交換機

1.局域網設計

1.1分級網絡設計

典型設計分三層   接入層  access  、匯聚層  distribution、核心層  core

a接入層為終端設備 提供訪問接口   在此層提供沖突域的隔離 、vlan的划分和交換機的端口安全

        b匯聚層  實現vlan間的通信和廣播域的划分，定義網絡的策略 policy   控制某些類型通信的一種方法，包括路由更新，路由匯總，vlan間通信、地址聚合、訪問控制盒路由的重新分布等

 

c核心層 只有一個用途，快速轉發   

 1.2  網絡設計原則

a 網絡直徑   源到目的之間的經過的設備的數量  越少越好 pc1 到pc2      s1-d1-s2

b 帶寬聚合 s1和d1之間連接多條線纜  配置鏈路聚合  可以提供更高的吞吐量

c 冗余    分為鏈路冗余和設備冗余

  任何兩台交換機之間的鏈路故障都不會影響網絡的正常通信  鏈路冗余

除接入層s1和s2外，任何一台交換機的故障也不會影響網絡的通信    設備冗余

為了保障高可用行，往往同時使用鏈路和設備的冗余

注意arp病毒 的問題      

 

2.交換機的型號選擇

a 固定配置交換機    不可以擴展端口 

b 模塊化交換機   配置了不同大小的跡象   可以安裝不同的模塊化線路卡    可以添加端口   數量可增加   24-48

c 可堆疊交換機   使用一根背板電纜相互連接，交換機之間提供高的吞吐量。可以將堆疊的多台交換機當成一台交換機  

堆疊和級聯概念不同

級聯  通過網絡傳輸介質把多台相同的交換機連接起來  速度  收傳輸介質影響  一般貸款為100或1000mb/s   增加延時  級聯的交換機越多  查詢mac地址表的次數越多  花費的時間越長

堆疊  通過專門的堆疊模塊和線纜  將多台交換機堆疊在一起   相當於一台交換機    只不過是端口的數量增加了   一般堆疊線纜的速度都在1000mb/s以上   但堆疊線纜的長度一般都不超過1米   堆疊限制網絡范圍   但是速度快   只是查找一次mac地址表

 

A 典型的接入層交換機具有以下的特點

port security 端口安全       vlan          快速以太網或千兆以太網    link aggregation鏈路聚合    和QOS  服務質量   quality of service

典型的有catalyst 2950  catalyst 2960 等二層交換機   也可以是三層或更高檔的交換機

B匯聚層交換機

三層支持   提供不同部門之間的互訪  即路由功能

高的轉發速率   連接多個接入層交換機   要求更高的速率

千兆或萬兆鏈路

冗余功能   redundant  可以是鏈路和設備的冗余

security policies/Access Control Lists 安全策略和訪問控制列表、

link aggregation 鏈路聚合

qos

典型的有catalyst 3550-emi   3560   3750等三層交換機

C核心層交換機

三層支持

非常高的轉發速率

千兆位或玩兆位的速率和鏈路    冗余功能     鏈路聚合    qos

典型的核心層交換機有4500   4900   6500等三層交換機或更高檔的交換機

2  交換機的分類

1.根據轉發的方式分類

當收到數據幀后    是等到接受完整個數據幀后再轉發   還是僅接受到部分數據幀后開始轉發，分為存儲轉發和chu-through

前者   將數據存儲到緩沖區   接受到完整的幀后   再轉發   進行crc循環冗余檢查

后者   收到數據即處理    不檢查錯誤   可以分為fast-forware快速轉發收到14個字節就開始轉發和fragment-free無碎片式轉發收到64個字節就轉發

2.根據對稱性分類

分為對稱式symmetric和非對稱式asymmetric交換機

前者所有端口速率都一樣    多用在peer -to-peer終端到終端的網絡中

后者所有端口的速率不一樣   多數是100mb/s   少數幾個是1000mb/s  多用在cs   客戶/服務器的模型中

3.根據緩存方式分類

使用內存存儲數據的方式叫內存緩沖  memory buffering     有兩種內存緩沖形式  基於端口和共享內存

基於端口內存緩沖    內存是基於每個端口分配的  每個端口都有固定的緩存空間，用來存儲收到的數據包

共享內存緩沖    所有端口共享一塊內存，每個端口擁有的內存空間可以根據可用的功用內存空間來動態調整

4.根據功能層分類   ****

根據OSI功能層分為二層交換和三層交換機

根據osi數據鏈路層 二層的mac地址轉發或過濾數據幀      對網絡協議和用戶的應用程序是完全透明的

三層交換機可以使用二層的mac地址信息轉發和過濾  也可以使用三層的ip地址信息   它不僅學習mac地址和對應的端口  還有能力執行三層的路由功能

3.交換機的基本配置

很多配置與路由器的配置完全相同    

1.與路由器的相似之處

交換機與路由器的硬件組成相似   但是交換機上沒有aux     auxiliary port  輔助配置端口

同樣操作模式分為用戶模式    特權模式   全局配置模式   其他配置模式等

2.圖形化的管理工具

cna     ciscoview   ciscodevicemanager   snmpnetworkmanagement

3.交換機的遠程登錄

路由器任何一個接口都可以配置ip地址  交換機不同  二層不可以配置   三層交換機默認端口為二層  需要把端口轉變成三層才可以

 

