大乘起信论慧律法师:交换机-cisco - httpshenshu7895123.51.com - 51CTO...
来源:百度文库 编辑:偶看新闻 时间:2024/05/03 11:37:52
交换机-cisco 2009-10-18 21:53:43标签:交换机 cisco 分级网络 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://shenshu.blog.51cto.com/178459/213863 1、分级网络设计
接入层:为终端设备,在接入层实施冲突域的隔离、vlan划分、和交换机端口安全。
汇聚层:实现VLAN间的通信、和广播域的划分,并定义网络策略。
核心层:快速转发。
2、分级网络优点
扩展性
冗余性:在汇聚层和核心层之间提供冗余路径,确保路径可用。
高性能
高安全性
可管理性
易维护性
3、设计原则
网路直径
带宽聚合
冗余:链路故障为链路冗余,设备故障为设备冗余。
堆叠比级联的速度要快,只要找一次MAC地址表,也就是查询总的MAC地址表,速度每秒千兆以上,长度一般不超过一米。4、接入层交换机的特点:
prot security端口安全
vlan
poe在以太网上进行供电
link aggregation链路聚合
QOS服务质量5、汇聚层交换机的特点
三层支持
高的转发速率
千兆位或万兆位链路
redundant(冗余)功能,可以是链路冗余或设备冗余。
security policies/ACCESS control lists安全策略和访问控制列表
link aggregation链路聚合
QOS服务质量6、核心层交换机特点
三层支持
非常高的转发速率
千兆位或万兆位链路
redundant功能
link aggregation链路聚合
QOS服务质量7、交换机的分类
a、根据转发方式
存储转发:收到数据后,交换机把数据存储在缓冲区内,直到接到了完整的帧。执行CRC效验
CUT-through:收到数据后立即转发,不执行错误检查。分为快速转发(收到14个字节转发)、无碎片转发(收到64个字节转发)8、根据对称性分
对称式symmetric:所有端口速率相同
非对称式asymmetric:所有端口速率不一样,要使用缓存空间缓存快速链路发往慢速链路的数据帧。9、根据缓存方式
基于端口内存缓存
共享内存缓存
10、根据功能划分
二层交换机:工作在数据链路层,根据MAC地址进行转发数据帧
三层交换机:不仅可以使用第二层,根据MAC地址转发。还可以使用第三层,根据IP地址转发。二层端口不能配置IP地址,vlan端口属于三层端口,可以配置IP地址
no ip routing关闭路由协议
ip default-gateway 1.1.1.1 配置网关。
ip http server 启用HTTP服务交换机维护和查看命令copy running-config startup-config
erase startup-config
erase nvram:
copy runn tftp
copy startup tftp
copy tftp runn
copy tftp startup
show running-config
show startup-config
show ip route
show mac-address-table
show arp
交换机的安全配置
1、mac地址泛红
当出现伪造的MAC地址,会使MAC地址表爆满,默认5分钟老化时间。
int f0/1
switchport mode access
switchport port-security须单独运行
switchport port-security maximum 2
switchport port-security violation [shutdown默认的、protect保护,不学习不关端口,不加计数器、restrict约束发送日志,添加计数器,不关闭端口]
int range fa 0/1 - 10,fa 0/11,fa 0/12 - 24
switchport port-security mac-address sticky或MAC地址 mac地址与端口绑定。sticky为动态绑定
show port-security interface fa0/1 查看F0/1口的安全设置和和违反规则的计数器值
show port-security显示所有配置了端口安全的计数器
端口安全只能配置在二层的接入接口上,三层的交换机端口或二层的主干端口都不支持交换机端口安全。
2、DHCP欺骗解决办法
防止非法DHCP服务器,通过启用DHCP欺骗功能,使每个端口不信任,不接受DHCP消息。在配置链接DHCP的端口,使他可以接收消息,这样达到防止DHCP欺骗的目的。ip dhcp snooping 启用DHCP欺骗功能,启用后构建绑定表,记录客户端的MAC地址和对应IP地址、vlan号和端口号
ip dhcp snooping vlan 1 在vlan1上启用DHCP欺骗
int f0/24 进入交换机互联和链接合法DHCP主机接口配置为信任端口
ip dhcp snooping trust 这些端口可以接收DHCP应答消息
int range snooping fa0/1 - 23
ip dhcp snooping limit rate 2 限制非信任端口发送DHCP请求包的速率。
接入层:为终端设备,在接入层实施冲突域的隔离、vlan划分、和交换机端口安全。
汇聚层:实现VLAN间的通信、和广播域的划分,并定义网络策略。
核心层:快速转发。
2、分级网络优点
扩展性
冗余性:在汇聚层和核心层之间提供冗余路径,确保路径可用。
高性能
高安全性
可管理性
易维护性
3、设计原则
网路直径
带宽聚合
冗余:链路故障为链路冗余,设备故障为设备冗余。
