交換——第一天

交換原理、產品、參數——

交換機工作層面：osi的第二層，數據鏈路層

交換機分類：
按照工作的層面：
2層
多層交換機

按照網絡中地位：
核心交換機
分佈交換機
接入交換機
交換機幾個重要參數：
線速
背板帶寬
接口速率
轉發速率
SW原理：
1．基於源MAC地址學習
2．基於目標MAC地址轉發和過濾。
3．同一接口可以學習到多個MAC地址
4.同一個MAC地址被多個接口學習到，選擇後學習到的接口
5.對於沒有目標MAC地址表項的幀，向本機的其他所有接口轉發
6．收到廣/組播幀和未知單播都會向本機的其他所有接口轉發
7.一個主機mac會被本地二層網絡內所有交換機學習到

查看MAC地址表的命令：
Sw1#showmac-address-table

默認動態的MAC地址條目老化時間是300S,可以修改這個老化時間--可以針對單個VLAN來改動
Sw#showmac-address-tableaging-time查看老化時間
Sw1(config)#mac-address-tableaging-time150vlan1有的版本沒有
sw1#shmac-address-tabledynamic產看動態學習的地址

廣播和泛洪的區別：
廣播的目的Mac是全F，泛洪不是廣播，目的Mac是具體的Mac地址，實質上泛洪是單播的多重幀複製，之所以容易搞混，是因爲現象是相同的，廣播和泛洪都會將數據幀發往同屬Vlan的所有端口以及Trunk鏈路，Trunk鏈路不屬於任何Vlan，轉發時會打上VlanID。

例如：ARP請求就是一個廣播；泛洪的觸發點是收到一個單播數據幀，發現目的Mac在CAM表中沒有匹配的條目。

mac地址與IP地址的綁定：
router(config)#arp202.196.191.1900010.40bc.b54earpa
sw1(config)#arp1.1.1.10011.0001.0001arpaf0/1

端口與接口的綁定：
SW3(config)#mac-address-tablestatic0001.0001.0001vlan1interfacef0/1
主機上：
ARP-s10.88.56.7200-10-5C-AD-72-E3

以下功能在思科2950、3550、4500、6500系列交換機上可以實現，但是需要注意的是2950、3550需要交換機運行增強的軟件鏡像（EnhancedImage）。
基於MAC地址的用戶流量過濾：
Switch(config)Macaccess-listextendedMAC10
＃定義一個MAC地址訪問控制列表並且命名該列表名爲MAC10
Switch(config)permithost0009.6bc4.d4bfany
＃定義MAC地址爲0009.6bc4.d4bf的主機可以訪問任意主機
Switch(config)permitanyhost0009.6bc4.d4bf
＃定義所有主機可以訪問MAC地址爲0009.6bc4.d4bf的主機
Switch(config-if)interfaceFa0/20
#進入配置具體端口的模式
Switch(config-if)macaccess-groupMAC10in
＃在該端口上應用名爲MAC10的訪問列表（即前面我們定義的訪問策略）
Switch(config)nomacaccess-listextendedMAC10
＃清除名爲MAC10的訪問列表

----------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------------------------------

VLAN(VirtualLAN)虛擬局域網技術

通過VLAN這一技術可以將一個物理局域網劃分爲多個虛擬的邏輯局域網，每一個虛擬局域網之間是隔離的，並且每一個虛擬局域網是一個單獨的廣播域。

·VLAN可以隔離2層的廣播域。

·AVLAN＝（一個）廣播域　＝　（一個）邏輯子網

·使用VLAN好處：
　1.有效的帶寬利用
　2.提高了安全性
　3.隔離故障域

VLAN有兩種類型：
1、端到端的VLAN:可以擴展到整個網絡的VLAN
2、本地VLAN:
侷限於特定域的VLAN，只在本接入層交換機或小範圍的分佈層之間起作用。
　在單個配線架之內的單臺接入交換機上配置最少數目的VLAN，而不是在單臺交換上配置多個部門的VLAN。

