「阶段性总结」Review-1 交换技术
关键字:VLAN 部分、STP 部分、冗余技术部分、交换安全特性部分
摘要:在开启路由技术部分之前,我们对交换技术的所有内容进行总结和复习!
tips:本次尝试极简风!
:red_circle:【 VLAN 部分 】
【摘要】
一 什么是 VLan ?
背景: 交换机的所有接口都在一个广播域中,容易发生广播风暴、ARP攻击等问题。
:question: 广播域、冲突域、广播风暴
广播域:能收到广播信息的范围
冲突域:管道中一次只有一台设备发送的范围
广播风暴:二层环路,导致链路拥塞、MAC表震荡
作用: 把一个局域网划分成多个相互隔离的逻辑上的局域网
隔离广播域
提高安全性
划分方式:
- 基于端口
- 基于MAC地址
- 基于协议
- 基于子网
二 简述 Vlan 转发过程 ?
Vlan大致转发过程如下:
- 源PC发送
以太网帧至交换机,交换机打上Vlan tag变成802.1Q格式帧,标识所属 VLAN 1 - 交换机检查目的地址的 MAC 地址,允许 tag 中的 Vlan 就转发,不允许就丢弃
- 数据帧转发至目的PC时,剥离 Vlan tag ,还原成
以太网帧
Vlan 有三种端口,其具体转发过程各不相同 :fire:
- Aceess 端口(连PC或路由器):仅允许一个 VLAN 的通过
- 接收:从 PC 接收 untagged 的报文后,打上接口
PVID(标识属于哪个 vlan )的标签。 - 转发:PVID 相同则剥离标签发给PC, PVID 不符则丢弃。
- 接收:从 PC 接收 untagged 的报文后,打上接口
- Trunk 端口(连交换机):因为交换机——交换机相连,故允许多VLAN通过
- 接收:从上台交换机接收到带 tag 的标签时,若标签中的 vlan id 在允许列表中接收,不在则丢弃
- 转发:同理
- Hybrid 端口(混合):混合型,部分才有
三 其他
:question: MAC地址、以太网帧组成 ?
- MAC 地址组成:
前三段为厂商 OUI ,标识哪个公司的产品
后三段为制造商分配,标识产品独一无二的型号
以太网帧:
有两种标准,主要包含从哪来、到哪去、什么类型报文(http、arp?)、用户数据、校验位
:question: 什么是 Voice Vlan 、Pvlan ?
- Voice Vlan :对音视频这类数据,通过 MAC 和 Vlan 识别两种方式,定向提高其带宽和流量的优先级。
- PVlan:分为主Vlan和辅助Vlan,主 VLAN 可总揽全局,辅助 Vlan 有单(隔离)和多(团体)之分,都互相隔离。
:question: 简述 Vlan 内、Vlan间如何通信 ?
- Vlan 之间:Vlan 20 和Vlan 30 在二层广播域隔离,故需要通过三层路由设备进行路由转发。
- Vlan内部:通过Vlan ID实现,交换机会识别Vlan ID和目的MAC,是否在允许列表中。
:question: 简述报文封装和解封装过程 ?
:question: 简述 VTP 的原理、配置及模式 ?
- VTP:即vlan中继协议,思科私有,用于快捷同步和配置 VLAN 。
- 配置和原理:可以把一台交换机配置成VTP Server,其余交换机配置成 VTP Client,然后自动学习 Server 机上的 vlan 信息
- VTP 模式:Server模式、Client模式、Transparent模式(独立不学server机)
:large_blue_circle:【STP 部分】
【摘要】
一 什么是 STP ?
背景:由三层逻辑环路导致广播风暴问题,故通过 STP 解决
功能:通过STP生成树协议,选择性的阻断部分链路,解决环路问题
二 STP 选举过程
角色选举
- 选举根交换机
- 选举根端口RP
- 选举制定端口DP,并阻塞备用端口
内部流程
第一轮
首先所有交换机都认为自己是根交换机,故都发送
配置BPDU报文。第二轮
各交换机之间交换完BPDU后,认清自己是小弟。将BPDU报文中大哥位子 Root ID 改为公认大哥的 MAC 值。
第三轮
在扩展中随着树结构加深,后续陆陆续续自认为是大哥的交换机D、E、F等在一次次交换中,重复第二轮的操作。
tips:
1、树结构越来越复杂,选举耗时也越来越长
2、只有根交换机才能发配置BPDU,其他只能转发
三 STP、RSTP、MSTP 的区别 ?
STP ——> RSTP ——> MSTP
1 RSTP
- 背景
即快速生成树协议,主要弥补STP拓扑变化收敛机制不灵活、可能产生临时环路、异常检测慢等问题。
:question: RSTP 相较于 STP 快在何处?
