交换机技术
目錄
一、交換機的工作原理(轉發原理)
二、交換機以太網接口的工作模式
1.交換機以太網接口雙工模式:
2.交換機以太網接口速率:
3.交換機命令行的層次關系:
三、VLAN? ? ? ? ? ? ? ? ? ?
分割廣播域
VLAN的種類
創建VLAN的兩種方法
刪除VLAN
將端口加入VLAN
驗證VLAN的配置
四、Trunk的作用
Trunk的配置
五、單臂路由
六、三層交換技術(二層交換+三層轉發)
1.傳統的MLS2-1(一次路由 多次交換)
2.基于CEF的MLS
3.虛接口(interface vlan vlan-id)
七、端口鏡像
八、二層鏡像
九、三層鏡像
十、風暴控制
一、交換機的工作原理(轉發原理)
最初以太網采用廣播方式通信,即CSMA/CD機制(載波偵聽,多路訪問,沖突檢測),CSMA/CD是一種共享式的。但是當以太網被升級以后,由共享機制轉化為了交換機制。也就從CSMA/CD機制轉變為了轉發機制。轉發機制依賴于端口號和MAC地址表。
- 交換機在啟動成功以后,進入初始狀態,此時端口號和MAC地址表是空的。(因此交換機設備一旦斷電,斷電以后端口號和MAC地址表就變成空的了)。
- 進入初始狀態以后,會進入MAC地址學習。假設主機A要給主機B發消息,主機A先發送數據幀給交換機,交換機記錄原MAC地址,將主機A的原MAC地址和主機的端口建立一個對應關系,將對應關系放在端口MAC地址表中。
- 在交換機記錄完主機A的端口號和MAC地址表后,對于其接收到的未知的數據幀進行廣播
- 廣播后,主機B接受方回應,交換機收到主機B發送的應答包,交換機記錄下主機B的端口號和MAC地址表。
- 此后AB之間通信,交換機就不再進行廣播,AB就實現了點對點單播通信。
補充:攻擊者對交換機進行的攻擊:向交換機發送大量的偽造的帶有虛假的MAC地址的數據幀,利用交換機的MAC地址學習,交換機收到數據幀后,記錄大量的虛假的MAC地址,造成其MAC地址表空間被占滿,導致網路中正常的MAC地址沒有空間被記錄。當交換機收到正常的MAC地址的數據幀以后,只能進行廣播,這樣攻擊者就可以監聽了。防范:①限制交換機的每個接口可以記錄的MAC地址數目,即一個主機的端口只能產生一個MAC地址,如果多產生了,就說明其有可能實施了攻擊行為。②限制交換機每個接口的幀發送頻率。
二、交換機以太網接口的工作模式
1.交換機以太網接口雙工模式:
- 單工:兩個數據站之間只能沿單一方向傳輸數據(麥克風、揚聲器)
- 半雙工:兩個數據站之間可以雙向傳輸數據,但不能同時進行(對講機)
- 全雙工:兩個數據站之間可雙向且同時進行數據傳輸
注:雙工duplex,可接三個參數(half/full/auto) duplex:?auto代表兩端自動協商
2.交換機以太網接口速率:
speed后可接參數(auto/10/100/1000)? 接值時不需要注明單位,交換機自動識別為mbps(每秒鐘傳輸的二進制位數,注意這里不是字節數,一字節8個二進制位數)
3.交換機命令行的層次關系:
思科:用戶>模式>特權#模式>全局(config)#模式>接口(config-if)#模式? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 華為:用戶<>?視圖?>? 系統[]視圖
- 用戶模式(>):查看系統信息
- 特權模式(#):查看并修改設備的配置(如給
- 全局模式((config)#):針對整個交換機修改配置參數(如命名)
- 接口模式((config-if)#):針對設備的接口修改配置參數
注:從某一個模式返回上一個模式:exit? ? ;? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?從某一個模式返回到特權模式:??end? ??;? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?命令行幫助:??? ? ;? ? ? ? ? ? ?
三、VLAN? ? ? ? ? ? ? ? ? ?
