《网络设备安全》课件第7章 三层交换设备及配置.ppt
《《网络设备安全》课件第7章 三层交换设备及配置.ppt》由会员分享,可在线阅读,更多相关《《网络设备安全》课件第7章 三层交换设备及配置.ppt(41页珍藏版)》请在文库网上搜索。
1、7.1 三层交换机交换原理三层交换技术的起源1997年前后,三层交换技术(也称多层交换技术,或IP交换技术)开始出现。它是相对于传统交换概念而提出的。三层交换技术的出现,最开始主要是为了解决规模较大的网络中的广播域问题,通过VLAN技术把一个大的交换网络划分为多个较小的广播域,各个VLAN之间再采用三层交换技术互通。最初的三层交换机往往是把二层转发和三层交换设计在两个单元中,还没有用一个芯片来完成完整的三层交换功能,这样的交换机设备往往也是机架式的,如3Com的Corebuider9000、思科的5505、6509,朗讯的Cajun P550等,一般都有一个专门处理三层数据的单元或者模块。7.
2、1.1 交换原理三层交换机中的所谓“三层”指的是OSI七层参考模型的下三层。三层交换是相对于传统的交换概念而提出的,传统的交换技术是在OSI网络参考模型中的第二层(数据链路层)进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。可以简单地认为:三层交换技术就是二层交换技术+三层转发技术,三层交换机就是“二层交换机+基于硬件的路由器”组合而成。网络层次结构7.1.1 交换原理可以简单地将三层交换机理解为由一台路由器和一台二层交换机的组合,如下图所示:一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件及软件叠
3、加在局域网交换机上。两台处于不同子网的主机通信,必须要通过路由器进行路由。三层交换机结构示意7.1.1 交换原理那么三层交换机的路由记忆功能又是如何实现的呢?是由“路由缓存”来实现的。当一个数据包发往三层交换机时,三层交换机首先在它的缓存列表里进行检查,看看路由缓存里有没有记录,如果有记录就直接调取缓存的记录进行路由,而不再经过路由处理器进行处理,这样的数据包的路由速度就大大提高了。如果三层交换机在路由缓存中没有发现记录,再将数据包发往路由处理器进行处理,处理之后再转发数据包。三层交换机的缓存机制与CPU的缓存机制是非常相似的。7.1.2 三层交换机与路由器三层交换机能否代替路由器?和路由器又
4、有何区别呢?很多人搞不清三层交换机和路由器之间的区别,最根本的原因就是三层交换机也具有传统路由器的“路由”功能。但是,三层交换机并不等于路由器,同时也不可能取代路由器。路由和交换之间的主要区别就是交换发生在数据链路层,而路由发生在网络层。这一区别决定了路由和交换在传送数据的过程中需要使用不同的控制信息,所以两者实现各自功能的方式是不同的。具体而言,有下面几点区别:7.1.2 三层交换机与路由器主要功能不同主要功能不同虽然三层交换机与路由器都具有路由功能,但我们不能因此而把它们等同起来,就如现在有许多路由器不仅具有路由功能,还提供了硬件防火墙、IDS等功能,但不能把它与防火墙、IDS产品等同起来
5、一样。因为路由器的主要功能还是路由,其它功能只不过是其附加功能,其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样,它仍是交换机产品,只不过它是具备了一些基本路由功能的交换机,它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由选择两种功能,但其主要功能还是数据交换,而路由器仅具有路由转发这一种主要功能。7.1.2 三层交换机与路由器主要适用的主要适用的环境不一境不一样三层交换机的路由功能通常比较简单,因为它所面对的主要是简单的局域网或者园区网,网络拓扑结构及路由路径远没有广域网、路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用
6、特点。路由器则不同,它的设计初哀就是为了满足不同类型的网络连接,虽然也适用于局域网之间的连接,如局域网与广域网之间的连接、不同协议的网络之间的连接等,所以路由器主要是用于不同类型的网络之间。为了与各种类型的网络连接,路由器的接口类型非常丰富,而三层交换机则一般仅同类型的局域网接口,非常简单。7.1.2 三层交换机与路由器性能体性能体现不一不一样从技术上讲,路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。从整体性能上比较的话,三层交换机的性能要远优于路由器,非常适用于数据交换频繁的局域网中;而路由器虽然
