6.OSI七层模型及交换机工作原理及VLAN（虚拟局域网）及VTP（vlan同步技术）

交换机工作原理及VLAN（虚拟局域网）

❤OSI参考模型：从下往上，第一层是物理层
物理层：在设备之间传输比特流（以010101这样的二进制进行传输，以电信号的形式进行传输，0没有,1有）
物理层给线缆（制定标准）、光纤（传输速率等）等做一个标准

数据链路层：数据在数据链路层进行传输时以数据帧的形式来进行传输，可以进行差错控制
国际化标准
交换机工作在数据链路层，所以叫二层设备

网络层：提供逻辑寻址（IP寻址）
路由器工作在网络层，主要是做路由寻址
网络层数据传输时是封装成数据包
IP协议
主要是通过源IP地址和目标IP地址进行通信

传输层：
最重要的协议TCP/UDP
在传输前进行纠错
通过协议的端口号来进行通信
传输时封装一个端口

会话层：将不同应用程序的数据分类，建立一个会话连接

表示层：数据在发送时是以什么样的格式，如是否进行加密或把它表示成某一种格式

应用层：程序，如QQ软件、微信，这些都是属于应用层的

交换机:
MAC表
Command>ipconfig /all（查看PC机的MAC地址）(Pysical为MAC地址)
交换机：
Switch#show mac-address-table
IP地址对应MAC地址（arp协议解析）
❤交换机是怎么工作的：
当交换机接收到数据帧时，会将源MAC地址添加到MAC表中，如果MAC表中有目标MAC地址，则单播，没有则广播，广播后目标机发送数据帧给交换机，交换机将目标MAC地址添加到MAC表中，并单播发送给源PC机。（MAC表300秒内有效）
DESTION ADRESS为全F（广播）
ARP欺骗：
MAC泛洪攻击
端口安全：限制数量 （限制IP地址的数量）

一、数据链路层与交换机

1、数据链路层的功能
数据链路层
–位于网络层与物理层之间

2、以太网
以太网工作在数据链路层

3、以太网MAC地址
以太网地址用来识别一个以太网上的某个单独的设备或一组设备。
MAC地址是由48位二进制数组成的，以十六进制数表示。前24位称为OUI（组织唯一标识符），后24位是厂商对网卡的唯一编号，第8位如果是0表示单播地址，是1表示组播地址。
交换机有一个基本MAC地址，每一个端口对应一个MAC地址

MAC地址的表示方式，由16进制表示，总共48位，前面24位是供应商标识，后面24位是厂商生成这个设备的唯一的编号。
如果是单播地址，则物理地址为0
如果是组播地址，则物理地址为1

4、以太网帧格式

类型长度：0x0800为IPV4地址
0x86DD为IPV6地址
FCS：帧校验序列
数据链路层传输数据是以数据帧的格式发送的
目的地址和源地址都是MAC地址

5、MAC子层与LLC子层
数据链路层有两个子层，是MAC层，LLC子层（逻辑链路控制层），数据链路层是通过这两层来进行数据通信的。
介质访问控制（MAC）子层（802.3）（MAC子层的标准是802.3）
将上层交下来的数据封装成帧进行发送(接收时迚行相反的过程，将帧拆卸)；
实现和维护介质访访问控制协议，例如CSMA/CD；
比特差错检测；
MAC帧的寻址，即MAC帧由哪个站（源站）収出，被哪个站／哪些站接收（目的站）。

ARP协议
MAC地址表：将端口与MAC地址对应
计算机的地址由IP地址和MAC地址组成
PC>ipconfig /all
physical为MAC地址
路由器：
Switch#show mac-address-table （查看mac地址表）（在没有通信前是空的）
PC机>ping 192.168.10.2
arp解析成功后才是icmp，然后才开始进行通信
PC机：
PC>arp -a 查看ARP表
ARP协议：是建立通信的前提，将MAC解析成Ip地址
RARP：反向，将IP解析成MAC

❤交换机是通过MAC地址进行通信，第一次通信是发送广播，广播寻找到目地MAC地址，然后进行通信，如果MAC地址表已经有了记录，就不再广播，而是单播。

逻辑链路控制（LLC）子层（802.2）（LLC子层的标准是802.2）
建立和释放数据链路层的逻辑连接；
提供与上层的接口；
给帧加上序号。

6、以太网命名方法
N－信号－物理介质
N：以兆位为单位的数据速率，如10、100、1000
信号：基带还是宽带
物理介质：标识介质类型
举例：100BASE-TX

