交換機(jī)基本功能學(xué)習(xí)總結(jié)

交換機(jī)基本功能學(xué)習(xí)總結(jié)主要內(nèi)容一、交換機(jī)基本原理二、交換機(jī)功能介紹21、交換機(jī)概述2、交換機(jī)轉(zhuǎn)發(fā)原理3、交換機(jī)常用接口3一、交換機(jī)基本原理一、交換機(jī)基本原理——交換機(jī)概述交換機(jī):(1)在通信系統(tǒng)中完成信息交換功能得設(shè)備;(2)主要工作在數(shù)據(jù)鏈路層;(3)采用物理地址進(jìn)行信息交互。交換機(jī)中轉(zhuǎn)發(fā)得兩種常見得幀格式:(1)以太網(wǎng)幀格式(2)IEEE802、1Q幀格式4交換機(jī)得核心思想:基于源MAC學(xué)習(xí)、基于目得MAC轉(zhuǎn)發(fā)過程管理依據(jù):MAC地址表項(xiàng)一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理MAC端口端口類別VLANMAC地址表項(xiàng)構(gòu)成手工配置和動態(tài)學(xué)習(xí)得MAC地址表項(xiàng)這里得index表示什么意思？有什么作用？更新和維護(hù)MAC地址表:(1)手工配置地址:a、靜態(tài)地址表項(xiàng),使用于網(wǎng)絡(luò)中比較固定得網(wǎng)絡(luò)設(shè)備,可以減少網(wǎng)絡(luò)中得廣播包;可以防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。b、配置過濾地址,當(dāng)接收到得數(shù)據(jù)報(bào)文源MAC或目得MAC與過濾表項(xiàng)中得地址相符得,丟棄。(2)動態(tài)地址學(xué)習(xí):動態(tài)地址表項(xiàng),存在老化時(shí)間。一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理MAC地址學(xué)習(xí)和報(bào)文轉(zhuǎn)發(fā)過程:當(dāng)交換機(jī)收到一個(gè)報(bào)文,處理過程如下:(1)查看MAC地址表項(xiàng)(2)根據(jù)結(jié)果,處理報(bào)文(3)更新MAC地址表項(xiàng)a、在MAC地址表中添加記錄b、更新MAC地址表中記錄信息。一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理根據(jù)報(bào)文得目得MAC地址、報(bào)文所屬得VLANID、MAC地址表中查找相應(yīng)得轉(zhuǎn)發(fā)輸出端口;a、丟棄b、采取單播、組播、廣播和復(fù)制流得方式轉(zhuǎn)發(fā)報(bào)文幾種常用接口:設(shè)備上得單個(gè)物理接口有三種模式:Access、Trunk、Hybrid,通過SwitchPort接口配置命令;用于管理物理接口和與之相關(guān)得第二層協(xié)議。鏈路匯聚口把多個(gè)端口得帶寬疊加起來使用,擴(kuò)展了鏈路帶寬;鏈路匯聚支持負(fù)載均衡,可以把流量均勻地分配給各成員鏈路。SVI接口SVI可以做為本機(jī)得管理接口,通過該管理接口管理員可管理設(shè)備。用來實(shí)現(xiàn)三層交換得邏輯接口。一、交換機(jī)基本原理——交換機(jī)接口交換機(jī)接口示意圖:一、交換機(jī)功能介紹——交換機(jī)接口

交換機(jī)接口示意圖二、交換機(jī)功能介紹1、VLAN管理

2、ACL3、IGMP4、DHCP5、端口管理二、交換機(jī)功能介紹——VLAN管理什么就是VLAN？VLAN有什么用？虛擬局域網(wǎng),VirtualLocalAreaNetwork,虛擬局域網(wǎng)就是一種通過將局域網(wǎng)內(nèi)得設(shè)備邏輯地而不就是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組得技術(shù)。用于在二層交換機(jī)上分割廣播域得技術(shù),使第二層得單播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散,而不會直接進(jìn)入其她得VLAN之中。沒有劃分vlan時(shí)報(bào)文轉(zhuǎn)發(fā)劃分vlan后報(bào)文轉(zhuǎn)發(fā)大家有疑問的，可以詢問和交流可以互相討論下，但要小聲點(diǎn)二、交換機(jī)功能介紹——VLANVLAN中幾個(gè)基本概念:(1)VID(2)PVID(或稱NativeVlan)(3)AllowedVlan端口操作模式VIDPVID

(或稱NativeVlAN)AllowedVlANAccess1、VLAN標(biāo)識符;2、默認(rèn)為

Vlan1。

--

--Trunk

--1、端口得虛擬局域網(wǎng)ID號,關(guān)系到端口收發(fā)數(shù)據(jù)幀時(shí)得VLANTAG標(biāo)記;2、默認(rèn)為

