交换机数据转发基本过程.doc

交换机的数据转发基本过程 二层交换机和网桥的基本功能 冗余交换拓扑中的问题 生成树协议 交换机端口、冲突、交换方式 虚拟局域网VLAN 交换机的配置 如何配置交换机 基本命令 课程内容以太网交换机交换机的三个功能 学习： 以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。 转发/过滤： 当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。 消除回路：(回路就是我们常说的环路) 当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。 交换机如何学习主机的位置交换机如何学习主机的位置交换机如何学习主机的位置交换机如何过滤帧广播帧和多点传送帧冗余网络拓扑广播风暴广播风暴广播风暴重复帧重复帧MAC地址表不稳定MAC地址表不稳定冗余简单的冗余交换拓扑创建逻辑无环路拓扑 1.冗余增加了可靠性，但是同时将物理环路带进网络。 2. 解决办法就是创建逻辑无环路拓扑，同时保留物理环存在 3.无环路拓扑称为树，并且是可扩展的树 4.创建无环路拓扑的算法称为生成树算法STP术语（STP Terms） 1. 桥ID (Bridge ID) 2. 开销（Cost） 3. 桥协议数据单元（BPDU）桥ID (Bridge ID)新IEEE标准的COST值 最短路径是cost累加，而cost是基于链路的速率的。桥协议数据单元（BPDU） 1.交换机发送的创建逻辑无环路的数据包称为BPDU Bridge Protocol Data Unit (BPDU). 2.BPDU在阻塞的接口上也可以接收，这确保如果链路或设备出现问题，新的生成树会被计算 3.默认，BPDU 2秒发送一次生成树协议生成树操作 1.选举根桥，BID最小即是 2.计算自己到根桥距离 3.选择根端口，距离根桥最近的接口 4.选指定端口和非指定端口，非指定端口被阻塞。 生成树操作规则 STP实例生成树示例1 生成树示例2 所有的交换机为缺省STP配置，所有的链路都是快速以太网。哪个交换机的哪个端口将被STP协议阻塞以维持不成环路？生成树端口状态生成树端口状态 1.在阻塞状态，端口仅能接收BPDU,需要20秒改变这种状态 2.在侦听状态，交换机确定是否有到根桥的其它路径。该状态持续15秒。在该状态，用户的数据不能转发，也不能学习MAC地址。 3.在学习状态，用户的数据不能转发，但是可以学习MAC地址，该状态持续15秒。 4.在转发状态，用户数据被转发，MAC地址继续学习，BPDU仍然工作。 STP的收敛（Convergence）思考题 1.环路的存在，会导致广播风暴、多帧拷贝和MAC地址表不稳定的问题。2.交换机的ID由 桥优先级和桥MAC地址组成。3.选举根桥时，具有较 低 值的桥ID的交换机会成为根桥。4.100M链路的新STP Cost为 19 。5.STP收敛后根端口和指派端口是处于转发状态的。6.缺省时，转发延时为 50 秒，Hello时间为 15 秒，BPDU的存活时间为 20秒。8.STP中，交换机的端口有 阻塞 、 侦听 、学习和转发 状态。半双工和全双工以太网操作局域网交换机输入输出接口 三层交换机 虚拟局域网 LAN（Local Area Network）的中文名为局域网。 而VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。 VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 VLAN概述VLAN特点VLAN的产生原因广播风暴VLAN的起源基于端口分组VLAN的帧格式帧在网络通信中的变化广播包在二层网络中的传播VLAN操作VLAN操作VLAN操作VLAN成员模式VLAN链路IEEE 802.1Q Trunk本征VLAN （Native VLAN）问题1:两个设备不能通信阶段练习课程内容交换机基本配置交换机的串口访问方法 注意事项交换机的启动2-1 (华为S2016-EI示例)交换机的启动2-2视图分类 配置模式 普通用户模式特权模式基本命令 全局配置模式配置接口Quidwayinterface Ethernet 0/1Quidway-Ethernet0/1TELNET连接认证设置本地用户设置登陆界面及等级切换保存配置交换机VLAN配置VLAN基本配置VLAN的划分及配置：ACCESSVLAN的划分及配置：TRUNK管理VLAN及IP的配置二层交换机配置分析二层交换机配置分析用Quidway S2016-E1简单组网案例拓朴图目标：PCA和PCC同属于一个VLAN 2且能相互通信。PCB和PCD同属于另一个VLAN 3且能相互通信。