作者：百哥
本期分享：系列15点到16点半-技术热讯
感谢大家关注-百哥，请大家持续关注就可以了哦！
众元教育技术公开课：更多认证知识
众元教育技术交流裙：414605852
在昨天的文章中，我们了解了两台同网段主机如何通信，但是如果有多台主机呢？这时就需要交换机了。
两台电脑，可以用一根网线直连。
多台电脑，他们都连到交换机上就可以了。

交换机（switch）是用来连接多个终端（电脑、手机、打印机），然后帮各个终端来转发数据的。
交换机的转发原理，是记录下每个终端的mac地址，以及这个mac地址对应哪个接口。

如图，交换机会记录下PC1的mac和PC2的mac，分别在自己的1口和2口，mac地址表如下图

然后，交换机收到的每个数据包，都会查看数据包的目标mac，然后再从这张表中，查到目标mac对应的是哪个接口，然后发出。
那么这张表是怎么来的呢？
交换机是这样学习mac地址条目的，当他收到1个数据包，就会把数据表的源mac，和接收端口比如gi0/0/1做对应，更新mac表。
如果收到1个包，查了目标mac，没查到相应的条目怎么办？
会从所有口发出，这个动作也叫做泛洪。

交换机的mac地址泛洪攻击简介

交换机的mac地址表空间是有限的，比如只能存1万条，当1万条存满，就无法学习更多的mac地址了。这时黑客可以利用这个原理，发送大量的，伪造了不同源mac的数据包，迅速占满交换机的mac地址表，这样交换机就没有空间去学习真正的mac了。

然后，所有的正常通信的包，因为无法学习到mac，都只能泛洪，也就是从所有接口发出。
这样攻击者就可以收到，原本单独发给别人的包，美滋滋。
有防范的方法吗？
家用交换机没什么好方法，企业级交换机一般都内置端口安全功能，可以设置每个接口允许学习的最大mac地址数量。比如每个接口讲道理只会接1个pc，那么可以设置最大学习mac数为3，给点富余。这样，某人发起攻击，也只能占据3个mac条目了，对交换机造不成什么威胁，企业级交换机的mac表都是万条起步的。

拓补说明

如图。PC1和PC3同处VLAN10,PC2和PC4同处VLAN20，
４台PC的IP地址同处在10.10.10.0/24的这个IP地址段中。
PC1和PC2通过交换机1接入网络，PC3和PC4通过交换机2接入网络。

配置说明

1. 交换机1的配置

<Huawei>system-view                                      #进入系统视图  
[Huawei]sysname  Switch1                                 #配置系统名称为Switch1
[Switch1]vlan 10                                         #创建VLAN10
[Switch1-vlan10]quit                                     #退出VLAN10视图
[Switch1]vlan 20                                         #创建VLAN20
[Switch1-vlan20]quit                                     #退出VLAN20视图
[Switch1]interface  GigabitEthernet  0/0/1               #进入千兆以太网接口 0/0/1
[Switch1-GigabitEthernet0/0/1]port link-type access      #配置端口链路类型为access
[Switch1-GigabitEthernet0/0/1]port default  vlan  10     #配置端口默认VLAN为10
[Switch1-GigabitEthernet0/0/1]quit                       #退出千兆以太网接口 0/0/1
[Switch1]interface  GigabitEthernet  0/0/2               #进入千兆一台网接口 0/0/2
[Switch1-GigabitEthernet0/0/2]port link-type access      #配置端口链路类型为ACCESS
[Switch1-GigabitEthernet0/0/2]port default  vlan  20     #配置端口默认VLAN 为20
[Switch1-GigabitEthernet0/0/2]quit                       #退出千兆以太网接口 0/0/2
[Switch1]interface  GigabitEthernet  0/0/3               #进入千兆以太网接口 0/0/3
[Switch1-GigabitEthernet0/0/3]port link-type trunk       #配置端口链路类型为 trunk
[Switch1-GigabitEthernet0/0/3]port trunk allow-pass  vlan  10 20         #配置端口trunk允许通过的vlan为 10 和 20

