网络安全：交换机技术

单播，组播广播

单播(unicast): 是指封包在计算机网络的传输中，目的地址为单一目标的一种传输方式。它是现今网络应用最为广泛，通常所使用的网络协议或服务大多采用单播传输，例如一切基于TCP的协议。组播(multicast): 也叫多播， 多点广播或群播。 指把信息同时传递给一组目的地址。它使用策略是最高效的，因为消息在每条网络链路上只需传递一次，而且只有在链路分叉的时候，消息才会被复制。广播(broadcast):是指封包在计算机网络中传输时，目的地址为网络中所有设备的一种传输方式。实际上，这里所说的“所有设备”也是限定在一个范围之中，称为“广播域”。

单工、半双工、全双工

一、单工
1、数据只在一个方向上传输，不能实现双方通信。2、栗子：电视、广播。二、半双工
1、允许数据在两个方向上传输，但是同一时间数据只能在一个方向上传输，其实际上是切换的单工。2、栗子：对讲机。三、全双工
1、允许数据在两个方向上同时传输。
2、栗子：手机通话。

冲突域和广播域

1、冲突域（物理分段）：连接在同一导线上的所有工作站的集合，或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。
这个域代表了冲突在其中发生并传播的区域，这个区域可以被认为是共享段。
在OSI模型中，冲突域被看作是第一层的概念，连接同一冲突域的设备有Hub，Reperter或者其他进行简单复制信号的设备。
也就是说，用Hub或者Repeater连接的所有节点可以被认为是在同一个冲突域内，它不会划分冲突域。
而第二层设备（网桥，交换机）第三层设备（路由器）都可以划分冲突域的，当然也可以连接不同的冲突域。
简单的说，可以将Repeater等看成是一根电缆，而将网桥等看成是一束电缆。冲突域越多，冲突越少2、广播域：接收同样广播消息的节点的集合。
如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分。
由于许多设备都极易产生广播，所以如果不维护，就会消耗大量的带宽，降低网络的效率。
由于广播域被认为是OSI中的第二层概念，所以像Hub，交换机等第一，第二层设备连接的节点被认为都是在同一个广播域。而路由器，第三层交换机则可以划分广播域，即可以连接不同的广播域。

1、广播域就是说如果站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域。冲突域指一个站点向另一个站点发出信号。除目的站点外，有多少站点能收到这个信号。这些站点就构成一个冲突域。2、冲突域通过集线器连接，广播域则通过交换机。扩展资料：主要特点：冲突域是在同一个网络上两个比特同时进行传输则会产生冲突；在网路内部数据分组所产生与发生冲突的这样一个区域称为冲突域，所有的共享介质环境都是一个冲突域，在共享介质环境中一定类型的冲突域是正常行为。广播域(broadcast domain)，广播域是一个逻辑上的计算机组，该组内的所有计算机都会收到同样的广播信息。1、广播域就是说如果站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域。冲突域指一个站点向另一个站点发出信号。除目的站点外，有多少站点能收到这个信号。这些站点就构成一个冲突域。2、冲突域通过集线器连接，广播域则通过交换机。扩展资料：主要特点：冲突域是在同一个网络上两个比特同时进行传输则会产生冲突；在网路内部数据分组所产生与发生冲突的这样一个区域称为冲突域，所有的共享介质环境都是一个冲突域，在共享介质环境中一定类型的冲突域是正常行为。广播域(broadcast domain)，广播域是一个逻辑上的计算机组，该组内的所有计算机都会收到同样的广播信息。

局域网设备

网线
中继器
集线器
网桥
交换机
路由器

局域网标准

1.链路标准
IEEE 802.3：标准以太网 10M
IEEE 802.3u：快速以太网 100M 
IEEE 802.3z：吉比特以太网 1000M
2、物理标准
10baseT
100baseT
100baseTX
1000baseFX
3、数据帧标准
PDU：协议数据单元，每一层对数据的叫法不同
应用层：DATA 数据
传输层：Segment 数据段
网络层：Packet 数据包
链路层：Frame 数据帧
物理层：Bit 比特Ethernet II格式：
IEEE 802.2./3格式：MAC和LLC子层

交换机原理

1、基础功能
帧转发（转发数据）
地址学习（建立MAC表）
环路防止

转发原则

基于mac地址学习，基于目标mac地址转发
同一个接口可以学习到多个mac地址
同一个mac地址从多个接口学习到，并且选择后学习到接口
收到位置广播组播帧，向本VLAN其他所有接口转发
一旦地址表满，就会从版本vlan其他接口泛洪新收到的帧，直到现存的地址条目老化为止

转发方式

1.直通转发
cut-through
定义交换机检测到目标地址，后即转发帧
延迟小，无错误校验
2.存储转发
完整的收到帧并检查无错后才转发
延迟大，有CRC校验
3.片段转发
交换机检测到帧的前64字节后转发
延迟小有最小帧大小检验

实验

show mac-address-table 查看mac地址表s是

VLAN技术

virtual LAN 虚拟局域网，可以以用于实现广播隔离并且实现局域网内部安全互访原理：0,4095 仅限系统使用，用户不能查看和使用这些vlan
1-正常cisco默认vlan 用户能够使用改vlan，但是无法删除这些vlan
1002-1005 正常，用于fddl和令牌环的Cisco默认vlan头痛胡不能删除vlan1002-1005
1006-1024 保留，仅限系统使用，用户不能查看和使用
1025-4094，拓展vlan，仅用于以太网vlan分类
数据VLAN：最常规VLAN，链接主机
管理VLAN，用于管理员对交换机进行管理
语音VLAN，用于链接语音电话
私有VLAN：用于实现进一步安全隔离
本征VLAN：自然VLAN，用于实现标签优化

