目录
Ethernet/802.3 LAN简介
Ethernet/802.3网络的关键要素
系统将以太网信号传送到连接在LAN 中的每一台主机,传送时使用一个特殊的规则集来确定哪台工作站可以访问网络。以太网所使用的规则集是基于IEEE 载波侦听多路访问/冲突检测 (CSMA/CD)技术。
在CSMA/CD接入方法中,要发送报文的所有网络设备必须在发送之前进行侦听。
如果设备检测到来自其它设备的信号,它就会等待特定的时间的后再尝试发送。
如果没有检测到流量,设备将发送报文。在发送过程中,设备仍会继续侦听LAN中的流量或冲突。报文发送之后,设备将恢复默认侦听模式。
如果设备之间的距离造成一台设备的信号延时,也就是说,另一台设备无法检测到信号,则另一台设备可能也会开始发送。那么,现有两台设备同时在介质中发送信号。
报文将在介质中传播,直到相互碰头。此时,双方的信号就会混合,报文被损坏,从而形成冲突。
检测到冲突之后,发送设备将发出堵塞信号。堵塞信号通知其它设备发生了冲突,以便它们调用回退算法。
回退算法将使所有设备在随机时间内停止发送,以让冲突消除。
交换LAN 网络中的通信以三种方式进行:单播、广播和组播:
当前以太网帧标准,即修订后的IEEE 802.3 (Ethernet)的结构
Ethernet MAC address
用于以太网通信的双工设置有两种:半双工和全双工.(还有单工)
半双工(CSMA/CD):单向数据流,冲突可能性高,集线器连接
全双工:仅限点对点,冲突可能性高,需要两端都支持全双工,无冲突,冲突检测电路禁用。
Ethernet/802.3 网络的设计考虑因素
带宽和吞吐量
- 共享以太网络的节点数量将影响网络的吞吐量或效率。
冲突域
- 冲突域是指发出的帧可能产生冲突的网络区域。
- 所有共享介质环境(例如使用集线器创建的介质环境)都是冲突域。
- 交换机为每个网段提供专用带宽,因此减少了网段上的冲突,并提高了网段上的带宽使用率。
广播域
- 交换机收到广播帧时,它将该帧转发到自己的每一个端口。(接收该广播帧的传入端口除外)。
网络延时
- 延时是一个帧或一个数据包从源工作站到达最终目的地所用的时间。延时有至少三个来源。
网络拥塞
- 以下是网络拥塞最常见的原因:
(1)计算机和网络技术的功能日益强大。
(2)网络流量日益增加。
(3)高带宽应用程序。
将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。
使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。
- 交换机通常用于将大型LAN 分割成很多更小的网段。虽然LAN交换机缩小了冲突域的规模,但是连接到交换机的所有主机仍都处于同一个广播域中。
- 用路由器创建更多、更小的广播域将减少广播流量,并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络,广播流量的范围仅限于发出该广播的LAN网段内。
【1】每个路由器缩小了LAN上广播域的规模
【2】 每个交换机将LAN上的冲突域规模缩小为单条链路。
LAN 设计考虑因素
控制网络延时
- 在设计网络以减少延时时,需要考虑网络上每一台设备所引起的延时。
- 使用更高层的设备也可能增加网络延时。
(1)当第3层设备(例如路由器)需要检查帧中包含的第 3 层寻址信息时,它必须比第 2 层设备更深入地读取帧,这将造成处理时间更长。.
(2)适当使用第3层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。
消除瓶颈
- 网络中的瓶颈是高网络拥塞导致性能下降的位置。
使用交换机转发帧
交换机转发方法
交换机使用下面的两种转发方法之一来进行网络端口间的数据交换:存储转发交换或直通交换。
对称交换和非对称交换
根据带宽分配给交换机端口的方式,LAN交换机可分为对称或非对称两类。
对称交换机:交换机上的每一个端口都分配相同的带宽
非对称交换机:连接服务器的端口分配了更多带宽。(带宽分配不一致)。
内存缓冲
以太网交换机在转发帧之前,可以使用缓冲技术存储帧。
当目的端口由于拥塞而繁忙时,也可以使用缓冲,交换机将一直存储帧,直到可以传送该帧。
将内存用于存储数据的功能称为内存缓冲
基于端口的内存 | 在基于端口的内存缓冲中,帧存储在链接到特定传入端口的队列中 |
共享内存 | 共享内存缓冲将所有帧都放入公共内存缓冲区中,公共缓冲区由交换机上的所有端口共享 |
第2层交换和第3层交换
第2层LAN交换机只根据OSI数据链路层(第2层)MAC地址执行交换和过滤。第2层交换机对网络协议和用户应用程序完全透明。第3层交换机不仅使用第2层MAC地址信息来作出转发决策,而且还可以使用IP地址信息。
第3层交换机还能够执行第3层路由功能,从而省去了LAN上对专用路由器的需要。
第3层交换机
- 第 3 层交换机通过检查以太网数据包中的第 3 层信息来作出转发决策。
- 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。
路由器
- 建立与远程网络和设备的远程访问连接。
- 专用路由器在支持WAN接口卡 (WIC)方面更加灵活,这使得它成为用于连接 WAN的首选设备,而且有时是唯一的选择。
第3层交换机不能完全取代网络中的路由器。路由器不仅可以执行第3层交换机无法完成的其它第3层服务,还能够执行第3层交换机所无法实现的一些数据包转发任务,例如建立与远程网络和设备的远程访问连接。
