Download
1 / 21
210 likes | 303 Vues
第一讲 交换式局域网概述. 本讲主要内容. 主要局域网协议 共享式与交换式局域网 交换式局域网的主要设备 交换式局域网的拓扑结构. 局域网协议. 局域网主要有两种协议: 以太网: CSMA/CD, 带冲突检测的载波侦听多路访问协议,其特点是通过竞争方式发送数据,易产生冲突,是一种低负荷高效的网络。是目前局域网的主流协议。 令牌环网:全网只有一个令牌,只有持有令牌的节点,才能够发送信息,没有冲突产生。是一种高负荷高效的网络。. 以太网. 工作方式:先听后发、边发边听、冲突停止、随机延迟后重发 冲突域:
E N D
本讲主要内容 • 主要局域网协议 • 共享式与交换式局域网 • 交换式局域网的主要设备 • 交换式局域网的拓扑结构
局域网协议 • 局域网主要有两种协议: • 以太网:CSMA/CD,带冲突检测的载波侦听多路访问协议,其特点是通过竞争方式发送数据,易产生冲突,是一种低负荷高效的网络。是目前局域网的主流协议。 • 令牌环网:全网只有一个令牌,只有持有令牌的节点,才能够发送信息,没有冲突产生。是一种高负荷高效的网络。
以太网 • 工作方式:先听后发、边发边听、冲突停止、随机延迟后重发 • 冲突域: • 一个冲突域中,同时只能有一个节点发送数据,其他节点只能接收数据 • 超过一个节点发送数据,必然产生冲突,发送失败。 • 一个冲突域中的节点不能太多,否则很容易产生冲突,降低以太网的工作效率
两种典型的以太网 • 共享式以太网:用集线器(HUB)连接的以太网就是共享式的以太网。 • 所有连接到集线器的设备共享同一介质 • 所有连接到集线器的设备也共享同一冲突域和带宽。 • 交换式以太网:用交换机连接的以太网是交换式以太网。 • 交换式以太网允许多对结点同时通信,每个结点可以独占传输通道和带宽 • 它从根本上解决了共享以太网所带来的问题。
HUB 同 HUB A向B发送时, HUB 一 E向D不能发送 冲 突 域 不能发送 以太网共享式以太网 A B C D E F
交换机 A向B发送数据时,D可向E发送数据,C可向F发送数据 A B C D E F 交换式以太网
交换机功能 自动建立和维护MAC地址表 • 当交换从端口收到数据帧后,会自动地将帧的源地址与交换机的端口建立联系,形成MAC地址表的一条记录 • 转发数据帧 • 目的MAC地址是广播或组播地址,则向除接收端口外的所有端口转发; • 目的地址是单播地址,但这个地址不在交换机的MAC地址表中,也会向除接收端口外的所有端口转发; • 目的地址在交换机的地址表中,那么就根据地址表转发到相应的端口; • 如果数据帧的目的与源地址在同一个端口上,丢弃这个数据帧。
HUB 交换机中MAC地址表的建立 网络刚启动时,交换机的MAC地址表为空 MAC1 F0/1 MAC4 F0/4 MAC5 F0/4 F0/4 F0/1 F0/3 F0/2 PC5:MAC5 PC1:MAC1 PC2:MAC2 PC3:MAC3 PC4:MAC4
HUB 交换机帧转发 PC1 →PC2 F0/1 MAC1 MAC4 F0/4 MAC5 F0/4 F0/4 F0/1 MAC2 F0/2 F0/3 F0/2 PC5:MAC5 PC1:MAC1 PC2:MAC2 PC3:MAC3 PC4:MAC4
HUB 交换机帧转发 PC1 →PC4 F0/1 MAC1 MAC4 F0/4 MAC5 F0/4 F0/4 F0/1 MAC2 F0/2 F0/3 F0/2 PC5:MAC5 PC1:MAC1 PC2:MAC2 PC3:MAC3 PC4:MAC4
HUB 交换机帧转发 PC4 →PC5 F0/1 MAC1 MAC4 F0/4 MAC5 F0/4 F0/4 F0/1 MAC2 F0/2 F0/3 F0/2 PC5:MAC5 PC1:MAC1 PC2:MAC2 PC3:MAC3 PC4:MAC4
