交換機(jī)基本功能學(xué)習(xí)總結(jié)演示文稿

交換機(jī)基本功能學(xué)習(xí)總結(jié)演示文稿現(xiàn)在是1頁(yè)\一共有31頁(yè)\編輯于星期二交換機(jī)基本功能學(xué)習(xí)總結(jié)現(xiàn)在是2頁(yè)\一共有31頁(yè)\編輯于星期二主要內(nèi)容一、交換機(jī)基本原理二、交換機(jī)功能介紹3現(xiàn)在是3頁(yè)\一共有31頁(yè)\編輯于星期二1、交換機(jī)概述2、交換機(jī)轉(zhuǎn)發(fā)原理3、交換機(jī)常用接口4一、交換機(jī)基本原理現(xiàn)在是4頁(yè)\一共有31頁(yè)\編輯于星期二一、交換機(jī)基本原理——交換機(jī)概述交換機(jī)：（1）在通信系統(tǒng)中完成信息交換功能的設(shè)備；（2）主要工作在數(shù)據(jù)鏈路層；（3）采用物理地址進(jìn)行信息交互。交換機(jī)中轉(zhuǎn)發(fā)的兩種常見(jiàn)的幀格式:（1）以太網(wǎng)幀格式（2）IEEE802.1Q幀格式5現(xiàn)在是5頁(yè)\一共有31頁(yè)\編輯于星期二交換機(jī)的核心思想：基于源MAC學(xué)習(xí)、基于目的MAC轉(zhuǎn)發(fā)過(guò)程管理依據(jù)：MAC地址表項(xiàng)一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理MAC端口端口類別VLANMAC地址表項(xiàng)構(gòu)成手工配置和動(dòng)態(tài)學(xué)習(xí)的MAC地址表項(xiàng)這里的index表示什么意思？有什么作用？現(xiàn)在是6頁(yè)\一共有31頁(yè)\編輯于星期二更新和維護(hù)MAC地址表：（1）手工配置地址：a.靜態(tài)地址表項(xiàng)，使用于網(wǎng)絡(luò)中比較固定的網(wǎng)絡(luò)設(shè)備，可以減少網(wǎng)絡(luò)中的廣播包；可以防止未授權(quán)設(shè)備接入網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。b.配置過(guò)濾地址，當(dāng)接收到的數(shù)據(jù)報(bào)文源MAC或目的MAC與過(guò)濾表項(xiàng)中的地址相符的，丟棄。（2）動(dòng)態(tài)地址學(xué)習(xí)：動(dòng)態(tài)地址表項(xiàng)，存在老化時(shí)間。一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理現(xiàn)在是7頁(yè)\一共有31頁(yè)\編輯于星期二MAC地址學(xué)習(xí)和報(bào)文轉(zhuǎn)發(fā)過(guò)程：當(dāng)交換機(jī)收到一個(gè)報(bào)文，處理過(guò)程如下：（1）查看MAC地址表項(xiàng)（2）根據(jù)結(jié)果，處理報(bào)文（3）更新MAC地址表項(xiàng)a.在MAC地址表中添加記錄b.更新MAC地址表中記錄信息。一、交換機(jī)基本原理——交換機(jī)轉(zhuǎn)發(fā)原理根據(jù)報(bào)文的目的MAC地址、報(bào)文所屬的VLANID

、MAC地址表中查找相應(yīng)的轉(zhuǎn)發(fā)輸出端口；a.丟棄

b.采取單播、組播、廣播和復(fù)制流的方式轉(zhuǎn)發(fā)報(bào)文現(xiàn)在是8頁(yè)\一共有31頁(yè)\編輯于星期二幾種常用接口：設(shè)備上的單個(gè)物理接口有三種模式：Access、Trunk、Hybrid，通過(guò)SwitchPort接口配置命令；用于管理物理接口和與之相關(guān)的第二層協(xié)議。鏈路匯聚口把多個(gè)端口的帶寬疊加起來(lái)使用，擴(kuò)展了鏈路帶寬；鏈路匯聚支持負(fù)載均衡,可以把流量均勻地分配給各成員鏈路。SVI接口SVI可以做為本機(jī)的管理接口，通過(guò)該管理接口管理員可管理設(shè)備。用來(lái)實(shí)現(xiàn)三層交換的邏輯接口。一、交換機(jī)基本原理——交換機(jī)接口現(xiàn)在是9頁(yè)\一共有31頁(yè)\編輯于星期二交換機(jī)接口示意圖：一、交換機(jī)功能介紹——交換機(jī)接口

