交换机数据转发基本过程.docx
- 文档编号:11498506
- 上传时间:2023-03-02
- 格式:DOCX
- 页数:27
- 大小:31.86KB
交换机数据转发基本过程.docx
《交换机数据转发基本过程.docx》由会员分享,可在线阅读,更多相关《交换机数据转发基本过程.docx(27页珍藏版)》请在冰豆网上搜索。
交换机数据转发基本过程
交换机的数据转发基本过程
–二层交换机和网桥的基本功能
–冗余交换拓扑中的问题
–生成树协议
–交换机端口、冲突、交换方式
–虚拟局域网VLAN
•交换机的配置
–如何配置交换机
–基本命令
课程内容
以太网交换机
交换机的三个功能
–学习:
–以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
–转发/过滤:
–当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
–消除回路:
(回路就是我们常说的环路)
–当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机如何学习主机的位置
交换机如何学习主机的位置
交换机如何学习主机的位置
交换机如何过滤帧
广播帧和多点传送帧
冗余网络拓扑
广播风暴
广播风暴
广播风暴
重复帧
重复帧
MAC地址表不稳定
MAC地址表不稳定
冗余
简单的冗余交换拓扑
创建逻辑无环路拓扑
•1.冗余增加了可靠性,但是同时将物理环路带进网络。
•2.解决办法就是创建逻辑无环路拓扑,同时保留物理环存在
•3.无环路拓扑称为树,并且是可扩展的树
•4.创建无环路拓扑的算法称为生成树算法
STP术语(STPTerms)
•1.桥ID(BridgeID)
•2.开销(Cost)
•3.桥协议数据单元(BPDU)
桥ID(BridgeID)
新IEEE标准的COST值
•最短路径是cost累加,而cost是基于链路的速率的。
桥协议数据单元(BPDU)
•1.交换机发送的创建逻辑无环路的数据包称为BPDU
•BridgeProtocolDataUnit(BPDU).
•2.BPDU在阻塞的接口上也可以接收,这确保如果链路或设备出现问题,新的生成树会被计算
•3.默认,BPDU2秒发送一次
生成树协议
生成树操作
•1.选举根桥,BID最小即是
•2.计算自己到根桥距离
•3.选择根端口,距离根桥最近的接口
•4.选指定端口和非指定端口,非指定端口被阻塞。
生成树操作规则
STP实例
生成树示例1
生成树示例2
所有的交换机为缺省STP配置,所有的链路都是快速以太网。
哪个交换机的哪个端口将被STP协议阻塞以维持不成环路?
生成树端口状态
生成树端口状态
•1.在阻塞状态,端口仅能接收BPDU,需要20秒改变这种状态
•2.在侦听状态,交换机确定是否有到根桥的其它路径。
该状态持续15秒。
在该状态,用户的数据不能转发,也不能学习MAC地址。
•3.在学习状态,用户的数据不能转发,但是可以学习MAC地址,该状态持续15秒。
•4.在转发状态,用户数据被转发,MAC地址继续学习,BPDU仍然工作。
STP的收敛(Convergence)
思考题
1.环路的存在,会导致广播风暴、多帧拷贝和MAC地址表不稳定的问题。
2.交换机的ID由桥优先级和桥MAC地址组成。
3.选举根桥时,具有较低值的桥ID的交换机会成为根桥。
4.100M链路的新STPCost为19。
5.STP收敛后根端口和指派端口是处于转发状态的。
6.缺省时,转发延时为50秒,Hello时间为15秒,BPDU的存活时间为20秒。
8.STP中,交换机的端口有阻塞、侦听、学习和转发状态。
半双工和全双工以太网操作
局域网交换机输入输出接口
三层交换机
虚拟局域网
LAN(LocalAreaNetwork)的中文名为局域网。
而VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网”。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN概述
VLAN特点
VLAN的产生原因-广播风暴
VLAN的起源——基于端口分组
VLAN的帧格式
帧在网络通信中的变化
广播包在二层网络中的传播
VLAN操作
VLAN操作
VLAN操作
VLAN成员模式
VLAN链路
IEEE802.1QTrunk
本征VLAN(NativeVLAN)
问题1:
两个设备不能通信
阶段练习
课程内容
交换机基本配置
交换机的串口访问方法
注意事项
交换机的启动2-1(华为S2016-EI示例)
交换机的启动2-2
视图分类
配置模式
普通用户模式
特权模式基本命令
全局配置模式
配置接口
[Quidway]interfaceEthernet0/1
[Quidway-Ethernet0/1]
TELNET连接认证设置
本地用户设置
登陆界面及等级切换
保存配置
交换机VLAN配置
VLAN基本配置
VLAN的划分及配置:
ACCESS
VLAN的划分及配置:
TRUNK
管理VLAN及IP的配置
二层交换机配置分析
二层交换机配置分析
用QuidwayS2016-E1简单组网案例拓朴图
目标:
PCA和PCC同属于一个VLAN2且能相互通信。
PCB和PCD同属于另一个VLAN3且能相互通信。
两台S2016-E1用1根100M网线通过Trunk链路互连
用QuidwayS2016-E1简单组网案例配置清单
•配置VLAN:
交换机A&交换机B
–[huawei]vlan3
–[huawei-vlan2]portEthernet0/3
