交换机3124R培训

交换机培训文档 以太网交换机概述以太网交换机的基本功能以太网交换机的关键指标以太网交换机的常用技术注意 本培训教材仅限于讲述二层以太网交换机的相关知识 目录 交换机概述 内容介绍 什么是交换机交换机与集线器的区别交换机与路由器的区别 交换机概述 什么是交换机 交换机是用来实现交换式网络的设备 在ISO的OSI模型中 交换机是位于第二层 数据链路层的设备 能对帧进行操作 是一种智能型设备 以太网交换机可以用来连接多个局域网段 在网络设备之间实现无冲突的专用通信 注意 现在市场上已经出现很多三层交换机 多层交换机设备 它们是在二层交换机原理的一个扩展 限于培训目的 本教材并不打算介绍它们 交换机概述 交换机与集线器的区别 交换机与集线器的区别 交换机概述 交换机与路由器的区别 交换机与路由器的区别 交换机的基本功能 概述 地址学习功能转发 过滤功能 交换机的基本功能 地址学习 1 最初开机时交换机的动态MAC地址表是空的 交换机的基本功能 地址学习 2 主机A发送单播帧给主机C 交换机学习该帧的源MAC地址 并在MAC地址表中增加相关地址表项 记录主机A的MAC地址对应端口P1 这个来自于主机A的单播帧将被转发到除发源端口P1以外的其他所有端口 未知单播帧以泛洪方式处理 交换机的基本功能 地址学习 3 主机D发送了广播帧或者多播帧交换机学习该帧的源MAC地址 并在MAC地址表中增加相关地址表项 记录主机D的MAC地址对应端口P4这个来自于主机D的广播帧或者多播帧将被转发到除发源端口P4以外的其他所有端口广播帧或多播帧以泛洪方式处理 交换机的基本功能 转发 主机A发送单播帧给主机C 如果在MAC地址表中有目标主机C的地址表项 并且主机C所在端口和发源端口不同 则交换机将直接转发该帧到端口P3 已知单播帧以点到点的方式处理 可以节省交换机其他端口下的可用带宽 交换机的基本功能 过滤 主机A发送单播帧给主机E由于在MAC地址表中有目标主机E的地址表项 并且主机E所在端口和发源端口相同 都是P1 因此交换机将直接过滤 即丢弃 该帧 MAC地址表 0022 aa01 aaaa 0022 aa01 bbbb P1 P2 P3 P4 A B C D P1 0022 aa01 aaaa P2 0022 aa01 bbbb P3 0022 aa01 cccc 0022 aa01 dddd 0022 aa01 cccc X X X E 0022 aa01 eeee P1 0022 aa01 eeee 当交换机接收到一个数据帧时 处理步骤如下 1 如果是广播帧或者多播帧 则以泛洪方式处理 交换机将向除了发源端口 即接收到该帧的端口 以外的其他所有端口转发该帧 2 如果是单播帧 则查看MAC地址表 并根据查看结果分别进行以下处理 1 如果该帧的目的地址在MAC地址表中且目的端口等同于发源端口 则交换机丢弃该帧 2 如果该帧的目的地址在MAC地址表中且目的端口不同于与发源端口 则交换机通过该目的端口转发该帧 3 如果该帧的目的地址不在MAC地址表中 则以泛洪方式处理 交换机的基本功能 小结 交换机的关键指标 概述 交换模式背板带宽包缓存MAC表项 交换机的关键指标 交换模式 交换机的关键指标 背板带宽 背板带宽背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量 背板带宽越高 交换机所能处理数据的能力就越强 但同时设计成本也会上去 如果一台交换机能实现全双工无阻塞交换 那么它的背板带宽值应该大于端口总数 最大端口带宽 2 如果大于 证明这台交换机具有发挥最大数据交换的条件 交换机的关键指标 包缓存 包缓存包缓存也就是包缓存区大小 当交换机端口发生拥塞时 为了避免丢帧 交换机会将来不及处理的数据帧暂存起来 这个暂存的空间就是包缓存区 包缓存区大小要适度 原因如下 1 过大的缓存区间会影响正常通信状态下数据包的转发速度 因为过大的缓存空间需要相对多一点的寻址空间 并增加设备的成本 2 过小的缓存空间在发生拥塞时又容易丢包出错 适当的缓存空间加上先进的队列调度算法是解决拥塞问题的合理方式 交换机的关键指标 MAC表项 最大MAC地址数最大MAC地址数是指MAC地址表的最大容量 也就是交换机可以学习到的最大的MAC地址数 