两台S2016-E1用1根100M网线通过Trunk链路互连用Quidway S2016-E1简单组网案例配置清单 配置VLAN：交换机A & 交换机B huaweivlan 3 huawei-vlan2port Ethernet 0/3 huawei-vlan2vlan 4 huawei-vlan3port Ethernet 0/4 配置接口 huaweiinterface Ethernet 0/1 huawei-Ethernet0/1port link-type trunk huawei-Ethernet0/1port trunk permit vlan 3 to 4 设置主机IP地址 阶段提示 掌握路由器基本原理 能够利用一些常用命令配置路由器路由器的概念、基本构成路由器的作用路由器工作流程路由表Quidway R1602配置路由器通过console口配置建立本地配置环境步骤一：连接配置电缆步骤二：创建超级终端通过拨号线路远程配置路由器 将路由器和微机分别与modem连接 通过Telnet配置本地路由器通过哑终端配置通过FTP配置命令行概述路由器启动输出信息未配置过和配置过的路由器启动信息对比安装：初始化对话交互式配置路由器登录到路由器路由器联机帮助信息路由器联机帮助信息路由器模块概述保存配置配置路由器标识 为接入路由器或接口设置本地标识或消息配置路由器密码配置一个接口配置一个串口打死或激活接口 IP 地址介绍配置路由器的IP地址路由器查看接口命令接口状态解释检查串口配置串口查看接口控制器命令基本的访问控制列表ACL配置命令查看ACL配置命令进入路由器配置界面普通用户模式命令列表系统视图命令列表接口视图命令列表在线帮助命令行错误信息历史命令编辑特性显示特性基本操作命令常用display命令display versiondisplay current-configurationdisplay interface:显示接口信息调试命令：debugging, info-centerping: 测试工具tracert: 测试工具本章内容回顾 路由器工作原理 通过console口本地和远程配置路由器 系统视图和接口视图的区别 常用的路由器命令和小工具课程内容防火墙(Firewall)定义 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙； 只有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击； 防火墙 = 硬件 + 软件 + 控制策略 常见的威胁 粗心大意或不满的员工 社交工程攻击 恶意代码 病毒、蠕虫、特洛伊木馬、恶作剧程序 恶性的竞争对手 黑客对防火墙的需求 网络规模/流量增长的需求 可靠性的需求 DOS攻击防范的需求 蠕虫病毒防范的需求 日志性能需求安全的建议及控制能力 妥善的配置 完善的管理 持续的审计 防火墙技术带来的好处和基本特性防火墙带来的好处： 强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查点防火墙的基本特性： 内部网和外部网之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击能力防火墙的功能 访问控制：隔断、过滤、代理 加密 授权认证 地址翻译（NAT） VPN 负载均衡 内容安全：病毒扫描、URL扫描、HTTP过滤 日志记帐、审计报警防火墙的局限性 不能阻止那些绕开防火墙的攻击 不能防止内部攻击 不能防止全新的威胁 不能防止病毒感染程序或文件的传输 当使用端-端加密时，其作用会受到很大的限制 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效防火墙性能指标 功能指标 防火墙类型（包过滤/电路层网关/应用代理） 支持的网络接口类型（10M/100M/1000M） 支持的协议（对于代理服务器） 是否支持地址翻译(NAT)，虚拟专网(VPN) 如何扩展，怎样实现负载平衡(Load Balancing) 用户身份验证方式：口令，RADIUS/Kerberos 实时监控、审计、报警能力 管理与维护的能力 性能指标： 对不同大小的包的转发能力（pps ） 并发会话数目（对于状态包过滤、代理服务器） 最大允许的规则数目 是否具有自动加固宿主机功能 可靠性，稳定性，是否提供双机热备份功能 防火墙测试的标准 RFC2979 安全缺省策略 两种基本策略，或缺省策略 一切未被禁止的就是允许的 管理员必须针对每一种新出现的攻击，制定新的规则 需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。 一切未被允许的就是禁止的 比较保守 根据需要，逐渐开放 需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。 防火墙术语 网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。 DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，internet和DMZ。 吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。 数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。 并发连接数目:由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 防火墙的应用模式l 透明模式 透明模式： 看上去与基于TCP/IP协议二层的设备类似，防火墙的端口上没有IP地址，只有一个用于管理的VLAN IP。 适用的环境： 一般用于处于相同网段的不同网络之间的隔离。 优点： 设置实现的方式比较简单，相关网络的设备不必进行调整，简化网管人员的工作量。l NAT模式 类似于基于TCP/IP第三层协议的设备，通过协议端口或ip替换的方式实现地址转发和访问。 适用的网络环境： 公网地址数量不能满足网络中的设备每个都拥有一个公共IP地址的情况。 优点： 针对内网对互联网的访问，可以大量节省公共IP地址。