交换机性能指标 • 背板带宽:是交换机所能吞吐的最大数据量,决定了交换机总的数据交换能力,单位为Gbps,从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会越高 • 包转发率:是交换机每秒钟能转发最小数据包的能力。该指标能够真实反映交换机的性能,是决定交换机性能的关键。对于三层交换设备,厂家必须分别提供二层转发速率和三层转发速率,单位为Mbps • 如H3C的S5500-28C-EI,其背板带宽为256Gbps,包转发率为96Mpps
交换的功能指标 • 支持协议的多少(vlan(802.1Q),生成树(802.1D),网管协议(SNMP),DHCP等) • 服务质量QOS(Quality of Service) • 广播风暴抑制 • 端口聚合,端口隔离 • 流量控制 • 组播
路由器 • 路由器一般用于广域网与局域网的边界上,其主要功能是: • 路由选择:实现局域网和广域网间的路由选择; • 网络地址转换NAT(Network Address Translator):实现内网和公网IP地址间的转换,相当于代理服务器 • 网络管理:路由器可通过ACL,流量控制等功能实现网络管理
路由器的性能指标 • 包转发能力:是指路由器每秒所转发包的数量,单位PPS • IP路由协议支持:包括静态路由,动态路由协议(RIPv1/v2、OSPFv2、BGP、IS-IS),路由策略等 • QoS支持:流分类,流量监管,基于目的地址或者源地址的限速,流量整形,拥塞避免算法等 • NAT支持: 静态NAT、动态NAT、NAPT等
防火墙 • 防火墙:通过对数据包的过滤,保护内部网络的安全,防止非法用户的非授权访问或非法数据包的侵入; • 除了包过滤功能之外,防火墙通常还具有路由选择和网络地址转换NAT功能。小型网络常用防火墙代替边界路由器; • 防火墙的端口通常有WAN、LAN和DMZ。WAN端口用于连接因特网,LAN端口用于连接内部网络,DMZ端口用于连接DMZ区的服务器; • 防火墙的类型分为包过滤防火墙、应用网关、电路层网关和SPI防火墙。包过滤防火墙使用最多。
IDS与IPS • 入侵检测系统IDS(Intrusion Detection System)是对网络进行实时监视,主动对网络中的行为、安全日志、审计数据或其他可获得信息进行检测,在发现可疑事件时,发出警报或者采取主动反应措施的网络安全设备。 • 传统的安全措施使用IDS+防火墙,即使用IDS检测可疑事件,使用防火墙阻断可疑数据包,这种方式已经不能适应网络攻击技术的发展。因而出现了入侵防御系统IPS • 入侵防御系统IPS(Intrusion Prevention System),根据预先设定的安全策略,深度感知并检测流经的数据包。通过协议分析、特征匹配、流量统计分析、事件关联分析等手段,发现网络中的攻击行为,并根据攻击行为的危险等级主动采取告警、丢弃报文、切断会话、切断TCP连接等措施,保护网络完全。 • 入侵检测系统可以理解为网络的监视系统,对通过的数据进行监视,并对可疑数据发出报警信号;入侵防御系统更像是网络的保安,它不仅监视通过的数据,还可阻断可疑数据。
虚拟局域网VLAN • 虚拟局域网VLAN (Virtual Local Area Network)是将局域网从逻辑上划分若干个子网的技术。 • 每个子网形成一个独立的网段,即一个单独的冲突域和广播域,实现了对冲突域和广播域的分割和隔离。 • VLAN分为基于端口的VLAN,基于MAC(IP)地址的VLAN
交换式局域网的拓扑结构 总线型拓扑 星型拓扑 树型拓扑(目前使用最广泛的拓扑结构) 环型拓扑
本讲主要内容 • 主要局域网协议 • 共享式与交换式局域网 • 交换式局域网的主要设备 • 交换式局域网的拓扑结构