功能 | 第三层交换机 | 路由器 |
第三层路由 | 支持 | 支持 |
流量管理 | 支持 | 支持 |
WIC支持 | 支持 | |
高级路由协议 | 支持 | |
线速路由 | 支持 |
交换机管理配置
切换命令行界面模式
作为一项安全功能,Cisco IOS软件将 EXEC(执行)会话分成以下访问级别
- 用户执行:只允许用户访问有限量的基本监视命令。用户执行模式是在从 CLI 登录到 Cisco 交换机后所进入的默认模式。用户执行模式由 > 提示符标识。
- 特权执行:允许用户访问所有设备命令,如用于配置和管理的命令,特权执行模式可采用口令加以保护,使得只有获得授权的用户才能访问设备。特权执行模式由 # 提示符标识。
Cisco IOS软件的命令模式结构采用分层的命令结构。每一种命令模式支持与设备中某一类型的操作关联的特定Cisco IOS命令。
使用帮助
Cisco IOS CLI提供了两种类型的帮助:
- 词语帮助
- 命令语法帮助
控制台错误消息
-当输入了不正确的命令时,控制台错误消息有助于确定问题。
访问命令历史记录
Cisco CLI提供已输入命令的历史记录。对于命令历史记录
功能,可以完成以下任务:
-显示命令缓冲区的内容。
-设置命令历史记录缓冲区大小。.
-重新调用存储在历史记录缓冲区中的先前输入的命令。每一种配置模式都有相应的缓冲区。
交换机启动顺序
启动加载器是存储在 NVRAM中的小程序,并且在交换机第一次开启时运行。
基本交换机配置
管理接口注意事项
- 要使用 TCP/IP 来远程管理交换机,就需要为交换机分配 IP地址。
配置管理接口
- 要在交换机的管理 VLAN 上配置 IP 地址和子网掩码,您必须处在 VLAN 接口配置模式下。
配置默认网关
- 需要将交换机配置为可将 IP 数据包转发到远程网络。
验证配置
- 显示了 VLAN 99 已经配置了 IP 地址和子网掩码,并且快速以太网端口 F0/18 已经分配了 VLAN 99 管理接口。
配置双工和速度
- 使用duplex接口配置命令来指定交换机端口的双工操作模式。可以手动设置交换机端口的双工模式和速度,以避免厂商间的自动协商问题。
配置Web接口
- 现代 Cisco 交换机有很多基于 Web 的配置工具,这些工具需要交换机配置为 HTTP 服务器。
管理MAC地址表
- 交换机使用 MAC地址表来确定如何在端口间转发流量。这些MAC 表包含动态地址和静态地址。
验证交换机配置
使用Show命令
- 交换机使用 MAC地址表来确定如何在端口间转发流量。这些MAC 表包含动态地址和静态地址。
-当需要验证 Cisco 交换机的配置时,show 命令非常有用。
- show running-config 命令显示交换机上当前正在运行的配置。使用此命令可验证是否正确配置了交换机。
- show interfaces命令显示交换机网络接口的状态信息和统计信息。在配置和监视网络设备时,经常会用到 show interfaces 命令。
基本交换机管理
备份配置
恢复配置
- 用已存配置覆盖当前配置。
- 当配置恢复到 startup-config 中后,可在特权执行模式下使用reload 命令重新启动交换机,以使其重新加载新的启动配置。
将配置文件备份到 TFTP 服务器
- 可以使用 TFTP 通过网络备份配置文件。
- 当配置成功存储在 TFTP 服务器上之后,可以使用以下步骤
将配置复制回交换机上:
#copy tftp:[[[//location]/directory]/filename] system:running-config
清除配置信息
- 要清除启动配置的内容,请使用 erase nvram: 或 erasestartup-config 特权执行命令。
- 要从闪存中删除文件,请使用 delete flash:filename 特权执行命令。
配置交换机安全性
配置口令选项
保护控制台
- 要防止控制台端口console受到未经授权的访问
保护vty端口
- Cisco 交换机的 vty 端口用于远程访问设备。
配置执行模式口令
- enable password 命令存在的一个问题是,它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。
- 在全局配置模式提示符下输入 enable secret 命令以及所要的口令,这样即可指定加密形式的enable口令。如果配置了enable secret口令,则交换机将使用enable secret口令,而不使用enable password口令。
配置加密口令
- 人们普遍认同口令应该加密,并且不能以明文格式存储。
- 当从全局配置模式下输入 service password-encryption 命令后,所有系统口令都将以加密形式存储。
enable口令恢复
- 万一遗失或遗忘了访问口令,Cisco 提供了口令恢复机制以便于管理员仍能访问其 Cisco 设备。口令恢复过程需要实际接触设备。
- 并不能实际恢复 Cisco 设备上的口令,尤其是在已启用口令加密的情况下,但是可以将口令重设为新值。
- 系统在初始化闪存文件系统之前已中断。以下命令将初始化闪存文件系统,并完成操作系统软件的加载:
flash_init
load_helper
boot
登录标语
配置登录标语
