基本交换机管理

许多有抱负进入网络领域的人经常想了解路由器，但掌握交换机管理对入门级网络专业人士来说要有益得多。事实上，与路由器相比，大多数网络技术人员使用交换机的程度要高得多。一方面，一个组织有更多的开关。例如，我管理的一个学校系统有超过 400 个交换机驻留在其基础设施中，而只有 25 个路由器。对于许多大中型企业，路由器配置和管理留给了一小群专门的路由器技术人员。任何组织都不会仅仅因为他们获得了CCNA\HCIA证书就将他们的路由器拓扑结构信任给入门级技术人员认证。熟悉最流行的交换机制造商（例如Cisco、HP和Huawei ）的基本交换机命令。您也应该熟悉核心交换机和第 3 层交换机的重要性。

VLAN

当今交换机管理的一个重要方面是VLAN的配置和部署。VLAN 是由一个或多个LAN上的一组设备组成的虚拟局域网。指定 VLAN 内的设备被配置为通信，就好像它们连接到同一条线路一样，而实际上它们位于许多不同的 LAN 网段上。由于 VLAN 基于逻辑而非物理连接，因此它们比物理路由器接口创建的传统网段灵活得多。首先在一台交换机上创建一个VLAN，并分配一个名称和IP地址，也可以在一台交换机上创建多个VLAN。然后将端口分配给所需的 VLAN。

VLAN 的主要目的之一是隔离网络中的流量并确定其优先级。例如，如果一家公司使用IP 语音 (VoIP)电话系统，它会创建一个 VLAN 以将该流量与其余网络流量隔离并确定其优先级，以确保电话对话能够正确流式传输且不间断。部署VLAN的另一个目的是为了安全。由于 VLAN 可以跨越多个物理站点，因此可以创建一个称为 HR 的 VLAN，并将其分配给位于企业内任何站点的交换机上的任何端口，这些端口为 HR 人员使用的设备提供服务。这将确保只有那些选定的设备才能访问 HR 资源。

冲突域和广播域

以太网是一种基于竞争的网络，这基本上意味着设备必须竞争网络访问权限，因为在冲突域内只有一个设备可以同时访问网络。冲突域是帧发起和冲突的网络区域。集线器是一个单一冲突域的典型示例。另一方面，交换机的每个端口都有一个冲突域。这是多年前由于性能水平提高而放弃集线器以支持交换机的关键原因之一。网络中的交换机越多，端口就越多，冲突域也就越多。广播域是广播可以自由穿透的网络区域。一组互连的交换机形成一个广播域。唯一可以阻止广播的是路由器和 VLAN。小型网络可能仅由一个广播域组成。较大的域通常为每个物理站点和 VLAN 创建一个单独的广播域。

IP配置基础知识

无论是因特网还是简单的网络，TCP/IP都是使一切保持连接和通信的协议族。必须有IP寻址的基础。服务器、路由器、安全设备和交换机等网络基础设施中的关键设备需要静态 IP 地址。您需要知道我所说的“三巨头”，即 IP 地址、子网掩码和默认网关。默认网关是为驻留在广播域之外的 IP 请求提供服务的默认路由器的 IP 地址。您可以通过在命令提示符下键入命令IPCONFIG来确定任何 Windows 设备的三大设备. 在大多数情况下，用户设备将配置为从DHCP服务器接收 IP 分配，DHCP 服务器代表动态主机控制协议。配置 DHCP 服务器以部署 IP 地址是一种可扩展的方法，可以将 IP 地址提供给可能有数千台设备。除了三巨头之外，每台设备都需要至少一个DNS服务器或域名服务器的 IP 地址。DNS 的目的是解析主机名的 IP 地址。

测试连接问题

假设小王打电话给帮助台并抱怨她无法访问公司内部门户网站。你如何着手解决这个问题？小王的计算机可能无法访问该站点的原因有一百种。她的NIC可能出现故障，她可能没有 IP 地址，Web 服务器可能已关闭，位于两者之间路由的交换机可能已关闭。小王 的网络浏览器也可能有问题，或者服务器上的网络文件可能已被删除。您需要尽快消除尽可能多的罪魁祸首，以便解决问题。

这就是PING的力量命令。正如潜艇向外发送声纳信号以识别附近的物体一样，PING 命令确认两个设备之间的连接。所有这些问题都分为两类：连接问题和软件问题。连接问题更容易排除故障和解决，因此您希望在开始时确认或消除连接。如果您可以从 小王的设备成功 ping 通 Web 服务器，这将确认路由的所有方面都可以运行，然后重点需要放在小王的浏览器或服务器软件上。如果 PING 不成功，则技术人员需要在此过程中 ping 其他目标。技术人员可以先尝试 ping小王计算机的 IP 地址，这将确认 NIC 是否正常运行。接下来将对本地交换机和路由器执行 ping 操作，并且在确定问题之前继续进行该过程。PING 命令是网络技术人员最好的朋友。

防火墙和 NAT

如果本地网络可以访问 Internet，则它具有某种类型的路由器或防火墙，可提供NAT和基本的防火墙安全性。大多数组织使用称为UTM设备或统一威胁管理的多功能防火墙设备。这些设备可以作为路由器在私人 LAN 和公共互联网之间路由数据包。它还用作边界防火墙，以阻止未经授权的流量进入或离开网络。网络地址转换或 NAT 将不可路由的私有内部地址转换为可路由的公共地址。NAT 的另一个好处是为网络增加了一定程度的隐私和安全性，因为它对外部网络隐藏了内部 IP 地址，因为每个数据包离开网络的设备分配相同的公共 IP 地址。此地址通常是防火墙设备的外部 IP。