交換機(jī)的基本概念和配置2cn

1、交換機(jī)的基本概念和配置LAN交換和無線 第二章目標(biāo)總結(jié)IEEE802.3標(biāo)準(zhǔn)中針對(duì)100/1000 Mbps LAN定義的以太網(wǎng)運(yùn)作原理說明使交換機(jī)在LAN中轉(zhuǎn)發(fā)以太網(wǎng)幀的功能配置一臺(tái)交換機(jī)，使其在支持語(yǔ)音、視頻和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)中正常工作配置交換機(jī)的基本安全性，該交換機(jī)將在支持語(yǔ)音、視頻和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)中工作內(nèi)容索引2.1 Ethernet/802.3 LAN簡(jiǎn)介2.2 使用交換機(jī)轉(zhuǎn)發(fā)幀2.3 交換機(jī)管理配置2.4 配置交換機(jī)安全性2.1 Ethernet/802.3 LAN簡(jiǎn)介系統(tǒng)將以太網(wǎng)信號(hào)傳送到連接在LAN 中的每一臺(tái)主機(jī)，傳送時(shí)使用一個(gè)特殊的規(guī)則集來確定哪臺(tái)工作站可以訪問網(wǎng)絡(luò)。以太網(wǎng)所

2、使用的規(guī)則集是基于IEEE 載波偵聽多路訪問/沖突檢測(cè) (CSMA/CD)技術(shù)。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素在CSMA/CD接入方法中，要發(fā)送報(bào)文的所有網(wǎng)絡(luò)設(shè)備必須在發(fā)送之前進(jìn)行偵聽。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素如果設(shè)備檢測(cè)到來自其它設(shè)備的信號(hào)，它就會(huì)等待特定的時(shí)間的后再嘗試發(fā)送。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素如果沒有檢測(cè)到流量，設(shè)備將發(fā)送報(bào)文。在發(fā)送過程中，設(shè)備仍會(huì)繼續(xù)偵聽LAN中的流量或沖突。報(bào)文發(fā)送之后，設(shè)備將恢復(fù)默認(rèn)偵聽模式。2.1.1 Ethernet/8

3、02.3網(wǎng)絡(luò)的關(guān)鍵要素如果設(shè)備之間的距離造成一臺(tái)設(shè)備的信號(hào)延時(shí)，也就是說，另一臺(tái)設(shè)備無法檢測(cè)到信號(hào)，則另一臺(tái)設(shè)備可能也會(huì)開始發(fā)送。那么，現(xiàn)有兩臺(tái)設(shè)備同時(shí)在介質(zhì)中發(fā)送信號(hào)。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素報(bào)文將在介質(zhì)中傳播，直到相互碰頭。此時(shí)，雙方的信號(hào)就會(huì)混合，報(bào)文被損壞，從而形成沖突。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素檢測(cè)到?jīng)_突之后，發(fā)送設(shè)備將發(fā)出堵塞信號(hào)。堵塞信號(hào)通知其它設(shè)備發(fā)生了沖突，以便它們調(diào)用回退算法?；赝怂惴▽⑹顾性O(shè)備在隨機(jī)時(shí)間內(nèi)停止發(fā)送，以讓沖突消除。2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素交換LAN 網(wǎng)絡(luò)中的通信以三種方

4、式進(jìn)行：?jiǎn)尾ァV播和組播：2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet) 的結(jié)構(gòu)2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet) 的結(jié)構(gòu)2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet)的結(jié)構(gòu)當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet)的結(jié)構(gòu)2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵

5、要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet)的結(jié)構(gòu)2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet)的結(jié)構(gòu)2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素當(dāng)前以太網(wǎng)幀標(biāo)準(zhǔn)，即修訂后的IEEE 802.3 (Ethernet)的結(jié)構(gòu)Ethernet MAC address2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素用于以太網(wǎng)通信的雙工設(shè)置有兩種：半雙工和全雙工. 2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素MAC尋

