交換機(jī)基本功能學(xué)習(xí)總結(jié)演示文稿

1、交換機(jī)基本功能學(xué)習(xí)總結(jié)演示文稿第一頁，共三十一頁。交換機(jī)基本功能學(xué)習(xí)總結(jié)第二頁，共三十一頁。主要內(nèi)容一、交換機(jī)基本原理二、交換機(jī)功能介紹3第三頁，共三十一頁。1、交換機(jī)概述2、交換機(jī)轉(zhuǎn)發(fā)原理3、交換機(jī)常用接口4一、交換機(jī)基本原理第四頁，共三十一頁。一、交換機(jī)基本原理交換機(jī)概述交換機(jī)：（1）在通信系統(tǒng)中完成信息交換功能的設(shè)備；（2）主要工作在數(shù)據(jù)鏈路層；（3）采用物理地址進(jìn)行信息交互。交換機(jī)中轉(zhuǎn)發(fā)的兩種常見的幀格式:（1）以太網(wǎng)幀格式（2）IEEE 802.1Q幀格式5第五頁，共三十一頁。交換機(jī)的核心思想：基于源MAC學(xué)習(xí)、基于目的MAC轉(zhuǎn)發(fā)過程管理依據(jù)：MAC地址表項一、交換機(jī)基本原理交換機(jī)轉(zhuǎn)

2、發(fā)原理MAC端口端口類別VLANMAC 地址表項構(gòu)成手工配置和動態(tài)學(xué)習(xí)的MAC地址表項這里的index表示什么意思？有什么作用？第六頁，共三十一頁。更新和維護(hù)MAC地址表：（1）手工配置地址：a. 靜態(tài)地址表項，使用于網(wǎng)絡(luò)中比較固定的網(wǎng)絡(luò)設(shè)備，可以減少網(wǎng)絡(luò)中的廣播包；可以防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。b. 配置過濾地址，當(dāng)接收到的數(shù)據(jù)報文源MAC或目的MAC與過濾表項中的地址相符的，丟棄。（2）動態(tài)地址學(xué)習(xí)：動態(tài)地址表項，存在老化時間。一、交換機(jī)基本原理交換機(jī)轉(zhuǎn)發(fā)原理第七頁，共三十一頁。MAC地址學(xué)習(xí)和報文轉(zhuǎn)發(fā)過程：當(dāng)交換機(jī)收到一個報文，處理過程如下：（1）查看MAC地址表項（2）根據(jù)結(jié)果

3、，處理報文（3）更新MAC地址表項 a.在MAC地址表中添加記錄 b.更新MAC地址表中記錄信息。一、交換機(jī)基本原理交換機(jī)轉(zhuǎn)發(fā)原理根據(jù)報文的目的 MAC 地址、報文所屬的 VLAN ID 、MAC 地址表中查找相應(yīng)的轉(zhuǎn)發(fā)輸出端口；a.丟棄 b.采取單播、組播、廣播和復(fù)制流的方式轉(zhuǎn)發(fā)報文第八頁，共三十一頁。幾種常用接口：設(shè)備上的單個物理接口有三種模式：Access、Trunk、Hybrid，通過 Switch Port 接口配置命令；用于管理物理接口和與之相關(guān)的第二層協(xié)議。鏈路匯聚口把多個端口的帶寬疊加起來使用，擴(kuò)展了鏈路帶寬；鏈路匯聚支持負(fù)載均衡,可以把流量均勻地分配給各成員鏈路。SVI接口S

4、VI 可以做為本機(jī)的管理接口，通過該管理接口管理員可管理設(shè)備。用來實現(xiàn)三層交換的邏輯接口。一、交換機(jī)基本原理交換機(jī)接口第九頁，共三十一頁。交換機(jī)接口示意圖：一、交換機(jī)功能介紹交換機(jī)接口 交換機(jī)接口示意圖第十頁，共三十一頁。二、交換機(jī)功能介紹1、VLAN管理 2、ACL3、IGMP4、DHCP5、端口管理第十一頁，共三十一頁。二、交換機(jī)功能介紹VLAN管理什么是VLAN？VLAN有什么用？虛擬局域網(wǎng)，Virtual Local Area Network，虛擬局域網(wǎng)是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。用于在二層交換機(jī)上分割廣播域的技術(shù)，使第二層的單

