收藏 分享(赏)
下载资源 加入VIP,免费下载

中兴交换机基础培训教材.ppt

上传人:暖洋洋 文档编号:1735742 上传时间:2018-08-20 格式:PPT 页数:94 大小:3.32MB
下载 相关 举报
中兴交换机基础培训教材.ppt_第1页
第1页 / 共94页
中兴交换机基础培训教材.ppt_第2页
第2页 / 共94页
中兴交换机基础培训教材.ppt_第3页
第3页 / 共94页
中兴交换机基础培训教材.ppt_第4页
第4页 / 共94页
中兴交换机基础培训教材.ppt_第5页
第5页 / 共94页
点击查看更多>>
资源描述

1、,Station A 发送一个帧(frame) 给 Station C 交换机从端口 E0 学习到 station A 的 MAC 地址 将该帧做 “洪泛(flooding)” 转发。,MAC 地址表,C:00d0.d001.2222,B:00d0.d001.3333,D:00d0.d001.4444,E0: 00d0.d001.1111,E0,E1,E2,E3,地址学习,A:00d0.d001.1111,本章内容提要,交换机的工作原理 环路带来的问题 解决环路问题的方法,透明桥的工作原理,Station A,Station B,1/1,1/2,Segment A,Segment B,交换机有

2、着透明桥相同的特点,交换机的三个功能,地址学习 转发/过滤 避免环路,地址学习,最开始的地址表是空的,MAC 地址表,A:00d0.d001.1111,C:00d0.d001.2222,B:00d0.d001.3333,D:00d0.d001.4444,E0,E1,E2,E3,MAC 地址表,A:00d0.d001.1111,C:00d0.d001.2222,B:00d0.d001.3333,D:00d0.d001.4444,E0: 00d0.d001.1111,E3: 00d0.d001.4444,E0,E1,E2,E3,地址学习,Station D 发送一个帧(frame) 给 Stati

3、on C 交换机从端口 E3 学习到 station D 的 MAC 地址 将该帧做 “洪泛(flooding)” 转发。,过滤,Station A 发送一个帧(frame)给 station C 目标地址已经知道, 不再 “洪泛” 发送,直接从 E2 端口发送出去。,E0: 00d0.d001.1111,E2: 00d0.d001.2222,E1: 00d0.d001.3333,E3: 00d0.d001.4444,A:00d0.d001.1111,C:00d0.d001.2222,B:00d0.d001.3333,D:00d0.d001.4444,E0,E1,E2,E3,X,X,MAC 地

4、址表,Station D 发送一个广播或多播帧 (frame)给 C 交换机将广播(broadcast)或多播(multicast)帧 “泛洪”转发给其他所有端口(不包括进来的那个端口)。,A:00d0.d001.1111,C:00d0. d001.2222,B:00d0.d001.3333,D:00d0.d001.4444,E0,E1,E2,E3,E0: 00d0.d001.1111,E2: 00d0.d001.2222,E1: 00d0.d001.3333,E3: 00d0.d001.4444,MAC address table,广播和多播帧,本章学习目标,通过本章的学习,你可以获得以下收

5、获: 了解Vlan的概念及作用 了解交换机的Vlan接口类型 了解Vlan标签协议802.1Q 了解Vlan的实际应用,Vlan概述 Vlan的工作原理 Vlan的标准 Vlan的应用,本章内容提要,VLAN虚拟局域网,VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 划分Vlan的主要作用是隔离广播域。,在共享式的以太网上,每个设备都处于一个广播域中。,广播域( Broadcast Domain),为什么需要分割广播域呢?,A,B,A,B,广播的影响,广播信息真是那么频繁出现的

