你好赵伟

这个屌丝很懒，什么也没留下！

热门标签

网络安全自学笔记03 - 交换机技术_交换机的mac地址存放在ram

作者：你好赵伟 | 2024-03-28 11:42:58

踩

交换机的mac地址存放在ram

交换机技术概念

一、交换机工作在数据链路层

1、数据链路层功能

数据链路的建立、维护与拆除
帧包装、帧传输、帧同步： 为了使传输中发生差错后只将有从、错的有限数据进行重发，数据链路层将比特流组合成以太帧单位传输
帧的差错恢复： 对差错编码（如奇偶校验码，检查和CRC）的检查，可以判定再一帧的传输过程中是否发生了错误，一旦发现错误，一般可以采用反馈重发的方法来纠正
流量控制： 控制的是相邻两个节点之间的数据链路上的流量

2、以太网交换机

交换机书一种用于电（光）信号转发的网络设备，它可以为接入交换机任意两个节点提供独享的电信号通路，最常见的交换机是以太网交换机。交换机工作与OSI参考模型的第二层，即数据链路层。
在交换机内部维护了一张表，成为MAC地址表（端口地址表）端口地址表记录了包含主机MAC地址。端口地址表是交换机上电后自动建立的，保存在RAM中并自动维护
交换机与路由器模拟器
- 思科模拟器：cisco packet tracer和GNS3
- 华为模拟器：eNSP依赖于virtualbox和winpcap和wireshark
- 流量分析工具：wireshark

二、以太网工作在数据链路层

1、Ethernet Ⅱ帧格式

在这里插入图片描述

Preamble（前导码）：7B，用于接受方与发送方同步，7个字节，每个字节的固定值为0xAA
SFD（start frame delimiter）：1B，帧起始定界符，用于标识一个以太网帧的开始，值固定为0xAB
DST && SRC：6B & 6B，分别表示表示目标地址和源地址，他们均为6个字节长。如果传送出去的目标地址第一位是0，则表示这是一个普通地址，如果是1，则表示这是一个组地址。
length/Type：2B，通常这个字段用于指定报文头后所接的数据类型。通常使用的值包括：IPv4（0x0800），IPv6（0x6DD），ARP（0x0806）。而值0x8100表示一个Q-tagged帧（802.1q）。通常一个基础的以太网帧长为1518字节，但是更多的新标准把这个值扩展为2000字节
MAC Client Data：48B-1500B，数据主体，最小长度为48字节（加上帧头12字节，CRC4字节，Type的2字节刚好64字节），当数据主体小于48字节时，会添加pad字段，选取最小长度是处于冲突考虑的检测（CSMA/CD）。而数据字段最大长度为1502字节（一个数据帧的范围64~1518字节）
FCS（Frame Check Sequence）：也叫CRC（Cyckuc Redundancy Check），CRC是差错校验检测码，用来觉确定收到的毕特帧是否正确

2、IEEE802.3帧格式

在这里插入图片描述

IEEE802.3帧格式类似于Ethernet Ⅱ帧，只是Ethernet Ⅱ的type域被802.3帧的length域取代，并占用了data字段的8个字节作为LLC和SNAP字段。
Length字段定义了data字段包括的字节数。
逻辑链路控制LLC（Logical Link Control）由目的服务访问DSAP（Destination Service Access Point）、源服务访问点SSAP（Source Service Access Point）和Control字段组成。
SNAP（Sub-network Access Protocol）由机构代码（Org Code）和类型（Type）字段组成。Org Code三个字节都为0.Type字段的含义与Ethernet Ⅱ帧的Type字段相同

