網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第三章3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制

主講人：萬(wàn)鵬第三章交換設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)

本章通過(guò)介紹主流交換機(jī)的基本配置方法、生成樹(shù)協(xié)議、VLAN、中繼協(xié)議等內(nèi)容，使學(xué)生熟練掌握交換設(shè)備配置方法與配置途徑，能夠進(jìn)行交換機(jī)VLAN換分與VLAN配置，并理解生成樹(shù)STP及快速生成樹(shù)RSTP的工作原理，掌握在交換機(jī)上配置快速生成樹(shù)協(xié)議，以及熟練掌握VTP的基本配置等。

【知識(shí)目標(biāo)】?掌握交換機(jī)的基本配置

?理解交換機(jī)帶內(nèi)、帶外管理

?掌握交換機(jī)

VLAN的基本配置?理解

VLAN中繼的概念?掌握生成樹(shù)協(xié)議的工作過(guò)程

?掌握VTP協(xié)議原理及配置方法

【技能目標(biāo)】?能夠通過(guò)配置使能VTY密碼、設(shè)置交換機(jī)的管理IP和默認(rèn)網(wǎng)關(guān)，實(shí)現(xiàn)交換機(jī)的Telnet遠(yuǎn)程登錄，能完成交換機(jī)備份、交換機(jī)系統(tǒng)升級(jí)配置?能夠通過(guò)配置完成跨交換機(jī)

VLAN間的通信?能夠進(jìn)行

STP、RSTP配置?能夠進(jìn)行VTP配置CONTENTS3.1交換機(jī)基本配置3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制3.3交換網(wǎng)絡(luò)中的冗余鏈路3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.2.1項(xiàng)目背景1.需求分析

某企業(yè)網(wǎng)絡(luò)中最近經(jīng)常出現(xiàn)數(shù)據(jù)泛洪現(xiàn)象，通過(guò)分析，發(fā)現(xiàn)某接入網(wǎng)絡(luò)的設(shè)備正在以非常高的速率向網(wǎng)絡(luò)中發(fā)送報(bào)文，產(chǎn)生了廣播風(fēng)暴，極大地降低了網(wǎng)絡(luò)性能，造成帶寬資源浪費(fèi)。對(duì)于網(wǎng)絡(luò)中出現(xiàn)的廣播風(fēng)暴現(xiàn)象，可以使用交換機(jī)的風(fēng)暴控制功能來(lái)防止。2.環(huán)境準(zhǔn)備1）每組計(jì)算機(jī)2臺(tái)，交換機(jī)1臺(tái)，直通雙絞線、交叉雙絞線、配置線、電源線若干。2）將配置線連接到交換機(jī)上的Console口，并在裝有超級(jí)終端的計(jì)算機(jī)上啟動(dòng)配置程序。3.技能準(zhǔn)備1）廣播風(fēng)暴

根據(jù)交換機(jī)的轉(zhuǎn)發(fā)原則，如果交換機(jī)從一個(gè)端口上接收到的是一個(gè)廣播幀，或者是一個(gè)目的MAC地址未知的單播幀，則會(huì)將這個(gè)幀向除源端口之外的所有其他端口轉(zhuǎn)發(fā)。如果交換網(wǎng)絡(luò)中有環(huán)路，則這個(gè)幀會(huì)被無(wú)限轉(zhuǎn)發(fā)，此時(shí)便會(huì)形成廣播風(fēng)暴，網(wǎng)絡(luò)中也會(huì)充斥著重復(fù)的數(shù)據(jù)幀。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2）VLAN的配置

