交换技术

VLAN

virtual LAN 虚拟局域网

功能:方便业务划分,隔离广播域,更好的实现带宽管理
范围:0-4095

Trunk

中继干道,承载所有vlan流量并标记

局域网三要素

1.隔离
通过vlan进行逻辑隔离

2.冗余
线路,设备进行冗余备份

3.层次化
接入层:终端设备接入。带宽低 10M ,二层交换机
汇聚层:流量汇聚,带宽中 100M ,三层交换机
核心层:对流量进行转发,带宽高 1000M ,高速转发的三层交换机

交换机和路由器的不同

1.局域网 / 不同类型的网络
2.转发基于硬件,速度快/基于软件,速度慢
3.数据链路层/网络层
4.MAC地址/IP地址
5.交换机不能分割广播域,路由器可以

交换防环

能负载均衡:PVST,PVRST,MSTP
不能负载均衡:STP,RSTP

速度慢:STP,PVST
速度快:RSTP,PVRST,MSTP

思科私有:PVST,PVRST

STP:802.1D
RSTP:802.1W
MSTP:802.1S

STP

1.Root bridge
2.secondary bridge
3.non-root bridge

选举:
1.选root bridge:所有交换机都会发BPDU,根ID=桥ID,对比bridge+MAC地址,小的当选
2.选举根端口,路径开销
3.选举指定端口:每段都有一个指定端口
4.选举阻塞端口

状态:
BLK:阻塞
LIS:监听
LRN:学习
FWD:转发

直接链路收敛:30S(省去20S老化时间)
间接链路收敛:50S

portfast:交换机下联PC接口配置portfast,会直接从blocking到forwarding
uplinkfast:直接收敛时间变为0秒
backbonefast:间接收敛时间变为30秒

以太通道

链路捆绑,实现链路冗余

网关冗余

HSRP
基于UDP,端口号1985
hello间隔3秒,holdtime默认10S
组播地址:224.0.0.2
HSRP默认优先级100,优先级相同情况下比较IP地址,越大越优
路由器:active,standby,listen

VRRP
虚拟路由器冗余协议
基于IP,协议号112
hello间隔1秒
路由器:master,backup

局域网攻击

ARP欺骗
1.截获数据:通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息
2.伪造网关:建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网

IP欺骗
一般发生在接入层交换机的不可信端口上

DHCP欺骗
黑客提供一个IP地址,主机接受黑客的虚假DHCP应答,受害主机将黑客主机定义为默认网关

MAC泛洪
黑客向交换机CAM表泛洪伪造的MAC地址

防护

DHCP Snooping :DHCP侦听,防止DHCP欺骗攻击,非信任口不能发送offer/ack包
IPSG:IP源防护:防止IP地址欺骗
MAC安全
DAI(动态ARP检测),非信任口无法发送非法的ARP包
Storm-control:风暴控制

----补充----

  • 接入层交换机

1.直接面向用户连接或访问网络的部分称为接入层
2.接入层为用户提供了在本地网段访问应用系统的能力,主要解决相邻用户之间的互访需求。
3.接入层交换机往往具有低成本和高端口密度特性

  • 汇聚层交换机

1.用来连接核心层和接入层(可被省略)
2.汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,它是实现策略的地方。
3.汇聚层交换机与接入层交换机比较,需要更高的性能和交换速度以及更少的接口

  • 核心层交换机

1.核心层是网络主干部分,是整个网络性能的保障,其设备包括路由器、防火墙、核心层交换机等等
2.通过高速转发通信,提供快速、可靠的骨干传输结构
3.更高带宽、更高可靠性、更高性能和吞吐量的千兆甚至万兆以上可管理交换机

二三层转发

过程:
A要给B发送数据
1.已知目的 IP,那么 A 就用子网掩码取得网络地址,判断目的 IP 是否与自己在同一网段。
如果在同一网段,但不知道转发数据所需的 MAC 地址,A 就发送一个 ARP 请求,B 返回其 MAC 地址,A 用此 MAC 封装数据包并发送给交换机,交换机起用二层交换模块, 查找 MAC 地址表,将数据包转发到相应的端口。
2.不是同一网段:将第一个正常数据包发送向一个缺省网关,最先在 MAC 表中放的是缺省网关的 MAC 地址; 然后就由三层模块接收到此数据包,查询路由表以确定到达 B 的路由,将构造一个新的帧头,其中以缺省网关的 MAC 地址为源 MAC 地址,以主机 B 的 MAC 地址为目的 MAC 地址。通过一定的识别触发机制,确立主机 A 与 B 的 MAC 地址及转发端口的对应关系,并 记录进流缓存条目表,以后的 A 到 B 的数据,就直接交由二层交换模块完成。这就通常所 说的一次路由多次转发。

实验

在这里插入图片描述

  • SW11,22 > 核心层交换机

  • SW33,44 > 汇聚层交换机

  • SW1,2,3,4 > 接入层交换机

  • 交换机之间全部配置Trunk,全部启用VTP其中SW11为Server,其余为Client,只需在server上管理VLAN即可。

  • 配置STP,SW11为根交换机,在SW11上给每个VLAN配置SVI,通过SVI实现不同VLAN间通信

  • 在SW11上配置DHCP,网关地址为每个VLAN的SVI,PC自动获取IP地址

测试
在这里插入图片描述
当PC1追踪PC2时,因为他们在同一个VLAN下,并连接在二层交换机上,所以直接通过二层交换机就可以到达。
过程:PC1 发送一个 ARP 请求,PC2返回其 MAC 地址,PC1用此 MAC 封装数据包并发送给交换机,交换机起用二层交换模块, 查找 MAC 地址表,将数据包转发到相应的端口

在这里插入图片描述
当PC1追踪PC3时,他们在不同网段下,所以192.168.10.1将将第一个正常数据包发送向一个网关192.168.10.254,最先在 MAC 表中放的是缺省网关的 MAC 地址; 然后就由三层模块接收到此数据包,查询路由表以确定到达 PC3的路由,将构造一个新的帧头,其中以缺省网关的 MAC 地址为源 MAC 地址,以主机 PC3的 MAC 地址为目的 MAC 地址。通过一定的识别触发机制,确立主机 PC1 与 PC3 的 MAC 地址及转发端口的对应关系,并记录进流缓存条目表,以后的 PC1 到 PC3 的数据,就直接交由二层交换模块完成。这就通常所 说的一次路由多次转发。

在这里插入图片描述
当PC5追踪PC7,他们在同一个VLAN下,所以直接交给他们的网关——三层交换机进行转发即可。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值