交换机组网学习笔记

9-1 交换机的基本配置

交换机的IP地址适用于远程管理的，交换器不用保存配置，三层除外。交换机的接口都不能配置IP，要在虚拟接口里面加入IP地址。

9-2 查看交换机的MAC地址表

Dis mac-ad

9-3 配置交换机端口安全

在交换机上设置端口安全

进入接口配置

9.3.1、限制交换机接口连接计算机的数量

1. [S1]interface Ethernet 0/0/3
2. [S1-Ethernet0/0/3]port-security enable
3. [S1-Ethernet0/0/3]port-security protect-action shutdown
4. [S1-Ethernet0/0/3]port-security max-mac-num 1

实际应用场景：企业里一个交换机连接着数台电脑（一个网段可以通过交换机互相通信），正常情况下一个交换机接口接着一台设备，某个员工把自己的网线拔掉接在集线器或交换机上，这样新接入的交换机可以连接多台终端设备，通过这个新接入的交换机来与企业内部设备进行通信。这个做法企业一般是不允许的，因为不安全。解决此问题的方法就是要在接口每个接口上限制交换机接口连接终端设备的数量。

如上图所示，本来E0/0/3接口接着一台终端设备，但却接入了一个交换机，交换机下面又可以连接许多终端设备，员工个人做法是不允许的，在E0/0/3接口配置相关操作来解决此问题，一旦出现上图所示的问题，立即把该接口关闭，这边的设备便不能与企业里设备通信，只有管理员手动打开接口才可以恢复。

9.3.2、指定交换机接口连接固定的mac地址

1. [S1]interface Ethernet 0/0/3
2. [S1-Ethernet0/0/3]port-security enable
3. [S1-Ethernet0/0/3]port-security protect-action shutdown
4. [S1-Ethernet0/0/3]port-security mac-address sticky （命令有先后顺序的）
5. [S1-Ethernet0/0/3]port-security mac-address sticky 5489-981F-22FB vlan 1
6. 再次查看MAC地址表，你会发现绑定的MAC
7. [S1]display mac-address vlan 1
8. 清除交换机接口的全部配置
9. [S1]clear configuration interface Ethernet 0/0/3

该方法适用于哑终端设备较好，其他场景也可以，目的是让一个接口接着一个固定的终端设备。此方法可以通过修改MAC地址来进行欺骗，这个就没办法了。有一定局限性。

9-4 批量绑定交换机端口和MAC地址

1.  批量绑定交换机端口和MAC地址
2. [S1]port-group vlan1port （创建一个端口组并命名）
3. [S1-port-group-vlan1port]group-member Ethernet 0/0/1 to Ethernet 0/0/22 （指定有哪些组成员）
4. [S1-port-group-vlan1port]port-security enable （开启端口安全）
5. [S1-port-group-vlan1port]port-security protect-action shutdown （保护动作）
6. [S1-port-group-vlan1port]port-security mac-address sticky （与MAC地址进行绑定）

配置以上命令后，就把接口与接口下的终端设备进行了绑定，当他们之间进行通信后就正式绑定在一起了，可以通过查看MAC地址表看到绑定的信息了。

9-5 配置交换机镜像端口监控网络流量

企业需要监控员工上网流量，可以应用此技术。该配置无法在ENSP交换机上配置（什么原因暂不清楚，真实设备应该可以），使用路由器模拟。

ensp软件上交换机不支持此功能，所以用路由器。

企业上的真实交换机应该能做成功

监控端口只能是一个。

1. [Huawei]observe-port interface e0/0/2 指定监控的端口
2. [Huawei]int g0/0/0
3. [Huawei-GigabitEthernet0/0/0]mirror to observe-port both 指定被监控端口出入流量发送给监控端口

