交換機基本功能學(xué)習(xí)總結(jié)【業(yè)界相關(guān)】

1、1,學(xué)習(xí)總結(jié) 交換機知識學(xué)習(xí)匯報,1,專業(yè)課堂,主要內(nèi)容,一、交換機基本原理 二、交換機功能介紹,2,2,專業(yè)課堂,1、交換機概述 2、交換機轉(zhuǎn)發(fā)原理 3、交換機常用接口,3,一、交換機基本原理,3,專業(yè)課堂,一、交換機基本原理交換機概述,交換機： （1）在通信系統(tǒng)中完成信息交換功能的設(shè)備； （2）主要工作在數(shù)據(jù)鏈路層； （3）采用物理地址進行信息交互。 交換機中轉(zhuǎn)發(fā)的兩種常見的幀格式: （1）以太網(wǎng)幀格式 （2）IEEE 802.1Q幀格式,4,4,專業(yè)課堂,交換機的核心思想： 基于源MAC學(xué)習(xí)、基于目的MAC轉(zhuǎn)發(fā) 過程管理依據(jù)： MAC地址表項,一、交換機基本原理交換機轉(zhuǎn)發(fā)原理,MAC 地

2、址表項構(gòu)成,手工配置和動態(tài)學(xué)習(xí)的MAC地址表項,這里的index表示什么意思？有什么作用,5,專業(yè)課堂,更新和維護MAC地址表： （1）手工配置地址： a. 靜態(tài)地址表項，使用于網(wǎng)絡(luò)中比較固定的網(wǎng)絡(luò)設(shè)備，可以減少網(wǎng)絡(luò)中的廣播包；可以防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。 b. 配置過濾地址，當(dāng)接收到的數(shù)據(jù)報文源MAC或目的MAC與過濾表項中的地址相符的，丟棄。 （2）動態(tài)地址學(xué)習(xí)：動態(tài)地址表項，存在老化時間,一、交換機基本原理交換機轉(zhuǎn)發(fā)原理,6,專業(yè)課堂,MAC地址學(xué)習(xí)和報文轉(zhuǎn)發(fā)過程： 當(dāng)交換機收到一個報文，處理過程如下： （1）查看MAC地址表項 （2）根據(jù)結(jié)果，處理報文 （3）更新MAC地址表

3、項 a.在MAC地址表中添加記錄 b.更新MAC地址表中記錄信息,一、交換機基本原理交換機轉(zhuǎn)發(fā)原理,根據(jù)報文的目的 MAC 地址、報文所屬的 VLAN ID 、MAC 地址表中查找相應(yīng)的轉(zhuǎn)發(fā)輸出端口,a.丟棄 b.采取單播、組播、廣播和復(fù)制流的方式轉(zhuǎn)發(fā)報文,7,專業(yè)課堂,幾種常用接口： 設(shè)備上的單個物理接口 有三種模式：Access、Trunk、Hybrid，通過 Switch Port 接口配置命令； 用于管理物理接口和與之相關(guān)的第二層協(xié)議。 鏈路匯聚口 把多個端口的帶寬疊加起來使用，擴展了鏈路帶寬； 鏈路匯聚支持負(fù)載均衡,可以把流量均勻地分配給各成員鏈路。 SVI接口 SVI 可以做為本機

4、的管理接口，通過該管理接口管理員可管理設(shè)備。 用來實現(xiàn)三層交換的邏輯接口,一、交換機基本原理交換機接口,8,專業(yè)課堂,交換機接口示意圖,一、交換機功能介紹交換機接口,交換機接口示意圖,9,專業(yè)課堂,二、交換機功能介紹,1、VLAN管理 2、ACL 3、IGMP 4、DHCP 5、端口管理,10,專業(yè)課堂,二、交換機功能介紹VLAN管理,什么是VLAN？ VLAN有什么用,虛擬局域網(wǎng)，Virtual Local Area Network，虛擬局域網(wǎng)是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù),用于在二層交換機上分割廣播域的技術(shù)，使第二層的單播、廣播和多播幀