6、吗?,ARP请求:建立IP地址和MAC地址的映射关系。 RIP:一种路由协议。 DHCP:用于自动设定IP地址的协议。 NetBEUI:Windows下使用的网络协议。 IPX:Novell Netware使用的网络协议。如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。,如何分割广播域?,路由器 vlan,Vlan概述 Vlan的工作原理 Vlan的标准 Vlan的应用示例,本章内容提要,单机VLAN的工作,1,2,3,4,市场部,财务部,交换机,vlan10,vlan20,aaa,b

7、bb,ccc,ddd,跨交换机VLAN的工作,1,2,3,4,1,2,3,4,交换机 1,交换机 2,市场部,市场部,财务部,财务部,?,5,5,报文的类型,不带标签的报文 untag带标签的报文 tag,MAC,IP,数据,MAC,IP,数据,Vlan标识,端口类型,Access发送不带标签的报文;一般与pc、server相连时使用;Trunk发送带标签的报文;一般用于交换机级联端口传递多组vlan信息时使用;,跨交换机VLAN的工作,1,2,3,4,1,2,3,4,交换机 1,交换机 2,市场部,市场部,财务部,财务部,5,5,报文,报文,v10,报文,VLAN工作小结,交换机接收报文时需

8、要判断报文在哪个vlan中转发根据收到的报文属性判断tag报文 按照tag中vid标识转发untag报文按照接收端口所在vlan转发交换机发送报文时需要判断是否携带vid标记根据发送端口的vlan属性判断access端口发送untag报文trunk端口 发送tag报文,Vlan概述 Vlan的工作原理 Vlan的标准 Vlan的应用示例,本章内容提要,“打标签”的标准802.1Q协议,IEEE 802.1Q,1.802.1P用户优先级:用3个比特标识,可以有8种,0是最低,7是最高。 2.CFI位指示MAC数据域的MAC地址是否是规范格式。CFI=0表示是规范格式,CFI=1表示是非规范。 3

9、.802.1QVID域指示帧属于的VLAN标识,最大可以有4094( 212-2 ) 个VLAN,0不表示VLAN标识。,Access port,Access Ports 一个Access ports只属于一个VLAN Access端口发送不带标签的报文 缺省所有端口都包含在vlan1中,且都是Access ports,Trunk Ports,Trunk ports一个Trunk ports可以属于多个VLANTrunk ports通过发送带标签的报文来区别某一数据包属于哪一VLAN标签遵守IEEE802.1q协议标准,Vlan概述 Vlan的工作原理 Vlan的标准 Vlan的应用示例,本章

10、内容提要,宽带小区,小区汇聚,楼道接入1#,楼道接入2,24,1,2,24,24,宽带小区中要求每个用户都能与外网通信,但用户之间不能互通,防止其中一用户出现网络问题(如中毒)其他用户也一起受影响。,T(v2-v47),交换型城域网结构,LAN,PPPoE用户,ADSL,PPPoE用户,L2/3交换机,L3交换机,BAS,同城互连用户,LAN专线用户,DSLAM,VLAN二层VPN业务,宽带接入拨号业务,专线接入业务,内容回顾,VLAN的概念 冲突域 广播域VLAN的工作原理报文类型端口属性,交换机链路的类型: 打标签的链路 不打标签的链路打标签的标准:802.1q协议,思考题,一个HUB的所

11、有端口是属于同一个广播域吗?是属于同一个冲突域吗?交换机呢?能够在一条链路上承载多vlan的链路,叫什么链路?该链路上的数据和只能承载单个vlan的链路上的数据有什么不同?802.1q协议是在原数据帧中插入了多大的标签?,附录: 混合端口及pvid的应用,混合端口,混合端口(Hybrid Ports) 混合端口可以同时属于多个vlan 混合端口是人为指定其发送的报文是否带标签 对于一个特定的VLAN,混合端口传送的所有报文必须是同一种类型的 可以用于交换机之间的级联,也可以连接pc、server等终端设备,混合端口带来的问题,当混合端口收到带有标签的报文时按照标签所带vid转发; 当混合端口收

