第七次課交換機

1、第7章 交換機基本概念和基本配置,李桂青,復(fù)習(xí),路由器的配置直連路由靜態(tài)路由協(xié)議動態(tài)路由協(xié)議RIP、OSPF、EIGRP,主要內(nèi)容,一、何謂交換機二、交換機的分類三、交換機的功能四、交換機與路由器的區(qū)別五、交換機的基本配置六、交換機上的安全,一、何謂交換機,交換機，英文名稱為Switch，它是一種基于MAC地址(網(wǎng)卡的硬件地址)識別，能夠在通信系統(tǒng)中完成信息交換功能的設(shè)備。,MAC地址,查看本機Mac地址命令： ipco

2、nfig –all00-1C-25-CB-E4-92 12位點分十六進制 二進制 48位 二進制---十六進制,,二進制-十六進制,1化4 4合1二進制 十六進制0000 00001 11010 ？,Mac地址是全球唯一的，由IEEE對其進行管理和分配

3、。每個地址由兩部分組成，分別是供應(yīng)商代碼和序列號。其中前2 4位二進制代表該供應(yīng)商代碼。剩下的24位由廠商自己分配。,如果48位全是1，則表明該地址是廣播地址。如果第8位是1，則表示該地址是組播地址。,,二、交換機的分類,從應(yīng)用區(qū)域劃分：廣域網(wǎng)交換機和局域網(wǎng)交換機 廣域網(wǎng)交換機: 主要應(yīng)用于電信領(lǐng)域，提供通信基礎(chǔ)平臺。局域網(wǎng)交換機: 應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機及網(wǎng)絡(luò)打印機等。,二、交換機的分類,根據(jù)傳輸介質(zhì)

4、、傳輸速度以及發(fā)展歷史上看，局域網(wǎng)交換機有這樣一些類型：以太網(wǎng)交換機（10M）快速以太網(wǎng)交換機（100M）千兆以太網(wǎng)交換機萬兆以太網(wǎng)交換機FDDI交換機ATM交換機令牌環(huán)交換機……,三、以太網(wǎng)交換機功能,數(shù)據(jù)轉(zhuǎn)發(fā)專業(yè)說法：交換機轉(zhuǎn)發(fā)數(shù)據(jù)幀,直通方式交換機一旦檢測到數(shù)據(jù)幀的目的MAC地址就立即開始轉(zhuǎn)發(fā)幀,不做任何幀的校驗.,免碎片轉(zhuǎn)發(fā) 數(shù)據(jù)幀經(jīng)常在首部的64字節(jié)發(fā)生錯誤和沖突,如果頭64字節(jié)沒有CRC錯誤,則快速轉(zhuǎn)發(fā)

5、幀,這種方法一般認為是直通方式的一個特例.,存儲和轉(zhuǎn)發(fā)在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前,首先完成幀的緩存和CRC校驗,如果沒有錯誤,再按照目標MAC轉(zhuǎn)發(fā)數(shù)據(jù)幀.,交換機轉(zhuǎn)發(fā)數(shù)據(jù)幀的兩種方式：,,幀,Frame交換機所工作層次的數(shù)據(jù)包,,CRC校驗,數(shù)據(jù)冗余校驗碼。是數(shù)據(jù)通信領(lǐng)域中最常用的一種差錯校驗碼。生成多項式為G(x)=x4+x3+x+1， 可轉(zhuǎn)換為二進制數(shù)碼11011,,能學(xué)習(xí)終端設(shè)備的MAC地址能根據(jù)MAC地址表做分組轉(zhuǎn)發(fā)過濾能通

6、過STP(生成樹協(xié)議)實施環(huán)路避免,,MAC地址表,交換機初始時的 MAC地址表是空的.,地址學(xué)習(xí),工作站A向工作站C發(fā)送幀.交換機緩存工作站A的MAC地址到MAC地址表中.由于在MAC地址表中沒有C的MAC地址,交換機向除了E0接口之外的所有其他接口擴散(flooding)這個數(shù)據(jù)幀.在MAC地址表中的MAC地址缺省存留5分鐘.,地址學(xué)習(xí) (繼續(xù)),工作站D向工作站C發(fā)送數(shù)據(jù)幀.交換機緩存工作站D的MAC地址到端口E3中;交