5、在一個 VLAN 內(nèi)轉(zhuǎn)發(fā)、擴散，而不會直接進入其它的 VLAN 之中,沒有劃分vlan時報文轉(zhuǎn)發(fā),劃分vlan后報文轉(zhuǎn)發(fā),11,專業(yè)課堂,二、交換機功能介紹VLAN,VLAN中幾個基本概念： （1）VID （2）PVID（或稱Native Vlan） （3）Allowed Vlan,三種操作模式下端口VID、PVID和Allowed vlan對比,12,專業(yè)課堂,VLAN中的報文轉(zhuǎn)發(fā),二、交換機功能介紹VLAN,Vlan中報文轉(zhuǎn)發(fā),13,專業(yè)課堂,訪問控制列表（Access Control List，ACL） ： 通過配置一系列匹配規(guī)則，對指定數(shù)據(jù)流（如限定的源IP地址、端口號等）執(zhí)行允許或禁

6、止通過，來識別特殊種類報文的流量過濾器。 主要作用： （1）防止非法的主體進入受保護的網(wǎng)絡(luò)資源。 （2）允許合法用戶訪問受保護的網(wǎng)絡(luò)資源。 （3）防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。 ACL 使用訪問控制條目 (ACE) 控制用戶和組的訪問權(quán)。 ACE有permit和deny兩種控制方式。 支持3種訪問控制列表： （1）標(biāo)準(zhǔn)IP訪問控制列表 （2）擴展IP訪問控制列表 （3）擴展MAC訪問控制列表,二、交換機功能介紹ACL,14,專業(yè)課堂,ACL總結(jié),二、交換機功能介紹ACL,ACL三種類型總結(jié),15,專業(yè)課堂,什么是IGMP Snooping？ IGMP Snooping是In

7、ternet Group Management Protocol Snooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)的簡稱，它是運行在二層設(shè)備上的組播約束機制，用于管理和控制組播組,二、交換機功能介紹IGMP Snooping,運行IGMP Snooping后,交換機運行IGMP Snooping前后對比,16,專業(yè)課堂,組播IP與組播MAC地址對應(yīng)關(guān)系,二、交換機功能介紹IGMP Snooping,簡而言之，組播MAC地址前24固定為0 x01-00-5e，倒數(shù)第24為0，后23位是將IP組播地址后23位映射而來,17,專業(yè)課堂,二、交換機功能介紹IGMP Snooping,IGMP 版本： IGMP

8、 v1、IGMPv2、IGMP v3,18,專業(yè)課堂,IGMP Snooping 的工作原理 運行IGMP Snooping的二層設(shè)備通過對收到的IGMP報文進行分析，為端口和MAC組播地址建立起映射關(guān)系，并根據(jù)這樣的映射關(guān)系來轉(zhuǎn)發(fā)組播數(shù)據(jù)。 IGMP Snooping 的相關(guān)端口 交換機將本設(shè)備上的所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中，依靠這兩個列表來轉(zhuǎn)發(fā)組播數(shù)據(jù)，并對其進行實時維護,二、交換機功能介紹IGMP Snooping,1）路由端口 交換機上朝向三層組播設(shè)備(DR或IGMP查詢器)一側(cè)的端口。 （2）成員端口 又稱組播成員端口，表示交換機上朝向組播組成員一

9、側(cè)的端口,19,專業(yè)課堂,路由端口列表更新 （1）收到IGMP普遍組查詢報文（ IGMP v1/v2 /v3 ） a.如果在路由器端口列表中已包含該動態(tài)路由器端口，則重置其老化定時器； b. 如果在路由器端口列表中尚未包含該動態(tài)路由器端口，則將其添加到路由器端口列表中，并啟動老化定時器。 （2）收到IGMP特定組查詢報文（ IGMP v2 /v3 ） a.如果接收端口為一已存在的動態(tài)路由器端口，則重置其老化定時器； b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加到路由器端口列表中，并啟動其老化定時器。 （3）收到IGMP特定源組查詢報文（ IGMP v3 ） a.如果接收端口為

