交换机基本概念与配置.pptxVIP

交换机工作原理;1;1; 站点A发送一个数据帧到站点C； 交换机根据数据帧的源地址在接口E0上学习到站点A的MAC地址； 这个数据帧(A-C)被泛洪到所有的交换机接口除了E0(未知单播被泛洪)； MAC地址缺省在MAC地址表中保留5分钟；; 站点D发送一个数据帧到站点C； 交换机根据数据帧的源地址在接口E3上学习到站点D的MAC地址； 这个数据帧(D-C)被洪放到所有的交换机接口除了E3(未知单播被泛洪)； ; 站点A发送一个数据帧到站点C； 目的地址已知存储在MAC地址表中，数据帧不会被泛洪； 重新刷新工作站C的MAC地址超时时间；; 站点A发送一个数据帧到站点B； 由于站点B的MAC地址和接收的数据帧处于相同的接口，交换机 将丢弃这个帧； ; 站点D发送一个广播或者组播数据帧； 广播或者组播帧被洪放到所有端口除了源端口；;存储转发Store and forward 完整地收到帧并检查无错后才转发;直通转发Cut-through 交换机检测到目标地址后即转发帧;无碎片转发 Fragment free (直通转发的修订版)—Cat1900 的缺省模式 (modified cut-through) 交换机检测到帧的前64字节后即转发; 主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。; 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。 主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。 ; 由主机 A（或任何其它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。;攻击者使用交换机的正常操作特性来阻止交换机正常工作。; 只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。;在所有交换机端口上实施安全措施： 在端口上指定一组允许的有效MAC地址 只允许一个MAC地址访问端口 指定端口在检测到未经授权的MAC地址时自动关闭 ;安全MAC地址有以下类型： 静态安全MAC地址 动态安全MAC地址 粘滞安全MAC地址 ;粘滞安全MAC地址有以下特性： 动态学习，转换为存储在运行配置中的粘滞安全MAC地址。 禁用粘滞学习将从运行配置中移除MAC地址，但是不会从MAC表中移除。 当交换机重新启动时，粘滞安全MAC地址将会丢失。 将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。 禁用粘滞学习将把粘滞MAC地址转换为动态安全地址，并将这些地址从运行配置中移除。 ;3;端口安全默认配置;4;4;4;Cisco Catalyst交换机上可配置的端口安全性;Cisco Catalyst交换机上启用粘滞端口安全性的配置命令;谢谢