7、以太网交换机
交换机是用来连接局域网的主要设备。
交换机能够根据以太网帧中目标地址智能的转发数据，因此交换机工作在数据链路层。
交换机分割冲突域，实现全双工通信，存储，过滤转发。

二、❤交换机的数据转发原理（记住）❤

1、交换机的数据转发原理

举例1：主机11给主机33发送一个数据帧
交换机A：
在接收到数据帧后，执行以下操作：
交换机A查找MAC地址表
交换机A学习主机11的MAC地址
交换机A向其他所有端口发送广播
主 机22：
查看数据包的目标MAC地址不是自己，丢弃数据包
交换机B：
在接收到数据帧后，执行以下操作：
交换机B查看MAC地址表
交换机B学习源MAC地址和端口号
交换机B向所有端口广播数据包
主 机33：
接收到数据帧
主 机44：
丢弃数据帧
在这个过程中，交换机的MAC地址表中没有需要的条目，交换机通过广播方式转发了数据帧，MAC地址表老化时间300秒。（300秒没有通信的话，MAC地址表就会清空）

举例2：主机44给主机11发送一个数据帧
交换机B：
在接收到数据帧后，执行以下操作：
交换机B查看MAC地址表
交换机B学习源MAC地址和端口号
交换机B直接从端口1发送给交换A
交换机A：
在接收到数据帧后，执行以下操作：
交换机A查找MAC地址表
交换机A学习源MAC地址和端口号
交换机A直接向11转发数据
主 机11：
接收到数据帧

在这个过程中，交换机的MAC地址表中已经学到了需要的条目，交换机通过单播的方式，转发了数据帧

交换机的转发原理是：
转发
交换机根据MAC地址表单播转数据帧
学习
MAC地址表是交换机通过学习接收的数据帧的源MAC地址来形成的
广播
如果目标地址在MAC地址表中没有，交换机就向除接收到该数据帧的端口外的其他所有端口广播该数据帧
更新
交换机MAC地址表的老时间是300秒
交换机如果发现一个帧的入端口和MAC地址表中源MAC地址的所在端口不同，交换机将MAC地址重新学习到新的端口。

2、单工、半双工与全双工
单工：只有一个信道，传输方向只能是单向的
半双工：只有一个信道，在同一时刻，只能是单向传输
全双工：双信道，同时可以有双向数据传输

3、冲突与冲突域
集线器起信号放大的作用，共享带宽
载波帧听（帧听发送的数据，避免产生冲突）
集线器所有端口在一个冲突域，如果冲突过多，则传输效率就会降低
交换机分割冲突域，一个接口为一个冲突域（发送数据时相互之间互不影响）

4、冲突域与广播域
交换机的所有接口都在一个广播域
广播域指接收同样广播消息的节点的集合，如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都认为是广播帧的一部份。
交换机分割冲突域，但是不分割广播域，即交换机的所有端口属于同一个广播域。

三、交换机的基本配置

1、交换机的访问方法

2、交换机的启动

3、交换机的配置模式
用户模式：Switch>
特权模式：Switch>enable
Switch#
全局配置模式：Switch#config terminal
Switch(config)#
接口配置模式： Switch(config)#interface fa0/1
Switch(config-if)#
Line模式：Switch(config)#line console 0
Switch(config-line)#

4、端口安全
交换机的5种攻击类型
VLAN跳跃攻击
生成树攻击
MAC 表洪水攻击（解决方法：限制地址数）
ARP攻击（伪造地址）（解决方法：MAC地址绑定，设置一个接口只能连接某一个MAC地址）
VTP攻击

交换机的每个端口连接一个计算机，每个端口对应一个MAC地址
一个交换机最多能存几万个MAC地址

端口安全指对交换机的端口进行安全属性的配置，从而控制用户的安全接入。
交换机端口安全主要有两种类型，一是限制交换机端口的最大连接数，从而控制交换机端口下连接的主机数，防止用户进行恶意的ARP（地址解析协议，即ARP【Address Resolution Protocol】）欺骗；二是针对交换机端口时行MAC地址、IP地址的绑定，从而实现对用户的严格控制。
对安全违例的处理方式有以下3种。
① protect 当安全地址个数满后，安全端口将丢弃未知名的地址包
② restrict 当违例产生时，将发送一个Trap通知
③ shutdown 当违例产生时，将关闭端口并发送一个Trap通知
trap，指被管理设备（代理）上报的陷阱报文，表明设备发生故障或变更的主动通知。
交换机端口安全功能只能在Access接口进行配置

