安全風(fēng)險(xiǎn)管理體系培訓(xùn)講稿2010年12月

1、交換機(jī)工作原理,2010年12月,學(xué)習(xí)目標(biāo), 了解以太網(wǎng)基礎(chǔ)知識 熟悉以太網(wǎng)交換機(jī)結(jié)構(gòu)及原理 掌握以太網(wǎng)交換機(jī)工作流程,第一章 以太網(wǎng)基礎(chǔ)知識 第二章 VLAN基礎(chǔ)知識 第三章 以太網(wǎng)交換機(jī)原理,第一章 以太網(wǎng)基礎(chǔ)知識 第一節(jié) 以太網(wǎng)的發(fā)展歷史與現(xiàn)狀 第二節(jié) 以太網(wǎng)的基本概念 第三節(jié) 以太網(wǎng)的標(biāo)準(zhǔn),20世紀(jì)60年代末：Norman Abramson提出使用共享的公共傳輸信道思想，成為以太網(wǎng)中的關(guān)鍵概念之一。 1972-1977：在Norman Abramson理論基礎(chǔ)上Xerox PARC創(chuàng)建首臺以太網(wǎng)，在1km長的電纜上互連了超過100臺計(jì)算機(jī)。 1979-1983：DEC、 InteI和

2、Xerox將以太網(wǎng)標(biāo)準(zhǔn)化， 即以太網(wǎng)或以太網(wǎng)DIX（Digital，Intel和Xerox）， 帶寬為10Mb/s的以太網(wǎng)。 1980-1982：制定IEEE802.3標(biāo)準(zhǔn)，與以太網(wǎng)標(biāo)準(zhǔn)類似，在此期間 3Com將以太網(wǎng)產(chǎn)品化，繼而實(shí)現(xiàn)了產(chǎn)業(yè)化。,以太網(wǎng)發(fā)展歷史,基本所有終端用戶都通過以太網(wǎng)接口進(jìn)行數(shù)據(jù)流量的發(fā)送和接收。 目前在很多情況下以太網(wǎng)成為了局域網(wǎng)的代名詞。 以太網(wǎng)在局域網(wǎng)中表現(xiàn)出很多優(yōu)勢，如技術(shù)配置簡單、組網(wǎng)靈活、價(jià)格低廉，正在逐漸使其成為城域網(wǎng)、廣域網(wǎng)、NGN、3G的承載網(wǎng)絡(luò)，成為主流傳送網(wǎng)技術(shù)之一。,以太網(wǎng)發(fā)展現(xiàn)狀,第一章 以太網(wǎng)基礎(chǔ)知識 第一節(jié) 以太網(wǎng)的發(fā)展歷史與現(xiàn)狀 第二節(jié) 以

3、太網(wǎng)的基本概念 第三節(jié) 以太網(wǎng)的標(biāo)準(zhǔn),特點(diǎn)：站點(diǎn)獨(dú)立工作、廣播、共享物理信道 沖突問題：以太網(wǎng)上由于多臺計(jì)算機(jī)爭用傳輸介質(zhì)，兩臺或以上計(jì)算機(jī)發(fā)出的信號在同一段介質(zhì)上疊加，而引起的信號錯(cuò)誤。 解決沖突的機(jī)制CSMA/CD 載波偵聽（先聽后發(fā)）： 站點(diǎn)監(jiān)聽媒體, 只有媒體空閑才可以發(fā)送數(shù)據(jù). 降低沖突概率 多址訪問 ：一個(gè)源節(jié)點(diǎn)發(fā)出的信息可同時(shí)到達(dá)多個(gè)站點(diǎn),傳統(tǒng)以太網(wǎng)工作機(jī)制,PRE: 先導(dǎo)字節(jié), 7個(gè)10101010 SFD: 幀開始標(biāo)志, 10101011 DA: 目的 MAC地址 SA: 源MAC地址 L/T: 幀長度（值1500） DATA: 數(shù)據(jù)字段 PAD: 填充字段 CRC: 校驗(yàn)字

