收藏
下载资源

交换机基本功能学习总结业界相关

上传人:cn****1 文档编号:569487319 上传时间:2024-07-29 格式:PPT 页数:32 大小:1.74MB
返回 下载 相关 举报
交换机基本功能学习总结业界相关_第1页
第1页 / 共32页
交换机基本功能学习总结业界相关_第2页
第2页 / 共32页
交换机基本功能学习总结业界相关_第3页
第3页 / 共32页
交换机基本功能学习总结业界相关_第4页
第4页 / 共32页
交换机基本功能学习总结业界相关_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《交换机基本功能学习总结业界相关》由会员分享,可在线阅读,更多相关《交换机基本功能学习总结业界相关(32页珍藏版)》请在金锄头文库上搜索。

1、1学习总结学习总结交换机知识学习汇报交换机知识学习汇报1专业课堂主要内容一、交换机基本原理二、交换机功能介绍2 2专业课堂1、交换机概述2、交换机转发原理3、交换机常用接口3一、交换机基本原理3专业课堂一、交换机基本原理交换机概述交换机:(1)在通信系统中完成信息交换功能的设备;(2)主要工作在数据链路层;(3)采用物理地址进行信息交互。交换机中转发的两种常见的帧格式:(1)以太网帧格式(2)IEEE 802.1Q帧格式4 4专业课堂交换机的核心思想:基于源MAC学习、基于目的MAC转发过程管理依据:MAC地址表项一、交换机基本原理交换机转发原理MAC端口端口类别VLANMAC MAC 地址表

2、项构成手工配置和动态学习的MAC地址表项这里的index表示什么意思?有什么作用?5专业课堂更新和维护MAC地址表:(1)手工配置地址:a. 静态地址表项,使用于网络中比较固定的网络设备,可以减少网络中的广播包;可以防止未授权设备接入网络或攻击网络。b. 配置过滤地址,当接收到的数据报文源MAC或目的MAC与过滤表项中的地址相符的,丢弃。(2)动态地址学习:动态地址表项,存在老化时间。一、交换机基本原理交换机转发原理6专业课堂MAC地址学习和报文转发过程:当交换机收到一个报文,处理过程如下:(1)查看MAC地址表项(2)根据结果,处理报文(3)更新MAC地址表项 a.在MAC地址表中添加记录

3、b.更新MAC地址表中记录信息。一、交换机基本原理交换机转发原理根据报文的目的 MAC 地址、报文所属的 VLAN ID 、MAC 地址表中查找相应的转发输出端口;a.丢弃 b.采取单播、组播、广播和复制流的方式转发报文7专业课堂几种常用接口:设备上的单个物理接口有三种模式:Access、Trunk、Hybrid,通过 Switch Port 接口配置命令;用于管理物理接口和与之相关的第二层协议。链路汇聚口把多个端口的带宽叠加起来使用,扩展了链路带宽;链路汇聚支持负载均衡,可以把流量均匀地分配给各成员链路。SVI接口SVI 可以做为本机的管理接口,通过该管理接口管理员可管理设备。用来实现三层交

4、换的逻辑接口。一、交换机基本原理交换机接口8专业课堂交换机接口示意图:一、交换机功能介绍交换机接口 交换机接口示意图9专业课堂二、交换机功能介绍1、VLAN管理 2、ACL3、IGMP4、DHCP5、端口管理10专业课堂二、交换机功能介绍VLAN管理什么是VLAN?VLAN有什么用?虚拟局域网,Virtual Local Area Network,虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。用于在二层交换机上分割广播域的技术,使第二层的单播、广播和多播帧在一个 VLAN 内转发、扩散,而不会直接进入其它的 VLAN 之中。没有划分vlan时报

5、文转发划分vlan后报文转发11专业课堂二、交换机功能介绍VLANVLAN中几个基本概念:(1)VID(2)PVID(或称Native Vlan)(3)Allowed Vlan端口操作模式VIDPVID(或称Native VlAN)Allowed VlANAccess1、VLAN标识符;2、默认为 Vlan 1。-Trunk-1、端口的虚拟局域网ID号,关系到端口收发数据帧时的VLAN TAG 标记;2、默认为 Vlan 1。1、标识出允许哪些vlan通过;2、默认允许Allowed VLAN 为VLAN 1, 可设置让多个VLAN 通过。Hybrid-1、端口的虚拟局域网ID号,关系到端口接