5、播、廣播和多播幀在一個 VLAN 內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會直接進(jìn)入其它的 VLAN 之中。沒有劃分vlan時報文轉(zhuǎn)發(fā)劃分vlan后報文轉(zhuǎn)發(fā)第十二頁，共三十一頁。二、交換機(jī)功能介紹VLANVLAN中幾個基本概念：（1）VID（2）PVID（或稱Native Vlan）（3）Allowed Vlan端口操作模式VIDPVID(或稱Native VlAN)Allowed VlANAccess1、VLAN標(biāo)識符；2、默認(rèn)為 Vlan 1。-Trunk-1、端口的虛擬局域網(wǎng)ID號，關(guān)系到端口收發(fā)數(shù)據(jù)幀時的VLAN TAG 標(biāo)記；2、默認(rèn)為 Vlan 1。1、標(biāo)識出允許哪些vlan通過；2、默認(rèn)允許Allow

6、ed VLAN 為VLAN 1， 可設(shè)置讓多個VLAN 通過。Hybrid-1、端口的虛擬局域網(wǎng)ID號，關(guān)系到端口接收數(shù)據(jù)幀時的VLAN TAG 標(biāo)記。2、默認(rèn)為 Vlan 1。1、同Trunk口2、同Trunk口3、可設(shè)置在端口發(fā)送（轉(zhuǎn)發(fā)出去）該數(shù)據(jù)幀時是否帶上允許通過的vlan的VLAN Tag，在接收時設(shè)置是否帶tag沒有影響。 三種操作模式下端口VID、PVID和Allowed vlan對比第十三頁，共三十一頁。VLAN中的報文轉(zhuǎn)發(fā)二、交換機(jī)功能介紹VLAN端口操作模式入方向出方向access1、untag報文，打上端口vid的 TAG后接收。2、tag報文，判斷報文tag vid 是

7、否等于 端口vid，等于則接收；否則丟棄。判斷報文tag vid是否等于 端口vid，等于則剝離tag后轉(zhuǎn)發(fā)；否則丟棄。trunk1、untag報文，打上端口 Native vid的 TAG后，并判斷 Native vid是否在allowed vlan 列表中，在則接收，不在則丟棄；2、tag報文，判斷報文tag vid 是否在allowed vlan 列表中，在則接收，否則丟棄。1、報文tag vid不在allowed vlan 列表中，丟棄。2、報文tag vid在allowed vlan 列表中，進(jìn)一步判斷報文tag vid 是否等于Native vid，等于則剝離tag后轉(zhuǎn)發(fā)，否則直接

8、轉(zhuǎn)發(fā)。hybrid同trunk模式1、報文tag vid不在allowed vlan 列表中，丟棄。2、報文tag vid在allowed vlan 列表中，再判斷報文tag vid與端口的allowed vlan列表中對應(yīng)vlan是untag 還是tag，是untag則剝離tag后轉(zhuǎn)發(fā)，否則（設(shè)置為tag）直接轉(zhuǎn)發(fā) Vlan中報文轉(zhuǎn)發(fā)第十四頁，共三十一頁。訪問控制列表（Access Control List，ACL） ：通過配置一系列匹配規(guī)則，對指定數(shù)據(jù)流（如限定的源IP地址、端口號等）執(zhí)行允許或禁止通過，來識別特殊種類報文的流量過濾器。主要作用：（1）防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。

9、（2）允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。 （3）防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。ACL 使用訪問控制條目 (ACE) 控制用戶和組的訪問權(quán)。 ACE有permit和deny兩種控制方式。支持3種訪問控制列表：（1）標(biāo)準(zhǔn)IP訪問控制列表（2）擴(kuò)展IP訪問控制列表（3）擴(kuò)展MAC訪問控制列表二、交換機(jī)功能介紹ACL第十五頁，共三十一頁。ACL總結(jié)：二、交換機(jī)功能介紹ACL類型配置說明標(biāo)準(zhǔn)IP訪問控制列表1、可配置10個列表（編號：0-9）；2、每個列表可配置10個ACE（編號0-9），默認(rèn)是0；3、對收到的報文的源IP進(jìn)行控制：a.任意源IP地址 b.指定源IP地址范圍。擴(kuò)展IP

10、訪問控制列表1、可配置10個列表（編號：10-19）；2、每個列表可配置10個ACE（編號0-9），默認(rèn)是0；3、對收到的報文的源IP和目的IP進(jìn)行控制： a.任意IP地址 b.指定IP地址范圍。4、可以指定收到報文時過濾那些協(xié)議的報文，常見的有： a.IP b.IGMP c.TCP d.UDP 其中,指定過濾TCP、UDP協(xié)議報文時，同時可以指定過濾具體某個源端口/目的端口的TCP、UDP協(xié)議報文。擴(kuò)展MAC訪問控制列表1、可配置6個列表（編號：20-25）；2、每個列表可配置10個ACE（編號0-9），默認(rèn)是0；3、對收到的報文的源MAC和目的MAC進(jìn)行控制： a.任意MAC地址 b.指定