–[huawei-vlan2]vlan4
–[huawei-vlan3]portEthernet0/4
•配置接口
–[huawei]interfaceEthernet0/1
–[huawei-Ethernet0/1]portlink-typetrunk
–[huawei-Ethernet0/1]porttrunkpermitvlan3to4
•设置主机IP地址
阶段提示
•掌握路由器基本原理
•能够利用一些常用命令配置路由器
路由器的概念、基本构成
路由器的作用
路由器工作流程
路由表
QuidwayR1602
配置路由器
通过console口配置
建立本地配置环境
步骤一:
连接配置电缆
步骤二:
创建超级终端
通过拨号线路远程配置路由器
•将路由器和微机分别与modem连接
通过Telnet配置本地路由器
通过哑终端配置
通过FTP配置
命令行概述
路由器启动输出信息
未配置过和配置过的路由器启动信息对比
安装:
初始化对话交互式配置路由器
登录到路由器
路由器联机帮助信息
路由器联机帮助信息
路由器模块概述
保存配置
配置路由器标识
–为接入路由器或接口设置本地标识或消息
配置路由器密码
配置一个接口
配置一个串口
打死或激活接口
IP地址介绍
配置路由器的IP地址
路由器查看接口命令
接口状态解释
检查串口配置
串口查看接口控制器命令
基本的访问控制列表ACL配置命令
查看ACL配置命令
进入路由器配置界面
普通用户模式命令列表
系统视图命令列表
接口视图命令列表
在线帮助
命令行错误信息
历史命令
编辑特性
显示特性
基本操作命令
常用display命令
displayversion
displaycurrent-configuration
displayinterface:
显示接口信息
调试命令:
debugging,info-center
ping:
测试工具
tracert:
测试工具
本章内容回顾
•路由器工作原理
•通过console口本地和远程配置路由器
•系统视图和接口视图的区别
•常用的路由器命令和小工具
课程内容
防火墙(Firewall)定义
•防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件:
Ø内部和外部之间的所有网络数据流必须经过防火墙;
Ø只有符合安全政策的数据流才能通过防火墙;
Ø防火墙自身能抗攻击;
•防火墙=硬件+软件+控制策略
常见的威胁
•粗心大意或不满的员工
–社交工程攻击
•恶意代码
–病毒、蠕虫、特洛伊木馬、恶作剧程序
•恶性的竞争对手
•黑客
对防火墙的需求
•网络规模/流量增长的需求
•可靠性的需求
•DOS攻击防范的需求
•蠕虫病毒防范的需求
•日志性能需求
安全的建议及控制能力
•妥善的配置
•完善的管理
•持续的审计
防火墙技术带来的好处和基本特性
防火墙带来的好处:
•强化安全策略
•有效地记录Internet上的活动
•隔离不同网络,限制安全问题扩散
•是一个安全策略的检查点
防火墙的基本特性:
•内部网和外部网之间的所有网络数据流都必须经过防火墙
•只有符合安全策略的数据流才能通过防火墙
•防火墙自身应具有非常强的抗攻击能力
防火墙的功能
•访问控制:
隔断、过滤、代理
•加密
•授权认证
•地址翻译(NAT)
•VPN
•负载均衡
•内容安全:
病毒扫描、URL扫描、HTTP过滤
•日志记帐、审计报警
防火墙的局限性
•不能阻止那些绕开防火墙的攻击
•不能防止内部攻击
•不能防止全新的威胁
•不能防止病毒感染程序或文件的传输
•当使用端-端加密时,其作用会受到很大的限制
•对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
防火墙性能指标
•功能指标
–防火墙类型(包过滤/电路层网关/应用代理)
–支持的网络接口类型(10M/100M/1000M)
–支持的协议(对于代理服务器)
–是否支持地址翻译(NAT),虚拟专网(VPN)
–如何扩展,怎样实现负载平衡(LoadBalancing)
–用户身份验证方式:
口令,RADIUS/Kerberos
–实时监控、审计、报警能力
–管理与维护的能力
•性能指标:
–对不同大小的包的转发能力(pps)
–并发会话数目(对于状态包过滤、代理服务器)
–最大允许的规则数目
–是否具有自动加固宿主机功能
–可靠性,稳定性,是否提供双机热备份功能
•防火墙测试的标准RFC2979
安全缺省策略
•两种基本策略,或缺省策略
–一切未被禁止的就是允许的
•管理员必须针对每一种新出现的攻击,制定新的规则
•需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。
这种方法构成了一种更为灵活的应用环境,可以为用户提供更多的服务,其缺点在于很难提供可靠的安全防护。
–一切未被允许的就是禁止的
•比较保守
•根据需要,逐渐开放
•需要确定所有可以被提供的服务以及它们的安全性,然后,开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。
优点是可以造成一种十分安全的环境,其缺点在于用户所能使用的服务范围受到很大限制。
防火墙术语
•网关:
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
•DMZ非军事化区:
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
•吞吐量:
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