交換機(jī)接口示意圖現(xiàn)在是10頁(yè)\一共有31頁(yè)\編輯于星期二二、交換機(jī)功能介紹1、VLAN管理

2、ACL3、IGMP4、DHCP5、端口管理現(xiàn)在是11頁(yè)\一共有31頁(yè)\編輯于星期二二、交換機(jī)功能介紹——VLAN管理什么是VLAN？VLAN有什么用？虛擬局域網(wǎng)，VirtualLocalAreaNetwork，虛擬局域網(wǎng)是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。用于在二層交換機(jī)上分割廣播域的技術(shù)，使第二層的單播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會(huì)直接進(jìn)入其它的VLAN之中。沒(méi)有劃分vlan時(shí)報(bào)文轉(zhuǎn)發(fā)劃分vlan后報(bào)文轉(zhuǎn)發(fā)現(xiàn)在是12頁(yè)\一共有31頁(yè)\編輯于星期二二、交換機(jī)功能介紹——VLANVLAN中幾個(gè)基本概念：（1）VID（2）PVID（或稱NativeVlan）（3）AllowedVlan端口操作模式VIDPVID

(或稱NativeVlAN)AllowedVlANAccess1、VLAN標(biāo)識(shí)符；2、默認(rèn)為

Vlan1。

--

--Trunk

--1、端口的虛擬局域網(wǎng)ID號(hào)，關(guān)系到端口收發(fā)數(shù)據(jù)幀時(shí)的VLANTAG標(biāo)記；2、默認(rèn)為

Vlan1。1、標(biāo)識(shí)出允許哪些vlan通過(guò)；

2、默認(rèn)允許AllowedVLAN為VLAN1，可設(shè)置讓多個(gè)VLAN通過(guò)。Hybrid

--1、端口的虛擬局域網(wǎng)ID號(hào)，關(guān)系到端口接收數(shù)據(jù)幀時(shí)的VLANTAG標(biāo)記。2、默認(rèn)為Vlan1。1、同Trunk口

2、同Trunk口

3、可設(shè)置在端口發(fā)送（轉(zhuǎn)發(fā)出去）該數(shù)據(jù)幀時(shí)是否帶上允許通過(guò)的vlan的VLANTag，在接收時(shí)設(shè)置是否帶tag沒(méi)有影響。

三種操作模式下端口VID、PVID和Allowedvlan對(duì)比現(xiàn)在是13頁(yè)\一共有31頁(yè)\編輯于星期二VLAN中的報(bào)文轉(zhuǎn)發(fā)二、交換機(jī)功能介紹——VLAN端口操作模式入方向出方向access1、untag報(bào)文，打上端口vid的

TAG后接收。

2、tag報(bào)文，判斷報(bào)文tagvid是否等于端口vid，等于則接收；否則丟棄。判斷報(bào)文tagvid是否等于端口vid，等于則剝離tag后轉(zhuǎn)發(fā)；否則丟棄。trunk1、untag報(bào)文，打上端口Nativevid的

TAG后，并判斷

Nativevid是否在allowedvlan列表中，在則接收，不在則丟棄；

2、tag報(bào)文，判斷報(bào)文tagvid是否在allowedvlan列表中，在則接收，否則丟棄。1、報(bào)文tagvid不在allowedvlan列表中，丟棄。

2、報(bào)文tagvid在allowedvlan列表中，進(jìn)一步判斷報(bào)文tagvid是否等于Nativevid，等于則剝離tag后轉(zhuǎn)發(fā)，否則直接轉(zhuǎn)發(fā)。hybrid同trunk模式1、報(bào)文tagvid不在allowedvlan列表中，丟棄。

