交換機基本功能學習總結(jié)

交換機基本功能學習總結(jié)主要內(nèi)容一、交換機基本原理二、交換機功能介紹21、交換機概述2、交換機轉(zhuǎn)發(fā)原理3、交換機常用接口3一、交換機基本原理一、交換機基本原理——交換機概述交換機:(1)在通信系統(tǒng)中完成信息交換功能得設(shè)備;(2)主要工作在數(shù)據(jù)鏈路層;(3)采用物理地址進行信息交互。交換機中轉(zhuǎn)發(fā)得兩種常見得幀格式:(1)以太網(wǎng)幀格式(2)IEEE802、1Q幀格式4交換機得核心思想:基于源MAC學習、基于目得MAC轉(zhuǎn)發(fā)過程管理依據(jù):MAC地址表項一、交換機基本原理——交換機轉(zhuǎn)發(fā)原理MAC端口端口類別VLANMAC地址表項構(gòu)成手工配置和動態(tài)學習得MAC地址表項這里得index表示什么意思？有什么作用？更新和維護MAC地址表:(1)手工配置地址:a、靜態(tài)地址表項,使用于網(wǎng)絡(luò)中比較固定得網(wǎng)絡(luò)設(shè)備,可以減少網(wǎng)絡(luò)中得廣播包;可以防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。b、配置過濾地址,當接收到得數(shù)據(jù)報文源MAC或目得MAC與過濾表項中得地址相符得,丟棄。(2)動態(tài)地址學習:動態(tài)地址表項,存在老化時間。一、交換機基本原理——交換機轉(zhuǎn)發(fā)原理MAC地址學習和報文轉(zhuǎn)發(fā)過程:當交換機收到一個報文,處理過程如下:(1)查看MAC地址表項(2)根據(jù)結(jié)果,處理報文(3)更新MAC地址表項a、在MAC地址表中添加記錄b、更新MAC地址表中記錄信息。一、交換機基本原理——交換機轉(zhuǎn)發(fā)原理根據(jù)報文得目得MAC地址、報文所屬得VLANID、MAC地址表中查找相應(yīng)得轉(zhuǎn)發(fā)輸出端口;a、丟棄b、采取單播、組播、廣播和復(fù)制流得方式轉(zhuǎn)發(fā)報文幾種常用接口:設(shè)備上得單個物理接口有三種模式:Access、Trunk、Hybrid,通過SwitchPort接口配置命令;用于管理物理接口和與之相關(guān)得第二層協(xié)議。鏈路匯聚口把多個端口得帶寬疊加起來使用,擴展了鏈路帶寬;鏈路匯聚支持負載均衡,可以把流量均勻地分配給各成員鏈路。SVI接口SVI可以做為本機得管理接口,通過該管理接口管理員可管理設(shè)備。用來實現(xiàn)三層交換得邏輯接口。一、交換機基本原理——交換機接口交換機接口示意圖:一、交換機功能介紹——交換機接口

交換機接口示意圖二、交換機功能介紹1、VLAN管理

2、ACL3、IGMP4、DHCP5、端口管理二、交換機功能介紹——VLAN管理什么就是VLAN？VLAN有什么用？虛擬局域網(wǎng),VirtualLocalAreaNetwork,虛擬局域網(wǎng)就是一種通過將局域網(wǎng)內(nèi)得設(shè)備邏輯地而不就是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組得技術(shù)。用于在二層交換機上分割廣播域得技術(shù),使第二層得單播、廣播和多播幀在一個VLAN內(nèi)轉(zhuǎn)發(fā)、擴散,而不會直接進入其她得VLAN之中。沒有劃分vlan時報文轉(zhuǎn)發(fā)劃分vlan后報文轉(zhuǎn)發(fā)大家有疑問的，可以詢問和交流可以互相討論下，但要小聲點二、交換機功能介紹——VLANVLAN中幾個基本概念:(1)VID(2)PVID(或稱NativeVlan)(3)AllowedVlan端口操作模式VIDPVID

(或稱NativeVlAN)AllowedVlANAccess1、VLAN標識符;2、默認為

Vlan1。

--

--Trunk

--1、端口得虛擬局域網(wǎng)ID號,關(guān)系到端口收發(fā)數(shù)據(jù)幀時得VLANTAG標記;2、默認為

Vlan1。1、標識出允許哪些vlan通過;

