交换机基本功能学习总结ppt课件

1,学习总结交换机知识学习汇报,1,主要内容,一、交换机基本原理二、交换机功能介绍,2,2,1、交换机概述2、交换机转发原理3、交换机常用接口,3,一、交换机基本原理,3,一、交换机基本原理交换机概述,交换机：（1）在通信系统中完成信息交换功能的设备；（2）主要工作在数据链路层；（3）采用物理地址进行信息交互。交换机中转发的两种常见的帧格式:（1）以太网帧格式（2）IEEE802.1Q帧格式,4,4,交换机的核心思想：基于源MAC学习、基于目的MAC转发过程管理依据：MAC地址表项,一、交换机基本原理交换机转发原理,MAC地址表项构成,手工配置和动态学习的MAC地址表项,这里的index表示什么意思？有什么作用？,5,更新和维护MAC地址表：（1）手工配置地址：a.静态地址表项，使用于网络中比较固定的网络设备，可以减少网络中的广播包；可以防止未授权设备接入网络或攻击网络。b.配置过滤地址，当接收到的数据报文源MAC或目的MAC与过滤表项中的地址相符的，丢弃。（2）动态地址学习：动态地址表项，存在老化时间。,一、交换机基本原理交换机转发原理,6,MAC地址学习和报文转发过程：当交换机收到一个报文，处理过程如下：（1）查看MAC地址表项（2）根据结果，处理报文（3）更新MAC地址表项a.在MAC地址表中添加记录b.更新MAC地址表中记录信息。,一、交换机基本原理交换机转发原理,根据报文的目的MAC地址、报文所属的VLANID、MAC地址表中查找相应的转发输出端口；,a.丢弃b.采取单播、组播、广播和复制流的方式转发报文,7,几种常用接口：设备上的单个物理接口有三种模式：Access、Trunk、Hybrid，通过SwitchPort接口配置命令；用于管理物理接口和与之相关的第二层协议。链路汇聚口把多个端口的带宽叠加起来使用，扩展了链路带宽；链路汇聚支持负载均衡,可以把流量均匀地分配给各成员链路。SVI接口SVI可以做为本机的管理接口，通过该管理接口管理员可管理设备。用来实现三层交换的逻辑接口。,一、交换机基本原理交换机接口,8,交换机接口示意图：,一、交换机功能介绍交换机接口,交换机接口示意图,9,二、交换机功能介绍,1、VLAN管理2、ACL3、IGMP4、DHCP5、端口管理,10,二、交换机功能介绍VLAN管理,什么是VLAN？VLAN有什么用？,虚拟局域网，VirtualLocalAreaNetwork，虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。,用于在二层交换机上分割广播域的技术，使第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其它的VLAN之中。,没有划分vlan时报文转发,划分vlan后报文转发,11,二、交换机功能介绍VLAN,VLAN中几个基本概念：（1）VID（2）PVID（或称NativeVlan）（3）AllowedVlan,三种操作模式下端口VID、PVID和Allowedvlan对比,12,VLAN中的报文转发,二、交换机功能介绍VLAN,Vlan中报文转发,13,访问控制列表（AccessControlList，ACL）：通过配置一系列匹配规则，对指定数据流（如限定的源IP地址、端口号等）执行允许或禁止通过，来识别特殊种类报文的流量过滤器。主要作用：（1）防止非法的主体进入受保护的网络资源。（2）允许合法用户访问受保护的网络资源。（3）防止合法的用户对受保护的网络资源进行非授权的访问。ACL使用访问控制条目(ACE)控制用户和组的访问权。ACE有permit和deny两种控制方式。支持3种访问控制列表：（1）标准IP访问控制列表（2）扩展IP访问控制列表（3）扩展MAC访问控制列表,二、交换机功能介绍ACL,14,ACL总结：,二、交换机功能介绍ACL,ACL三种类型总结,15,什么是IGMPSnooping？