STP 在端口主备切换的过程中需等待 30s 左右的时间,避免形成临时环路。
- P/A协商机制
P:提议报文
A:同意报文
在选举内核中我们介绍过,只有小弟知道自己不如大哥修改自己的 Rout ID 且不再发配置 BPDU,但大哥并不知道对面有没有自己强,故需等待一段时间。
在协商机制中,大哥 A 不仅发送 BPDU 报文,同时发送一个 P波(提议报文),提议我的优先级高于你。
小弟 B 接收到后也不会默默不发,而是立马回复一个 A波(同意报文)。
此时大哥 A 不用再等待,而是立马把自己的端口变为指定端口。
当有更强的 D 时,便通过不同意报文一个个拉拢 C、B叛变,直至原大哥 A 也同意。
2 MSTP
背景
STP 和 RSTP 都有资源浪费、绕远路等问题。
MSTP即多实例生成树协议,在不同的实例中生产不同的树,选举不同的根交换机,阻塞不同的端口。
四 STP增强工具包
Fast Converge(快速收敛):
· Port Fast:对终端PC手动进行配置
Secure the STP(STP安全):
· Root Guard:保护根交换机不因新增而变动
· BPDU Gurad:
· BPDU Filter
· Port Security
Loop Prevention(防环):
· Loop guard
· UDLD
五 其他
:black_circle:【冗余技术部分】
【摘要】
一 VRRP 是什么
背景: 终端PC都只能配置一个网关地址,当这个网关路由器发生故障时,所有电脑就无法上网
功能:VRRP即虚拟路由冗余协议,将多个路由器虚拟成一个逻辑上的路由器。看似只有一个网关IP地址,其实由多个路由器组成。
二 VRRP 主备切换
互发 VRRP 报文,选举
MasterA、B路由器互发
VRRP报文来选举MasterMaster承担责任
Master路由器做网关,并每隔1s发送VRRP通知其他
Backup备份路由器,报告自己状态正常Master 异常,Backup 上位
当 Master 异常无法正常发 VRRP 报文时,Backup 等待 3s 切换为 Master 上位。
当原 Master 恢复后,发现不如自己立刻发 VRRP 报文,夺回 Master 身份,也叫
抢占模式。
三 链路聚合与负载分担
背景:VRRP 虽然有主备之分,但备用路由器闲着不用过于浪费
解决方法:通过配置不同的备份组,在备份组 1 中 A 是 Master ,在备份组 2 中 B 是 Master ,A、B 互为各自的 Backup 备份。
:red_circle:【交换机端口安全】
【摘要】
一句话总结!
- 端口安全特性
交换机允许所有网络用户接入,无拒绝功能的。故通过在交换机端口配置安全MAC地址表,设定非法接入的惩罚机制。
- 端口风暴控制
通过设置端口的带宽、传输速率、转发速率的上下限,来限制和避免广播、单播和多播风暴。
- UDLD(STP增强包)
UDLD 是 Cisco 私有的交换机协议,用于防止单向链路问题。当出现单向链路时,UDLD 可以检测出并关闭端口,发送示警。
- CDP/LLDP 协议
CDP为私有,LLDP为公有。
二者皆为 发现 协议,用于查看相邻设备的摘要信息。(ip、双工模式、连了什么等)
- DHCP 中继、DHCP Option
通过开启路由器的 DHCP Relay 功能,从而为多个二层广播域中的DHCP Client 用户提供DHCP 服务。节省成本,方便管理。
DHCP Snooping (反制 DHCP 欺骗攻击)
DHCP Snooping 设定
端口开关、速率检测、设置最大DHCP用户数、IP 与 MAC绑定。专门用于反制
DHCP仿冒者攻击、泛洪攻击、Dos服务拒绝攻击、DHCP服务中间人攻击这四个主要的安全问题。
- IP 源防护(反制 IP 欺骗攻击
IP 源防护可以对 IP 报文 的源 IP、源MAC、端口、等信息和绑定表进行比对,判断是否为合法用户。
- DAI (反制 ARP欺骗攻击)
DAI 可以对 ARP 报文 中对应的源 IP、源 MAC、接口、Vlan 等信息与绑定表总的信息进行比对,判断是否为合法用户。
- IP SLA
类似高级版的 ping 功能,IP SLA主要有以下三种应用场合:
2.HSRP出接口检测。
3.PBR策略路由下一跳检测。
- 交换机SDM
思科Web端的路由器管理界面,无需 CLI。
- 端口镜像 SPAN、RSPAN
本地SPAN:将交换机上某些想要监控的端口(镜像)复制同一台交换机的端口(监控)上
远程RSPAN:将交换机上某些想要监控的端口(镜像)复制到不同的交换机上
Linux 部分
(后续补充)
路由技术入门
(后续补充)