2. 交换机2的配置

<Huawei>system-view                                      #进入系统视图
[Huawei]sysname  Switch2                                 #配置系统名称为Switch2
[Switch2]vlan 10                                         #创建VLAN 10
[Switch2-vlan10]quit                                     #退出VLAN10视图
[Switch2]vlan 20                                         #创建VLAN 20
[Switch2-vlan20]quit                                     #退出VLAN 20视图
[Switch2]interface GigabitEthernet  0/0/1                #进入千兆以太网接口 0/0/1
[Switch2-GigabitEthernet0/0/1]port link-type access      #配置端口链路类型为access
[Switch2-GigabitEthernet0/0/1]port default  vlan  10     #配置端口的默认VLAN为10
[Switch2-GigabitEthernet0/0/1]quit                       #退出千兆以太网接口 0/0/1
[Switch2]interface  GigabitEthernet  0/0/2               #进入千兆以太网接口 0/0/2
[Switch2-GigabitEthernet0/0/2]port link-type access      #配置端口链路类型为access  
[Switch2-GigabitEthernet0/0/2]port default  vlan  20     #配置端口的默认VLAN为20 
[Switch2-GigabitEthernet0/0/2]quit                       #退出千兆以太网接口 0/0/2
[Switch2]interface  GigabitEthernet  0/0/3               #进入千兆以太网接口 0/0/3
[Switch2-GigabitEthernet0/0/3]port link-type trunk       #配置端口链路类型为 trunk  
[Switch2-GigabitEthernet0/0/3]port trunk allow-pass  vlan  10 20         #配置端口trunk允许通过的vlan为 10 和 20

3. PC的配置
   PC1配置IP地址为 10.10.10.1 子网掩码为255.255.255.0
   PC2配置IP地址为 10.10.10.2 子网掩码为255.255.255.0
   PC3配置IP地址为 10.10.10.3 子网掩码为255.255.255.0
   PC4配置IP地址为 10.10.10.4 子网掩码为255.255.255.0
   

测试结果

PC1 PING同属vlan10的主机PC3IP地址为：10.10.10.3，通了

PC>PING 10.10.10.3

Ping 10.10.10.3: 32 data bytes, Press Ctrl_C to break
From 10.10.10.3: bytes=32 seq=1 ttl=128 time=78 ms
From 10.10.10.3: bytes=32 seq=2 ttl=128 time=62 ms
From 10.10.10.3: bytes=32 seq=3 ttl=128 time=62 ms
From 10.10.10.3: bytes=32 seq=4 ttl=128 time=62 ms
From 10.10.10.3: bytes=32 seq=5 ttl=128 time=78 ms

--- 10.10.10.3 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 62/68/78 ms

PC>

PC1 PING不同vlan的主机PC2 IP地址为 10.10.10.2，不通

PC>PING 10.10.10.2

Ping 10.10.10.2: 32 data bytes, Press Ctrl_C to break
From 10.10.10.1: Destination host unreachable
From 10.10.10.1: Destination host unreachable
From 10.10.10.1: Destination host unreachable
From 10.10.10.1: Destination host unreachable
From 10.10.10.1: Destination host unreachable

--- 10.10.10.2 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC>

结果分析

ps:我们所有的主机均处在同一IP地址段中，无需网关地址便可通信

1. PC1 PING 同vlan的主机pc3通了。
   通信过程： PC1想给PC3发包，需要提前知道对方的mac地址，以便二层封包使用。为了得到PC3的mac地址，首先PC1会发送一个arp包，包的内容如下：
   
   发送者的Mac地址是PC1自己的MAC地址【54-89-98-6F-2A-3E】
   发送者的IP地址是PC1自己的IP地址【10.10.10.1】
   目标的mac地址由于不知道，而且需要让交换机将这个报文以广播形式发送，所以目标mac为【FF:FF:FF:FF:FF:FF】全网广播的mac地址
   目标的IP地址就是PC3的IP地址【10.10.10.3】
   PC1将这个arp请求包就发送出去了。

首先，这个数据包到达交换机1的G0/0/1口，交换机一看，这个数据没有带VLAN标记，那我就打上接收端口的vlan标记，然后记录下来数据帧中的源MAC地址，和收到该报文的端口号，生成MAC地址表，这就是常说的MAC地址学习的过程。然后在看目的mac地址，发现目的MAC地址不存在于交换机的MAC地址表，那我就将这个数据包，以广播的形式发送。至于广播发送到哪些端口呢？一看这个数据包有vlan标记10，那我就将这个数据包以广播的形式发送到所有允许vlan10通过的端口中去。当然收到该报文的端口不会发送。这个报文就通过交换机1的g0/0/3端口发送到了交换机2的G0/0/3。交换机2一看有vlan标记，而且这个vlan标记是我允许通过的，那我就不再打vlan标记了。查看数据包中第层次数据帧中的信息，发现源mac地址不存在于我的MAC地址表，那我就将源MAC地址和收到该数据包的端口号存入mac地址表，再看目的Mac地址不存在于我的mac地址表，那我就以广播的形式发送，发送到哪些端口呢？一看数据包带有vlan10的标记。那我就发送到除了接收端口以外的所有打vlan10标记的端口，这是数据包被发送到了交换机2的g0/0/1端口，一看这个端口的标记和我数据包的vlan标记一模一样，那我就将这个数据包的vlan标签剥掉后，再通过交换机2的G0/0/1端口发送出去。PC3收到了这个arp包，一看目的IP地址是PC3自己的，那我就产生如下的一个ARP数据包以单播的形式进行回应。