6、址和交換機(jī)MAC地址表2.1.1 Ethernet/802.3網(wǎng)絡(luò)的關(guān)鍵要素帶寬和吞吐量- 共享以太網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量將影響網(wǎng)絡(luò)的吞吐量或效率。沖突域 沖突域是指發(fā)出的幀可能產(chǎn)生沖突的網(wǎng)絡(luò)區(qū)域。 所有共享介質(zhì)環(huán)境（例如使用集線器創(chuàng)建的介質(zhì)環(huán)境）都是沖突域。- 交換機(jī)為每個(gè)網(wǎng)段提供專用帶寬，因此減少了網(wǎng)段上的沖突，并提高了網(wǎng)段上的帶寬使用率。2.1.2 Ethernet/802.3網(wǎng)絡(luò)的設(shè)計(jì)考慮因素廣播域- 交換機(jī)收到廣播幀時(shí)，它將該幀轉(zhuǎn)發(fā)到自己的每一個(gè)端口。（接收該廣播幀的傳入端口除外）。2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的設(shè)計(jì)考慮因素網(wǎng)絡(luò)延時(shí)- 延時(shí)是一個(gè)幀或一個(gè)數(shù)據(jù)包從源工作站到達(dá)

7、最終目的地所用的時(shí)間。延時(shí)有至少三個(gè)來源。2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的設(shè)計(jì)考慮因素網(wǎng)絡(luò)擁塞- 以下是網(wǎng)絡(luò)擁塞最常見的原因：計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的功能日益強(qiáng)大。 網(wǎng)絡(luò)流量日益增加。高帶寬應(yīng)用程序。2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的設(shè)計(jì)考慮因素將LAN分割成多個(gè)更小部分的主要原因是為了隔離流量以及使每位用戶更好地利用帶寬。使用路由器和交換機(jī)可以將LAN分割成很多更小的沖突域和廣播域。 交換機(jī)通常用于將大型LAN 分割成很多更小的網(wǎng)段。雖然LAN 交換機(jī)縮小了沖突域的規(guī)模，但是連接到交換機(jī)的所有主機(jī)仍都處于同一個(gè)廣播域中。2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的

8、設(shè)計(jì)考慮因素 用路由器創(chuàng)建更多、更小的廣播域?qū)p少?gòu)V播流量，并為單播通信提供更多可用帶寬。每個(gè)路由器接口都連接到單獨(dú)的網(wǎng)絡(luò)，廣播流量的范圍僅限于發(fā)出該廣播的LAN網(wǎng)段內(nèi)。每個(gè)路由器縮小了LAN上廣播域的規(guī)模2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的設(shè)計(jì)考慮因素每個(gè)交換機(jī)將LAN上的沖突域規(guī)?？s小為單條鏈路。2.1.2 Ethernet/802.3 網(wǎng)絡(luò)的設(shè)計(jì)考慮因素控制網(wǎng)絡(luò)延時(shí) 在設(shè)計(jì)網(wǎng)絡(luò)以減少延時(shí)時(shí)，需要考慮網(wǎng)絡(luò)上每一臺(tái)設(shè)備所引起的延時(shí)。 使用更高層的設(shè)備也可能增加網(wǎng)絡(luò)延時(shí)。 當(dāng)?shù)?層設(shè)備（例如路由器）需要檢查幀中包含的第 3 層尋址信息時(shí)，它必須比第 2 層設(shè)備更深入地讀取幀，這將造

9、成處理時(shí)間更長(zhǎng)。.適當(dāng)使用第3層設(shè)備有助于防止大型廣播域中的廣播流量爭(zhēng)用資源或者大型沖突域中的高沖突率。2.1.3 LAN 設(shè)計(jì)考慮因素消除瓶頸 網(wǎng)絡(luò)中的瓶頸是高網(wǎng)絡(luò)擁塞導(dǎo)致性能下降的位置。2.1.3 LAN 設(shè)計(jì)考慮因素2.2 使用交換機(jī)轉(zhuǎn)發(fā)幀交換機(jī)使用下面的兩種轉(zhuǎn)發(fā)方法之一來進(jìn)行網(wǎng)絡(luò)端口間的數(shù)據(jù)交換：存儲(chǔ)轉(zhuǎn)發(fā)交換或直通交換。. 2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法存儲(chǔ)轉(zhuǎn)發(fā)交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法存儲(chǔ)轉(zhuǎn)發(fā)交換存儲(chǔ)轉(zhuǎn)發(fā)交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法存儲(chǔ)轉(zhuǎn)發(fā)交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法存儲(chǔ)轉(zhuǎn)發(fā)交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法存儲(chǔ)轉(zhuǎn)發(fā)交換2.2.1