2、報(bào)文tagvid在allowedvlan列表中，再判斷報(bào)文tagvid與端口的allowedvlan列表中對(duì)應(yīng)vlan是untag還是tag，是untag則剝離tag后轉(zhuǎn)發(fā)，否則（設(shè)置為tag）直接轉(zhuǎn)發(fā)Vlan中報(bào)文轉(zhuǎn)發(fā)現(xiàn)在是14頁(yè)\一共有31頁(yè)\編輯于星期二訪問(wèn)控制列表（AccessControlList，ACL）：通過(guò)配置一系列匹配規(guī)則，對(duì)指定數(shù)據(jù)流（如限定的源IP地址、端口號(hào)等）執(zhí)行允許或禁止通過(guò)，來(lái)識(shí)別特殊種類報(bào)文的流量過(guò)濾器。主要作用：（1）防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。（2）允許合法用戶訪問(wèn)受保護(hù)的網(wǎng)絡(luò)資源。（3）防止合法的用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問(wèn)。ACL使用訪問(wèn)控制條目(ACE)控制用戶和組的訪問(wèn)權(quán)。ACE有permit和deny兩種控制方式。支持3種訪問(wèn)控制列表：（1）標(biāo)準(zhǔn)IP訪問(wèn)控制列表（2）擴(kuò)展IP訪問(wèn)控制列表（3）擴(kuò)展MAC訪問(wèn)控制列表二、交換機(jī)功能介紹——ACL現(xiàn)在是15頁(yè)\一共有31頁(yè)\編輯于星期二ACL總結(jié)：二、交換機(jī)功能介紹——ACL類型配置說(shuō)明標(biāo)準(zhǔn)IP訪問(wèn)控制列表1、可配置10個(gè)列表（編號(hào)：0-9）；

2、每個(gè)列表可配置10個(gè)ACE（編號(hào)0-9），默認(rèn)是0；

3、對(duì)收到的報(bào)文的源IP進(jìn)行控制：

a.任意源IP地址

b.指定源IP地址范圍。擴(kuò)展IP訪問(wèn)控制列表1、可配置10個(gè)列表（編號(hào)：10-19）；

2、每個(gè)列表可配置10個(gè)ACE（編號(hào)0-9），默認(rèn)是0；

3、對(duì)收到的報(bào)文的源IP和目的IP進(jìn)行控制：

a.任意IP地址

b.指定IP地址范圍。

4、可以指定收到報(bào)文時(shí)過(guò)濾那些協(xié)議的報(bào)文，常見(jiàn)的有：

a.IPb.IGMPc.TCPd.UDP

其中,指定過(guò)濾TCP、UDP協(xié)議報(bào)文時(shí)，同時(shí)可以指定過(guò)濾具體某個(gè)源端口/目的端口的TCP、UDP協(xié)議報(bào)文。擴(kuò)展MAC訪問(wèn)控制列表1、可配置6個(gè)列表（編號(hào)：20-25）；

2、每個(gè)列表可配置10個(gè)ACE（編號(hào)0-9），默認(rèn)是0；

3、對(duì)收到的報(bào)文的源MAC和目的MAC進(jìn)行控制：

a.任意MAC地址

b.指定某個(gè)MAC地址。

4、可指定過(guò)濾具體某個(gè)以太頭類型的報(bào)文。

太頭類型范圍：0x0000-0xffffACL三種類型總結(jié)現(xiàn)在是16頁(yè)\一共有31頁(yè)\編輯于星期二什么是IGMPSnooping？IGMPSnooping是InternetGroupManagementProtocolSnooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)的簡(jiǎn)稱，它是運(yùn)行在二層設(shè)備上的組播約束機(jī)制，用于管理和控制組播組。二、交換機(jī)功能介紹——IGMPSnooping運(yùn)行IGMPSnooping后交換機(jī)運(yùn)行IGMPSnooping前后對(duì)比:現(xiàn)在是17頁(yè)\一共有31頁(yè)\編輯于星期二組播IP與組播MAC地址對(duì)應(yīng)關(guān)系：二、交換機(jī)功能介紹——IGMPSnooping11100000000100000000010111100IP組播地址后23位映射到MAC地址中32位IP組播地址48位MAC地址（以太網(wǎng)/FDDI）此5位地址不作映射，因此32個(gè)IP組播地址映射成一個(gè)MAC地址簡(jiǎn)而言之，組播MAC地址前24固定為0x01-00-5e，倒數(shù)第24為0，后23位是將IP組播地址后23位映射而來(lái)?，F(xiàn)在是18頁(yè)\一共有31頁(yè)\編輯于星期二二、交換機(jī)功能介紹——IGMPSnoopingIGMP版本：IGMPv1、IGMPv2、IGMPv3Version查詢報(bào)告IGMPV1普遍組查詢成員報(bào)告IGMPv2普遍組查詢成員報(bào)告特定組查詢：相比v1增加了特定組播組的查詢離開(kāi)報(bào)文：相比v1增加了組播成員離開(kāi)機(jī)制IGMPv3普遍組查詢成員報(bào)告(6種類型，相比v1和v2增加了對(duì)組播源的控制):

