交换机的基本概念和配置2cn

1、交换机的基本概念和配置LAN交换和无线 第二章目标总结IEEE802.3标准中针对100/1000 Mbps LAN定义的以太网运作原理说明使交换机在LAN中转发以太网帧的功能配置一台交换机，使其在支持语音、视频和数据传输的网络中正常工作配置交换机的基本安全性，该交换机将在支持语音、视频和数据传输的网络中工作内容索引2.1 Ethernet/802.3 LAN简介2.2 使用交换机转发帧2.3 交换机管理配置2.4 配置交换机安全性2.1 Ethernet/802.3 LAN简介系统将以太网信号传送到连接在LAN 中的每一台主机，传送时使用一个特殊的规则集来确定哪台工作站可以访问网络。以太网所

2、使用的规则集是基于IEEE 载波侦听多路访问/冲突检测 (CSMA/CD)技术。2.1.1 Ethernet/802.3网络的关键要素2.1.1 Ethernet/802.3网络的关键要素在CSMA/CD接入方法中，要发送报文的所有网络设备必须在发送之前进行侦听。2.1.1 Ethernet/802.3网络的关键要素如果设备检测到来自其它设备的信号，它就会等待特定的时间的后再尝试发送。2.1.1 Ethernet/802.3网络的关键要素如果没有检测到流量，设备将发送报文。在发送过程中，设备仍会继续侦听LAN中的流量或冲突。报文发送之后，设备将恢复默认侦听模式。2.1.1 Ethernet/8

3、02.3网络的关键要素如果设备之间的距离造成一台设备的信号延时，也就是说，另一台设备无法检测到信号，则另一台设备可能也会开始发送。那么，现有两台设备同时在介质中发送信号。2.1.1 Ethernet/802.3网络的关键要素报文将在介质中传播，直到相互碰头。此时，双方的信号就会混合，报文被损坏，从而形成冲突。2.1.1 Ethernet/802.3网络的关键要素检测到冲突之后，发送设备将发出堵塞信号。堵塞信号通知其它设备发生了冲突，以便它们调用回退算法。回退算法将使所有设备在随机时间内停止发送，以让冲突消除。2.1.1 Ethernet/802.3网络的关键要素交换LAN 网络中的通信以三种方

4、式进行：单播、广播和组播：2.1.1 Ethernet/802.3网络的关键要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet) 的结构2.1.1 Ethernet/802.3网络的关键要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet) 的结构2.1.1 Ethernet/802.3网络的关键要素2.1.1 Ethernet/802.3网络的关键要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet)的结构当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet)的结构2.1.1 Ethernet/802.3网络的关键

5、要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet)的结构2.1.1 Ethernet/802.3网络的关键要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet)的结构2.1.1 Ethernet/802.3网络的关键要素2.1.1 Ethernet/802.3网络的关键要素当前以太网帧标准，即修订后的IEEE 802.3 (Ethernet)的结构Ethernet MAC address2.1.1 Ethernet/802.3网络的关键要素用于以太网通信的双工设置有两种：半双工和全双工. 2.1.1 Ethernet/802.3网络的关键要素MAC寻

6、址和交换机MAC地址表2.1.1 Ethernet/802.3网络的关键要素带宽和吞吐量- 共享以太网络的节点数量将影响网络的吞吐量或效率。冲突域 冲突域是指发出的帧可能产生冲突的网络区域。 所有共享介质环境（例如使用集线器创建的介质环境）都是冲突域。- 交换机为每个网段提供专用带宽，因此减少了网段上的冲突，并提高了网段上的带宽使用率。2.1.2 Ethernet/802.3网络的设计考虑因素广播域- 交换机收到广播帧时，它将该帧转发到自己的每一个端口。（接收该广播帧的传入端口除外）。2.1.2 Ethernet/802.3 网络的设计考虑因素网络延时- 延时是一个帧或一个数据包从源工作站到达

