交換機基本功能學習總結演示文稿

交換機基本功能學習總結演示文稿現(xiàn)在是1頁\一共有31頁\編輯于星期二交換機基本功能學習總結現(xiàn)在是2頁\一共有31頁\編輯于星期二主要內(nèi)容一、交換機基本原理二、交換機功能介紹3現(xiàn)在是3頁\一共有31頁\編輯于星期二1、交換機概述2、交換機轉發(fā)原理3、交換機常用接口4一、交換機基本原理現(xiàn)在是4頁\一共有31頁\編輯于星期二一、交換機基本原理——交換機概述交換機：（1）在通信系統(tǒng)中完成信息交換功能的設備；（2）主要工作在數(shù)據(jù)鏈路層；（3）采用物理地址進行信息交互。交換機中轉發(fā)的兩種常見的幀格式:（1）以太網(wǎng)幀格式（2）IEEE802.1Q幀格式5現(xiàn)在是5頁\一共有31頁\編輯于星期二交換機的核心思想：基于源MAC學習、基于目的MAC轉發(fā)過程管理依據(jù)：MAC地址表項一、交換機基本原理——交換機轉發(fā)原理MAC端口端口類別VLANMAC地址表項構成手工配置和動態(tài)學習的MAC地址表項這里的index表示什么意思？有什么作用？現(xiàn)在是6頁\一共有31頁\編輯于星期二更新和維護MAC地址表：（1）手工配置地址：a.靜態(tài)地址表項，使用于網(wǎng)絡中比較固定的網(wǎng)絡設備，可以減少網(wǎng)絡中的廣播包；可以防止未授權設備接入網(wǎng)絡或攻擊網(wǎng)絡。b.配置過濾地址，當接收到的數(shù)據(jù)報文源MAC或目的MAC與過濾表項中的地址相符的，丟棄。（2）動態(tài)地址學習：動態(tài)地址表項，存在老化時間。一、交換機基本原理——交換機轉發(fā)原理現(xiàn)在是7頁\一共有31頁\編輯于星期二MAC地址學習和報文轉發(fā)過程：當交換機收到一個報文，處理過程如下：（1）查看MAC地址表項（2）根據(jù)結果，處理報文（3）更新MAC地址表項a.在MAC地址表中添加記錄b.更新MAC地址表中記錄信息。一、交換機基本原理——交換機轉發(fā)原理根據(jù)報文的目的MAC地址、報文所屬的VLANID

、MAC地址表中查找相應的轉發(fā)輸出端口；a.丟棄

b.采取單播、組播、廣播和復制流的方式轉發(fā)報文現(xiàn)在是8頁\一共有31頁\編輯于星期二幾種常用接口：設備上的單個物理接口有三種模式：Access、Trunk、Hybrid，通過SwitchPort接口配置命令；用于管理物理接口和與之相關的第二層協(xié)議。鏈路匯聚口把多個端口的帶寬疊加起來使用，擴展了鏈路帶寬；鏈路匯聚支持負載均衡,可以把流量均勻地分配給各成員鏈路。SVI接口SVI可以做為本機的管理接口，通過該管理接口管理員可管理設備。用來實現(xiàn)三層交換的邏輯接口。一、交換機基本原理——交換機接口現(xiàn)在是9頁\一共有31頁\編輯于星期二交換機接口示意圖：一、交換機功能介紹——交換機接口

交換機接口示意圖現(xiàn)在是10頁\一共有31頁\編輯于星期二二、交換機功能介紹1、VLAN管理

2、ACL3、IGMP4、DHCP5、端口管理現(xiàn)在是11頁\一共有31頁\編輯于星期二二、交換機功能介紹——VLAN管理什么是VLAN？VLAN有什么用？虛擬局域網(wǎng)，VirtualLocalAreaNetwork，虛擬局域網(wǎng)是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術。用于在二層交換機上分割廣播域的技術，使第二層的單播、廣播和多播幀在一個VLAN內(nèi)轉發(fā)、擴散，而不會直接進入其它的VLAN之中。沒有劃分vlan時報文轉發(fā)劃分vlan后報文轉發(fā)現(xiàn)在是12頁\一共有31頁\編輯于星期二二、交換機功能介紹——VLANVLAN中幾個基本概念：（1）VID（2）PVID（或稱NativeVlan）（3）AllowedVlan端口操作模式VIDPVID

