网络_交换(冲突域和广播域、交换机原理、VLAN配置、Trunk配置、Trunk的优化)

最新推荐文章于 2023-10-31 23:59:56 发布
最新推荐文章于 2023-10-31 23:59:56 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beatrex/article/details/87861260
版权

一、冲突域与广播域

冲突域环境下,不管设备发送任意类型的数据,都会造成数据冲突。中继器和集线器连接的网络,都属于同一个冲突域。

广播域环境下,只有出现广播数据,其他设备才都会收到此数据。交换机相连的网络处于同一广播域,但是,不同接口处在不同冲突域。
图片摘自网络
如图中所示,中间为一个网桥,连接左右两个部分。左半部分和右半部分属于同一个广播域,也就是任意一台主机发送广播包其他所有的主机都会收到。

左半部分为一个冲突域,右半部分为另一个冲突域。也就是说假如HOST A在发送数据包,左半部分的链路就被HOST A所占用,HOST B 和HOST C此时无法发送数据包。而右半部分不受影响。同理右边也是如此。

二、交换机基本实验

搭建拓扑图如图(添加三台路由器,为其配置不同的模块然后更改图标即可。)
在这里插入图片描述
为PC1和PC2的接口配置ip地址,SW1无需配置。在PC1pingPC2,然后在SW1输入
show mac-address-table查看MAC表
在这里插入图片描述

三、VLAN及其配置

可以用于实现广播域隔离并且实现局域网内部安全互访
查看VLAN
SW1#show vlan-switch brief //查看交换机本地VLAN信息
(默认交换机有1,1002-1005几个vlan,所有接口默认处于VLAN1)
创建VLAN
SW1#vlan database //进入VLAN数据库
SW1(vlan)#vlan 10 name XZ //创建VLAN并给名字
SW1(vlan)#vlan 20 name SJ
SW1(vlan)#exit //保存并退出
将接口放入特定的VLAN
SW1(config)#int f0/0
SW1(config-if-range)#switchport mode access //设置为主机访问接口
SW1(config-if-range)#switchport access vlan 10 //划入具体的VLAN
SW1(config)#int f0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20

在上面的拓扑中,对SW1进行配置
在这里插入图片描述
先通过show vlan-switch brief查看SW1中的VLAN信息
在这里插入图片描述
所有的接口都默认在VLAN1中
然后进行配置,命令如下:

SW1#vlan database 
SW1(vlan)#vlan 10 name V1
VLAN 10 added:
    Name: V1
SW1(vlan)#vlan 20 name V2
VLAN 20 added:
    Name: V2
SW1(config)#int f0/0
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 10
SW1(config-if)#exi
SW1(config)#int f0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 20

再次查看VLAN信息,并通过PC1pingPC2,此时已经无法ping通
在这里插入图片描述
在这里插入图片描述

四、Trunk配置

在上面的拓扑中添加设备如下图,按照上述同样的命令配置好接口及VLAN如图所示
在这里插入图片描述
实现SW1中PC1和PC3可以相互ping通,PC2和PC4相互ping通,其他设备不能互通。

注意两台交换机的连线,只需在SW1和SW2两台交换机上分别配置f0/2和f0/3接口属于VLAN10和VLAN20即可。即当PC1要向PC3发送数据包时,SW1通过f0/2接口发送给SW2然后再发送给PC3。同理,PC2发送给PC4的数据包,SW1通过f0/3接口发送给PC4。

SW1配置命令如下,SW2配置命令同SW1:

SW1(config)#int f0/2
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 10
SW1(config-if)#int f0/3
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 20

命令:
将接口的所有配置全部初始化即删除
default int f0/0
show interface trunk //查看接口的trunk配置

将拓扑中的f0/2或者f0/3线路删除,进行trunk配置
在这里插入图片描述
首先将删除的线路接口关闭,然后清空留下线路的配置,SW1和SW2命令相同

SW1(config)#int f0/3
SW1(config-if)#shutdown
SW1(config)#default int f0/2

然后配置,SW1和SW2命令相同,如下:

