局域网交换机(Lan Switch)

最新推荐文章于 2020-11-20 16:13:15 发布
最新推荐文章于 2020-11-20 16:13:15 发布
阅读量6.5k 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csucxcc/article/details/1678252
版权

 

交换式以太网的核心设备就是以态网交换机,我们认为在逻辑上所有的交换机都由两部分组成:数据转发逻辑部分和输入/输出接口部分.输入/输出接口部分用语连接网络中其他设备,并经过他们和其他设备通信.数据转发逻辑部分则负责把数据转发到正确的地方.由于各种网络物理上的多样性,不同种类的交换机的输入输出借口部分可能变化很大,但是,所有交换机的数据转发逻辑部分却都是按照IEEE802.1D标准设计的.IEEE802.1D的名字叫做透明桥接协议,这个标准是用语定义透明网桥的.有许多关于网桥和交换机的争议.本质上,他们是一种设备,都是按照IEEE802.1D标准设计的局域网连接设备,他们最本质的区别在于交换机比网桥更加强大:端口更多,处理能力更强,具有一些新特性.事实上, 你完全可以认为交换机是网桥的新名字.

傻儿哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LANSWITCH介绍
05-17
LANSWITCH介绍 原理 使用 技术 应用
局域网交换机安全LAN Switch Security
11-16
英文的,Cisco的,安全技术书,算是经典了,局域网交换机安全方方面面都有说明
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
网桥.路由器.交换机和互连协议
10-04
交换机与路由器的区别   计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起,它们之间并不能进行通信,那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时,就已经暗示这些相互连接的计算机是可以进行通信的,也就是说,从功能上和逻辑上看,这些计算机网络已经组成了一个大型的计算机网络,或称为互联网络,也可简称为互联网、互连网。   将网络互相连接起来要使用一些中间设备(或中间系统),ISO的术语称之为中继(relay)系统。根据中继系统所在的层次,可以有以下五种中继系统:   1.物理层(即常说的第一层、层L1)中继系统,即转发器(repeater)。   2.数据链路层(即第二层,层L2),即网桥或桥接器(bridge)。   3.网络层(第三层,层L3)中继系统,即路由器(router)。   4.网桥和路由器的混合物桥路器(brouter)兼有网桥和路由器的功能。   5.在网络层以上的中继系统,即网关(gateway)。   当中继系统是转发器时,一般不称之为网络互联,因为这仅仅是把一个网络扩大了,而这仍然是一个网络。高层网关由于比较复杂,目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。[1]   路由器、交换机   · 交换机(Switch)是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。现在的交换机分为:二层交换机,三层交换机或是更高层的交换机。三层交换机同样可以有路由的功能,而且比低端路由器的转发速率更快。它的主要特点是:一次路由,多次转发。   ·路由器(Router)亦称选径器,是在网络层实现互连的设备。它比网桥更加复杂,也具有更大的灵活性。路由器有更强的异种网互连能力,连接对象包括局域网和广域网。过去路由器多用于广域网,近年来,由于路由器性能有了很大提高,价格下降到与网桥接近,因此在局域网互连中也越来越多地使用路由器。路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。   就路由器与交换机来说,主要区别体现在以下几个方面:   (1)工作层次不同   最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。   (2)数据转发所依据的对象不同   交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。   (3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域   由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。   (4)路由器提供了防火墙的服务   路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。   交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢
让您和您的朋友像在局域网中一样玩游戏。-C/C++开发
05-26
switch-lan-play让您和您的朋友像在LAN中一样玩游戏。 互联网| [SOCKS5代理](可选)| ARP,IPv4 | switch-lan-play让您和您的朋友像在LAN中一样玩游戏。 互联网| [SOCKS5代理](可选)| ARP,IPv4 | LAN数据包交换机PC(lan-play)服务器UDP注意:该项目处于早期阶段。 该协议可能会经常更改。 用法要与您的朋友一起玩,您和您的朋友应该运行lan-play c
华为设备初始用户名/密码
u011727262的博客
04-05 4万+
华为设备初始用户名/密码
华为交换机路由器最新默认密码大全
