网络基础知识.ppt

交换机产品参数、规划和设备的的选型,特点,网络的规划及设备选型,目录,交换机知识,以太网和IEEE802.3,以太网是由DIX（DEC、INTEL、XEROX）制定的网络协议，厂家的标准。,IEEE802.3家族是由IEEE（InstituteofElectricalandElectronicEngineers）制定的网络协议，国际标准。,优点：价格适中，易于安装技术简单，易于学习在轻负载情况下表现优秀,缺点：重负载情况下网络通信变慢主电缆中断会引起网络瘫痪*总线拓扑上查找故障十分困难*,以太网工作原理,PC1:IP：192.168.0.1/24MAC:11:11:11:11:11:11,PC2:IP：192.168.0.2/24MAC:22:22:22:22:22:22,PC3:IP：192.168.0.3/24MAC:33:33:33:33:33:33,集线器（Hub）,目标机器：PC2,目标机器：PC2,目标机器：PC2,丢弃,以太网采用广播方式通信，所有与网络相连的主机都可以看到网络中传递的所有数据。,以太网和IEEE802.3（续一）,以太网和IEEE802.3?（续二）,以太网和IEEE802.3?（续三）,万兆以太网标准为IEEE802.3ae*,OSI参考模型具体层次及各层功能,1,2,3,4,5,6,7,应用层（ApplicationLayer）,表示层（PresentationLayer）,会话层（SessionLayer）,传输层（TransportLayer）,网络层（NetworkLayer）,数据链路层（DataLinkLayer）,物理层（PhysicalLayer）,底层:负责网络数据传输,高层:负责主机之间的数据传输,提供应用程序间通信,处理数据格式、数据加密等,建立、维护和管理会话,建立主机端到端连接,寻址和路由选择,提供介质访问、链路管理等,比特流传输,OSI参考模型,主要功能,OSI模型比喻,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,经理写好信件草稿,助理修改错字、格式,秘书找出收信人地址，写好信封,司机将信件带到邮局,排序工人将邮件依地区分类,包装工人将邮件装包,搬运工人将货搬上车,经理阅读邮件,助理提醒有信，翻译,秘书打开信件，作副本,司机由邮局取回信件,排序工人拆包,包装工人为独立邮户排序,搬运工人将货搬上车,传输媒介,网络拓扑,核心交换机,接入交换机,接入交换机,接入交换机,接入交换机,核心层,汇聚层,接入层,5类？超5类？6类？,单模？多模？,CC,核心层：透光的玻璃层,包覆层：不透光的玻璃层,注意：光纤不是一根中间空的管子，它是由两个不可分割的固体玻璃部分组成：核心层和包覆层。,单模？多模？（续一）,核心层,多模光纤62.5/125是标准尺寸(TIA568a,ISO11801)50/125是非标准尺寸，其应用范围正在扩大。100/140&85/125已淘汰单模光纤8.310/125是标准尺寸是电话和有线电视标准.,62.5,125微米,包覆层,单模？多模？（续二）,“当光线被包含在一个导波管内时就能沿有限的几种路径(模)传播就象许多橡皮球在管道里反弹前进.”850nm&1300nm,多模。“当核心层直径足够小时,就只能容许一条光线或者一种模式的光线在管子里面传输,这就是我们所说的单模光纤.”1300nm&1550nm,单模。,交换机分类,网络构成方式：接入层交换机、汇聚层交换机和核心层交换机OSI模型：第二层交换机、第三层交换机、第四层交换机等，一直到第七层交换机交换机的可管理性：可管理型交换机和不可管理型交换机，它们的区别在于对SNMP、RMON等网管协议的支持。,怎样选择交换机,(1)、背板带宽、二/三层交换吞吐率。(2)、VLAN类型和数量。(3)、交换机端口数量及类型。(4)、支持网络管理的协议和方法。需要交换机提供更加方便和集中式的管理。(5)、Qos、802.1q优先级控制、802.1X、802.3X的支持。(6)、堆叠的支持。(7)、交换机的交换缓存和端口缓存、主存、转发延时等参数。(8)、线速转发、路由表大小、访问控制列表大小、对路由协议的支持情况、对组播协议的支持情况、包过滤方法、机器扩展能力等都是值得考虑的参数，应根据实际情况考察。,背板带宽概念,背板带宽:交换机的背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力，单位为Gbps，也叫交换带宽。所以只有模块交换机（拥有可扩展插槽，可灵活改变端口数量）才有这个概念，固定端口交换机是没有这个概念的，并且固定端口交换机的背板容量和交换容量大小是相等的。背板带宽决定了各板卡（包括可扩展插槽中尚未安装的板卡）与交换引擎间连接带宽的最高上限。