堆叠比级联的速度要快,只要找一次MAC地址表,也就是查询总的MAC地址表,速度每秒千兆以上,长度一般不超过一米。4、接入层交换机的特点:
prot security端口安全
vlan
poe在以太网上进行供电
link aggregation链路聚合
QOS服务质量5、汇聚层交换机的特点
三层支持
高的转发速率
千兆位或万兆位链路
redundant(冗余)功能,可以是链路冗余或设备冗余。
security policies/ACCESS control lists安全策略和访问控制列表
link aggregation链路聚合
QOS服务质量6、核心层交换机特点
三层支持
非常高的转发速率
千兆位或万兆位链路
redundant功能
link aggregation链路聚合
QOS服务质量7、交换机的分类
a、根据转发方式
存储转发:收到数据后,交换机把数据存储在缓冲区内,直到接到了完整的帧。执行CRC效验
CUT-through:收到数据后立即转发,不执行错误检查。分为快速转发(收到14个字节转发)、无碎片转发(收到64个字节转发)8、根据对称性分
对称式symmetric:所有端口速率相同
非对称式asymmetric:所有端口速率不一样,要使用缓存空间缓存快速链路发往慢速链路的数据帧。9、根据缓存方式
基于端口内存缓存
共享内存缓存
10、根据功能划分
二层交换机:工作在数据链路层,根据MAC地址进行转发数据帧
三层交换机:不仅可以使用第二层,根据MAC地址转发。还可以使用第三层,根据IP地址转发。二层端口不能配置IP地址,vlan端口属于三层端口,可以配置IP地址
no ip routing关闭路由协议
ip default-gateway 1.1.1.1 配置网关。
ip http server 启用HTTP服务交换机维护和查看命令copy running-config startup-config
erase startup-config
erase nvram:
copy runn tftp
copy startup tftp
copy tftp runn
copy tftp startup
show running-config
show startup-config
show ip route
show mac-address-table
show arp
交换机的安全配置
1、mac地址泛红
当出现伪造的MAC地址,会使MAC地址表爆满,默认5分钟老化时间。
int f0/1
switchport mode access
switchport port-security须单独运行
switchport port-security maximum 2
switchport port-security violation [shutdown默认的、protect保护,不学习不关端口,不加计数器、restrict约束发送日志,添加计数器,不关闭端口]
int range fa 0/1 - 10,fa 0/11,fa 0/12 - 24
switchport port-security mac-address sticky或MAC地址 mac地址与端口绑定。sticky为动态绑定
show port-security interface fa0/1 查看F0/1口的安全设置和和违反规则的计数器值
show port-security显示所有配置了端口安全的计数器
端口安全只能配置在二层的接入接口上,三层的交换机端口或二层的主干端口都不支持交换机端口安全。
2、DHCP欺骗解决办法
防止非法DHCP服务器,通过启用DHCP欺骗功能,使每个端口不信任,不接受DHCP消息。在配置链接DHCP的端口,使他可以接收消息,这样达到防止DHCP欺骗的目的。ip dhcp snooping 启用DHCP欺骗功能,启用后构建绑定表,记录客户端的MAC地址和对应IP地址、vlan号和端口号
ip dhcp snooping vlan 1 在vlan1上启用DHCP欺骗
int f0/24 进入交换机互联和链接合法DHCP主机接口配置为信任端口
ip dhcp snooping trust 这些端口可以接收DHCP应答消息
int range snooping fa0/1 - 23
ip dhcp snooping limit rate 2 限制非信任端口发送DHCP请求包的速率。
本文出自 “httpshenshu7895123.51..” 博客,请务必保留此出处http://shenshu.blog.51cto.com/178459/213863
是什么CISCO交换机
cisco交换机命名规则
Cisco 6500系列交换机
cisco 6509交换机
cisco交换机相关问题
CISCO 1900交换机问题
请教CISCO交换机的问题
求Cisco交换机的命令
求cisco交换机系列介绍
CISCO 2950 交换机启动不了,是什么原因呢?
哪些CISCO交换机具有三层路由功能?
CISCO的1900系列交换机问题
哪里有CISCO交换机的使用说明书下载
cisco交换机模拟器哪里有下载的,谢谢
CISCO 4000 ,5000,8000 系列交换机,写出其特点
cisco的交换机里边内存知识的咨询
关于Cisco交换机 划分VLAN 的操作问题
谁知道Cisco 500E交换机如何开启http访问??
cisco交换机是否可以下接5个以上的路由器或交换机?
Cisco 各种类型的交换机最多可以划分多少个Vlan
【问题】请问如何在CISCO交换机上打开NETFLOW,以及如何查看结果?
CISCO 1900系列 和2900系列 交换机 VLAN的配置方法
在组网过程中,用一个10M hub和一个Cisco Catalyst 2950交换机互连
cisco的交换机看规格型号能辩别是光口的吗?和路由器一样吗?