目录
一、交换机的工作原理(转发原理)
二、交换机以太网接口的工作模式
1.交换机以太网接口双工模式:
2.交换机以太网接口速率:
3.交换机命令行的层次关系:
三、VLAN
分割广播域
VLAN的种类
创建VLAN的两种方法
删除VLAN
将端口加入VLAN
验证VLAN的配置
四、Trunk的作用
Trunk的配置
五、单臂路由
六、三层交换技术(二层交换+三层转发)
1.传统的MLS2-1(一次路由 多次交换)
2.基于CEF的MLS
3.虚接口(interface vlan vlan-id)
七、端口镜像
八、二层镜像
九、三层镜像
十、风暴控制
一、交换机的工作原理(转发原理)
最初以太网采用广播方式通信,即CSMA/CD机制(载波侦听,多路访问,冲突检测),CSMA/CD是一种共享式的。但是当以太网被升级以后,由共享机制转化为了交换机制。也就从CSMA/CD机制转变为了转发机制。转发机制依赖于端口号和MAC地址表。
- 交换机在启动成功以后,进入初始状态,此时端口号和MAC地址表是空的。(因此交换机设备一旦断电,断电以后端口号和MAC地址表就变成空的了)。
- 进入初始状态以后,会进入MAC地址学习。假设主机A要给主机B发消息,主机A先发送数据帧给交换机,交换机记录原MAC地址,将主机A的原MAC地址和主机的端口建立一个对应关系,将对应关系放在端口MAC地址表中。
- 在交换机记录完主机A的端口号和MAC地址表后,对于其接收到的未知的数据帧进行广播
- 广播后,主机B接受方回应,交换机收到主机B发送的应答包,交换机记录下主机B的端口号和MAC地址表。
- 此后AB之间通信,交换机就不再进行广播,AB就实现了点对点单播通信。
补充:攻击者对交换机进行的攻击:向交换机发送大量的伪造的带有虚假的MAC地址的数据帧,利用交换机的MAC地址学习,交换机收到数据帧后,记录大量的虚假的MAC地址,造成其MAC地址表空间被占满,导致网路中正常的MAC地址没有空间被记录。当交换机收到正常的MAC地址的数据帧以后,只能进行广播,这样攻击者就可以监听了。防范:①限制交换机的每个接口可以记录的MAC地址数目,即一个主机的端口只能产生一个MAC地址,如果多产生了,就说明其有可能实施了攻击行为。②限制交换机每个接口的帧发送频率。
二、交换机以太网接口的工作模式
1.交换机以太网接口双工模式:
- 单工:两个数据站之间只能沿单一方向传输数据(麦克风、扬声器)
- 半双工:两个数据站之间可以双向传输数据,但不能同时进行(对讲机)
- 全双工:两个数据站之间可双向且同时进行数据传输
注:双工duplex,可接三个参数(half/full/auto) duplex: auto代表两端自动协商
2.交换机以太网接口速率:
speed后可接参数(auto/10/100/1000) 接值时不需要注明单位,交换机自动识别为mbps(每秒钟传输的二进制位数,注意这里不是字节数,一字节8个二进制位数)
3.交换机命令行的层次关系:
思科:用户>模式>特权#模式>全局(config)#模式>接口(config-if)#模式 华为:用户<> 视图 > 系统[]视图
- 用户模式(>):查看系统信息
- 特权模式(#):查看并修改设备的配置(如给
- 全局模式((config)#):针对整个交换机修改配置参数(如命名)
- 接口模式((config-if)#):针对设备的接口修改配置参数
注:从某一个模式返回上一个模式:exit ; 从某一个模式返回到特权模式: end ; 命令行帮助: ? ;
三、VLAN
分割广播域
局域网会出现广播通信,利用路由器可以实现物理分割,利用交换机的Vlan可以实现逻辑分割;这样做的好处是:当局域网广播通信时,一个Vlan的广播不会发到另一个vlan中去
VLAN的种类
- 静态VLAN:基于端口划分静态VLAN
- 动态VLAN:基于MAC地址划分动态VLAN
创建VLAN的两种方法
- VLAN数据库配置模式#Vlan database # VLan vlan-id name vlan-name #exit
- 全局配置模式 #vlan vlan-id #name vlan-name
删除VLAN
no vlan vlan-id
将端口加入VLAN
#interface interface-id #switchport mode access #switchport access vlan vlan-id
将端口从某个VLAN中删除 no switchport access vlan vlan-id
将多个端口加入VLAN interface range f0/1-10验证VLAN的配置
