《网络设备安全》课件第2章 以太网技术及交换机基本配置.ppt
《《网络设备安全》课件第2章 以太网技术及交换机基本配置.ppt》由会员分享,可在线阅读,更多相关《《网络设备安全》课件第2章 以太网技术及交换机基本配置.ppt(72页珍藏版)》请在文库网上搜索。
1、2.1以太网的技术基础2.1.1以太网以太网发展展历史史20世纪70年代产生于施乐公司最初的以太网使用粗同轴电缆为传输介质,为共享式以太网,会产生冲突利用CSMA/CD算法解决共享信道内的信道争用问题1978年,DEC公司、Intel公司和Xerox拟定了一个针对10Mbps以太网的标准,成为DIX标准1983年,DIX标准演变成IEEE 802.3标准 随着以太网技术的发展,百兆、千兆、万兆的标准相继出台 2.1.2 IEEE802.3和和OSI模型模型IEEE802局域网体系结构只对应于OSIRM的数据链路层和物理层,如图所示,以太网将数据链路层的功能划分到了两个不同的子层:逻辑链路控制(
2、LLC)子层和介质访问控制(MAC)子层。图2-1 IEEE802局域网体系结构会话层应用层表示层传输层网络层数据链路层物理层OSI/RMLLC层MAC层物理层以太网IEEE802参考模型IEEE802.3IEEE802.2对于以太网,IEEE 802.2 标准规范 LLC 子层的功能,而 802.3 标准规范 MAC 子层和物理层的功能。局域网对LLC子层是透明的,只有到MAC子层才能见到具体局域网。局域网链路层有两种不同的数据单元:LLC PDU(LLC子层协议数据单元)和MAC帧(介质访问控制子层协议数据单元)。高层的协议数据单元传到LLC子层的时候,会加上适当控制信息,便构成了LLC
3、PDU;LLC PDU再向下传到MAC子层的时候,也会在首部和尾部加上控制信息,便构成了MAC子层的协议数据单元MAC帧。2.1.3 以太网以太网MAC地址地址为协助确定以太网中的源地址和目的地址,创建了称为介质访问控制(MAC)地址的唯一标识符。MAC地址由48比特长,12个的16进制数字组成,0到23位是厂商向IETF等机构申请用来标识厂商的代码,也称为“编制上唯一的标识符”(Organizationally Unique Identifier),是识别LAN(局域网)结点的标志。MAC地址的24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。在OSI模型中,第三层网络层负
4、责 IP地址,第二层数据链路层则负责 MAC位址。因此一个网卡会有一个全球唯一固定的MAC地址,但可对应多个IP地址。2.1.4 以太网帧结构以太网帧结构以太网网络中仍然在用的以太网帧结构,主要有四种不同格式,分别为:Ethernet II,也称为DIX 2.0,Xerox与DEC、Intel在1982年制定的以太网标准帧格式。Cisco将其称为ARPA。这是最常见的一种以太网帧格式,也是今天以太网的事实标准。Ethernet 802.3 raw,Novell在1983年公布的专用以太网标准帧格式。Cisco将其称为Novell-Ether。Ethernet 802.3 SAP,IEEE在19
5、85年公布的Ethernet 802.3的SAP版本以太网帧格式。Cisco将其称为SAP。Ethernet 802.3 SNAP,IEEE在1985年公布的Ethernet 802.3的SNAP版本以太网帧格式。Cisco将其称为SNAP。以太网帧格式在每种以太网帧格式的开头都有64比特(8字节)的前导字符,如图所示。其中,前7个字节称为前同步码(PA),内容是16进制数0 xAA,紧跟后1字节为帧起始标志符(SFD)0 xAB,它标识着以太网帧的开始。前导字符的作用是使接收节点进行同步并做好接收数据帧的准备2.1.5 介质访问控制方法介质访问控制方法冲冲冲冲 突突突突任意时刻信道只能传输一
6、路数据每台主机发出的数据可以被其他所有主机所接收如果有两台主机同时发送数据,则产生冲突2.1.5 介质访问控制方法介质访问控制方法在以太网通信中,节点都在共享信道的时候,如何保证传输信道有序、高效地为许多节点提供传输服务,这就是以太网的介质访问控制协议要解决的关键问题。目前主要采用带有冲突检测的载波监听多路访问控制技术,即CSMA/CD(Carrier Sense Multiple Access/Collision Detect)。CSMA/CD其实现流程是:一个节点要发帧之前,必须首先监听信道,以确认共享信道上是否有其它节点正在发送帧。如果共享信道空闲,则发送帧。如果共享信道忙,则使用某种坚
7、持退避算法(ALOHA,即:不坚持;1坚持;p坚持)等待一段时间后重试。在发送帧的同时,继续作载波监听。如果检测到发生了冲突,则立即停止发送帧,同时向共享上广播一串阻塞信号,以通知信道上其它节点发生的冲突。在发生冲突后,使用退避算法作一段时间的退避,然后重发。如果重传次数超过16次时,就认为此帧永远无法正确发出,抛弃此帧,并向高层报错。非坚持算法如果传输信道是空闲的,则可以立即发送如果信道是忙的,则等待一个由概率分布决定的随机重发延迟后,再重复前一步骤1-坚持算法如果传输信道空闲的,则可以立即发送如果信道是忙的,则继续监听,直至检测到信道空闲,然后立即发送如果有冲突(在一段时间内未收到肯定的回