12、到不带标签的报文时应该如何转发?,switch,vlan10,vlan20,报文,v10,Vlan10? Vlan20?,报文,解决的方法PVID,PVID:端口缺省vid当端口收到不带标签的报文时就按照该端口pvid转发; 一个端口有且仅有一个pvid,初始情况下各端口pvid=1; Access端口的pvid与端口所在vlan一致; Trunk端口的pvid缺省为,但因级联端口两端都是trunk类型,一般无须修改; Hybrid端口的pvid缺省为,通常需要手工修改。,混合端口的应用,所有设备在同一网段,公司要求各部门之间不能通信但都能访问公司服务器,公司server,市场部,财务部,1,

13、混合端口的应用,公司server,市场部,财务部,1,V10,V20,V30,V30,V30,V20,V10,注意:粗体字表示为该端口的pvid,H,H,H,H,H,报文,报文,Mac table,MAC1 V10 P1,报文,MACS V30 P5,混合端口、PVID使用中的问题,当混合端口包含多个vlan依靠pvid通信时,虽然可以互通,但实际上是通过flooding的方式,这样对网络影响非常大建议做业务规划时尽量不使用缺省vlan1,防止出现flooding通信的现象影响网络质量。,本章学习目标,通过本章的学习,你可以获得以下收获:掌握TCP/IP协议簇常用协议,最早使用的协议栈 全球事

14、实上的通讯标准,TCP/IP,Host,Internet,TCP/IP,Host,7,6,5,4,3,2,Application,Presentation,Session,Transport,Network,Data Link,Physical,1,Application,Transport,Internet,Data Link,TCP/IP与OSI参考模型比较,OSI-TCP/IP模型对比,网络接口层,应用层,会话层,表示层,传输层,TCP,UDP,网络层,ICMP,RARP,ARP,IGMP,IP,数据链路层,物理层,网络接口层,由底层网络定义的协议,S,M,T,P,F,T,P,T,E,L

15、,N,E,T,D,N,S,S,N,M,P,N,F,S,T,F,T,P,RPC,TCP/IP数据流封装过程:,用户数据,TCP段,IP包,用户数据,TCP段,实际物理 网络的帧,IP包,实际传输,TCP/IP封装过程,PDU,data,segment,packet,frame,实际物理 网络的帧,bit,TCP/IP协议族,应用层,*被路由器使用,应用层,传输层,网络层,网络接口层,文件传输- TFTP *- FTP *- NFS E-Mail- SMTP 远程登录- Telnet *- rlogin * 网络管理- SNMP * 名称管理- DNS*,传输层,Transmission Cont

16、rol Protocol (TCP)User Datagram Protocol (UDP),应用层,传输层,网络层,网络接口层,传输层的功能,分割上层应用程序 建立主机应用程序间端到端的连接 将数据段从一台主机传到另一台主机 保证数据传送的可靠性,端口号,TCP,F T P,Transport Layer,T E L N E T,D N S,S N M P,T F T P,S M T P,UDP,Application Layer,21,23,25,53,69,161,服务器一般都是通过知名端口号来识别应用程序的 端口号用来标示互相通信的应用程序,端口号,TCP 传输控制协议,Source

17、port (16),Destination port (16),Sequence number (32),Header length (4),Acknowledgement number (32),Reserved (6),Code bits (6),Window (16),Checksum (16),Urgent (16),Options (0 or 32 if any),Data (varies),20 Bytes,Bit 0,Bit 15,Bit 16,Bit 31,源端口,目的端口,Host A,Dest. port = 23. 将数据包送到我的 TELNET端口,1028,23,SP

18、,DP,Host Z,Telnet Z,TCP 端口号,多个连接时端口号的使用,源端口,目的端口,Host A,1028,23,SP,DP,Host Z,Telnet Z,Telnet Z,1029,23,I just sent #10.,1028,23,Source,Dest.,10,Seq.,0,Ack.,TCP 序号和确认号综述,I just sent #10.,I just got #10, now I need #11.,1028,23,Source,Dest.,10,Seq.,1,Ack.,1028,23,Source,Dest.,11,Seq.,1,Ack.,TCP 序号和确认号

