交换机基本功能学习总结_第1页
交换机基本功能学习总结_第2页
交换机基本功能学习总结_第3页
交换机基本功能学习总结_第4页
交换机基本功能学习总结_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1学习总结—交换机知识学习报告主要内容一、交换机基本源理二、交换机功能介绍21、交换机概括2、交换机转发原理3、交换机常用接口3一、交换机基本源理一、交换机基本源理——交换机概括交换机:(1)在通信系统中达成信息交换功能的设备;(2)主要工作在数据链路层;(3)采用物理地址进行信息交互。交换机中转发的两种常有的帧格式:(1)以太网帧格式(2)IEEE802.1Q帧格式4交换机的核心思想:鉴于源MAC学习、鉴于目的MAC转发过程管理依照:MAC地址表项一、交换机基本源理——交换机转发原理MAC端口端口类别VLANMAC地址表项构成手工配置和动向学习的MAC地址表项这里的index表示什么意思?有什么作用?更新和保护MAC地址表:(1)手工配置地址:a.静态地址表项,使用于网络中比较固定的网络设备,能够减少网络中的广播包;能够防范未受权设备接入网络或攻击网络。b.配置过滤地址,当接收到的数据报文源MAC或目的MAC与过滤表项中的地址符合的,抛弃。(2)动向地址学习:动向地址表项,存在老化时间。一、交换机基本源理——交换机转发原理MAC地址学习和报文转发过程:当交换机收到一个报文,办理过程以下:(1)查察MAC地址表项(2)依据结果,办理报文(3)更新MAC地址表项a.在MAC地址表中增加记录b.更新MAC地址表中记录信息。一、交换机基本源理——交换机转发原理依据报文的目的MAC地址、报文所属的VLANID、MAC地址表中查找相应的转发输出端口;a.抛弃b.采纳单播、组播、广播和复制流的方式转发报文几种常用接口:设备上的单个物理接口有三种模式:Access、Trunk、Hybrid,经过SwitchPort接口配置命令;用于管理物理接口和与之有关的第二层协议。链路汇聚口把多个端口的带宽叠加起来使用,扩展了链路带宽;链路汇聚支持负载均衡,能够把流量均匀地分派给各成员链路。SVI接口SVI能够做为本机的管理接口,经过该管理接口管理员可管理设备。用来实现三层交换的逻辑接口。一、交换机基本源理——交换机接口交换机接口表示图:一、交换机功能介绍——交换机接口交换机接口表示图二、交换机功能介绍1、VLAN管理2、ACL3、IGMP4、DHCP5、端口管理二、交换机功能介绍——VLAN管理什么是VLAN?VLAN有什么用?虚假局域网,VirtualLocalAreaNetwork,虚假局域网是一种经过将局域网内的设备逻辑地而不是物理地区分红一个个网段从而实现虚假工作组的技术。用于在二层交换机上切割广播域的技术,使第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其余的VLAN之中。没有区分vlan时报文转发区分vlan后报文转发二、交换机功能介绍——VLANVLAN中几个基本看法:(1)VID(2)PVID(或称NativeVlan)(3)AllowedVlan端口操作模式VIDPVID

(或称NativeVlAN)AllowedVlANAccess1、VLAN标识符;2、默认为

Vlan1。

--

--Trunk

--1、端口的虚拟局域网ID号,关系到端口收发数据帧时的VLANTAG标记;2、默认为

Vlan1。1、标识出允许哪些vlan通过;

2、默认允许AllowedVLAN为VLAN1,可设置让多个VLAN通过。Hybrid

--1、端口的虚拟局域网ID号,关系到端口接收数据帧时的VLANTAG标记。2、默认为Vlan1。1、同Trunk口

2、同Trunk口

3、可设置在端口发送(转发出去)该数据帧时是否带上允许通过的vlan的VLANTag,在接收时设置是否带tag没有影响。三种操作模式下端口VID、PVID和Allowedvlan对照VLAN中的报文转发二、交换机功能介绍——VLAN端口操作模式入方向出方向access1、untag报文,打上端口vid的

TAG后接收。

2、tag报文,判断报文tagvid是否等于端口vid,等于则接收;否则丢弃。判断报文tagvid是否等于端口vid,等于则剥离tag后转发;否则丢弃。trunk1、untag报文,打上端口Nativevid的

TAG后,并判断

Nativevid是否在allowedvlan列表中,在则接收,不在则丢弃;

2、tag报文,判断报文tagvid是否在allowedvlan列表中,在则接收,否则丢弃。1、报文tagvid不在allowedvlan列表中,丢弃。

2、报文tagvid在allowedvlan列表中,进一步判断报文tagvid是否等于Nativevid,等于则剥离tag后转发,否则直接转发。hybrid同trunk模式1、报文tagvid不在allowedvlan列表中,丢弃。

