第七次課交換機(jī)

1、第7章 交換機(jī)基本概念和基本配置,李桂青,復(fù)習(xí),路由器的配置直連路由靜態(tài)路由協(xié)議動(dòng)態(tài)路由協(xié)議RIP、OSPF、EIGRP,主要內(nèi)容,一、何謂交換機(jī)二、交換機(jī)的分類三、交換機(jī)的功能四、交換機(jī)與路由器的區(qū)別五、交換機(jī)的基本配置六、交換機(jī)上的安全,一、何謂交換機(jī),交換機(jī)，英文名稱為Switch，它是一種基于MAC地址(網(wǎng)卡的硬件地址)識別，能夠在通信系統(tǒng)中完成信息交換功能的設(shè)備。,MAC地址,查看本機(jī)Mac地址命令： ipco

2、nfig –all00-1C-25-CB-E4-92 12位點(diǎn)分十六進(jìn)制 二進(jìn)制 48位 二進(jìn)制---十六進(jìn)制,,二進(jìn)制-十六進(jìn)制,1化4 4合1二進(jìn)制 十六進(jìn)制0000 00001 11010 ？,Mac地址是全球唯一的，由IEEE對其進(jìn)行管理和分配

3、。每個(gè)地址由兩部分組成，分別是供應(yīng)商代碼和序列號。其中前2 4位二進(jìn)制代表該供應(yīng)商代碼。剩下的24位由廠商自己分配。,如果48位全是1，則表明該地址是廣播地址。如果第8位是1，則表示該地址是組播地址。,,二、交換機(jī)的分類,從應(yīng)用區(qū)域劃分：廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī) 廣域網(wǎng)交換機(jī): 主要應(yīng)用于電信領(lǐng)域，提供通信基礎(chǔ)平臺(tái)。局域網(wǎng)交換機(jī): 應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。,二、交換機(jī)的分類,根據(jù)傳輸介質(zhì)

4、、傳輸速度以及發(fā)展歷史上看，局域網(wǎng)交換機(jī)有這樣一些類型：以太網(wǎng)交換機(jī)（10M）快速以太網(wǎng)交換機(jī)（100M）千兆以太網(wǎng)交換機(jī)萬兆以太網(wǎng)交換機(jī)FDDI交換機(jī)ATM交換機(jī)令牌環(huán)交換機(jī)……,三、以太網(wǎng)交換機(jī)功能,數(shù)據(jù)轉(zhuǎn)發(fā)專業(yè)說法：交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀,直通方式交換機(jī)一旦檢測到數(shù)據(jù)幀的目的MAC地址就立即開始轉(zhuǎn)發(fā)幀,不做任何幀的校驗(yàn).,免碎片轉(zhuǎn)發(fā) 數(shù)據(jù)幀經(jīng)常在首部的64字節(jié)發(fā)生錯(cuò)誤和沖突,如果頭64字節(jié)沒有CRC錯(cuò)誤,則快速轉(zhuǎn)發(fā)

5、幀,這種方法一般認(rèn)為是直通方式的一個(gè)特例.,存儲(chǔ)和轉(zhuǎn)發(fā)在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前,首先完成幀的緩存和CRC校驗(yàn),如果沒有錯(cuò)誤,再按照目標(biāo)MAC轉(zhuǎn)發(fā)數(shù)據(jù)幀.,交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀的兩種方式：,,幀,Frame交換機(jī)所工作層次的數(shù)據(jù)包,,CRC校驗(yàn),數(shù)據(jù)冗余校驗(yàn)碼。是數(shù)據(jù)通信領(lǐng)域中最常用的一種差錯(cuò)校驗(yàn)碼。生成多項(xiàng)式為G(x)=x4+x3+x+1， 可轉(zhuǎn)換為二進(jìn)制數(shù)碼11011,,能學(xué)習(xí)終端設(shè)備的MAC地址能根據(jù)MAC地址表做分組轉(zhuǎn)發(fā)過濾能通

6、過STP(生成樹協(xié)議)實(shí)施環(huán)路避免,,MAC地址表,交換機(jī)初始時(shí)的 MAC地址表是空的.,地址學(xué)習(xí),工作站A向工作站C發(fā)送幀.交換機(jī)緩存工作站A的MAC地址到MAC地址表中.由于在MAC地址表中沒有C的MAC地址,交換機(jī)向除了E0接口之外的所有其他接口擴(kuò)散(flooding)這個(gè)數(shù)據(jù)幀.在MAC地址表中的MAC地址缺省存留5分鐘.,地址學(xué)習(xí) (繼續(xù)),工作站D向工作站C發(fā)送數(shù)據(jù)幀.交換機(jī)緩存工作站D的MAC地址到端口E3中;交

