---

前言

常見的以太網設備包括Hub、交換機等。交換機工作在數據鏈路層，它有效的隔離了以太網中的沖突域，極大的提升了以太網的性能。

隨著企業網絡的發展，越來越多的用戶需要接入到網絡，交換機提供的大量的接入端口能夠很好的滿足這種需求。同時，交換機也徹底解決了困擾早期以太網的沖突問題，極大提升了以太網的性能，同時也提高了以太網的安全性。

交換機工作在數據鏈路層，對數據幀進行操作。在收到數據幀后，交換機會根據數據幀的頭部信息對數據幀進行轉發。

---

一、交換機的轉發行為

接下來我們以小型交換網絡為例，講解交換機的基本工作原理。

如圖所示，交換機對幀的轉發操作行為一共有三種：

二、交換機的轉發原理

1.MAC地址表

交換機中有一個MAC地址表，里面存放了MAC地址與交換機端口的映射關系。MAC地址表也稱為CAM（Content Addressable Memory）表。

MAC地址表與轉發行為的關系：

1. 如果進入交換機的是一個單播幀，則交換機會去MAC地址表中查找這個幀的目的MAC地址。1）如果查不到這個MAC地址，則交換機執行泛洪操作。2）如果查到了這個MAC地址，則比較這個MAC地址在MAC地址表中對應的端口是不是這個幀就交換機的那個端口。如果不是，則交換機執行轉發操作。如果是，則交換機執行丟棄操作。
2. 如果進入交換機的是一個廣播幀，則交換機不會去查MAC地址表，而是直接執行泛洪操作。
3. 如果進入交換機的是一個組播幀，則交換機的處理行為比較復雜，超出了這里的介紹范疇，所以略去不講。

交換機還具有學習能力。當一個幀進入交換機后，交換機會檢查這個幀的源MAC地址，并將該源MAC地址與這個幀進入交換機的那個端口進行映射，然后將這個映射關系存放進MAC地址表。

為了查看交換機的MAC地址表，這里教給大家幾個交換機的命令。

display version 查看交換機系統版本

display interface brief 查看交換機接口狀態簡要信息

這條命令是在PC機上執行的，用于查看本機的arp緩存表，如下：

arp -a 查看本地arp緩存表

在交換機上還有一個命令如下：

display mac-address 查看交換機上的MAC地址表

2.交換機初始狀態

初始狀態下，交換機并不知道所連接主機的MAC地址，所以MAC地址表為空。本例中，SWA為初始狀態，在收到主機A發送的數據幀之前，MAC地址表中沒有任何表項。

然而交換機是個愛學習的好孩子。

3.學習MAC地址

交換機將收到的數據幀的源MAC地址和對應接口記錄到MAC地址表中。

主機A發送數據給主機C時，一般會首先發送ARP請求來獲取主機C的MAC地址，此ARP請求幀中的目的MAC地址是廣播地址，源MAC地址是自己的MAC地址。

SWA收到該幀后，會將源MAC地址和接收端口的映射關系添加到MAC地址表中。此后，如果交換機收到目標MAC地址為00-01-02-03-04-AA 的數據幀時，都將通過G0/0/1端口轉發。

默認情況下，交換機學習到的MAC地址表項的老化時間為300秒。如果在老化時間內再次收到主機A發送的數據幀，SWA中保存的主機A的MAC地址和G0/0/1的映射的老化時間會被刷新。

4.ARP協議

ARP（Address Resolution Protocol），屬于網絡層。ARP的作用，已知IP地址解析MAC地址。ARP工作原理：

• 首先發送ARP廣播：內容是：我的IP是xxx，我的MAC是xxx，誰的IP是xxx，你的MAC是？？？
• 目標主機回應ARP單播
• 當PC收到ARP單播回應后，在計算機中生成ARP緩存。

5.交換機轉發數據幀

當目的MAC地址為廣播地址，當數據幀的目的MAC地址不在MAC表中，交換機會泛洪該幀。

主機A發送的數據幀的目的MAC地址為廣播地址，所以交換機會將此數據幀通過G0/0/2 和 G/0/0/3 端口廣播到主機B和主機C。

6.目標主機回復

交換機根據MAC地址表將目標主機的回復信息單播轉發給源主機。

主機B和主機C接收到此數據幀后，都會查看該ARP數據幀。但是主機B不會回復該幀，主機C會處理該幀并發送ARP回應，此回復數據幀的目的MAC地址為主機A的MAC地址，源MAC地址為主機C的MAC地址。