内部访问Internet的流量要经过监控端，这样才能捕获到流量，流量不从这边走，有监控也无法捕获。监控端口只能有一个。

9-6 交换机组网环路产生广播风暴

没什么好说的

9-7 抓包观察网络风暴数据帧

没什么好说的

交换机启动后生成树协议是运行的，需要手动关闭，然后用PC PING同网段地址就可以观察到广播风暴。

9-8 生成树协议STP

9.8.1、选举根桥（根交换机）

谁的BID小谁是根桥，BID（两部分组成，优先级和MAC地址）优先级一般为32768

9.8.2、确定根端口（非跟交换机要选举的）

（1）先看非根交换机到根交换机的路径开销，端口到根交换机累计开销小的成为根端口，

端口速率   开销（IEEE 802.1t标准）

10Mbit/s    2000000

100Mbit/s   200000

1000Mbit/s    20000

10Gbit/s      2000

（2）根路径开销相同时，比较上行设备的PID（优先级+端口编号），较小的成为根端口。

9.8.3、确定指定端口

每条网线的两端要确定一个指定端口。

（1）首先比较到根交换机的开销（根交换机上的接口都是指定端口）

（2）开销相等，则比较网桥的BID（小的优先）

（3）BID相等，比较接口的PID（小的优先）

既不是根端口又不是指定端口的，就成为了阻塞端口。

STP端口的五种状态

disabled：第二层端口不参与生成树，不会转发帧（BPDU）

blocking：该端口是阻塞端口，不参与帧转发，此类端口接受BPDU帧来确定根桥交换机的位置和根ID，以及最终活动STP拓扑中每个交换机端口扮演的端口角色。

Listening：STP 根据交换机迄今收到的 BPDU 帧，确定该端口可参与帧转发。此时，该交换机端口不仅会接收 BPDU 帧，它还会发送自己的 BPDU 帧，通知邻接交换机此交换机端口正准备参与活动拓扑

Learning：端口准备参与帧转发，并开始填充 MAC 地址表

Forwarding：该端口是活动拓扑的一部分，它会转发帧，也会发送和接收 BPDU 帧。

9-9 查看生成树根交换机和端口状态

华为交换机开机后生成树协议自动运行，默认为MSTP

显示网桥MAC地址

<Huawei>display bridge mac-address

显示生成树

[Huawei]display stp

显示生成树接口状态

[Huawei]display stp brief

9-10 指定根交换机和备用交换机

在企业组网时，让根位置的成为根交换机

指定根交换机

[Huawei]stp priority 0

指定备用根交换机

[Huawei]stp priority 4096    --是4096的倍数

或者

[Huawei]undo stp priority

[Huawei]stp root primary  主

[Huawei]stp root secondary 备用

9-11 更改端口开销和交换机BID控制下游交换机的根

开始SW1为根桥，SW4 G0/0/1接口为阻塞状态，通过更改此接口的优先级使得其变为根端口。

更改接口开销查看下行设备根端口的变化

[Huawei]interface Ethernet 0/0/1

[Huawei-Ethernet0/0/1]stp cost 2

更改上游设备的BID查看下行交换机根端口变化

[Huawei]stp priority 8192

查看接口PID

<Huawei>display stp interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/1]stp port priority 64（更改端口的优先级）

9-12 什么是VLAN

VLAN是虚拟局域网

一个VLAN=一个广播域=一个网段

为什么划分VLAN？

分段、灵活、安全

1、将安全要求一致的电脑放到一个VLAN 实现安全

2、将网络广播控制在一个小范围

3、在路由器上控制网络流量 可以按部门控制

9-13 VLAN等价图

VLAN间通信必须经过路由

帧进入交换机后，加上VLAN标记

跨交换机的VLAN 交换机之间的连接需要配置成干道链路

干道链路可以通过多个VLAN帧 带帧标记

接计算机的接口 通常属于某个VLAN 访问接口 access

9-14 在一个交换机上创建多个VLAN

VLAN batch X to X

9-15 跨交换机的VLAN

定义端口组 批量管理端口

[S1]port-group vlan2ports

定义组成员

[S1-port-group-vlan2ports]group-member Ethernet 0/0/13 to Ethernet 0/0/22

[S1-port-group-vlan2ports]port link-type access

[S1-port-group-vlan2ports]port default vlan 2

显示创建的端口组

[S1]display port-group vlan2ports

先在每个交换机上创建VLAN

在交换机之间的连接配置为干道链路

将交换机的接口指定到对应的VLAN

9-16 创建基于MAC地址的VLAN

适用于移动办公电脑。

 