19、综述,I just sent #10.,I just got #10, now I need #11.,1028,23,Source,Dest.,10,Seq.,1,Ack.,1028,23,Source,Dest.,11,Seq.,2,Ack.,1028,23,Source,Dest.,11,Seq.,1,Ack.,TCP 序号和确认号综述,1028,23,Source,Dest.,11,Seq.,2,Ack.,1028,23,Source,Dest.,10,Seq.,1,Ack.,1028,23,Source,Dest.,11,Seq.,1,Ack.,1028,23,Source,Dest

20、.,12,Seq.,2,Ack.,I just got #11, now I need #12.,I just sent #11.,TCP 序号和确认号综述,Sender,Receiver,1,2,3,4,5,6,确认号,Sender,Receiver,Send 2,Send 1,Send 3,1,2,3,4,5,6,1,2,3,确认号,Sender,Receiver,Send 2,Send 1,Send 3,Ack 4,Send 4,1,2,3,4,5,6,1,2,3,确认号,Sender,Receiver,Send 2,Send 1,Send 3,Ack 4,Send 5,Send 4,S

21、end 6,1,2,3,4,5,6,1,2,3,4,6,确认号,Sender,Receiver,Send 2,Send 1,Send 3,Ack 4,Send 5,Send 4,Send 6,Ack 5,1,2,3,4,5,6,1,2,3,4,6,确认号,Sender,Receiver,Send 2,Send 1,Send 3,Ack 4,Send 5,Send 4,Send 6,Ack 5,Send 5,1,2,3,4,5,6,1,2,3,4,5,6,确认号,Sender,Receiver,Send 2,Send 1,Send 3,Ack 4,Send 5,Send 4,Send 6,Ack

22、 5,Send 5,Ack 7,1,2,3,4,5,6,1,2,3,4,5,6,确认号,Send SYN (seq=100 ctl=SYN),SYN received,Host A,Host B,TCP三次握手/建立连接,Send SYN (seq=100 ctl=SYN),SYN received,Send SYN, ACK (seq=300 ack=101 ctl=syn,ack),Host A,Host B,SYN received,TCP三次握手/建立连接,Send SYN (seq=100 ctl=SYN),SYN received,Send SYN, ACK (seq=300 ac

23、k=101 ctl=syn,ack),Established (seq=101 ack=301 ctl=ack),Host A,Host B,SYN received,TCP三次握手/建立连接,为了建立或初始化一个连接,两个TCP通信者必须同步各自的初始序号。初始序号是建立一个TCP连接时的开始号,用于跟踪通信顺序并确保多个包传输时无数据丢失。,同步,同步,协商建立连接,数据传送,(Send Segments),Sender,Receiver,连接建立,响应,面向连接的会话,FIN的ACK,FIN的ACK,FIN,FIN,应用程序关闭,主机A,主机B,应用程序关闭,TCP四次握手/终止连接,基

24、本概念窗口控制,基本概念窗口控制,基本概念窗口控制,基本概念窗口控制,基本概念窗口控制,基本概念窗口控制,Window size = 1,Send 1,Receive 1,Ack 2,Send 2,Receive 2,Ack 3,Send 1,Send 2,Receive 1,Receive 2,Window size = 3,Send 3,Receive 3,Ack 4,Send 4,Sender,Receiver,Sender,Receiver,基本概念窗口控制,UDP 用户报文协议,Source port (16),Destination port (16),Length (16),Da