7、最终目的地所用的时间。延时有至少三个来源。2.1.2 Ethernet/802.3 网络的设计考虑因素网络拥塞- 以下是网络拥塞最常见的原因：计算机和网络技术的功能日益强大。 网络流量日益增加。高带宽应用程序。2.1.2 Ethernet/802.3 网络的设计考虑因素将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。 交换机通常用于将大型LAN 分割成很多更小的网段。虽然LAN 交换机缩小了冲突域的规模，但是连接到交换机的所有主机仍都处于同一个广播域中。2.1.2 Ethernet/802.3 网络的

8、设计考虑因素 用路由器创建更多、更小的广播域将减少广播流量，并为单播通信提供更多可用带宽。每个路由器接口都连接到单独的网络，广播流量的范围仅限于发出该广播的LAN网段内。每个路由器缩小了LAN上广播域的规模2.1.2 Ethernet/802.3 网络的设计考虑因素每个交换机将LAN上的冲突域规模缩小为单条链路。2.1.2 Ethernet/802.3 网络的设计考虑因素控制网络延时 在设计网络以减少延时时，需要考虑网络上每一台设备所引起的延时。 使用更高层的设备也可能增加网络延时。 当第3层设备（例如路由器）需要检查帧中包含的第 3 层寻址信息时，它必须比第 2 层设备更深入地读取帧，这将造

9、成处理时间更长。.适当使用第3层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。2.1.3 LAN 设计考虑因素消除瓶颈 网络中的瓶颈是高网络拥塞导致性能下降的位置。2.1.3 LAN 设计考虑因素2.2 使用交换机转发帧交换机使用下面的两种转发方法之一来进行网络端口间的数据交换：存储转发交换或直通交换。. 2.2.1 交换机转发方法存储转发交换2.2.1 交换机转发方法2.2.1 交换机转发方法存储转发交换存储转发交换2.2.1 交换机转发方法2.2.1 交换机转发方法存储转发交换2.2.1 交换机转发方法存储转发交换2.2.1 交换机转发方法存储转发交换2.2.1

10、交换机转发方法直通交换2.2.1 交换机转发方法直通交换直通交换2.2.1 交换机转发方法根据带宽分配给交换机端口的方式，LAN交换机可分为对称或非对称两类。2.2.2 对称交换和非对称交换以太网交换机在转发帧之前，可以使用缓冲技术存储帧。 当目的端口由于拥塞而繁忙时，也可以使用缓冲，交换机将一直存储帧，直到可以传送该帧。 将内存用于存储数据的功能称为内存缓冲2.2.3 内存缓冲2.2.4 第2层交换和第3层交换第2层LAN交换机只根据OSI数据链路层（第2层）MAC地址执行交换和过滤。第2层交换机对网络协议和用户应用程序完全透明。 第3层交换机不仅使用第2层MAC地址信息来作出转发决策，而且

11、还可以使用IP地址信息。 第3层交换机还能够执行第3层路由功能，从而省去了 LAN上对专用路由器的需要。 第3层交换机 第 3 层交换机通过检查以太网数据包中的第 3 层信息来作出转发决策。 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。 路由器 建立与远程网络和设备的远程访问连接。 专用路由器在支持WAN接口卡 (WIC)方面更加灵活，这使得它成为用于连接 WAN的首选设备，而且有时是唯一的选择。 2.2.4 第2层交换和第3层交换2.2.4 第2层交换和第3层交换第3层交换机不能完全取代网络中的路由器。路由器不仅可以执行第3层交换机无法完成的其它第3层服务，还能