三、思科命令行基础

1、命令行基础

命令行模式：思科命令行分为四种模式，用户模式、特权模式、全局模式和接口模式。刚进入界面时是用户模式用">“来表示，无法进行操作，一般用于查看某些配置，特权模式用”#"表示，大多数也是用于查看某些配置。全局模式用"config"来表示。接口模式用"if"来表示，各种模式只能够按顺序一层一层进入，退出也只能一层一层退出。
- enable（简写 en）：从用户模式进入特权模式
- configure terminal（简写 conf t）：从特权模式
- interface （int f0/1）：从特权模式进入"f0/1"接口
- exit（返回上一级）
- end（直接返回特权模式）
- 命令行帮助 ? 如：en? 。列出en命令参数和命令列表。也可以用tab键补齐

2、交换机常见基本命令

配置主机名

en				//进入特权模式
conf t			//进入全局配置模式
hostname SW1	//配置主机名为SW1
1
2
3

查看交换机的MAC地址表

en				//进入特权模式
conf t			//进入全局配置模式
shou mac-address-table	//查看交换机MAC地址表
1
2
3

指定接口双工模式

en				//进入特权模式
conf t			//进入全局配置模式
int f-0/1		//进入接口模式，0/1接口
duplex ?		//查看当前命令下参数
duplex auto		//设置为自协商
1
2
3
4
5

指定接口通讯速率

en				//进入特权模式
conf t			//进入全局配置模式
int f-0/1		//进入接口模式，0/1接口
speed auro		//设置为自协商
1
2
3
4

设置console口密码

en			//进入特权模式
conf t			//进入全局配置模式
line console 0	//进入console口
password 123	//设置密码
login			//应用
1
2
3
4
5

设置特权模式密码

	en				//进入特权模式
	conf t			//进入全局配置模式
	enable password 123 //设置明文密码
	enable secret 456 	//设置密文密码
	#特权模式同时设置明文密码和密文密码时，密文密码生效
1
2
3
4
5

永久性关闭地址解析（当思科模拟器命令打错是会出现地址解析，等一段时间才能进行，此命令关闭地址解析）
```
en				//进入特权模式
conf t			//进入全局配置模式
no ip domain-lookup 
1
2
3
```

3、交换机远程登录

1）telnet远程登陆

Telnet协议是TCP/IP协议簇中的一员，是登录internet远程登录服务的标准协议个主要方式（基于TCP的23号端口）

en
conf t
int vlan 1	//进入vlan1，一般情况下vlan1作为交换机的管理接口
ip add 192.168.1.100 255.255.255.0		//设置IP地址
no shut									//开启接口

#远程登录必须设置特权模式密码或创建账户登录，以下二选一
enable secret phoon 		//设置特权模式密文密码
username imphoon phoon		//创建登录用户名和密文密码

line vty 0 4				//进入0-4虚拟终端
login local					//应用
1
2
3
4
5
6
7
8
9
10
11
12

思科设备telnet连接认证方式
- no login：不认证
- login：直接使用密码登录
- login local：必须使用账号密码登录

2）ssh远程登录

SSH是专为远程管理登录会话和其他网络服务提供的安全性的协议，协议可以有效防止远程登录管理过程中信息泄露问题（基于TCP的22号端口）

en
conf t
int vlan 1		//进入vlan1，一般情况下vlan1作为交换机的管理接口
ip add 192.168.1.100 255.255.255.0	//设置IP地址
no shut								//开启接口
end									//返回特权模式
show ip ssh							//查看设备是否支持ssh
conf t 
hostname SW1						//修改交换机名字，ssh不能使用默认设备名
ip domain-name phoon				//配置域名
crypto key generate rsa				//创建密钥对
How many bits in the modulus [512]:2048 //密钥长度默认51，设置为2048
ip ssh time-out 30					//设置超时，单位秒
ip ssh authentication-retries 3		//设置认证次数
username imphoon phoon				//创建用户名和密码
line vty 0 4						//进入0-4虚拟终端
transport input ssh					//设置只允许SSH登录
login local							//应用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

3）交换机其他配置

查看当前配置文件（存在RAM中，重启后消失）
```
en
shou running-config
1
2
```
查看存储配置文件（存在NVRAM，重启不消失）
```
en
show startup-config
1
2
```