4、段,以太網(wǎng)幀結(jié)構(gòu),發(fā)送順序：高字節(jié)在前，低字節(jié)在后，字節(jié)中低位在前，高位在后； 發(fā)出的第一個(gè)比特為0是單播，否則為組播或廣播字段。,以太網(wǎng)幀發(fā)送順序,第一章 以太網(wǎng)基礎(chǔ)知識 第一節(jié) 以太網(wǎng)的發(fā)展歷史與現(xiàn)狀 第二節(jié) 以太網(wǎng)的基本概念 第三節(jié) 以太網(wǎng)的標(biāo)準(zhǔn),IEEE制定了一系列局域網(wǎng)方面的標(biāo)準(zhǔn)，802.3協(xié)議簇制定了以太網(wǎng)的標(biāo)準(zhǔn)。 IEEE 802.2： LLC（邏輯鏈路控制）標(biāo)準(zhǔn) IEEE 802.3： 10M以太網(wǎng)標(biāo)準(zhǔn) IEEE 802.3u： 100M以太網(wǎng)標(biāo)準(zhǔn) IEEE 802.3z： 1000M以太網(wǎng)標(biāo)準(zhǔn) IEEE 802.3ab： 1000M以太網(wǎng)運(yùn)行在雙絞線上的標(biāo)準(zhǔn),以太網(wǎng)相關(guān)標(biāo)準(zhǔn),

5、第二章 VLAN基礎(chǔ)知識 第一節(jié) VLAN基本原理 第二節(jié) VLAN數(shù)據(jù)轉(zhuǎn)發(fā),共享網(wǎng)段的終端之間收到彼此發(fā)出廣播報(bào)文，該共享網(wǎng)段即為一個(gè)廣播域。 廣播域的大小影響以太網(wǎng)的工作效率，解決方法就是是減小廣播域，于是誕生VLAN （Virtual Local Area Network）技術(shù)。 VLAN即虛擬局域網(wǎng)，它是一種將一個(gè)物理網(wǎng)絡(luò)劃分成多個(gè)邏輯（虛擬）的局域網(wǎng)的技術(shù)。 一個(gè)VLAN在邏輯上等價(jià)于一個(gè)廣播域。,VLAN的產(chǎn)生,便于管理 限制廣播包 安全性,VLAN的優(yōu)點(diǎn),基于端口 根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，明確指定各端口屬于哪個(gè)VLAN。 基于MAC地址 即使計(jì)算機(jī)改變了所連接的端口，交換機(jī)

6、仍會(huì)查出它的MAC地址，并正確指定端口所屬的VLAN。 基于網(wǎng)絡(luò)層協(xié)議 將物理網(wǎng)絡(luò)劃分成基于協(xié)議的邏輯VLAN。在端口接收幀時(shí)，它的VLAN由該信息包中的協(xié)議類型決定。 基于IP子網(wǎng) 即使計(jì)算機(jī)改變了所連接的端口，交換機(jī)仍會(huì)通過IP地址正確指定端口所屬的VLAN。,VLAN實(shí)現(xiàn)方式,802.1Q以太網(wǎng)幀（帶TAG的以太網(wǎng)幀）,Access端口 不能識別帶TAG的幀，連接終端。 Trunk端口 交換機(jī)之間互連鏈路，傳輸?shù)膸瑪y帶TAG信息，如果在該鏈路上接收到不包含VLAN信息的幀,則丟棄。 Hybrid端口 既能接收TAG幀,也能接收UNTAG幀，有一個(gè)默認(rèn)VLAN用于接收UNTAG幀。,VLA

7、N端口類型,第二章 VLAN基礎(chǔ)知識 第一節(jié) VLAN基本原理 第二節(jié) VLAN數(shù)據(jù)轉(zhuǎn)發(fā),入端口側(cè)的處理 當(dāng)收到一個(gè)非TAG幀時(shí)，根據(jù)入端口的PVID來決定在哪個(gè)VLAN中轉(zhuǎn)發(fā)； 當(dāng)收到一個(gè)TAG幀時(shí)，分為兩種情況： 當(dāng)TAG中攜帶的VID包含在入端口所屬的VLAN集合中時(shí)，轉(zhuǎn)發(fā)到該VLAN中； 當(dāng)TAG中攜帶的VID不包含在入端口所屬的VLAN集合中時(shí)，作丟棄處理。 出端口側(cè)的處理 由出端口在該VLAN中是否打TAG來決定，配置了打TAG則打TAG出去，否則不打。 交換機(jī)內(nèi)部轉(zhuǎn)發(fā) 不管接收到的幀是TAG或UNTAG幀，交換機(jī)內(nèi)部交換時(shí)，都是打上TAG進(jìn)行交換。,VLAN數(shù)據(jù)轉(zhuǎn)發(fā),第三章 以太

