路由交换设备项目化管理与配置 课件 项目3 安全小型局域网组建.pptx

项目3安全小型局域网组建

目录CONTENTS知识链接交换基础知识项目设计拓扑图、项目方案设计及配置参数项目描述组建安全小型局域网项目实施与验证接口安全功能验01PART020304知识链接

1.1MAC地址基础知识01021.1.1MAC（MediaAccessControl）地址MAC地址也叫物理地址、硬件地址，由网络设备制造商生产时烧写在硬件内部，网络中每台设备都有一个唯一的MAC地址，用于定义设备在网络中的位置。MAC地址的长度为6Byte即48bit，通常表示为12个16进制数，每2个或4个16进制数之间用冒号或连接号隔开。第二第二层交换过程通过使用MAC地址在低层实现通信，即是说，交换机是通过MAC地址找到目标电脑，再把数据送达的。知识链接

1.1MAC地址基础知识01021.1.2MAC（MediaAccessControl）地址表交换机内部都有一张MAC地址表知识链接E0/3E0/5E0/7E0/16MAC：M1MAC：M2MAC：M3MAC：M4目的MAC地址发送端口号M1E0/3M2E0/5M3E0/7M4E0/16PC1PC2PC4PC3

1.1MAC地址基础知识01021.1.3MAC（MediaAccessControl）地址表形成识别数据帧的源MAC地址，学习MAC地址和端口对应关系通过MAC地址表实现数据帧的单点转发MAC地址表的维护：(1)更改刚使用过的记录的“年龄”(2)删除“年龄”大的记录知识链接

1.2交换机转发技术0102局域网交换机的三种主要的交换方式：存储转发(StoreandForward)直通(CutThrough)自由分段(FragmentFree)知识链接

1.2交换机转发技术01021.2.1存储转发LANswitch复制整个帧到它的缓冲区里。然后计算CRC。帧的长短可能不一样,所以延时根据帧的长短而变化。如果CRC不正确,帧将被丢弃;如果正确，LANswitch查找硬件目标地址然后转发它们。交换机需要解读数据帧的目的地址与源地址，并在MAC地址列表中进行适当的过滤。如果所接收到的数据帧存在错误、太短(小于64B)或太长(大于l518B)，最终都会被抛弃。采用这种转发方式的交换机在接收数据帧时延迟较大，且越大的数据帧延迟时间越长。知识链接

1.2交换机转发技术01021.2.2直通采用直通方式时，交换机一旦解读到数据帧的目的地址，就开始向目的接口发送数据帧。通常，交换机在接收到数据帧的前6B时，就已经知道目的地址了，从而可以决定向哪个接口转发这个数据帧。直通转发技术的优点是转发速率快、减少延时和提高整体吞吐率。其缺点是交换机在没有完全接收并检查数据帧的正确性之前就已经开始了数据转发。在通信质量不高的环境下交换机会转发所有的完整数据帧和错误数据帧，这实际上是给整个交换网络带来了许多垃圾通信包。知识链接直通转发技术在减少传输延迟的同时也削减了对数据帧的错误检测能力。

1.2交换机转发技术01021.2.3自由分段在转发数据之前，过滤有包错误的冲突分段(长度为64B)。通常认为数据帧的错误总是发生在开始的64B内。该方式的错误检测级别要高于直通交换方式。交换机延时：交换机延时是指从交换机接收到数据帧到开始向目的接口复制数据帧之间的时间间隔。采用直通转发技术的交换机有固定的延时，因为直通式交换机不管数据帧的整体大小，而只据目的地址来决定转发方向。延时取决于交换机解读数据帧前6B中目的地址的速率。采用存储转发技术的交换机由于必须要接收完了完整的数据帧才开始转发数据帧，所以它的延时与数据帧大小有关。数据帧大，则延时大，数据帧小，则延时小。知识链接

1.3接口安全基础知识0102接口安全（PortSecurity）通过将接口学习到的动态MAC地址转换为安全MAC地址，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。知识链接指定哪些MAC地址的电脑数据可以连接本端口指定任一时刻允许几个MAC地址访问本端口发现来自非法MAC地址的数据时：关闭端口/上报网管/无视

02PART010304项目描述

2.1项目简介0102公司局域网由三台S3700交换机和4台员工计算机：财务员工1、财务员工2、员工3和员工4组成，如图3-3所示。交换机LSW3提供给外部客户访问公司网络，公司的财务员工涉及公司重要隐私，外部客户不能访问，与其他员工主机访问不受限制，即连接在交换机LSW3的外来客户计算机不能与财务员工1和财务员工2通信，与员工3和员工4可以正常通信，公司内部员工计算机可以正常通信。为了实现上述需求，需要在交换机LSW1的接口Ethernet0/0/1使能接口