7、換機將向除了E3之外的所有接口擴散這個數(shù)據(jù)幀,因為在MAC地址表中沒有工作站C的MAC地址.如果工作站C有回應(yīng),則交換機將緩存工作站C的MAC地址到MAC地址表中.,數(shù)據(jù)幀的過濾,工作站A向工作站C發(fā)送數(shù)據(jù)幀.由于目的MAC地址已經(jīng)獲得;因此,將按照MAC表中所指示的接口轉(zhuǎn)發(fā)數(shù)據(jù)幀,不會擴散幀.重新刷新工作站C的MAC地址超時時間.,過濾數(shù)據(jù)幀(繼續(xù)),工作站A向工作站B發(fā)送數(shù)據(jù)幀.由于工作站B的MAC地址和接收的數(shù)據(jù)幀處于相同

8、的接口,交換機將丟棄這個幀.,為什么提供數(shù)據(jù)過濾功能？？,四、交換機與路由器的區(qū)別,,1、數(shù)據(jù)轉(zhuǎn)發(fā)所依據(jù)的對象不同 路由器-IP地址 交換機-MAC地址2、功能不同 路由器-路由（選路） 交換機-交換數(shù)據(jù)3、傳統(tǒng)的交換機只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域,廣播域,二層交換機對所接收到的數(shù)據(jù)幀根據(jù)MAC地址進行二層轉(zhuǎn)發(fā)，沖突域被限制到了一個端口上。但是無法限制廣播域的大小。,工作站D發(fā)送廣

9、播或多播幀.二層交換機的接口處于不同的沖突域,但卻處于相同的廣播域中,交換機對于多播或廣播沒有抑制的能力;因此,將向除了接收端口之外的所有其他端口擴散這個幀.交換機從來也不學(xué)習(xí)多播或廣播地址.,廣播和多播數(shù)據(jù)幀,(1)主機X發(fā)送了一個廣播包. 兩臺交換機持續(xù)的周而復(fù)始地繁殖廣播流量,最終是網(wǎng)絡(luò)癱瘓. (2)透明橋和交換機不是路由器,它不會對分組做任何修改,也不會記錄到底經(jīng)過了多少個交換機,如果網(wǎng)絡(luò)中存在環(huán)路,分組有可能在環(huán)

10、路中不斷循環(huán)和增生,造成網(wǎng)絡(luò)擁塞,導(dǎo)致網(wǎng)絡(luò)中”路徑回環(huán)”問題的產(chǎn)生.,廣播風(fēng)暴,五、CISCO交換機配置基礎(chǔ),,思科交換機和路由器配置的基本命令都是相同的。,1、模式,用戶模式：只允許用戶訪問有限量的基本監(jiān)視命令。用戶執(zhí)行模式是在從 CLI 登錄到 Cisco 交換機后所進入的默認模式。用戶執(zhí)行模式由 > 提示符標識。 特權(quán)模式：允許用戶訪問所有設(shè)備命令，如用于配置和管理的命令，特權(quán)執(zhí)行模式可采用口令加以保護，使得只有獲得授權(quán)的

11、用戶才能訪問設(shè)備。特權(quán)執(zhí)行模式由 # 提示符標識。show、copy,1、模式,全局模式 （config）# 改名字、加密碼接口模式 （config-if）# 配置IP地址,2、幫助鍵,？：查看命令Tab：補齊命令上下方向鍵：查找已經(jīng)使用的命令,Catalyst交換機的初始啟動需要完成以下步驟：- 步驟 1：PC 或終端已連接到控制臺端口。,3、準備配置交換機,3、準備配置交換機,Catalyst交換