Vlan1。1、標(biāo)識出允許哪些vlan通過;

2、默認(rèn)允許AllowedVLAN為VLAN1,可設(shè)置讓多個(gè)VLAN通過。Hybrid

--1、端口得虛擬局域網(wǎng)ID號,關(guān)系到端口接收數(shù)據(jù)幀時(shí)得VLANTAG標(biāo)記。2、默認(rèn)為Vlan1。1、同Trunk口

2、同Trunk口

3、可設(shè)置在端口發(fā)送(轉(zhuǎn)發(fā)出去)該數(shù)據(jù)幀時(shí)就是否帶上允許通過得vlan得VLANTag,在接收時(shí)設(shè)置就是否帶tag沒有影響。

三種操作模式下端口VID、PVID和Allowedvlan對比VLAN中得報(bào)文轉(zhuǎn)發(fā)二、交換機(jī)功能介紹——VLAN端口操作模式入方向出方向access1、untag報(bào)文,打上端口vid得

TAG后接收。

2、tag報(bào)文,判斷報(bào)文tagvid就是否等于端口vid,等于則接收;否則丟棄。判斷報(bào)文tagvid就是否等于端口vid,等于則剝離tag后轉(zhuǎn)發(fā);否則丟棄。trunk1、untag報(bào)文,打上端口Nativevid得

TAG后,并判斷

Nativevid就是否在allowedvlan列表中,在則接收,不在則丟棄;

2、tag報(bào)文,判斷報(bào)文tagvid就是否在allowedvlan列表中,在則接收,否則丟棄。1、報(bào)文tagvid不在allowedvlan列表中,丟棄。

2、報(bào)文tagvid在allowedvlan列表中,進(jìn)一步判斷報(bào)文tagvid就是否等于Nativevid,等于則剝離tag后轉(zhuǎn)發(fā),否則直接轉(zhuǎn)發(fā)。hybrid同trunk模式1、報(bào)文tagvid不在allowedvlan列表中,丟棄。

2、報(bào)文tagvid在allowedvlan列表中,再判斷報(bào)文tagvid與端口得allowedvlan列表中對應(yīng)vlan就是untag還就是tag,就是untag則剝離tag后轉(zhuǎn)發(fā),否則(設(shè)置為tag)直接轉(zhuǎn)發(fā)Vlan中報(bào)文轉(zhuǎn)發(fā)訪問控制列表(AccessControlList,ACL):通過配置一系列匹配規(guī)則,對指定數(shù)據(jù)流(如限定得源IP地址、端口號等)執(zhí)行允許或禁止通過,來識別特殊種類報(bào)文得流量過濾器。主要作用:(1)防止非法得主體進(jìn)入受保護(hù)得網(wǎng)絡(luò)資源。(2)允許合法用戶訪問受保護(hù)得網(wǎng)絡(luò)資源。(3)防止合法得用戶對受保護(hù)得網(wǎng)絡(luò)資源進(jìn)行非授權(quán)得訪問。ACL使用訪問控制條目(ACE)控制用戶和組得訪問權(quán)。ACE有permit和deny兩種控制方式。支持3種訪問控制列表:(1)標(biāo)準(zhǔn)IP訪問控制列表(2)擴(kuò)展IP訪問控制列表(3)擴(kuò)展MAC訪問控制列表二、交換機(jī)功能介紹——ACLACL總結(jié):二、交換機(jī)功能介紹——ACL類型配置說明標(biāo)準(zhǔn)IP訪問控制列表1、可配置10個(gè)列表(編號:0-9);

2、每個(gè)列表可配置10個(gè)ACE(編號0-9),默認(rèn)就是0;

3、對收到得報(bào)文得源IP進(jìn)行控制:

a、任意源IP地址

b、指定源IP地址范圍。擴(kuò)展IP訪問控制列表1、可配置10個(gè)列表(編號:10-19);

2、每個(gè)列表可配置10個(gè)ACE(編號0-9),默認(rèn)就是0;

3、對收到得報(bào)文得源IP和目得IP進(jìn)行控制:

a、任意IP地址

b、指定IP地址范圍。

4、可以指定收到報(bào)文時(shí)過濾那些協(xié)議得報(bào)文,常見得有:

a、IPb、IGMPc、TCPd、UDP

其中,指定過濾TCP、UDP協(xié)議報(bào)文時(shí),同時(shí)可以指定過濾具體某個(gè)源端口/目得端口得TCP、UDP協(xié)議報(bào)文。擴(kuò)展MAC訪問控制列表1、可配置6個(gè)列表(編號:20-25);

2、每個(gè)列表可配置10個(gè)ACE(編號0-9),默認(rèn)就是0;

