网络 ：基础——路由器、交换机

路由器

路由器的作用

• 路由器是互联网的枢纽，是连接英特网中各局域网、广域网的设备
• 路由器的出现有了网络层，同时也作用在OSI模型的第三层，提供了路由与转发两种重要机制，会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送数据。
• 路由器会将洪泛流量挡住，让单播流量经过，路由器的每一个接口都是一个广播域的边界，路由器的两个接口不能在同一广播域
• 路由器的接口IP叫做网关

路由器的转发机制

• 当一个数据包进入路由器后，路由器查看目标MAC，MAC为组播、广播、自己的MAC则进行解封装，其他MAC则丢弃。
• 然后路由器将基于数据包中的目标IP地址，广播、组播继续进行解封装，单播目标IP为自己继续解封装，否则查询路由表；若表中存在记录，将无条件按照记录转发目标网段，若没有记录将丢弃该流量
• 转发时若不知道吓一跳MAC，则进行ARP获取下一跳MAC

路由表 ：记录网段转发的一种数据库

• 目标网段、掩码
• 来源：链路层自学习（直连路由）、静态路由、动态路由
• 路由优先级 : 0-255 小优 当路由前缀与掩码一致而来源不一致的时候通过该参数决定那 种来源的路由会放置在路由表中。
• 开销 不同协议有不同的开销，所以不同的协议不同比较开销。 开销相同会负载均衡
• 下一跳
• 出接口

路由器查表机制：

• 1、最长匹配 – 若路由器上存在到一个网段的多条路由，且掩码不同，路由器则选择最精确匹配该网段的路由 ；
• 2、递归查找 – 基于路由表查询目标网络号时，必须找到下一跳对应的出接口才能发送数据；
• 3、路由器选路时，选择最短路径，避免环的产生

交换机

交换机是在二层（数据链路层）工作的设备，只识别MAC，不看IP。交换机可以将传入的的电波转换为二进制，后再将二进制转换为电波发送。交换机内部有内存条，可以将二进制进行存储。

交换机的作用

• 用于提供端口密度，使多用户的同时连接。
• 1.无限的存储距离 :将电波转换为二进制，在进行存储，以电波的形式发送，完美的的还原了电波的电压和波形。
• 2.完全没有冲突 ：所有节点可以同时收发数据。交换机将电波转换为二进制，不存在电波与电波的相互抵消。
• 3.二层单播 ：基于数据帧中的MAC地址来实现一对一转发

二层单播过程

• 在局域网中两台终端要进行信息交流，知道对方MAC则直接用MAC进行单播（将信息发给交换机，由交换机转发给目标终端）
• 若不知道对方MAC，则将发送ARP信息给交换机，由交换机进行洪泛 。在进行洪泛的一瞬间，会对广播域除目标接口外的其他接口产生垃圾，因此广播域不能无限大。

二层交换机工作过程

• 当数据帧进入交换机时，交换机先查看数据中源MAC地址，若为单播则将其与对应接口进行映射记录（MAC地址表），若为广播 、组播则进行洪泛，
• 之后查看数据中的目标MAC，再查MAC地址表，找到记录进行单播，没有找到记录则进行洪泛

MAC表

MAC	接口	VLANID
A	G0/0/0	VLAN2

• 表的形成 — 自学习 ：当数据帧进入交换机时，交换机会自动将数据帧的MAC地址与进入接口进行绑定，一个接口若进入多个MAC地址，则会全部与该接口绑定；一个接口可以映射多个MAC，但一个MAC只能映射一个。转发表的老化时间默认为5min，老化时间可以修改，修改后交换机会刷新交换表

表的查询与转发

• 查询 ：执行精确查询，一种完全命中的查询，一次命中多次转发。
• 转发

  • 已知单播帧 精确转发

  • 未知单播帧 洪范转发

  • 广播与组播帧 洪范转发

未知单播

• 数据帧MAC地址为一个单播地址，但交换机的MAC地址表中没有记录；出现原因交换机记录MAC 5min，电脑记录MAC 2h。

MAC地址表溢出攻击

攻击方式

• 一个电脑换MAC进行请求，将交换机MAC地址表中有用地址全部挤出，所有消息发送将变为洪泛。

如何防御：以cisco交换机为例

1、配置安全静态MAC地址

• protect—当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原 有的计算机不受影响，交换机也不发送警告信息；

• restrict–当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交 换机将发送警告信息；

• shutdown–当新计算机接入时，如果该端口的MAC条目超过最大数量，则该端口将会被关闭，则这个新的计算机和原有的计算机都无法接入网络，这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开端口。

s1(config)#inter e0/1
s1(config-if)#switchport mode access  
s1(config-if)#switchport access vlan 2
s1(config-if)#switchport port-security 	启动端口安全
s1(config-if)#switchport port-security maximum 1  	设定此接口所能提供的最大mac地址的数量
s1(config-if)#switchport port-security violation shutdown/protect/restrict 	这只当超过提供mac地址的最大数量后做采取的措施
s1(config-if)#switchport port-security mac-address 00d0.bab2.2611 		 静态绑定mac地址

2、粘滞安全MAC地址

静态mac地址可以使一个固定的计算机，然而如果要让多台主机可以通过这一个接口上网，则需要查询多个主机的mac地址工作量巨大，粘滞安全MAC地址就是用来解决这个问题

s1(config)#int e0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport access vlan 1
s1(config-if)#switchport port-security
s1(config-if)#switchport port-security maximum 1
s1(config-if)#switchport port-security violation shutdown
s1(config-if)#switchport port-security mac-address sticky 配置交换机接口自动学习第X（这里是1）个mac地址
被惩罚的接口show int XX 状态呈现errdisable

s1(config)#errdisable recovery cause psecure-violation

允许交换机自动恢复因端口安全而关闭的端口

s1(config)#errdisable recovery interval 60        

配置交换机60s后自动恢复端口

交换机与路由器在功能上有什么不同

1、工作层次不同

• 交换机是工作在数据链路层，而路由器工作在网络层

2、数据转发所依据的对象不同

• 交换机是利用MAC地址来转发数据，MAC地址出厂烧录
• 而路由器利用IP地址来转发数据，IP地址可以进行更改

3、转发数据的方法不同

• 路由器收到转发途径未知的数据包，会丢弃该流量
• 交换机收到转发途径未知的数据包，会进行洪泛

4、对广播的处理方法不同

• 路由器的接口不允许广播通过
• 交换机在没有配置的情况下允许广播通过