CH6虚拟网重点分析.pptVIP

4） 创建基于MAC地址的安全VLAN 明确VLAN中每个端口和其对应的MAC地址 源MAC地址与到达端口无关的输入帧将被丢弃 单播帧转发时需要提供目的MAC地址和端口号 不明目的的单播帧绝不发送 非目的地终端不可能收到任何数据 交换设备A MAC-1 MAC-2 交换设备B 端口1 交换设备C 端口6 MAC-8 MAC-3 MAC-4 MAC-5 MAC-6 MAC-7 基于MAC地址的安全VLAN举例 地址为MAC2的终端要向地址为MAC8的终端发送数据帧 地址MAC2是端口1的合法地址，端口1接收数据帧 目的地不在交换设备B中，通过主干链路转发到交换设备A和交换设备B（但不会发送到任何访问链路端口） 设备A丢弃收到帧（该设备唯一的安全成员地址是MAC1） 设备C通过端口6转发该帧 6. VLAN帧的处理 VLAN交换机处理每个帧的步骤 依据入口规则分析每个输入帧，并发送到对应VLAN 检查过滤表以确定输出端口 根据出口规则针对每个输出端口验证 其是否为该帧所在之VLAN的成员 检查每个帧是否需要加标记 1） VLAN的入口规则 对于没有VLAN标记的帧 如到达端口属于多个VLAN，检查其满足哪个VLAN成员的要求；不满足则丢弃 只满足某一个VLAN成员的要求，转发到该VLAN 满足多个VLAN成员的要求则转发到匹配程度最高者 匹配等级如下： 端口 + MAC地址 端口 + IP地址 端口 + 协议 端口 第六章 交换与虚拟网 计算机网络与应用 一、 交换机基础 分割LAN的流量来提高性能 能够建立混合速率的LAN（如10M/100M） 扩展LAN的范围 交换机 10M用户群 100M用户 集线器 100M用户群 交换机和集线器的混合连接 1. 交换机的主要功能 2. 交换机的其他功能 阻止特定类型的帧发送到LAN的其他部分 通过备份交换机和交换机间备份链路消除故障 聚合交换机间一组链路 设置帧优先权 支持VLAN和SNMP 10M用户群 用户 集线器 用户 集线器 冲突域 使用集线器无法避免冲突域扩大 通过交换机分割冲突域 用户 用户群 交换机 用户 集线器 用户群 冲突域 冲突域 冲突域 3. 提供透明桥接 交换机通过自行学习决定帧如何转发 交换机 冲突域A 冲突域B 冲突域C 1 2 3 二、 交换机工作原理 交换机主要功能为转发数据帧 帧目的地址 通过该帧 源端口可以到达 ？ 否 是 丢 弃 转 发 交换机学习过程 观察每个端口上的所有流量 记录每一帧的源MAC地址和端口关系 将学习内容添加到过滤表 交换机的转发表 静态 5 25-A9-74-0E-00-23 状态 转发端口 目的MAC地址 老化 1 00-90-27-AE-B9-1D 动态 3 00-60-08-BD-7D-1A 动态 2 00-60-08-1E-AE-42 静态表项的目的 加快到专有端口通信量的转发 需要安全限制 阻塞无关帧以提高性能 动态表项说明该地址项刚更新（或刚记录） 静态表项属于人工添加 老化标明该表项已长期未更新，即将被淘汰 交换机的两种转发方式 帧起始 目的 MAC地址 源MAC 地址 类型 数据 校验 切入（直通）转发 帧起始 目的 MAC地址 源MAC 地址 类型 数据 校验 存储转发 三、 虚拟网(VLAN) 提供物理局域网流量控制的方法 由需要交换消息的系统组成 VLAN中的流量通常不会跨越界限 VLAN具有自己独立并唯一的标识 不同的VLAN可以共用同一个物理网络 需要支持VLAN的硬件设备 不是所有交换设备都支持VLAN 注意 注意 不同交换设备的VLAN工作方式不同 1. 虚拟网基本概念 工作组或特定关系的所有用户 服务器及访问服务器的群体 使用特定协议的系统群 属于组播组的用户群 需要进行安全隔离的一组系统 VLAN成员类型 实现VLAN功能的交换设备称为VLAN知晓交换设备 实现VLAN通过相应交换设备的端口来配置 终端不知道自己属于哪个VLAN 2. VLAN设备和端口 VLAN交换机 端口2 端口4 端口1 端口3 端口5 VLAN1 VLAN2 VLAN3 端口1、4、5、6 VLAN举例 VLAN2 端口0、2、3、7 VLAN3 端口1、4、5、6 0 1 2 3 4 5 6 7 0 1 2 3 4 5 交换设备A 交换设备B 集线器 集线器 VLAN间通信 普通交换设备C VLAN交换设备A VLAN交换设备B VLAN3 VLAN2 服务器 只