8、網(wǎng)交換機(jī)原理與結(jié)構(gòu) 第一節(jié) 以太網(wǎng)交換機(jī)基本功能 第二節(jié) 以太網(wǎng)交換機(jī)二層工作過程 第三節(jié) 以太網(wǎng)交換機(jī)三層工作過程,以太網(wǎng)交換機(jī)的基本功能是對收到的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)。 轉(zhuǎn)發(fā)數(shù)據(jù)幀的過程稱為透明橋接。 透明橋接的基本要求就是對其轉(zhuǎn)發(fā)的幀結(jié)構(gòu)不做任何改動(dòng)與處理（VLAN的trunk線路除外）。,基本功能,第三章 以太網(wǎng)交換機(jī)原理與結(jié)構(gòu) 第一節(jié) 以太網(wǎng)交換機(jī)基本功能 第二節(jié) 以太網(wǎng)交換機(jī)二層工作過程 第三節(jié) 以太網(wǎng)交換機(jī)三層工作過程,獲?。▽W(xué)習(xí)過程） :MAC地址學(xué)習(xí) 轉(zhuǎn)發(fā)和過濾 消除循環(huán)（避免環(huán)路）,以太網(wǎng)交換機(jī)的二層工作過程,以太網(wǎng)交換機(jī)收到數(shù)據(jù)流的第一個(gè)數(shù)據(jù)幀，剝?nèi)≡碝AC地址，建立MAC地址

9、表，即MAC地址學(xué)習(xí)。 交換機(jī)維護(hù)MAC地址表，MAC地址表是MAC、vlan ID、port ID對應(yīng)表，MAC地址表決定交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)過程。 多播情況下MAC表項(xiàng)的建立不是通過學(xué)習(xí)得到的，而是通過CPU配置得到的。,學(xué)習(xí),交換機(jī)接收到數(shù)據(jù)幀后，根據(jù)目的MAC地址查詢MAC表，找到對應(yīng)出口后，把數(shù)據(jù)包從該出口發(fā)送出去。 在單播的情況下，出口列表只有一個(gè)端口 在多播（組播與廣播）情況下，出口列表就可能是多個(gè)端口。,轉(zhuǎn)發(fā),第三章 以太網(wǎng)交換機(jī)原理與結(jié)構(gòu) 第一節(jié) 以太網(wǎng)交換機(jī)基本功能 第二節(jié) 以太網(wǎng)交換機(jī)二層工作過程 第三節(jié) 以太網(wǎng)交換機(jī)三層工作過程,交換機(jī)可以完成VLAN間通信。此時(shí)，它需要實(shí)

10、現(xiàn)兩個(gè)軟件模塊： 路由處理模塊（RP） 數(shù)據(jù)轉(zhuǎn)發(fā)模塊（DF） RP的功能是用來控制DF，建立VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)表； DF的功能是轉(zhuǎn)發(fā)VLAN間通信數(shù)據(jù)包。如果VLAN間路由信息變化，則RP發(fā)控制信息給DF，DF重新建立轉(zhuǎn)發(fā)路徑。,三層工作過程（1）,建立不完全轉(zhuǎn)發(fā)表項(xiàng)： DF接收到一個(gè)數(shù)據(jù)包之后，檢查目的MAC是不是RP，如果是，則建立不完全轉(zhuǎn)發(fā)項(xiàng)（S_MAC，S_IP，D_IP，NULL）； 建立完全轉(zhuǎn)發(fā)表項(xiàng)： DF從RP上接收到另一個(gè)數(shù)據(jù)包，該數(shù)據(jù)包跟（S_IP，D_IP）匹配，則把不完全轉(zhuǎn)發(fā)表項(xiàng)補(bǔ)充完全（S_MAC，S_IP，D_IP，I_OUT），以后按照該轉(zhuǎn)發(fā)項(xiàng)轉(zhuǎn)發(fā)。 第一個(gè)數(shù)據(jù)包總

