安全风险管理体系培训讲稿2010年12月

交换机工作原理2010年12月学习目标·了解以太网基础知识·熟悉以太网交换机结构及原理·掌握以太网交换机工作流程•第一章以太网基础知识•第二章VLAN基础知识•第三章以太网交换机原理•第一章以太网基础知识第一节以太网的发展历史与现状第二节以太网的基本概念第三节以太网的标准20世纪60年代末：NormanAbramson提出使用共享的公共传输信道思想，成为以太网中的关键概念之一。1972-1977：在NormanAbramson理论基础上XeroxPARC创建首台以太网，在1km长的电缆上互连了超过100台计算机。1979-1983：DEC、InteI和Xerox将以太网标准化，即以太网Ⅱ或以太网DIX（Digital，Intel和Xerox），带宽为10Mb/s的以太网。1980-1982：制定IEEE802.3标准，与以太网Ⅱ标准类似，在此期间3Com将以太网产品化，继而实现了产业化。以太网发展历史基本所有终端用户都通过以太网接口进行数据流量的发送和接收。目前在很多情况下以太网成为了局域网的代名词。以太网在局域网中表现出很多优势，如技术配置简单、组网灵活、价格低廉，正在逐渐使其成为城域网、广域网、NGN、3G的承载网络，成为主流传送网技术之一。以太网发展现状•第一章以太网基础知识第一节以太网的发展历史与现状第二节以太网的基本概念第三节以太网的标准特点：站点独立工作、广播、共享物理信道冲突问题：以太网上由于多台计算机争用传输介质，两台或以上计算机发出的信号在同一段介质上叠加，而引起的信号错误。解决冲突的机制——CSMA/CD•载波侦听（先听后发）：站点监听媒体,只有媒体空闲才可以发送数据.降低冲突概率•多址访问：一个源节点发出的信息可同时到达多个站点传统以太网工作机制PC1PC2PC4PC3HUBPRE:先导字节,7个10101010SFD:帧开始标志,10101011DA:目的MAC地址SA:源MAC地址L/T:帧长度（值=1500）/类型（值1500）DATA:数据字段PAD:填充字段CRC:校验字段以太网帧结构DASAL/TDATA/PAD646PRESFD17CRC246-150064-1518ByteByte发送顺序：高字节在前，低字节在后，字节中低位在前，高位在后；发出的第一个比特为0是单播，否则为组播或广播字段。以太网帧发送顺序类型MAC地址发送顺序Unicast00-d0-d0-fc-00-010000,0000-0000,1011-……Multicast01-00-33-22-11-aa1000,0000-0000,0000-……Broadcastff-ff-ff-ff-ff-ff1111,1111-1111,1111-……•第一章以太网基础知识第一节以太网的发展历史与现状第二节以太网的基本概念第三节以太网的标准IEEE制定了一系列局域网方面的标准，802.3协议簇制定了以太网的标准。IEEE802.2：LLC（逻辑链路控制）标准IEEE802.3：10M以太网标准IEEE802.3u：100M以太网标准IEEE802.3z：1000M以太网标准IEEE802.3ab：1000M以太网运行在双绞线上的标准以太网相关标准•第二章VLAN基础知识第一节VLAN基本原理第二节VLAN数据转发共享网段的终端之间收到彼此发出广播报文，该共享网段即为一个广播域。广播域的大小影响以太网的工作效率，解决方法就是是减小广播域，于是诞生VLAN（VirtualLocalAreaNetwork）技术。VLAN即虚拟局域网，它是一种将一个物理网络划分成多个逻辑（虚拟）的局域网的技术。一个VLAN在逻辑上等价于一个广播域。VLAN的产生PC1PC2VLAN10VLAN20PC4PC3SW便于管理限制广播包安全性VLAN的优点基于端口根据以太网交换机的端口来划分，明确指定各端口属于哪个VLAN。基于MAC地址即使计算机改变了所连接的端口，交换机仍会查出它的MAC地址，并正确指定端口所属的VLAN。基于网络层协议将物理网络划分成基于协议的逻辑VLAN。在端口接收帧时，它的VLAN由该信息包中的协议类型决定。基于IP子网即使计算机改变了所连接的端口，交换机仍会通过IP地址正确指定端口所属的VLAN。VLAN实现方式SATAGL/TDATA/PAD646CRC246-1500ByteDA4TCITPID22BytePRIVIDCFI1213bit802.1Q以太网帧（带TAG的以太网帧）NAMEVLUETPID8100PRI优先级CFI0说明是规范格式，1为非规范格式VIDVLANIDAccess端口不能识别带TAG的帧，连接终端。Trunk端口交换机之间互连链路，传输的帧携带TAG信息，如果在该链路上接收到不包含VLAN信息的帧,则丢弃。Hybrid端口既能接收TAG帧,也能接收UNTAG帧，有一个默认VLAN用于接收UNTAG帧。VLAN端口类型•第二章VLAN基础知识第一节VLAN基本原理第二节VLAN数据转发入端口侧的处理当收到一个非TAG帧时，根据入端口的PVID来决定在哪个VLAN中转发；当收到一个TAG帧时，分为两种情况：•当TAG中携带的VID包含在入端口所属的VLAN集合中时，转发到该VLAN中；•当TAG中携带的VID不包含在入端口所属的VLAN集合中时，作丢弃处理。出端口侧的处理由出端口在该VLAN中是否打TAG来决定，配置了打TAG则打TAG出去，否则不打。交换机内部转发不管接收到的帧是TAG或UNTAG帧，交换机内部交换时，都是打上TAG进行交换。VLAN数据转发•第三章以太网交换机原理与结构第一节以太网交换机基本功能第二节以太网交换机二层工作过程第三节以太网交换机三层工作过程以太网交换机的基本功能是对收到的数据帧进行转发。转发数据帧的过程称为透明桥接。