Download
1 / 34
340 likes | 461 Views
Module 5-1. 交换技术. IEEE 802.3 以太网标准. 传统以太网: 10Mb/s 802.3 —— 粗同轴电缆 802.3a —— 细同轴电缆 802.3i —— 双绞线 802.3j —— 光纤 快速以太网( FE ): 100Mb/s 802.3u —— 双绞线,光纤 千兆以太网( GE ): 1000Mb/s ( 1Gb/s ) 802.3z —— 屏蔽短双绞线、光纤 802.3ab —— 双绞线 万兆以太网( 10GE ): 10Gb/s 802.3ae —— 光纤. 交换机相关概念. 背板带宽
E N D
Module 5-1 交换技术
IEEE 802.3 以太网标准 • 传统以太网:10Mb/s • 802.3 —— 粗同轴电缆 • 802.3a —— 细同轴电缆 • 802.3i —— 双绞线 • 802.3j —— 光纤 • 快速以太网(FE):100Mb/s • 802.3u ——双绞线,光纤 • 千兆以太网(GE):1000Mb/s(1Gb/s) • 802.3z —— 屏蔽短双绞线、光纤 • 802.3ab —— 双绞线 • 万兆以太网(10GE):10Gb/s • 802.3ae —— 光纤
交换机相关概念 • 背板带宽 • 是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。 • 吞吐量 • 也叫包转发率。单位一般为pps(包每秒),一般交换机的包转发率在几十Kpps到几百Mpps不等。 • 1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps
地址学习 帧的转发/过滤 环路防止 交换机的三个功能
交换机如何学习主机的位置 MAC地址表 A B 0260.8c01.1111 0260.8c01.3333 E0 E1 E2 E3 C D 0260.8c01.2222 0260.8c01.4444 • 最初开机时MAC地址表是空的 • 1900 最大mac地址表可存1024个. 一旦地址表满, 就会洪泛所有到新MAC地址的帧,直到现存地址条目老化为止. • Mac地址表条目默认老化时间是300秒,以下命令可改变老化时间: • wg_sw_a(config)#mac-address-table aging-time ? <10-1000000> Aging time value
交换机如何学习主机的位置 MAC地址表 E0: 0260.8c01.1111 A B 0260.8c01.1111 0260.8c01.3333 E0 E1 C D E2 E3 0260.8c01.2222 0260.8c01.4444 • 主机A发送数据帧给主机C • 交换机通过学习数据帧的源MAC地址,记录下主机A的MAC地址 对应端口E0 • 该数据帧转发到除端口E0以外的其它所有端口 (不清楚目标主机的单点传送用泛洪方式)
交换机如何学习主机的位置 MAC地址表 E0: 0260.8c01.1111 E3: 0260.8c01.4444 A B 0260.8c01.1111 0260.8c01.3333 E0 E1 E2 E3 C D 0260.8c01.2222 0260.8c01.4444 • 主机D发送数据帧给主机C • 交换机通过学习数据帧的源MAC地址,记录下主机D的MAC地址对应端口E3 • 该数据帧转发到除端口E3以外的其它所有端口 (不清楚目标主机的单点传送用泛洪方式)
交换机如何过滤帧 MAC地址表 E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 A B E3: 0260.8c01.4444 0260.8c01.1111 0260.8c01.3333 E0 E1 X X D C E2 E3 0260.8c01.2222 0260.8c01.4444 • 交换机A发送数据帧给主机C • 在地址表中有目标主机,数据帧不会泛洪而直接转发
广播帧和多点传送帧 MAC地址表 E0: 0260.8c01.1111 E2: 0260.8c01.2222 A B E1: 0260.8c01.3333 E3: 0260.8c01.4444 0260.8c01.1111 0260.8c01.3333 E0 E1 E2 E3 C D 0260.8c01.2222 0260.8c01.4444 • 主机D发送广播帧或多点帧 • 广播帧或多点帧泛洪到除源端口外的所有端口
帧交换 • 直通转发Cut-through • 交换机检测到目标地址后即转发帧 Frame 交换机一确定帧的目的MAC地址和正确的端口号,就立即将帧转发出去。通常情况下,大约在收到帧头14个字节左右就开始转发。这使得直通法比存储转发法具有更小且相对固定的延迟时间,但它连小于64字节的帧以及一些坏帧也一块儿转发,可能浪费带宽。
存贮转发Store and forward 完整地收到帧并检查无错后才转发 帧交换 • 直通转发 • 交换机检测到目标地址后即转发帧 Frame Frame Frame Frame 交换机将帧向目的端口转发之前要先收到完整的帧并进行CRC校验、确定目的地址。交换机将整个帧存储在内存缓冲区中,直到它获得有效资源才将其发往目的地。好处是能够抛弃小于64字节的帧以及其他任何受损的帧,这样可以节约带宽。缺点是延迟较大且不固定,因为它在转发之前要收到并处理完整的帧。
帧交换 • 直通转发Cut-through • 交换机检测到目标地址后即转发帧 存贮转发Store and forward 完整地收到帧并检查无错后才转发 Frame Frame Frame Frame • 片断转发Fragment free (直通转发的修订版)—Cat1900 的缺省模式 • (modified cut-through) • 交换机检测到帧的前64字节后即转发 Frame
EtherChannel的好处 • 在交换机之间相同的链路进行逻辑的聚合 • 多条链路进行负载 • 在STP中看作同一个逻辑的端口 • 提供冗余
常规推荐: • 考虑或组织建立安全策略. • 加强交换设备: • 控制交换机的入口. • 控制交换机的协议. • 通过交换机减轻危害.
