《合勤交换机技术培训.ppt》由会员分享,可在线阅读,更多相关《合勤交换机技术培训.ppt(123页珍藏版)》请在三一办公上搜索。
1、以太网交换机 合勤科技ZyXEL Communications Corp.,概述,iSafe入侵锁定MAC冻结广播风暴控制802.1x验证L2/L3/L4 ACLiManage智能管理工具集安全管理连接iStackingNetAtlas Enterprise 网管软件PoE功能对照表5.Q&A,产品概览,产品概览,可堆叠 L2 入门级交换机,PoE,可堆叠 L3+交换机,可堆叠 L2+中级交换机,可网管快速以太网交换机,可网管千兆以太网交换机,企业核心网,企业接入网,GS-4024(20G+4D.P.)GS-4012F(8SFP+4D.P.),ES-4024A(24FE+2G/2SFP),GS
2、-3012(8G+4D.P.)GS-3012F(8SFP+4D.P.),ES-2024A(24FE+2G+2SFP)ES-2108,GS-2024(22G+2D.P.),ES-3124(24FE+4G+2SFP)ES-3124PWR(24PoE+4G+2SFP)ES-3148(48FE+4G+2SFP),可堆叠 L2 入门级交换机,PoE,可堆叠 L3+交换机,可堆叠 L2+中级交换机,GS-4024GS-4012,快速以太网,千兆以太网,ES-4124,GS-3012GS-3012F,企业接入网,ES-3124ES-3124PWRES-3148,GS-2024,ES-2108ES-2108-
3、GES-2108-LCES-2108PWR,iStackingDual Personality 千兆上行口PoE,ES-2024A,企业核心网,产品发展,目前产品组合,Layer 2,Layer 3+,桌面型,千兆型,L2 非可网管型,机架型,Layer 2+,ES-4024A,GS-4012F,GS-4024,ES-3124,ES-3148,ES-3124PWR,GS-3012,GS-3012F,ES-2024A,ES-2108ES-2108-G,GS-2024A,ES-105AES-108AES-108P,ES-1016BES-1024BES-1124,ES-116PES-124P,GS-
4、105AGS-108A,GS-1116GS-1124,模块型,未来产品组合(至2006年年底),Layer 2,Layer 3+,L2 非可网管型,Layer 2+,ES-4024A,GS-4012F,GS-4024,ES-3124,ES-3148,ES-3124PWR,GS-3012,GS-3012F,ES-2024A,ES-2108ES-2108-G,GS-2024A,ES-105AES-108AES-108P,ES-1016BES-1024BES-1124,ES-116PES-124P,GS-105AGS-108A,GS-1116GS-1124,ES-4124,MS-7206,ES-20
5、24PWR,GS-1116AGS-1124A,ES-2108-LCES-2108PWR,桌面型,千兆型,机架型,模块型,主要功能介绍,冗余性,链路聚合,链路聚合,绑定一些物理以太连接作为逻辑连接来获取更大带宽。支持IEEE 802.3ad LACP所有L2/L2+/L3+可网管交换机均支持,链路聚合,LACP只工作在全双工链路。同一个链路聚合组的所有端口必须是相同的媒体介质,双工模式和流控设置。,链路聚合,PC 1,PC 6,通信量的分布是基于源和目的端口MAC地址的一对客户之间的通信量会通过trunk组中的一个连接传输。,Link Aggregation Ports,PC 2,PC 3,PC
6、 5,PC 4,生成树协议STP/RSTP,为什么需要生成树协议?消除回路 链路冗余 所有L2/L2+/L3+可网管交换机均支持:IEEE 802.1d Spanning Tree Protocol,STP IEEE 802.1w Rapid Spanning Tree Protocol,RSTP,生成树协议,广播风暴,如果没有STP的避免环路机制,每台交换机都会无止境的广播包到所有的端口,这种情况就叫做广播风暴。,消除回路,广播包,生成树协议(STP,RSTP)可以消除回路,Spanning Tree Protocol,消除回路,广播包,广播包,打断回路,生成树协议(STP,RSTP)可以提