8、复),则等待一个随机时间,重复步骤前面2步P-坚持算法首先监听总线,如果传输信道是空闲的,则以概率P进行发送,而以(1-P)的概率延迟一个时间单位。一个时间单位通常等于最大传输时延的2倍。延迟一个时间单位后,再重复第一步。如果传输信道是忙的,则继续监听直至信道空闲并重复第一步。集线器:广播域、冲突域交换机:广播域、冲突域路由器:广播域、冲突域2.1.7以太网类型以太网类型共享式以太网10BASE510BASE210BASE-T/F交换式以太网10BASE-T/F100BASE-T4/TX/FX1000BASE-T/SX/LX2.2二层交换机简介2.2.1 交交换机的机的处理技理技术通用CPU处
9、理技术采用ASIC芯片处理技术采用FPGA处理技术采用NP网络处理器使用NP+ASIC的体系设计方式是目前网络交换设备的主要处理技术。2.2.2 交换机的工作模式交换机的工作模式交换机主要还是采用这三种模式:直接转发式、存储转发式和无交换机主要还是采用这三种模式:直接转发式、存储转发式和无碎片转发式碎片转发式2.2.2 交换机的工作模式交换机的工作模式直通转发:交换机收到帧头(通常只检查14个字节)后立刻察看目的MAC地址并进行转发 优点:速度快、延迟小;缺点:无法保证传输数据的可靠性,占用宽带资源,不支持连接不同网速的网段存储转发:接收完整的帧,执行完校验后,转发正确的帧而丢弃错误的帧优点:
10、提供CRC校验,保证数据传输质量,可以连接不同速度的网段;缺点:转发数据量大后会有延时,会增大缓存容量无碎片直通转发:交换机读取前64个字节后开始转发 优点:可避免数据碎片的转发,提高网络效率64B2.2.3交换机的工作原理交换机的工作原理根据第2层MAC地址,通过一种确定性的方法在端口之间来转发帧 交换机的三项主要功能:学习转发/过滤消除环路MAC地址表:存储地址到端口的映射关系的数据库地址学习E0:E1:E2:E3:MAC地址表地址表E0E1E2E3主机主机A:00-D0-F8-00-11-11 主机主机B:00-D0-F8-00-22-22 主机主机C:00-D0-F8-00-33-33
11、 主机主机D:00-D0-F8-00-44-44 初始的初始的MACMAC地地址表为空址表为空地址学习E0:00-D0-F8-00-11-11E1:E2:E3:MAC地址表地址表E0E1E2E3主机主机A:00-D0-F8-00-11-11 主机主机B:00-D0-F8-00-22-22 主机主机C:00-D0-F8-00-33-33 主机主机D:00-D0-F8-00-44-44 主机主机A A发给主机发给主机D D的数据的数据帧将被泛洪,同时帧将被泛洪,同时MACMAC地地址表中增加主机址表中增加主机A A和端口和端口E0E0的映射关系的映射关系地址学习MAC地址表地址表E0:00-D0-
12、F8-00-11-11E1:E2:E3:00-D0-F8-00-33-33E0E1E2E3主机主机A:00-D0-F8-00-11-11 主机主机B:00-D0-F8-00-22-22 主机主机C:00-D0-F8-00-33-33 主机主机D:00-D0-F8-00-44-44 主机主机D D回复后,它的回复后,它的MACMAC地址和端口地址和端口E3E3的映射关系的映射关系也将被写入也将被写入MACMAC地址表地址表地址学习MAC地址表地址表E0:00-D0-F8-00-11-11E1:00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-
13、44-44E0E1E2E3主机主机A:00-D0-F8-00-11-11 主机主机B:00-D0-F8-00-22-22 主机主机C:00-D0-F8-00-33-33 主机主机D:00-D0-F8-00-44-44 随着这个过程不断重复,随着这个过程不断重复,最终建立起完整的最终建立起完整的MACMAC地地址表址表转发/过滤E0:00-D0-F8-00-11-11E1:00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表地址表E0E1E2E3主机主机A:00-D0-F8-00-11-11 主机主机B:00-D0-F8-
14、00-22-22 主机主机C:00-D0-F8-00-33-33 主机主机D:00-D0-F8-00-44-44 单播帧依据单播帧依据MACMAC地址表进地址表进行转发行转发/过滤过滤转发/过滤E0:00-D0-F8-00-11-11E0:00-D0-F8-00-55-55E1:00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表地址表E0E1E2E3主机主机E:00-D0-F8-00-55-55 主机主机B:00-D0-F8-00-22-22 主机主机C:00-D0-F8-00-33-33 主机主机D:00-D0-F8
15、-00-44-44 主机主机A:00-D0-F8-00-11-11 如果一个端口上如果一个端口上连接多台主机,连接多台主机,依然能够进行过依然能够进行过滤滤2.2.4 交换机的主要指标交换机的主要指标交换机的背板带宽,是交换机接口处理器或接口卡和数据总线之间所能吞吐的最大数据量,单位为Gbps,也叫交换带宽包转发率以Mpps(百万包/每秒)为单位,标志了交换机转发数据包能力的大小。端口速率是指交换机接口的数据交换速度。目前常见的有10Mbit/s、100Mbit/s、1000Mbit/s、10GMbit/s几类。是否支持VLAN。在局域网中,通过VLAN技术逻辑划分多个网络区域,方便网络管理和