1. [sw1]int g0/0/2
2. [sw1-GigabitEthernet0/0/2]p l t
3. [sw1-GigabitEthernet0/0/2]p t a v a
4. [sw1]int g0/0/1
5. [sw1-GigabitEthernet0/0/1]p l h （基于MAC地址划分VLAN只能应用在hybrid）

1. [sw1-GigabitEthernet0/0/1]port hybrid untagged vlan 100 200 （对应vlan100 200的报文，剥离VLAN Tag）（自己总结：这个是一个接口的，交换机下有多个接口，如果想实现移动办公，需要在某个交换机的所有接口配置此命令，可以使用端口组的方式批量实现）
2. [sw1-GigabitEthernet0/0/1]mac-vlan enable （使能接口的MAC-VLAN功能）

1. [sw1]vl 100
2. [sw1-vlan100]mac-vlan mac-address 5489-9872-772F
3. [sw1-vlan100]q
4. [sw1]vl 200
5. [sw1-vlan200]mac-vlan mac-address 5489-9897-6416

上面的配置要在SW1和SW2配置。SW3也要配置trunk、access，最后PC1和PC2分别都能访问同网段的服务器，当两个PC机位置发生改变后也不影响同网段主机间的通信。

9-17 配置交换机自动同步VLAN信息

GVRP该协议类似于思科的VTP协议，一台设备配置为server，其他交换设备配置client，在server端进行相关操作，客户端来学习。

应用场景：企业内部交换机上有许多VLAN，同时交换机数量众多，如果手动对VLAN进行增删改，那么要在每个交换机进行修改，工作量巨大，这时可以通过在交换机上配置GVRP来实现在一台设备上进行VLAN的增删改，其他交换设备自动学习，这样简单方便很多。

交换机之间的接口要允许多个VLAN通过，所以配置为干道链路，在每台交换机全局模式开启GVRP，在每个干道链路接口下也要启用GVRP。在SW1交换机上创建VLAN后，SW2、SW3、SW4、交换机左接口G0/0/2都学习的到，右接口无法学习到，（GVRP的VLAN注册是单向的），要在SW4上创建VLAN后其他交换机右侧接口才能学习到。两边的交换机都要配置VLAN信息，中间的交换机的接口才能全部学习到。

启用gvrp 全局启用

[S2]gvrp

干道接口启用

[S2-GigabitEthernet0/0/1]gvrp

如果组网方式是上面的，那么只需要在SW1上发布VLAN信息就行了。自己思考为什么？

9-18 单臂路由器实现VLAN间路由

路由器接干道链路

交换机干道接口默认VLAN使用路由器的物理接口作为网关

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24

其他VLAN使用子接口

[R1]interface GigabitEthernet 0/0/0.2

[R1-GigabitEthernet0/0/0.3]dot1q termination vid 2（作为VLAN2的网关）

[R1-GigabitEthernet0/0/0.3]ip address 192.168.2.1 24

[R1-GigabitEthernet0/0/0.3]arp broadcast enable （启用ARP广播）

9-19 三层交换实现VLAN间路由

在交换机上分别创建VLAN，进入三层设备虚拟VLANIF配置IP，交换机之间连接用干道链路，交换机与终端设备access链路。

9-20 混合接口的应用（hybird）

华为接口默认是hybird

企业场景：一个网段中划分不同VLAN，实现同一个网段里不同主机之间隔离，具体情况要看场景。

上图设计的是VLAN20、30之间不能相互通信，它们两者均能访问VLAN10.