7、供冗余连接,增强网络的稳定性,Spanning Tree Protocol,原来的连接断开后,被阻塞的连接恢复,成为冗余连接,被阻塞的连接可以作为备份连接,X,链路冗余,教育网,VLAN,VLAN Trunking,VLAN Trunking,Enable VLAN Trunking,所有L2/L2+/L3+可网管交换机均支持,VLAN堆叠,VLAN Stacking(VLAN堆叠),VLAN Stacking(VLAN 堆叠):一个VLAN被封装到另外一个VLAN中.仅ES-3100系列和GS-4000系列支持802.1ad Vlan Stacking(QinQ),封包格式,以太帧,VLAN
8、 30|VLAN 2,VLAN 30|VLAN 2,VLAN 40|VLAN 2,VLAN 40|VLAN 2,VLAN 2,VLAN 2,VLAN 2,VLAN 2,Company XX HQ,Company YY branch,Company YY HQ,1,2,3,Switch H,Switch A,Switch C,Switch B,Switch D,Switch E,Switch G,Switch F,Port 2,Port 1,Port 1,Port 1,Port 2,Port 1,Port 25,Port 25,Port 25,Port 25,Port 25,Port 3,Por
9、t 3,Port 25,Company XX branch,应用举例,IP多播,多播VLAN注册(MVR),MVR介绍,MVR 使得单个多播 VLAN 在整个网络中共享,而用户们还是处于各自不同的单播VLAN中,从而减少了多播数据在整个网络上的流量MVR可以有效的减少构建Multicast网络的费用,显著改善Multicast网路的性能,并且保证了安全性ES-3100系列,GS-3000系列,GS-4000系列支持MVR,MVR和IPTV服务,CH1,VLAN1,CH1,VLAN2,CH1,VLAN4,CH1,VLAN5,CH1,VLAN6,CH1,VLAN3,single multicast
10、 stream,CH1,VLAN200,GS-3012,ES-3124,MVR和IPTV服务,CH1,VLAN1,CH1,VLAN2,CH1,VLAN4,CH1,VLAN5,CH1,VLAN6,CH1,VLAN3,single multicast stream,CH1,VLAN200,GS-3012,ES-3124,GS-3012FSupport MVR,Port2:VLAN102IP:/24,Port 1:VLAN101IP:/24,L3 Switch GS-4024,Routing domains:1.IP:VLAN 224 VLAN 100 IGMPv23.IP:VLAN 1014.IP
11、:VLAN 1026.IP:192.168.110.1/24 VLAN:110,Video ServerIP:,Port 2PVID:2,Port 24PVID 1,Port 28PVID 1,VLAN Trunking,Port 27PVID 1,VLAN Trunking,ES-3124Support MVR,Port10:VLAN110IP:/24,Port 9:VLAN109IP:/24,MVR应用,iFlow,iFLOW,iFlow整合一系列的QoS机制,保证网络服务,同时减轻网络拥塞对服务的影响。ZyXEL交换机可以对数据包提供包括分类,策略,优先等动作的线速处理。802.1P优先
12、级队列调度Classifier&Policy Rule(ACL),ZyXEL Switch,Video,To Core,Data,Data,TX,RX,RX,RX,RX,Video 放入对“延迟和丢包”敏感的队列,通过WRR或WFQ调动队列,iFlow 智能流量策略,A,分类(L2-L4 ACL)Layer 2:MAC AddressLayer 3:IP AddressLayer 4:TCP/UDP Port,B,优先级,C,队列调度和流量整形,D,重定义优先级,E,策略(流量限制),A,B,C,D,E,多重队列保证Voice质量,Voice,802.1p 优先级,802.1p 入站,802.