这是测量防火墙性能的重要指标。
•最大连接数:
和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
•数据包转发率:
是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
•并发连接数目:
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
防火墙的应用模式
●透明模式
–透明模式:
看上去与基于TCP/IP协议二层的设备类似,防火墙的端口上没有IP地址,只有一个用于管理的VLANIP。
–适用的环境:
一般用于处于相同网段的不同网络之间的隔离。
–优点:
设置实现的方式比较简单,相关网络的设备不必进行调整,简化网管人员的工作量。
●NAT模式
–类似于基于TCP/IP第三层协议的设备,通过协议端口或ip替换的方式实现地址转发和访问。
–适用的网络环境:
公网地址数量不能满足网络中的设备每个都拥有一个公共IP地址的情况。
–优点:
针对内网对互联网的访问,可以大量节省公共IP地址。
●路由模式
–类似于基于TCP/IP第三层协议的设备,在通过防火墙设备时,IP地址信息不发生替换,以源地址的方式访问互联网。
–适用的网络环境:
内部网络同样使用公共IP地址的客户环境。
–优点:
路由关系清晰。
防火墙的体系结构
1、筛选路由器结构(基本原理结构)
筛选路由器是防火墙最基本的构件。
它一般作用在网络层(IP层),按照一定的安全策略,对进出内部网络的信息进行分析和限制,实现报文过滤功能。
该防火墙优点在于速度快等,但安全性能差。
防火墙的体系结构
2、双宿主主机结构(堡垒主机模式)
双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。
堡垒机上运行着防火墙软件,可以转发应用程序,提供服务等。
内外网络之间的IP数据流被双宿主主机完全切断。
用堡垒机取代路由器执行安全控制功能。
防火墙的体系结构
3、屏蔽主机网关结构(屏蔽主机模式)
屏蔽主机网关结构中堡垒机与内部网相连,用筛选路由器连接到外部网上,筛选路由器作为第一道防线,堡垒机作为第二道防线。
这确保了内部网络不受未被授权的外部用户的攻击。
该防火墙系统提供的安全等级比前面两种防火墙系统要高,主要用于企业小型或中型网络。
防火墙的体系结构
4、屏蔽子网结构(引入非军事区的屏蔽子网模式)
屏蔽子网结构,就是在内部网络和外部网络之间建立一个被隔离的子网,这个子网可有堡垒主机等公用服务器组成,用两台筛选路由器将这一子网分别与内部网络和外部网络分开。
内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网进行通信,从而进一步实现屏蔽主机的安全性。
防火墙的技术分类
•包过滤型防火墙
•状态检测防火墙
•应用级网关型防火墙
•代理服务型防火墙
•复合型防火墙
前三种防火墙的比较
与防火墙联动的其他安全技术
•基于网络的入侵检测系统(IDS)
•应急响应系统
•IPSecVPN网关
•安全审计
IPSecVPN网关
与IDS联动构成应急响应系统
NAT(NetworkAddressTranslation)
•在RFC1597中定义了内部网地址(或称专网,PrivateInternet,Intranet)
•有部分IP地址被IANA组织定义用作内部网地址:
∙10.0.0.0-10.255.255.255
AsingleClassAnetwork
∙172.16.0.0-172.31.255.255
16contiguousClassBnetworks
∙192.168.0.0-192.168.255.255
256contiguousClassCnetworks
NAT技术(RFC1631)
•NAT技术可以在路由器(边界)、防火墙上实现内外地址的翻译工作
•NAT可以划分为以下两种类型(从发起者的报文):
–源网络地址转换(SourceNAT,缩写为SNAT),即IP伪装
–目的网络地址转换(DestinationNAT,缩写为DNAT)。
•实现方式(从地址转换的对应关系看):
–静态NAT(staticNAT)-一一对应
–动态NAT(DynamicNAT)-多对多
–过载(Overloading)-一对多
•作用
–SNAT
•复用内部的全局地址,解缓IP地址不足的压力
•向外部网络隐藏内部网络的IP地址
–DNAT
•流量均衡
NAT的工作原理
•客户机将数据包发给运行NAT的计算机
•NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息。
•外部网络发送回答信息给NAT
•NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。
NAT技术举例
通常的连接方案示例
通常的实物连接方案
课程内容
PIX防火墙通用维护命令
PIXFirewall515模块
访问模式
PIX防火墙基本命令
–enable,enablepassword,passwd
–writeerase,writememory,writeterminal
–showinterface,showipaddress,showmemory,showversion,showxlate
–exitreload
–主机name,ping,telnet
enable命令
–允许进入不同的访问模式
enablepassword和passwd命令
–设置进入特权模式的访问密码.