1. [S1]port-group vlan10
2. [S1-port-group-vlan10]group-member Ethernet 0/0/1 to Ethernet 0/0/5
3. [S1-port-group-vlan10]port link-type hybrid
4. [S1-port-group-vlan10]port hybrid pvid vlan 10
5. [S1-port-group-vlan10]port hybrid untagged vlan 10 20 30
6. [S1-Ethernet0/0/5]port hybrid untagged vlan 10 20 30（组里的接口全部执行此条命令）
7. [S1]port-group vlan20
8. [S1-port-group-vlan20]group-member Ethernet 0/0/6 to Ethernet 0/0/10
9. [S1-port-group-vlan20]port link-type hybrid
10. [S1-port-group-vlan20]port hybrid pvid vlan 20
11. [S1-port-group-vlan20]port hybrid untagged vlan 20 10
12. [S1]port-group vlan30
13. [S1-port-group-vlan30]group-member Ethernet 0/0/11 to Ethernet 0/0/22
14. [S1-port-group-vlan30]port link-type hybrid
15. [S1-port-group-vlan30]port hybrid pvid vlan 30
16. [S1-port-group-vlan30]port hybrid untagged vlan 10 30
17. 在连接交换机的链路上需要带VLAN标记
18. [S1]clear configuration interface GigabitEthernet 0/0/1
19. [S1-GigabitEthernet0/0/1]port link-type hybrid
20. [S1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20 30

右面交换机配置

1. [S2-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20 30
2. [S2-Ethernet0/0/1]port hybrid pvid vlan 20
3. [S2-Ethernet0/0/1]port hybrid tagged vlan 10 20
4. [S2-Ethernet0/0/2]port hybrid pvid vlan 30
5. [S2-Ethernet0/0/2]port hybrid tagged vlan 10 30

9-21 配置交换机监控端口捕获其他计算机通信流量

ensp软件上交换机不支持此功能，所以用路由器。

企业上的真实交换机应该能做成功

监控端口只能是一个。

与上面一章节重复，不在复述。

9-22 同一个VLAN间计算机端口隔离

这个端口隔离与混合接口实现的功能相似。

[sw1]port-isolate mode L2（有二层隔离和三层隔离，这里使用二层隔离）

[sw1]port-group 1

[sw1-port-group-1]group-member e0/0/1 to e0/0/3  

[sw1-port-group-1]port-isolate enable group 1

[sw1-Ethernet0/0/1]port-isolate enable group 1

[sw1-Ethernet0/0/2]port-isolate enable group 1

[sw1-Ethernet0/0/3]port-isolate enable group 1

[sw1-port-group-1]q

[sw1]port-group 2

[sw1-port-group-2]group-member e0/0/4 to e0/0/5

[sw1-port-group-2]port-isolate enable group 2

[sw1-Ethernet0/0/4]port-isolate enable group 2

[sw1-Ethernet0/0/5]port-isolate enable group 2

Group1内的计算机之间不能相互通信，Group2内的计算机之间不能相互通信，Group1能与Group2之间通信，并且他们也能访问外网。

9-23 链路聚合

链路聚合的接口带宽必须一致，聚合后带宽提高一倍。聚合链路里有一根线路故障时，不影响计算机之间的通信。

上述静态链路聚合：缺点（如果创建好eth-trunk后，接线的时候不小心把一根线接到其他地方，如果配置了链路均衡，通过这里的数据包会丢失一半。）

[Huawei]sysname SW1

[SW1]vl 20

[SW1-vlan20]q

[SW1]vl 40

[SW1-vlan40]q

[SW1]int e0/0/1

[SW1-Ethernet0/0/1]p l a

[SW1-Ethernet0/0/1]p d v 20

[SW1]int e0/0/12

[SW1-Ethernet0/0/12]p l a

[SW1-Ethernet0/0/12]p d v 40  

[SW1]int Eth-Trunk 1

[SW1-Eth-Trunk1]mode manual load-balance （手动模式）

[SW1-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2

[SW1-Eth-Trunk1]p l t

[SW1-Eth-Trunk1]p t a v 20 40

[Huawei]sysname sw3

[sw3]int Eth-Trunk 1

[sw3-Eth-Trunk1]mode manual load-balance

[sw3-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2

[sw3-Eth-Trunk1]p l t

[sw3-Eth-Trunk1]p t a v 20 40

[sw3]int Eth-Trunk 2

[sw3-Eth-Trunk2]mode manual load-balance

[sw3-Eth-Trunk2]trunkport GigabitEthernet 0/0/3 to 0/0/4

[sw3-Eth-Trunk2]p l t

[sw3-Eth-Trunk2]p t a v 20 40

[sw3]v b 20 40

SW2配置类似

9-24 动态链路聚合LACP

改一下这条命令就行，其他配置与静态一样

[sw3-Eth-Trunk2] mode manual load-balance