保存当前配置文件

en
copy running-config startup-config
write
1
2
3

删除保存配置文件
```
en 
erase nbram
1
2
```

4）忘记交换机特权密码，拔掉交换机插头，插上电源同时按住MODE键，出现switch松开，初始化Flash

flass_init
1

将config.text文件改成config.old，完成后重启交换机
```
rename flash:config.text flash:config.old
boot
1
2
```
重启后进入特权模式把配置文件的名字改回来
```
ername flash:config.old flash:config.text
1
```
手动加载配置文件，然后进入全局配置模式修改密码
```
copy flash:config.text system:running-config
1
```

虚拟局域网VLAN

一、VLAN概念

VLAN（Virtual Local Area Network 虚拟局域网），是将一个物理LAN在逻辑上划分成多个广播域的通信技术，不同VLAN间不能直接通讯
VLAN的优势：
- 控制广播
- 增强网络安全性
- 简化网络管理
VLAN种类
- 静态VLAN：基于端口划分静态VLAN。管理员手动在交换机上创建VLAN，并将交换机的接口加入对应VLAN中
- 动态VLAN：基于MAC地址划分VLAN，根据终端用户的MAC地址决定属于哪个VLAN（根据MAC地址厂商划分不同VLAN，应用场景较少）

二、配置静态VLAN

1、VLAN的范围

不同设备不同范围，但大同小异，如思科设备
- 0,4095，为保留范围，仅系统使用用户不能查看和使用
- 1，思科默认VLAN，用户可用使用，但不能删除
- 2 -1002，用于创建以太网VLAN，用户可用创建、使用、删除这些VLAN
- 1002 -1005，用于FDDI和令牌环的思科默认VLAN，用户不能删除
- 1006 -1024，保留范围，仅限系统使用
- 1025 -4069，扩展范围，仅用于以太网VLAN

三、VLAN配置

创建VLAN

###第一个种方法
en
conf t		//进入全局模式
vlan 2		//创建一个VLAN 2
exit		//退出vlan2模式

###第二种方法
en
vlan da		//进入VLAN数据库，database简写
vlan 3		//直接创建vlan3
exit		//退出vlan数据库

name Virtual //可选，修改vlan名字
1
2
3
4
5
6
7
8
9
10
11
12
13

将交换机端口加入相应的VLAN种

#单个将端口加入VLAN
en
conf t
int f0/10			//进入要配置的端口f0/10
sw mo ac			//定义二层端口模式默认位access，可省略
switchport access vlan 2		//将端口添加到VLAN 2中
no switchport access vlan 2		//将端口移除vlan2

#多个端口加入VLAN
int range f0/1-10		
switchport access vlan 2		
1
2
3
4
5
6
7
8
9
10
11

还原接口位默认配置状态
```
default int f0/10
1
```

查看VLAN配置

shou vlan brief 		//查看所有VLAN信息，特权模式下
shou vlan id 2			//查看指定VLAN信息，特权模式下
1
2

删除VLAN

##全局模式下
no vlan vlan-id 	//id删除VLAN
no vlan 20			//删除VLAN20
##VLAN数据库模式删除
vlan da
no vlan 20
1
2
3
4
5
6

VLAN Trunk

一、概念

vlan Trunk： 为了实现多台虚拟机之间不同主机VLAN划分，需要将于虚拟机之间连接转为Trunk链路
交换机网络中的链路类型
- 接入链路 access 通常是主机与虚拟机之间连接的链路
- 中继链路 trunk 虚拟机与虚拟机之间连接的链路，可用承载多个VLAN

二、VLAN Trunk 标准

ISL （思科专有标准）
IEEE 802.1q（IEEE的国际标准，不同厂商交换机进行互联时需要的共有标准）

三、Trunk的模式和协商

Trunk的模式
- 接入（access）
- 干道（Trunk）
- 动态企望
- 动态自动
- 非协商

四、Trunk配置

Trunk配置

//进入接口模式
int f0/10		

//有三种可选封装类型，此处选802标准
switchport trunk encapsulation dot1q 

//将接口配置为Trunk，有四种模式可选，但一台交换机是trunk，另一台是协商，则会自动协商为trunk
Switchport mode trunk
1
2
3
4
5
6
7
8