透明桥接的基本要求就是对其转发的帧结构不做任何改动与处理（VLAN的trunk线路除外）。基本功能PC1PC2HUB•第三章以太网交换机原理与结构第一节以太网交换机基本功能第二节以太网交换机二层工作过程第三节以太网交换机三层工作过程获取（学习过程）:MAC地址学习转发和过滤消除循环（避免环路）以太网交换机的二层工作过程PC1PC3PC2SW以太网交换机收到数据流的第一个数据帧，剥取源MAC地址，建立MAC地址表，即MAC地址学习。交换机维护MAC地址表，MAC地址表是MAC、vlanID、portID对应表，MAC地址表决定交换机的数据转发过程。多播情况下MAC表项的建立不是通过学习得到的，而是通过CPU配置得到的。学习PC1PC3PC2SWMAC出口0011.ABCD.0001PC10022.ABCD.0002PC20033.ADCB.0003PC3交换机接收到数据帧后，根据目的MAC地址查询MAC表，找到对应出口后，把数据包从该出口发送出去。在单播的情况下，出口列表只有一个端口在多播（组播与广播）情况下，出口列表就可能是多个端口。转发PC1PC3PC2SWMAC出口0011.ABCD.0001PC10022.ABCD.0002PC20033.ADCB.0003PC3•第三章以太网交换机原理与结构第一节以太网交换机基本功能第二节以太网交换机二层工作过程第三节以太网交换机三层工作过程交换机可以完成VLAN间通信。此时，它需要实现两个软件模块：路由处理模块（RP）数据转发模块（DF）RP的功能是用来控制DF，建立VLAN间转发数据表；DF的功能是转发VLAN间通信数据包。如果VLAN间路由信息变化，则RP发控制信息给DF，DF重新建立转发路径。三层工作过程（1）PC1PC2DFRPVLAN10VLAN20控制信息流数据信息流建立不完全转发表项：DF接收到一个数据包之后，检查目的MAC是不是RP，如果是，则建立不完全转发项（S_MAC，S_IP，D_IP，NULL）；建立完全转发表项：DF从RP上接收到另一个数据包，该数据包跟（S_IP，D_IP）匹配，则把不完全转发表项补充完全（S_MAC，S_IP，D_IP，I_OUT），以后按照该转发项转发。第一个数据包总是发往RP处理，如果多层转发项建立成功，则后续数据包按照多层转发项处理。三层工作过程（2）PC1PC2DFRPVLAN10VLAN20如果RP上关于VLAN间的路由表发生变化，则通知DF，DF把相应的多层转发项删除。三层工作过程（3）PC1PC2DFRPVLAN10VLAN20控制信息流数据信息流性能差别：传统的路由器基于微处理器转发报文，靠软件处理，而三层交换机通过ASIC硬件来进行报文转发，性能差别很大；接口类型差别：三层交换机的接口基本都是以太网接口，没有路由器接口类型丰富；功能差别：三层交换机可以工作在二层模式，对某些不需路由的包文直接交换，而路由器不具有二层的功能。三层交换和三层路由的区别CISCO交换机命令简析switch用户模式1：进入特权模式enableswitchenableswitch#2：进入全局配置模式configureterminalswitchenableswitch＃configureterminalswitch(conf)#3：交换机命名hostnameaptech2950以aptech2950为例switchenableswitch＃configureterminalswitch(conf)#hostnameaptch-2950aptech2950(conf)#4：配置使能口令enablepasswordcisco以cisco为例switchenableswitch＃configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablepasswordcisco5：配置使能密码enablesecretciscolab以cicsolab为例switchenableswitch＃configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablesecretciscolab6：设置虚拟局域网vlan1interfacevlan1switchenableswitch＃configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacevlan1aptech2950(conf-if)#ipaddress192.168.1.1255.255.255.0配置交换机端口ip和子网掩码aptech2950(conf-if)#noshut是配置处于运行中aptech2950(conf-if)#exitaptech2950(conf)#ipdefault-gateway192.168.254设置网关地址7：进入交换机某一端口interfacefastehernet0/17以17端口为例switchenableswitch＃configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacefastehernet0/17aptech2950(conf-if)#8：查看命令showswitchenableswitch#showversion察看系统中的所有版本信息showinterfacevlan1查看交换机有关ip协议的配置信息showrunning-configure查看交换机当前起作用的配置信息showinterfacefastethernet0/1察看交换机1接口具体配置和统计信息showmac-address-table查看mac地址表showmac-address-tableaging-time查看mac地址表自动老化时间9：