收藏：全解以太網(wǎng)交換機知識

交換機（Switch），就是進行數(shù)據(jù)交換的機器，任何數(shù)據(jù)的相互轉(zhuǎn)發(fā)都可以稱之為數(shù)據(jù)交換，網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過交換可以到達指定的端口。

而交換機是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。意思是說交換機可以“學(xué)習(xí)”MAC地址，并將其存放在內(nèi)部地址表中，通過在幀的始發(fā)者和接受者之間建立臨時的交換路徑，使數(shù)據(jù)幀直接由源地址到達目的地址。

顧名思義就是當(dāng)網(wǎng)絡(luò)設(shè)備（如路由器、上層交換機）端口不夠使用時，可以擴展端口。

在設(shè)備間使用交換機延長傳輸距離。

常用的交換機分類主要是按照兩種分類方法：

可劃分為：非網(wǎng)管交換機、網(wǎng)管交換機。主要區(qū)別在對于高級網(wǎng)絡(luò)管理功能的支持。

網(wǎng)管型交換機以基于交換地址的不同而分為二層和三層。

二層交換機是基于MAC地址進行數(shù)據(jù)轉(zhuǎn)發(fā)的交換設(shè)備，它位于OSI模型的第二層——數(shù)據(jù)鏈路層；

三層交換機可以基于IPC地址進行交換，即OSI模型的第三層——網(wǎng)絡(luò)層。

通過瀏覽器訪問交換機的Web配置頁面對交換機進行各項功能的設(shè)置和管理。WEB管理方式簡單、方便、易操作，適合各類交換機管理人員。

CLI（Command-Line Interface，命令行界面）管理，即通過終端工具訪問交換機的命令行界面對交換機進行各項功能的設(shè)置和管理。

CLI管理有多種實現(xiàn)方式，常見的主要有以下三種：

CLI管理方式相對而言比較復(fù)雜、不易操作，但比較高效，適合專業(yè)網(wǎng)絡(luò)管理人員。

SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）是一組協(xié)議和服務(wù)。SNMP管理能夠讓網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點進行設(shè)備信息查詢、修改，尋找故障節(jié)點，完成故障診斷。

SNMP管理便于獲取整個網(wǎng)絡(luò)的拓?fù)湫畔⒑凸收吓挪椋m合管理中大型的網(wǎng)絡(luò)。

TP-LINK具有豐富的核心層、匯聚層、接入層交換機系列，適合各大酒店、校園、工廠、宿舍及中小型企業(yè)組建經(jīng)濟、高效、穩(wěn)定的一體化網(wǎng)絡(luò)解決方案。

①三層網(wǎng)管交換機

● 支持靜態(tài)路由、動態(tài)路由功能
● 完備的網(wǎng)絡(luò)安全接入策略
● 豐富的VLAN特性
● 多層次、多元化的訪問控制策略

如TL-SH7428、TL-SG6428Q、TL-SG5428……

②二層網(wǎng)管交換機

● 全面的安全防護體系
● 多層次的訪問控制策略
● 安全的網(wǎng)絡(luò)管理和維護

例如TL-SG3428、TL-SG2224P……

③非網(wǎng)管交換機

● 不同端口速率滿足不同使用環(huán)境
● 即插即用，無需管理，可上機架
例如：TL-SG1226、TL-SG1016T……

①中小型交換網(wǎng)絡(luò)
中小型交換網(wǎng)絡(luò)的特點：
● 網(wǎng)絡(luò)結(jié)構(gòu)簡單
● 接入終端數(shù)量多，一般在100-500個左右
● 需要劃分多個網(wǎng)段，不同VLAN不同網(wǎng)段

②大中型交換網(wǎng)絡(luò)
大中型交換網(wǎng)絡(luò)的特點：
● 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要冗余備份
● 接入終端數(shù)量較多，一般超過500個
● 需要劃分多個網(wǎng)段，不同VLAN不同網(wǎng)段

②城域網(wǎng)

城域網(wǎng)屬于城市骨干網(wǎng)絡(luò)，覆蓋面廣，接入方式多樣，承載了大量的數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)。除了基礎(chǔ)的數(shù)據(jù)轉(zhuǎn)發(fā)以外，還要支持三層服務(wù)質(zhì)量控制（QoS）、MPLS VPN等。

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），邏輯上將設(shè)備隔離成不同局域網(wǎng)，不受物理線路的限制。不同VLAN之間互相隔離