(或稱NativeVlAN)AllowedVlANAccess1、VLAN標識符；2、默認為

Vlan1。

--

--Trunk

--1、端口的虛擬局域網(wǎng)ID號，關系到端口收發(fā)數(shù)據(jù)幀時的VLANTAG標記；2、默認為

Vlan1。1、標識出允許哪些vlan通過；

2、默認允許AllowedVLAN為VLAN1，可設置讓多個VLAN通過。Hybrid

--1、端口的虛擬局域網(wǎng)ID號，關系到端口接收數(shù)據(jù)幀時的VLANTAG標記。2、默認為Vlan1。1、同Trunk口

2、同Trunk口

3、可設置在端口發(fā)送（轉發(fā)出去）該數(shù)據(jù)幀時是否帶上允許通過的vlan的VLANTag，在接收時設置是否帶tag沒有影響。

三種操作模式下端口VID、PVID和Allowedvlan對比現(xiàn)在是13頁\一共有31頁\編輯于星期二VLAN中的報文轉發(fā)二、交換機功能介紹——VLAN端口操作模式入方向出方向access1、untag報文，打上端口vid的

TAG后接收。

2、tag報文，判斷報文tagvid是否等于端口vid，等于則接收；否則丟棄。判斷報文tagvid是否等于端口vid，等于則剝離tag后轉發(fā)；否則丟棄。trunk1、untag報文，打上端口Nativevid的

TAG后，并判斷

Nativevid是否在allowedvlan列表中，在則接收，不在則丟棄；

2、tag報文，判斷報文tagvid是否在allowedvlan列表中，在則接收，否則丟棄。1、報文tagvid不在allowedvlan列表中，丟棄。

2、報文tagvid在allowedvlan列表中，進一步判斷報文tagvid是否等于Nativevid，等于則剝離tag后轉發(fā)，否則直接轉發(fā)。hybrid同trunk模式1、報文tagvid不在allowedvlan列表中，丟棄。

2、報文tagvid在allowedvlan列表中，再判斷報文tagvid與端口的allowedvlan列表中對應vlan是untag還是tag，是untag則剝離tag后轉發(fā)，否則（設置為tag）直接轉發(fā)Vlan中報文轉發(fā)現(xiàn)在是14頁\一共有31頁\編輯于星期二訪問控制列表（AccessControlList，ACL）：通過配置一系列匹配規(guī)則，對指定數(shù)據(jù)流（如限定的源IP地址、端口號等）執(zhí)行允許或禁止通過，來識別特殊種類報文的流量過濾器。主要作用：（1）防止非法的主體進入受保護的網(wǎng)絡資源。（2）允許合法用戶訪問受保護的網(wǎng)絡資源。（3）防止合法的用戶對受保護的網(wǎng)絡資源進行非授權的訪問。ACL使用訪問控制條目(ACE)控制用戶和組的訪問權。ACE有permit和deny兩種控制方式。支持3種訪問控制列表：（1）標準IP訪問控制列表（2）擴展IP訪問控制列表（3）擴展MAC訪問控制列表二、交換機功能介紹——ACL現(xiàn)在是15頁\一共有31頁\編輯于星期二ACL總結：二、交換機功能介紹——ACL類型配置說明標準IP訪問控制列表1、可配置10個列表（編號：0-9）；

2、每個列表可配置10個ACE（編號0-9），默認是0；

3、對收到的報文的源IP進行控制：

a.任意源IP地址

b.指定源IP地址范圍。擴展IP訪問控制列表1、可配置10個列表（編號：10-19）；

2、每個列表可配置10個ACE（編號0-9），默認是0；

3、對收到的報文的源IP和目的IP進行控制：

a.任意IP地址

b.指定IP地址范圍。

4、可以指定收到報文時過濾那些協(xié)議的報文，常見的有：

a.IPb.IGMPc.TCPd.UDP

其中,指定過濾TCP、UDP協(xié)議報文時，同時可以指定過濾具體某個源端口/目的端口的TCP、UDP協(xié)議報文。擴展MAC訪問控制列表1、可配置6個列表（編號：20-25）；