其他配置

//禁止传输vlan 10 数据
switchport trunk allowed vlan remove 10

//允许Trunk传送某个VLAN的数据，添加这个VLAN 
switchport trunk allowed vlan add 10

//查看接口模式、状态
shou int f0/10 switchport
1
2
3
4
5
6
7
8

三层交换

一、概念

三层交换技术实现不同VLAN之间的通讯
三层交换技术是：二层交换技术+三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面。

二、三层交换机的原理

1、传统的MLS

使用传统的MLS时，交换机将流中的第一个数据包转发给第三次引擎（单臂路由概念），路由器以软件交换的方式对数据包进行处理，对数据流中的第一个包进行路由处理后，路由器对硬件交换组织进行编程，使之为后续的数据包选择路由。这个过程被成为“一次路由多次交换”，也就是说交换机的三层引起只要处理数据流中的第一个数据包，而后续的数据全部由硬件执行转发。

2、基于CEF的MLS

与传统的MLS不同的时，CEF预先根据路由表学习路由信息后，直接存储再FIB（）转发信息库。REF预先根据ARP表生成邻接表，直接由硬件进行转发。
维护了两张表：
- 转发信息库（FIB 相当于路由表）
- 邻接关系表（MAC地址信息）

3、虚接口引入（三层交换机VLAN间通讯的转发过程）

三层交换机上接口属于不同VLAN
- 主机A发送数据给主机B，主机A是属于VLAN10的，主机B是属于VLAN20，主机A发送数据进入三层交换机的vlan10接口，引入三层交换机的VLAN10虚接口，由VLAN10虚接口转发到VLAN20虚接口，再通过属于VLAN20的物理接口转发出去
三层交换机上所有接口都属于trunk接口

三、三层交换机的配置

配置虚接口

en
conf t
ip routing
vlan 10
vlan 20
exit
int range f0/1-14
sw caa vlan 10
exit
int range f0/15-24
sw acc vlan 20
exit
int vlan 10
ip add 192.168.10.1 255.255.255.0
no shut
exit
int vlan 20
ip add 192.168.20.1 255.255.255.0
no shut
exit
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
exit
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
exit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

生成树协议STP

一、STP概念

交换机接受到一个目标MAC地址，不存在自己地址表中的数据帧时会已广播的方式进行转播方式转发，如果一个环形网络，容易造成广播风暴，为了解决这个问题，使用生成树协议STP将一个环形网络上的某一条链路逻辑上断开，变成树形网络

二、生成树优先级

根据网桥
- 网桥ID最小的交换机为根网桥
根据端口
- 到根网桥路径成本最低
- 直连的网桥ID最小
- 端口ID最小

三、STP配置

创建生成树

spanning-tree vlan 1	#再vlan1上启用生成树
spanning-tree vlan 1 priority 4096 设置网桥优先级
spanning-tree vlan 1 root primary 指定为根网桥
1
2
3

生成树其他指令


#修改端口成本
spanning-tree vlan 1 cost19
#修改端口优先级
spanning-tree vlan 1 port-priority 64
#查看生成树的配置
show spanning-tree
#查看某个vlan的生成树
shou spanning-tree vlan 1 detail
1
2
3
4
5
6
7
8
9

链路聚合

一、概念

链路聚合是计算机网络术语，指将多个物理端口汇聚成一条链路，形成一个逻辑端口，已实现出入流量各个端口负荷的分担，以及增加链路带宽、链路传输弹性和工程冗余等方面

二、实现方式

思科私有的PAgP
基于IEEE802.3ad标准的LACP
五种链路集合模式
- active（LACP主动模式）
- passive（LACP被动模式）
- auto（PAgP主动模式）
- desirable（PAgP被动模式）
- on（以太网通道使用）