優(yōu)點

• ①、有效控制廣播域范圍；

• ②、增強局域網(wǎng)的安全性；

• ③、靈活構(gòu)建虛擬局域網(wǎng)。

端口隔離功能可以限制一個端口到其他端口的數(shù)據(jù)轉(zhuǎn)發(fā)。

端口隔離可以實現(xiàn)基于端口用戶的控制，避免不必要的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)，提升網(wǎng)絡(luò)的穩(wěn)定性。

端口隔離可以靈活限制同一個VLAN下的不同端口之間的通信。

應(yīng)用背景：核心鏈路網(wǎng)絡(luò)帶寬不足，容易造成交換網(wǎng)絡(luò)擁塞，影響整體網(wǎng)絡(luò)的穩(wěn)定性。

應(yīng)用場景：

注：應(yīng)用端口匯聚功能時，一定要先配置好交換機再連接線路，防止形成環(huán)路。

典型環(huán)路場景：?

設(shè)備或者網(wǎng)絡(luò)環(huán)路會加劇廣播風(fēng)暴，影響整個網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)性能，嚴(yán)重的甚至?xí)?dǎo)致整個交換網(wǎng)絡(luò)陷入癱瘓。

處理方法：

交換機檢測到端口存在自環(huán)路時，需要對此端口進行相關(guān)處理。

• ①、警告：當(dāng)檢測到端口出現(xiàn)環(huán)路時，只發(fā)送告警信息，不對該端口進行其他任何處理。

• ②、阻塞端口：當(dāng)檢測到端口出現(xiàn)環(huán)路時，除了發(fā)送告警信息以外，還會阻塞該端口，使其不能收發(fā)報文。

ACL（Access Control List，訪問控制列表）通過配置報文的匹配規(guī)則和處理方式，來實現(xiàn)對數(shù)據(jù)包的過濾功能，從而有效防止非法用戶對網(wǎng)絡(luò)的訪問。

在交換機中，ACL功能可以在設(shè)定的時間范圍內(nèi)對數(shù)據(jù)包的L2-L4層的相關(guān)協(xié)議字段進行匹配。?

CL根據(jù)不同過濾字段分為以下三類：MAC ACL、標(biāo)準(zhǔn)IP ACL和擴展IP ACL。

• ①、MAC ACL：MAC ACL根據(jù)數(shù)據(jù)包的源MAC、目的MAC、VLAN、二層協(xié)議類型等二層信息制定匹配規(guī)則，對數(shù)據(jù)包進行相應(yīng)的分析處理。

• ②、標(biāo)準(zhǔn)IP ACL：標(biāo)準(zhǔn)IP ACL根據(jù)數(shù)據(jù)包的源IP、目的IP地址信息制定匹配規(guī)則，對數(shù)據(jù)包進行相應(yīng)的分析處理。

• ③、擴展IP ACL：擴展IP ACL根據(jù)數(shù)據(jù)包的源IP、目的IP、IP承載的協(xié)議類型、協(xié)議的特性等信息來制定匹配規(guī)則，對數(shù)據(jù)包進行相應(yīng)的分析處理。

ARP欺騙是指利用ARP協(xié)議的漏洞，發(fā)送虛假的ARP請求報文或者響應(yīng)報文，欺騙局域網(wǎng)中的其他主機，以此來獲取被攻擊主機的流量信息。

IP源防護是指交換機通過四元綁定的條目來驗證數(shù)據(jù)包的源IP地址或者源IP+源MAC地址，與綁定條目不匹配的數(shù)據(jù)包將被丟棄，以此來防止非法主機偽造IP地址訪問網(wǎng)絡(luò)，保證局域網(wǎng)通信的安全。

現(xiàn)實的網(wǎng)絡(luò)環(huán)境中，經(jīng)常有遇到一種情況：主機自動獲取到IP參數(shù)了，但是卻上不了網(wǎng)。此時，就需要考慮一個問題：給主機分配地址的DHCP服務(wù)器是否合法？

DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議），是一種能夠為網(wǎng)絡(luò)中的主機分配TCP/IP參數(shù)的應(yīng)用層協(xié)議。

DHCP基于C/S模型，三層交換機支持充當(dāng)DHCP Server的角色。

DHCP服務(wù)器為不同VLAN的主機分配各自網(wǎng)段的IP參數(shù)。

動態(tài)路由：無需手動配置，通過路由協(xié)議自動學(xué)習(xí)生成的路由條目。

常見的路由協(xié)議有RIP、OSPF等。

靜態(tài)路由設(shè)置簡單，但維護麻煩，比較適合小型交換網(wǎng)絡(luò)。

動態(tài)路由能夠自動發(fā)現(xiàn)和計算路由，適合大中型的復(fù)雜交換網(wǎng)絡(luò)。