2、报文tagvid在allowedvlan列表中,再判断报文tagvid与端口的allowedvlan列表中对应vlan是untag还是tag,是untag则剥离tag后转发,否则(设置为tag)直接转发Vlan中报文转发接见控制列表(AccessControlList,ACL):经过配置一系列般配规则,对指定数据流(如限制的源IP地址、端口号等)执行赞成或禁止经过,来辨别特别种类报文的流量过滤器。主要作用:(1)防范非法的主体进入受保护的网络资源。(2)赞成合法用户接见受保护的网络资源。(3)防范合法的用户对受保护的网络资源进行非受权的接见。ACL使用接见控制条目(ACE)控制用户和组的接见权。ACE有permit和deny两种控制方式。支持3种接见控制列表:(1)标准IP接见控制列表(2)扩展IP接见控制列表(3)扩展MAC接见控制列表二、交换机功能介绍——ACLACL总结:二、交换机功能介绍——ACL类型配置说明标准IP访问控制列表1、可配置10个列表(编号:0-9);

2、每个列表可配置10个ACE(编号0-9),默认是0;

3、对收到的报文的源IP进行控制:

a.任意源IP地址

b.指定源IP地址范围。扩展IP访问控制列表1、可配置10个列表(编号:10-19);

2、每个列表可配置10个ACE(编号0-9),默认是0;

3、对收到的报文的源IP和目的IP进行控制:

a.任意IP地址

b.指定IP地址范围。

4、可以指定收到报文时过滤那些协议的报文,常见的有:

a.IPb.IGMPc.TCPd.UDP

其中,指定过滤TCP、UDP协议报文时,同时可以指定过滤具体某个源端口/目的端口的TCP、UDP协议报文。扩展MAC访问控制列表1、可配置6个列表(编号:20-25);

2、每个列表可配置10个ACE(编号0-9),默认是0;

3、对收到的报文的源MAC和目的MAC进行控制:

a.任意MAC地址

b.指定某个MAC地址。

4、可指定过滤具体某个以太头类型的报文。

太头类型范围:0x0000-0xffffACL三种种类总结什么是IGMPSnooping?IGMPSnooping是InternetGroupManagementProtocolSnooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播拘束体制,用于管理和控制组播组。二、交换机功能介绍——IGMPSnooping运行IGMPSnooping后交换机运行IGMPSnooping前后对照:组播IP与组播MAC地址对应关系:二、交换机功能介绍——IGMPSnooping11100000000100000000010111100IP组播地址后23位映射到MAC地址中32位IP组播地址48位MAC地址(以太网/FDDI)此5位地址不作映射,因此32个IP组播地址映射成一个MAC地址简而言之,组播MAC地址前24固定为0x01-00-5e,倒数第24为0,后23位是将IP组播地址后23位映照而来。二、交换机功能介绍——IGMPSnoopingIGMP版本:IGMPv1、IGMPv2、IGMPv3Version查询报告IGMPV1普遍组查询成员报告IGMPv2普遍组查询成员报告特定组查询:相比v1增加了特定组播组的查询离开报文:相比v1增加了组播成员离开机制IGMPv3普遍组查询成员报告(6种类型,相比v1和v2增加了对组播源的控制):

(1)Mode-is-Include(G,S)

(2)Mode-is-Exclude(G,S)

(3)Change-to-Include(G,S)

(4)Change-to-Exclude(G,S)

(5)Allow-new-source(G,S)