6、收数据帧时的VLAN TAG 标记。2、默认为 Vlan 1。1、同Trunk口2、同Trunk口3、可设置在端口发送(转发出去)该数据帧时是否带上允许通过的vlan的VLAN Tag,在接收时设置是否带tag没有影响。 三种操作模式下端口VID、PVID和Allowed vlan对比12专业课堂VLAN中的报文转发二、交换机功能介绍VLAN端口操作模式入方向出方向access1、untag报文,打上端口vid的 TAG后接收。2、tag报文,判断报文tag vid 是否等于 端口vid,等于则接收;否则丢弃。判断报文tag vid是否等于 端口vid,等于则剥离tag后转发;否则丢弃。tru

7、nk1、untag报文,打上端口 Native vid的 TAG后,并判断 Native vid是否在allowed vlan 列表中,在则接收,不在则丢弃;2、tag报文,判断报文tag vid 是否在allowed vlan 列表中,在则接收,否则丢弃。1、报文tag vid不在allowed vlan 列表中,丢弃。2、报文tag vid在allowed vlan 列表中,进一步判断报文tag vid 是否等于Native vid,等于则剥离tag后转发,否则直接转发。hybrid同trunk模式1、报文tag vid不在allowed vlan 列表中,丢弃。2、报文tag vid在a

8、llowed vlan 列表中,再判断报文tag vid与端口的allowed vlan列表中对应vlan是untag 还是tag,是untag则剥离tag后转发,否则(设置为tag)直接转发 Vlan中报文转发13专业课堂访问控制列表(Access Control List,ACL) :通过配置一系列匹配规则,对指定数据流(如限定的源IP地址、端口号等)执行允许或禁止通过,来识别特殊种类报文的流量过滤器。主要作用:(1)防止非法的主体进入受保护的网络资源。 (2)允许合法用户访问受保护的网络资源。 (3)防止合法的用户对受保护的网络资源进行非授权的访问。ACL 使用访问控制条目 (ACE)

9、控制用户和组的访问权。 ACE有permit和deny两种控制方式。支持3种访问控制列表:(1)标准IP访问控制列表(2)扩展IP访问控制列表(3)扩展MAC访问控制列表二、交换机功能介绍ACL14专业课堂ACL总结:二、交换机功能介绍ACL类型配置说明标准IP访问控制列表1、可配置10个列表(编号:0-9);2、每个列表可配置10个ACE(编号0-9),默认是0;3、对收到的报文的源IP进行控制:a.任意源IP地址 b.指定源IP地址范围。扩展IP访问控制列表1、可配置10个列表(编号:10-19);2、每个列表可配置10个ACE(编号0-9),默认是0;3、对收到的报文的源IP和目的IP进

10、行控制: a.任意IP地址 b.指定IP地址范围。4、可以指定收到报文时过滤那些协议的报文,常见的有: a.IP b.IGMP c.TCP d.UDP 其中,指定过滤TCP、UDP协议报文时,同时可以指定过滤具体某个源端口/目的端口的TCP、UDP协议报文。扩展MAC访问控制列表1、可配置6个列表(编号:20-25);2、每个列表可配置10个ACE(编号0-9),默认是0;3、对收到的报文的源MAC和目的MAC进行控制: a.任意MAC地址 b.指定某个MAC地址。4、可指定过滤具体某个以太头类型的报文。 太头类型范围:0x0000-0xffffACL三种类型总结15专业课堂什么是IGMP S

11、nooping?IGMP Snooping是Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组。二、交换机功能介绍IGMPSnooping运行IGMP Snooping后交换机运行IGMP Snooping前后对比:16专业课堂组播IP与组播MAC地址对应关系:二、交换机功能介绍IGMPSnooping1 11 1 1 10 00 00 00 00 00 00 00 01 10 00 00 00 00 00 00 00 00 01 10 01 11 11 11 10 00

12、 0IPIP组播地址后组播地址后组播地址后组播地址后2323位位位位映射到映射到映射到映射到MACMAC地址中地址中地址中地址中3232位位IPIP组播地址组播地址4848位位MACMAC地址(以太网地址(以太网/FDDI/FDDI)此此5 5位地址不作映射,因此位地址不作映射,因此3232个个IPIP组播地址映射成一个组播地址映射成一个MACMAC地址地址简而言之,组播MAC地址前24固定为0x01-00-5e,倒数第24为0,后23位是将IP组播地址后23位映射而来。17专业课堂二、交换机功能介绍IGMPSnoopingIGMP 版本:IGMP v1、IGMPv2、IGMP v3Versi

