交换机基本概念与配置ppt课件.pptx

交换机工作原理,交换机帧转发模式,1,2,交换机安全,配置命令,3,4,1,1,交换机工作原理,以太网交换机的功能,地址学习转发和过滤数据帧环路避免,2,1,交换机工作原理,MAC地址表,初始化MAC地址表是空的,3,站点A发送一个数据帧到站点C；交换机根据数据帧的源地址在接口E0上学习到站点A的MAC地址；这个数据帧(A-C)被泛洪到所有的交换机接口除了E0(未知单播被泛洪)；MAC地址缺省在MAC地址表中保留5分钟；,1,交换机工作原理,交换机学习地址(1),4,站点D发送一个数据帧到站点C；交换机根据数据帧的源地址在接口E3上学习到站点D的MAC地址；这个数据帧(D-C)被洪放到所有的交换机接口除了E3(未知单播被泛洪)；,1,交换机工作原理,交换机学习地址(2),5,站点A发送一个数据帧到站点C；目的地址已知存储在MAC地址表中，数据帧不会被泛洪；重新刷新工作站C的MAC地址超时时间；,1,交换机工作原理,过滤数据帧,6,站点A发送一个数据帧到站点B；由于站点B的MAC地址和接收的数据帧处于相同的接口，交换机将丢弃这个帧；,1,交换机工作原理,过滤数据帧,7,站点D发送一个广播或者组播数据帧；广播或者组播帧被洪放到所有端口除了源端口；,1,交换机工作原理,帧的泛洪,8,存储转发Storeandforward完整地收到帧并检查无错后才转发,Frame,Frame,Frame,交换机将帧向目的端口转发之前要先收到完整的帧并进行CRC校验、确定目的地址。交换机将整个帧存储在内存缓冲区中，直到它获得有效资源才将其发往目的地。好处是能够抛弃小于64字节的帧以及其他任何受损的帧，这样可以节约带宽。缺点是延迟较大且不固定，因为它在转发之前要收到并处理完整的帧。,2,交换机帧转发模式,存储转发,9,直通转发Cut-through交换机检测到目标地址后即转发帧,Frame,交换机一确定帧的目的MAC地址和正确的端口号，就立即将帧转发出去。通常情况下，大约在收到帧头14个字节左右就开始转发。这使得直通法比存储转发法具有更小且相对固定的延迟时间，但它连小于64字节的帧以及一些坏帧也一块儿转发，可能浪费带宽。,2,交换机帧转发模式,直通转发,10,无碎片转发Fragmentfree(直通转发的修订版)Cat1900的缺省模式(modifiedcut-through)交换机检测到帧的前64字节后即转发,Frame,2,交换机帧转发模式,无碎片转发,11,主机A向主机B发送流量。交换机收到帧，并在其MAC地址表中查找目的MAC地址。如果交换机在MAC地址表中无法找到目的MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。,3,交换机安全,MAC地址泛洪,12,主机B收到帧并向主机A发送响应。交换机随后获知主机B的MAC地址位于端口2，并将该信息写入MAC地址表。主机C也收到从主机A发到主机B的帧，但是因为该帧的目的MAC地址为主机B，因此主机C丢弃该帧。,3,交换机安全,MAC地址泛洪,13,由主机A（或任何其它主机）发送给主机B的任何帧都转发到交换机的端口2，而不是从每一个端口广播出去。,3,交换机安全,MAC地址泛洪,14,攻击者使用交换机的正常操作特性来阻止交换机正常工作。,3,交换机安全,MAC地址泛洪,15,只要网络攻击工具一直运行，交换机的MAC地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机A发送到主机B的帧也会从交换机上的端口3向外广播。,3,交换机安全,MAC地址泛洪,16,在所有交换机端口上实施安全措施：在端口上指定一组允许的有效MAC地址只允许一个MAC地址访问端口指定端口在检测到未经授权的MAC地址时自动关闭,3,交换机安全,端口安全性措施,17,安全MAC地址有以下类型：静态安全MAC地址动态安全MAC地址粘滞安全MAC地址,3,交换机安全,端口安全性措施,18,粘滞安全MAC地址有以下特性：动态学习，转换为存储在运行配置中的粘滞安全MAC地址。禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。当交换机重新启动时，粘滞安全MAC地址将会丢失。将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。,3,交换机安全,端口安全性措施,19,3,交换机安全,端口安全性措施,以下情况会触发安全机制：当地址表填满时，MAC地址未出现在地址表中的工作站试图访问接口。在一个VLAN的两个安全接口上使用同一个地址。,触发的接口安全机制有保护、限制和关闭。,20,端口安全默认配置,3,交换机安全,端口安全性措施,21,4,配置命令,switch:flash_init,初始化flash，加载文件,switch:dirflash:,switch:renameflash:config.textflash:config.old,switch:boot,查看flash中的配置命令文件名,重命名配置命令文件,重启交换机,交换机密码恢复配置,22,4,配置命令,备份配置命令文件,备份VLAN信息,保存交换机配置命令,SW1#copyrunning-configtftp:,SW1#copyflash:vlan.dattftp:,23,4,配置命令,交换机IOS恢复配置,调整交换机波特率至115200,通过Xmodem方式传输IOS文件,恢复默认交换机波特率,设置交换机引导的IOS文件,switch:setBAUD115200,switch:copyxmodem:flash:XXXXXXXXXXXXX,switch:unsetBAUD,switch:setBOOTflash:XXXXXXXXXXXXX,24,CiscoCat