12、够执行第3层交换机所无法实现的一些数据包转发任务，例如建立与远程网络和设备的远程访问连接。2.3 交换机管理配置2.3.1 切换命令行界面模式作为一项安全功能，Cisco IOS软件将 EXEC（执行）会话分成以下访问级别 用户执行：只允许用户访问有限量的基本监视命令。 特权执行：允许用户访问所有设备命令，如用于配置和管理的命令，特权执行模式可采用口令加以保护，使得只有获得授权的用户才能访问设备。2.3.1切换命令行界面模式Cisco IOS软件的命令模式结构采用分层的命令结构。每一种命令模式支持与设备中某一类型的操作关联的特定 Cisco IOS命令。2.3.2 使用帮助Cisco IOS

13、CLI提供了两种类型的帮助：- 词语帮助- 命令语法帮助2.3.2 使用帮助控制台错误消息-当输入了不正确的命令时，控制台错误消息有助于确定问题。Cisco CLI提供已输入命令的历史记录。对于命令历史记录功能，可以完成以下任务：-显示命令缓冲区的内容。-设置命令历史记录缓冲区大小。.-重新调用存储在历史记录缓冲区中的先前输入的命令。每一种配置模式都有相应的缓冲区。2.3.3 访问命令历史记录Catalyst交换机的初始启动需要完成以下步骤：- 步骤 1：PC 或终端已连接到控制台端口。2.3.5 准备配置交换机2.3.5 准备配置交换机Catalyst交换机的初始启动需要完成以下步骤：- 步

14、骤 2：终端仿真器应用程序（如 HyperTerminal）正在运行且配置正确。2.3.5 准备配置交换机Catalyst交换机的初始启动需要完成以下步骤：- 步骤 3：在控制台上查看启动过程2.3.6 基本交换机配置管理接口注意事项- 要使用 TCP/IP 来远程管理交换机，就需要为交换机分配 IP 地址。2.3.6 基本交换机配置配置管理接口- 要在交换机的管理 VLAN 上配置 IP 地址和子网掩码，您必须处在 VLAN 接口配置模式下。2.3.6 基本交换机配置配置默认网关- 需要将交换机配置为可将 IP 数据包转发到远程网络。2.3.6 基本交换机配置验证配置- 显示了 VLAN 9

15、9 已经配置了 IP 地址和子网掩码，并且快速以太网端口 F0/18 已经分配了 VLAN 99 管理接口。2.3.6 基本交换机配置配置双工和速度- 使用duplex接口配置命令来指定交换机端口的双工操作模式。可以手动设置交换机端口的双工模式和速度，以避免厂商间的自动协商问题。2.3.6 基本交换机配置配置Web接口- 现代 Cisco 交换机有很多基于 Web 的配置工具，这些工具需要交换机配置为 HTTP 服务器。2.3.6 基本交换机配置管理MAC地址表- 交换机使用 MAC地址表来确定如何在端口间转发流量。这些 MAC 表包含动态地址和静态地址。2.3.7 验证交换机配置使用Show

16、命令- 交换机使用 MAC地址表来确定如何在端口间转发流量。这些 MAC 表包含动态地址和静态地址。使用Show命令-当需要验证 Cisco 交换机的配置时，show 命令非常有用。 2.3.7 验证交换机配置使用Show命令- show running-config 命令显示交换机上当前正在运行的配置。使用此命令可验证是否正确配置了交换机。2.3.7 验证交换机配置使用Show命令- show interfaces命令显示交换机网络接口的状态信息和统计信息。在配置和监视网络设备时，经常会用到 show interfaces 命令。2.3.7 验证交换机配置备份配置- 图中显示了三个将配置备份

17、到闪存的示例。2.3.8 基本交换机管理恢复配置 用已存配置覆盖当前配置。 当配置恢复到 startup-config 中后，可在特权执行模式下使用 reload 命令重新启动交换机，以使其重新加载新的启动配置。2.3.8 基本交换机管理将配置文件备份到 TFTP 服务器 可以使用 TFTP 通过网络备份配置文件。 当配置成功存储在 TFTP 服务器上之后，可以使用以下步骤将配置复制回交换机上： #copy tftp:/location/directory/ system:running-config2.3.8 基本交换机管理清除配置信息 要清除启动配置的内容，请使用 erase nvram:

18、 或 erase startup-config 特权执行命令。 要从闪存中删除文件，请使用 delete flash: 特权执行命令。2.3.8 基本交换机管理2.4 配置交换机安全性2.4.1 配置口令选项保护控制台- 要防止控制台端口console受到未经授权的访问2.4.1 配置口令选项保护vty端口- Cisco 交换机的 vty 端口用于远程访问设备。2.4.1 配置口令选项配置执行模式口令- enable password 命令存在的一个问题是，它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。- 在全局配置模式提示符下输入 en

19、able secret 命令以及所要的口令，这样即可指定加密形式的enable口令。如果配置了enable secret口令，则交换机将使用enable secret口令，而不使用enable password口令。2.4.1 配置口令选项配置加密口令- 人们普遍认同口令应该加密，并且不能以明文格式存储。- 当从全局配置模式下输入 service password-encryption 命令后，所有系统口令都将以加密形式存储。2.4.1 配置口令选项enable口令恢复- 万一遗失或遗忘了访问口令，Cisco 提供了口令恢复机制以便于管理员仍能访问其 Cisco 设备。口令恢复过程需要实际接触

20、设备。 并不能实际恢复 Cisco 设备上的口令，尤其是在已启用口令加密的情况下，但是可以将口令重设为新值。 系统在初始化闪存文件系统之前已中断。以下命令将初始化闪存文件系统，并完成操作系统软件的加载： flash_init load_helper boot2.4.2 登录标语配置登录标语 Cisco IOS 命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息 (MOTD) 标语。 所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时（例如系统即将停机），MOTD 标语尤其有用。2.4.3 配置Telnet和SSH远程访问 C

21、isco 交换机上的 vty 有两种选择。2.4.4 常见安全攻击MAC地址泛洪- 主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。2.4.4 常见安全攻击MAC地址泛洪 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。 主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。2.4.4 常见安全攻击MAC地址泛

22、洪 由主机 A（或任何其它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。2.4.4 常见安全攻击MAC地址泛洪 攻击者使用交换机的正常操作特性来阻止交换机正常工作。2.4.4 常见安全攻击MAC地址泛洪只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。2.4.4 常见安全攻击欺骗攻击 攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。2.4.4 常见安全攻击欺骗攻击要防止 DHCP 攻

23、击，请使用 Cisco Catalyst 交换机上的 DHCP侦听和端口安全性功能。2.4.4 常见安全攻击CDP 攻击 默认情况下，大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。2.4.4 常见安全攻击telnet攻击的类型：暴力密码攻击 Dos攻击抵御暴力密码攻击：-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击： 更新为最新版本的Cisco IOS软件网络安全工具执行以下功能：-网络安全审计帮助您 揭示攻击者只需监视网络流量就能收集到哪种信息确定要去除的虚假MAC地址的理想数量确定MAC地址表的老化

24、周期2.4.5 安全工具 - 网络渗透测试帮助您：找出网络设备配置中的弱点发起多种攻击以测试网络小心：应仔细计划渗透测试，以避免影响网络性能现代网络安全工具的常见功能包括：-服务识别支持SSL服务非破坏性测试和破坏性测试漏洞数据库 2.4.5 安全工具2.4.5 安全工具使用网络安全工具可以：-捕获聊天消息-从NFS流量中捕获文件捕获通用日志格式的HTTP请求捕获Berkeley mbox格式的邮件消息捕获密码显示在Netscape中实时捕获的URL用随机MAC地址泛洪攻击交换LAN仿造对DNS地址查询和指针查询的响应截获交换LAN上的数据包2.4.6 配置端口安全性在所有交换机端口上实施安全措施，以：-在端口上指定一组允许的有效MAC地址-只允许一个MAC地址访问端口-指定端口在检测到未经授权的MAC地址时自动关闭 2.4.6 配置端口安全性安全MAC地址有以下类型：