网络安全之交换基础

交换属于二层技术。路由器（router）是三层设备，可以基于IP地址转发，但需要路由表来记录。

交换机（switch）是二层设备，网桥（switch）也是二层设备，这两个都是基于二层的MAC地址进行数据转发。需要MAC地址表。

集线器（hub）是一层设备，进行信号放大，增加端口数量。

交换机与网桥有三个区别：1、交换机的端口比网桥更多。2、交换机是基于硬件处理，网桥是基于软件转发，软件处理，硬件比软件效率更高，不需要操作系统转发，转发性能更高。3、交换机接口资源转发彼此独立，网桥是共享的，即网桥转发资源接口之间共享，交换机转发资源接口之间独立。比如网桥八个接口共用1000M带宽，交换机24个接口各个都有1000M带宽。

交换：基于MAC地址进行转发（MAC地址表——自动生成）时不可能将每个MAC地址写成一个MAC条目，且交换机在转发时MAC具有一定流动性。

交换机i基本工作原理：

1、基于源MAC地址学习：收到数据时会提取里面的源MAC地址自动生成MAC地址条目。

2、基于目标MAC地址转发：通过查看不同的MAC地址，按照不同的MAC地址进行数据转发。

3、数据过滤。

4.防环。

3与4如下图所示：

交换机转发数据原理：

拓扑图如下；

A ping B，A不知道B的MAC地址，这时会被动触发一个ARP协议（地址解析协议）：【EⅡ|ARP】，通过对方IP地址请求对方MAC地址。

A ping B发送一个ICMP包（ping包），但不知道B的MAC地址，则该包封装失败，这时ARP工作，ARP中EⅡ中源MAC地址为A的MAC，目标MAC为全F广播MAC，ARP中写明A的信息与想知道B的MAC地址请求。封装成正向ARP包，交换机收到后，基于源MAC学习将MAC与F0/1绑定，接着基于目标MAC地址转发，看到广播MAC进行泛洪（洪泛），其他用户收到查看内容是10.1.1.1找10.1.1.2的，除B之外的设备都将该包丢弃。B收到则回复一个ARP应答：源MAC地址为B的MAC地址，目标MAC为A的MAC地址。并发给交换机，交换机收到后基于源MAC地址学习，将B的MAC地址与接口F0/2进行绑定，再基于目标MAC转发，查看MAC地址表转发给A，则A收到B的MAC，所以A可以与B进行互相通信了。

在华为中一Ping就直接ping通了，一般第一个包是会丢失的，因为封装失败，在真实环境下第一个包必丢，而在思科中国第一个是不通的，之后再ping5个包都没丢。

洪泛：三层叫广播，二层叫洪泛（泛洪）。当交换机收到一个需要被泛洪的数据帧时，该交换机会除了收到这个数据帧的接口外的接口进行转发该数据帧的行为叫洪泛。

默认洪泛的数据帧：

1、广播数据帧全F。

2、组播数据帧（01-00-5E开头的数据帧）。如何给组播IP分配组播MAC：32位MAC。组播前4位1110不变，还有28位。第25个二进制0固定，则01-00-5E-XX-XX-XX还剩23位可变。前4位1110不变可以不用映射，但还剩28位无法与23位对应，则将组播地址的后23位复制下来塞到MAC中形成MAC地址，中间5位不复制，不变，所以一个组播MAC地址对应了32个组播IP地址，组播的底层协议位IGMP协议（互联网管理协议）。

3、未知单播帧：交换机收到一个目标MAC不是全F与01-00-5E开头的且MAC地址表中没有对应的MAC地址条目，这就是未知的单播帧。

ARP：地址解析协议：基于二层封装。

正向ARP通过对方的IP地址请求对方的MAC地址。

反向ARP：通过对方的MAC地址请求对方的IP地址。

无故ARP：免费ARP.

无故ARP讲解如下：

拓扑图：

A发了一个ARP：源MAC为A的MAC，目标MAC为全F，ARP数据包里源IP为10.1.1.1，目标IP也为10.1.1.1，这种就叫做无故ARP，所以无故ARP时用来地址重复检测或地址冲突检测的。查看该局域网中是否有IP与自己相同的。

VLAN技术：虚拟局域网。

一个交换机连接了很多PC，为了区分不同部门的PC，将同一部门的PC划分为一个网段中，将不同部门隔离开。将一个广播域虚拟成多个网段，不同网段用VLAN ID来标识。

一个VLAN = 一个广播域 = 一个独立的网段。

VLAN 1为默认VLAN，交换机上默认所有接口属于VLAN 1.