7、路由功能非常强大,但它的数据包转发效率远低于三层交换机,更适合于数据交换不是很频繁的不同类型网络的互联,如局域网与互联网的互联。如果把路由器,特别是高档路由器用于局域网中,则在相当大程度上是一种浪费(就其强大的路由功能而言),而且还不能很好地满足局域网通信性能需求,影响子网间的正常通信。7.1.3 三层交换的特点三层交换机具有以下一些特点:有机的硬件结合使得数据交换加速;高效、优化的路由软件使得路由过程效率提高;除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;多个子网互连时只是与第三层交换模块的逻辑连接,不像传统的外接路由器那样需增加端口,保护了用户的投资。7.1.4 高层交换机
8、及其发展高层交换机,我们可以认为是工作在网络层以上的“交换机”,电信行业长期追寻的“以内容识别网络”这一目标,起实质在于有效的加强网络的管理和监控,其技术手段就是在传输层到应用层的第四至七层中进行的网络流量的分析和监控管理。高层交换机的发展是由专用的硬件新技术代替目前的高层软件交换技术,或是软硬件技术相结合的新技术。也就是说,在未来的高层交换机上,将会集中体现ISO的七层框架,将传统的网络分立设备统一起来,这不仅可以极大地提高网络系统的数据分发、传输和交换能力与速率,还能够降低设备成本,简化网络管理、优化组网过程,使高层交换机在管理与控制功能方面直接在第七层应用层上发挥重要作用。7.2 三层交
9、换机的基本配置三层交换机的命令模式(交换机的名字为缺省的“switch”)命令模式访问方法提示符离开或访问下一模式关于该模式User EXEC(用户模式)访问交换机时首先进入该模式。Switch离开:exit进入特权模式:enable该模式进行基本测试、显示系统信息Privileged EXEC(特权模式)在用户模式下,使用enable命令进入该模式。Switch#返回到用户模式:disable进入全局配置模式:configure该模式来验证设置命令的结果。该模式有口令保护Global configuration(全局配置模式)在特权模式下,使用configure命令进入该模式。Switch(
10、config)#返回特权模式:exit或end或Ctrl+C进入接口配置模式:interface进入VLAN配置模式:vlanvlan_id使用该模式的命令来配置影响整个交换机的全局参数。Interfaceconfiguration(接口配置模式)在全局配置模式下,使用interface 命令进入该模式。Switch(config-if)#返回特权模式:end或键入Ctrl+C组合键。返回到全局配置模式:exit在interface命令中必须指明要进入哪一个接口配置子模式。使用该模式配置交换机的各种接口Config-vlan(VLAN配置模式)在全局配置模式下,使用:vlanvlan_id命令
11、进入该模式。Switch(config-vlan)#返回到特权模式:end或键入Ctrl+C组合键。返回到全局配置模式:exit 使用该模式配置VLAN参数。7.2.1 三层交换机的端口配置三层交换机的以太网口要比一般路由器多很多,更加适合多个局域网之间的互连。默认情况下,三层交换机的所有端口在都属于二层端口,不具备路由功能。因此不能给物理端口直接配置IP地址,如果某端口需要设置为三层接口,可以开启此端口的三层路由功能。但三层交换机整机默认开启了路由的能力,我们可以利用ip routing/no ip routing进行控制和切换。7.2.1 三层交换机的端口配置以下是三层交换机端口方面的配置
12、示例:实验设备:S3550-24或S3550-48一台、直连网线、PC;实验拓扑:7.2.1 三层交换机的端口配置配置步骤:1.开启三层交换机的路由功能Switch enableSwitch#configure terminalSwitch(config)#hostname S3550-24S3550-24(config)#ip routing2.配置三层交换机端口的路由功能S3550-24(config)#interface fastethernet 0/5 !-进入到0号模块下的第5端口-!S3550-24(config-if)#no switchport !打开三层接口-!S3550-2
13、4(config-if)#ip address 192.168.5.1 255.255.255.0 !配置接口IP地址-!S3550-24(config-if)#no shutdownS3550-24(config-if)#end7.2.1 三层交换机的端口配置3.验证、测试配置S3550#show ip interfaceS3550#show ip interface f0/5 !查看接口状态信息-!4.主机测试:将连接网线的PC IP地址设置为192.168.5.2/24,在PC上ping 192.168.5.17.3 利用三层交换机实现VLAN通信7.3.1VLAN互通原理VLAN分段隔