发送者的MAC地址就填上自己的MAC地址【54-89-98-F2-38-D5】
发送者的IP就填上自己的IP地址【10.10.10.3】
目标的mac地址，我们可以从收到的arp包中进行提取【54-89-98-6F-2A-3E】
目标的IP地址，我们也可以从收到的arp包中进行提取【10.10.10.1】
然后PC3就将这个ARP回应报文在发送出去

首先交换机2的G0/0/1端口收到了这个数据包，发现是没有带VLAN 标记的，那我就打上接收端口的vlan标记10 ，然后再查看数据包的第二层数据帧中的信息，一看源MAC地址不存在于自己的MAC地址表，那么，我就将MAC地址和接收到该数据的端口号存入我自己的MAC地址表，进行MAC地址学习。一看目的MAC地址存在于我的MAC地址表，对应的端口号是G0/0/3，而且G0/0/3这个端口允许当前数据包携带的vlan标记10通过，那么，就将这个数据包通过交换机2的G0/0/3端口发送出去。此时交换机1的G0/0/3端口收到了这个数据包，发现携带的vlan标记是接收端口G0/0/3允许通过的，那我就接收进来。然后再解析数据包的第二层数据帧中的内容，发现源MAC，不存在于我的MAC地址表，那么我就将该MAC地址和接收端口存入我的MAC地址表，进行MAC地址学习。查看目的MAC地址，存在于MAC地址表，对应的端口是G0/0/1,而且G0/0/1端口允许当前数据包携带的vlan标记10通过，那么我就将这个数据包通过交换机1的G0/0/1端口发送出去，数据包经过交换机1的端口G0/0/1是，发现携带的vlan标记和端口打的vlan标记是一样的，那么，我就将这个vlan标记剥去后再发送出去。PC1此时收到了这个数据包，一看目的IP地址是我自己的IP，那么我就将其接收下来。

现在PC1知道了PC2的mac地址，那我，我就可以将PING 的数据包封装起来发送出去了。
由于数据包再交换机中的转发过程都是一样的，博主这里就不再详细列举了。
现在数据包既能发送过去，又能接收到对端返回的应答消息。证明网络已经通了。

2. PC1 PING PC2不通
   首先 PC 1 依旧是需要获取对方的【PC2的】MAC地址。
   pc 1就会先发送一个arp请求报文
   发送者的MAC地址就是PC1自己的MAC地址【54-89-98-6F-2A-3E】
   发送者的IP地址就是PC1自己的IP地址【10.10.10.1】
   目标的MAC地址依旧是使用【FF:FF:FF:FF:FF:FF】广播MAC地址
   目的IP地址使用PC2的IP地址【10.10.10.2】

首先，这个数据包到达交换机1的G0/0/1口，交换机一看，这个数据没有带VLAN标记，那我就打上接收端口的vlan标记，然后记录下来数据帧中的源MAC地址，和收到该报文的端口号，生成MAC地址表，这就是常说的MAC地址学习的过程。然后在看目的mac地址，发现目的MAC地址不存在于交换机的MAC地址表，那我就将这个数据包，以广播的形式发送。至于广播发送到哪些端口呢？一看这个数据包有vlan标记10，那我就将这个数据包以广播的形式发送到所有允许vlan10通过的端口中去。当然收到该报文的端口不会发送。这个报文就通过交换机1的g0/0/3端口发送到了交换机2的G0/0/3。交换机2一看有vlan标记，而且这个vlan标记是我允许通过的，那我就不再打vlan标记了。查看数据包中第层次数据帧中的信息，发现源mac地址不存在于我的MAC地址表，那我就将源MAC地址和收到该数据包的端口号存入mac地址表，再看目的Mac地址不存在于我的mac地址表，那我就以广播的形式发送，发送到哪些端口呢？一看数据包带有vlan10的标记。那我就发送到除了接收端口以外的所有打vlan10标记的端口，这是数据包被发送到了交换机2的g0/0/1端口，一看这个端口的标记和我数据包的vlan标记一模一样，那我就将这个数据包的vlan标签剥掉后，再通过交换机2的G0/0/1端口发送出去。PC3收到了这个arp包，一看目的IP地址不是PC3自己的，那我就丢弃不做处理。结果网路中没人响应，那我PC1就无法获取PC2的MAC地址，也就无法封装PING包，自然就无法通信。

