收藏：全解以太網(wǎng)交換機(jī)知識

交換機(jī)（Switch），就是進(jìn)行數(shù)據(jù)交換的機(jī)器，任何數(shù)據(jù)的相互轉(zhuǎn)發(fā)都可以稱之為數(shù)據(jù)交換，網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過交換可以到達(dá)指定的端口。

而交換機(jī)是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。意思是說交換機(jī)可以“學(xué)習(xí)”MAC地址，并將其存放在內(nèi)部地址表中，通過在幀的始發(fā)者和接受者之間建立臨時(shí)的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。

顧名思義就是當(dāng)網(wǎng)絡(luò)設(shè)備（如路由器、上層交換機(jī)）端口不夠使用時(shí)，可以擴(kuò)展端口。

在設(shè)備間使用交換機(jī)延長傳輸距離。

常用的交換機(jī)分類主要是按照兩種分類方法：

可劃分為：非網(wǎng)管交換機(jī)、網(wǎng)管交換機(jī)。主要區(qū)別在對于高級網(wǎng)絡(luò)管理功能的支持。

網(wǎng)管型交換機(jī)以基于交換地址的不同而分為二層和三層。

二層交換機(jī)是基于MAC地址進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的交換設(shè)備，它位于OSI模型的第二層——數(shù)據(jù)鏈路層；

三層交換機(jī)可以基于IPC地址進(jìn)行交換，即OSI模型的第三層——網(wǎng)絡(luò)層。

通過瀏覽器訪問交換機(jī)的Web配置頁面對交換機(jī)進(jìn)行各項(xiàng)功能的設(shè)置和管理。WEB管理方式簡單、方便、易操作，適合各類交換機(jī)管理人員。

CLI（Command-Line Interface，命令行界面）管理，即通過終端工具訪問交換機(jī)的命令行界面對交換機(jī)進(jìn)行各項(xiàng)功能的設(shè)置和管理。

CLI管理有多種實(shí)現(xiàn)方式，常見的主要有以下三種：

CLI管理方式相對而言比較復(fù)雜、不易操作，但比較高效，適合專業(yè)網(wǎng)絡(luò)管理人員。

SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）是一組協(xié)議和服務(wù)。SNMP管理能夠讓網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)進(jìn)行設(shè)備信息查詢、修改，尋找故障節(jié)點(diǎn)，完成故障診斷。

SNMP管理便于獲取整個(gè)網(wǎng)絡(luò)的拓?fù)湫畔⒑凸收吓挪?，適合管理中大型的網(wǎng)絡(luò)。

TP-LINK具有豐富的核心層、匯聚層、接入層交換機(jī)系列，適合各大酒店、校園、工廠、宿舍及中小型企業(yè)組建經(jīng)濟(jì)、高效、穩(wěn)定的一體化網(wǎng)絡(luò)解決方案。

①三層網(wǎng)管交換機(jī)

● 支持靜態(tài)路由、動(dòng)態(tài)路由功能
● 完備的網(wǎng)絡(luò)安全接入策略
● 豐富的VLAN特性
● 多層次、多元化的訪問控制策略

如TL-SH7428、TL-SG6428Q、TL-SG5428……

②二層網(wǎng)管交換機(jī)

● 全面的安全防護(hù)體系
● 多層次的訪問控制策略
● 安全的網(wǎng)絡(luò)管理和維護(hù)

例如TL-SG3428、TL-SG2224P……

③非網(wǎng)管交換機(jī)

● 不同端口速率滿足不同使用環(huán)境
● 即插即用，無需管理，可上機(jī)架
例如：TL-SG1226、TL-SG1016T……

①中小型交換網(wǎng)絡(luò)
中小型交換網(wǎng)絡(luò)的特點(diǎn)：
● 網(wǎng)絡(luò)結(jié)構(gòu)簡單
● 接入終端數(shù)量多，一般在100-500個(gè)左右
● 需要?jiǎng)澐侄鄠€(gè)網(wǎng)段，不同VLAN不同網(wǎng)段

②大中型交換網(wǎng)絡(luò)
大中型交換網(wǎng)絡(luò)的特點(diǎn)：
● 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要冗余備份
● 接入終端數(shù)量較多，一般超過500個(gè)
● 需要?jiǎng)澐侄鄠€(gè)網(wǎng)段，不同VLAN不同網(wǎng)段

②城域網(wǎng)

城域網(wǎng)屬于城市骨干網(wǎng)絡(luò)，覆蓋面廣，接入方式多樣，承載了大量的數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)。除了基礎(chǔ)的數(shù)據(jù)轉(zhuǎn)發(fā)以外，還要支持三層服務(wù)質(zhì)量控制（QoS）、MPLS VPN等。

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），邏輯上將設(shè)備隔離成不同局域網(wǎng)，不受物理線路的限制。不同VLAN之間互相隔離

優(yōu)點(diǎn)