 

r1的配置

 

en

config t

no cdp run

int fa 0/0

ip add   10.0.248.21   255.255.255.0    

no shut

int fa 2/0

ip add   1.1.1.1   255.255.255.0

no shut

 

sw1的配置和解釋如下

 

conf t

host  sw1

int  fa  1/6

ip   add   1.1.1.2   255.255.255.0

int vlan 1   進入vlan1  虛擬局域網

ip add 1.1.1.2 255.255.255.0

no shut    激活端口的命令    二層接口不需要使用no shut命令

exit

no  ip   routing    二層交換機是不支持路由協議     所以使用no ip routing  命令關閉路由交換機的路由功能

ip   default-gateway  1.1.1.1

配置sw1支持遠程登錄

enable password  cisco

line vty 0 4

password cisco

login

交換機遠程登錄的配置和路由器上的配置相同    

如果咯油漆或者交換機沒有啟用http服務   則可以使用下面的命令開啟

ip http server

no ip http server     關閉http服務

4 .交換機的維護和查看命令

1.配置文件的管理    以下在特權模式下執行

a   保存配置文件     copy  running-config  startup-config

b   刪除啟動配置文件    erase   startup-config

erase   nvram

c   備份文件到tftp服務器

copy  running-config tftp

或者   copy   startup-config   tftp

d   從tftp服務器恢復文件

copy  tftp  running-config

copy   tftp   startup-config

e    查看配置文件

show    running-config

 或者 show startup-config

2.查看路由表

show   ip  route

3.查看mac地址表

show mac-address-table

路由器驗證上面的交換機命令      show  int    fa   2/0

使用過濾符命令   可以立即找出mac地址所對應的端口      show   mac-address-table  |  inclue  xxxx.xxxx.xxxx   這里的xxx是mac地址

4.查看arp表

show   arp

show   arp  |   include  1.1.1.1

4.交換機的安全配置

1.交換機的密碼安全   

配置交換機的console端口登錄密碼     vty登錄密碼  和enable密碼 

2.mac地址泛洪法   flooding

交換機工作原理   根據數據幀中的源mac地址進行學習   根據數據幀中的目的mac地址進行轉發    

一台攻擊主機通過程序偽造大量包含隨機源mac地址的數據幀發往交換機   則交換機的mac地址表容量會滿   交換機再收到數據幀   則交換機無法再學習mac地址     如果交換機再mac地址表中找不到目的mac地址   則會廣播 數據幀     則可以在攻擊主機上安裝網絡捕獲軟件   例如sniffer   就可以捕獲網絡數據包   加以分析   達到竊聽的目的

mac地址表老化時間默認是5分鍾    

3.DHCP欺騙    snooping

    局域網內    非法的dhcp  隨便分配ip地址   會影響用戶正常的上網     如果把網關指向一台攻擊主機   會泄密    如果把dns服務器指向一個惡意的dns服務器   並且再配置一個錯誤的域名   則危害會更大     dns劫持

4.CDP攻擊

CDP是思科的設備發現協議      二層協議    被廣播發送   不用驗證和加密   建議禁用  cdp協議

5.密碼暴力破解     

6.遠程登錄攻擊

 telent   可以對交換機進行遠程管理     明文密碼傳輸   需要更加安全的協議對交換機進行管理  例如SSH

7.DoS攻擊

利用 deny of service拒絕服務          進行攻擊     發動對交換機上的telnet服務的攻擊   造成交換機不能對管理員的telent操作進行相應    解決辦法為升級ios軟件

8.ARP攻擊

判斷 arp攻擊

a   在出現問題的計算機的運行框中輸入ping  192.168.1.1  -t    ip地址為網關  如果正在遭受arp攻擊  屏幕會顯示   request  time  out    但反之則不一定

b   在問題計算機上再打開一個dos窗口    輸入arp -d   清除本機mac緩存    如果發現a中的窗口內容持續的變成reply from...則表示曾經遭受過arp攻擊   現在正常了    如果僅出現了一個reply   from...后面有變成了request  time   out包   則表明該計算機正在遭受持續不斷的arp攻擊   

arp攻擊的解決辦法      

        a       arp -d   arp -a

b      目標設備和受害計算機進行ip地址和mac地址的靜態綁定     小范圍適用

c 動態arp檢查技術   結合dhcp功能實現ip和mac地址的自動綁定    在接入層交換機上部署

d  網管交換機上   找出攻擊者     show  arp |  include   xxxx.xxxx.xxxx

        直到找到攻擊源主機    封掉對應的端口

e      批處理方法

：a

arp  -d

ping 1.1.1.1 -n  l   -w   100

goto a

頻繁地清除arp緩存   廣播arp 查詢包     但會加重網絡的負擔