write命令
–writenet:
将存储当前配置的文件写入到TFTP服务器上
–writeerase:
清除Flash中的配置
–writefloppy:
将配置文件写入软盘
–writememory:
将配置文件写入到Flash
–writeterminal:
显示存储在Flash中的配置信息
show命令
showhistory
showmemory-显示系统内存的使用情况
showinterface命令
showipaddress命令
主机nameandping命令
name命令
telnet命令
–指定可以telnet连接到控制台的主机地址
http命令
–设定允许以http访问防火墙的地址范围
PIX防火墙的6个常用配置命令
PIX防火墙常用命令
–nameif
–interface
–ipaddress
–nat
–global
–Route
nameif
nameif命令用来命名接口并分配安全等级
interface
ipaddress
–ipaddress用来给每个物理接口分配地址
nat
–nat命令用来联系一个网络和一个全局IP地址池
NAT示例
global
–建立一个全局地址池,与nat联合使用
网络地址转换(NAT)配置实例
route
–route命令为指定的接口输入一条静态或缺省的路由
05.IP路由协议-课程目标
•描述路由表的作用
•配置静态路由
•描述距离矢量路由协议原理
•配置RIP路由协议
•了解OSPF路由协议原理和配置
05.IP路由协议-课程内容
什么是路由?
显示路由表信息
[Quidway]displayiprouting-table
RoutingTables:
Destination/MaskprotoprefMetricNexthopInterface
0.0.0.0/0Static600120.0.0.2Serial0
8.0.0.0/8RIP1003120.0.0.2Serial0
9.0.0.0/8OSPF105020.0.0.2Ethernet0
9.1.0.0/1RIP1004120.0.0.2Serial0
11.0.0.0/8Static600120.0.0.2Serial0
20.0.0.0/8Direct0020.0.0.1Ethernet0
20.0.0.1/32Direct00127.0.0.1LoopBack0
......
路由的来源(Protocol)
路由优先级(Preference)
路由的花费(Metric)
05.IP路由协议-课程内容
静态路由配置
静态路由配置示例
缺省路由配置示例
路由自环
05.IP路由协议-课程内容
05.IP路由协议-课程内容
动态路由协议在协议栈中的位置
路由协议的基本原理
(一)
路由协议的基本原理
(二)
自治系统(AS)
IGP&EGP
按寻径算法划分
路由协议之间的互操作
衡量路由协议的一些性能指标
现有路由协议的性能比较
05.IP路由协议-课程内容
距离矢量算法
距离矢量协议路由发现
距离矢量协议拓朴变化
05.IP路由协议-课程内容
路由环路
定义一个最大值
方案一:
水平分割
方案二:
路由中毒和抑制时间
方案三:
触发更新
在多路径情况下的解决方案
05.IP路由协议-课程内容
RIP协议概述
(一)
RIP协议概述
(二)
RIP路由表的初始化
RIP路由表的更新
RIP协议配置命令
RIP协议配置命令(续)
RIP协议配置举例
RIP协议配置举例---配置命令
(一)
RIP协议配置举例---配置命令
(二)
RIP协议配置举例---配置命令(三)
显示RIP协议配置信息
RIP协议的debug信息
05.IP路由协议-课程内容
OSPF协议概述
OSPF协议的一些基本概念
OSPF通过链路状态描述网络的拓朴结构
OSPF协议计算路由过程
OSPF的五种协议报文
OSPF划分区域
骨干区域与虚连接
OSPF协议的基本配置
本章总结
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换机 数据 转发 基本 过程
![提示](https://static.bdocx.com/images/bang_tan.gif)