（1）Mode-is-Include（G，S）

（2）Mode-is-Exclude（G，S）

（3）Change-to-Include（G，S）

（4）Change-to-Exclude（G，S）

（5）Allow-new-source（G，S）

（6）Block-old-source（G，S）特定組查詢特定源組查詢：相比v1和v2增加了對(duì)組播源的控制現(xiàn)在是19頁(yè)\一共有31頁(yè)\編輯于星期二IGMPSnooping的工作原理運(yùn)行IGMPSnooping的二層設(shè)備通過(guò)對(duì)收到的IGMP報(bào)文進(jìn)行分析，為端口和MAC組播地址建立起映射關(guān)系，并根據(jù)這樣的映射關(guān)系來(lái)轉(zhuǎn)發(fā)組播數(shù)據(jù)。IGMPSnooping的相關(guān)端口交換機(jī)將本設(shè)備上的所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中，依靠這兩個(gè)列表來(lái)轉(zhuǎn)發(fā)組播數(shù)據(jù)，并對(duì)其進(jìn)行實(shí)時(shí)維護(hù)。二、交換機(jī)功能介紹——IGMPSnooping（1）路由端口交換機(jī)上朝向三層組播設(shè)備(DR或IGMP查詢器)一側(cè)的端口。（2）成員端口又稱組播成員端口，表示交換機(jī)上朝向組播組成員一側(cè)的端口?，F(xiàn)在是20頁(yè)\一共有31頁(yè)\編輯于星期二路由端口列表更新（1）收到IGMP普遍組查詢報(bào)文（IGMPv1/v2/v3）a.如果在路由器端口列表中已包含該動(dòng)態(tài)路由器端口，則重置其老化定時(shí)器；