10、一已存在的動態(tài)路由器端口，則重置其老化定時器； b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加 到路由器端口列表中，并啟動其老化定時器。 （4）交換機為每個動態(tài)路由連接口都啟動一個定時器，其超時時間就是動態(tài)路由連接口的老化時間。如果在其老化時間超時前沒有收到 IGMP 查詢報文，交換機將把該端口從路由器端口列表中刪除,二、交換機功能介紹IGMP Snooping,20,專業(yè)課堂,動態(tài)成員端口列表更新： （1）交換機為動態(tài)成員端口啟動一個定時器，其超時時間就是動態(tài)成員端口老化時間。對于成員端口，如果在其老化時間超時前沒有收到 IGMP加入報文，交換機將把該端口從成員端口列表中刪除

11、。 （2）收到IGMP成員關(guān)系報告報文（ IGMP v1/v2 /v3 ） a.如果不存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，則創(chuàng)建轉(zhuǎn)發(fā)表項，將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器； b.如果已存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，但其出端口列表中不包含該端口，則將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器； c.如果已存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，且其出端口列表中已包含該動態(tài)成員端口，則重置其老化定時器。 （3）收到IGMP離開組報文（ IGMP v2 /v3 ） 如果要離開的組播組所對應(yīng)的轉(zhuǎn)發(fā)表項存在，且該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中包含該端口，將該端口從組播

12、組所對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中刪除,二、交換機功能介紹IGMP Snooping,21,專業(yè)課堂,IGMP Snooping后對報文轉(zhuǎn)發(fā)處理 （1）收到IGMP普遍組查詢報文時，交換機將其通過VLAN內(nèi)除接收端口以外的其他所有端口轉(zhuǎn)發(fā)出去。 （2）收到IGMP成員關(guān)系報告報文時，交換機將通過VLAN內(nèi)的所有路由器端口將報告報文轉(zhuǎn)發(fā)出去。 （3）收到IGMP離開組報文時： a.如果不存在該組播組對應(yīng)的轉(zhuǎn)發(fā)表項，或者該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中不包含該端口，則不處理這個報文。 b.如果存在該組播組對應(yīng)的轉(zhuǎn)發(fā)表項，且該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中包含該端口，將離開組報文從VLAN的所

13、有路由器端口轉(zhuǎn)發(fā)出去。 （4）收到特定組查詢報文后，將其通過該組播組的所有成員端口轉(zhuǎn)發(fā)出去。 （5）收到特定源組查詢報文后，將其通過該組播組且組播源包含報文源IP的所有成員端口轉(zhuǎn)發(fā)出去,二、交換機功能介紹IGMP Snooping,22,專業(yè)課堂,DHCP8種報文 （1）DHCP Request報文（5種）：DHCP Discovery、DHCP Request、DHCP Release、DHCP Inform、DHCP Decline （2）DHCP Reply報文（3種）：DHCP Offer、DHCP ACK、 DHCP NAK,二、交換機功能介紹DHCP Snooping,DHCP交互

14、過程,23,專業(yè)課堂,DHCP 攻擊示意圖： DHCP Snooping的作用 通過配置非信任端口，過濾偽（非法）DHCP服務(wù)器發(fā)送的DHCP報文,二、交換機功能介紹DHCP Snooping,開啟DHCP 功能后,X,24,專業(yè)課堂,DHCP Snooping的工作機制: （1）信任（Trust）端口:端口可轉(zhuǎn)發(fā)所有DHCP報文 （2）非信任（Untrust）端口:端口拒絕轉(zhuǎn)發(fā)DHCP Offer、DHCP ACK、 DHCP NAK報文,二、交換機功能介紹DHCP Snooping,因此，我們把合法的DHCP Server連接的端口設(shè)置為Tust口，其他口設(shè)置為Untrust口，就可以實現(xiàn)