隨著網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量越來(lái)越多，傳統(tǒng)的以太網(wǎng)絡(luò)開(kāi)始面臨沖突嚴(yán)重、廣播泛濫以及安全性無(wú)法保障等各種問(wèn)題。VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的局域網(wǎng)在邏輯上劃分成多個(gè)廣播域的技術(shù)。通過(guò)在交換機(jī)上配置VLAN，可以實(shí)現(xiàn)在同一個(gè)VLAN內(nèi)的用戶進(jìn)行互訪，而不同VLAN間的用戶將被隔離。這樣既能夠隔離廣播域，又能夠提升網(wǎng)絡(luò)的安全性。（1）傳統(tǒng)局域網(wǎng)。早期的局域網(wǎng)技術(shù)是基于總線型結(jié)構(gòu)的，如圖所示，它存在以下主要問(wèn)題：①若某時(shí)刻有多個(gè)節(jié)點(diǎn)同時(shí)試圖發(fā)送消息，那么它們將產(chǎn)生沖突。②從任意節(jié)點(diǎn)發(fā)出的消息都會(huì)被發(fā)送到其他節(jié)點(diǎn)，形成廣播。③所有主機(jī)共享一條傳輸通道，無(wú)法控制網(wǎng)絡(luò)中的信息安全。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）VLAN技術(shù)VLAN技術(shù)可以將一個(gè)物理局域網(wǎng)在邏輯上劃分成多個(gè)廣播域，也就是多個(gè)VLAN。VLAN技術(shù)部署在數(shù)據(jù)鏈路層，用于隔離二層流量。同一個(gè)VLAN內(nèi)的主機(jī)共享同一個(gè)廣播域，它們之間可以直接進(jìn)行二層通信。而VLAN間的主機(jī)屬于不同的廣播域，不能直接實(shí)現(xiàn)二層互通。這樣，廣播報(bào)文就被限制在各個(gè)相應(yīng)的VLAN內(nèi)，同時(shí)也提高了網(wǎng)絡(luò)安全性,如圖所示。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程①VLAN幀格式VLAN標(biāo)簽長(zhǎng)4個(gè)字節(jié)，直接添加在以太網(wǎng)幀頭中，IEEE802.1Q文檔對(duì)VLAN標(biāo)簽作出了說(shuō)明，圖為VLAN幀格式。②鏈路類型VLAN鏈路分為接入鏈路和干道鏈路兩種類型，如圖所示。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程③PVIDPVID即PortVLANID，代表端口的缺省VLAN，如圖所示。交換機(jī)從對(duì)端設(shè)備收到的幀有可能是Untagged的數(shù)據(jù)幀，但所有以太網(wǎng)幀在交換機(jī)中都是以Tagged的形式來(lái)被處理和轉(zhuǎn)發(fā)的，因此交換機(jī)必須給端口收到的Untagged數(shù)據(jù)幀添加上Tag。為了實(shí)現(xiàn)此目的，必須為交換機(jī)配置端口的缺省VLAN。當(dāng)該端口收到Untagged數(shù)據(jù)幀時(shí)，交換機(jī)將給它加上該缺省VLAN的VLANTag。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程④Access鏈路Access端口是交換機(jī)上用來(lái)連接用戶主機(jī)的端口，它只能連接接入鏈路，并且只能允許唯一的VLANID通過(guò)本端口，如圖所示。Access端口收發(fā)數(shù)據(jù)幀的規(guī)則如下：如果該端口收到對(duì)端設(shè)備發(fā)送的幀是Untagged（不帶VLAN標(biāo)簽），則交換機(jī)將強(qiáng)制加上該端口的PVID。如果該端口收到對(duì)端設(shè)備發(fā)送的幀是Tagged（帶VLAN標(biāo)簽），則交換機(jī)會(huì)檢查該標(biāo)簽內(nèi)的VLANID。當(dāng)VLANID與該端口的PVID相同時(shí)，接收該報(bào)文。當(dāng)VLANID與該端口的PVID不同時(shí)，丟棄該報(bào)文。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程⑤Trunk鏈路Trunk端口是交換機(jī)上用來(lái)和其他交換機(jī)連接的端口，它只能連接干道鏈路。Trunk端口允許多個(gè)VLAN的幀（帶Tag標(biāo)記）通過(guò)，如圖所示。⑥Hybrid鏈路Access端口發(fā)往其他設(shè)備的報(bào)文，都是Untagged數(shù)據(jù)幀，而Trunk端口僅在一種特定情況下才能發(fā)出Untagged數(shù)據(jù)幀，其他情況發(fā)出的都是Tagged數(shù)據(jù)幀，如圖所示。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3）VLAN的劃分方法VLAN的劃分基于端口、MAC地址、IP子網(wǎng)、協(xié)議、策略等5種方法，如圖所示。（1）基于端口劃分：根據(jù)交換機(jī)的端口編號(hào)來(lái)劃分VLAN。通過(guò)為交換機(jī)的每個(gè)端口配置不同的PVID，來(lái)將不同端口劃分到VLAN中。初始情況下，X7系列交換機(jī)的端口處于VLAN1中。此方法配置簡(jiǎn)單，但是當(dāng)主機(jī)移動(dòng)位置時(shí)，需要重新配置VLAN。（2）基于MAC地址劃分：根據(jù)主機(jī)網(wǎng)卡的MAC地址劃分VLAN。此劃分方法需要網(wǎng)絡(luò)管理員提前配置網(wǎng)絡(luò)中的主機(jī)MAC地址和VLANID的映射關(guān)系。如果交換機(jī)收到不帶標(biāo)簽的數(shù)據(jù)幀，會(huì)查找之前配置的MAC地址和VLAN映射表，根據(jù)數(shù)據(jù)幀中攜帶的MAC地址來(lái)添加相應(yīng)的VLAN標(biāo)簽。在使用此方法配置VLAN時(shí)，即使主機(jī)移動(dòng)位置也不需要重新配置VLAN。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）基于IP子網(wǎng)劃分：交換機(jī)在收到不帶標(biāo)簽的數(shù)據(jù)幀時(shí)，根據(jù)報(bào)文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標(biāo)簽。（4）基于協(xié)議劃分：根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議族類型）、封裝格式來(lái)分配VLANID。網(wǎng)絡(luò)管理員需要首先配置協(xié)議類型和VLANID之間的映射關(guān)系。（5）基于策略劃分：使用幾個(gè)條件的組合來(lái)分配VLAN標(biāo)簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時(shí)，交換機(jī)才為數(shù)據(jù)幀添加VLAN標(biāo)簽。另外，針對(duì)每一條策略都是需要手工配置的。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.2.2項(xiàng)目設(shè)計(jì)1.配置需求

根據(jù)拓?fù)湓O(shè)計(jì)進(jìn)行交換機(jī)連接，實(shí)現(xiàn)VLAN的建立、端口分配及跨交換機(jī)間的通信，并能進(jìn)行100MB/s、開(kāi)啟全雙工和關(guān)閉自協(xié)商模式的配置。1.