10、交換機(jī)轉(zhuǎn)發(fā)方法直通交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法直通交換直通交換2.2.1 交換機(jī)轉(zhuǎn)發(fā)方法根據(jù)帶寬分配給交換機(jī)端口的方式，LAN交換機(jī)可分為對(duì)稱或非對(duì)稱兩類。2.2.2 對(duì)稱交換和非對(duì)稱交換以太網(wǎng)交換機(jī)在轉(zhuǎn)發(fā)幀之前，可以使用緩沖技術(shù)存儲(chǔ)幀。 當(dāng)目的端口由于擁塞而繁忙時(shí)，也可以使用緩沖，交換機(jī)將一直存儲(chǔ)幀，直到可以傳送該幀。 將內(nèi)存用于存儲(chǔ)數(shù)據(jù)的功能稱為內(nèi)存緩沖2.2.3 內(nèi)存緩沖2.2.4 第2層交換和第3層交換第2層LAN交換機(jī)只根據(jù)OSI數(shù)據(jù)鏈路層（第2層）MAC地址執(zhí)行交換和過濾。第2層交換機(jī)對(duì)網(wǎng)絡(luò)協(xié)議和用戶應(yīng)用程序完全透明。 第3層交換機(jī)不僅使用第2層MAC地址信息來作出轉(zhuǎn)發(fā)決策，而且

11、還可以使用IP地址信息。 第3層交換機(jī)還能夠執(zhí)行第3層路由功能，從而省去了 LAN上對(duì)專用路由器的需要。 第3層交換機(jī) 第 3 層交換機(jī)通過檢查以太網(wǎng)數(shù)據(jù)包中的第 3 層信息來作出轉(zhuǎn)發(fā)決策。 第 3 層交換機(jī)可以像專用路由器一樣在不同的 LAN 網(wǎng)段之間路由數(shù)據(jù)包。 路由器 建立與遠(yuǎn)程網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程訪問連接。 專用路由器在支持WAN接口卡 (WIC)方面更加靈活，這使得它成為用于連接 WAN的首選設(shè)備，而且有時(shí)是唯一的選擇。 2.2.4 第2層交換和第3層交換2.2.4 第2層交換和第3層交換第3層交換機(jī)不能完全取代網(wǎng)絡(luò)中的路由器。路由器不僅可以執(zhí)行第3層交換機(jī)無法完成的其它第3層服務(wù)，還能

12、夠執(zhí)行第3層交換機(jī)所無法實(shí)現(xiàn)的一些數(shù)據(jù)包轉(zhuǎn)發(fā)任務(wù)，例如建立與遠(yuǎn)程網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程訪問連接。2.3 交換機(jī)管理配置2.3.1 切換命令行界面模式作為一項(xiàng)安全功能，Cisco IOS軟件將 EXEC（執(zhí)行）會(huì)話分成以下訪問級(jí)別 用戶執(zhí)行：只允許用戶訪問有限量的基本監(jiān)視命令。 特權(quán)執(zhí)行：允許用戶訪問所有設(shè)備命令，如用于配置和管理的命令，特權(quán)執(zhí)行模式可采用口令加以保護(hù)，使得只有獲得授權(quán)的用戶才能訪問設(shè)備。2.3.1切換命令行界面模式Cisco IOS軟件的命令模式結(jié)構(gòu)采用分層的命令結(jié)構(gòu)。每一種命令模式支持與設(shè)備中某一類型的操作關(guān)聯(lián)的特定 Cisco IOS命令。2.3.2 使用幫助Cisco IOS