(6)Block-old-source(G,S)特定组查询特定源组查询:相比v1和v2增加了对组播源的控制IGMPSnooping的工作原理运行IGMPSnooping的二层设备经过对收到的IGMP报文进行分析,为端口和MAC组播地址成立起映照关系,并依据这样的映照关系来转发组播数据。IGMPSnooping的有关端口交换机将本设备上的所有路由器端口和成员端口分别记录到路由端口列表和成员端口列表中,依靠这两个列表来转发组播数据,并对其进行及时保护。二、交换机功能介绍——IGMPSnooping(1)路由端口交换机上朝向三层组播设备(DR或IGMP盘问器)一侧的端口。(2)成员端口又称组播成员端口,表示交换机上朝向组播构成员一侧的端口。路由端口列表更新(1)收到IGMP广泛组盘问报文(IGMPv1/v2/v3)a.假如在路由器端口列表中已包含该动向路由器端口,则重置其老化准时器;b.假如在路由器端口列表中还没有包含该动向路由器端口,则将其增加到路由器端口列表中,并启动老化准时器。(2)收到IGMP特定组盘问报文(IGMPv2/v3)a.假如接收端口为一已存在的动向路由器端口,则重置其老化准时器;b.假如接收端口不是一已存在的路由器端口,则将这个接收端口增加到路由器端口列表中,并启动其老化准时器。(3)收到IGMP特定源组盘问报文(IGMPv3)a.假如接收端口为一已存在的动向路由器端口,则重置其老化准时器;b.假如接收端口不是一已存在的路由器端口,则将这个接收端口增加到路由器端口列表中,并启动其老化准时器。(4)交换机为每个动向路由连结口都启动一个准时器,其超不时间就是动向路由连结口的老化时间。假如在其老化时间超时前没有收到IGMP盘问报文,交换机将把该端口从路由器端口列表中删除。二、交换机功能介绍——IGMPSnooping动向成员端口列表更新:(1)交换机为动向成员端口启动一个准时器,其超不时间就是动向成员端口老化时间。对于成员端口,假如在其老化时间超时前没有收到IGMP加入报文,交换机将把该端口从成员端口列表中删除。(2)收到IGMP成员关系报告报文(IGMPv1/v2/v3)a.假如不存在该组播组所对应的转发布项,则创立转发布项,将该端口作为动向成员端口增加到出端口列表中,并启动其老化准时器;b.假如已存在该组播组所对应的转发布项,但其出端口列表中不包含该端口,则将该端口作为动向成员端口增加到出端口列表中,并启动其老化准时器;c.假如已存在该组播组所对应的转发布项,且其出端口列表中已包含该动向成员端口,则重置其老化准时器。(3)收到IGMP走开组报文(IGMPv2/v3)假如要走开的组播组所对应的转发布项存在,且该组播组对应的转发布项的出端口列表中包含该端口,将该端口从组播组所对应的转发布项的出端口列表中删除。二、交换机功能介绍——IGMPSnoopingIGMPSnooping后对报文转发办理(1)收到IGMP广泛组盘问报文时,交换机将其经过VLAN内除接收端口以外的其余所有端口转发出去。(2)收到IGMP成员关系报告报文时,交换机将经过VLAN内的所有路由器端口将报告报文转发出去。(3)收到IGMP走开组报文时:a.假如不存在该组播组对应的转发布项,或许该组播组对应的转发布项的出端口列表中不包含该端口,则不办理这个报文。b.假如存在该组播组对应的转发布项,且该组播组对应的转发布项的出端口列表中包含该端口,将走开组报文从VLAN的所有路由器端口转发出去。(4)收到特定组盘问报文后,将其经过该组播组的所有成员端口转发出去。(5)收到特定源组盘问报文后,将其经过该组播组且组播源包含报文源IP的所有成员端口转发出去。二、交换机功能介绍——IGMPSnoopingDHCP8种报文(1)DHCPRequest报文(5种):DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline(2)DHCPReply报文(3种):DHCPOffer、DHCPACK、DHCPNAK二、交换机功能介绍——DHCPSnoopingDHCP交互过程:DHCP攻击表示图:DHCPSnooping的作用经过配置非相信端口,过滤伪(非法)DHCP服务器发送的DHCP报文二、交换机功能介绍——DHCPSnooping开启DHCP功能后XDHCPSnooping的工作体制:(1)相信(Trust)端口:端口可转发所有DHCP报文(2)非相信(Untrust)端口:端口拒绝转发DHCPOffer、DHCPACK、DHCPNAK报文。二、交换机功能介绍——DHCPSnooping所以,我们把合法的DHCPServer连结的端口设置为Tust口,其余口设置为Untrust口,即可以实现对非法DHCPServer的障蔽。1、风暴控制2、流量控制3、端口隔绝4、端口镜像5、端口聚合6、端口限速二、交换机功能介绍——端口管理风暴控制(1)风暴控制的作用当LAN中存在过度的广播、多播或未知单播数据流时,以致网络性能下降,甚至网络瘫痪。这种状况我们称之为LAN风暴。(2)工作体制经过设置风暴控制值,交换机端口只赞成经过所设定带宽的广播、多播或未知单播数据流经过,高出带宽部分的数据流将被抛弃,直到数据流恢复正常,从而防止过度的泛洪数据流进入LAN中形成风暴。(3)供应六种设置方式:二、交换机功能介绍——端口管理流量控制网络拥堵一般是因为速率不般配(如100M向10M端口发送数据)和突发的集中传输而产生的,它可能以致这几种状况:延时增加、丢包、重传增加,网络资源不可以有效利用。实现方法:(1)半双工:退后压力算法(backpressure)(2)全双工:IEEE802.3x流控:当端口堵塞时,交换机将会发送一个PAUSE帧告诉对方,此刻繁忙。暂停一段时间在发送。流控帧(PAUSE帧)是以太网帧的一种,格式以下:二、交换机功能介绍——端口管理0180.C200.0001SMAC88080001PAUSETIMEPADFCS6Octets6Octets2Octets2Octets2Octets42Octets4Octets其中:0001为以太网操作码,PAUSE帧的操作码固定为0x0001。PAUSETIME即暂停时间,其数值表示发送此PAUSE帧的站点要求对端收到PAUSE帧后暂停发送数据的时间,单位为pause_quanta,即传递512bit数据所用时间:0-65535端口隔绝有些应用环境下,要求交换机上的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论