第一講

交換式局域網(wǎng)概述第一講

交換式局域網(wǎng)概述本講主要內(nèi)容主要局域網(wǎng)協(xié)議共享式與交換式局域網(wǎng)交換式局域網(wǎng)的主要設(shè)備交換式局域網(wǎng)的拓撲結(jié)構(gòu)本講主要內(nèi)容主要局域網(wǎng)協(xié)議局域網(wǎng)協(xié)議局域網(wǎng)主要有兩種協(xié)議：以太網(wǎng)：CSMA/CD,帶沖突檢測的載波偵聽多路訪問協(xié)議，其特點是通過競爭方式發(fā)送數(shù)據(jù)，易產(chǎn)生沖突，是一種低負荷高效的網(wǎng)絡(luò)。是目前局域網(wǎng)的主流協(xié)議。令牌環(huán)網(wǎng)：全網(wǎng)只有一個令牌，只有持有令牌的節(jié)點，才能夠發(fā)送信息，沒有沖突產(chǎn)生。是一種高負荷高效的網(wǎng)絡(luò)。局域網(wǎng)協(xié)議局域網(wǎng)主要有兩種協(xié)議：以太網(wǎng)工作方式：先聽后發(fā)、邊發(fā)邊聽、沖突停止、隨機延遲后重發(fā)沖突域：一個沖突域中，同時只能有一個節(jié)點發(fā)送數(shù)據(jù)，其他節(jié)點只能接收數(shù)據(jù)超過一個節(jié)點發(fā)送數(shù)據(jù)，必然產(chǎn)生沖突，發(fā)送失敗。一個沖突域中的節(jié)點不能太多，否則很容易產(chǎn)生沖突，降低以太網(wǎng)的工作效率以太網(wǎng)工作方式：先聽后發(fā)、邊發(fā)邊聽、沖突停止、隨機延遲后重發(fā)兩種典型的以太網(wǎng)共享式以太網(wǎng)：用集線器（HUB）連接的以太網(wǎng)就是共享式的以太網(wǎng)。所有連接到集線器的設(shè)備共享同一介質(zhì)所有連接到集線器的設(shè)備也共享同一沖突域和帶寬。交換式以太網(wǎng)：用交換機連接的以太網(wǎng)是交換式以太網(wǎng)。交換式以太網(wǎng)允許多對結(jié)點同時通信，每個結(jié)點可以獨占傳輸通道和帶寬它從根本上解決了共享以太網(wǎng)所帶來的問題。兩種典型的以太網(wǎng)共享式以太網(wǎng)：用集線器（HUB）連接的以太網(wǎng)以太網(wǎng)共享式以太網(wǎng)HUBHUBHUB不能發(fā)送A向B發(fā)送時，E向D不能發(fā)送同一沖突域ABCDEF以太網(wǎng)共享式以太網(wǎng)HUBHUBHUB不能發(fā)送A向B發(fā)送時，E交換式以太網(wǎng)ABCA向B發(fā)送數(shù)據(jù)時，D可向E發(fā)送數(shù)據(jù)，C可向F發(fā)送數(shù)據(jù)DEF交換機交換式以太網(wǎng)ABCA向B發(fā)送數(shù)據(jù)時，D可向E發(fā)送數(shù)據(jù)，C可向交換機功能自動建立和維護MAC地址表當(dāng)交換從端口收到數(shù)據(jù)幀后，會自動地將幀的源地址與交換機的端口建立聯(lián)系，形成MAC地址表的一條記錄轉(zhuǎn)發(fā)數(shù)據(jù)幀目的MAC地址是廣播或組播地址，則向除接收端口外的所有端口轉(zhuǎn)發(fā)；目的地址是單播地址，但這個地址不在交換機的MAC地址表中，也會向除接收端口外的所有端口轉(zhuǎn)發(fā)；目的地址在交換機的地址表中，那么就根據(jù)地址表轉(zhuǎn)發(fā)到相應(yīng)的端口；如果數(shù)據(jù)幀的目的與源地址在同一個端口上，丟棄這個數(shù)據(jù)幀。交換機功能自動建立和維護MAC地址表交換機中MAC地址表的建立F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUB網(wǎng)絡(luò)剛啟動時,交換機的MAC地址表為空交換機中MAC地址表的建立F0/1PC2:MAC2PC3:M交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC2MAC2F0/2交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC4MAC2F0/2交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC4→PC5MAC2F0/2交換機幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機性能指標(biāo)背板帶寬：是交換機所能吞吐的最大數(shù)據(jù)量，決定了交換機總的數(shù)據(jù)交換能力，單位為Gbps，從幾Gbps到上百Gbps不等。一臺交換機的背板帶寬越高，所能處理數(shù)據(jù)的能力就越強，但同時設(shè)計成本也會越高包轉(zhuǎn)發(fā)率：是交換機每秒鐘能轉(zhuǎn)發(fā)最小數(shù)據(jù)包的能力。該指標(biāo)能夠真實反映交換機的性能，是決定交換機性能的關(guān)鍵。