13、1P 定义QoS的队列优先极根据不同的802.1P优先级给流量分类 8种优先级,越高的越先转发所有L2/L2+/L3+可网管型交换机均支持帧的入口处理,标记帧,入口规则,VID,无标记帧,标记帧,标记帧,Pri.,VID,Pri.,PVID,Pri.,802.1P 类型,802.1P定义了8种不同级别的通信量类型,转发处理,例如:ES-3124 支持8种优先级队列优先级队列的安置是根据802.1p来执行的高优先级队列有高的处理优先权当大量高优先级的通信量等待发送时,低优先级的通信量可能会被丢弃,转发处理,Tagged frame,Pri=7,Pri=0,Pri=1,.,Queue 7,Queu
14、e 6,Queue 1,Queue 0,高优先级,低优先级,.,队列调度,队列与调度,队列 高优先级队列和低优先级队列每个队列中都遵循先进先出的原则(FIFO)调度 排队策略SPQ 严格优先队列WRR 权重轮转队列WFQ 权重公平队列(仅ES-31xx及未来的ES-41xx系列支持),严格优先队列(SPQ),High Queue,Low Queue,High priority first out,Switch,t,权重轮转队列(WRR),高优先级队列先发送3个包,权重轮转队列(WRR),高优先级队列先发送3个包,High Queue,Low Queue,Switch,t,Middle Queu
15、e,W=3,W=2,W=1,最低优先级的队列获得了最大的带宽!,权重公平队列(WFQ),高优先级队列发送占据50%的带宽来传送数据,High Queue,Low Queue,Switch,t,Middle Queue,W=50%,W=30%,W=20%,Classifier&Policy Rule(ACL),Classifier(分类)包括二层和三层的分类机制。Policy Rule(策略规则)可以对在Classifier中定义的流量实现QoSL2+/L3+可网管交换机支持,Classifier&Policy Rule(ACL),Classification(分类),Classifier 根据
16、特定的参数将一组数据归类成数据流:比如DSCP值,源/目的地地址,端口号等,1,Classifier,Policy Rule(策略规则),Policy Rule 处理被归类的数据流选择一个或多个Classifiers在Policy Rule中设定要改变的参数或动作应用Policy Rule,2,Traffic coming in to the Switch,Usage,Policy Rule(Action),Classifier,Diffserv(DS)使ISP在为每个用户提供一系列基于不同应用的服务的同时,对每种服务提供不同的服务质量DiffServ是一种CoS(服务等级)的模式,增强了In
17、ternet的尽力而为的服务。它仅应用于Layer 3Example:把所有目的地IP是端口80的包的DSCP值设为60,HTTP Server,HTTP Server,Classifier&Policy Rule 举例,Classifier&Policy Rule 举例,Classifier&Policy Rule 举例,Classifier&Policy Rule 举例,Classifier&Policy Rule 举例,ES-3000 Series L2+FE Switch ES-2000 Series L2 FE Switch,Layer 3 Core,Layer 2+Server,G
18、S-4000 Series L3+GbE Switch,GS-3000 Series L2+GbE Switch,GbE Uplink,GbE Trunk,GbE Uplink,Server Farm,Human Resources VLAN 10,Finance VLAN 20,Sales&Marketing VLAN 30,QoS,完善的QoS功能802.1p WFQ 带宽保证机制DSCP/IP 优先级 基于策略的 QoS 流量限制,QoS,QoS,完善的QoS解决方案,Layer 2 Desktop,iSafe,iSafe,ZyXEL交换机整合了一系列的安全防范技术,防止未经授权的用户访
19、问网络入侵锁定MAC冻结广播风暴控制L2/L3/L4 ACL802.1x端口认证,入侵锁定,高度安全网络,Server Farm,Intruder,ES-3124 L2+FE Switch,入侵者拔掉原有机器的网线,嗅探网络信息,2,1,自动锁定启用 在网线被拔出后自动锁定端口,防止入侵者使用,Core Network,GS-4024 L3+GbE Switch,入侵锁定,目前需要命令行来启用/关闭这项功能 所有L2/L2+/L3+可网管交换机均支持这项功能,关闭Intrusion Lock,启用Intrusion Lock,MAC冻结,高度安全网络,Server Farm,Intruder,