SW1(config)#int f0/2
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk

配置完成,对f0/2进行抓包。在PC1上面ping PC3,PC2上面PC4
在这里插入图片描述
在这里插入图片描述
图中红色框圈中的即为相应的vlan

五、Trunk的优化

1.native vlan:

此VLAN不打标签,节省资源,一个交换机只能有一个NATIVE VLAN,默认VLAN1为
本征VLAN。
在这里插入图片描述
即将native vlan设置为流量大的vlan号,此时数据包传输过程中无需增加头部信息

现在将native vlan 修改为vlan10

SW1(config)#int f0/2
SW1(config-if)#switchport trunk native vlan 10 //将默认native vlan改为10

SW2命令同SW1
然后抓包验证
PC1 ping PC3,PC2 ping PC4
在这里插入图片描述
无标签
在这里插入图片描述
有标签

2.allow vlan

设置trunk允许流量通过的vlan。未被允许的vlan则无法进行连通。通过ALLOW VLAN能够限制特定经过的VLAN流量。

延续之前的实验,PC1和PC3、PC2和PC4是可以互通的,这里设置允许VLAN 10也就是PC1和PC3互通,限制PC2和PC4的流量

SW1(config)#int f0/2
SW1(config-if)#switchport trunk allowed vlan 10,1-2,1002-1005