实验1 :交换机端口安全配置（通过限制交换机的最大连接数，以及交换机的mac地址绑定来进行端口安全的设置）
连一个集线器：

Switch#show mac-address-table

PC0：ping 192.168.10.3
PC1:ping 192.168.10.3
Switch 0:
Switch#show mac-address-table

添加几台PC机：

端口安装配置，限制最大数
为了防止泛洪攻击，设置只允许连接两台
Switch(config)#interface F0/1
Switch(config-if)#switchport mode access（设置端口的模式为access，数据访问模式）
Switch(config-if)#switchport port-security（开启端口安全）
Switch(config-if)#switchport port-security?

Switch(config-if)#switchport port-security maximum 2 限制端口最大数为2（设置最大连接数为2）
#no switport port-security maximum 2 删除配置最大连接数
Switch(config-if)#switchport port-security violation ?
（这里有三种模式：protect 丢包（没有任何回应，直接把包丢弃掉），restrict 拒绝（明确拒绝，有回应） shutdown 关闭（直接把端口关闭））
Switch(config-if)#switchport port-security violation shutdown （处理方式为关闭端口）（超过两台就shutdown）
第一台PC机ping 192.168.10.3
第二台PC机ping 192.168.10.3
第三台ping 192.168.10.3时交换机端口关闭了
如果交换机端口已经关闭了，如何开启交换机端口：
交换机Switch(config)#int f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown

端口安全配置：绑定MAC地址（设置某一个端口只能某一个MAC地址通信）
Switch(config-if)#show running-config

#no switport port-security maximum 2 删除配置最大连接数
Switch(config-if)#switchport port-security mac-address 00D0.5818.D95D（要绑定的MAC地址）绑定MAC地址
Switch(config-if)#switchport port-security violation shutdown（如果不是指定MAC地址就关闭端口）
指定MAC的PC机连接指定端口(f0/1)ping 192.168.10.3能实现通信
断开指定pc机，添加一台新的PC1机，非指定MAC的PC机连接指定端口(f0/1)，ping 192.168.10.3则交换机端口关闭

switch>enable
switch#config terminal
switch(config)#int fastethernet 0/1
switch(config-if)#speed 100 /设置fastethernet0/1端口速率为10Mbit/s
switch(config-if)#duplex full /设置fastethernet0/1端口为全双工
switch(config-if)#no shutdown /启用端口
switch(config-if)#switchport mode access /设置当前端口为Access
Switch(config-if)#switchport port-security /打开当前端口安全功能
Switch(config-if)#switchport port-security maximum 1 /设置端口安全地址的最大个数
Switch(config-if)#switchport port-security violation shutdown /配置处理违例的方式
Switch(config-if)#switchport port-security mac-address 0001.C7E9.6EC0 /配置安全地址
Switch(config-if)#switchport port-security violation shutdown /配置处理违例的方式

四、VLAN（虚拟局域网）概述

默认情况下，交换机的所有端口都在一个广播域，也就是在同一个网络。

交换机的所有端口都在一个广播域，如果计算机数量增多会产生广播风暴。
为了避免广播风暴，在交换机上可以采用虚拟局域网技术（Vlan）

如果要在交换机中划分vlan，前提是这个交换机必须是可管理型交换机。

划分vlan的方法？基于端口，基于MAC地址，基于协议…
交换机的所有接口默认都属于vlan1（vlan1不能用来作管理用）
交换机:Switch0#show vlan brief 查看vlan信息

VLAN配置：
一层楼交换机配置：

划分Vlan：
创建vlan：
Switch#config t（进入全局模式）
Switch(config)#vlan 10 （划分Vlan）
Switch(config-vlan)#name xsb （修改vlan名称）

vlan编号可以是1到1005

Switch(config)#vlan 20
Switch(config-vlan)#name rsb
将端口分配给对应的vlan
Switch(config)#int range f0/1-10（同时选中这10个端口）
将端口加入到vlan:
Switch(config)#int f0/1
Switch(config-if)#switchport mode access（设置端口模式为access）（switchport mode（端口模式）如果是access模式，接入模式，连接终端（PC机）设备，如果是trunk模式（干道模式），连接设备，如交换机）

cisco网络中，交换机在局域网中最终稳定状态的接口类型主要有四种：access/ trunk/ multi/ dot1q-tunnel。
　　1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。
　　2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。
3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。
　　4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

witch(config-if)#switchport access vlan 10（将端口加入到vlan 10）
Switch(config)#int f0/2
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 20
同时选中多个端口:
Switch(config)#int range f0/3-4
Switch(config-if-range)#sw mo acc
Switch(config-if-range)#sw acc vlan 20
Switch(config-if-range)#（多端口模式）
查看vlan是否划分正确并且端口是否加入到了对应的vlan:
Switch#show vlan brief
#show interface trunk
#show vlan