20、ES-3124 L2+FE Switch,入侵者接入网络窃取信息,2,1,MAC冻结启用 将所有已经学得的MAC地址转为静态MAC,同时启用MAC地址学习限制功能,不再学习新的MAC地址,Core Network,GS-4024 L3+GbE Switch,MAC冻结,MAC-Freeze 目前只能通过命令行来打开 MAC Freeze 会把目前的动态MAC地址转化为静态MAC地址,同时在端口上自动打开MAC地址学习限制功能。这样一来,任何其他计算机将无法再使用这个Port。所有L2/L2+/L3+可网管交换机均支持,CLI:Port-Security port number mac-free
21、ze,广播风暴控制,Server Farm,Intruder,ES-3124 L2+FE Switch,蠕虫病毒从一台PC传到另一台PC,2,1,广播风暴控制启用 限制突发的 广播包、多播包和DLF包,Core Network,GS-4024 L3+GbE Switch,在这里限制突发的包,广播风暴控制,L2/L3/L4 ACL,Server Farm,Hosts,ES-3124 L2+FE Switch,黑客试图访问受限区域(Server Farm).,2,1,安全策略启用 交换机根据L2/L3/L4策略限制连接Layer 2:MAC地址Layer 3:IP地址Layer 4:TCP/UDP
22、端口,Internet,Core Network,GS-4024 L3+GbE Switch,L2/L3/L4 ACL,L2/L3/L4 ACL举例,阻止 网段的人通过ES-3124访问网络,但是允许访问网络,怎么做?,.0/24,192.168.8.80/24,ES-3124,Internet,.1/24,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,L2/L3/L4 ACL举例,802.1x 端口认证,802.1X 端口认证,只允许通过认证的用户发送数据。需要外置的Radius服务器支持MD5-Challenge,TLS,TTLS和PEAP,80
23、2.1X 端口认证,Radius 服务器,802.1x 客户,802.1x 客户,如果用户认证未通过,交换机就会丢弃来自该用户的通信量。,iManage,iManage,ZyXEL交换机集成了多样化的智能管理工具智能管理工具集安全管理连接iStackingNetAtlas Enterprise 网管软件,智能管理工具集,iManage 智能管理工具集,ZyXEL可网管交换机集成了一系列的管理工具WEB GUI配置界面文本格式的配置文件CISCO Like CLI(Console/Telnet)所有L2/L2+/L3+可网管交换机都支持CISCO Like的CLI界面,WEB GUI配置页面,分
24、层设定流,面向功能,在线帮助,逻辑设定,WEB GUI配置页面,分层设定流,WEB GUI配置页面,面向功能,WEB GUI配置页面,在线帮助,文本格式配置文件,;Product Name=ES-3124;Generated by SysConf engine version 1.0vlan 1 name 1 normal fixed 5-12 forbidden 1-4 untagged 1-12 ip address inband-default 192.168.1.1 255.255.255.0 exitvlan 103 name normal 3-12 fixed 1-2 forbid
25、den untagged 2 exit。,CISCO Like CLI,User ModehostnameEnable Modehostname#3.Configuration Modehostname(config)#,CISCO Like CLI,安全的管理连接,安全连接 Secure shell(SSHv2,secure Telnet)独立 Management Port HTTPS(Secure Web),administrator,Layer 2 Desktop,Layer 3 Core,Layer 2+Server,GS-4000 Series L3+GbE Switch,ES-3
26、000 Series L2+FE Switch ES-2000 Series L2 FE Switch,GS-3000 Series L2+GbE Switch,GbE Uplink,GbE Trunk,GbE Uplink,Server Farm,Human Resources VLAN 10,Finance VLAN 20,Sales&Marketing VLAN 30,Network Administrator,SSHv2:Secure Telnet,Hacker,LAN,Telnet Switch AUsername:JohnPassword:John123,Switch A,Swit