三、基于IEEE的LACP

1、原理

采用LACP聚合的双方通过称之为LACPDU的协议报文交互本端和对端的聚合信息，已对整个聚合的认识达成一致
协议报文主要包括一下信息：
- 本端和对端系统优先级
- 本端和对端系统ID
- 本端和对端的端口操作key
- 本端和对端的端口优先级
- 本端和对端的端口ID
- 本端和对端的端口
链路聚合的双方根据这些信息按照一定的选择算法选择合适的链路，控制聚合状态

2、模式

静态汇聚
- 静态LACP汇聚由用户手动配置，不允许系统自动添加或删除聚合中的端口，聚合组中必须至少一个包含端口，当汇聚组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除
动态汇聚
- 动态LACP汇聚是系统自动创建/删除，不允许用户增加或删除汇聚中的端口成员，只有速率和双工属性相同、连接到同一个设备、有相同基本配置的端口才能被动态汇聚再一起。即使只有一个端口也可以创建动态汇聚，此端口为单端口汇聚。动态汇聚中，端口的LACP协议处于使能状态

四、LACP配置

创建链路聚合

en
conf t
int range f0/1-2
channel-protocol lacp			//指定汇聚协议
channel-group 1 mode active		//设置聚合模式
1
2
3
4
5

其他配置

interface port-channel 1		//进入聚合1
sw mode trunk					//将聚合通道配置为trunk
show etherchannel summary		//查看端口汇聚情况

1
2
3
4

五、以太网通道配置

以太网通道通过绑定多条以太网链路来提高链路带宽，并运行一种机制，将多个以太网端口捆成一条逻辑链路，以太网通道最多8条物理链路，其中可以是双绞线也可以是光纤

配置

en
conf t
int range fastEthernet 0/1-2
channel-group 1 mode on
1
2
3
4

端口镜像

一、概念

通过再再交换机或路由器上，将一个端口或多个端口的数据流量转发到某一个指定端口，来实现对网络的监听，指定的端口称之为“镜像端口”或“目的端口”，再不影响正常吞吐流量的情况下，通过镜像端口对网络流量进行分监控分析

二、端口镜像应用场景

1、本地端口镜像

再同一台交换机上将一些端口的流量镜像到另一个接口上

2、远程端口镜像

将交换机或路由器的一下接口流量镜像到另一台交换机的某一个接口上

三、端口镜像配置（span）

本地配置镜像

配置源端口（被镜像的端口）
en
conf t
monitor session 1 source interface fasterthernet 0/1 both
# both为双向流量，rx为进端口的流量，tx为出端口的流量

配置目的端口（镜像端口）
monitor session 1 destination interface fastethernet 0/10

1
2
3
4
5
6
7
8
9

远程镜像配置

把交换机要镜像的端口流量复制一份，然后发送到本机的一个反射端口上，再由反射端口将其通过网络转发到目的交换机中的VLAN上（一般情况下，这个VLAN是专门为镜像而设的，不要作为客户端接入），再在目的交换机配置VSPAN，将VLAN的流量镜像到目的端口
VSPAN：基本和SPAN相同，只是接口号变成VLAN号，而且值能镜像接口到的流量

en
conf t
vlan 10		//在交换机1上创建RSPAN专用VLAN
remote-span		//定义该VLAN为RSPAN VLAN
exit
monitor session 1 source interface fastethernet 0/1 both //配置源端口
monitor session 1 destionation int vlan 10 //配置源交换机的目的端口

vlan 10	//在交换机2上创建RSPAN专用的VLAN
remote-span	//定义该vlan为RSPAN VLAN
exit
monitor session 1 destionation remote vlan 10
monitor session 1 destionation int int f0/10
1
2
3
4
5
6
7
8
9
10
11
12
13

声明：本文内容由网友自发贡献，转载请注明出处：【wpsshop博客】