b.如果在路由器端口列表中尚未包含該動(dòng)態(tài)路由器端口，則將其添加到路由器端口列表中，并啟動(dòng)老化定時(shí)器。（2）收到IGMP特定組查詢報(bào)文（IGMPv2/v3）a.如果接收端口為一已存在的動(dòng)態(tài)路由器端口，則重置其老化定時(shí)器；b.如果接收端口不是一已存在的路由器端口，則將這個(gè)接收端口添加到路由器端口列表中，并啟動(dòng)其老化定時(shí)器。（3）收到IGMP特定源組查詢報(bào)文（IGMPv3）a.如果接收端口為一已存在的動(dòng)態(tài)路由器端口，則重置其老化定時(shí)器；b.如果接收端口不是一已存在的路由器端口，則將這個(gè)接收端口添加到路由器端口列表中，并啟動(dòng)其老化定時(shí)器。（4）交換機(jī)為每個(gè)動(dòng)態(tài)路由連接口都啟動(dòng)一個(gè)定時(shí)器，其超時(shí)時(shí)間就是動(dòng)態(tài)路由連接口的老化時(shí)間。如果在其老化時(shí)間超時(shí)前沒(méi)有收到IGMP查詢報(bào)文，交換機(jī)將把該端口從路由器端口列表中刪除。二、交換機(jī)功能介紹——IGMPSnooping現(xiàn)在是21頁(yè)\一共有31頁(yè)\編輯于星期二動(dòng)態(tài)成員端口列表更新：（1）交換機(jī)為動(dòng)態(tài)成員端口啟動(dòng)一個(gè)定時(shí)器，其超時(shí)時(shí)間就是動(dòng)態(tài)成員端口老化時(shí)間。對(duì)于成員端口，如果在其老化時(shí)間超時(shí)前沒(méi)有收到IGMP加入報(bào)文，交換機(jī)將把該端口從成員端口列表中刪除。（2）收到IGMP成員關(guān)系報(bào)告報(bào)文（IGMPv1/v2/v3）a.如果不存在該組播組所對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)，則創(chuàng)建轉(zhuǎn)發(fā)表項(xiàng)，將該端口作為動(dòng)態(tài)成員端口添加到出端口列表中，并啟動(dòng)其老化定時(shí)器；b.如果已存在該組播組所對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)，但其出端口列表中不包含該端口，則將該端口作為動(dòng)態(tài)成員端口添加到出端口列表中，并啟動(dòng)其老化定時(shí)器；c.如果已存在該組播組所對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)，且其出端口列表中已包含該動(dòng)態(tài)成員端口，則重置其老化定時(shí)器。（3）收到IGMP離開(kāi)組報(bào)文（IGMPv2/v3）如果要離開(kāi)的組播組所對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)存在，且該組播組對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)的出端口列表中包含該端口，將該端口從組播組所對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)的出端口列表中刪除。二、交換機(jī)功能介紹——IGMPSnooping現(xiàn)在是22頁(yè)\一共有31頁(yè)\編輯于星期二IGMPSnooping后對(duì)報(bào)文轉(zhuǎn)發(fā)處理（1）收到IGMP普遍組查詢報(bào)文時(shí)，交換機(jī)將其通過(guò)VLAN內(nèi)除接收端口以外的其他所有端口轉(zhuǎn)發(fā)出去。（2）收到IGMP成員關(guān)系報(bào)告報(bào)文時(shí)，交換機(jī)將通過(guò)VLAN內(nèi)的所有路由器端口將報(bào)告報(bào)文轉(zhuǎn)發(fā)出去。（3）收到IGMP離開(kāi)組報(bào)文時(shí)：a.如果不存在該組播組對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)，或者該組播組對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)的出端口列表中不包含該端口，則不處理這個(gè)報(bào)文。b.如果存在該組播組對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)，且該組播組對(duì)應(yīng)的轉(zhuǎn)發(fā)表項(xiàng)的出端口列表中包含該端口，將離開(kāi)組報(bào)文從VLAN的所有路由器端口轉(zhuǎn)發(fā)出去。（4）收到特定組查詢報(bào)文后，將其通過(guò)該組播組的所有成員端口轉(zhuǎn)發(fā)出去。（5）收到特定源組查詢報(bào)文后，將其通過(guò)該組播組且組播源包含報(bào)文源IP的所有成員端口轉(zhuǎn)發(fā)出去。二、交換機(jī)功能介紹——IGMPSnooping現(xiàn)在是23頁(yè)\一共有31頁(yè)\編輯于星期二DHCP8種報(bào)文（1）DHCPRequest報(bào)文（5種）：DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline（2）DHCPReply報(bào)文（3種）：DHCPOffer、DHCPACK、DHCPNAK二、交換機(jī)功能介紹——DHCPSnoopingDHCP交互過(guò)程:現(xiàn)在是24頁(yè)\一共有31頁(yè)\編輯于星期二DHCP攻擊示意圖：DHCPSnooping的作用通過(guò)配置非信任端口，過(guò)濾偽（非法）DHCP服務(wù)器發(fā)送的DHCP報(bào)文二、交換機(jī)功能介紹——DHCPSnooping開(kāi)啟DHCP功能后X現(xiàn)在是25頁(yè)\一共有31頁(yè)\編輯于星期二DHCPSnooping的工作機(jī)制:（1）信任（Trust）端口:端口可轉(zhuǎn)發(fā)所有DHCP報(bào)文（2）非信任（Untrust）端口:端口拒絕轉(zhuǎn)發(fā)DHCPOffer、DHCPACK、DHCPNAK報(bào)文。二、交換機(jī)功能介紹——DHCPSnooping因此，我們把合法的DHCPServer連接的端口設(shè)置為Tust口，其他口設(shè)置為Untrust口，就可以實(shí)現(xiàn)對(duì)非法DHCPServer的屏蔽?，F(xiàn)在是26頁(yè)\一共有31頁(yè)\編輯于星期二1、風(fēng)暴控制2、流量控制3、端口隔離4、端口鏡像5、端口聚合6、端口限速二、交換機(jī)功能介紹——端口管理現(xiàn)在是27頁(yè)\一共有31頁(yè)\編輯于星期二風(fēng)暴控制（1）風(fēng)暴控制的作用當(dāng)LAN中存在過(guò)量的廣播、多播或未知單播數(shù)據(jù)流時(shí)，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓。這種情況我們稱之為L(zhǎng)AN風(fēng)暴。（2）工作機(jī)制通過(guò)設(shè)置風(fēng)暴控制值，交換機(jī)端口只允許通過(guò)所設(shè)定帶寬的廣播、多播或未知單播數(shù)據(jù)流通過(guò)，超出帶寬部分的數(shù)據(jù)流將被丟棄，直到數(shù)據(jù)流恢復(fù)正常，從而避免過(guò)量的泛洪數(shù)據(jù)流進(jìn)入LAN中形成風(fēng)暴。（3）

提供六種設(shè)置方式：二、交換機(jī)功能介紹——端口管理現(xiàn)在是28頁(yè)\一共有31頁(yè)\編輯于星期二流量控制網(wǎng)絡(luò)擁塞一般是由于速率不匹配（如100M向10M端口發(fā)送數(shù)據(jù)）和突發(fā)的集中傳輸而產(chǎn)生的，它可能導(dǎo)致這幾種情況：延時(shí)增加、丟包、重傳增加，網(wǎng)絡(luò)資源不能有效利用。實(shí)