27、ch B,Telnet Switch AUsername:%$&*Password:#$#$,#$%&*(&(%*%$,Sniffing,?,SSHv2:Secure Telnet,需要第三方软件来建立连接,RJ45独立管理端口,除ES-2108系列和ES2024A以外,其他均支持,独立的管理端口,HTTPs(Secure Web),HTTPs(Secure Web),Https,iStacking(Cluster Management),Internet,Cluster,Administrator,Manage 24 switches,iStacking 智能堆叠,使用单一的IP来同时管理属
28、于同一个VLAN和广播域的多个交换机。最多可管理24台交换机L2/L2+/L3+交换机均支持,iStacking 设定,第一步:设定Manager,发现Member,设定Manager,发现Member,iStacking 设定,第二步:添加Member,添加Member,iStacking 设定,第三步:从Manager上进行管理,Member的管理界面,NetAtlas Enterprise 交换机网管系统,系统架构,系统要求,硬件要求CPU:Intel Pentium 4,1.6GHz(or above)内存:1GB(or above)硬盘:20 GB Hard Disk(or abov
29、e)屏幕分辨率:1024*768 Graphical Adapter(or above)10/100 Mbps 以太网卡软件要求操作系统:Windows 2000(with service pack 1),Windows Server 2003,Windows XP数据库系统:PostgreSQL 8.0 Castle Rocks SNMPc,主要功能,自动发现 拓扑预览配置管理流量监控与分析访问控制访问记录告警/事件 管理 系统管理 模板最多支持500个节点(NE)支持10个并发用户每秒处理100个SNMP trap,设备支持列表,网络拓扑预览,拓扑预览 自动发现 自动显示ZyXEL设备的型
30、号,设备预览,告警状态指示 树状显示:所有可管理设备都显示在树状菜单中,Sub-map,端口状态,端口状态 实时状态显示,端口统计 实时端口统计显示,流量分析器,流量分析器 实时流量分析 不同数据由不同颜色显示,其他管理界面,网管软件,NetAtlas Enterprise 针对企业级用户,支持多用户 支持数据库,NetAtlas Workgroup 针对中小型企业,对网络进行简便管理,Power over Ethernet,PoE的优点,降低成本不需要重新另外布设电线灵活的AP架设方案无线接入点不需要架设在AC电源附近 远程管理IP电话,无线接入点可以通过PoE远程开启或关闭PoE由IEEE
31、 802.3af定义只有ES-2108PWR和ES-3124PWR支持,ES-2108PWR,ES-2108PWR,ES-2108PWR,ES-2108PWR,ES-2108PWR,ES-2108PWR,ES-2108PWR,Playground,Administrator building,Audio-Visual Center,ES-3124PWR,Dormitory,PoE在校园网中的应用,电气参数,操作电压一般是48V DC,一般在44到 57V DC之间最大电流在300到400mA之间.每个端口最大提供15.4瓦功率输出,方案 A(EndSpan),电流由数据线对传输(1/2&3/6
32、),Data&Power,Data,Data,Data,Data,Data,Data,Data,Data,方案 B(MidSpan),电流不是通过数据线对传输(4/5&7/8),Data,Power,Data,Data,Data,Data,Data,Data,Data,Data,EndSpan&MidSpan,PSE(Power Sourcing Equipment)EndSpan:位于Switch上MidSpan:位于Switch和PD之间的设备(可用于升级原有的Switch),EndSpan,Endspan PSE:数据和电流通过同一对数据线传输集成了PoE的Switch可以简化网络结构,
33、PD,PD,PD,CAT 3,5,6,Data&Power are on 1,2,3,6 pairs,PoE Switch,MidSpan,MidSpan:数据和电流通过不同的线对传输,PD,PD,PD,CAT 3,5,6,Power is on 4,5,7,8 pairs Data is on 1.2.3.6 pairs,Non-PoE Switch,PoE 80 Hub,PoE Hub,Power over LAN Hub,Ethernet Switch,Power is on 4,5,7,8 pairs Data is on 1.2.3.6 pairs,PoE 12,PoE 12,PoE 12,PoE 12,Non-PoE Switch,IP Cams,IP Phones,IP Phones,Wireless AP,Wireless Laptop,Server Farm,ES-3124PWR PoE Switch,每个10/100M端口(共24个)可以提供最大351.36mA电流总共可以输出375W功率.千兆端口不支持PoE,ES-3124PWR,功能对照表,功能对照表,Q&A,