16、提升安全管理。因此,交换交换机是否支持VLAN,是实现网络区域划分的关键问题。存储MAC地址能力。交换机MAC地址表的存储的数量越大,对数据转发的速度和效率就越高。2.3配置二层交换机配置二层交换机通过带外方式对交换机进行管理通过Telnet对交换机进行远程管理通过Web对交换机进行远程管理通过SNMP管理工作站对交换机进行远程管理利用交换机附带的Console线缆将交换机的Console端口与主机的串口连接起来,启动交换机,就可以在主机上的终端软件进行连接管理了,如Windows 系统自带的超级终端。(1)选择“开始”“程序”“附件”“超级终端”命令,打开超级终端,按照提示进行配置。其中,在
17、“端口设置”选项卡中各参数设置如下图所示:2.3.1配置交换机方式简介配置交换机方式简介交换端口交换端口ConsoleConsole口口端口指示灯端口指示灯电源指电源指示灯示灯通过交换机的Console口,使用超级终端工具通过通过ConsoleConsole线缆连接主机线缆连接主机的的ComCom端口端口通过Telnet方式管理交换机交换机必须已经配置了管理IP地址、密码等,并开启Telnet可以使用可以使用WindowsWindows自自带的带的TelnetTelnet连连接工具接工具登录后界面登录后界面和和ConsoleConsole口口连接是一致连接是一致配置了管理IP地址、密码等步骤步
18、骤命令命令含义含义 步骤1 Switch#configure terminal 进入全局配置模式 步骤2 Switch(config)#line vty 0 4从全局配置模式切换为控制台 0 的线路配置模式。步骤3 Switch(config-line)#password cisco将 cisco 设置为交换机telnet的口令。使用 no password 命令从控制台线路上移除口令。步骤4 Switch(config-line)#login将telnet设置为需要输入口令后才会允许访问。使用 no login 命令取消在登录控制台线路时输入口令的要求。步骤5 Switch(config-l
19、ine)#exit 回到全局配置模式。步骤6 Switch(config)#interface vlan 1进入VLAN1步骤7Switch(config-if)#ip address 192.168.1.2 255.255.255.0设置VLAN1的IP地址步骤8 Switch(config-line)#end通过WEB方式管理交换机交换机必须已经配置了管理IP地址、密码等,并开启HTTP登录后的界面登录后的界面可以使用浏可以使用浏览器进行访览器进行访问问2.3.2 使用命令行接口配置交换机使用命令行接口配置交换机命令模式:设备管理界面分成若干不同的模式,用户当前所处的命令模式决定了可以使用
20、的命令 用户模式特权模式配置模式开机自动进入:开机自动进入:SwitchSwitchSwitchenableSwitchenableSwitch#Switch#全局模式:全局模式:全局模式:全局模式:Switch#configure terminalSwitch#configure terminal Switch(config)#Switch(config)#VLANVLAN模式:模式:模式:模式:Switch(config)#vlan 10Switch(config)#vlan 10 Switch(config-vlan)#Switch(config-vlan)#接口模式:接口模式:接口模式
21、:接口模式:Switch(config)#interface fastethernet 0/0Switch(config)#interface fastethernet 0/0 Switch(config-if)#Switch(config-if)#获得帮助“?”键:列出每个命令模式支持的命令,列出该命令的下一个关联的关键字 命令?:列出该关键字关联的下一个变量 命令字符串+?:获得相同开头字母的命令关键字字符串键:自动补齐剩余命令单词 Help:获得帮助系统的摘要描述信息 Switch#?Switch#?Switch#show Switch#show?Switch(config)#snmp-
22、server community?Switch(config)#snmp-server community?WORD SNMP community stringWORD SNMP community string Switch#di?Switch#di?dir disabledir disable Switch#show confSwitch#show confSwitch#show configurationSwitch#show configuration 简写命令只需输入命令关键字的一部分字符,只要这部分字符足够识别唯一的命令关键字即可 Switch#show run Switch#sh
23、ow run Switch#show access Switch#show access%Ambiguous command:show access%Ambiguous command:show access命令行界面的提示信息%Ambiguous command:show c“用户没有输入足够的字符,网络设备无法识别唯一的命令。%Incomplete command.用户没有输入该命令的必需的关键字或者变量参数。%Invalid input detected at marker.用户输入命令错误,符号()指明了产生错误的单词的位置。2.3.3 交换机的基本管理配置交换机的基本管理配置管理系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备安全 网络设备安全课件第2章 以太网技术及交换机基本配置 网络设备 安全 课件 以太网 技术 交换机 基本 配置