 1 root primary
//这个命令并不会覆盖低优先级的交换机,仅当所有的交换机都设置了相同或更高的优先级时,这个命令才起作用。
第九章 虚拟局域网(VLAN)
在一个纯交换式的互联网络中,可以通过创建虚拟局域网(VLAN)来分隔广播域。那么,这是否意味着我们不再需要路由器了呢?这实际上取决于你要什么,如果想要在VLAN之间进行通信,那就仍然需要路由器。
1、VLAN简介
用VLAN来简化网络管理的方式有多种:
通过将某个端口配置到合适的VLAN中,就可以实现网络的添加、移动和改变;
将对安全性要求高的一组用户放入VLAN中,这样,VLAN外部的用户就无法与它们通信; 作为功能上的逻辑用户组,可以认为VLAN独立于它们的物理位置或地理位置; VLAN可以增强网络安全性;
VLAN增加了广播域的数量,同时减小了广播域的范围。
2、VLAN的功能 广播控制; 增强安全性;
灵活性和可扩展性;
(说明:在划分VLAN时,其中VLAN1是负责管理的VLAN,尽管它可以被用做工作组,但Cisco推荐这个号码只用于管理用途。你无法删除或改动VLAN1的名称,而且默认时,交换机上的所有端口都是VLAN1的成员,直到你改动它们为止。)
3、VLAN成员关系
VLAN通常是由管理员创建的,并由管理员将交换机端口分配到每个VLAN中,这种类型的VLAN称为静态VLAN。如果管理员将所有主机设备的硬件地址都分配到一个数据库中,那么无论什么时候主机插入到交换机中,交换机都可以配置为动态地分配VLAN,这种方式称为动态VLAN。
其中通常都是创建静态VLAN,原因之一是,静态VLAN是最安全的。其次,静态VLAN配置更加容易和监控。
动态VLAN能够自动决定一个结点的VLAN分配。通过使用智能化的管理软件,就可以基于硬件(MAC)地址、协议甚至应用程序来创建动态VLAN。可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立MAC地址的数据库,这个数据库可以用于VLAN的动态寻址。在同一台交换机上,可以有动态接入端口和中继端口,但必须将动态接入端口接到终端工作站或集线器上,而不是连接到另一台交换机!
如果交换机端口是访问端口,那么它就只能属于某一个VLAN;如果交换机端口是中继端口,那么它就可以属于所有VLAN。可以将某个端口手工配置为访问端口或中继端口,或者让动态中继协议(Dynamic Trunking Protocol,DTP)基于每端口操作,以设置交换机的端口模式。通过与链路另一端的端口进行协商,DTP就能够做到这一点。
4、访问端口
访问端口只能属于某一个VLAN,它只能承载某一个VLAN的流量。流量只以本机格式(native formats)
接收和发送,无论如何都不会带有VLAN标记(tagging)。需要知道的另外一点是,在帧被转发到连接访问链路的设备之前,交换机要从帧中删除任何有关VLAN的信息。
语音访问端口:现在,大多数交换机都允许向交换机上的访问端口添加第二个VLAN,以传送语音流量,它被称为“语音VLAN”。语音VLAN通常又称为“辅助VLAN”,它被允许覆盖在数据VLAN之上,使得两种类型的流量能够通过同一个端口进行传送。
5、中继端口
中继链路是两台交换机之间的100Mb/s或1000Mb/s的点对点链路,也可以是交换机与路由器之间的或者是交换机与服务器之间的这种链路。它能够承载多个VLAN的通信量,同时有1~4094个VLAN(除非使用扩展的VLAN,否则实际上只能是1005个VLAN)。它能使同一VLAN位于不同交换机上的主机进行通信。
6、帧标记
它的目的是用于区分不同VLAN的数据,它的工作原理是:接收到帧的每台交找机必须首先识别帧标记中的VLAN ID,然后通过查看过滤表中的信息,它就知道该对帧进行哪些处理。如果接收到帧的交换机有另一条中继链路,帧就从中继路端口转发出去。一旦帧到达了由转发/过滤表决定的、与帧的VLAN ID相匹配的访问链路的出口,交换机就删除VLAN标识。这样,目的设备就可以接收该帧,而无需去理解它们的VLAN标识。
7、VLAN的识别方法
交换机间链路(Inter-Switch Link,ISL):是Cisco交换机专用的方法,它只用于快速以太网和吉比特以太网链路。通过一种外部封装方法(ISL),这种标记信息允许VLAN在中继链路上实现多路复用,从而允许交换机在中继链路上识别出帧的VLAN成员关系。
IEEE802.Q:它是由IEEE创建的,它实际上是在帧中插入一个字段,以标识VLAN。它的原理是,首先指定准备采用802.1Q封装来实现中继的每个端口,必须为端口分配特定的VLAN ID,使它们成为本机VLAN,以便让它们通信。属于同一中继链路的端口所创建的工作组就成为本机VLAN,每个端口用反映其本机VLANR 标识号作为标记,默认时为VLAN1。本机VLAN允许中继链路传送所接收到的没有任何VLAN标识或帧标记的信息。
ISL和802.1Q帧标记方法的基本意图是,提供交换机之间的VLAN通信。同样要记住,如果帧是从访问链路上转发出来的,就将删除任何ISL或802.1Q帧标记。就是说,帧标记只能在中继链路上使用。
8、VLAN中继协议(VTP:VLAN Trunking Protocol)
目标是,跨交换式互联网络管理所有已经配置好的VLAN,并在那个网络上维护其一致性。VTP允许管理员对VLAN进行添加、删除、和更名,并将这些信息传播到VTP域中的所有其它交换机上。 VTP必须提供的一些好处如下:
在网络中所有的交换机上实现VLAN配置的一致性
允许VLAN在混合式网络中实现中继链路,比如从以太网到ATM LANE 或FDDI VLAN的精确跟踪和监控
将所添加的VLAN动态报告给VTP域中的所有交换机 添加VLAN时的即插即用。
但是,在让VTP跨网络管理VLAN之前,必须先创建一台VTP服务器。所有需要共享VLAN信息的服务器必须使用同样的域名,而且交换机一次只能在一个域中。对于VTP在交换机之间传送VLAN信息,必须知道下面3种需求:
两台交换机的VTP管理域名必须设置为一样的 其中一台交换机必须配置为VTP服务器 不需要路由器