l 路由模式 类似于基于TCP/IP第三层协议的设备，在通过防火墙设备时，IP地址信息不发生替换，以源地址的方式访问互联网。 适用的网络环境： 内部网络同样使用公共IP地址的客户环境。 优点： 路由关系清晰。防火墙的体系结构 1、筛选路由器结构 （基本原理结构） 筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差。 防火墙的体系结构 2、双宿主主机结构（堡垒主机模式） 双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。 防火墙的体系结构 3、屏蔽主机网关结构（屏蔽主机模式） 屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。 防火墙的体系结构 4、屏蔽子网结构 （引入非军事区的屏蔽子网模式） 屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。 防火墙的技术分类 包过滤型防火墙 状态检测防火墙 应用级网关型防火墙 代理服务型防火墙 复合型防火墙 前三种防火墙的比较与防火墙联动的其他安全技术 基于网络的入侵检测系统（IDS) 应急响应系统 IPSec VPN网关 安全审计IPSec VPN网关与IDS联动构成应急响应系统NAT（ Network Address Translation ） 在RFC1597中定义了内部网地址（或称专网，Private Internet，Intranet） 有部分IP地址被IANA组织定义用作内部网地址: - 55 A single Class A network 172.16 .0.0- 172.31 .255.255 16 contiguous Class B networks - 192.168.255 .255 256 contiguous Class C networks NAT技术（RFC 1631） NAT技术可以在路由器(边界)、防火墙上实现内外地址的翻译工作 NAT可以划分为以下两种类型（从发起者的报文）： 源网络地址转换（Source NAT，缩写为SNAT），即IP伪装 目的网络地址转换（Destination NAT，缩写为DNAT）。 实现方式(从地址转换的对应关系看)： 静态NAT（static NAT）-一一对应 动态NAT（Dynamic NAT）-多对多 过载（Overloading）-一对多 作用 SNAT 复用内部的全局地址，解缓IP地址不足的压力 向外部网络隐藏内部网络的IP地址 DNAT 流量均衡NAT的工作原理 客户机将数据包发给运行NAT的计算机 NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。 外部网络发送回答信息给NAT NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。NAT技术举例通常的连接方案示例通常的实物连接方案 课程内容PIX防火墙通用维护命令PIX Firewall 515 模块访问模式PIX 防火墙基本命令 enable, enable password, passwd write erase, write memory, write terminal show interface, show ip address, show memory, show version, show xlate exit reload 主机name, ping, telnetenable 命令 允许进入不同的访问模式enable password 和 passwd 命令 设置进入特权模式的访问密码.write 命令 write net:将存储当前配置的文件写入到TFTP服务器上 write erase:清除Flash中的配置 write floppy:将配置文件写入软盘 write memory:将配置文件写入到Flash write terminal:显示存储在Flash中的配置信息 show 命令show historyshow memory-显示系统内存的使用情况 show interface 命令show ip address 命令主机name and ping 命令name 命令telnet 命令 指定可以telnet连接到控制台的主机地址http 命令 设定允许以http访问防火墙的地址范围PIX防火墙的6个常用配置命令PIX防火墙常用命令 nameif interface ip address nat global Route nameifnameif 命令用来命名接口并分配安全等级 interfaceip address ip address 用来给每个物理接口分配地址nat nat 命令用来联系一个网络和一个全局IP地址池 NAT 示例 global 建立一个全局地址池,与nat联合使用网络地址转换(NAT)配置实例route route命令为指定的接口输入一条静态或缺省的路由 05.IP路由协议-课程目标 描述路由表的作用 配置静态路由 描述距离矢量路由协议原理 配置RIP路由协议 了解OSPF路由协议原理和配置05.IP路由协议-课程内容什么是路由？显示路由表信息Quidwaydisplay ip routing-tableRouting Tables:Destination/Mask proto pref Metric Nexthop Interface /0 Static 60 0 120.0.