此时,PC1可以ping 通PC3,而PC2不能ping通PC4。即只允许vlan 10的流量通过

BeatRex
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
冲突域广播域详解
qq_20411471的博客
09-18 4121
对端
VLAN之间的通信.docx
05-05
VLAN是一个广播域,不同的VLAN属于不同的广播域,一个VLAN=一个网段,要想实现不同的VLAN之间的通信就必须有网关的存在,网关一般在路由器上,但是路由器的接口比较宝贵,单臂路由很好的实现一个接口通过创建子接口的形式
danbiluyou.rar_vlan_三层交换机_三层组网_交换机_单臂路由
09-22
华为路由器单臂路由实例 阅读提示:在局域网中,通过交换机配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通。 需求:在局域网中,通过交换机配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通。这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q. 组网:路由器E0端口与交换机的上行trunk端口(第24端口)相连,交换机下行口划分3个VLAN,带若干主机.
了解交换机漏洞 如何保护网络核心部分
03-06
交换机在企业网中占有重要的地位,通常是整个网络的核心所在,这一地位使它成为黑客入侵和病毒肆虐的重点对象,为保障自身网络安全,企业有必要对局域网上的交换机漏洞进行全面了解。以下是利用交换机漏洞的五种攻击手段。 VLAN跳跃攻击 虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN. VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机,DTP就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。 VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继; 真实的交换机收到这个DTP消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。图 1表明了这个过程。 中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN. 生成树攻击 生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。 使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥 ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(root bridge)。 根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳路线。比最佳路线来得长的路线不会被使用,除非主通道出现阻塞。 根网桥的工作方式很相似。其他每个交换机确定返回根网桥的最佳路线,根据成本来进行这种确定,而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路(譬如要是主路线出现问题),它们将被设成阻塞模式。 恶意黑客利用STP的工作方式来发动拒绝服务(DoS)攻击。如果恶意黑客把一台计算机连接到不止一个交换机,然后发送网桥ID很低的精心设计的BPDU,就可以欺骗交换机,使它以为这是根网桥,这会导致STP重新收敛(reconverge),从而引起回路,导致网络崩溃。 MAC 表洪水攻击 交换机的工作方式是: 帧在进入交换机时记录下MAC源地址,这个MAC地址与帧进入的那个端口相关,因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率,因为信息流用不着从所有端口发送出去,而只从需要接收的那些端口发送出去。 MAC地址存储在内容可寻址存储器(CAM)里面,CAM是一个128K大小的保留内存,专门用来存储MAC地址,以便快速查询。如果恶意黑客向CAM发送大批数据包,就会导致交换机开始向各个地方发送大批信息流,从而埋下了隐患,甚至会导致交换机在拒绝服务攻击中崩溃。 ARP攻击 ARP(Address Resolution Protocol)欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了 IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。 恶意黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。图2显示了一个ARP欺骗过程,其中ARP请求以广播帧的形式发送,以获取合法用户的MAC地址。假设黑客Jimmy也在网络上,他试图获取发送到这个合法用户的信息流,黑客Jimmy欺骗ARP响应,声称自己是IP地址为 10.0.0.55(MAC地址为05-1C-32-00-A1-99)的主人,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客。 VTP攻击 VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议,它可以减少交换环境中的配置数量。就VTP而言,交换机可以是VTP服务器、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就知道与VTP服务器进行同步。 恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网络上,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网络上。 恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP.黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLANVLAN数据库中移除出去。
如何实现同一交换机广播域的隔离(VLAN)?华为交换机配置样例
weixin_34113237的博客
04-29 2485
华为交换机VLAN配置VLAN的划分是在交换机的基础上建立的,怎样使交换机完成这项工作?在探索之前,先了解网络中的两个区域:什么是冲突域?冲突域是与外界交互的数据必然会送达的区域。在HUB时代,HUB会将接收到某一接口的数据向所有链接它的端口,并不做选路决策,所以HUB组成的网络就是一个典型的冲突域。而在交换机之中具有更智能的选路决策功能,使得交换机一个接口下的网络是一个冲突...
【第五期】计算机网络常识/广播域/冲突域/VLAN
