笔记－CCNA与网络安全 第7章 交换和VLAN

交换机的特点

交换机的每一个端口是一个冲突域
基于数据帧的MAC地址转发数据
所有的端口在同一个广播域

查看交换机地址表

switch#show mac-address-table

交换机端口安全

端口和MAC地址绑定
限制交换机端口连接的计算机数量

启用端口安全

switch(config-if)#switchport mode access  //指定接口为接计算机接口
switch(config-if)#switchport port-security  //启用端口安全
switch(config-if)#switchport port-security violation shutdown  //如果违反安全规则就将该接口shutdown
switch(config-if)#switchport port-security mac-address <绑定的MAC地址>

限制接口连接计算机机数量

switch(config-if)#switchport mode access  //指定接口为接计算机接口
switch(config-if)#switchport port-security //启用端口安全
switch(config-if)#switchport port-security violation shutdown //如果违反安全规则就将该接口shutdown
switch(config-if)#switchport port-security maximum <计算机数量>  //接口的最大计算机连接数量

将当前接入计算机的MAC地址批量绑定

switch(config)#interface range fastEthernet 0/1-24  //进入快速以太网接口0/1-24集合配置
switch(config-if-range)#switchport mode access  //指定接口为接计算机接口
switch(config-if-range)#switchport port-security //启用端口安全
switch(config-if-range)#switchport port-security violation shutdown //如果违反安全规则就将该接口shutdown
switch(config-if-range)#switchport port-security mac-address sticky //绑定当前所有的MAC地址

网络的高可用——生成树

RP：根端口
DP：指定端口
NP：非指定端口
网桥ID：优先级+MAC地址

生成树的3个步骤

1.选择根交换机  优先级小为根，相同则以MAC地址小的为根
2.选择根端口  离根交换机近的为根端口
3.每个链路选一个指定端口  网线口离根近的
4.剩下的就是阻断端口
只有非阻断端口转发数据

查找根交换机

switch#show spanning-tree

修改交换机优先级

switch(config)#spanning-tree vlan 1 priority <优先级>

配置接口为快速接入口（生成树快速端口，用于接服务器和计算机，这些接口不参与生成树）

switch(config-if)#spanning-tree portfast

交换机IP地址配置，使管理员能够远程管理

交换机地址主要用于远程配置交换机使用

配置地址

switch(config)#interface vlan <vlan编号>
switch(config-if)#ip addreess <IP地址> <子网掩码>
switch(config)#ip default-gateway <网关IP>  //配置好地址与网关后，管理员可以在其它VLAN中连接该交换机

配置密码

switch(config)#enable password <密码>  //特权密码
switch(config)#line vty 0 15  //同时登陆人数
switch(config-line)#password <密码>  //登陆交换机密码
switch(config-line)#login    //要求登陆
配置密码的方法与路由器相同

VLAN

一个VLAN=一个广播域=一个网段（子网）
具有分段、灵活性、安全性等特点
VLAN是交换机组网才有的概念，可以满足按部门管理等要求

划分VLAN命令

创建VLAN
switch(config)#VLAN <VLAN号>  //创建暂无接口的VLAN
switch(config-vlan)#exit
switch(config)#interface rang fastEthernet 0/13-24  //进入需划分VLAN的接口群配置
switch(config-if-range)#switchport mode access   //指明这些接口是用于接计算机
switch(config-if-range)#switchport access VLAN <VLAN号>  //将对应的接口划入VLAN

删除VLAN

switch(config)#no vlan (VLAN号)  //将VLAN删除后，需再将原属于该VLAN的接口再划回其它VLAN，否则，这些接口将不可用

跨交换机的VLAN

干道链路：VLAN间的一条公共链路，所有VLAN的数据可在干道链路内进行传输，数据加上帧标记。
帧标记：在交换机之间干道链路使用用于识别数据帧来自于哪个VLAN

配置跨交换机的VLAN

划分VLAN后，指定干道链路
配置对应干道口命令
switch(config)#interface <干道口>
switch(config-if)#switchport mode trunk  //指定该接口为干道口
在使用3层交换机时，若有错误提示，需要先指定封装模式
switch(config-if)#switchport trunk encapsulation <封装模式，如dot1q>


在3层交换机上创建VLAN在路由器上就有对应接口相连，如interface VLAN 1、interface VLAN 2,将这些接口配上IP地址，计算机的默认网关指向这些地址即可（需先启用3层交换机上的路由功能）
switch(config)#ip routing  //启用3层交换机路由功能
switch(config)#interface vlan <vlan号>
switch(config-if)#ip address <该VLAN网关接口的IP地址> <子网掩码>
switch(config-if)#no shutdonw

3层交换机接路由器连internet

2种方法
1.外部路由器单独占一个VLAN，将3层交换机的默认路由下一跳指向该路，外部路由到每一个VLAN的下一跳指向所在VLAN的网关（对应3层交换的接口）
2.将外部路由接入已有的某一个VLAN，将3层交换机的默认路由下一跳指向该路，外部路由到其它VLAN的下一跳指向所在VLAN的网关（对应3层交换的接口）
逻辑链路：可将3层交换机视为各VLAN的交换机与路由器相连接

单臂路由器实现VLAN间路由

方法：1.配置好VLAN
      2.将路由器接至主干链路上
      3.配置路由器接入交换机主干链路接口的子接口
switch(config)#interface <接口 X/X.X，如：fastEthernet 0/1.1>  //进入子接口
switch(config-subif)#encapsulation <封装模式，如dot1q> <VLAN号>  //确定封装模式及接入的VLAN
switch(config-subif)#ip address <IP地址> <子网掩码>  //设置作为网关的IP地址
     4.将对应VLAN的网关指向上面指定的IP

VTP协议（VLAN间干道协议）

意义：在交换机之间传递VLAN管理信息，在server交换机上创建，当删除某个VLAN时，client交换机将自动进行学习。
方法：1.配置好VLAN
      2.switch(config)#vtp domain <域名>  //赋予域
         switch(config)#vtp password <密码>   //同一域内的交换机密码需相同
        switch(config)#vtp mode <类型：client\server>  //指定该交换机是server交换机还是client交换机。
      3.配置好后client的VLAN随server的VLAN变化
注意：VTP只传递VLAN信息，不会对对应接口进行相应的设置，需对接口划入相应VLAN还需到各交换机上操作