2、默認允許AllowedVLAN為VLAN1,可設(shè)置讓多個VLAN通過。Hybrid

--1、端口得虛擬局域網(wǎng)ID號,關(guān)系到端口接收數(shù)據(jù)幀時得VLANTAG標記。2、默認為Vlan1。1、同Trunk口

2、同Trunk口

3、可設(shè)置在端口發(fā)送(轉(zhuǎn)發(fā)出去)該數(shù)據(jù)幀時就是否帶上允許通過得vlan得VLANTag,在接收時設(shè)置就是否帶tag沒有影響。

三種操作模式下端口VID、PVID和Allowedvlan對比VLAN中得報文轉(zhuǎn)發(fā)二、交換機功能介紹——VLAN端口操作模式入方向出方向access1、untag報文,打上端口vid得

TAG后接收。

2、tag報文,判斷報文tagvid就是否等于端口vid,等于則接收;否則丟棄。判斷報文tagvid就是否等于端口vid,等于則剝離tag后轉(zhuǎn)發(fā);否則丟棄。trunk1、untag報文,打上端口Nativevid得

TAG后,并判斷

Nativevid就是否在allowedvlan列表中,在則接收,不在則丟棄;

2、tag報文,判斷報文tagvid就是否在allowedvlan列表中,在則接收,否則丟棄。1、報文tagvid不在allowedvlan列表中,丟棄。

2、報文tagvid在allowedvlan列表中,進一步判斷報文tagvid就是否等于Nativevid,等于則剝離tag后轉(zhuǎn)發(fā),否則直接轉(zhuǎn)發(fā)。hybrid同trunk模式1、報文tagvid不在allowedvlan列表中,丟棄。

2、報文tagvid在allowedvlan列表中,再判斷報文tagvid與端口得allowedvlan列表中對應(yīng)vlan就是untag還就是tag,就是untag則剝離tag后轉(zhuǎn)發(fā),否則(設(shè)置為tag)直接轉(zhuǎn)發(fā)Vlan中報文轉(zhuǎn)發(fā)訪問控制列表(AccessControlList,ACL):通過配置一系列匹配規(guī)則,對指定數(shù)據(jù)流(如限定得源IP地址、端口號等)執(zhí)行允許或禁止通過,來識別特殊種類報文得流量過濾器。主要作用:(1)防止非法得主體進入受保護得網(wǎng)絡(luò)資源。(2)允許合法用戶訪問受保護得網(wǎng)絡(luò)資源。(3)防止合法得用戶對受保護得網(wǎng)絡(luò)資源進行非授權(quán)得訪問。ACL使用訪問控制條目(ACE)控制用戶和組得訪問權(quán)。ACE有permit和deny兩種控制方式。支持3種訪問控制列表:(1)標準IP訪問控制列表(2)擴展IP訪問控制列表(3)擴展MAC訪問控制列表二、交換機功能介紹——ACLACL總結(jié):二、交換機功能介紹——ACL類型配置說明標準IP訪問控制列表1、可配置10個列表(編號:0-9);

2、每個列表可配置10個ACE(編號0-9),默認就是0;

3、對收到得報文得源IP進行控制:

a、任意源IP地址

b、指定源IP地址范圍。擴展IP訪問控制列表1、可配置10個列表(編號:10-19);

2、每個列表可配置10個ACE(編號0-9),默認就是0;

3、對收到得報文得源IP和目得IP進行控制:

a、任意IP地址

b、指定IP地址范圍。

4、可以指定收到報文時過濾那些協(xié)議得報文,常見得有:

a、IPb、IGMPc、TCPd、UDP

其中,指定過濾TCP、UDP協(xié)議報文時,同時可以指定過濾具體某個源端口/目得端口得TCP、UDP協(xié)議報文。擴展MAC訪問控制列表1、可配置6個列表(編號:20-25);

2、每個列表可配置10個ACE(編號0-9),默認就是0;