SWA收到回復數據幀時，會將該幀的源MAC地址和接口的映射關系添加到MAC地址表中。

如果此映射關系在MAC地址表已經存在，則會被刷新。然后SWA查詢MAC地址表，根據幀的目的MAC地址找到對應的轉發端口后，從G0/0/1轉發此數據幀。

三、華為交換機基本命令

1.VRP視圖分層

通用路由平臺（Versatile Routing Platform）是華為公司數據通信產品的通用操作系統平臺。

VRP分層的命令結構定義了很多命令行視圖，每條命令只能在特定的視圖中執行。本例介紹了常見的命令行視圖。每個命令都注冊在一個或多個命令視圖下，用戶只有先進入這個命令所在的視圖，才能運行相應的命令。進入到VRP系統的配置界面后，VRP上最先出現的視圖是用戶視圖。在該視圖下，用戶可以查看設備的運行狀態和統計信息。

比如說在用戶視圖下，可以使用display version查看系統版本，使用display mac-address查看MAC地址表，使用display interface brief查看接口信息，但是只能使用有限的命令，比如要給設備改名字，在用戶視圖下就做不了。

若要修改系統參數，用戶必須進入系統視圖。

system-view 進入系統視圖，也可以使用簡寫命令sys

用戶還可以通過系統視圖進入其他的功能配置視圖，如接口視圖和協議視圖。

int g0/0/0 從系統視圖進入接口視圖，完整命令是interface GigabitEthernet 0/0/0

ip address x.x.x.x 子網掩碼 給路由器接口配置IP地址

di th 查看當前接口信息，命令全稱是display this

2.命令行補全

若命令字的前幾個字母是獨一無二的，系統可以在輸完該命令的前幾個字母后自動將命令補充完整。如本例所示，用戶只需輸入inter并按Tab鍵，系統自動將命令補充為interface。

若命令并非獨一無二的，按Tab鍵后將顯示所有可能的命令。如輸入in并按Tab鍵，系統會按順序顯示以下命令：info-center，interface。

3.命令行幫助

VRP提供兩種幫助功能，分別是部分幫助和完全幫助。

部分幫助指的是，當用戶輸入命令時，如果只記得此命令關鍵字的開頭一個或幾個字符，可以使用命令行的部分幫助獲取以該字符串開頭的所有關鍵字的提示，如本例中所示。

完全幫助指的是，在任一命令視圖下，用戶可以鍵入“?”獲取該命令視圖下所有的命令及其簡單描述；如果鍵入一條命令關鍵字，后接以空格分隔的“?”，如果該位置為關鍵字，則列出全部關鍵字及其描述。

4.配置設備名稱

在網絡環境中會有部署大量的設備，管理員需要對這些設備進行統一管理。在進行設備調試的時候，首要任務是設置設備名。設備名用來唯一的標識一臺設備。

改設備名稱需要在系統視圖下完成，使用的命令是sysname

5.命令等級

系統將命令進行分級管理，以增加設備的安全性。

設備管理員可以設置用戶級別，一定級別的用戶可以使用對應級別的命令行。

缺省情況下命令級別分為0~3級，用戶級別分為0~15級。

用戶0級為訪問級別，對應網絡診斷工具命令（ping、tracert）、從本設備出發訪問外部設備的命令（Telnet 客戶端）、部分display命令等。

用戶1級為監控級別，對應命令級0/1級，包括用戶系統維護的命令以及display等命令。

用戶2級是配置級別，包括向用戶提供直接網絡服務，包括路由、各個網絡層次的命令。

用戶3-15級是管理級別，對應命令3級，該級別主要是用于系統運行的命令，對業務提供支撐作用，包括文件系統、FTP、TFTP下載、文件交換配置、電源供應控制，備份板控制、用戶管理、命令級別設置、系統內部參數設置以及用于業務故障診斷的debugging命令。