2、每個列表可配置10個ACE（編號0-9），默認是0；

3、對收到的報文的源MAC和目的MAC進行控制：

a.任意MAC地址

b.指定某個MAC地址。

4、可指定過濾具體某個以太頭類型的報文。

太頭類型范圍：0x0000-0xffffACL三種類型總結現(xiàn)在是16頁\一共有31頁\編輯于星期二什么是IGMPSnooping？IGMPSnooping是InternetGroupManagementProtocolSnooping(互聯(lián)網(wǎng)組管理協(xié)議窺探)的簡稱，它是運行在二層設備上的組播約束機制，用于管理和控制組播組。二、交換機功能介紹——IGMPSnooping運行IGMPSnooping后交換機運行IGMPSnooping前后對比:現(xiàn)在是17頁\一共有31頁\編輯于星期二組播IP與組播MAC地址對應關系：二、交換機功能介紹——IGMPSnooping11100000000100000000010111100IP組播地址后23位映射到MAC地址中32位IP組播地址48位MAC地址（以太網(wǎng)/FDDI）此5位地址不作映射，因此32個IP組播地址映射成一個MAC地址簡而言之，組播MAC地址前24固定為0x01-00-5e，倒數(shù)第24為0，后23位是將IP組播地址后23位映射而來。現(xiàn)在是18頁\一共有31頁\編輯于星期二二、交換機功能介紹——IGMPSnoopingIGMP版本：IGMPv1、IGMPv2、IGMPv3Version查詢報告IGMPV1普遍組查詢成員報告IGMPv2普遍組查詢成員報告特定組查詢：相比v1增加了特定組播組的查詢離開報文：相比v1增加了組播成員離開機制IGMPv3普遍組查詢成員報告(6種類型，相比v1和v2增加了對組播源的控制):

（1）Mode-is-Include（G，S）

（2）Mode-is-Exclude（G，S）

（3）Change-to-Include（G，S）

（4）Change-to-Exclude（G，S）

（5）Allow-new-source（G，S）

（6）Block-old-source（G，S）特定組查詢特定源組查詢：相比v1和v2增加了對組播源的控制現(xiàn)在是19頁\一共有31頁\編輯于星期二IGMPSnooping的工作原理運行IGMPSnooping的二層設備通過對收到的IGMP報文進行分析，為端口和MAC組播地址建立起映射關系，并根據(jù)這樣的映射關系來轉發(fā)組播數(shù)據(jù)。IGMPSnooping的相關端口交換機將本設備上的所有路由器端口和成員端口分別記錄到路由端口列表和成員端口列表中，依靠這兩個列表來轉發(fā)組播數(shù)據(jù)，并對其進行實時維護。二、交換機功能介紹——IGMPSnooping（1）路由端口交換機上朝向三層組播設備(DR或IGMP查詢器)一側的端口。（2）成員端口又稱組播成員端口，表示交換機上朝向組播組成員一側的端口。現(xiàn)在是20頁\一共有31頁\編輯于星期二路由端口列表更新（1）收到IGMP普遍組查詢報文（IGMPv1/v2/v3）a.如果在路由器端口列表中已包含該動態(tài)路由器端口，則重置其老化定時器；