3、對收到得報文得源MAC和目得MAC進行控制:

a、任意MAC地址

b、指定某個MAC地址。

4、可指定過濾具體某個以太頭類型得報文。

太頭類型范圍:0x0000-0xffffACL三種類型總結(jié)什么就是IGMPSnooping？IGMPSnooping就是InternetGroupManagementProtocolSnooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)得簡稱,她就是運行在二層設(shè)備上得組播約束機制,用于管理和控制組播組。二、交換機功能介紹——IGMPSnooping運行IGMPSnooping后交換機運行IGMPSnooping前后對比:組播IP與組播MAC地址對應(yīng)關(guān)系:二、交換機功能介紹——IGMPSnooping11100000000100000000010111100IP組播地址后23位映射到MAC地址中32位IP組播地址48位MAC地址（以太網(wǎng)/FDDI）此5位地址不作映射，因此32個IP組播地址映射成一個MAC地址簡而言之,組播MAC地址前24固定為0x01-00-5e,倒數(shù)第24為0,后23位就是將IP組播地址后23位映射而來。二、交換機功能介紹——IGMPSnoopingIGMP版本:IGMPv1、IGMPv2、IGMPv3Version查詢報告IGMPV1普遍組查詢成員報告IGMPv2普遍組查詢成員報告特定組查詢:相比v1增加了特定組播組得查詢離開報文:相比v1增加了組播成員離開機制IGMPv3普遍組查詢成員報告(6種類型,相比v1和v2增加了對組播源得控制):

(1)Mode-is-Include(G,S)

(2)Mode-is-Exclude(G,S)

(3)Change-to-Include(G,S)

(4)Change-to-Exclude(G,S)

(5)Allow-new-source(G,S)

(6)Block-old-source(G,S)特定組查詢特定源組查詢:相比v1和v2增加了對組播源得控制IGMPSnooping得工作原理運行IGMPSnooping得二層設(shè)備通過對收到得IGMP報文進行分析,為端口和MAC組播地址建立起映射關(guān)系,并根據(jù)這樣得映射關(guān)系來轉(zhuǎn)發(fā)組播數(shù)據(jù)。IGMPSnooping得相關(guān)端口交換機將本設(shè)備上得所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中,依靠這兩個列表來轉(zhuǎn)發(fā)組播數(shù)據(jù),并對其進行實時維護。二、交換機功能介紹——IGMPSnooping(1)路由端口交換機上朝向三層組播設(shè)備(DR或IGMP查詢器)一側(cè)得端口。(2)成員端口又稱組播成員端口,表示交換機上朝向組播組成員一側(cè)得端口。路由端口列表更新(1)收到IGMP普遍組查詢報文(IGMPv1/v2/v3)a、如果在路由器端口列表中已包含該動態(tài)路由器端口,則重置其老化定時器;