由于模块化交换机的体系结构不同，背板带宽并不能完全有效代表交换机的真正性能。固定端口交换机不存在背板带宽这个概念。,交换容量、转发能力,交换引擎的转发性能(交换容量、转发能力）由于交换引擎是作为模块化交换机数据包转发的核心，所以这一指标能够真实反映交换机的性能。对于固定端口交换机，交换引擎和网络接口模板是一体的，所以厂家提供的转发性能参数就是交换引擎的转发性能，这一指标是决定交换机性能的关键。支持第三层交换的设备，厂家会分别提供第二层转发速率和第三层转发速率，一般二层能力用bps，三层能力用pps，采用不同体系结构的模块化交换机，这两个参数的意义是不同的。但是，对于一般的局域网用户而言，只关心这两个指标就可以了，它是决定该系统性能的关键指标。对于大型园区网和城域网用户，讨论交换机的体系结构和第三层优化算法是有意义的。,背板带宽,背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。计算公式：端口数相应端口速率2（全双工模式）24口百兆+2口千兆24*2*100+2*2*1000=8.8Gbps,线速包转发率的计算方法,1）背板带宽（交换容量）考察交换机上所有端口能提供的总带宽。计算公式为端口数*相应端口速率*2（全双工模式）如果总带宽标称背板带宽，那么在背板带宽上是线速的。2）包转发线速包转发率=千兆端口数量1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法,参数1.488Mpps的来历,那么，1.488Mpps是怎么得到的呢?包转发线速的衡量标准是以单位时间内发送64byte的数据包（最小包）的个数作为计算基准的。对于千兆以太网来说，计算方法如下：1，000，000，000bps/8bit/（64812）byte=1,488,095pps说明：当以太网帧为64byte时，需考虑8byte的帧头和12byte的帧间隙的固定开销。故一个线速的千兆以太网端口在转发64byte包时的包转发率为1.488Mpps。快速以太网的线速端口包转发率正好为千兆以太网的十分之一，为148.8kpps。*对于万兆以太网，一个线速端口的包转发率为14.88Mpps。*对于千兆以太网，一个线速端口的包转发率为1.488Mpps。*对于快速以太网，一个线速端口的包转发率为0.1488Mpps。*对于以太网，一个线速端口的包转发率为0.01488Mpps。,包转发率,包转发率标志了交换机转发数据包能力的大小。是指交换机每秒可以转发多少个数据包（Mpps），即交换机能同时转发的数据包的数量。包转发率以数据包为单位体现了交换机的交换能力。计算方法=千兆端口数量1.488Mpps+百兆端口数量0.1488Mpps+其余类型端口数24口百兆口，2个千兆口2*1.488+24*0.14886.6Mbps,线速交换,什么的线速交换：线速交换，是指能够按照网络通信线上的数据传输速度实现无瓶颈的数据交换。其实现首先依ASIC芯片，通过专用硬件完成协议解析和数据包的转发，而不是通过软件方式依交换机的CPU完成。线速交换的实现还借助于分布式处理技术，交换机多个端口的数据流能够同时进行处理。因此局域网交换机可以看做是CPU、RISC和ASIC并用的并行处理设备。,MB、Bps、bps、pps的区别,前者是位,后者是字节1byte=8bit1MB=8Mb=8M1MB=1024byteMbps这里的p相当于“/”，也可以写成Mb/s（兆比特每秒Mbps）通常说的100M的宽带可以表示为100Mbps(100Mb/s)也可以表示成12.5MB/s(12.5MBps)12.5MB/s就是我们通过软件下载看到的数据,bps?,宽带速率的单位用bps(或b/s)表示；bps表示比特每秒，即表示每秒钟传输多少位信息。在实际所说的1M带宽的意思是1Mbps（是兆比特每秒Mbps不是兆字节每秒MBps）线路单位是bps，表示bit(比特)/second(秒)，注意是小写字母b；用户在网上下载时显示的速率单位往往是Byte(字节)/s(秒)，注意是大写字母B。字节和比特之间的关系为1Byte=8Bits2M（即2Mb/s）宽带理论速率是：256KB/s（即2048Kb/s），实际速率大约为103-200kB/s,pps?,包转发率标志了交换机转发数据包能力的大小。单位一般为pps（包每秒）包转发速率是指交换机每秒可以转发多少百万个数据包（Mpps），即交换机能同时转发的数据包的数量。