交换机的工作原理
交换机的转发方式
存储转发
- 优点:可过滤所有错误帧
直通交换
直通交换又分为快速转发与免分片交换
- 快速转发:具有最小的延时,不提供帧的错误检测
- 无碎片交换:低延时,可过滤碎片帧
交换机的分类
- 对称交换机和非对称交换机:对称交换机所有端口带宽相同,非对称交换机端口带宽不同
- 模块化交换机和固定端口交换机:模块化交换机可以通过插入模块来扩充交换机的端口数量,固定端口交换机端口固定不能扩充
- 可堆叠交换机与不可堆叠交换机:堆叠的方式有菊花链堆叠和矩阵堆叠两种
- 二层交换机与三层交换机:三层交换机具有路由器的功能,但不能替代路由器
三层交换机与路由器的比较
![三层交换机与路由器的比较](https://i-blog.csdnimg.cn/blog_migrate/2ab2c95d433935c71f6588b717283023.png)
交换机的配置
交换机的基本配置
交换机的访问模式及其提示符:
交换机的基本配置,包括配置交换机的主机名、配置交换机的登陆警示信息(banner)、配置交换机的特权密码、console密码、telnet密码:
配置交换机管理地址和默认网关
Switch(config)# interface vlan vlan-id //进入管理vlan端口,并进入相应的接口配置模式
Switch(config-if)# ip address ip-address subnet-mask //配置接口的IP地址与子网掩码
Switch(config-if)# no shutdown //激活端口
Switch(config)# ip default-gateway ip-address //配置交换机默认网关
创建VLAN并与接口相关联:
1//创建VLAN并给VLAN起名称
Switch(config)# vlan vlan-id
Switch(config-vlan)# name vlan-name
Switch(config-vlan)# exit
2//进入到某一接口并把这一接口化分到VLAN下面
Switch(config)# interface interface-id
Switch(config)# switchport access vlan vlan-id
为三层交换机端口配置IP地址
三层交换机工作在网络层,可以对其物理端口配置IP地址。二层交换机只工作在局域网数据链路层,所以不需要配置IP地址。
通常情况下,三层交换机端口默认是二层的,需要使用no switchport
命令启用端口的三层功能
端口的配置
![端口安全配置](https://i-blog.csdnimg.cn/blog_migrate/55cee642dd60a1609810970aef8e092e.png)
配置通过SSH访问交换机
配置SSH步骤:在配置SSH前,至少必须为交换机配置唯一的主机名和正确的网络连接
- 使用
show ip ssh
验证交换机是否支持SSH - 配置IP域
- 生成RSA密钥对(删除密钥对使用
crypto key zeroize rsa
全局配置模式命令,删除RSA密钥对之后,SSH服务器将自动禁用) - 配置用户身份验证
- 配置vty线路
- 启用SSH第2版
![配置通过SSH访问交换机](https://i-blog.csdnimg.cn/blog_migrate/6c350eae750e595d656cb6506f8c944f.png)
交换机端口安全
禁用未使用的端口是一种简单但有效的安全原则
Switch(config)# interface range f0/3-24,g0/1-2
Switch(config-if-range)# shutdown
MAC地址洪泛攻击
网络攻击者使用攻击工具发送大量带有无效源MAC地址的数据帧,交换机将无效的MAC地址学习到MAC地址表中,冲掉如主机"HOSTB"等合法用户的MAC地址条目。此时交换机就像集线器一样工作。
交换机端口安全性
交换机端口安全性可以限制
- 端口只有指定的安全MAC地址才能通过端口传输数据帧
- 只允许有效MAC地址的数量
任何通过未知MAC地址进行连接的其他尝试都会导致安全违规。端口安全性可以抑制MAC洪泛等攻击。交换机端口安全性常在接入层交换机上部署,它只能部署在接入端口(Access端口)上,不能部署在中继端口上。
安全MAC地址类型
- 静态安全MAC地址:使用
switchport port-security mac-address mac-address
命令手工配置 - 动态安全MAC地址:通过动态获取,并只存储在地址表中,以此方式配置的MAC地址在交换机重启时将被移除
- 粘滞安全MAC地址:通过动态获取或手动配置,不仅存储在地址表中,还添加到运行的配置文件中,以此方式配置的MAC地址在交换机重启时不会被移除
粘滞安全MAC地址配置方法:
- 使用
switchport port-security mac-address sticky
命令将动态获取的MAC地址转为粘滞安全MAC地址 - 使用
switchport port-security mac-address sticky mac-address
命令手动定义粘滞安全MAC地址
安全违规
当出现以下任一情况时,IOS会将其视为安全违规:
- 当地址表填满时,某个MAC地址并不在该地址表中的工作站试图访问该接口
- 在同一个VLAN中的两个安全接口上使用一个地址
交换机端口的违规模式有保护、限制和关闭三种
switchport port-security violation protect /restrict /shutdown
更改端口的违规模式
动态端口安全的默认值
![](https://i-blog.csdnimg.cn/blog_migrate/7bcbd6caeae34d74dd011dfbf6d731e8.png)
端口安全配置
配置交换机端口安全一般需要五个步骤:
- 设置交换机端口为Access模式
- 启用端口安全性
- 设置最大有效安全MAC地址数量
- 配置安全MAC地址
- 配置违规模式
其中前两步是必须的,后三步有默认配置,是可选的。
![](https://i-blog.csdnimg.cn/blog_migrate/068aa625336c05a43e9c0479d5025dec.png)
交换机的管理
配置文件和操作系统管理
系统映像备份与恢复
交换机的密码恢复