11、某個MAC地址。4、可指定過濾具體某個以太頭類型的報文。 太頭類型范圍：0 x0000-0 xffffACL三種類型總結(jié)第十六頁，共三十一頁。什么是IGMP Snooping？IGMP Snooping是Internet Group Management Protocol Snooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)的簡稱，它是運(yùn)行在二層設(shè)備上的組播約束機(jī)制，用于管理和控制組播組。二、交換機(jī)功能介紹IGMP Snooping運(yùn)行IGMP Snooping后交換機(jī)運(yùn)行IGMP Snooping前后對比:第十七頁，共三十一頁。組播IP與組播MAC地址對應(yīng)關(guān)系：二、交換機(jī)功能介紹IGMP Snoopin

12、g11100000000100000000010111100IP組播地址后23位映射到MAC地址中32位IP組播地址48位MAC地址（以太網(wǎng)/FDDI）此5位地址不作映射，因此32個IP組播地址映射成一個MAC地址簡而言之，組播MAC地址前24固定為0 x01-00-5e，倒數(shù)第24為0，后23位是將IP組播地址后23位映射而來。第十八頁，共三十一頁。二、交換機(jī)功能介紹IGMP SnoopingIGMP 版本：IGMP v1、IGMPv2、IGMP v3Version查詢報告IGMP V1普遍組查詢成員報告IGMP v2普遍組查詢成員報告特定組查詢：相比v1增加了特定組播組的查詢離開報文：相比

13、v1增加了組播成員離開機(jī)制IGMP v3普遍組查詢成員報告(6種類型，相比v1和v2增加了對組播源的控制):（1）Mode-is-Include（G，S）（2）Mode-is-Exclude（G，S）（3）Change-to-Include（G，S）（4）Change-to-Exclude（G，S）（5）Allow-new-source（G，S）（6）Block-old-source（G，S）特定組查詢特定源組查詢：相比v1和v2增加了對組播源的控制第十九頁，共三十一頁。IGMP Snooping 的工作原理運(yùn)行IGMP Snooping的二層設(shè)備通過對收到的IGMP報文進(jìn)行分析，為端口和MA

14、C組播地址建立起映射關(guān)系，并根據(jù)這樣的映射關(guān)系來轉(zhuǎn)發(fā)組播數(shù)據(jù)。IGMP Snooping 的相關(guān)端口交換機(jī)將本設(shè)備上的所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中，依靠這兩個列表來轉(zhuǎn)發(fā)組播數(shù)據(jù)，并對其進(jìn)行實時維護(hù)。二、交換機(jī)功能介紹IGMP Snooping（1）路由端口交換機(jī)上朝向三層組播設(shè)備(DR或IGMP查詢器)一側(cè)的端口。（2）成員端口又稱組播成員端口，表示交換機(jī)上朝向組播組成員一側(cè)的端口。第二十頁，共三十一頁。路由端口列表更新（1）收到IGMP普遍組查詢報文（ IGMP v1/v2 /v3 ）a.如果在路由器端口列表中已包含該動態(tài)路由器端口，則重置其老化定時器； b

15、. 如果在路由器端口列表中尚未包含該動態(tài)路由器端口，則將其添加到路由器端口列表中，并啟動老化定時器。（2）收到IGMP特定組查詢報文（ IGMP v2 /v3 ）a.如果接收端口為一已存在的動態(tài)路由器端口，則重置其老化定時器；b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加到路由器端口列表中，并啟動其老化定時器。（3）收到IGMP特定源組查詢報文（ IGMP v3 ）a.如果接收端口為一已存在的動態(tài)路由器端口，則重置其老化定時器；b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加 到路由器端口列表中，并啟動其老化定時器。（4）交換機(jī)為每個動態(tài)路由連接口都啟動一個定時器

16、，其超時時間就是動態(tài)路由連接口的老化時間。如果在其老化時間超時前沒有收到 IGMP 查詢報文，交換機(jī)將把該端口從路由器端口列表中刪除。二、交換機(jī)功能介紹IGMP Snooping第二十一頁，共三十一頁。動態(tài)成員端口列表更新：（1）交換機(jī)為動態(tài)成員端口啟動一個定時器，其超時時間就是動態(tài)成員端口老化時間。對于成員端口，如果在其老化時間超時前沒有收到 IGMP加入報文，交換機(jī)將把該端口從成員端口列表中刪除。（2）收到IGMP成員關(guān)系報告報文（ IGMP v1/v2 /v3 ）a.如果不存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，則創(chuàng)建轉(zhuǎn)發(fā)表項，將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器；b.如