14、离了VLAN间的通信,用支持VLAN的路由器或三层设备可以建立VLAN 间的通信,但使用路由器来互联一个大的企业、园区网中的不同VLAN 显然是不切实际的,其效率十分低下,因为传统的路由器是基于微处理器转发报文,靠软件处理,不适应数据流量庞大的企业、园区局域网。三层交换机通过ASIC硬件来进行报文转发,效率高,其接口基本都是以太网接口,适合企业、园区网中的多VLAN模式,三层交换机还可以工作在二层模式,对某些不需路由的包文直接交换,而这些是路由器所不具有的。7.3.1 VLAN互通原理三层交换机实现VLAN互访的原理基本可以总结为:通过对交换机中的VLAN配置虚接口IP地址SVI,利用三层交换
15、机的路由功能,识别数据包的IP地址,查找路由表进行选路转发,从而实现不同网段之间的互相访问。三层设备上VLAN互通的过程,入下图示:7.3.2 三层交换机实现VLAN互通的示例实验名称:VLAN/802.1Q-VLAN间通信实验目的:通过三层交换机实现VLAN间互相通信实现功能:使同一VLAN里的计算机能跨交换机进行相互通信,而在不同VLAN间的计算机也能通过三层交换机相互通信。实验设备:S2126G一台,S3550-24一台,直连网线若干,实验拓扑图如下:7.3.2 三层交换机实现VLAN互通的示例实验步骤:1.在三层交换机3550上创建VLAN 10,并将0/5端口划分到VLAN10中。S
16、witchA(config)#vlan 10SwitchA(config-vlan)#name salesSwitchA(config-vlan)#exitSwitchA(config)#interface fastethernet 0/5SwitchA(config-if)#switchport access vlan 10SwitchA(config-if)#exitSwitchA(config)#vlan 20SwitchA(config-vlan)#name technicalSwitchA(config-vlan)#exitSwitchA(config)#interface fast
17、ethernet 0/15SwitchA(config-if)#switchport access vlan 207.3.2 三层交换机实现VLAN互通的示例2.把三层交换机3550与S2126相连的端口0/24定义为tag vlan模式。SwitchA(config)#interface fastethernet 0/24SwitchA(config-if)#switchport mode trunk3.在S2126G上创建VLAN 10,并将0/5口划分到VLAN10中。并把与3550相连的端口0/24设置tag vlan模式SwitchB(config)#vlan 10SwitchB(c
18、onfig-vlan)#name salesSwitchB(config-vlan)#exitSwitchB(config)#interface fastethernet 0/5SwitchB(config-if)#switchport access vlan 10SwitchB(config)#exitSwitchB(config)#interface fastethernet 0/24SwitchB(config-if)#switchport mode trunk7.3.2 三层交换机实现VLAN互通的示例4.验证PC1与PC3能互相通信,但PC2与PC3不能互相通信。若设PC1的IP地址
19、为192.168.10.10,PC3的IP地址为192.168.10.30,PC2的IP地址为192.168.20.20。验证方法如下:在PC1的cmd模式下ping 192.168.10.30,查看结果。在PC2的cmd模式下ping 192.168.20.30,查看结果。5.设置三层交换机VLAN间互通SwitchA(config)#interface vlan 10SwitchA(config-if)#ip address 192.168.10.254 255.255.255.0 !配置虚接口地址!SwitchA(config-if)#no shutdownSwitchA(config-
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
15 文币 0人已下载
下载 | 加入VIP,免费下载 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备安全 网络设备安全课件第7章 三层交换设备及配置 网络设备 安全 课件 三层 交换 设备 配置