VLAN的成員模式：分兩種

·靜態VLAN（也叫基於端口的VLAN）：
　——手工配置交換機端口，將其分配進特定的VLAN。只要接到這個端口的設備就屬於此VLAN。
Sw1#showcdpneighborsdetail

·動態VLAN：
需要先在網絡中部署一臺VMPS服務器，在服務器上要先保存每一個MAC地址和VLAN的映射。
交換機事先並沒有將接口固定的分配進某個VLAN，而是在接口有電腦接入時，再根據收到的MAC地址向VMPS服務器查詢，然後根據已經輸入到VMPS（VLANManagementPolicyServer)中的源MAC地址來分配VLAN。來決定應該將接口分配進哪一個VLAN。
Sw1(config)#vmpsserver192.168.1.1

·VLAN的範圍：
　根據平臺和軟件版本不同，Cisco交換機最多支持4096個VLAN。
VLAN號共有4096個，0-4095

　0,4095：這兩個號保留，僅限系統使用。用戶不能查看。
　1：CISCO默認VLAN，不能刪除。
　2－1001：用於以太網的VLAN，用戶可根據這一段號碼自己創建VLAN
　1002－1005：用於FDDI和令牌環的默認VLAN，不能刪除。
　1006－4094：僅用於以太網的VLAN.擴展的VLAN，只有3550以上的交換機才能配，且必須將VTP模式設爲透明模式。
----------------------------------------------------------------------------------------------------------------------------------------------

VLAN　Trunk

·Trunk：在單條物理鏈路上承載多個VLAN的流量。一般用在交換機與交換機之間。

·Trunk運用的2種協議：
　802.1Q：基本標準的IEEE協議，屬業界標準。
　ISL（Inter-SwitchLink）：Cisco專有的Trunk封裝方式。
注意：封裝的時候在trunck口進行封裝，對於同一個交換機內部從一個接口到另一個接口的轉發過程不需要打標籤。

·ISL（Inter-SwitchLink）：
　26（報頭）＋4（CRC)＝30Bytes（CRC：CyclicRedundancyCheck）
　VlanID一共有15個bit，但只用到10個bit，2^10=1024字節
所以，ISL最多隻能支持1024個VLAN

　Sw2940/2950接口不支持ISL封裝，僅支持802.1Q
在SW3550中，接口強行起Trunk模式，必須先指定一種封裝模式

MTU：1548bytes
　如果設備接收到沒有被封裝的幀，那麼ISL將丟棄這些幀，而且所有幀都要封裝

·802.1Q：

DestSrcLen/EtypeDataFCS

DestSrcTag

在SM和Type字段之間插入4個字節的Tag字段，並將原有的FCS重寫

　MTU：1522bytes

使用12個bit來表示VLAN-ID，所以最多可支持4096個VLAN

·對比ISL，802.1Q有如下好處：
　1.具有更低的開銷，因此轉發效率略高，（4/30bytes)
　2.業界標準，有更廣泛的支持。
　3.支持Qos的802.1p字段。（就是Tag中的3bit的PRI位）
　
　如果不支持802.1Q的設備接收到此幀，該設備將忽略幀中的Tag，當作標準的以太網幀轉發。

·NativeVLANs
在802.1Q中允許設定一個NativeVLANs，這個VLAN中的流量不用打tag，本技術是dot1q中才有的。

802.1Q把Untag的幀定義爲NativeVLAN。（默認是VLAN1）一個小的優化方法，指定的VLAN數據在傳輸過程中不用打上TAG來標識，系統默認就知道。每臺交換機必須指定一樣的，只能有一個VLAN成爲NativeVlan。
　Sw1(config-if)#switchporttrunknativevlan2