b.如果在路由器端口列表中尚未包含該動態(tài)路由器端口，則將其添加到路由器端口列表中，并啟動老化定時器。（2）收到IGMP特定組查詢報文（IGMPv2/v3）a.如果接收端口為一已存在的動態(tài)路由器端口，則重置其老化定時器；b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加到路由器端口列表中，并啟動其老化定時器。（3）收到IGMP特定源組查詢報文（IGMPv3）a.如果接收端口為一已存在的動態(tài)路由器端口，則重置其老化定時器；b.如果接收端口不是一已存在的路由器端口，則將這個接收端口添加到路由器端口列表中，并啟動其老化定時器。（4）交換機為每個動態(tài)路由連接口都啟動一個定時器，其超時時間就是動態(tài)路由連接口的老化時間。如果在其老化時間超時前沒有收到IGMP查詢報文，交換機將把該端口從路由器端口列表中刪除。二、交換機功能介紹——IGMPSnooping現(xiàn)在是21頁\一共有31頁\編輯于星期二動態(tài)成員端口列表更新：（1）交換機為動態(tài)成員端口啟動一個定時器，其超時時間就是動態(tài)成員端口老化時間。對于成員端口，如果在其老化時間超時前沒有收到IGMP加入報文，交換機將把該端口從成員端口列表中刪除。（2）收到IGMP成員關系報告報文（IGMPv1/v2/v3）a.如果不存在該組播組所對應的轉發(fā)表項，則創(chuàng)建轉發(fā)表項，將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器；b.如果已存在該組播組所對應的轉發(fā)表項，但其出端口列表中不包含該端口，則將該端口作為動態(tài)成員端口添加到出端口列表中，并啟動其老化定時器；c.如果已存在該組播組所對應的轉發(fā)表項，且其出端口列表中已包含該動態(tài)成員端口，則重置其老化定時器。（3）收到IGMP離開組報文（IGMPv2/v3）如果要離開的組播組所對應的轉發(fā)表項存在，且該組播組對應的轉發(fā)表項的出端口列表中包含該端口，將該端口從組播組所對應的轉發(fā)表項的出端口列表中刪除。二、交換機功能介紹——IGMPSnooping現(xiàn)在是22頁\一共有31頁\編輯于星期二IGMPSnooping后對報文轉發(fā)處理（1）收到IGMP普遍組查詢報文時，交換機將其通過VLAN內(nèi)除接收端口以外的其他所有端口轉發(fā)出去。（2）收到IGMP成員關系報告報文時，交換機將通過VLAN內(nèi)的所有路由器端口將報告報文轉發(fā)出去。（3）收到IGMP離開組報文時：a.如果不存在該組播組對應的轉發(fā)表項，或者該組播組對應的轉發(fā)表項的出端口列表中不包含該端口，則不處理這個報文。b.如果存在該組播組對應的轉發(fā)表項，且該組播組對應的轉發(fā)表項的出端口列表中包含該端口，將離開組報文從VLAN的所有路由器端口轉發(fā)出去。（4）收到特定組查詢報文后，將其通過該組播組的所有成員端口轉發(fā)出去。（5）收到特定源組查詢報文后，將其通過該組播組且組播源包含報文源IP的所有成員端口轉發(fā)出去。二、交換機功能介紹——IGMPSnooping現(xiàn)在是23頁\一共有31頁\編輯于星期二DHCP8種報文（1）DHCPRequest報文（5種）：DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline（2）DHCPReply報文（3種）：DHCPOffer、DHCPACK、DHCPNAK二、交換機功能介紹——DHCPSnoopingDHCP交互過程:現(xiàn)在是24頁\一共有31頁\編輯于星期二DHCP攻擊示意圖：DHCPSnooping的作用通過配置非信任端口，過濾偽（非法）DHCP服務器發(fā)送的DHCP報文二、交換機功能介紹——DHCPSnooping開啟DHCP功能后X現(xiàn)在是25頁\一共有31頁\編輯于星期二DHCPSnooping的工作機制:（1）信任（Trust）端口:端口可轉發(fā)所有DHCP報文（2）非信任（Untrust）端口:端口拒絕轉發(fā)DHCPOffer、DHCPACK、DHCPNAK報文。二、交換機功能介紹——DHCPSnooping因此，我們把合法的DHCPServer連接的端口設置為Tust口，其他口設置為Untrust口，就可以實現(xiàn)對非法DHCPServer的屏蔽?，F(xiàn)在是26頁\一共有31頁\編輯于星期二1、風暴控制2、流量控制3、端口隔離4、端口鏡像5、端口聚合6、端口限速二、交換機功能介紹——端口管理現(xiàn)在是27頁\一共有31頁\編輯于星期二風暴控制（1）風暴控制的作用當LAN中存在過量的廣播、多播或未知單播數(shù)據(jù)流時，導致網(wǎng)絡性能下降，甚至網(wǎng)絡癱瘓。這種情況我們稱之為LAN風暴。（2）工作機制通過設置風暴控制值，交換機端口只允許通過所設定帶寬的廣播、多播或未知單播數(shù)據(jù)流通過，超出帶寬部分的數(shù)據(jù)流將被丟棄，直到數(shù)據(jù)流恢復正常，從而避免過量的泛洪數(shù)據(jù)流進入LAN中形成風暴。（3）

提供六種設置方式：二、交換機功能介紹——端口管理現(xiàn)在是28頁\一共有31頁\編輯于星期二流量控制網(wǎng)絡擁塞一般是由于速率不匹配（如100M向10M端口發(fā)送數(shù)據(jù)）和突發(fā)的集中傳輸而產(chǎn)生的，它可能導致這幾種情況：延時增加、丟包、重傳增加，網(wǎng)絡資源不能有效利用。實