第一講

交換式局域網概述第一講

交換式局域網概述本講主要內容主要局域網協議共享式與交換式局域網交換式局域網的主要設備交換式局域網的拓撲結構本講主要內容主要局域網協議局域網協議局域網主要有兩種協議：以太網：CSMA/CD,帶沖突檢測的載波偵聽多路訪問協議，其特點是通過競爭方式發送數據，易產生沖突，是一種低負荷高效的網絡。是目前局域網的主流協議。令牌環網：全網只有一個令牌，只有持有令牌的節點，才能夠發送信息，沒有沖突產生。是一種高負荷高效的網絡。局域網協議局域網主要有兩種協議：以太網工作方式：先聽后發、邊發邊聽、沖突停止、隨機延遲后重發沖突域：一個沖突域中，同時只能有一個節點發送數據，其他節點只能接收數據超過一個節點發送數據，必然產生沖突，發送失敗。一個沖突域中的節點不能太多，否則很容易產生沖突，降低以太網的工作效率以太網工作方式：先聽后發、邊發邊聽、沖突停止、隨機延遲后重發兩種典型的以太網共享式以太網：用集線器（HUB）連接的以太網就是共享式的以太網。所有連接到集線器的設備共享同一介質所有連接到集線器的設備也共享同一沖突域和帶寬。交換式以太網：用交換機連接的以太網是交換式以太網。交換式以太網允許多對結點同時通信，每個結點可以獨占傳輸通道和帶寬它從根本上解決了共享以太網所帶來的問題。兩種典型的以太網共享式以太網：用集線器（HUB）連接的以太網以太網共享式以太網HUBHUBHUB不能發送A向B發送時，E向D不能發送同一沖突域ABCDEF以太網共享式以太網HUBHUBHUB不能發送A向B發送時，E交換式以太網ABCA向B發送數據時，D可向E發送數據，C可向F發送數據DEF交換機交換式以太網ABCA向B發送數據時，D可向E發送數據，C可向交換機功能自動建立和維護MAC地址表當交換從端口收到數據幀后，會自動地將幀的源地址與交換機的端口建立聯系，形成MAC地址表的一條記錄轉發數據幀目的MAC地址是廣播或組播地址，則向除接收端口外的所有端口轉發；目的地址是單播地址，但這個地址不在交換機的MAC地址表中，也會向除接收端口外的所有端口轉發；目的地址在交換機的地址表中，那么就根據地址表轉發到相應的端口；如果數據幀的目的與源地址在同一個端口上，丟棄這個數據幀。交換機功能自動建立和維護MAC地址表交換機中MAC地址表的建立F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUB網絡剛啟動時,交換機的MAC地址表為空交換機中MAC地址表的建立F0/1PC2:MAC2PC3:M交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC2MAC2F0/2交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC4MAC2F0/2交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC4→PC5MAC2F0/2交換機幀轉發F0/1PC2:MAC2PC3:MAC3PC4:交換機性能指標背板帶寬：是交換機所能吞吐的最大數據量，決定了交換機總的數據交換能力，單位為Gbps，從幾Gbps到上百Gbps不等。一臺交換機的背板帶寬越高，所能處理數據的能力就越強，但同時設計成本也會越高包轉發率：是交換機每秒鐘能轉發最小數據包的能力。該指標能夠真實反映交換機的性能，是決定交換機性能的關鍵。對于三層交換設備，廠家必須分別提供二層轉發速率和三層轉發速率，單位為Mbps如H3C的S5500-28C-EI,其背板帶寬為256Gbps，包轉發率為96Mpps交換機性能指標背板帶寬：是交換機所能吞吐的最大數據量，決定了交換的功能指標支持協議的多少（vlan(802.1Q)，生成樹（802.1D），網管協議（SNMP），DHCP等）服務質量QOS（QualityofService)廣播風暴抑制端口聚合，端口隔離流量控制組播交換的功能指標支持協議的多少（vlan(802.1Q)，生成路由器路由器一般用于廣域網與局域網的邊界上，其主要功能是：路由選擇：實現局域網和廣域網間的路由選擇；網絡地址轉換NAT(NetworkAddressTranslator)：實現內網和公網IP地址間的轉換，相當于代理服務器網絡管理：路由器可通過ACL，流量控制等功能實現網絡管理路由器路由器一般用于廣域網與局域網的邊界上，其主要功能是：路由器的性能指標包轉發能力:是指路由器每秒所轉發包的數量，單位PPSIP路由協議支持：包括靜態路由，動態路由協議(RIPv1/v2、OSPFv2、BGP、IS-IS),路由策略等QoS支持：流分類，流量監管，基于目的地址或者源地址的限速，流量整形，擁塞避免算法等NAT支持：靜態NAT、動態NAT、NAPT等路由器的性能指標包轉發能力:是指路由器每秒所轉發包的數量，單防火墻防火墻：通過對數據包的過濾，保護內部網絡的安全，防止非法用戶的非授權訪問或非法數據包的侵入；除了包過濾功能之外，防火墻通常還具有路由選擇和網絡地址轉換NAT功能。小型網絡常用防火墻代替邊界路由器；防火墻的端口通常有WAN、LAN和DMZ。WAN端口用于連接因特網，LAN端口用于連接內部網絡，DMZ端口用于連接DMZ區的服務器；防火墻的類型分為包過濾防火墻、應用網關、電路層網關和SPI防火墻。包過濾防火墻使用最多。防火墻防火墻：通過對數據包的過濾，保護內部網絡的安全，防止非IDS與IPS入侵檢測系統IDS(IntrusionDetectionSystem)是對網絡進行實時監視，主動對網絡中的行為、安全日志、審計數據或其他可獲得信息進行檢測，在發現可疑事件時，發出警報或者采取主動反應措施的網絡安全設備。傳統的安全措施使用IDS+防火墻，即使用IDS檢測可疑事件，使用防火墻阻斷可疑數據包，這種方式已經不能適應網絡攻擊技術的發展。因而出現了入侵防御系統IPS入侵防御系統IPS(IntrusionPreventionSystem)，根據預先設定的安全策略，深度感知并檢測流經的數據包。通過協議分析、特征匹配、流量統計分析、事件關聯分析等手段，發現網絡中的攻擊行為，并根據攻擊行為的危險等級主動采取告警、丟棄報文、切斷會話、切斷TCP連接等措施，保護網絡完全。入侵檢測系統可以理解為網絡的監視系統，對通過的數據進行監視，并對可疑數據發出報警信號；入侵防御系統更像是網絡的保安，它不僅監視通過的數據，還可阻斷可疑數據。IDS與IPS入侵檢測系統IDS(IntrusionDet虛擬局域網VLAN虛擬局域網VLAN(VirtualLocalAreaNetwork）是將局域網從邏輯上劃分若干個子網的技術。每個子網形成一個獨立的網段，即一個單獨的沖突域和廣播域，實現了對沖突域和廣播域的分割和隔離。VLAN分為基于端口的VLAN，基于MAC（IP）地址的VLAN虛擬局域網V