13、on查询报告IGMP V1普遍组查询成员报告IGMP v2普遍组查询成员报告特定组查询:相比v1增加了特定组播组的查询离开报文:相比v1增加了组播成员离开机制IGMP v3普遍组查询成员报告(6种类型,相比v1和v2增加了对组播源的控制):(1)Mode-is-Include(G,S)(2)Mode-is-Exclude(G,S)(3)Change-to-Include(G,S)(4)Change-to-Exclude(G,S)(5)Allow-new-source(G,S)(6)Block-old-source(G,S)特定组查询特定源组查询:相比v1和v2增加了对组播源的控制18专业课堂I

14、GMP Snooping 的工作原理运行IGMP Snooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系来转发组播数据。IGMP Snooping 的相关端口交换机将本设备上的所有路由器端口和成员端口分别记录到路由端口列表和成员端口列表中,依靠这两个列表来转发组播数据,并对其进行实时维护。二、交换机功能介绍IGMPSnooping(1)路由端口交换机上朝向三层组播设备(DR或IGMP查询器)一侧的端口。(2)成员端口又称组播成员端口,表示交换机上朝向组播组成员一侧的端口。19专业课堂路由端口列表更新(1)收到IGMP普遍组查询报文

15、( IGMP v1/v2 /v3 )a.如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器; b. 如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动老化定时器。(2)收到IGMP特定组查询报文( IGMP v2 /v3 )a.如果接收端口为一已存在的动态路由器端口,则重置其老化定时器;b.如果接收端口不是一已存在的路由器端口,则将这个接收端口添加到路由器端口列表中,并启动其老化定时器。(3)收到IGMP特定源组查询报文( IGMP v3 )a.如果接收端口为一已存在的动态路由器端口,则重置其老化定时器;b.如果接收端口不是一已存在的路由器端口,

16、则将这个接收端口添加 到路由器端口列表中,并启动其老化定时器。(4)交换机为每个动态路由连接口都启动一个定时器,其超时时间就是动态路由连接口的老化时间。如果在其老化时间超时前没有收到 IGMP 查询报文,交换机将把该端口从路由器端口列表中删除。二、交换机功能介绍IGMPSnooping20专业课堂动态成员端口列表更新:(1)交换机为动态成员端口启动一个定时器,其超时时间就是动态成员端口老化时间。对于成员端口,如果在其老化时间超时前没有收到 IGMP加入报文,交换机将把该端口从成员端口列表中删除。(2)收到IGMP成员关系报告报文( IGMP v1/v2 /v3 )a.如果不存在该组播组所对应的

17、转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;b.如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;c.如果已存在该组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。(3)收到IGMP离开组报文( IGMP v2 /v3 )如果要离开的组播组所对应的转发表项存在,且该组播组对应的转发表项的出端口列表中包含该端口,将该端口从组播组所对应的转发表项的出端口列表中删除。二、交换机功能介绍IGMPSnooping21专业课堂IGMP Snoopi

18、ng后对报文转发处理(1)收到IGMP普遍组查询报文时,交换机将其通过VLAN内除接收端口以外的其他所有端口转发出去。(2)收到IGMP成员关系报告报文时,交换机将通过VLAN内的所有路由器端口将报告报文转发出去。(3)收到IGMP离开组报文时:a.如果不存在该组播组对应的转发表项,或者该组播组对应的转发表项的出端口列表中不包含该端口,则不处理这个报文。b.如果存在该组播组对应的转发表项,且该组播组对应的转发表项的出端口列表中包含该端口,将离开组报文从VLAN的所有路由器端口转发出去。(4)收到特定组查询报文后,将其通过该组播组的所有成员端口转发出去。(5)收到特定源组查询报文后,将其通过该组

19、播组且组播源包含报文源IP的所有成员端口转发出去。二、交换机功能介绍IGMPSnooping22专业课堂DHCP8种报文(1)DHCP Request报文(5种):DHCP Discovery、DHCP Request、DHCP Release、DHCP Inform、DHCP Decline(2)DHCP Reply报文(3种):DHCP Offer、DHCP ACK、 DHCP NAK二、交换机功能介绍DHCPSnoopingDHCP交互过程:23专业课堂DHCP 攻击示意图:DHCP Snooping的作用通过配置非信任端口,过滤伪(非法)DHCP服务器发送的DHCP报文二、交换机功能介