部署

查看VLAN
SW1#show vlan-switch brief  //查看交换机本地VLAN信息
（默认交换机有1，1002-1005几个vlan，所有接口默认处于VLAN1）
创建VLAN
SW1#vlan database  //进入VLAN数据库
SW1(vlan)#vlan 10 name XZ //创建VLAN并给名字
SW1(vlan)#vlan 20 name SJ
SW1(vlan)#exit //保存并退出
将接口放入特定的VLAN
SW1(config)#int range f0/0  
SW1(config-if-range)#switchport mode access  //设置为主机访问接口
SW1(config-if-range)#switchport access vlan 10 //划入具体的VLAN
SW1(config)#int f0/1
SW1(config-if)#switchport mode access 
SW1(config-if)#switchport access vlan 20

Trunk技术

Trunk之前：每个VLAN对应一个网线/链路/接口，这样比较消耗交换机的接口资源。N个VLAN N根网线

原理

Trunk功能，用于承载不同VLAN的流量
Trunk实现：打标签
标签技术
行业标准：802.1Q
思科：ISL

部署

SW2(config)#in f0/2
SW2(config-if)#switchport trunk encapsulation dot1q  //定义封装标准
SW2(config-if)#switchport mode trunk  //开启TRUNKSW2#show interfaces trunk  //查看TRUNK信息SW1(config)#default int f0/10  //清除接口配置default interface f0/4 清除接口配置实验：
删除sw1的f0/3和sw2的f0/4
将f0/4和f0/3配置修改为trunk
测试能不能ping通pc6和pc2和pc3show int trunk 查看trunk 状态

Trunk的优化

switchport trunk native vlan 10 //设置vlan 10 为本征vlan 抓包验证效果，vlan1没有标签
switchport trunk allowed vlan 1,20,1002-1005 设置 vlan 20才能经过trunk 10 不能经过switchport mode trunk

sw1(config-if)#switchport trunk encapsulation dot1q
sw1(config-if)#switchport trunk native vlan 10sw1(config)#no spanning-tree vlan 10 
sw1(config)#no spanning-tree vlan 20

VTP技术

实验流程

实验流程
1.配置PC的IP地址，实现局域网内部通信
2.查看MAC表理解交换机通信原理
3.创建VLAN，将不同的PC划分到不同VLAN
4.实现同一VLAN跨交换机通信
5.部署Trunk，实现多VLAN打标签通信
6.部署VTP协议，实现交换机之间的VLAN同步
7.域名是PL，密码是CISCO，SW3是服务器，SW1和SW2是客户端1.删除sw1/2VLAN 2.SW1/2/3链路为TRUNK3.部署VTP技术
让VTP服务器向客户端同步vlansw2关闭trunk链路 2.修改为服务器模式3.创建和修改VLAN增加版本号，4.trunk链路重新打开，验证其他设备向本客户端同步vlan信息，将sw2设置为透明模式，并验证透明模式版本号特性

部署

vlan database
vtp server/client 设置角色
vtp domain pl 设置域名
vtp password cisco 设置密码

VTP

1.定义
Vlan

VTP裁剪

通过组织不必要数据的泛洪传送来增加可用的带宽

STP-二层环路形成-广播风暴

no spannign-tree vlan 1关闭防环技术
int vlan 1 交换机的逻辑管理接口
no sh
ip add 192.168.1.1 255.255.255.0 为vlan 1设置管理地址
ping 255.255.255.255
debug ip packet 调试ip数据包
debug ip icmp 调试icmp 协议 debug arp 调试ARP协议

形成原因--内因：交换机转发原则--外因：拓扑设计
环路制造no spannign-tree vlan 1关闭防环技术int vlan 1 交换机的逻辑管理接口no ship add 192.168.1.1 255.255.255.0 为vlan 1设置管理地址ping 255.255.255.255debug ip packet 调试ip数据包debug ip icmp 调试icmp 协议 debug arp 调试ARP协议环路影响资源消耗广播风暴cam表不稳定

实验流程：
1、将交换机之间链路启动TRUNK；
2、删除VTP和VLAN，仅保留VLAN1；
no vlan 10/20/30/40
3、关闭生成树协议；
no spanning-tree vlan 1/10/204、制造广播包
int vlan 1
no shutdown
ip add 192.168.1.1 255.255.255.0
ping 255.255.255.2555、抓包和debug验证
debug ip packet / debug ip icmp 

STP生成树协议

1       STP介绍避免形成广播风暴，需要一种方法来阻断冗余链路，消除这种路径环路。而当主链路中断之后，又能使得冗余链路能自动处切换到转发状态，恢复网络的连通性，STP就能实现这种功能 。STP消除链路层环路的基本思想是：将网络环境修剪成树形拓扑，树形拓扑是没有环路的。运行STP的设备之间会交互相关信息，然后通过计算实现网络拓扑的收敛，具体内容如下：1. 运行STP的设备会依据一定的准则选举一个树根节点作为网络中的根桥，其他节点为非树根节点。2.每一个非树根节点，都会选择一条最优路径与根桥连接，非树根节点上位于最优路径的端口，为该节点的根端口。3.如果网络中存在冗余链路，就会阻断冗余链路每个非树根节点都会这么计算，最终网络中任意两台设备之间都有一条路径可达，从而行成一棵无环的树 。

STP选举机制

1.STP网桥（交换机）角色
角色：根网桥，备根网桥，非根网桥
依据：根据BID网桥标识符来进行选举 BID=优先级（默认32768）+本地MAC
规则：越小越优先（STP里面所有的参数都是越小越优先）

STP端口角色
角色：根端口RP、指定端口DP，非指定端口NDP（阻塞端口）
依据：--先选举cost最短（到根）