b、如果在路由器端口列表中尚未包含該動態(tài)路由器端口,則將其添加到路由器端口列表中,并啟動老化定時器。(2)收到IGMP特定組查詢報文(IGMPv2/v3)a、如果接收端口為一已存在得動態(tài)路由器端口,則重置其老化定時器;b、如果接收端口不就是一已存在得路由器端口,則將這個接收端口添加到路由器端口列表中,并啟動其老化定時器。(3)收到IGMP特定源組查詢報文(IGMPv3)a、如果接收端口為一已存在得動態(tài)路由器端口,則重置其老化定時器;b、如果接收端口不就是一已存在得路由器端口,則將這個接收端口添加到路由器端口列表中,并啟動其老化定時器。(4)交換機為每個動態(tài)路由連接口都啟動一個定時器,其超時時間就就是動態(tài)路由連接口得老化時間。如果在其老化時間超時前沒有收到IGMP查詢報文,交換機將把該端口從路由器端口列表中刪除。二、交換機功能介紹——IGMPSnooping動態(tài)成員端口列表更新:(1)交換機為動態(tài)成員端口啟動一個定時器,其超時時間就就是動態(tài)成員端口老化時間。對于成員端口,如果在其老化時間超時前沒有收到IGMP加入報文,交換機將把該端口從成員端口列表中刪除。(2)收到IGMP成員關(guān)系報告報文(IGMPv1/v2/v3)a、如果不存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項,則創(chuàng)建轉(zhuǎn)發(fā)表項,將該端口作為動態(tài)成員端口添加到出端口列表中,并啟動其老化定時器;b、如果已存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項,但其出端口列表中不包含該端口,則將該端口作為動態(tài)成員端口添加到出端口列表中,并啟動其老化定時器;c、如果已存在該組播組所對應(yīng)得轉(zhuǎn)發(fā)表項,且其出端口列表中已包含該動態(tài)成員端口,則重置其老化定時器。(3)收到IGMP離開組報文(IGMPv2/v3)如果要離開得組播組所對應(yīng)得轉(zhuǎn)發(fā)表項存在,且該組播組對應(yīng)得轉(zhuǎn)發(fā)表項得出端口列表中包含該端口,將該端口從組播組所對應(yīng)得轉(zhuǎn)發(fā)表項得出端口列表中刪除。二、交換機功能介紹——IGMPSnoopingIGMPSnooping后對報文轉(zhuǎn)發(fā)處理(1)收到IGMP普遍組查詢報文時,交換機將其通過VLAN內(nèi)除接收端口以外得其她所有端口轉(zhuǎn)發(fā)出去。(2)收到IGMP成員關(guān)系報告報文時,交換機將通過VLAN內(nèi)得所有路由器端口將報告報文轉(zhuǎn)發(fā)出去。(3)收到IGMP離開組報文時:a、如果不存在該組播組對應(yīng)得轉(zhuǎn)發(fā)表項,或者該組播組對應(yīng)得轉(zhuǎn)發(fā)表項得出端口列表中不包含該端口,則不處理這個報文。b、如果存在該組播組對應(yīng)得轉(zhuǎn)發(fā)表項,且該組播組對應(yīng)得轉(zhuǎn)發(fā)表項得出端口列表中包含該端口,將離開組報文從VLAN得所有路由器端口轉(zhuǎn)發(fā)出去。(4)收到特定組查詢報文后,將其通過該組播組得所有成員端口轉(zhuǎn)發(fā)出去。(5)收到特定源組查詢報文后,將其通過該組播組且組播源包含報文源IP得所有成員端口轉(zhuǎn)發(fā)出去。二、交換機功能介紹——IGMPSnoopingDHCP8種報文(1)DHCPRequest報文(5種):DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline(2)DHCPReply報文(3種):DHCPOffer、DHCPACK、DHCPNAK二、交換機功能介紹——DHCPSnoopingDHCP交互過程:DHCP攻擊示意圖:DHCPSnooping得作用通過配置非信任端口,過濾偽(非法)DHCP服務(wù)器發(fā)送得DHCP報文二、交換機功能介紹——DHCPSnooping開啟DHCP功能后XDHCPSnooping得工作機制:(1)信任(Trust)端口:端口可轉(zhuǎn)發(fā)所有DHCP報文(2)非信任(Untrust)端口:端口拒絕轉(zhuǎn)發(fā)DHCPOffer、DHCPACK、DHCPNAK報文。二、交換機功能介紹——DHCPSnooping因此,我們把合法得DHCPServer連接得端口設(shè)置為Tust口,其她口設(shè)置為Untrust口,就可以實現(xiàn)對非法DHCPServer得屏蔽。1、風暴控制2、流量控制3、端口隔離4、端口鏡像5、端口聚合6、端口限速二、交換機功能介紹——端口管理風暴控制(1)風暴控制得作用當LAN中存在過量得廣播、多播或未知單播數(shù)據(jù)流時,導致網(wǎng)絡(luò)性能下降,甚至網(wǎng)絡(luò)癱瘓。這種情況我們稱之為LAN風暴。(2)工作機制通過設(shè)置風暴控制值,交換機端口只允許通過所設(shè)定帶寬得廣播、多播或未知單播數(shù)據(jù)流通過,超出帶寬部分得數(shù)據(jù)流將被丟棄,直到數(shù)據(jù)流恢復(fù)正常,從而避免過量得泛洪數(shù)據(jù)流進入LAN中形成風暴。(3)

提供六種設(shè)置方式:二、交換機功能介紹——端口管理流量控制網(wǎng)絡(luò)擁塞一般就是由于速率不匹配(如100M向10M端口發(fā)送數(shù)據(jù))和突發(fā)得集中傳輸而產(chǎn)生得,她可能導致這幾種情況:延時增加、丟包、重傳增加,網(wǎng)絡(luò)資源不能有效利用。實現(xiàn)方