3、特权用户配置模式
在一般用户配置模式下使用Enable 命令,如果已经配置了进入特权用户的口令,则输入相应的特权用户口令,即可进入特权用户配置模式“Switch#”。当用户从全局配置模式使用exit 退出时,也可以回到特权用户配置模式。另外交换机提供“Ctrl+z”的快捷键,使得交换机在任何配置模式(一般用户配置模式除外),都可以退回到特权用户配置模式。
在特权用户配置模式下,用户可以查询交换机配置信息、各个端口的连接情况、收发数 据统计等。而且进入特权用户配置模式后,可以进入到全局模式对交换机的各项配置进行修 改,因此进行特权用户配置模式必须要设置特权用户口令,防止非特权用户的非法使用,对交换机配置进行恶意修改,造成不必要的损失。
4、全局配置模式
进入特权用户配置模式后,只需使用命令Config,即可进入全局配置模式“Switch (Config) #”。当用户在其他配置模式,如接口配置模式、VLAN 配置模式时,可以使用命令exit 退回到全局配置模式。
在全局配置模式,用户可以对交换机进行全局性的配置,如对 MAC 地址表、端口镜像、创建 VLAN、启动 IGMP Snooping、GVRP、STP 等。用户在全局模式还可通过命令进入到端口对各个端口进行配置。
5、接口配置模式
在全局配置模式,使用命令Interface 就可以进入到相应的接口配置模式。交换机操作系统提供了三种接口类型:
(1)VLAN接口(二层交换机中,创建的vlan 接口的VLAN 被称为管理vlan,管理vlan 接口将拥有CPU 的MAC 地址);
(2)以太网接口;
(3)port-channel,因此就有三种接口的配置模式。 接口类型 VLAN接口 进入方式 提示符 可执行操作 退出方式 使用exit命令即可退回全局配置模式 在全局配置模式Switch(Config-If-Vl 配置交换机的下,输入命令IP 等 interface vlan
VLAN是英文Virtual Local Area Network的缩写,即虚拟局域网。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中,共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同。VLAN有以下几个优点:
? 对网络中的广播风暴的控制;
? 提高网络的整体安全性。通过路由访问列表、MAC地址分配等VLAN划分
原则,可以控制用户的访问权限和逻辑网段的大小; ? 网络管理的简单、直观。
4.3.5.1 VLAN的划分策略
对于VLAN的划分,有以下四种策略: (1)、基于端口的VLAN
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。 (2)、基于MAC地址的VLAN
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 (3)、基于路由的VLAN
路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 (4)、基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。
就目前来说,对于VLAN的划分主要采用第(1)和第(3)两种模式,对于方案(2)则为辅助性的方案。VLAN的划分设计之后,需要考虑VLAN间的互连。
4.3.5.2 IEEE802.1Q
使用802.1Q可实现跨交换机的同一VLAN内的主机间通信。802.1Q 完成该功能的关键在于标签(插入到以太网帧格式中的4字节的VLAN标记)。支持 802.1Q的交换机,每个端口都必须属于某个VLAN(tagged端口),其端口可被配置来传输标签帧或无标签帧。当多个支持 802.1Q 的交换机直接相连时,标签帧可以在交换机之间传送 VLAN成员信息,这样 VLAN 就可以跨越多台交换机。
但是,目前的PC机网卡并不支持802.1Q,不能发送或税收带有VLAN标记的标签帧。一旦它收到一个标签帧,它会因为读不懂标签而丢弃该帧。
因此,所有支持802.1Q的交换机其端口可设置成两种不同的类型:Access端口和Trunk端口。Access端口(缺省设置)用于连接不支持802.1Q的主机或网络设备,该端口收到不包含VLAN标记的无标签帧时,将根据端口所属的VLAN
号(PVID)插入4字节的VLAN标记,使之成为标签帧。该端口不能接收包含VLAN标记的标签帧。Access端口要发送带VLAN标记的标签帧时,将自动去除4字节的VLAN标记,使之变成无标签帧后再发送出去。如果交换机的端口被设置成Trunk端口,该端口收到不包含VLAN标记的无标签帧时,处理方式同Access端口,将根据端口所属的VLAN号(PVID)插入4字节的VLAN标记,使之成为标签帧。该端口收到包含VLAN标记的标签帧时,将根据VLAN号(VID)转发到属于该VLAN的端口。Trunk端口要发送带VLAN标记的标签帧时,如果该帧的VLAN号(VID)与端口所属VLAN(PVID)相同,将去除4字节的VLAN标记,使之变成无标签帧后再发送出去;否则直接发送。
不同VLAN间的通信需要使用三层交换机或路由器。
4.4 实验内容
实验分为两部分来做,先熟练对交换机的基本操作,然后再进行VLAN的划分。
4.4.1 基本实验
1. 观察并记录实验室的网络拓扑结构; 2. 观察并熟悉交换机的外部接口和指示灯;
3. 进入交换机的CLI界面,并在各种配置模式间进入转换; 4. 使用基本配置命令,并记录运行结果; 5. 分析实验结果,加深对各配置命令的理解; 6. 整理实验结果,书写实验报告。
4.4.2 VLAN的划分
4.4.2.1 VLAN创建和配置
网络拓扑结构如图4-3所示,使用1台交换机和3台PC机,将其中的PC3作为控制台终端,登录交换机设备进行配置。
图4-3
在DCS-3950交换机上划分2个VLAN(VLAN 100和VLAN 200),使得: (1)、VLAN100的成员能够相互通信; (2)、VLAN200的成员能够相互通信; (3)、VLAN100和VLAN 200成员之间不能互相访问。 各设备的网络设置为: 设备 IP地址 Mask 交换机 192.168.1.11 255.255.255.0 PC1 192.168.1.101 255.255.255.0 PC2 192.168.1.102 255.255.255.0 4.4.2.2 跨交换台机的VLAN通信 网络拓扑结构如图4-4所示。
图4-4
在交换机A和交换机B上分别划分两个基于端口的VLAN:VLAN100,VLAN200,其端口设置如下: VLAN 端口成员 100 1~8 200 9~16 Trunk口 24 使得: (1)交换机之间VLAN100的成员能够互相访问; (2)交换机之间VLAN200的成员能够互相访问; (3)VLAN100和VLAN200成员之间不能互相访问。 各设备的网络设置为: 设备 IP地址 Mask 交换机A 192.168.1.11 255.255.255.0 交换机B 192.168.1.12 255.255.255.0 PC1 192.168.1.101 255.255.255.0 PC2 192.168.1.102 255.255.255.0 4.4.2.3 通过三层交换机实现不同VLAN间的通信
网络拓扑结构同4.4.2.2中的图4-4,在交换机A和交换机B上分别划分两个基于端口的VLAN:VLAN100,VLAN200。端口设置同4.4.2.2中。
在交换机B(DCSR-5650)上设置VLAN100和VLAN200的虚拟网关接口如下所示:
VLAN IP Mask 100 192.168.10.1 255.255.255.0 200 192.168.20.1 255.255.255.0 使得: (1)交换机之间VLAN100的成员能够互相访问; (2)交换机之间VLAN200的成员能够互相访问; (3)VLAN100和VLAN200成员之间也能够互相访问。 当PC1和PC2接到交换机A或B上的不同端口时,要根据端口所属的VLAN不同,设置其IP地址、子网掩码、默认网关。
4.5 实验步骤 4.5.1 基本实验步骤
1.登录网络实验室,输入用户名:自己的学号 密码:123456
点击课堂实验,选择你所在的实验组