13、CLI提供了兩種類型的幫助：- 詞語(yǔ)幫助- 命令語(yǔ)法幫助2.3.2 使用幫助控制臺(tái)錯(cuò)誤消息-當(dāng)輸入了不正確的命令時(shí)，控制臺(tái)錯(cuò)誤消息有助于確定問題。Cisco CLI提供已輸入命令的歷史記錄。對(duì)于命令歷史記錄功能，可以完成以下任務(wù)：-顯示命令緩沖區(qū)的內(nèi)容。-設(shè)置命令歷史記錄緩沖區(qū)大小。.-重新調(diào)用存儲(chǔ)在歷史記錄緩沖區(qū)中的先前輸入的命令。每一種配置模式都有相應(yīng)的緩沖區(qū)。2.3.3 訪問命令歷史記錄Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟：- 步驟 1：PC 或終端已連接到控制臺(tái)端口。2.3.5 準(zhǔn)備配置交換機(jī)2.3.5 準(zhǔn)備配置交換機(jī)Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟：- 步

14、驟 2：終端仿真器應(yīng)用程序（如 HyperTerminal）正在運(yùn)行且配置正確。2.3.5 準(zhǔn)備配置交換機(jī)Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟：- 步驟 3：在控制臺(tái)上查看啟動(dòng)過程2.3.6 基本交換機(jī)配置管理接口注意事項(xiàng)- 要使用 TCP/IP 來遠(yuǎn)程管理交換機(jī)，就需要為交換機(jī)分配 IP 地址。2.3.6 基本交換機(jī)配置配置管理接口- 要在交換機(jī)的管理 VLAN 上配置 IP 地址和子網(wǎng)掩碼，您必須處在 VLAN 接口配置模式下。2.3.6 基本交換機(jī)配置配置默認(rèn)網(wǎng)關(guān)- 需要將交換機(jī)配置為可將 IP 數(shù)據(jù)包轉(zhuǎn)發(fā)到遠(yuǎn)程網(wǎng)絡(luò)。2.3.6 基本交換機(jī)配置驗(yàn)證配置- 顯示了 VLAN 9

15、9 已經(jīng)配置了 IP 地址和子網(wǎng)掩碼，并且快速以太網(wǎng)端口 F0/18 已經(jīng)分配了 VLAN 99 管理接口。2.3.6 基本交換機(jī)配置配置雙工和速度- 使用duplex接口配置命令來指定交換機(jī)端口的雙工操作模式。可以手動(dòng)設(shè)置交換機(jī)端口的雙工模式和速度，以避免廠商間的自動(dòng)協(xié)商問題。2.3.6 基本交換機(jī)配置配置Web接口- 現(xiàn)代 Cisco 交換機(jī)有很多基于 Web 的配置工具，這些工具需要交換機(jī)配置為 HTTP 服務(wù)器。2.3.6 基本交換機(jī)配置管理MAC地址表- 交換機(jī)使用 MAC地址表來確定如何在端口間轉(zhuǎn)發(fā)流量。這些 MAC 表包含動(dòng)態(tài)地址和靜態(tài)地址。2.3.7 驗(yàn)證交換機(jī)配置使用Show

16、命令- 交換機(jī)使用 MAC地址表來確定如何在端口間轉(zhuǎn)發(fā)流量。這些 MAC 表包含動(dòng)態(tài)地址和靜態(tài)地址。使用Show命令-當(dāng)需要驗(yàn)證 Cisco 交換機(jī)的配置時(shí)，show 命令非常有用。 2.3.7 驗(yàn)證交換機(jī)配置使用Show命令- show running-config 命令顯示交換機(jī)上當(dāng)前正在運(yùn)行的配置。使用此命令可驗(yàn)證是否正確配置了交換機(jī)。2.3.7 驗(yàn)證交換機(jī)配置使用Show命令- show interfaces命令顯示交換機(jī)網(wǎng)絡(luò)接口的狀態(tài)信息和統(tǒng)計(jì)信息。在配置和監(jiān)視網(wǎng)絡(luò)設(shè)備時(shí)，經(jīng)常會(huì)用到 show interfaces 命令。2.3.7 驗(yàn)證交換機(jī)配置備份配置- 圖中顯示了三個(gè)將配置備份

