交换机数据转发基本过程Word下载.docx
《交换机数据转发基本过程Word下载.docx》由会员分享,可在线阅读,更多相关《交换机数据转发基本过程Word下载.docx(29页珍藏版)》请在冰豆网上搜索。
简单的冗余交换拓扑
创建逻辑无环路拓扑
•1.冗余增加了可靠性,但是同时将物理环路带进网络。
•2.解决办法就是创建逻辑无环路拓扑,同时保留物理环存在
•3.无环路拓扑称为树,并且是可扩展的树
•4.创建无环路拓扑的算法称为生成树算法
STP术语(STPTerms)
•1.桥ID(BridgeID)
•2.开销(Cost)
•3.桥协议数据单元(BPDU)
桥ID(BridgeID)
新IEEE标准的COST值
•最短路径是cost累加,而cost是基于链路的速率的。
桥协议数据单元(BPDU)
•1.交换机发送的创建逻辑无环路的数据包称为BPDU
•BridgeProtocolDataUnit(BPDU).
•2.BPDU在阻塞的接口上也可以接收,这确保如果链路或设备出现问题,新的生成树会被计算
•3.默认,BPDU2秒发送一次
生成树协议
生成树操作
•1.选举根桥,BID最小即是
•2.计算自己到根桥距离
•3.选择根端口,距离根桥最近的接口
•4.选指定端口和非指定端口,非指定端口被阻塞。
生成树操作规则
STP实例
生成树示例1
生成树示例2
所有的交换机为缺省STP配置,所有的链路都是快速以太网。
哪个交换机的哪个端口将被STP协议阻塞以维持不成环路?
生成树端口状态
•1.在阻塞状态,端口仅能接收BPDU,需要20秒改变这种状态
•2.在侦听状态,交换机确定是否有到根桥的其它路径。
该状态持续15秒。
在该状态,用户的数据不能转发,也不能学习MAC地址。
•3.在学习状态,用户的数据不能转发,但是可以学习MAC地址,该状态持续15秒。
•4.在转发状态,用户数据被转发,MAC地址继续学习,BPDU仍然工作。
STP的收敛(Convergence)
思考题
1.环路的存在,会导致广播风暴、多帧拷贝和MAC地址表不稳定的问题。
2.交换机的ID由桥优先级和桥MAC地址组成。
3.选举根桥时,具有较低值的桥ID的交换机会成为根桥。
4.100M链路的新STPCost为19。
5.STP收敛后根端口和指派端口是处于转发状态的。
6.缺省时,转发延时为50秒,Hello时间为15秒,BPDU的存活时间为20秒。
8.STP中,交换机的端口有阻塞、侦听、学习和转发状态。
半双工和全双工以太网操作
局域网交换机输入输出接口
三层交换机
虚拟局域网
LAN(LocalAreaNetwork)的中文名为局域网。
而VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网”。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN概述
VLAN特点
VLAN的产生原因-广播风暴
VLAN的起源——基于端口分组
VLAN的帧格式
帧在网络通信中的变化
广播包在二层网络中的传播
VLAN操作
VLAN成员模式
VLAN链路
IEEE802.1QTrunk
本征VLAN(NativeVLAN)
问题1:
两个设备不能通信
阶段练习
交换机基本配置
交换机的串口访问方法
注意事项
交换机的启动2-1(华为S2016-EI示例)
交换机的启动2-2
视图分类
配置模式
普通用户模式
特权模式基本命令
全局配置模式
配置接口
[Quidway]interfaceEthernet0/1
[Quidway-Ethernet0/1]
TELNET连接认证设置
本地用户设置
登陆界面及等级切换
保存配置
交换机VLAN配置
VLAN基本配置
VLAN的划分及配置:
ACCESS
TRUNK
管理VLAN及IP的配置
二层交换机配置分析
用QuidwayS2016-E1简单组网案例拓朴图
目标:
PCA和PCC同属于一个VLAN2且能相互通信。
PCB和PCD同属于另一个VLAN3且能相互通信。
两台S2016-E1用1根100M网线通过Trunk链路互连
用QuidwayS2016-E1简单组网案例配置清单
•配置VLAN:
交换机A&
交换机B
–[huawei]vlan3
–[huawei-vlan2]portEthernet0/3
–[huawei-vlan2]vlan4
–[huawei-vlan3]portEthernet0/4
•配置接口
–[huawei]interfaceEthernet0/1
–[huawei-Ethernet0/1]portlink-typetrunk
–[huawei-Ethernet0/1]porttrunkpermitvlan3to4
•设置主机IP地址
阶段提示
•掌握路由器基本原理
•能够利用一些常用命令配置路由器