IGMPSnooping是InternetGroupManagementProtocolSnooping(互联网组管理协议窥探)的简称，它是运行在二层设备上的组播约束机制，用于管理和控制组播组。,二、交换机功能介绍IGMPSnooping,运行IGMPSnooping后,交换机运行IGMPSnooping前后对比:,16,组播IP与组播MAC地址对应关系：,二、交换机功能介绍IGMPSnooping,简而言之，组播MAC地址前24固定为0 x01-00-5e，倒数第24为0，后23位是将IP组播地址后23位映射而来。,17,二、交换机功能介绍IGMPSnooping,IGMP版本：IGMPv1、IGMPv2、IGMPv3,18,IGMPSnooping的工作原理运行IGMPSnooping的二层设备通过对收到的IGMP报文进行分析，为端口和MAC组播地址建立起映射关系，并根据这样的映射关系来转发组播数据。IGMPSnooping的相关端口交换机将本设备上的所有路由器端口和成员端口分别记录到路由端口列表和成员端口列表中，依靠这两个列表来转发组播数据，并对其进行实时维护。,二、交换机功能介绍IGMPSnooping,（1）路由端口交换机上朝向三层组播设备(DR或IGMP查询器)一侧的端口。（2）成员端口又称组播成员端口，表示交换机上朝向组播组成员一侧的端口。,19,路由端口列表更新（1）收到IGMP普遍组查询报文（IGMPv1/v2/v3）a.如果在路由器端口列表中已包含该动态路由器端口，则重置其老化定时器；b.如果在路由器端口列表中尚未包含该动态路由器端口，则将其添加到路由器端口列表中，并启动老化定时器。（2）收到IGMP特定组查询报文（IGMPv2/v3）a.如果接收端口为一已存在的动态路由器端口，则重置其老化定时器；b.如果接收端口不是一已存在的路由器端口，则将这个接收端口添加到路由器端口列表中，并启动其老化定时器。（3）收到IGMP特定源组查询报文（IGMPv3）a.如果接收端口为一已存在的动态路由器端口，则重置其老化定时器；b.如果接收端口不是一已存在的路由器端口，则将这个接收端口添加到路由器端口列表中，并启动其老化定时器。（4）交换机为每个动态路由连接口都启动一个定时器，其超时时间就是动态路由连接口的老化时间。如果在其老化时间超时前没有收到IGMP查询报文，交换机将把该端口从路由器端口列表中删除。,二、交换机功能介绍IGMPSnooping,20,动态成员端口列表更新：（1）交换机为动态成员端口启动一个定时器，其超时时间就是动态成员端口老化时间。对于成员端口，如果在其老化时间超时前没有收到IGMP加入报文，交换机将把该端口从成员端口列表中删除。（2）收到IGMP成员关系报告报文（IGMPv1/v2/v3）a.如果不存在该组播组所对应的转发表项，则创建转发表项，将该端口作为动态成员端口添加到出端口列表中，并启动其老化定时器；b.如果已存在该组播组所对应的转发表项，但其出端口列表中不包含该端口，则将该端口作为动态成员端口添加到出端口列表中，并启动其老化定时器；c.如果已存在该组播组所对应的转发表项，且其出端口列表中已包含该动态成员端口，则重置其老化定时器。（3）收到IGMP离开组报文（IGMPv2/v3）如果要离开的组播组所对应的转发表项存在，且该组播组对应的转发表项的出端口列表中包含该端口，将该端口从组播组所对应的转发表项的出端口列表中删除。,二、交换机功能介绍IGMPSnooping,21,IGMPSnooping后对报文转发处理（1）收到IGMP普遍组查询报文时，交换机将其通过VLAN内除接收端口以外的其他所有端口转发出去。（2）收到IGMP成员关系报告报文时，交换机将通过VLAN内的所有路由器端口将报告报文转发出去。（3）收到IGMP离开组报文时：a.如果不存在该组播组对应的转发表项，或者该组播组对应的转发表项的出端口列表中不包含该端口，则不处理这个报文。b.如果存在该组播组对应的转发表项，且该组播组对应的转发表项的出端口列表中包含该端口，将离开组报文从VLAN的所有路由器端口转发出去。