25、ta (if any),Bit 0,Bit 15,Bit 16,Bit 31,Checksum (16),8 Bytes,无序号及确认 不可靠、面向无连接 高效、快速,TCP,UDP,是否面向连接,面向连接,无连接,是否提高可靠性,可靠传输,不提供可靠性,是否流量控制,流量控制,不提供流量控制,传输速度,慢,快,协议开销,大,小,TCP/UDP 比较,TCP/UDP 安全性,IP层的主要缺陷是缺乏有效的安全认证和保密机制。由于TCP/UDP是基于IP协议之上的,它们也同样面临IP层所遇到的安全威胁。容易招受针对TCP/UDP协议设计和实现中的缺陷实行的攻击。,TCP 安全性,TCP的安全问题:

26、针对TCP连接建立时“三次握手”机制的攻击;未加密的TCP连接被欺骗、被劫取、被操纵。 存在的主要攻击有: - TCP SYN淹没攻击 - TCP序列号攻击 - TCP会话截取攻击(TCP Session Hijacking) - TCP 端口扫描,UDP 安全性,由于UDP是无连接的,更易受IP源路由和拒绝服务攻击。如UDP Echo Loop Flooding攻击。,网络层,路由、寻址功能,提供主机到主机的连接功能,Internet Protocol (IP)地址解析/反向解析协议(ARP/RARP)互联网控制消息协议(ICMP),应用层,传输层,网络层,网络接口层,IP数据包格式,Ver

27、sion (4),Destination IP Address (32),Options (0 or 32 if any),Data (varies if any),1,Bit 0,Bit 15,Bit 16,Bit 31,Header Length (4),Priority & Type of Service (8),Total Length (16),Identification (16),Flags (3),Fragment offset (13),Time to live (8),Protocol (8),Header checksum (16),Source IP Address (

28、32),20 Bytes,决定目的地的上层协议类型,传输层,网络层,TCP,UDP,协议号,IP,17,6,协议类型字段,ICMP,ICMP消息类型: 错误消息 询问消息,Application,Transport,Internet,Data Link,Physical,Destination UnreachableEcho (Ping)Other,ICMP,1,ICMP 测试,目的地不可达 主机或端口不可达 网络不可达,Host A,我不知道如何到达 Z. 发送 ICMP.,To Z,目的地不可达,发送数据给 Z.,Data Network,由Ping命令产生的回声应答,A,我在这儿.,IC

29、MP回声应答,B可到达吗?,B,ICMP 回声请求,ICMP 测试,ARP工作机制,172.16.3.1,172.16.3.2,IP: 172.16.3.2 = ?,我需要IP地址为172.16.3.2主机的物理地址,实现IP地址向MAC地址的映射 本地ARP解析,ARP工作过程,172.16.3.1,172.16.3.2,IP: 172.16.3.2 = ?,我听到广播包了,这条消息是给我的 ,这是我的物理地址.,我需要IP地址为176.16.3.2主机的物理地址,ARP工作过程,IP: 172.16.3.2 Ethernet: 0800.0020.1111,172.16.3.1,172.1

30、6.3.2,IP: 172.16.3.2 = ?,我听到广播包了,这条消息是给我的 ,这是我的物理地址.,我需要IP地址为176.16.3.2主机的物理地址,ARP工作过程,实现IP地址向MAC地址的映射 本地ARP解析,IP: 172.16.3.2 Ethernet: 0800.0020.1111,172.16.3.1,172.16.3.2,IP: 172.16.3.2 = ?,我听到广播包了,这条消息是给我的 ,这是我的物理地址.,我需要IP地址为176.16.3.2主机的物理地址,Ethernet: 0800.0020.1111 IP = ?,我的IP地址是社么?,RARP工作机制,实现MAC地址向IP地址的映射 ARP and RARP 均是在数据链路层上直接实现的,Ethernet: 0800.0020.1111 IP: 172.16.3.25,Ethernet: 0800.0020.1111 IP = ?,我听到广播包了.你的 IP 地 址是172.16.3.25,RARP工作机制,我的IP地址是社么?,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 实用文档 > 简明教程

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报