计算方法1个千兆端口的线速包转发率是1.4881Mpps，百兆端口的线速包转发率是0.14881Mpps具体的数据包在传输过程中会在每个包的前面加上64个字节的数据包，原本只有512个bit,但在传输过程中实际=512+64+96=672bit，千兆端口线速包转发率=1000Mbps/672=1.488095Mpps用设备参数中的pps数值乘以672=bps6.6Mpps*672=4435.2Mbps,什么是堆叠?,交换机的堆叠是相对于级联而言的，堆叠和级联都是扩充交换机端口数量的方法，但堆叠后的设备，在逻辑上是一台设备，可以实现统一管理，这是级联做不到的。堆叠又分为物理堆叠和虚拟堆叠，其中物理堆叠又分为星型堆叠和环型堆叠。物理堆叠是用专门的堆叠端口，通过堆叠线缆把交换机连接在一起；虚拟堆叠不需要专门的堆叠口，交换机通过普通的级联连接在一起，但通过软件设置，这些设备能够实现单IP统一管理。,级联？堆叠？,级联？堆叠？（续一）,级联,级联？堆叠？（续二）,堆叠,Switch4400Stack,级联？堆叠？（续三）,堆叠,Switch4400Stack,级联？堆叠？（续四）,堆叠,Switch4400Stack,MAC地址表?,MAC地址表，也叫CAM（内容寻址存储器）表，它里面存放的是MAC地址和端口的对应关系，当交换机收到数据帧时，它会根据数据帧的目的MAC地址，来查找对应关系，然后把数据转发到相应端口。通常，位于核心位置的交换机MAC地址表空间很大，位于汇聚层的交换机次之，位于接入层的交换机最小。MAC地址表的大小以条目数量来计算，比如，4K,指的是4K个条目。应用：一个设备的MAC地址表的大小反映了连接到该设备能支持的最大节点数。交换机的mac地址表大小影响交换机的接入容量，地址表越大，接入容量就越大，如果地址表容量（存储器容量）不大，它存储的地址表项就有限，它会不停地广播，不停地学习，性能也就下降了，在大型网络中，如果MAC地址表容量不够大的话，是会引起性能大副度下降。,什么是VLAN?,VLAN是VirtualLAN，即虚拟局域网的缩写，是一种不需额外增加网络设备，就可实现网络分层的技术，在现今大型网络中被广泛使用。,35,VLAN？（续一）,VLAN技术,划分虚网的目的隔离广播域增强安全性,VLAN1,VLAN2,VLAN3,2019/11/22,37,可编辑,划分VLAN方法,基于端口的VLAN通用标准：IEEE802.1q基于协议地址的VLANMAC或IP地址,BackboneSwitch,VLAN1,VLAN2,IEEE802.1q,VLANIDTag中对VLAN的标示VLAN划分对应于端口而不是MAC或IP地址从端口进的数据包被认为是那个VLAN的各端口可以属于一个或多个VLAN公共部分的VLANID如何选定,Vlan作用-安全,Vlan-减小广播域,形象的说:在公司开会发言，如果同时发言谁都听不清楚。减小开会规模，同时发言，都可以挺清楚。,42,三层交换？,三层交换原理,一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。,三层交换的作用,不同网段之间的互访192.168.0.xxx-192.168.1.xxx,三层交换的作用,安全访问控制列表多媒体传输QoS组播,路由器？,路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据。路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、转发以及输出数据链路调度等，一般由硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。,路由？路由器？,路由：通向目标主机的路径的过程。路由器：能够取定最佳路径的设备。,我要去斜塔,生成树协议SpanningTree?,在由交换机构成的交换网络中通常设计有冗余链路和设备。这种设计的目的是防止一个点的失败导致整个网络功能的丢失。虽然冗余设计可能消除的单点失败问题，但也导致了交换回路的产生，它会带来如下问题：A.广播风暴B.同一帧的多份拷贝C.不稳定的MAC地址表因此，在交换网络中必须有一个机制来阻止回路，而生成树协议（SpanningTreeProtocol）的作用正是在于此。,生成树协议,为什么要有生成树标准：避免回路：由交换机自动检测环路的存在，断开环路冗余备份：为了提高网络稳定性，需要网络多条链路相通，提供了一种冗余备份的方法,快速生成树协议,IEEE802.1w快速生成树协议（RapidSpanningTree）相对于IEEE802.1d的特点：缩短收敛时间，使得网络能够快速收敛提高网络稳定性，确保网络不间断的工作IEEE802.1w快速生成树协议将收敛时间缩短到几秒,2-4层QoS,交换机不仅支持802.1p优先队列控制，而且有多种手段来为数据包设置优先级。从第二层到第四层的多层信息都能被用来为数据包设置优先级。同时，设置了优先级的数据包有两种传输时序，一种是严格优先级顺序，即严格按照优先级高低来传输数据；一种是加权罗宾环（WRR），WRR允许给每个队列标识不同的占用端口带宽的百分比，这样，在数据转发高峰来临的时候，低优先级队列不会被拒绝访问缓冲区和端口带宽。