對于三層交換設(shè)備，廠家必須分別提供二層轉(zhuǎn)發(fā)速率和三層轉(zhuǎn)發(fā)速率，單位為Mbps如H3C的S5500-28C-EI,其背板帶寬為256Gbps，包轉(zhuǎn)發(fā)率為96Mpps交換機性能指標(biāo)背板帶寬：是交換機所能吞吐的最大數(shù)據(jù)量，決定了交換的功能指標(biāo)支持協(xié)議的多少（vlan(802.1Q)，生成樹（802.1D），網(wǎng)管協(xié)議（SNMP），DHCP等）服務(wù)質(zhì)量QOS（QualityofService)廣播風(fēng)暴抑制端口聚合，端口隔離流量控制組播交換的功能指標(biāo)支持協(xié)議的多少（vlan(802.1Q)，生成路由器路由器一般用于廣域網(wǎng)與局域網(wǎng)的邊界上，其主要功能是：路由選擇：實現(xiàn)局域網(wǎng)和廣域網(wǎng)間的路由選擇；網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(NetworkAddressTranslator)：實現(xiàn)內(nèi)網(wǎng)和公網(wǎng)IP地址間的轉(zhuǎn)換，相當(dāng)于代理服務(wù)器網(wǎng)絡(luò)管理：路由器可通過ACL，流量控制等功能實現(xiàn)網(wǎng)絡(luò)管理路由器路由器一般用于廣域網(wǎng)與局域網(wǎng)的邊界上，其主要功能是：路由器的性能指標(biāo)包轉(zhuǎn)發(fā)能力:是指路由器每秒所轉(zhuǎn)發(fā)包的數(shù)量，單位PPSIP路由協(xié)議支持：包括靜態(tài)路由，動態(tài)路由協(xié)議(RIPv1/v2、OSPFv2、BGP、IS-IS),路由策略等QoS支持：流分類，流量監(jiān)管，基于目的地址或者源地址的限速，流量整形，擁塞避免算法等NAT支持：靜態(tài)NAT、動態(tài)NAT、NAPT等路由器的性能指標(biāo)包轉(zhuǎn)發(fā)能力:是指路由器每秒所轉(zhuǎn)發(fā)包的數(shù)量，單防火墻防火墻：通過對數(shù)據(jù)包的過濾，保護內(nèi)部網(wǎng)絡(luò)的安全，防止非法用戶的非授權(quán)訪問或非法數(shù)據(jù)包的侵入；除了包過濾功能之外，防火墻通常還具有路由選擇和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能。小型網(wǎng)絡(luò)常用防火墻代替邊界路由器；防火墻的端口通常有WAN、LAN和DMZ。WAN端口用于連接因特網(wǎng)，LAN端口用于連接內(nèi)部網(wǎng)絡(luò)，DMZ端口用于連接DMZ區(qū)的服務(wù)器；防火墻的類型分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)、電路層網(wǎng)關(guān)和SPI防火墻。包過濾防火墻使用最多。防火墻防火墻：通過對數(shù)據(jù)包的過濾，保護內(nèi)部網(wǎng)絡(luò)的安全，防止非IDS與IPS入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)是對網(wǎng)絡(luò)進行實時監(jiān)視，主動對網(wǎng)絡(luò)中的行為、安全日志、審計數(shù)據(jù)或其他可獲得信息進行檢測，在發(fā)現(xiàn)可疑事件時，發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。傳統(tǒng)的安全措施使用IDS+防火墻，即使用IDS檢測可疑事件，使用防火墻阻斷可疑數(shù)據(jù)包，這種方式已經(jīng)不能適應(yīng)網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展。因而出現(xiàn)了入侵防御系統(tǒng)IPS入侵防御系統(tǒng)IPS(IntrusionPreventionSystem)，根據(jù)預(yù)先設(shè)定的安全策略，深度感知并檢測流經(jīng)的數(shù)據(jù)包。通過協(xié)議分析、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等手段，發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為，并根據(jù)攻擊行為的危險等級主動采取告警、丟棄報文、切斷會話、切斷TCP連接等措施，保護網(wǎng)絡(luò)完全。入侵檢測系統(tǒng)可以理解為網(wǎng)絡(luò)的監(jiān)視系統(tǒng)，對通過的數(shù)據(jù)進行監(jiān)視，并對可疑數(shù)據(jù)發(fā)出報警信號；入侵防御系統(tǒng)更像是網(wǎng)絡(luò)的保安，它不僅監(jiān)視通過的數(shù)據(jù)，還可阻斷可疑數(shù)據(jù)。IDS與IPS入侵檢測系統(tǒng)IDS(IntrusionDet虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork）是將局域網(wǎng)從邏輯上劃分若干個子網(wǎng)的技術(shù)。每個子網(wǎng)形成一個獨立的網(wǎng)段，即一個單獨的沖突域和廣播域，實現(xiàn)了對沖突域和廣播域的分割和隔離。VLAN分為基于端口的VLAN，基于MAC（IP）地址的VLAN虛擬局域網(wǎng)V