11、是發(fā)往RP處理，如果多層轉(zhuǎn)發(fā)項(xiàng)建立成功，則后續(xù)數(shù)據(jù)包按照多層轉(zhuǎn)發(fā)項(xiàng)處理。,三層工作過程（2）,如果RP上關(guān)于VLAN間的路由表發(fā)生變化，則通知DF，DF把相應(yīng)的多層轉(zhuǎn)發(fā)項(xiàng)刪除。,三層工作過程（3）,性能差別： 傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報(bào)文，靠軟件處理，而三層交換機(jī)通過ASIC硬件來進(jìn)行報(bào)文轉(zhuǎn)發(fā)，性能差別很大； 接口類型差別： 三層交換機(jī)的接口基本都是以太網(wǎng)接口，沒有路由器接口類型豐富； 功能差別： 三層交換機(jī)可以工作在二層模式，對某些不需路由的包文直接交換，而路由器不具有二層的功能。,三層交換和三層路由的區(qū)別,CISCO交換機(jī)命令簡析,switch 用戶模式 1：進(jìn)入特權(quán)模式 enable

12、 switch enable switch# 2：進(jìn)入全局配置模式 configure terminal switch enable switchc onfigure terminal switch(conf)# 3：交換機(jī)命名 hostname aptech2950 以aptech2950為例 switch enable switchc onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)#,4：配置使能口令 enable password cisco 以cisco為例 switch enable switch

13、c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5：配置使能密碼 enable secret ciscolab 以cicsolab為例 switch enable switchc onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6：設(shè)置虛擬局域網(wǎng)vlan 1 interface vlan 1 switch enable swit

14、chc onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交換機(jī)端口ip和子網(wǎng)掩碼 aptech2950(conf-if)#no shut 是配置處于運(yùn)行中 aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 設(shè)置網(wǎng)關(guān)地址,7：進(jìn)入交換機(jī)某一端口 interface

15、fastehernet 0/17 以17端口為例 switch enable switchc onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)# 8：查看命令 show switch enable switch# show version 察看系統(tǒng)中的所有版本信息 show interface vlan 1 查看交換機(jī)有關(guān)ip 協(xié)議的配置信息 show running-configure 查看交換機(jī)當(dāng)前起作用的配置信

16、息 show interface fastethernet 0/1 察看交換機(jī)1接口具體配置和統(tǒng)計(jì)信息 show mac-address-table 查看mac地址表 show mac-address-table aging-time 查看mac地址表自動(dòng)老化時(shí)間,9：交換機(jī)恢復(fù)出廠默認(rèn)恢復(fù)命令 switch enable switch# erase startup-configure switch# reload 10：雙工模式設(shè)置 switch enable switchc onfigure terminal switch2950(conf)#hostname aptch-2950 apt

17、ech2950(conf)# interface fastehernet 0/17 以17端口為例 aptech2950(conf-if)#duplex full/half/auto 有full , half, auto 三個(gè)可選項(xiàng) 11：cdp相關(guān)命令 switch enable switch# show cdp 查看設(shè)備的cdp全局配置信息 show cdp interface fastethernet 0/17 查看17端口的cdp配置信息 show cdp traffic 查看有關(guān)cdp包的統(tǒng)計(jì)信息 show cdp nerghbors 列出與設(shè)備相連的cisco設(shè)備,12：csico

18、2950的密碼恢復(fù) 拔下交換機(jī)電源線。 用手按著交換機(jī)的MODE鍵，插上電源線 在switch：后執(zhí)行flash_ini命令：switch: flash_ini 查看flash中的文件： switch: dir flash: 把“config.text”文件改名為“config.old”： switch: rename flash: config.text flash: config.old 執(zhí)行boot： switch: boot 交換機(jī)進(jìn)入是否進(jìn)入配置的對話，執(zhí)行no ： 進(jìn)入特權(quán)模式察看flash里的文件： show flash : 把“config.old”文件改名為 “config.text”： switch: rename flash: config.old flash: config.text 把“config.text”拷入系統(tǒng)的“running-configure”： copy flash: config.text system : running-configure 把配置模式重新設(shè)置密碼存盤，密碼恢復(fù)成功。,13：交換機(jī)telnet遠(yuǎn)程登錄設(shè)置： switchen switchc onfigure terminal switch(conf)#hostname aptech-2950 aptech