拓?fù)湓O(shè)計(jì)

主機(jī)連接交換機(jī)拓?fù)湓O(shè)計(jì)如圖所示。

3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.IP地址設(shè)計(jì)

本項(xiàng)目設(shè)備接口和IP地址表如表所示。終端設(shè)備接

口交換機(jī)IP地址子網(wǎng)掩碼PC1Ethernet0/0/1LSW1192.168.10.1255.255.255.0PC2Ethernet0/0/2LSW1192.168.20.1255.255.255.0PC3Ethernet0/0/3LSW1192.168.30.1255.255.255.0PC4Ethernet0/0/1LSW2192.168.10.2255.255.255.0PC5Ethernet0/0/2LSW2192.168.20.2255.255.255.0PC6Ethernet0/0/3LSW2192.168.30.2255.255.255.0設(shè)備接口和

IP地址表3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.2.3項(xiàng)目實(shí)施1.速率、全雙工和自協(xié)商模式的配置速率、全雙工和自協(xié)商模式的詳細(xì)配置命令如下:<LWS>system-viewEntersystemview,returnuserviewwithCtrl+Z.[LWS]interfaceGigabitEthernet0/0/1[LWS-GigabitEthernet0/0/1]undonegotiationauto[LWS-GigabitEthernet0/0/1]speed100[LWS-GigabitEthernet0/0/1]duplexfullnegotiationauto命令用來(lái)設(shè)置以太網(wǎng)端口的自協(xié)商功能。端口是否應(yīng)該使能自協(xié)商模式，要考慮對(duì)接雙方設(shè)備的端口是否都支持自動(dòng)協(xié)商。如果對(duì)端設(shè)備的以太網(wǎng)端口不支持自協(xié)商模式，則需要在本端端口上先使用undonegotiationauto命令配置為非自協(xié)商模式。之后，修改本端端口的速率和雙工模式保持與對(duì)端一致，確保通信正常。duplex命令用來(lái)設(shè)置以太網(wǎng)端口的雙工模式。當(dāng)GE電口工作速率為1000Mb/s時(shí)，只支持全雙工模式，不需要與鏈路對(duì)端的端口共同協(xié)商雙工模式。speed命令用來(lái)設(shè)置端口的工作速率。配置端口的速率和雙工模式之前需要先配置端口為非自協(xié)商模式。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.Vlan配置創(chuàng)建VLAN的功能配置命令如下：[LWS1]vlan10[LWS1-vlan10]quit[LWS1]vlanbatch10

to20Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.3.端口配置1）配置Access端口配置交換機(jī)Access端口的詳細(xì)命令如下：[LWS1]interfaceEthernet0/0/1[LWS1-Ethernet0/0/1]portlink-typeaccess

[LWS1]vlan10[LWS1-vlan10]portEthernet0/0/1[LWS1-Ethernet0/0/2]portdefaultvlan20

可以使用兩種方法把端口加入到VLAN。第一種方法是進(jìn)入到VLAN視圖，執(zhí)行port<interface>命令，把端口加入VLAN。第二種方法是進(jìn)入到接口視圖，執(zhí)行portdefaultvlan<vlan-id>命令，把端口加入VLAN。vlan-id是指端口要加入的VLAN。3.2網(wǎng)絡(luò)隔離與廣播風(fēng)暴控制網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2）配置trunk端口

配置交換機(jī)truck端口的詳細(xì)命令如下：[LWS1-GigabitEthernet0/0/1]portlink-typetrunk[LWS1-GigabitEthernet0/0/1]porttrunkallow-passvlan

1020

配置Trunk時(shí)，應(yīng)先使用portlink-typetrunk命令修改端口的類型為Trunk，然后再配置Trunk端口允許哪些VLAN的數(shù)據(jù)幀通過(guò)。3）配置hybrid端口

配置交換機(jī)hybrid端口的詳細(xì)命令如下：[LWS1-GigabitEthernet0/0/1]portlink-typehybrid[LWS1-GigabitEthernet0/0/1]porthybridtaggedvlan10

20

100portlink-typehybrid命令的作用是將端口的類型配置為hybrid。默認(rèn)情況下，X7系列交換機(jī)的端口類型是hybrid。因此，只有在把Access口或Trunk口配置成hybrid時(shí)，才需要執(zhí)行此命令。4.整理配置信息將交換機(jī)的配置截取到文本（txt）文件并保存下來(lái)供今后使