20、绍DHCPSnooping开启DHCP 功能后X24专业课堂DHCP Snooping的工作机制:(1)信任(信任(TrustTrust)端口)端口:端口可转发所有DHCP报文(2)非信任(非信任(UntrustUntrust)端口)端口:端口拒绝转发DHCP Offer、DHCP ACK、 DHCP NAK报文。二、交换机功能介绍DHCPSnooping因此,我们把合法的DHCP Server连接的端口设置为Tust口,其他口设置为Untrust口,就可以实现对非法DHCP Server的屏蔽。25专业课堂1、风暴控制2、流量控制3、端口隔离4、端口镜像5、端口聚合6、端口限速二、交换机功能

21、介绍端口管理26专业课堂风暴控制(1)风暴控制的作用当 LAN 中存在过量的广播、多播或未知单播数据流时,导致网络性能下降,甚至网络瘫痪。这种情况我们称之为 LAN 风暴。(2)工作机制通过设置风暴控制值,交换机端口只允许通过所设定带宽的广播、多播或未知单播数据流通过,超出带宽部分的数据流将被丢弃,直到数据流恢复正常,从而避免过量的泛洪数据流进入 LAN 中形成风暴。(3) 提供六种设置方式:二、交换机功能介绍端口管理27专业课堂流量控制网络拥塞一般是由于速率不匹配(如100M向10M端口发送数据)和突发的集中传输而产生的,它可能导致这几种情况:延时增加、丢包、重传增加,网络资源不能有效利用。

22、实现方法:(1)半双工:后退压力算法(backpressure)(2)全双工: IEEE802.3x流控:当端口阻塞时,交换机将会发送一个PAUSE帧告诉对方,现在繁忙。暂停一段时间在发送。流控帧(PAUSE帧)是以太网帧的一种, 格式如下:二、交换机功能介绍端口管理 0180.C200.0001 SMAC 8808 0001PAUSETIME PAD FCS6 Octets6 Octets2 Octets2 Octets2 Octets42 Octets 4 Octets其中: 0001为以太网操作码, PAUSE帧的操作码固定为0x0001。PAUSE TIME即暂停时间,其数值表示发送此

23、PAUSE帧的站点要求对端收到PAUSE帧后暂停发送数据的时间, 单位为pause_quanta,即传送512bit数据所用时间:0-6553528专业课堂端口隔离有些应用环境下,要求交换机上的部分端口间不能互相通讯,可以通过将某些端口设置为隔离口(Isolate Port)来达到目的。当端口设为隔离口之后,隔离口之间互相无法通讯,隔离口与非隔离口之间可以正常通讯。二、交换机功能介绍端口管理隔离后29专业课堂端口镜像二、交换机功能介绍端口管理说明:(1)一个SPAN会话可以有多个源端口。(2)一个SPAN会话只能有一个目的端口。(3)可以镜像输入数据流、输出数据流,也可以同时镜像输入输出流。端

24、口镜像(SPAN:交换机端口分析)是将一个端口通信数据流拷贝到另外一个端口上。作用:将指定端口(受控端口、源端口)的报文复制到交换机上另一个连接有网络监测设备的端口(监控端口、目的端口),进行网络监控与故障排除。30专业课堂端口聚合把多个物理链接捆绑在一起形成一个逻辑链接把多个物理链接捆绑在一起形成一个逻辑链接,这个逻辑链接称为 Link-aggregation Port(以下简称 AP)。AP把多个端口的带宽叠加起来使用,扩展了链路带宽扩展了链路带宽。AP 功能支持支持负载均衡负载均衡,可以把流量均匀地分配给各成员链路。AP 功能还实现了链路备份,当 AP 中的一条成员链路断开时,系统会将该成员链路的流量自动地分配到 AP 中的其它有效成员链路上去。负载均衡模式负载均衡模式:IP、IP+MAC、MAC汇聚类型汇聚类型:静态汇聚(Manual)和动态汇聚(LACP)二、交换机功能介绍端口管理以端口信息或者LACPDU数据流的相应信息为参数,以负载均衡模式为计算公式,根据计算结果为数据流选择相应的链路;起到增加传输带宽的作用。31专业课堂端口限速一般说来,用户对不同的多媒体应用有着不同的服务质量要求,这就要求网络应能根据用户的要求分配和调度资源,因此,网络管理者需要对相应的端口进行速率限制。端口限速:(1)入流量限制(2)出流量限制二、交换机功能介绍端口管理32专业课堂

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号