17、到閃存的示例。2.3.8 基本交換機(jī)管理恢復(fù)配置 用已存配置覆蓋當(dāng)前配置。 當(dāng)配置恢復(fù)到 startup-config 中后，可在特權(quán)執(zhí)行模式下使用 reload 命令重新啟動(dòng)交換機(jī)，以使其重新加載新的啟動(dòng)配置。2.3.8 基本交換機(jī)管理將配置文件備份到 TFTP 服務(wù)器 可以使用 TFTP 通過網(wǎng)絡(luò)備份配置文件。 當(dāng)配置成功存儲(chǔ)在 TFTP 服務(wù)器上之后，可以使用以下步驟將配置復(fù)制回交換機(jī)上： #copy tftp:/location/directory/ system:running-config2.3.8 基本交換機(jī)管理清除配置信息 要清除啟動(dòng)配置的內(nèi)容，請(qǐng)使用 erase nvram:

18、 或 erase startup-config 特權(quán)執(zhí)行命令。 要從閃存中刪除文件，請(qǐng)使用 delete flash: 特權(quán)執(zhí)行命令。2.3.8 基本交換機(jī)管理2.4 配置交換機(jī)安全性2.4.1 配置口令選項(xiàng)保護(hù)控制臺(tái)- 要防止控制臺(tái)端口console受到未經(jīng)授權(quán)的訪問2.4.1 配置口令選項(xiàng)保護(hù)vty端口- Cisco 交換機(jī)的 vty 端口用于遠(yuǎn)程訪問設(shè)備。2.4.1 配置口令選項(xiàng)配置執(zhí)行模式口令- enable password 命令存在的一個(gè)問題是，它將口令以可閱讀文本的形式存儲(chǔ)在 startup-config 和 running-config 中。- 在全局配置模式提示符下輸入 en

19、able secret 命令以及所要的口令，這樣即可指定加密形式的enable口令。如果配置了enable secret口令，則交換機(jī)將使用enable secret口令，而不使用enable password口令。2.4.1 配置口令選項(xiàng)配置加密口令- 人們普遍認(rèn)同口令應(yīng)該加密，并且不能以明文格式存儲(chǔ)。- 當(dāng)從全局配置模式下輸入 service password-encryption 命令后，所有系統(tǒng)口令都將以加密形式存儲(chǔ)。2.4.1 配置口令選項(xiàng)enable口令恢復(fù)- 萬一遺失或遺忘了訪問口令，Cisco 提供了口令恢復(fù)機(jī)制以便于管理員仍能訪問其 Cisco 設(shè)備?？诹罨謴?fù)過程需要實(shí)際接觸

20、設(shè)備。 并不能實(shí)際恢復(fù) Cisco 設(shè)備上的口令，尤其是在已啟用口令加密的情況下，但是可以將口令重設(shè)為新值。 系統(tǒng)在初始化閃存文件系統(tǒng)之前已中斷。以下命令將初始化閃存文件系統(tǒng)，并完成操作系統(tǒng)軟件的加載： flash_init load_helper boot2.4.2 登錄標(biāo)語(yǔ)配置登錄標(biāo)語(yǔ) Cisco IOS 命令集中包含一項(xiàng)功能，用于配置登錄到交換機(jī)的任何人看到的消息。這些消息稱為登錄標(biāo)語(yǔ)和當(dāng)日消息 (MOTD) 標(biāo)語(yǔ)。 所有連接的終端在登錄時(shí)都會(huì)顯示 MOTD 標(biāo)語(yǔ)。在需要向所有網(wǎng)絡(luò)用戶發(fā)送消息時(shí)（例如系統(tǒng)即將停機(jī)），MOTD 標(biāo)語(yǔ)尤其有用。2.4.3 配置Telnet和SSH遠(yuǎn)程訪問 C