假设vlan划分错误，端口也加入错误，怎么办？
Switch(config)#vlan 30
Switch#show vlan brief
Switch(config)#int f0/20
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 30

Switch(config)#vlan 40
Switch#show vlan brief
Switch(config)#int f0/21
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 40

Switch#show vlan brief

Switch(config)#int f0/21
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 1
Switch(config-if)#end
Switch#show vlan brief

Switch(config)#int f0/20
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 1
Switch(config-if)#end
Switch#show vlan brief

Switch(config)#no vlan 30
Switch(config)#no vlan 40

另一种情况：
Switch(config)#vlan 30
Switch(config)#int f0/21
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 30
Switch(config-if)#end
Switch#show vlan brief

Switch(config)#no vlan 30
Switch#show vlan brief
会发现21端口不见了

#show running-config 会发现21端口在vlan30

解决办法：
Switch(config)#int f0/21
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 1
Switch(config-if)#end
Switch#show vlan brief

如何实现跨设备的同一vlan通信：

把连接交换机的两个端口设置为trunk模式
Switch(config)#int f0/24
Switch(config-if)#sw mo trunk

二层设备不提供路由寻址
二层楼交换机配置：
Switch(config)#int range f0/1-2
Switch(config-if-range)#sw mo acc
Switch(config-if-range)#sw acc vlan 10
Switch(config-if-range)#exit
Switch(config)#int range f0/3-4
Switch(config-if-range)#sw mo acc
Switch(config-if-range)#sw acc vlan 20
查看vlan配置信息：Switch#sh vlan brief

五、vlan间通信

1、trunk技术
（1）封装
ISL（思科私有）：是在数据帧前加26字节，尾加4字节
802.1Q（工业标准）：是在数据帧中插入4字节，打标签
802.1Q Native Vlan：默认vlan1不打标，作管理用（没有trunk不同交换机无法判断是否在同一vlan）

（2）模式
Mode DTP send DTP Response
------------------------------------------------
Access - -（一端为trunk，一端为access模式不能通信）
Trunk Y Y （两端为trunk模式能通信）
Desirable Y Y 企望 （一端为trunk，一端为Desirable（企忘模式）能通信）
Auto N Y 自动（默认为auto模式，一端为trunk，一端为Auto能通信）
Nonegotiate N N 不协商（一端为trunk，一端为Nogotiate模式不能能通信）

如果两个交换机之间其中一段设置了access模式，另一端为trunk是不能通信的，两个交换机其中一个设置trunk就能通信

通过发送DTP消息协商trunk链路
一端为trunk，一端为auto，协商后能通信
一端为trunk，一端为Nonegotiate，协商后不能通信
查看交换机上有哪些端口为trunk端口：
Switch#show interface trunk（查看端口状态）
Mode为on表示设置为trunk模式

查看f0/24端口的详细信息：
Switch#show interfaces f0/24 switchport

对vlan数据进行设置：
Switch(config)#int f0/24
Switch(config)#switchport trunk allowed vlan 10,1（只允许这两个通过）

如何实现不同vlan间通信：
必须要用到三层设备：三层交换机或路由器

默认情况下vlan1是不需要打标的，不同vlan就需要打标
使用交换机实现不同vlan间通信：
Multilayer Switch0
Switch(config)#SW1
Switch0
Switch(config)#SW2
Switch1
Switch(config)#SW3

trunk端口是不能加人到vlan的

三层交换机的配置：

1.连接几个网络就要划分几个vlan
SW1(config)#vlan 10
SW1(config-vlan)#name rsb
SW1(config-vlan)#vlan 20
SW1(config-vlan)#name xsb

2.将端口设置为trunk（三层交换机）
SW1(config)#int f0/1
SW1(config-if)#switchport trunk encapsulation dot1q（封装为dot1q）
SW1(config)#switchport mode trunk