该指标反映了交换机可同时连接的最大设备数 最大老化时间动态MAC地址表是动态更新的 表中的每一条表项都是有寿命限制的 如果在一定时间 即最大老化时间 内一直都没有使用某条表项 那么 它将超时并被自动删除 交换机的关键指标 端口密度 端口速率目前 普通交换机的端口速率还是以百兆和千兆为主 但也有不少骨干交换机的端口提供万兆速率 交换机的常见技术 概述 VLAN端口镜像端口汇聚广播风暴抑制生成树协议 交换机的常见技术 VLAN VLAN的作用1 控制广播流量2 增加安全性3 便于管理PortVLAN1 基于物理端口划分2 不支持同一VLAN跨越不同的交换机 交换机的常见技术 VLAN 802 1QVLAN1 传输多个VLAN的信息2 实现同一VLAN跨越不同的交换机3 不同厂商的交换机 要求支持IEEE802 1Q 相互兼容 大多数交换机都支持以下功能 可以任意选择监控端口 一般只能指定一个 可以选择被监控的端口 一般可以是一个或多个 交换机的常见技术 端口镜像 端口汇聚是将多个交换端口聚合在一起形成一个汇聚组 以成倍提高带宽 实现接收 发送数据包在各个成员端口中的分担 可以有效消除服务器或级联交换机之间的带宽瓶颈 端口汇聚不仅可以成倍扩展带宽 还可实现冗余连接 在一组汇聚物理链路中 如果某条链路失效 流量会自动分配到其他有效链路上 从而提高了连接的可靠性 交换机的常见技术 端口汇聚 提高带宽 冗余备份 交换机的常见技术 广播风暴抑制 当广播数据包在网络中大量传送 或者在网络中循环传送时 就会引起网络性能明显地下降 极限情况时将使网络整体瘫痪 大多数交换机都是通过限制各交换端口的广播包数量 来抑制广播风暴 设置了广播风暴抑制后 系统将直接丢弃超出速率限制范围的广播包 使广播包的收发降低到合理的范围 从而有效抑制各种风暴 STP SpanningTreeProtocol 生成树协议RSTP RapidSTP 快速生成树协议MSTP MultipleSTP 多重生成树协议生成树协议通过阻塞冗余端口将一个包含多条环路的局域网转化成一个树状的局域网 不仅可以消除因网络循环连接造成的网络风暴 还带来了备份的数据通路 提高了网络的可靠性 交换机的常见技术 生成树协议 端口优先级端口优先级代表了每个端口处理包的优先顺序 交换机先处理端口优先级较高的端口 处理完毕后再转入优先级较低的端口安全日志安全日志记录着当某一用户从一个端口移动到另一个端口的事件 安全日志可以方便管理员更快速的定位类似于MAC欺骗等攻击行为 支持时间IP PORT绑定IP PORT绑定可以允许某一端口只被一个网络访问 主要应用与伪造IP地址的欺骗 在页面上支持子网掩码的设置 SG安全系列交换机的技术 IP MAC绑定一般在路由器上做 我们这次把IP MAC绑定的功能做到了交换机上 页面上有选择开启此功能的开关 用户选择了开启后交换机会捕获经过自己的所有ARP报文 然后根据用户绑定的表来判断ARP报文是否是欺骗报文 如果欺骗报文就不转发 交换机支持MAC PORT绑定 并且支持多大512条目 MAC PORT绑定可以使交换机免受MAC欺骗的捆扰 SG安全系列交换机的技术 安全配置 SG安全系列 系统设置 系统时间 当前系统的时间 用户可自行设置 但断电后则丢失保存的时间启用DHCP中继 启用DHCP中继后 会将经过交换机的DHCP报文插入中继信息 以方便支持DHCP中继的服务器根据插入的信息来分配特定的IP地址 插入信息的格式为2位的端口号加MAC地址 例如收到DHCP包的交换机端口号为端口3 交换机的MAC地址为0022aa0022aa 那么中继的信息则为030022aa0022aa设备名 交换机的设备名 网络内可重复启用ARP欺骗防御 ARP防御会丢弃经过交换机的ARP欺骗包 对于某个端口接收到过多的ARP包时 该端口会自动切断 并在一分钟后回复正常 切断事件会写入到安全日志中 SG安全系列 端口管理 连接状态 显示端口的连接状态 背景为绿色的表示链路UP 背景为红色的表示链路DOWN 还能显示出该端口的模式配置模式 设置端口的工作模式 选项有自动协商 10 半双工 10 全双工 100 半双工 100 全双工 1000 全双工 以及禁止允许最大帧 交换机端口允许通过的最大帧 范围从1518 9600端口保护 