• ①、有效控制廣播域范圍；

• ②、增強(qiáng)局域網(wǎng)的安全性；

• ③、靈活構(gòu)建虛擬局域網(wǎng)。

端口隔離功能可以限制一個(gè)端口到其他端口的數(shù)據(jù)轉(zhuǎn)發(fā)。

端口隔離可以實(shí)現(xiàn)基于端口用戶的控制，避免不必要的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)，提升網(wǎng)絡(luò)的穩(wěn)定性。

端口隔離可以靈活限制同一個(gè)VLAN下的不同端口之間的通信。

應(yīng)用背景：核心鏈路網(wǎng)絡(luò)帶寬不足，容易造成交換網(wǎng)絡(luò)擁塞，影響整體網(wǎng)絡(luò)的穩(wěn)定性。

應(yīng)用場景：

注：應(yīng)用端口匯聚功能時(shí)，一定要先配置好交換機(jī)再連接線路，防止形成環(huán)路。

典型環(huán)路場景：?

設(shè)備或者網(wǎng)絡(luò)環(huán)路會(huì)加劇廣播風(fēng)暴，影響整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)性能，嚴(yán)重的甚至?xí)?dǎo)致整個(gè)交換網(wǎng)絡(luò)陷入癱瘓。

處理方法：

交換機(jī)檢測到端口存在自環(huán)路時(shí)，需要對此端口進(jìn)行相關(guān)處理。

• ①、警告：當(dāng)檢測到端口出現(xiàn)環(huán)路時(shí)，只發(fā)送告警信息，不對該端口進(jìn)行其他任何處理。

• ②、阻塞端口：當(dāng)檢測到端口出現(xiàn)環(huán)路時(shí)，除了發(fā)送告警信息以外，還會(huì)阻塞該端口，使其不能收發(fā)報(bào)文。

ACL（Access Control List，訪問控制列表）通過配置報(bào)文的匹配規(guī)則和處理方式，來實(shí)現(xiàn)對數(shù)據(jù)包的過濾功能，從而有效防止非法用戶對網(wǎng)絡(luò)的訪問。

在交換機(jī)中，ACL功能可以在設(shè)定的時(shí)間范圍內(nèi)對數(shù)據(jù)包的L2-L4層的相關(guān)協(xié)議字段進(jìn)行匹配。?

CL根據(jù)不同過濾字段分為以下三類：MAC ACL、標(biāo)準(zhǔn)IP ACL和擴(kuò)展IP ACL。

• ①、MAC ACL：MAC ACL根據(jù)數(shù)據(jù)包的源MAC、目的MAC、VLAN、二層協(xié)議類型等二層信息制定匹配規(guī)則，對數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理。

• ②、標(biāo)準(zhǔn)IP ACL：標(biāo)準(zhǔn)IP ACL根據(jù)數(shù)據(jù)包的源IP、目的IP地址信息制定匹配規(guī)則，對數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理。

• ③、擴(kuò)展IP ACL：擴(kuò)展IP ACL根據(jù)數(shù)據(jù)包的源IP、目的IP、IP承載的協(xié)議類型、協(xié)議的特性等信息來制定匹配規(guī)則，對數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理。

ARP欺騙是指利用ARP協(xié)議的漏洞，發(fā)送虛假的ARP請求報(bào)文或者響應(yīng)報(bào)文，欺騙局域網(wǎng)中的其他主機(jī)，以此來獲取被攻擊主機(jī)的流量信息。

IP源防護(hù)是指交換機(jī)通過四元綁定的條目來驗(yàn)證數(shù)據(jù)包的源IP地址或者源IP+源MAC地址，與綁定條目不匹配的數(shù)據(jù)包將被丟棄，以此來防止非法主機(jī)偽造IP地址訪問網(wǎng)絡(luò)，保證局域網(wǎng)通信的安全。

現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，經(jīng)常有遇到一種情況：主機(jī)自動(dòng)獲取到IP參數(shù)了，但是卻上不了網(wǎng)。此時(shí)，就需要考慮一個(gè)問題：給主機(jī)分配地址的DHCP服務(wù)器是否合法？

DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議），是一種能夠?yàn)榫W(wǎng)絡(luò)中的主機(jī)分配TCP/IP參數(shù)的應(yīng)用層協(xié)議。

DHCP基于C/S模型，三層交換機(jī)支持充當(dāng)DHCP Server的角色。

DHCP服務(wù)器為不同VLAN的主機(jī)分配各自網(wǎng)段的IP參數(shù)。

動(dòng)態(tài)路由：無需手動(dòng)配置，通過路由協(xié)議自動(dòng)學(xué)習(xí)生成的路由條目。

常見的路由協(xié)議有RIP、OSPF等。

靜態(tài)路由設(shè)置簡單，但維護(hù)麻煩，比較適合小型交換網(wǎng)絡(luò)。

動(dòng)態(tài)路由能夠自動(dòng)發(fā)現(xiàn)和計(jì)算路由，適合大中型的復(fù)雜交換網(wǎng)絡(luò)。