VLAN
virtual LAN 虚拟局域网
功能:方便业务划分,隔离广播域,更好的实现带宽管理
范围:0-4095
Trunk
中继干道,承载所有vlan流量并标记
局域网三要素
1.隔离
通过vlan进行逻辑隔离
2.冗余
线路,设备进行冗余备份
3.层次化
接入层:终端设备接入。带宽低 10M ,二层交换机
汇聚层:流量汇聚,带宽中 100M ,三层交换机
核心层:对流量进行转发,带宽高 1000M ,高速转发的三层交换机
交换机和路由器的不同
1.局域网 / 不同类型的网络
2.转发基于硬件,速度快/基于软件,速度慢
3.数据链路层/网络层
4.MAC地址/IP地址
5.交换机不能分割广播域,路由器可以
交换防环
能负载均衡:PVST,PVRST,MSTP
不能负载均衡:STP,RSTP
速度慢:STP,PVST
速度快:RSTP,PVRST,MSTP
思科私有:PVST,PVRST
STP:802.1D
RSTP:802.1W
MSTP:802.1S
STP
1.Root bridge
2.secondary bridge
3.non-root bridge
选举:
1.选root bridge:所有交换机都会发BPDU,根ID=桥ID,对比bridge+MAC地址,小的当选
2.选举根端口,路径开销
3.选举指定端口:每段都有一个指定端口
4.选举阻塞端口
状态:
BLK:阻塞
LIS:监听
LRN:学习
FWD:转发
直接链路收敛:30S(省去20S老化时间)
间接链路收敛:50S
portfast:交换机下联PC接口配置portfast,会直接从blocking到forwarding
uplinkfast:直接收敛时间变为0秒
backbonefast:间接收敛时间变为30秒
以太通道
链路捆绑,实现链路冗余
网关冗余
HSRP
基于UDP,端口号1985
hello间隔3秒,holdtime默认10S
组播地址:224.0.0.2
HSRP默认优先级100,优先级相同情况下比较IP地址,越大越优
路由器:active,standby,listen
VRRP
虚拟路由器冗余协议
基于IP,协议号112
hello间隔1秒
路由器:master,backup
局域网攻击
ARP欺骗
1.截获数据:通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息
2.伪造网关:建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网
IP欺骗
一般发生在接入层交换机的不可信端口上
DHCP欺骗
黑客提供一个IP地址,主机接受黑客的虚假DHCP应答,受害主机将黑客主机定义为默认网关
MAC泛洪
黑客向交换机CAM表泛洪伪造的MAC地址
防护
DHCP Snooping :DHCP侦听,防止DHCP欺骗攻击,非信任口不能发送offer/ack包
IPSG:IP源防护:防止IP地址欺骗
MAC安全
DAI(动态ARP检测),非信任口无法发送非法的ARP包
Storm-control:风暴控制
----补充----
1.直接面向用户连接或访问网络的部分称为接入层
2.接入层为用户提供了在本地网段访问应用系统的能力,主要解决相邻用户之间的互访需求。
3.接入层交换机往往具有低成本和高端口密度特性
1.用来连接核心层和接入层(可被省略)
2.汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,它是实现策略的地方。
3.汇聚层交换机与接入层交换机比较,需要更高的性能和交换速度以及更少的接口。
1.核心层是网络主干部分,是整个网络性能的保障,其设备包括路由器、防火墙、核心层交换机等等
2.通过高速转发通信,提供快速、可靠的骨干传输结构
3.更高带宽、更高可靠性、更高性能和吞吐量的千兆甚至万兆以上可管理交换机
二三层转发
过程:
A要给B发送数据
1.已知目的 IP,那么 A 就用子网掩码取得网络地址,判断目的 IP 是否与自己在同一网段。
如果在同一网段,但不知道转发数据所需的 MAC 地址,A 就发送一个 ARP 请求,B 返回其 MAC 地址,A 用此 MAC 封装数据包并发送给交换机,交换机起用二层交换模块, 查找 MAC 地址表,将数据包转发到相应的端口。
2.不是同一网段:将第一个正常数据包发送向一个缺省网关,最先在 MAC 表中放的是缺省网关的 MAC 地址; 然后就由三层模块接收到此数据包,查询路由表以确定到达 B 的路由,将构造一个新的帧头,其中以缺省网关的 MAC 地址为源 MAC 地址,以主机 B 的 MAC 地址为目的 MAC 地址。通过一定的识别触发机制,确立主机 A 与 B 的 MAC 地址及转发端口的对应关系,并 记录进流缓存条目表,以后的 A 到 B 的数据,就直接交由二层交换模块完成。这就通常所 说的一次路由多次转发。
实验
-
SW11,22 > 核心层交换机
-
SW33,44 > 汇聚层交换机
-
SW1,2,3,4 > 接入层交换机
-
交换机之间全部配置Trunk,全部启用VTP其中SW11为Server,其余为Client,只需在server上管理VLAN即可。
-
配置STP,SW11为根交换机,在SW11上给每个VLAN配置SVI,通过SVI实现不同VLAN间通信
-
在SW11上配置DHCP,网关地址为每个VLAN的SVI,PC自动获取IP地址
测试
当PC1追踪PC2时,因为他们在同一个VLAN下,并连接在二层交换机上,所以直接通过二层交换机就可以到达。
过程:PC1 发送一个 ARP 请求,PC2返回其 MAC 地址,PC1用此 MAC 封装数据包并发送给交换机,交换机起用二层交换模块, 查找 MAC 地址表,将数据包转发到相应的端口
当PC1追踪PC3时,他们在不同网段下,所以192.168.10.1将将第一个正常数据包发送向一个网关192.168.10.254,最先在 MAC 表中放的是缺省网关的 MAC 地址; 然后就由三层模块接收到此数据包,查询路由表以确定到达 PC3的路由,将构造一个新的帧头,其中以缺省网关的 MAC 地址为源 MAC 地址,以主机 PC3的 MAC 地址为目的 MAC 地址。通过一定的识别触发机制,确立主机 PC1 与 PC3 的 MAC 地址及转发端口的对应关系,并记录进流缓存条目表,以后的 PC1 到 PC3 的数据,就直接交由二层交换模块完成。这就通常所 说的一次路由多次转发。
当PC5追踪PC7,他们在同一个VLAN下,所以直接交给他们的网关——三层交换机进行转发即可。