7、換機(jī)將向除了E3之外的所有接口擴(kuò)散這個(gè)數(shù)據(jù)幀,因?yàn)樵贛AC地址表中沒有工作站C的MAC地址.如果工作站C有回應(yīng),則交換機(jī)將緩存工作站C的MAC地址到MAC地址表中.,數(shù)據(jù)幀的過濾,工作站A向工作站C發(fā)送數(shù)據(jù)幀.由于目的MAC地址已經(jīng)獲得;因此,將按照MAC表中所指示的接口轉(zhuǎn)發(fā)數(shù)據(jù)幀,不會(huì)擴(kuò)散幀.重新刷新工作站C的MAC地址超時(shí)時(shí)間.,過濾數(shù)據(jù)幀(繼續(xù)),工作站A向工作站B發(fā)送數(shù)據(jù)幀.由于工作站B的MAC地址和接收的數(shù)據(jù)幀處于相同

8、的接口,交換機(jī)將丟棄這個(gè)幀.,為什么提供數(shù)據(jù)過濾功能？？,四、交換機(jī)與路由器的區(qū)別,,1、數(shù)據(jù)轉(zhuǎn)發(fā)所依據(jù)的對象不同 路由器-IP地址 交換機(jī)-MAC地址2、功能不同 路由器-路由（選路） 交換機(jī)-交換數(shù)據(jù)3、傳統(tǒng)的交換機(jī)只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域,廣播域,二層交換機(jī)對所接收到的數(shù)據(jù)幀根據(jù)MAC地址進(jìn)行二層轉(zhuǎn)發(fā)，沖突域被限制到了一個(gè)端口上。但是無法限制廣播域的大小。,工作站D發(fā)送廣

9、播或多播幀.二層交換機(jī)的接口處于不同的沖突域,但卻處于相同的廣播域中,交換機(jī)對于多播或廣播沒有抑制的能力;因此,將向除了接收端口之外的所有其他端口擴(kuò)散這個(gè)幀.交換機(jī)從來也不學(xué)習(xí)多播或廣播地址.,廣播和多播數(shù)據(jù)幀,(1)主機(jī)X發(fā)送了一個(gè)廣播包. 兩臺(tái)交換機(jī)持續(xù)的周而復(fù)始地繁殖廣播流量,最終是網(wǎng)絡(luò)癱瘓. (2)透明橋和交換機(jī)不是路由器,它不會(huì)對分組做任何修改,也不會(huì)記錄到底經(jīng)過了多少個(gè)交換機(jī),如果網(wǎng)絡(luò)中存在環(huán)路,分組有可能在環(huán)

10、路中不斷循環(huán)和增生,造成網(wǎng)絡(luò)擁塞,導(dǎo)致網(wǎng)絡(luò)中”路徑回環(huán)”問題的產(chǎn)生.,廣播風(fēng)暴,五、CISCO交換機(jī)配置基礎(chǔ),,思科交換機(jī)和路由器配置的基本命令都是相同的。,1、模式,用戶模式：只允許用戶訪問有限量的基本監(jiān)視命令。用戶執(zhí)行模式是在從 CLI 登錄到 Cisco 交換機(jī)后所進(jìn)入的默認(rèn)模式。用戶執(zhí)行模式由 > 提示符標(biāo)識。 特權(quán)模式：允許用戶訪問所有設(shè)備命令，如用于配置和管理的命令，特權(quán)執(zhí)行模式可采用口令加以保護(hù)，使得只有獲得授權(quán)的

11、用戶才能訪問設(shè)備。特權(quán)執(zhí)行模式由 # 提示符標(biāo)識。show、copy,1、模式,全局模式 （config）# 改名字、加密碼接口模式 （config-if）# 配置IP地址,2、幫助鍵,？：查看命令Tab：補(bǔ)齊命令上下方向鍵：查找已經(jīng)使用的命令,Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟：- 步驟 1：PC 或終端已連接到控制臺(tái)端口。,3、準(zhǔn)備配置交換機(jī),3、準(zhǔn)備配置交換機(jī),Catalyst交換

12、機(jī)的初始啟動(dòng)需要完成以下步驟：- 步驟 2：終端仿真器應(yīng)用程序（如 HyperTerminal）正在運(yùn)行且配置正確。,3、準(zhǔn)備配置交換機(jī),Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟：- 步驟 3：在控制臺(tái)上查看啟動(dòng)過程,4、為交換機(jī)分配 IP 地址,為了實(shí)現(xiàn)遠(yuǎn)程登錄，需要給交換機(jī)配置IP地址。#interface vlan1#ip address 192.168.1.1 255.255.255.0,5、單接口配置,配置雙