 

NSD NETWORK DAY02

1. 案例1：vlan基本命令
2. 2 案例2：vlan基本配置
3. 3 案例3：跨交换机同vlan通信
4. 4 案例4：trunk链路配置
5. 5 案例5：多vlan跨交换机通信
6. 6 案例6：以太网通道

1 案例1：vlan基本命令

1.1 问题

1）在交换机上创建vlan10，修改名称为web并查看vlan配置

2）删除vlan10，查看vlan配置

3）创建vlan20，将端口f0/1加入此vlan，查看vlan配置

4）将f0/1从vlan20中删除，查看vlan配置

1.2 步骤

实现此案例需要按照如下步骤进行

步骤一：在交换机上创建vlan10，修改名称为web并查看vlan配置

Switch>enable 
Switch#configure terminal 
Switch(config)#vlan 10
Switch(config-vlan)#name web
Switch(config-vlan)#end
Switch#show vlan brief

步骤二：删除vlan10，查看vlan配置

Switch#configure terminal 
Switch(config)#no vlan 10
Switch(config)#end
Switch#show vlan brief

步骤三：创建vlan20，将f0/1端口加入此vlan，查看vlan配置

Switch#configure terminal
Switch(config)#vlan 20
Switch(config-vlan)#exit
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport access vlan 20
Switch(config)#end
Switch#show vlan brief

步骤四：将f0/1端口从vlan20中删除，查看vlan配置

Switch#configure terminal
Switch(config)#interface fastethernet 0/1
Switch(config-if)#no switchport access vlan 20
Switch(config)#end
Switch#show vlan brief

2 2 案例2：vlan基本配置

2.1 问题

在交换机上创建以下vlan，按照拓扑图-1将端口加入到指定的vlan并配置服务器IP地址，实现通vlan主机的通信

图-1

2.2 步骤

Switch>enable 
Switch#configure terminal 
Switch(config)#vlan 2
Switch(config-vlan)#vlan 3
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet 0/3-4
Switch(config-if-range)#switchport access vlan 2
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet 0/5-6
Switch(config-if-range)#switchport access vlan 3
Switch#show vlan brief

3 3 案例3：跨交换机同vlan通信

3.1 问题

通过配置交换机实现图-2中的vlan主机互通

图-2

3.2 步骤

S1配置

Switch#configure terminal
Switch(config)#interface fastethernet 0/7
Switch(config-if)#switchport access vlan 3

S2配置

Switch>enable 
Switch#configure terminal 
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet 0/5-7
Switch(config-if-range)#switchport access vlan 3

4 4 案例4：trunk链路配置

4.1 问题

如图-3所示

1）配置s1的f0/1端口为trunk模式，分别查看两台交换机f0/1端口的状态

2）恢复s1的f0/1端口为默认模式，分别查看两台交换机f0/1端口的状态

图-3

4.2 步骤

配置s1的f0/1口为trunk模式，分别查看两台交换机f0/1端口状态

Switch>enable 
Switch#configure terminal 
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk 
Switch(config-if)#end
Switch#show interfaces fastEthernet 0/1 switchport 

恢复s1的f0/1口为默认模式，分别查看两台交换机f0/1端口状态

Switch#configure terminal 
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport mode trunk 
Switch#show interfaces fastEthernet 0/1 switchport

5 5 案例5：多vlan跨交换机通信

5.1 问题

通过配置实现跨交换机的同vlan通信，如图-4所示

图-4

5.2 步骤

注：以下配置需要在练习3的基础上完成

S1配置

Switch>enable 
Switch#configure terminal 
Switch(config)#interface fastEthernet 0/7
Switch(config-if)#switchport mode trunk 

S2配置

Switch>enable 
Switch#configure terminal 
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet 0/3-4
Switch(config-if-range)#switchport access vlan 2
Switch(config-if-range)#exit
Switch(config)#interface fastEthernet 0/7
Switch(config-if)#switchport mode trunk

6 6 案例6：以太网通道

6.1 问题

参照图-5将交换机的f0/7-f0/9端口配置为以太网通道

图-5

6.2 步骤

S1配置

Switch>enable 
Switch#configure terminal 
Switch(config)#interface range fastEthernet 0/7-9
Switch(config-if-range)#channel-group 1 mode on 
Switch(config-if-range)#end
Switch#show etherchannel summary

S2配置

Switch>enable 
Switch#configure terminal 
Switch(config)#interface range fastEthernet 0/7-9
Switch(config-if-range)#channel-group 1 mode on 
Switch(config-if-range)#end
Switch#show etherchannel summary