启用 禁用端口保护功能 启用端口保护功能后 端口不再学习新的MAC地址 并且只转发静态绑定的MAC地址 禁用端口保护后 则重新开始学习新的MAC地址 在没有设置静态MAC地址的情况下 启用所有端口的端口保护 将导致无法管理交换机 SG安全系列 端口镜象 端口镜像功能 将交换机其他端口的流量自动复制到镜像端口 实时提供各端口的传输状况的详细资料 以便网络管理人员进行流量监控 性能分析和故障诊断端口 显示交换机的所有物理端口源端口 被监控的端口 可选择一个或多个端口作为源端口监控端口 使用其对源端口流量进行监控的端口 监控端口只能有一个源端口不能与监控端口是同一个端口 如果某端口已经在高级配置 端口汇聚页面配置属于某个汇聚组 则此端口不能再配置为监控端口 SG安全系列 vLans 端口VLAN 将不同的端口划分到一个VLAN组内 属于同一个VLAN的端口之间可以相互通信 不同VLAN的端口之间不能通信TAGVLAN 通过VLANID划分不同的VLAN TagVLAN在以太网帧中增加了Tag头 Tag头中有一个12位的域 用来指明VLAN的ID 当交换机收到数据帧时 它会根据Tag来选择传输数据 帧类型 设置可通过端口的帧类型 包含两个选项 允许所有帧和允许Tag帧 允许所有帧表示该端口允许所有帧通过 允许Tag帧则表示只允许Tag帧通过 否则丢弃该帧 PVID 设置端口的PVID 当某交换端口收到一个Untag帧时 交换机将会将端口的PVID作为Tag头添加到Untag帧中 注意一个端口可以属于多个VLAN 默认情况下所有端口都属于一个VLAN VLAN组号为1一个端口也可以属于多个TagVLAN 默认情况下所有端口都属于一个TagVLAN TagVLANID为1 SG安全系列 端口汇聚 把2个或多个交换端口聚合在一起 形成一个高带宽的数据传输通道 聚集在一起的所有端口看作一个逻辑端口 工作起来像一条通道一样 该逻辑端口带宽为汇聚组内所有端口带宽的叠加同一汇聚组内的端口的端口参数必须一致 端口速率 双工模式必须相同 且必须属于同一VLAN汇聚组内不能含有监控端口同一汇聚组内的端口的速率限制必须相同 SG安全系列 RSTP RSTP是快速生成树协议 用于在局域网中消除环路 从而保证数据传输路径的唯一性 不仅可以避免广播风暴 还带来了冗余的数据通路 提高了网络的可靠性优先级 用于和网桥MAC地址一起构成网桥ID 在RSTP网络中 网桥ID最小的设备会被选举为根桥 值越小优先级越高握手时间 发送两个相邻BPDU报文的时间间隔 默认为2秒老化时间 BPDU报文的老化时间 端口会存储接收到的最好的BPDU 每次收到合适的BPDU后 老化时间开始计时 如果超过老化时间后 端口还没有收到更好的BPDU 就会采取相应的措施转发延迟 网桥在发送数据包前 维持在监听和学习状态的时间 默认为15秒边缘端口 直接与终端相连而不是和其它网桥相连的端口 边缘端口可以直接进入转发状态 不需要延迟 SG安全系列 QoS QoS模式有三个选项 分别为QoS禁止 802 1P优先级 端口优先级优先级等级 设备支持设置高 中等 一般以及低四个优先级等级 在转发数据时 系统将首先转发高优先级的数据 转发完高优先级的数据后再接着转发下一个优先等级的数据 直到转发完所有优先级的数据802 1P IEEE802 1P协议定义的优先级 有8 0 7 个优先级值 支持802 1P协议的设备发送的数据帧都含有一个优先级值 我们可以设置不同优先级值对应的优先等级端口优先级针 对每个端口设置优先级 来自同一端口的数据的优先级相同 SG安全系列 联动管理 联动管理可以查看局域网中远程交换机的相关信息 并对其进行配置远程密码远程交换机的登录密码配置管理包括IP地址设置和重启设备 点击 配置 可对IP地址进行配置 或重启交换机注意配置前需输入正确的远程密码 否则该配置无效交换机仅支持艾泰交换机的发现和配置联动功能只支持与本交换机属于同一个广播域的交换机对于无管理型交换机 只能查看其信息 无法对其进行配置管理 SG安全系列 ARP欺骗防御 启用ARP欺骗防御功能后 在本页面配置IP MAC绑定 可以有效抑制ARP欺骗 配置IP MAC绑定后 IP地址与 IP MAC绑定列表 中某条IP MAC绑定相同 而MAC地址不同的用户将