（4）收到特定组查询报文后，将其通过该组播组的所有成员端口转发出去。（5）收到特定源组查询报文后，将其通过该组播组且组播源包含报文源IP的所有成员端口转发出去。,二、交换机功能介绍IGMPSnooping,22,DHCP8种报文（1）DHCPRequest报文（5种）：DHCPDiscovery、DHCPRequest、DHCPRelease、DHCPInform、DHCPDecline（2）DHCPReply报文（3种）：DHCPOffer、DHCPACK、DHCPNAK,二、交换机功能介绍DHCPSnooping,DHCP交互过程:,23,DHCP攻击示意图：DHCPSnooping的作用通过配置非信任端口，过滤伪（非法）DHCP服务器发送的DHCP报文,二、交换机功能介绍DHCPSnooping,开启DHCP功能后,X,24,DHCPSnooping的工作机制:（1）信任（Trust）端口:端口可转发所有DHCP报文（2）非信任（Untrust）端口:端口拒绝转发DHCPOffer、DHCPACK、DHCPNAK报文。,二、交换机功能介绍DHCPSnooping,因此，我们把合法的DHCPServer连接的端口设置为Tust口，其他口设置为Untrust口，就可以实现对非法DHCPServer的屏蔽。,25,1、风暴控制2、流量控制3、端口隔离4、端口镜像5、端口聚合6、端口限速,二、交换机功能介绍端口管理,26,风暴控制（1）风暴控制的作用当LAN中存在过量的广播、多播或未知单播数据流时，导致网络性能下降，甚至网络瘫痪。这种情况我们称之为LAN风暴。（2）工作机制通过设置风暴控制值，交换机端口只允许通过所设定带宽的广播、多播或未知单播数据流通过，超出带宽部分的数据流将被丢弃，直到数据流恢复正常，从而避免过量的泛洪数据流进入LAN中形成风暴。（3）提供六种设置方式：,二、交换机功能介绍端口管理,27,流量控制网络拥塞一般是由于速率不匹配（如100M向10M端口发送数据）和突发的集中传输而产生的，它可能导致这几种情况：延时增加、丢包、重传增加，网络资源不能有效利用。实现方法：（1）半双工：后退压力算法(backpressure)（2）全双工:IEEE802.3x流控：当端口阻塞时，交换机将会发送一个PAUSE帧告诉对方，现在繁忙。暂停一段时间在发送。流控帧（PAUSE帧）是以太网帧的一种,格式如下：,二、交换机功能介绍端口管理,其中:0001为以太网操作码，PAUSE帧的操作码固定为0 x0001。PAUSETIME即暂停时间，其数值表示发送此PAUSE帧的站点要求对端收到PAUSE帧后暂停发送数据的时间，单位为pause_quanta，即传送512bit数据所用时间:0-65535,28,端口隔离有些应用环境下，要求交换机上的部分端口间不能互相通讯，可以通过将某些端口设置为隔离口(IsolatePort)来达到目的。当端口设为隔离口之后，隔离口之间互相无法通讯，隔离口与非隔离口之间可以正常通讯。,二、交换机功能介绍端口管理,隔离后,29,端口镜像,二、交换机功能介绍端口管理,说明：（1）一个SPAN会话可以有多个源端口。（2）一个SPAN会话只能有一个目的端口。（3）可以镜像输入数据流、输出数据流，也可以同时镜像输入输出流。,端口镜像（SPAN：交换机端口分析）是将一个端口通信数据流拷贝到另外一个端口上。,作用：将指定端口（受控端口、源端口）的报文复制到交换机上另一个连接有网络监测设备的端口（监控端口、目的端口），进行网络监控与故障排除。,30,端口聚合把多个物理链接捆绑在一起形成一个逻辑链接，这个逻辑链接称为Link-aggregationPort（以下简称AP）。AP把多个端口的带宽叠加起来使用，扩展了链路带宽。AP功能支持负载均衡,可以把流量均匀地分配给各成员链路。AP功能还实现了链路备份，当AP中的一条成员链路断开时，系统会将该成员链路的流量自动地分配到AP中