3、對收到得報(bào)文得源MAC和目得MAC進(jìn)行控制:

a、任意MAC地址

b、指定某個(gè)MAC地址。

4、可指定過濾具體某個(gè)以太頭類型得報(bào)文。

太頭類型范圍:0x0000-0xffffACL三種類型總結(jié)什么就是IGMPSnooping？IGMPSnooping就是InternetGroupManagementProtocolSnooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)得簡稱,她就是運(yùn)行在二層設(shè)備上得組播約束機(jī)制,用于管理和控制組播組。二、交換機(jī)功能介紹——IGMPSnooping運(yùn)行IGMPSnooping后交換機(jī)運(yùn)行IGMPSnooping前后對比:組播IP與組播MAC地址對應(yīng)關(guān)系:二、交換機(jī)功能介紹——IGMPSnooping11100000000100000000010111100IP組播地址后23位映射到MAC地址中32位IP組播地址48位MAC地址（以太網(wǎng)/FDDI）此5位地址不作映射，因此32個(gè)IP組播地址映射成一個(gè)MAC地址簡而言之,組播MAC地址前24固定為0x01-00-5e,倒數(shù)第24為0,后23位就是將IP組播地址后23位映射而來。二、交換機(jī)功能介紹——IGMPSnoopingIGMP版本:IGMPv1、IGMPv2、IGMPv3Version查詢報(bào)告IGMPV1普遍組查詢成員報(bào)告IGMPv2普遍組查詢成員報(bào)告特定組查詢:相比v1增加了特定組播組得查詢離開報(bào)文:相比v1增加了組播成員離開機(jī)制IGMPv3普遍組查詢成員報(bào)告(6種類型,相比v1和v2增加了對組播源得控制):

(1)Mode-is-Include(G,S)

(2)Mode-is-Exclude(G,S)

(3)Change-to-Include(G,S)

(4)Change-to-Exclude(G,S)

(5)Allow-new-source(G,S)

(6)Block-old-source(G,S)特定組查詢特定源組查詢:相比v1和v2增加了對組播源得控制IGMPSnooping得工作原理運(yùn)行IGMPSnooping得二層設(shè)備通過對收到得IGMP報(bào)文進(jìn)行分析,為端口和MAC組播地址建立起映射關(guān)系,并根據(jù)這樣得映射關(guān)系來轉(zhuǎn)發(fā)組播數(shù)據(jù)。IGMPSnooping得相關(guān)端口交換機(jī)將本設(shè)備上得所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中,依靠這兩個(gè)列表來轉(zhuǎn)發(fā)組播數(shù)據(jù),并對其進(jìn)行實(shí)時(shí)維護(hù)。二、交換機(jī)功能介紹——IGMPSnooping(1)路由端口交換機(jī)上朝向三層組播設(shè)備(DR或IGMP查詢器)一側(cè)得端口。(2)成員端口又稱組播成員端口,表示交換機(jī)上朝向組播組成員一側(cè)得端口。路由端口列表更新(1)收到IGMP普遍組查詢報(bào)文(IGMPv1/v2/v3)a、如果在路由器端口列表中已包含該動態(tài)路由器端口,則重置其老化定時(shí)器;

