本文介绍了交换机的工作原理,强调了VLAN在企业网络中的隔离与安全作用,包括物理层的hub与数据链路层的交换机区别,以及arp攻击、VLAN技术的应用。重点讲解了如何配置VLAN、access接口和批量创建VLAN,以及为何企业更倾向于使用交换机而非hub。
交换机入门知识
hub是物理介质
网线传输的信息,传输的是电信号(弱电),交换机收到电信号后会进行识别,识别转发,识别收到的消息是谁发来的,将要发给谁,工作在数据链路层,识别每台设备真实身份
hub只是对电信号进行复制,工作机制还是在物理层
交换机为什么要分离使用?
三台主机连接在一个hub(集线器)上面,hub不能进行配置,不能实现安全隔离
如果需要进行隔离,考虑安全性,将主机进行分区
arp攻击 欺骗攻击
在总线上面窃取主机上的通信流量,可以限制总线上其他设备的网速。当主机想要发送给路由器数据的时候,可以用这个PC3来进行控制
如果想通过路由器进行攻击,难度比较大。路由器是三层设备,可以进行配置
最普通的传输介质就是hub总线,不能进行任何配置,安全性差,企业网一般不会使用hub,物理层最低层面,发送数据的速率低下。所有的消息都是共享的,容易造成抓包、数据的浪费,资源的浪费;hub不知道谁是谁,所以只能所有人都收到消息
二层设备就是交换机,可以进行一定的配置,企业一般都会用到交换机,可以进行逻辑转发
逻辑转发:交换机认识PC1,PC2,所以知道消息是谁发送给谁的,不会受到无效的信息,实现一定的隔离性
三层设备是路由器,通常要实现安全是通过路由器实现的
再高级一点的就是防火墙(FW)/ACG 可以做流量分析和流量控制、入侵检测
安全起码是需要通过路由器实现
vlan技术:虚拟局域网 ,将一台物理交换机在内部划分成多台设备,但是数量会受到厂家定义的数量限制。一台交换机最多可以虚拟成4094台(各个厂家体系都是一样的,华为思科,思科有四个默认vlan不能使用)
在使用vlan技术之后,所有交换机都有一个默认的vlan1
就像电脑都有一个默认的操作系统可以直接使用,有很多管理的接口,这些接口都默认属于vlan1
打开交换机,使用show vlan命令来查看所有的vlan信息细节
在一个交换机中再虚拟一个交换机/一台电脑装两个操作系统,电脑里面没有限制,但是会有一个使用成功的上限,内存限制
创建vlan的方式分为:单个创建、批量创建
虚拟机可以批量部署
单个创建vlan
[huawei]vlan 2
[hawei-vlan2]description RS
VLAN内部可以配置一些描述信息
批量创建vlan
[huawei]vlan batch 10 20 30
创建vlan10、20、30 批量不连续创建
[huawei]vlan batch 10 to 20
创建10~20所有的vlan 批量连续创建
但是创建了vlan之后没有进行配置也没有用,所以要给交换机的接口划分到不同的vlan当中去才能起作用,打入display vlan命令之后,所有的端口都在vlan1当中,所以接下来需要把接口划分到不同的vlan中
access接口只能连接一个vlan,配置了access接口之后,交换机就知道这个接口的数据进来之后要交给哪个vlan,数据传到交换机之后,会打上一个tag标签,交换机就知道转发出去的接口应该在哪个vlan里面
PC机无法识别tag,只能靠交换机将属于同一个vlan的数据转发到这个vlan当中
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