路由器的概念、基本构成
路由器的作用
路由器工作流程
路由表
QuidwayR1602
配置路由器
通过console口配置
建立本地配置环境
步骤一:
连接配置电缆
步骤二:
创建超级终端
通过拨号线路远程配置路由器
•将路由器和微机分别与modem连接
通过Telnet配置本地路由器
通过哑终端配置
通过FTP配置
命令行概述
路由器启动输出信息
未配置过和配置过的路由器启动信息对比
安装:
初始化对话交互式配置路由器
登录到路由器
路由器联机帮助信息
路由器模块概述
配置路由器标识
–为接入路由器或接口设置本地标识或消息
配置路由器密码
配置一个接口
配置一个串口
打死或激活接口
IP地址介绍
配置路由器的IP地址
路由器查看接口命令
接口状态解释
检查串口配置
串口查看接口控制器命令
基本的访问控制列表ACL配置命令
查看ACL配置命令
进入路由器配置界面
普通用户模式命令列表
系统视图命令列表
接口视图命令列表
在线帮助
命令行错误信息
历史命令
编辑特性
显示特性
基本操作命令
常用display命令
displayversion
displaycurrent-configuration
displayinterface:
显示接口信息
调试命令:
debugging,info-center
ping:
测试工具
tracert:
本章内容回顾
•路由器工作原理
•通过console口本地和远程配置路由器
•系统视图和接口视图的区别
•常用的路由器命令和小工具
防火墙(Firewall)定义
•防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件:
Ø
内部和外部之间的所有网络数据流必须经过防火墙;
只有符合安全政策的数据流才能通过防火墙;
防火墙自身能抗攻击;
•防火墙=硬件+软件+控制策略
常见的威胁
•粗心大意或不满的员工
–社交工程攻击
•恶意代码
–病毒、蠕虫、特洛伊木馬、恶作剧程序
•恶性的竞争对手
•黑客
对防火墙的需求
•网络规模/流量增长的需求
•可靠性的需求
•DOS攻击防范的需求
•蠕虫病毒防范的需求
•日志性能需求
安全的建议及控制能力
•妥善的配置
•完善的管理
•持续的审计
防火墙技术带来的好处和基本特性
防火墙带来的好处:
•强化安全策略
•有效地记录Internet上的活动
•隔离不同网络,限制安全问题扩散
•是一个安全策略的检查点
防火墙的基本特性:
•内部网和外部网之间的所有网络数据流都必须经过防火墙
•只有符合安全策略的数据流才能通过防火墙
•防火墙自身应具有非常强的抗攻击能力
防火墙的功能
•访问控制:
隔断、过滤、代理
•加密
•授权认证
•地址翻译(NAT)
•VPN
•负载均衡
•内容安全:
病毒扫描、URL扫描、HTTP过滤
•日志记帐、审计报警
防火墙的局限性
•不能阻止那些绕开防火墙的攻击
•不能防止内部攻击
•不能防止全新的威胁
•不能防止病毒感染程序或文件的传输
•当使用端-端加密时,其作用会受到很大的限制
•对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
防火墙性能指标
•功能指标
–防火墙类型(包过滤/电路层网关/应用代理)
–支持的网络接口类型(10M/100M/1000M)
–支持的协议(对于代理服务器)
–是否支持地址翻译(NAT),虚拟专网(VPN)
–如何扩展,怎样实现负载平衡(LoadBalancing)
–用户身份验证方式:
口令,RADIUS/Kerberos
–实时监控、审计、报警能力
–管理与维护的能力
•性能指标:
–对不同大小的包的转发能力(pps)
–并发会话数目(对于状态包过滤、代理服务器)
–最大允许的规则数目
–是否具有自动加固宿主机功能
–可靠性,稳定性,是否提供双机热备份功能
•防火墙测试的标准RFC2979
安全缺省策略
•两种基本策略,或缺省策略
–一切未被禁止的就是允许的
•管理员必须针对每一种新出现的攻击,制定新的规则
•需要确定那些被认为是不安全的服务,禁止其访问;
而其他服务则被认为是安全的,允许访问。
这种方法构成了一种更为灵活的应用环境,可以为用户提供更多的服务,其缺点在于很难提供可靠的安全防护。
–一切未被允许的就是禁止的
•比较保守
•根据需要,逐渐开放
•需要确定所有可以被提供的服务以及它们的安全性,然后,开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。
优点是可以造成一种十分安全的环境,其缺点在于用户所能使用的服务范围受到很大限制。
防火墙术语
•网关:
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
•DMZ非军事化区:
为了配置管理方便,内部网中
升级会员 