在具體使用中，如果我們有多個管理員賬號，但只允許某一個管理員保存系統配置，則可以將save命令的級別提高到4級，并定義只有該管理員有4級權限。這樣，在不影響其他用戶的情況下，可以實現對命令的使用控制。

6.用戶界面

使用命令 display user-interface 查看用戶登錄方式。

使用命令 display users 查看已登錄用戶信息。

如下圖可以使用19種方式來管理網絡設備，一般情況下我們采用兩種：一種是Console；一種是VTY。

控制口（Console Port）是一種通信串行端口，由設備的主控板提供。

虛擬類型終端（Virtual Type Terminal）是一種虛擬線路端口，用戶通過終端與設備建立 Telnet 或 SSH 連接，也就建立了一條VTY，即用戶可以通過VTY方式登錄設備。設備一般最多支持15個用戶同時通過VTY方式訪問。執行 user-interface maximum-vty number 命令可以配置同時登錄到設備的VTY類型用戶界面的最大個數。如果將最大登錄用戶數設為0，則任何用戶都不能通過Telnet 或者 SSH 登錄到路由器。

不同的設備，或者使用不同版本的VRP軟件系統，具體可以被使用的VTY接口的最大數量可能不同。VTY接口最大可配范圍為0-14。

7.配置console認證

步驟：

• 進入console口管理控制界面
• 開啟密碼認證模式
• 設置加密密碼

8.配置用戶界面命令

idle-timeout 設置超時時間

screen-length 設置指定終端屏幕的臨時顯示行數

history-command max-size 設置歷史命令緩沖區的大小

用戶可以設置Console界面和VTY界面的屬性，以提高系統安全性。如果一個連接上設備的用戶一直處于空閑狀態而不斷開，可能會給系統帶來很大風險，所以在等待一個超時時間后，系統會自動中斷連接。這個閑置切斷時間又稱超時時間，默認為10分鐘。

當display命令輸出的信息超過一頁時，系統會對輸出內容進行分頁，使用空格鍵切換下一頁。

如果一頁輸出的信息過少或過多時，用戶可以執行screen-length 命令修改信息輸出時一頁的行數。默認行數為24，最大支持512行。不建議將行數設置為0，因為那樣將不會顯示任何輸出內容了。

每條命令執行過后，執行的記錄都保存在歷史命令緩存區。用戶可以利用（↑），（↓）來調用這些命令。歷史命令緩存區中默認能存儲10條命令，可以通過history-command max-size 改變可存儲的命令數，最多可存儲256條。

9.配置vty登錄

如果沒有權限限制，未授權的用戶就可以使用設備獲取信息并更改配置。從設備安全的角度考慮，限制用戶的訪問和操作權限是很有必要的。用戶權限和用戶認證是提升終端安全的兩種方式。用戶權限要求規定用戶的級別，一定級別的用戶只能執行特定級別的命令。

配置用戶界面的用戶認證方式后，用戶登錄設備時，需要輸入明碼進行認證，這樣就限制了用戶訪問設備的權限。在通過VTY進行Telnet連接時，所有接入設備的用戶都必須要經過認證。

設備提供三種認證模式，AAA模式、密碼認證模式和不認證模式。AAA認證模式具有很高的安全性，因為登錄時必須輸入用戶名和密碼。密碼認證只需要輸入登錄密碼即可，所以所有的用戶使用的都是同一個密碼。使用不認證模式就是不需要對用戶認證直接登錄到設備。需要注意的是，Console界面默認使用不認證模式。

對于Telnet登錄用戶，授權是非常必要的，最好設置用戶名、密碼和指定和賬號相關聯的權限。

注意：不同VRP版本執行 set authentication password cipher 命令有差異：有些平臺需要回車后輸入密碼，另外一些平臺可直接在命令后輸入密碼。故在操作具體產品時請查閱相應VRP產品文檔。

10.查看配置

display current-configuration 查看當前配置信息

display saved-configuration 查看已保存的配置信息

save 保存配置

reboot 重啟設備

11.端口命令

shutdown 手工關閉端口

undo shutdown 手工打開端口

display interface Ethernet brief 查看端口信息