17、果已存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，但其出端口列表中不包含該端口，則將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器；c.如果已存在該組播組所對應(yīng)的轉(zhuǎn)發(fā)表項，且其出端口列表中已包含該動態(tài)成員端口，則重置其老化定時器。（3）收到IGMP離開組報文（ IGMP v2 /v3 ）如果要離開的組播組所對應(yīng)的轉(zhuǎn)發(fā)表項存在，且該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中包含該端口，將該端口從組播組所對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中刪除。二、交換機(jī)功能介紹IGMP Snooping第二十二頁，共三十一頁。IGMP Snooping后對報文轉(zhuǎn)發(fā)處理（1）收到IGMP普遍組查詢報文時，交換機(jī)將其通過VLAN內(nèi)除

18、接收端口以外的其他所有端口轉(zhuǎn)發(fā)出去。（2）收到IGMP成員關(guān)系報告報文時，交換機(jī)將通過VLAN內(nèi)的所有路由器端口將報告報文轉(zhuǎn)發(fā)出去。（3）收到IGMP離開組報文時：a.如果不存在該組播組對應(yīng)的轉(zhuǎn)發(fā)表項，或者該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中不包含該端口，則不處理這個報文。b.如果存在該組播組對應(yīng)的轉(zhuǎn)發(fā)表項，且該組播組對應(yīng)的轉(zhuǎn)發(fā)表項的出端口列表中包含該端口，將離開組報文從VLAN的所有路由器端口轉(zhuǎn)發(fā)出去。（4）收到特定組查詢報文后，將其通過該組播組的所有成員端口轉(zhuǎn)發(fā)出去。（5）收到特定源組查詢報文后，將其通過該組播組且組播源包含報文源IP的所有成員端口轉(zhuǎn)發(fā)出去。二、交換機(jī)功能介紹IGMP Sn

19、ooping第二十三頁，共三十一頁。DHCP8種報文（1）DHCP Request報文（5種）：DHCP Discovery、DHCP Request、DHCP Release、DHCP Inform、DHCP Decline（2）DHCP Reply報文（3種）：DHCP Offer、DHCP ACK、 DHCP NAK二、交換機(jī)功能介紹DHCP SnoopingDHCP交互過程:第二十四頁，共三十一頁。DHCP 攻擊示意圖：DHCP Snooping的作用通過配置非信任端口，過濾偽（非法）DHCP服務(wù)器發(fā)送的DHCP報文二、交換機(jī)功能介紹DHCP Snooping開啟DHCP 功能后X第二

20、十五頁，共三十一頁。DHCP Snooping的工作機(jī)制:（1）信任（Trust）端口:端口可轉(zhuǎn)發(fā)所有DHCP報文（2）非信任（Untrust）端口:端口拒絕轉(zhuǎn)發(fā)DHCP Offer、DHCP ACK、 DHCP NAK報文。二、交換機(jī)功能介紹DHCP Snooping因此，我們把合法的DHCP Server連接的端口設(shè)置為Tust口，其他口設(shè)置為Untrust口，就可以實現(xiàn)對非法DHCP Server的屏蔽。第二十六頁，共三十一頁。1、風(fēng)暴控制2、流量控制3、端口隔離4、端口鏡像5、端口聚合6、端口限速二、交換機(jī)功能介紹端口管理第二十七頁，共三十一頁。風(fēng)暴控制（1）風(fēng)暴控制的作用當(dāng) LAN

21、中存在過量的廣播、多播或未知單播數(shù)據(jù)流時，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓。這種情況我們稱之為 LAN 風(fēng)暴。（2）工作機(jī)制通過設(shè)置風(fēng)暴控制值，交換機(jī)端口只允許通過所設(shè)定帶寬的廣播、多播或未知單播數(shù)據(jù)流通過，超出帶寬部分的數(shù)據(jù)流將被丟棄，直到數(shù)據(jù)流恢復(fù)正常，從而避免過量的泛洪數(shù)據(jù)流進(jìn)入 LAN 中形成風(fēng)暴。（3） 提供六種設(shè)置方式：二、交換機(jī)功能介紹端口管理第二十八頁，共三十一頁。流量控制網(wǎng)絡(luò)擁塞一般是由于速率不匹配（如100M向10M端口發(fā)送數(shù)據(jù)）和突發(fā)的集中傳輸而產(chǎn)生的，它可能導(dǎo)致這幾種情況：延時增加、丟包、重傳增加，網(wǎng)絡(luò)資源不能有效利用。實現(xiàn)方法：（1）半雙工：后退壓力算法(backpressu