　Sw1#showintf0/6switchport
　
·802.1Q-in-Q：(802.1QTunneling)
　802.1Q支持隧道特性，允許服務提供商在其VLAN內部傳輸用戶VLAN，保留單獨客戶的VLAN分配，而無需要求它們的VLAN分配是唯一的。

服務提供商配置：
Sw1(confit-if)#switchportaccessvlan30劃入SP的VLAN
Sw1(confit-if)#switchportmodedotlq-tunnelQ-in-Q

客戶端配置：
Sw3(config-if)#switchportmodetrunk
Sw3(config-if)#switchporttrunkencapsulation[dot1q|isl]
Sw3(config-if)#switchporttrunkallowedvlan1-100,111
　（在此Trunk口上只允許VLAN1-100,111的流量通過）

DTP（DynamicTrunkingProtocol）cisco專有
·在交換鏈路上發送此種報文，來協商雙方是否能形成Trunk。
·接口的五種模式：Access,trunk,desirable,auto,(nonegotiate)

　　　　　　　　Send　　Receive　（DTP：DynamicTrunkProtol）
access　　　　　－　　　　－　（此接口接設備）
trunk(on)　　　√√　（本端無條件Trunk.不管對端是否起trunk）
desirable　　　√　　　　√　（收發DTP，願意成爲Trunk,)默認就是這種類型
auto　　　　　×　　　　√　（平時僅收DTP，願意成爲Trunk)

nonegotiate××（禁止DTP信息）通常和trunk聯用，即起trunk，又不用發DTP幀

Sw1(config-if)#switchportmodeaccess
Sw1(config-if)#switchportmodedynamicdesirable（默認模式）
Sw1(config-if)#switchportmodedynamicauto
Sw1(config-if)#switchportmodetrunk
Sw1(config-if)#switchportnonegotiate
（nonegotiate只能和trunk聯用）

Sw1(config-if)#switchporttrunkencapsulationdotlq指定封裝格式

Sw1#showinterfacetrunk查看trunk端口信息，驗證是否已經起了trunk

Sw1#Showinterfacef0/24switchport查看端口的配置

注意：2950、3550默認是dynamicdesirable、3560默認是dynamicauto。

---------------------------------------------------

VTP（VLANTrunkProtocol)CISCO私有的協議
·作用：用來在交換區域內同步VLAN的信息

·VTP是一種2層消息協議，通過管理VTP域內的VLAN增/刪/改，保持VLAN配置的一致性。
　交換機只能在802.1Q/ISLTrunk中傳送VTP信息。

·要實現VTP，首先要配置一個VTP域，每臺交換機都可以配置一個VTP域名，一個VTP域就是由一組VTP域名相同的交換機組成，一臺交換機只能加入一個VTP域。

·VTP的三種模式：
　　　　　　　Server　Client　Transparent（透明模式）
對VLAN做增/刪/改√　　　×　　　　√（僅在本地有效）
轉發VTP(vlan)信息　　√　　　√　　　　√
同步vlan信息　　　√　　　√　　　　×
保存進NVRAM　√　　　×　　　　√

·VTP一個重要元素：ConfigurationRevision（配置修訂版本號）
　每當修改VLAN信息一次，版本號就加1，版本低的SW跟版本高的SW學習VLAN信息。
版本號越高說明越新
修訂號高的同步修訂號低的

·VTP信息每5分鐘通告一次，或觸發更新(VLAN配置改變時通告)。

·VTP幀發向組播MAC地址，0100.0ccc.cccc

·VTP有四種消息類型：1、彙總通告2、子網通告3、通告請求4、VTP加入消息

·VTP的同步是由低版本號的交換機跟着高版本號的交換機做同步,server和client誰跟誰學不是看模式，而是看配置版本號。

·CISCO的交換機默認都是Server模式，而且沒有域名，一旦一臺SW配置了域名，其他SW都會學習過去。

·影響VTP的因素:1.trunk必須在trunk上傳輸
2.domain域名(須取相同名稱)
3.password密碼必須相同

注意：交換機與交換機之間用協商模式起Trunk的時候，如果兩端VTP信息不匹配，也起不了Trunk，切記這一點。
所以，起TRUNK有三點關聯：
1、封裝類型
2、接口模式
3、兩端VTP信息是否匹配【如果不匹配會影響動態建立鄰居】