常规推荐: Switch Security • 把握交换机的入口: • 设置系统密码. • 安全的连接到console口访问. • 加强远程登录的安全访问. • 尽可能使用SSH. • 关闭HTTP服务. • 设置系统警告信息. • 关闭不需要的服务. • 使用系统日志.
常规推荐: Switch Security (Cont.) • 把握交换机的协议: • 在必须的情况下才启用CDP. • 生成树协议. • 通过交换机减轻危害: • 使用trunk链路预防机制. • 把物理端口减少到最低. • 为使用或不使用的端口上建立标准的访问端口.
Port Security • Port security restricts port access by MAC address.
Port Security Switch(config-int)# Switchport mode access Switchport port-security Switchport port-security maximum [number] Switchport port-security violation shutdown Switchport port-security mac-address sticky
802.1X Port-Based Authentication 网络访问通过交换机接受验证
Summary • 根据推荐的常规安全设置你的交换机网络并使用密码,关闭不需要的端口,配置验证,以及启用端口安全. • 加固交换机设备,你需要控制交换机的访问,以及协议的使用.
Troubleshooting Switch Issues • 分层解决 • 交换机工作在OSI参考模型中的第二层 • 交换机为物理介质提供接口. • 问题一般出在一层或二层. • 三层的问题呈现在管理交换机.
Switched Media Issues • 传输介质问题可能的原因: • 线路被损坏. • 电磁干扰. • 拓扑变化. • 新设备的安装.
show interface • SwitchX#show interface fastethernet 0/0 • Ethernet 0 is up, line protocol is up • Hardware is MCI Ethernet, address is aa00.0400.0134 (via 0000.0c00.4369 • Internet address is 131.108.1.1, subnet mask is 255.255.255.0 • . • . • Output Omitted • . • . • 2295197 packets input, 305539992 bytes, 0 no buffer • Received 1925500 broadcasts, 0 runts, 0 giants • 3 input errors, 3 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort • 0 input packets with dribble condition detected • 3594664 packets output, 436549843 bytes, 0 underruns • 8 output errors, • 1790 collisions, • 10 interface resets, • 0 restarts Fastethernet 0/0 is up, line protocol is up [1] 3 input errors, 3 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort [2] 8 output errors, [3] 1790 collisions, [4] 0 restarts [5]
Excessive Noise • Suggested steps: • 使用 show interface fastethernet命令 确定设备接口的情况. • 存在很多的 CRC 错误但是没有冲突则表示有过度的干扰. • 检查线缆是否损坏. • 如果你需要百兆链路,你必须使用5类以上的双绞线.
Excessive Collisions • Suggested steps: • 使用 show interface fastethernet命令 • 检查端口的冲突率. 询问产生冲突的数据应占发出的数据包的0.1%或者更少. • 使用协议分析器检测链路中是否不断的存在垃圾数据在网络中传输.
Late Collisions • Suggested steps: • 使用协议分析器检测延迟冲突 • 延迟一般情况下不会发生在合理设计的以太网络中. 他经常会发生在以太线缆过长或者在网络中有大量的中继设备. • 查看在发送方与接收方之间的距离.
Port Access Issues • 介质相关问题 • 双工相关问题 • 速率相关问题
Duplex-Related Issues • Duplex modes: • 一端使用全双工,另一端使用半双工导致错误. • 一端使用全双工,另一端使用自协商模式: • 协商失败端口转变为半双工.导致错误. • 一端设置为半双工,另一端设置为自协商: • 协商失败端口为返回默认值为半双工,无错误. • 两端都使用自协商: • 一端为全双工,另一端为半双工. • 例如:GB以太网接口默认是全双工模式的,而百兆接口默认则是半双工模式. • 两端都使用自协商: • 两端协商失败时,都返回默认值半双工,无错误.
Speed-Related Issues • Speed modes: • 两端的接口速率不同导致出现错误. • 一端的速率设置的过高,而另一端设置为自协商模式. • 如果协商失败,自协商的一端将使用最低的速率, 导致出现错误. • 两端都使用自协商模式: • 协商失败,两端都使用最低传输速率.
Configuration Issues • 在保存之前验证配置结果. • 确定问题已经解决而且没有产生新的问题. • 保存配置. • copy running-config start-config • 安全配置. • Password-protect the console. • Password-protect the vty. • Password-protect EXEC mode.
Summary • Use a layered approach to troubleshooting. • Use the show interface command to troubleshoot these issues: • Media issues • Duplex issues • Speed issues • Keep a copy of configurations and protect the running configuration.
