交换设备发展过程
1、中继器(一层设备)
数据增强转发
2、集线器(一层设备)
泛洪数据,将数据向除了接收端口外的其他端口做泛洪处理--------------所有接口在一个冲突域
3、网桥(二层设备)
能够根据Mac地址进行转发
4、交换机(二层设备)
“多接口网桥”,隔离冲突域,一个接口是一个冲突域,所有接口在一个广播域
5、路由器(三层设备)
路由转发,隔离广播域
交换机工作原理:
1、学习Mac地址,建立Mac地址表
2、打上相应PVID(port VLAN id)
3、转发方式选择 IG=0单播,IG=1广/组播
1)广播、组播----泛洪
2)单播
Mac地址表中能查询到的已知单播
直接转发
Mac地址表中查询不到的未知单播
泛洪
4、保持tag或去掉tag转发
access、trunk、hybrid收发原则
| 交换机端口类型 | 收 | 发 | 特点 |
| access | 1、没有tag的数据帧 打上接口的PVID后接收 2、有tag的数据帧 看是否与接口PVID相同 相同接收 不相同不接收 | 去标签转发 | 只能属于一个VLAN 用于连接终端设备的接口 |
| trunk | 1、没有tag的数据帧打上接口的PVID后 检查该PVID是否在allow-pass列表 在接收 不在不接收 2、有tag的数据帧 检查该PVID是否在allow-pass列表 在接收 不在不接收 | 检查PVID是否在allow-pass列表中 不在不转发 在,就需要看数据帧的tag是否与接口PVID相同 相同,untagged去标签转发 不相同,tagged带标签转发 | 作为干道,可以属于多个VLAN trunk在转发时只能去掉一个tag进行转发(与接口PVID相同的) |
| hybrid | 1、没有tag的数据帧打上接口的PVID后 检查该PVID是否在tagged/untagged列表 在接收 不在不接收 2、有tag的数据帧 检查该PVID是否在tagged/untagged列表 在接收 不在不接收 | 检查PVID是否在tagged/untagged列表中 不在不转发 在,就看是在哪一个列表中 在tagged列表中带标签转发 在untagged列表中去标签转发 | 能够去掉多个tag进行转发(所有在untagged列表中的VLAN) |
trunk接口去标签转发的意义:
减少打标的资源消耗,针对某一个vlan不打标转发
问题:double tag进行攻击
携带有两层tag标签,外面一层PVID1,属于默认VLAN,trunk接口默认去标签转发,内层标签设为需要攻击的VLAN,当去标签转发后,内层标签漏出来,可以起到攻击的作用
解决方案:网络管理
1、Vlan 999----来宾vlan,把不用设备接口都放入vlan999
2、没有用的接口,shutdown
hybrid接口存在意义:
1、统一配置
2、实现同一网段不同VLAN之间的互访
3、指定去标签转发的vlan
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