3.开启三层交换功能（三层交换机默认情况下只有二层功能，要开启三层交换功能）
SW1(config)#ip routing 开启路由功能

4.设置SVI虚拟接口分别作为vlan10 vlan 20的网关
SW1(config)#int vlan 10
SW1(config-if)#ip add 192.168.10.254 255.255.255.0（给vlan10设置一个IP地址）
SW1(config)#int vlan 20
SW1(config-if)#ip add 192.168.20.254 255.255.255.0

5.为PC机设置IP地址
PC机IP地址在vlan所在网段
PC机的网关地址设置为vlan的ip地址

测试：10网段的PC机ping 20网段的PC机（如果不通试一下ping网关能不能通192.168.10.254）
R#w（保存）
R#reload（重启）

检查三层交换机和二层交换机接口是否设置为trunk
检查路由功能是否开启（可在running-config中查看）
查看是否设置路由器地址
检查PC机的地址是否和路由器接口在一个网段

三层交换机排错：

1. 检查vlan
   #show vlan

2. 检查SVI虚拟接口及IP地址
   #show ip interface brief
   状态为up状态

3. 检查trnuk链路
   #show interface trunk

4. i、p routing
   #show ip rount 查看路由表
   C直连网络
   S静态路由，手动添加的
   I ICRP协议学习到的
   R rip协议学习到的

R1(config)#no ip routing（关闭路由功能）
#show ip routing 关闭路由功能则没有路由表，能查看路由表则路由功能是开启的

5.PC机的网关设置是否正确
（网关地址为vlan的ip）

（3）查看trunk信息
Switch(config-if)#switchport mode trunk
Switch#show interfaces trunk
Switch(config-if)# switchport trunk allowed vlan 10
Switch(config-if)# switchport trunk native vlan1

（4）不同交换机相同vlan间通信

（5）不同vlan间通信
使用三层交换机，起SVI接口，打开路由
单臂路由
①使用三层交换机实现不同vlan间通信
第一步：划分vlan
三层交换机：Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
第二步：trunk链路
三层交换机：Switch(config-if)#switchport trunk encapsulation dot1q

 第三步：开启SVI接口作为相应vlan客户端的网关
            Switch(config)#int vlan 10

Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#int vlan 20
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#ip routing 开启路由功能

第四步：为客户机设置网关地址

六、VTP技术（vlan同步技术）

1、VTP是将所有vlan信息打包并通过trunk链路进行传输使vlan同步。
2、通过域（Domain）来同步的。（域名，表示在哪个范围内同步）
3、password
4、version
5、模式

| | server | client | Transparent|

|增删改vlan信息 V X V
|转发VTP信息 V V V
|同步VTP V V X
|保存在NVRAM中 V X V

三种模式：server模式
通过配置版本号（修改次数/修订版本号）实现

在VTP中谁与谁同步，不是由角色决定，而是由修订/配置版本号决定
版本号大的vlan信息将完全覆盖版本号低的vlan信息
在向网络中添加交换机时一定要注意版本号的大小，建议把模式改为透明模式

SW1(config)#vtp domain ccie 配置域名
SW1(config)#vtp mode server server模式
SW1(config)#vlan 10
SW1(config)#t vlan 20
SW1(config)# vlan 30
SW1#show vtp status 查看vtp信息
做了三次修改configrue Rersion配置版本号为3

SW2(config)# vtp domain ccie 配置域名
SW2(config)#vtp mode transparent
SW2(config)# lan 100
SW2(config)#vlan 200
SW2(config)#vlan 300
SW1#show vtp status 查看vtp信息
该模式不统计次数

SW3(config)# vtp domain ccie 配置域名
SW3(config)#vtp mode client
SW3(config)#int vlan 500
client模式不允许添加
SW3(config)#show vlan
发现vlan未同步

SW2(config)#int range f0/1-2
SW2(config)#sw mo trunk
SW3(config)#show vlan
同步成功，有SW1的vlan

SW2只作转发，不同步

将SW3设置为server，添加或修改vlan，然后再设置为client模式，SW3的版本号比SW1大，所以会同步SW3
Switch#sh vtp status
Switch#sh vtp password

思考：
1、两台交换机，vtp域名为aa,password为123456，同为server。谁同步谁的vlan信息？
2、同步的结果是覆盖还是新增？
3、新加入一台交换机，vtp模式为client，版本号要高于server，会导致什么后果？
4、新加入一台交换机，vtp模式为client，不配置域名，vlan信息会不会同步？