令狐_JackieHao的博客
04-19 6691
【第五期】计算机网络常识/广播域/冲突域/VLAN 文章目录【第五期】计算机网络常识/广播域/冲突域/VLAN一、广播域二、VLAN 一、广播域 如下图,使用一个或多个交换机组成的以太网,所有站点都在 同一个广播域。随着交换机变多,这个广播域的范围也会变大,于是就会出现很多弊端: 广播风暴 难以维护 安全问题 在这个广播域中,其中一个主机想要获取另外一个网段的主机MAC地址,需要发送ARP广播请求获取对方主机的MAC地址。这个广播请求会广播到每一个主机身上,导致广播风暴。于是出现了VLAN技术用于解决
广播域冲突域详解
业余幻想家的博客
10-31 7431
冲突域就是所有节点竞争同一带宽,从一个节点上发出的报文(无论是单播、组播、广播),除这个发送节点和接收节点会接收到相应的报文之外,和它同一个介质(也就是同一台物理设备)上其余所有的节点都会收到不应该出现在这些节点上的报文。一般普遍认为一个 HUB(集线器)就是一个冲突域
php透传接口,为什么都说trunk接口不要透传VLAN1
weixin_42306501的博客
03-12 3000
首先很感谢你的回答,不过你的答案我非常不认可,原因如下:【由于设备所有的接口都默认加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。】什么叫广播风暴,STP就是解决这个问题的,做项目时大部分大部分人都是不会干掉这个vlan的,甚至很多初级工程师使用这个VLAN做管理VLAN。顶多就是组播报文和广播报文泛红到整个二层,一般不会有啥组播报文,广播帧也不多,正...
广播域冲突域
m0_69926138的博客
11-18 8713
广播域冲突域
连接冲突域广播域的设备
qq_48826531的博客
07-29 759
冲突域是一种物理分段,指连接到同一导线上所有工作站的集合、同一物理网段上所有节点的集合或是以太网上竞争同一带宽节点的集合。冲突域表示冲突发生并传播的区域,这个区域可以被认为是共享段。在OSI模型中,冲突域被看作是OSI第一层的概念,连接同一冲突域的设备有集线器、中继器或其它简单的对信号进行复制的设备。其中,使用第一层设备(如中继器、集线器)连接的所有节点可被认为是在同一个冲突域内,而第二层设备(如网桥、交换机)和第三层设备(如路由器)既可以划分冲突域,也可以连接不同的冲突域广播域是指可以接收到同样广播消息
虚拟局域网的配置.doc
07-05
实验二 虚拟局域网的配置 一、实验目的 了解vlan的作用,掌握在一台交换机上划分VLan的方法和跨交换机VLan配置方法 ,掌握Trunk端口的配置方法。理解三层交换原理,熟悉Vlan接口的配置。 二、实验内容 首先,...
计算机病毒与防护:VLAN基础.pptx
06-10
随着主机数量的增加,共享网络中的冲突会越来越严重,交换网络中的广播也会越来越多。 VLAN技术 VLAN能够隔离广播域VLAN 1 VLAN 2 VLAN帧格式 没有携带Tag的帧 携带Tag的帧 0x8100 PRI CFI VLAN ID(12b) 2 ...
冲突域广播域
Enjoy life with sun
03-29 4780
网络互连设备可以将网络划分为不同的冲突域广播域。但是,由于不同的网络互连设备可能工作在OSI模型的不同层次上。因此,它们划分冲突域广播域的效果也就各不相同。如中继器工作在物理层,网桥和交换机工作在数据链路层,路由器工作在网络层,而网关工作在OSI模型的上三层。而每一层的网络互连设备要根据不同层次的特点完成各自不同的任务。   
CCNA
qq_41937385的博客
12-02 938
因为是本人亲自整理,可能难免会出现错误,可以指出来。
VLAN
weixin_52053538的博客
03-30 1万+
#VLAN的概念及意义 对于一台交换机而言,缺省情况下它的所有接口都属于同一个广播域(Broadcast Domain),所谓广播域指的是一个广播数据所能到达的范围。当多台主机连接到同一台交换机时,它们可以直接进行通信(只需配置相同网段的IP地址),而且无需借助路由设备,这种通信行为被称为二层通信。由于这些主机都属于同一个广播域,因此当其中一台主机发出一份广播数据时,连接在交换机上的其他所有主机都会收到这份数据的拷贝,当然,如果交换机在某个接口上收到目的MAC地址未知的单播数据帧时,会将这个数据帧进行泛洪,
对等网主机的通信过程以及原理,很简单
weixin_47556601的博客
07-16 843
pc1在没有在自己的arp缓存表到对应的信息,它就会发送ARP请求报文,这个源ip地址和mac地址是pc1自己的,目的地址ip是对方的,pc1发送的这个目的MacFF-FF-FF-FF-FF(这是一个广播地址,在一个广播域的主机都可以收到),关于广播域的理解可以把它想成同一个网络就可以了,因为在我们的这个对等网当中只有pc1,pc2两台计算机,所以pc2可以收到这个广播地址。对等网采用分散管理的方式,网络中的每台计算机既作为客户机又可作为服务器来工作,每个用户都管理自己机器上的资源。...
网工day2(网络拓扑、冲突域广播域,传输介质)
lzz1187275488的博客
09-14 367
网络拓扑、冲突域广播域,传输介质
计算机网络 —— 冲突域广播域
热门推荐
starter_____的博客
10-17 3万+
一、概念 (1)冲突域 定义:同一时间内只能有一台设备发送信息的范围。 分层:基于OSI的第一层物理层 设备:第二层设备能隔离冲突域,比如Switch。交换机能缩小冲突域的范围,交换接的每一个端口就是一个冲突域。 (2)广播域 定义:如果站点发出一个广播信号,所有能接收收到这个信号的设备范围称为一个广播域。 分层:基于OSI的第二层数据链路层 设备:第三层设备才能隔离广播域,比如Router。路...
IPsec概述
BeatRex的博客
05-03 9145
一、 IPsec VPN简介 是一组基于网络层的,应用密码学的安全通信协议族。IPsec不是具体指哪个协议,而是一个开放的协议族。 设计目标:是在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。 是基于IPsec协议族构建的在IP层实现的安全虚拟专网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 ** IPsec提供的安全服务** 机密性、完整性、数据源鉴别、重传攻击保护、不可否认性 二、 IPsec协议簇安全框
基于交换机vlan路由转发基本原理
最新发布
11-24
基于交换机VLAN路由转发基本原理是将不同VLAN之间的网络流量进行转发和交换VLAN(虚拟局域网)是一种逻辑划分技术,可以将一个物理交换机划分为多个虚拟的子交换机。该交换机需要支持VLAN Routing功能。 VLAN...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值