分割廣播域
局域網會出現廣播通信,利用路由器可以實現物理分割,利用交換機的Vlan可以實現邏輯分割;這樣做的好處是:當局域網廣播通信時,一個Vlan的廣播不會發到另一個vlan中去
VLAN的種類
- 靜態VLAN:基于端口劃分靜態VLAN
- 動態VLAN:基于MAC地址劃分動態VLAN
創建VLAN的兩種方法
- VLAN數據庫配置模式#Vlan database? ? # VLan vlan-id? name vlan-name? ? #exit
- 全局配置模式 #vlan vlan-id? ? #name vlan-name
刪除VLAN
? ? ? no vlan vlan-id
將端口加入VLAN
#interface interface-id #switchport mode access #switchport access vlan vlan-id? ? ? ? ? ? ? ? ? ? ? ? ? ? ?將端口從某個VLAN中刪除 no switchport access vlan vlan-id? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?將多個端口加入VLAN interface range f0/1-10
驗證VLAN的配置
查看所有VLAN的摘要信息 #show vlan brief? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 查看指定VLAN信息 #show vlan id vlan-id
四、Trunk的作用
中繼鏈路:連接交換機之間的鏈路,這條鏈路上通過標識來區分不同vlan的數據? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 接入鏈路:? ?PC和交換機之間連接的鏈路
在以太網上實現中繼,有兩種封裝類型:①ISL(思科私有標準)②IEEE.802.1q
Trunk的配置
#interface interface-id? 進入接口配置模式? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #switchport trunk encapsulation {isl|dot1q(802.1q)|negotiate} 選擇封裝類型? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #switchport mode {dynamic{desirable|auto}|trunk|access}將接口配置為Trunk? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #switchport trunk allowed vlan remove vlan-id? 禁止Trunk傳送某個VLAN數據,刪除這個VLAN? ? #switchport trunk allowed vlan add vlan-id? 允許Trunk傳送某個VLAN的數據,添加這個VLAN? ? ? #show interface interface-id switchport 查看接口模式、狀態
五、單臂路由
單壁路由是指在路由器的一個接口上通過配置子接口來實現不同的VLAN之間通信。但是如果要增加不同的VLAN之間要通信,單臂路由會使得路由器的負荷過大(只有一個路由來進行路由轉發)
六、三層交換技術(二層交換+三層轉發)
三層交換采用硬件(ASIC芯片)來交換和路由選擇包。路由器則是用cpu、npu等來實現包交換。
1.傳統的MLS2-1(一次路由 多次交換)
3層轉發過程中要重新封裝2層,因為目的MAC地址不知,因此會ARP廣播,這就意味著會產生傳輸延遲。但是3層交換的優勢是,VLAN1和VLAN2進行通信時只會進行一次ARP廣播,這樣就比單壁路由好,單臂路由會重復的查詢路由轉發表,因此會加速路由器通信的負荷。
VLAN1和VLAN2的主機之間只進行一次ARP廣播,但是交換ASIC會從3層引擎中獲悉2層重寫信息在硬件中創建一個MLS條目,負責重寫(MAC)和轉發數據流中的后續數據包。
2.基于CEF的MLS
可預先將所有信息加入到轉發信息表FIB中
三層交換實現不同VLAN之間的通信-阿里云開發者社區 (aliyun.com)
FIB:目的IP和VLAN的對應關系(下一跳地址信息)? ? ? ? ? ? CEF用FIB來做出基于目標IP前綴的轉發決策,類似于路由表,當網絡拓撲發生改變時,路由表被更新,FIB也被更新? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 鄰接關系表:電腦MAC地址和交換機MAC地址的對應關系(相應的第二層地址)? ? ? FIB的每一項指向鄰接關系表里某一個下一跳中繼段。
3.虛接口(interface vlan vlan-id)
路由器配置IP地址時是在其物理接口上。交換機配置IP地址時是在虛接口(VLAN接口)上
vlan間通信的轉發過程:主機A首先發送數據給自己的網關(VLAN10虛接口),路由器查詢路由表,將數據發給VLAN20虛接口,最終將數據傳給主機B。虛接口的作用就是不同的虛接口之間可以進行路由,實現報文的轉發功能。
- 三層交換機默認是關閉路由功能的。啟用路由:#ip routing
- 三層交換機的所有接口都模式是二層接口。將2層模式轉為3層模式(配ip):#no switchport
七、端口鏡像
在網絡的運營和管理中,為了便于業務的監測和故障定位,因此會設置端口鏡像。
?交換機將經過鏡像端口的報文復制一份發送給本地觀察端口,本地觀察端口再將報文復制一份發給監控設備。
注:本地觀察端口是指觀察端口與監控設備直接相連
八、二層鏡像
本地端口鏡像將報文復制一份到遠程觀察端口。?遠程觀察端口將復制來的鏡像報文外層添加VLAN標簽(以便將鏡像報文向中間二層網絡轉發)發給SwitchC。SwitchC將外層VLAN標簽剝掉,發給監控設備。(47條消息) 端口鏡像_曹世宏的博客-CSDN博客_端口鏡像
注:遠程觀察端口鏡像是指觀察端口與監控設備,通過中間網路傳輸鏡像報文。
九、三層鏡像
十、風暴控制
當開啟Strom Control以后就可以監測流量從交換機到接口總線的速度,最高的頻率為每秒進行一次監控,統計每秒出現的數據包。然后將當前流量的速度與配置在設備上的閾值(風暴抑制級別)進行對比。閾值分為上限和下限。當流量的速度達到上限的閾值后,采用相應地處理動作,可配置的動作分為shutdown和trap,直到流量低于下限后,才會恢復正常。
注:shutdown是在當流量達到上限后,將接口限制為error-disable狀態。trap是當流量達到上限后,產生一個snmp trap消息
總結