b、如果在路由器端口列表中尚未包含該動態(tài)路由器端口,則將其添加到路由器端口列表中,并啟動老化定時(shí)器。(2)收到IGMP特定組查詢報(bào)文(IGMPv2/v3)a、如果接收端口為一已存在得動態(tài)路由器端口,則重置其老化定時(shí)器;b、如果接收端口不就是一已存在得路由器端口,則將這個(gè)接收端口添加到路由器端口列表中,并啟動其老化定時(shí)器。(3)收到IGMP特定源組查詢報(bào)文(IGMPv3)a、如果接收端口為一已存在得動態(tài)路由器端口,則重置其老化定時(shí)器;b、如果接收端口不就是一已存在得路由器端口,則將這個(gè)接收端口添加到路由器端口列表中,并啟動其老化定時(shí)器。(4)交換機(jī)為每個(gè)動態(tài)路由連接口都啟動一個(gè)定時(shí)器,其超時(shí)時(shí)間就就是動態(tài)路由連接口得老化時(shí)間。如果在其老化時(shí)間超時(shí)前沒有收到IGMP查詢報(bào)文,交換機(jī)將把該端口從路由器端口列表中刪除。二、交換機(jī)功能介紹——IGMPSnooping動態(tài)成員端口列表更新:(1)交換機(jī)為動態(tài)成員端口啟動一個(gè)定時(shí)器,其超時(shí)時(shí)間就就是動態(tài)成員端口老化時(shí)間。對于成員端口,如果在其老化時(shí)間超時(shí)前沒有收到IGMP加入報(bào)文,交換機(jī)將把該端口從成員端口列表中刪除。(2)收到IGMP成員關(guān)系報(bào)告報(bào)文(IGMPv1/v2/v3)a、如果不存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng),則創(chuàng)建轉(zhuǎn)發(fā)表項(xiàng),將該端口作為動態(tài)成員端口添加到出端口列表中,并啟動其老化定時(shí)器;b、如果已存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng),但其出端口列表中不包含該端口,則將該端口作為動態(tài)成員端口添加到出端口列表中,并啟動其老化定時(shí)器;c、如果已存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng),且其出端口列表中已包含該動態(tài)成員端口,則重置其老化定時(shí)器。(3)收到IGMP離開組報(bào)文(IGMPv2/v3)如果要離開得組播組所對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng)存在,且該組播組對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng)得出端口列表中包含該端口,將該端口從組播組所對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng)得出端口列表中刪除。二、交換機(jī)功能介紹——IGMPSnoopingIGMPSnooping后對報(bào)文轉(zhuǎn)發(fā)處理(1)收到IGMP普遍組查詢報(bào)文時(shí),交換機(jī)將其通過VLAN內(nèi)除接收端口以外得其她所有端口轉(zhuǎn)發(fā)出去。(2)收到IGMP成員關(guān)系報(bào)告報(bào)文時(shí),交換機(jī)將通過VLAN內(nèi)得所有路由器端口將報(bào)告報(bào)文轉(zhuǎn)發(fā)出去。(3)收到IGMP離開組報(bào)文時(shí):a、如果不存在該組播組對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng),或者該組播組對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng)得出端口列表中不包含該端口,則不處理這個(gè)報(bào)文。b、如果存在該組播組對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng),且該組播組對應(yīng)得轉(zhuǎn)發(fā)表項(xiàng)得出端口列表中包含該端口,將離開組報(bào)文從VLAN得所有路由器端口轉(zhuǎn)發(fā)出去。(4)收到特定組查詢報(bào)文后,將其通過該組播組得所有成員端口轉(zhuǎn)發(fā)出去。(5)收到特定源組查詢報(bào)文后,將其通過該組播組且組播源包含報(bào)文源IP得所有成員端口轉(zhuǎn)發(fā)出去。二、交換機(jī)功能介紹——IGMPSnoopingDHCP8種報(bào)文(1)DHCPRequest報(bào)文(5種):DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline(2)DHCPReply報(bào)文(3種):DHCPOffer、DHCPACK、DHCPNAK二、交換機(jī)功能介紹——DHCPSnoopingDHCP交互過程:DHCP攻擊示意圖:DHCPSnooping得作用通過配置非信任端口,過濾偽(非法)DHCP服務(wù)器發(fā)送得DHCP報(bào)文二、交換機(jī)功能介紹——DHCPSnooping開啟DHCP功能后XDHCPSnooping得工作機(jī)制:(1)信任(Trust)端口:端口可轉(zhuǎn)發(fā)所有DHCP報(bào)文(2)非信任(Untrust)端口:端口拒絕轉(zhuǎn)發(fā)DHCPOffer、DHCPACK、DHCPNAK報(bào)文。二、交換機(jī)功能介紹——DHCPSnooping因此,我們把合法得DHCPServer連接得端口設(shè)置為Tust口,其她口設(shè)置為Untrust口,就可以實(shí)現(xiàn)對非法DHCPServer得屏蔽。1、風(fēng)暴控制2、流量控制3、端口隔離4、端口鏡像5、端口聚合6、端口限速二、交換機(jī)功能介紹——端口管理風(fēng)暴控制(1)風(fēng)暴控制得作用當(dāng)LAN中存在過量得廣播、多播或未知單播數(shù)據(jù)流時(shí),導(dǎo)致網(wǎng)絡(luò)性能下降,甚至網(wǎng)絡(luò)癱瘓。這種情況我們稱之為LAN風(fēng)暴。(2)工作機(jī)制通過設(shè)置風(fēng)暴控制值,交換機(jī)端口只允許通過所設(shè)定帶寬得廣播、多播或未知單播數(shù)據(jù)流通過,超出帶寬部分得數(shù)據(jù)流將被丟棄,直到數(shù)據(jù)流恢復(fù)正常,從而避免過量得泛洪數(shù)據(jù)流進(jìn)入LAN中形成風(fēng)暴。(3)

提供六種設(shè)置方式:二、交換機(jī)功能介紹——端口管理流量控制網(wǎng)絡(luò)擁塞一般就是由于速率不匹配(如100M向10M端口發(fā)送數(shù)據(jù))和突發(fā)得集中傳輸而產(chǎn)生得,她可能導(dǎo)致這幾種情況:延時(shí)增加、丟包、重傳增加,網(wǎng)絡(luò)資源不能有效利用。實(shí)現(xiàn)方