,交换机的流量控制,流量控制：动态分配内存,交换机的流量控制,半双工流量控制：背压全双工流量控制：IEEE802.3x,什么是端口聚合?,端口聚合（PORTSTRUNKING）是一种用在交换机与服务器或交换机与交换机之间，通过将它们某些物理端口“捆绑”在一起，让这些端口成为逻辑上的一条链路，以便增加交换机与服务器或交换机与交换机之间连接的带宽，同时还能起到冗余备份作用的一项技术。端口聚合能够在关键设备（如核心交换机，服务器）形成高带宽、高冗余、负载均衡的优质链路。,端口聚合,PORTSTRUNKING高带宽、冗余备份端口聚合的限制同模块同模组同VLAN连续端口（可选）两端都要设置带宽相同介质相同全双工,什么是端口镜像?,将交换机上某一个或几个端口的数据，完全复制到另外一个端口去的技术，叫做端口镜像。端口镜像通常用在数据监控中，比如，做为网络管理员，他如果想监控某台服务器的数据，就需要把服务器所连接的端口的数据，通过端口镜像技术复制到他自己连接的端口上来。,端口镜像,PortMirroring：端口镜像端口镜像技术是为了满足这样一个需求而设计的：满足网络管理员在不中断某个端口计算机连接的情况下，从连接在其他端口上的计算机监视网络流量的一种做法。具体实现正如它的名字一样，在交换机内将被监控端口流入流出的数据完全复制到监控端口，就象镜子照的一样,故称为端口镜像。,优先级队列?,优先级队列控制技术是一种能够优先保证要求快速发出的数据（如某些语音数据和重要的业务数据）发送的一项技术。例如VoIP、视频会议或多媒体应用程序等对数据传输的实时性要求都很高，不允许数据帧在传输和转发过程中有较长的延时，优先级队列可以使交换机按重要、非重要对需要转发的数据帧进行排队，将定制的高优先级数据帧先进行发送，从而保证这些数据帧以最快的速度转发给目的节点。优先级队列遵循IEEE802.1p统一标准，可以为数据帧最多设置8个优先级，“7”为最高优先级，“0”为最低优先级。,优先级队列,IEEE802.1p使用三个Bits来定义通过交换机的帧包的转发优先级。,1.基于端口的LBD-端口关闭，不允许通信,2.基于VLANLBD阻止发生环路的VLAN通信，但是不关闭trunking端口,V1,V1,PC1,PC2,V2,V2,环路,D-Link解决方案：环路检测(LBDv4.0)不依赖于生成树协议（STP）非网管交换机通常没有生成树协议功能即使没有开启STP功能，D-Link的交换机也能检测到端口环路灵活的设置可以阻止环路发生基于端口基于VLAN,环路,端口环路,IP-MAC-Port绑定,有三种绑定模式：基于ARP模式、基于ACL模式、基于自动模式绑定只有IP、MAC和端口匹配正确了，数据才能通过相应的端口传输1、解决了IP地址冲突问题2、解决了审计难的问题（现有系统日志都是基于IP地址的，如果用户自行改变了IP地址，这些日志就没有意义了）,启用IMP绑定v3,地址学习,白色列表,由DHCP分配,192.168.1.100E0-0211-1111,192.168.1.200E0-0211-2222,192.168.1.100E0-0211-3333,A,B,C,(IP地址是由用户手动配置的）),IPMAC端口Rr26Aa2Bb12Cc16,IP-MAC-Port绑定,ARP欺骗攻击的解决方案：IP-MAC-Port绑定建立IP、MAC和Port的关联数据库如果发现不匹配的ARP数据包，交换机会立即阻止这些非法访问。,路由器,IP:RMAC:r,PC-A,IP:AMAC:a,PC-B,IP:BMAC:b,PC-C,IP:CMAC:c,ImPC-A,FakedARPIP:AMAC:c,我是路由器,YourenotPC-A,FakedARPIP:RMAC:c,您不是路由器,启用DHCPSnooping,地址学习,IP-MAC对应关系,由DHCP分配,192.168.1.100E0-0211-1111,192.168.1.200E0-0211-2222,192.168.1.300E0-0211-3333,A,B,C,(黑客主机:发送ARP欺骗包）),DHCPSnooping,DHCP服务器,和IP-MAC-PORT静态绑定相比，DHCPSnooping操作更加便捷DHCPSnooping能自动学习IP，MAC和端口的对应关系，并保存到本地数据库中只有数据库里的IP,MAC和端口匹配正确了，数据才能被传输,支持双向带宽控制，上下行带宽粒度最小精确到64kbps,端口1,1Mbps,端口2,端口3,带宽控制,企业中有不同的应用，如何保障这些关键业务的带宽？,端口限速?,端口限速是根据需要对交换机端口的传输速率进行限制，比如，10