12、機的初始啟動需要完成以下步驟：- 步驟 2：終端仿真器應(yīng)用程序（如 HyperTerminal）正在運行且配置正確。,3、準備配置交換機,Catalyst交換機的初始啟動需要完成以下步驟：- 步驟 3：在控制臺上查看啟動過程,4、為交換機分配 IP 地址,為了實現(xiàn)遠程登錄，需要給交換機配置IP地址。#interface vlan1#ip address 192.168.1.1 255.255.255.0,5、單接口配置,配置雙

13、工和速度- 使用duplex接口配置命令來指定交換機端口的雙工操作模式。可以手動設(shè)置交換機端口的雙工模式和速度，以避免廠商間的自動協(xié)商問題。#interface f0/1#duplex full/half/auto#speed 10/100/1000/auto#shutdown(接口關(guān)，默認是開啟的),,接口工作方式,Full-全雙工Half-半雙工Auto-自動協(xié)商,,6、多接口配置,成組接口的配置#interface

14、 range f0/1-12#speed 100#interface range f0/1-3,0/7-10#switchport mode vlan 2,8、驗證命令,Show runShow interfacesShow ip interface brief,六、交換機上的安全,1、口令加密2、登錄標語3、常見攻擊4、配置端口安全性,1、配置口令選項,配置執(zhí)行模式口令- enable password 命令存在的一

15、個問題是，它將口令以可閱讀文本的形式存儲在 startup-config 和 running-config 中。- 在全局配置模式提示符下輸入 enable secret 命令以及所要的口令，這樣即可指定加密形式的enable口令。如果配置了enable secret口令，則交換機將使用enable secret口令，而不使用enable password口令。,配置加密口令- 人們普遍認同口令應(yīng)該加密，并且不能以明文格式存儲。-

16、 當從全局配置模式下輸入 service password-encryption 命令后，所有系統(tǒng)口令都將以加密形式存儲。,2、登錄標語,配置登錄標語 Cisco IOS 命令集中包含一項功能，用于配置登錄到交換機的任何人看到的消息。這些消息稱為登錄標語和當日消息 (MOTD) 標語。 所有連接的終端在登錄時都會顯示 MOTD 標語。在需要向所有網(wǎng)絡(luò)用戶發(fā)送消息時（例如系統(tǒng)即將停機），MOTD 標語尤其有用。,3、常見安全攻擊,MA

17、C地址泛洪- 主機 A 向主機 B 發(fā)送信息。交換機收到幀，并在其 MAC 地址表中查找目的 MAC 地址。如果交換機在 MAC 地址表中無法找到目的 MAC，則交換機將復(fù)制幀并將其從每一個交換機端口廣播出去。,常見安全攻擊,MAC地址泛洪 主機 B 收到幀并向主機 A 發(fā)送響應(yīng)。交換機隨后獲知主機 B 的 MAC 地址位于端口 2，并將該信息寫入 MAC 地址表。 主機 C 也收到從主機 A 發(fā)到主機 B 的幀，但是因為該幀的目

18、的 MAC 地址為主機 B，因此主機 C 丟棄該幀。,常見安全攻擊,MAC地址泛洪 由主機 A（或任何其它主機）發(fā)送給主機 B 的任何幀都轉(zhuǎn)發(fā)到交換機的端口 2，而不是從每一個端口廣播出去。,常見安全攻擊,MAC地址泛洪 攻擊者使用交換機的正常操作特性來阻止交換機正常工作。,常見安全攻擊,MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運行，交換機的 MAC 地址表就會始終保持充滿。當發(fā)生這種情況時，交換機開始將所有收到的幀從每一個端口廣播出去

19、，這樣一來，從主機 A 發(fā)送到主機 B 的幀也會從交換機上的端口 3 向外廣播。,4、配置端口安全性,在所有交換機端口上實施安全措施，以：-在端口上指定一組允許的有效MAC地址-只允許一個MAC地址訪問端口-指定端口在檢測到未經(jīng)授權(quán)的MAC地址時自動關(guān)閉,配置端口安全性,安全MAC地址有以下類型：-靜態(tài)安全MAC地址-動態(tài)安全MAC地址-粘滯安全MAC地址 實驗3,總結(jié),一、何謂交換機二、交換機的分類三、交換