13、工和速度- 使用duplex接口配置命令來指定交換機(jī)端口的雙工操作模式。可以手動(dòng)設(shè)置交換機(jī)端口的雙工模式和速度，以避免廠商間的自動(dòng)協(xié)商問題。#interface f0/1#duplex full/half/auto#speed 10/100/1000/auto#shutdown(接口關(guān)，默認(rèn)是開啟的),,接口工作方式,Full-全雙工Half-半雙工Auto-自動(dòng)協(xié)商,,6、多接口配置,成組接口的配置#interface

14、 range f0/1-12#speed 100#interface range f0/1-3,0/7-10#switchport mode vlan 2,8、驗(yàn)證命令,Show runShow interfacesShow ip interface brief,六、交換機(jī)上的安全,1、口令加密2、登錄標(biāo)語3、常見攻擊4、配置端口安全性,1、配置口令選項(xiàng),配置執(zhí)行模式口令- enable password 命令存在的一

15、個(gè)問題是，它將口令以可閱讀文本的形式存儲(chǔ)在 startup-config 和 running-config 中。- 在全局配置模式提示符下輸入 enable secret 命令以及所要的口令，這樣即可指定加密形式的enable口令。如果配置了enable secret口令，則交換機(jī)將使用enable secret口令，而不使用enable password口令。,配置加密口令- 人們普遍認(rèn)同口令應(yīng)該加密，并且不能以明文格式存儲(chǔ)。-

16、 當(dāng)從全局配置模式下輸入 service password-encryption 命令后，所有系統(tǒng)口令都將以加密形式存儲(chǔ)。,2、登錄標(biāo)語,配置登錄標(biāo)語 Cisco IOS 命令集中包含一項(xiàng)功能，用于配置登錄到交換機(jī)的任何人看到的消息。這些消息稱為登錄標(biāo)語和當(dāng)日消息 (MOTD) 標(biāo)語。 所有連接的終端在登錄時(shí)都會(huì)顯示 MOTD 標(biāo)語。在需要向所有網(wǎng)絡(luò)用戶發(fā)送消息時(shí)（例如系統(tǒng)即將停機(jī)），MOTD 標(biāo)語尤其有用。,3、常見安全攻擊,MA

17、C地址泛洪- 主機(jī) A 向主機(jī) B 發(fā)送信息。交換機(jī)收到幀，并在其 MAC 地址表中查找目的 MAC 地址。如果交換機(jī)在 MAC 地址表中無法找到目的 MAC，則交換機(jī)將復(fù)制幀并將其從每一個(gè)交換機(jī)端口廣播出去。,常見安全攻擊,MAC地址泛洪 主機(jī) B 收到幀并向主機(jī) A 發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī) B 的 MAC 地址位于端口 2，并將該信息寫入 MAC 地址表。 主機(jī) C 也收到從主機(jī) A 發(fā)到主機(jī) B 的幀，但是因?yàn)樵搸哪?/p>

18、的 MAC 地址為主機(jī) B，因此主機(jī) C 丟棄該幀。,常見安全攻擊,MAC地址泛洪 由主機(jī) A（或任何其它主機(jī)）發(fā)送給主機(jī) B 的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口 2，而不是從每一個(gè)端口廣播出去。,常見安全攻擊,MAC地址泛洪 攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。,常見安全攻擊,MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行，交換機(jī)的 MAC 地址表就會(huì)始終保持充滿。當(dāng)發(fā)生這種情況時(shí)，交換機(jī)開始將所有收到的幀從每一個(gè)端口廣播出去

19、，這樣一來，從主機(jī) A 發(fā)送到主機(jī) B 的幀也會(huì)從交換機(jī)上的端口 3 向外廣播。,4、配置端口安全性,在所有交換機(jī)端口上實(shí)施安全措施，以：-在端口上指定一組允許的有效MAC地址-只允許一個(gè)MAC地址訪問端口-指定端口在檢測到未經(jīng)授權(quán)的MAC地址時(shí)自動(dòng)關(guān)閉,配置端口安全性,安全MAC地址有以下類型：-靜態(tài)安全MAC地址-動(dòng)態(tài)安全MAC地址-粘滯安全MAC地址 實(shí)驗(yàn)3,總結(jié),一、何謂交換機(jī)二、交換機(jī)的分類三、交換