查看所有VLAN的摘要信息 #show vlan brief
查看指定VLAN信息 #show vlan id vlan-id四、Trunk的作用
中继链路:连接交换机之间的链路,这条链路上通过标识来区分不同vlan的数据 接入链路: PC和交换机之间连接的链路
在以太网上实现中继,有两种封装类型:①ISL(思科私有标准)②IEEE.802.1q
Trunk的配置
#interface interface-id 进入接口配置模式
#switchport trunk encapsulation {isl|dot1q(802.1q)|negotiate} 选择封装类型
#switchport mode {dynamic{desirable|auto}|trunk|access}将接口配置为Trunk
#switchport trunk allowed vlan remove vlan-id 禁止Trunk传送某个VLAN数据,删除这个VLAN
#switchport trunk allowed vlan add vlan-id 允许Trunk传送某个VLAN的数据,添加这个VLAN
#show interface interface-id switchport 查看接口模式、状态五、单臂路由
单壁路由是指在路由器的一个接口上通过配置子接口来实现不同的VLAN之间通信。但是如果要增加不同的VLAN之间要通信,单臂路由会使得路由器的负荷过大(只有一个路由来进行路由转发)
六、三层交换技术(二层交换+三层转发)
三层交换采用硬件(ASIC芯片)来交换和路由选择包。路由器则是用cpu、npu等来实现包交换。
1.传统的MLS2-1(一次路由 多次交换)
3层转发过程中要重新封装2层,因为目的MAC地址不知,因此会ARP广播,这就意味着会产生传输延迟。但是3层交换的优势是,VLAN1和VLAN2进行通信时只会进行一次ARP广播,这样就比单壁路由好,单臂路由会重复的查询路由转发表,因此会加速路由器通信的负荷。
VLAN1和VLAN2的主机之间只进行一次ARP广播,但是交换ASIC会从3层引擎中获悉2层重写信息在硬件中创建一个MLS条目,负责重写(MAC)和转发数据流中的后续数据包。
2.基于CEF的MLS
可预先将所有信息加入到转发信息表FIB中
三层交换实现不同VLAN之间的通信-阿里云开发者社区 (aliyun.com)
FIB:目的IP和VLAN的对应关系(下一跳地址信息) CEF用FIB来做出基于目标IP前缀的转发决策,类似于路由表,当网络拓扑发生改变时,路由表被更新,FIB也被更新 邻接关系表:电脑MAC地址和交换机MAC地址的对应关系(相应的第二层地址) FIB的每一项指向邻接关系表里某一个下一跳中继段。
3.虚接口(interface vlan vlan-id)
路由器配置IP地址时是在其物理接口上。交换机配置IP地址时是在虚接口(VLAN接口)上
vlan间通信的转发过程:主机A首先发送数据给自己的网关(VLAN10虚接口),路由器查询路由表,将数据发给VLAN20虚接口,最终将数据传给主机B。虚接口的作用就是不同的虚接口之间可以进行路由,实现报文的转发功能。
- 三层交换机默认是关闭路由功能的。启用路由:#ip routing
- 三层交换机的所有接口都模式是二层接口。将2层模式转为3层模式(配ip):#no switchport
七、端口镜像
在网络的运营和管理中,为了便于业务的监测和故障定位,因此会设置端口镜像。
交换机将经过镜像端口的报文复制一份发送给本地观察端口,本地观察端口再将报文复制一份发给监控设备。
注:本地观察端口是指观察端口与监控设备直接相连
八、二层镜像
本地端口镜像将报文复制一份到远程观察端口。 远程观察端口将复制来的镜像报文外层添加VLAN标签(以便将镜像报文向中间二层网络转发)发给SwitchC。SwitchC将外层VLAN标签剥掉,发给监控设备。
注:远程观察端口镜像是指观察端口与监控设备,通过中间网路传输镜像报文。
九、三层镜像
十、风暴控制
当开启Strom Control以后就可以监测流量从交换机到接口总线的速度,最高的频率为每秒进行一次监控,统计每秒出现的数据包。然后将当前流量的速度与配置在设备上的阈值(风暴抑制级别)进行对比。阈值分为上限和下限。当流量的速度达到上限的阈值后,采用相应地处理动作,可配置的动作分为shutdown和trap,直到流量低于下限后,才会恢复正常。
注:shutdown是在当流量达到上限后,将接口限制为error-disable状态。trap是当流量达到上限后,产生一个snmp trap消息