热门推荐
收集盒 Book box
11-01 15万+
华为交换机路由器最新默认密码大全包括console、telnet、web、bootrom登陆,框式与合式设备,是目前最全的密码大全 版本 缺省用户名 缺省密码 缺省级别(级) Console口/telnet登录(框式&盒式) V1R3C00 无 无 无 V1R5C
华为交换机lanswitch配置实例手册_思科交换机 MSTP 配置实例
weixin_39987120的博客
11-20 1443
一、前言MSTP 的全称是多生成树协议(Multiple Spanning Tree Protocol),它是目前最完美而且兼容性最好的公有生成树协议。本文将介绍一些生成树相关的知识以及如何在思科交换机上使用 MSTP。二、知识普及2.1 传统生成树协议的缺陷我们都知道,公有的 STP 和 RSTP 都只能在一台交换机上创建一个生成树实例(这个实例叫做 CST,即公用生成树)。虽然这样可以节省交换...
网络高可用】华为交换机/路由器链路聚合
吴业亮的专栏
06-26 3万+
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng一、 基本知识 1、概述 链路聚合(Link Aggregation)是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法。随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出越来越高的要求。在传统技术中,常用更换高速率的接口板或更换支持高速率接口板的设备
lanswich交换机远程TELNET登录
天各一方的专栏
10-09 3181
        功能需求及组网说明telnet配置『配置环境参数』PC机固定IP地址10.10.10.10/24SwitchA为三层交换机,vlan100地址10.10.10.1/24SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24交换机SwitchA通过以太网口etherne
LAN SWITCH典型配置实例
06-30
LAN SWITCH典型配置实例【CHM】 Quidway®系列LAN SWITCH典型配置实例
华为交换机Lanswitch配置实例手册
01-08
华为交换机Lanswitch配置实例手册
Lan_Switch_Security
12-17
局域网环境中,对交换机的安全进行介绍。
华为交换机lanswitch配置实例手册
10-26
华为交换机lanswitch配置实例手册.rar 华为交换机lanswitch配置实例手册.rar
路由器默认初始密码集合
02-05
路由器管理密码是设置路由器的入门前提。不同品牌的路由器,其管理密码也各不相同。本文提供了市面绝大多数品牌路由器的初始管理密码,以方便查询和使用。
网络】VLAN 及其配置详解
边扯边淡
06-18 4602
起序:网络中存在的大量的广播,这些广播有很多的危害。比如: 大规模耗用链路带宽,使得正常数据不能得到有效传输。 造成交换机资源被占用,导致死机。 解决 广播 的常用的方法就是 VLAN ,下面会介绍几种方法。 一、概述 工作在交换机上,也就是工作在二层(MAC 层)。 VLAN:虚拟局域网(Virtual Local Area Network),简称 VLAN 或 V-LAN,是一种建构于局域网交换技术(LAN Switch)的网络管理的技术。 作用:降低局域网内大量数据流通时,因无用报文过多导致拥塞
配置静态路由
一杯咖啡的博客
10-24 96
ROUTE ADD -p 需要配置的IP地址 MASK 255.255.0.0 路由IP地址 METRIC 20
Android通过蓝牙获取设备的通讯录、通话记录等
bingsiju123123的专栏
11-07 1万+
本功能实现方案流程如下: 1、在AndroidManifest文件中添加蓝牙相关权限; 2、通过静态或者动态注册广播的形式,监听蓝牙设备的状态(本文以动态监听的方式实现); 3、根据已实现广播的回调状态判定是否需要读取连接设备的通讯录、通话记录等内容(只有在设备已配对成功的情况下才能读取连接设备的通讯录、通话记录等信息); 4、在设备配对成功的情况下,读取连接设备的通讯录、通...
网络 L2 switch L3 switch
最新发布
09-08
L2 switch和L3 switch网络中常见的两种交换设备。L2 switch,即二层交换机,主要工作在数据链路层,使用MAC地址进行数据传输和转发。它能够根据MAC地址学习并记录端口与MAC地址之间的对应关系,并通过交换表来实现数据的快速转发。L2 switch通常用于构建局域网LAN),提供内部网络设备之间的通信。 L3 switch,即三层交换机,不仅可以工作在数据链路层,还可以工作在网络层。它具备L2 switch的所有功能,并且能够实现路由转发。L3 switch在进行数据转发时,不仅会根据MAC地址进行转发,还根据IP地址进行路由选择,选择最佳路径将数据包传送到目标主机。这种"一次路由,多次交换"的机制使得L3 switch能够像L2 switch一样快速地进行转发。L3 switch通常用于构建大型网络,实现不同子网之间的通信。 总结来说,L2 switch主要通过MAC地址进行数据转发,用于局域网内部的通信;而L3 switch在L2 switch的基础上,还可以进行路由转发,用于不同子网之间的通信。在网络中,L2 switch和L3 switch的作用不同,根据具体的需求和网络规模选择适合的交换设备是很重要的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值