21、isco 交換機(jī)上的 vty 有兩種選擇。2.4.4 常見安全攻擊MAC地址泛洪- 主機(jī) A 向主機(jī) B 發(fā)送流量。交換機(jī)收到幀，并在其 MAC 地址表中查找目的 MAC 地址。如果交換機(jī)在 MAC 地址表中無法找到目的 MAC，則交換機(jī)將復(fù)制幀并將其從每一個(gè)交換機(jī)端口廣播出去。2.4.4 常見安全攻擊MAC地址泛洪 主機(jī) B 收到幀并向主機(jī) A 發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī) B 的 MAC 地址位于端口 2，并將該信息寫入 MAC 地址表。 主機(jī) C 也收到從主機(jī) A 發(fā)到主機(jī) B 的幀，但是因?yàn)樵搸哪康?MAC 地址為主機(jī) B，因此主機(jī) C 丟棄該幀。2.4.4 常見安全攻擊MAC地址泛

22、洪 由主機(jī) A（或任何其它主機(jī)）發(fā)送給主機(jī) B 的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口 2，而不是從每一個(gè)端口廣播出去。2.4.4 常見安全攻擊MAC地址泛洪 攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。2.4.4 常見安全攻擊MAC地址泛洪只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行，交換機(jī)的 MAC 地址表就會(huì)始終保持充滿。當(dāng)發(fā)生這種情況時(shí)，交換機(jī)開始將所有收到的幀從每一個(gè)端口廣播出去，這樣一來，從主機(jī) A 發(fā)送到主機(jī) B 的幀也會(huì)從交換機(jī)上的端口 3 向外廣播。2.4.4 常見安全攻擊欺騙攻擊 攻擊者竊取網(wǎng)絡(luò)流量的一種辦法是偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)。2.4.4 常見安全攻擊欺騙攻擊要防止 DHCP 攻

23、擊，請(qǐng)使用 Cisco Catalyst 交換機(jī)上的 DHCP偵聽和端口安全性功能。2.4.4 常見安全攻擊CDP 攻擊 默認(rèn)情況下，大多數(shù) Cisco 路由器和交換機(jī)都啟用了CDP。建議如果設(shè)備不需要使用 CDP，則在設(shè)備上禁用 CDP。2.4.4 常見安全攻擊telnet攻擊的類型：暴力密碼攻擊 Dos攻擊抵御暴力密碼攻擊：-經(jīng)常更改密碼-使用強(qiáng)密碼-限制可通過vty線路進(jìn)行通信的人員抵御暴力密碼攻擊： 更新為最新版本的Cisco IOS軟件網(wǎng)絡(luò)安全工具執(zhí)行以下功能：-網(wǎng)絡(luò)安全審計(jì)幫助您 揭示攻擊者只需監(jiān)視網(wǎng)絡(luò)流量就能收集到哪種信息確定要去除的虛假M(fèi)AC地址的理想數(shù)量確定MAC地址表的老化

24、周期2.4.5 安全工具 - 網(wǎng)絡(luò)滲透測(cè)試幫助您：找出網(wǎng)絡(luò)設(shè)備配置中的弱點(diǎn)發(fā)起多種攻擊以測(cè)試網(wǎng)絡(luò)小心：應(yīng)仔細(xì)計(jì)劃滲透測(cè)試，以避免影響網(wǎng)絡(luò)性能現(xiàn)代網(wǎng)絡(luò)安全工具的常見功能包括：-服務(wù)識(shí)別支持SSL服務(wù)非破壞性測(cè)試和破壞性測(cè)試漏洞數(shù)據(jù)庫(kù) 2.4.5 安全工具2.4.5 安全工具使用網(wǎng)絡(luò)安全工具可以：-捕獲聊天消息-從NFS流量中捕獲文件捕獲通用日志格式的HTTP請(qǐng)求捕獲Berkeley mbox格式的郵件消息捕獲密碼顯示在Netscape中實(shí)時(shí)捕獲的URL用隨機(jī)MAC地址泛洪攻擊交換LAN仿造對(duì)DNS地址查詢和指針查詢的響應(yīng)截獲交換LAN上的數(shù)據(jù)包2.4.6 配置端口安全性在所有交換機(jī)端口上實(shí)施安全措施，以：-在端口上指定一組允許的有效MAC地址-只允許一個(gè)MAC地址訪問端口-指定端口在檢測(cè)到未經(jīng)授權(quán)的MAC地址時(shí)自動(dòng)關(guān)閉 2.4.6 配置端口安全性安全MAC地址有以下類型：