VTP　Pruning

·VTP修剪能夠確定Trunk何時正在擴散不必要的流量。並將其VLAN修剪掉。

Sw1(config)#vtppruning
在Server端配置，其他SW會學習到。

·VTP版本：（V1/V2/V3)
　默認是V1。Cisco建議一個域中版本一致。

Sw1(config)#vtpversion2

Sw3#vlandatabase
Sw3(vlan)#vtpv2-mode

·VTP認證：

Sw2(config)#vtppasswordaaa

Sw3#vlandatabase
Sw3(vlan)#vtppasswordaaa

如何檢查密碼相同/不同：
Sw2#showvtppassword

---------------------------------------------------------------------------------------------------------------

SWITCH常用配置命令
Sw1#showcdpneighborsdetail查看鄰居設備
Showmac-address-table查看MAC地址
Showmac-address-tableaging-time看MAC地址老化時間
Sw1(config)#mac-address-tableaging-time150vlan10修改老化時間

創建VLAN
Sw1(config)#vlan10
Sw1(config)#namesales
在2900等舊機型上要用數據庫模式來創建：
Sw1#vlandatabase
Sw1#vlan10namesales
Sw1#exit這裏一定要用exit，否則無法退出
Showvlan查看VLAN
Showvlanbrief查看VLAN摘要信息
Showinterfacesummary本命令可看到交換機上的所有端口，以及哪些接口上連有設備
Showinterfacestatus本命令可看到活動接口的雙工模式，trunk,以及接口屬於哪個VLAN

將端口划進VLAN
Intf0/12
Switchportmodeaccess指定爲access（接入口）模式
Switchportaccessvaln10劃分入VLAN
Intferfacerangef0/5,f0/7,f0/12同時劃分多個端口
Intferfacerangefastethernet0/5-8,fastethernet0/12-18
本臺交換機起Trunk
Intf0/24
Switchportmodetrunk強制起Trunk
Access強制爲接入口
Dynamicdesirable協商（默認）
Dynamicauto被動接受
Switchporttrunkencapsulationisl(dot1q|negotiate)封裝模式，如果使用negotiate參數表示協商
Sw1(config-if)#switchportnonegotiate本接口不發送協商信息，通常和trunk模式聯用
Switchporttrunknativevlan10設置一個不用打TAG的VLAN，大家都知道，在每臺交換機上都要一致，默認是VLAN1。
Switchporttrunkallowedvlan10允許trunk口通過哪些VLAN
Switchporttrunkallowedall允許所有VLAN通過
Showinterfacetrunk
Showintf0/24switchport

配置VTP域
Sw1(config)#vtpdomainchina
Sw1(config)#vtpmodeserver|client|transparent
在舊機型上的配置方法：
Sw1#vlandatabase
Sw1#vtpdomainchina
Sw1#vtpserver|client|transparent
Showvtpstatus查看VTP的各種配置信息
在VTP中還可設置密碼

在三層交換機中完成VLAN間的通信
Sw1(config)#iprouting起用路由
Sw1(config)#routerrip開啓路由進程，也可用靜態路由
Sw1(config-router)#network100.1.1.0將VLAN網段宣告
Sw1(config)#interfacevlan100
Sw1(config-if)#ipaddress100.1.1.1指定VLAN的IP地址，也是VLAN網段的網關
Sw1(config-if)#noshutdown

在交換機中建立VLAN後，會在FLASH中生成一個VLAN文件，可用下列命令查看、刪除。
Showflash
Deletevlan.dat
Deleteconfig.text刪除配置文件