15、對非法DHCP Server的屏蔽,25,專業(yè)課堂,1、風(fēng)暴控制 2、流量控制 3、端口隔離 4、端口鏡像 5、端口聚合 6、端口限速,二、交換機功能介紹端口管理,26,專業(yè)課堂,風(fēng)暴控制 （1）風(fēng)暴控制的作用 當(dāng) LAN 中存在過量的廣播、多播或未知單播數(shù)據(jù)流時，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓。這種情況我們稱之為 LAN 風(fēng)暴。 （2）工作機制 通過設(shè)置風(fēng)暴控制值，交換機端口只允許通過所設(shè)定帶寬的廣播、多播或未知單播數(shù)據(jù)流通過，超出帶寬部分的數(shù)據(jù)流將被丟棄，直到數(shù)據(jù)流恢復(fù)正常，從而避免過量的泛洪數(shù)據(jù)流進入 LAN 中形成風(fēng)暴。 （3） 提供六種設(shè)置方式,二、交換機功能介紹端口管理,27,專業(yè)

16、課堂,流量控制 網(wǎng)絡(luò)擁塞一般是由于速率不匹配（如100M向10M端口發(fā)送數(shù)據(jù)）和突發(fā)的集中傳輸而產(chǎn)生的，它可能導(dǎo)致這幾種情況：延時增加、丟包、重傳增加，網(wǎng)絡(luò)資源不能有效利用。 實現(xiàn)方法： （1）半雙工：后退壓力算法(backpressure) （2）全雙工: IEEE802.3x流控：當(dāng)端口阻塞時，交換機將會發(fā)送一個PAUSE幀告訴對方，現(xiàn)在繁忙。暫停一段時間在發(fā)送。流控幀（PAUSE幀）是以太網(wǎng)幀的一種, 格式如下,二、交換機功能介紹端口管理,其中: 0001為以太網(wǎng)操作碼， PAUSE幀的操作碼固定為0 x0001。PAUSE TIME即暫停時間，其數(shù)值表示發(fā)送此PAUSE幀的站點要求對端

17、收到PAUSE幀后暫停發(fā)送數(shù)據(jù)的時間， 單位為pause_quanta，即傳送512bit數(shù)據(jù)所用時間:0-65535,28,專業(yè)課堂,端口隔離 有些應(yīng)用環(huán)境下，要求交換機上的部分端口間不能互相通訊，可以通過將某些端口設(shè)置為隔離口(Isolate Port)來達到目的。 當(dāng)端口設(shè)為隔離口之后，隔離口之間互相無法通訊，隔離口與非隔離口之間可以正常通訊,二、交換機功能介紹端口管理,隔離后,29,專業(yè)課堂,端口鏡像,二、交換機功能介紹端口管理,說明： （1）一個SPAN會話可以有多個源端口。 （2）一個SPAN會話只能有一個目的端口。 （3）可以鏡像輸入數(shù)據(jù)流、輸出數(shù)據(jù)流，也可以同時鏡像輸入輸出流,端口鏡像（SPAN：交換機端口分析）是將一個端口通信數(shù)據(jù)流拷貝到另外一個端口上,作用：將指定端口（受控端口、源端口）的報文復(fù)制到交換機上另一個連接有網(wǎng)絡(luò)監(jiān)測設(shè)備的端口（監(jiān)控端口、目的端口），進行網(wǎng)絡(luò)監(jiān)控與故障排除,30,專業(yè)課堂,端口聚合 把多個物理鏈接捆綁在一起形成一個邏輯鏈接，這個邏輯鏈接稱為 Link-aggregation Port（以下簡稱 AP）。 AP把多個端口的帶寬疊加起來使用，擴展了鏈路帶寬。 AP 功能支持負(fù)載均衡,可以把流量均勻地分配給各成員鏈路。AP 功能還實現(xiàn)了鏈路備份，當(dāng) AP 中的一條成員鏈路斷開時，系統(tǒng)會將該成員鏈路的流量自動地分配