- Cisco IOS 命令集中包含一项功能,用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息(MOTD) 标语。
- 所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时(例如系统即将停机),MOTD标语尤其有用。
配置Telnet 和SSH
远程访问 Cisco 交换机上的 vty 有两种选择
常见安全攻击
MAC地址泛洪
- 主机 A 向主机 B 发送流量。交换机收到帧,并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC,则交换机将复制帧并将其从每一个交换机端口广播出去。
- 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B的 MAC 地址位于端口 2,并将该信息写入 MAC 地址表。
- 主机 C 也收到从主机 A 发到主机 B 的帧,但是因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢弃该帧。
- 由主机 A(或任何其它主机)发送给主机 B 的任何帧都转发到交换机的端口 2,而不是从每一个端口广播出去。
- 由主机 A(或任何其它主机)发送给主机 B 的任何帧都转发到交换机的端口 2,而不是从每一个端口广播出去。
- 攻击者使用交换机的正常操作特性来阻止交换机正常工作。
-只要网络攻击工具一直运行,交换机的 MAC 地址表就会始终保持充满。当发生这种情况时,交换机开始将所有收到的帧从每一个端口广播出去,这样一来,从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。
欺骗攻击
- 攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。
-要防止 DHCP 攻击,请使用 Cisco Catalyst 交换机上的DHCP侦听和端口安全性功能。
CDP 攻击
- 默认情况下,大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP,则在设备上禁用 CDP。
Telnet攻击的类型:
-暴力密码攻击
- Dos攻击
抵御暴力密码攻击:
-经常更改密码
-使用强密码
-限制可通过vty线路进行通信的人员
抵御暴力密码攻击:
- 更新为最新版本的Cisco IOS软件
网络安全工具执行以下功能:
-网络安全审计帮助您
揭示攻击者只需监视网络流量就能收集到哪种信息
确定要去除的虚假MAC地址的理想数量
确定MAC地址表的老化周期
- 网络渗透测试帮助您:
找出网络设备配置中的弱点
发起多种攻击以测试网络;小心:应仔细计划渗透测试,以避免影响网络性能
现代网络安全工具的常见功能包括:
-服务识别
-支持SSL服务
-非破坏性测试和破坏性测试
-漏洞数据库
使用网络安全工具可以:
-捕获聊天消息
-从NFS流量中捕获文件
-捕获通用日志格式的HTTP请求
-捕获Berkeley mbox格式的邮件消息
-捕获密码
-显示在Netscape中实时捕获的URL
-用随机MAC地址泛洪攻击交换LAN
-仿造对DNS地址查询和指针查询的响应
-截获交换LAN上的数据包
在所有交换机端口上实施安全措施,以:
-在端口上指定一组允许的有效MAC地址
-只允许一个MAC地址访问端口
-指定端口在检测到未经授权的MAC地址时自动关闭
安全MAC地址有以下类型:
-静态安全MAC地址
-动态安全MAC地址
-粘滞安全MAC地址
粘滞安全MAC地址有以下特性:
-动态学习,转换为存储在运行配置中的粘滞安全MAC地址。
-禁用粘滞学习将从运行配置中移除MAC地址,但是不会从MAC表中移除。
-当交换机重新启动时,粘滞安全MAC地址将会丢失。
-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。
-禁用粘滞学习将把粘滞MAC地址转换为动态安全地址,并将这些地址从运行配置中移除。
端口安全默认配置
在Cisco Catalyst交换机上配置端口安全性
在Cisco Catalyst交换机上启用粘滞端口安全性
验证端口安全性
show port-security interface fastEthernet 0/18
show port-security address
禁用未使用的端口
一种简单方法是禁用网络交换机上所有未使用的端口,这样做可保护网络,使其免受未经授权的访问。
总结
802.3 Ethernet标准使用单播流量、广播流量和组播流量进行通信。双工设置和LAN分段可改善性能。冲突域、广播域、网络延时和LAN分段是LAN设计的关键考虑因素。
交换机转发方法将影响LAN性能和延时。网络流量内存缓冲允许交换机存储帧,这样交换机就可以提供转发、对称交换、非对称交换和多层交换功能。
使用Cisco IOS CLI可以快速配置重复的交换机功能。
初始交换机配置包括提供基本IP连接、主机名和标语。应使用Cisco IOS show running-config命令验证配置,并总是备份交换机配置。
使用Cisco IOS CLI,通过口令保护控制台访问和虚拟终端访问。
实施口令以限制对特权执行模式的访问,并配置系统范围的口令加密。
使用SSH对Cisco交换机进行远程终端配置。
启用端口安全性来缓解风险,定期对网络交换机执行安全性分析。