交换技术泛谈

1. 以太网标准两种协议的区分：

如果值大于1500（0x05DC），说明是以太网类型字段，EthernetII帧格式。
如果值小于等于1500，说明是长度字段，IEEE802.3帧格式。
因为类型字段值最小的是0x0600。而长度最大为1500。

2. VLAN、Trunk、DTP、VTP

• Vlan
  实现二层隔离，不同vlan不同的广播域。（无法在二层通信，需使用三层进行通信）
  标准：1-1005；扩展：1006-4095。
  标签协议：ISL、802.1q
  解决的问题：广播风暴，区分不同的部门，防环等

• Trunk
  解决的问题：1.一条链路上需要承载多个vlan的时候2.两个交换机相连的时候，采用想用的干道协议（dot1q 即802.1q或ISL）3.使vlan能够跨交换机。
  中继链路默认允许所有的vlan通过，但是并不是所有的数据帧都能转发出去，只有所收到的数据帧中的vlan标记与本地存在的vlan标记对应才会转发此数据帧，否则该数据帧会被丢弃。
  本征vlan默认情况下在trunk链路传送时不打vlan标记。

• DTP动态中继协议
  

• VTP
  同步交换机的信息，VTP洗刷：同步域名，只能洗刷一次。
  角色：服务模式server，客户模式client，透明模式transparent
  双服务器，修订号高的优先。
  VTP修剪：vtp pruning

3. 交换通信技术

单臂路由
子接口，指定tag标签识别（路由器上配置子接口，并封装协议）
不同的vlan之间可以进行通信，拆标签换标签。

4. DHCP

Discover：广播包（源ip为全0，目的ip为全F）
Offer：组播包
Request：广播包
Ack：单播
68，,67端口号
如果客户端受到几个来自不同DHCP服务器的应答，则只选择最先接收到的应答数据报。
https://blog.csdn.net/chiyuwei1766/article/details/50711956

5. 以太通道Etherchannel

解决的问题：当其中一条链路断的时候，可以保证通信正常。（实现负载均衡）
协议：1.pagp：最多8条；2.lacp：最多16条
配置：1.先封装协议再配置模式（trunk）2.channel-protocol//channel-group 1 mode auto等

6. MAC泛洪

7. Port-security端口安全

switchport port-security开启端口安全（设置白名单）
处理黑名单的方式：1.丢弃该帧2.丢弃并通知管理服务器3、丢弃并关闭该端口。

8. STP生成树协议802.1d

 解决的问题：1.网络存在单点/单线路故障，需要冗余链路2.冗余链路造成环路：广播风暴；mac表紊乱；多帧复制3.STP用于阻塞某个端口，打破环路。
 角色选举（发送BPDU报文进行选举）：
 RB根桥：优先级+mac 小为优。只有根桥可以发送BPDU
 RP根端口：1.比较交换机所能接收到的BPDU端口的入站方向的cos值，小为优；2.比较接口接收到的BPDU的发送者BID，小为优；3.比较所有接口的发送者port-ID，小为优。
 DP指定端口：1.比较交换机所能接收到的BPDU端口的出站方向的cos值，小为优；2.比较接口接收到的BPDU的发送者BID，小为优；3.除非接口自己连自己，否则不用，该步骤比较链路两端接口的port-id。
 RP对着的一定是DP。DP对着的是BP或NDP。
 对应的cos值10Gb/s:2;1Gb/s:4;100Mb/s:19;10Mb/s:100;
 增强特性-cisco私有
 Portfast端口快速：减少时间（接口/全局下配置）
 Uplinkfast：减少30s学习监听时间（只能在非骨干交换机（接入层）上启用）全局配置。上行链路挂了
 Backbonefast：减少20s时间，建议所有交换机上启用，全局配置。骨干链路挂了

9. 交换机学习和转发mac表

https://blog.csdn.net/ym815753607/article/details/75150593
mac地址表项的老化时间：默认是300s。
路由器：模糊匹配；交换机：精确匹配。

10. STP-BPDU

 端口ID优先级（0-240）默认为128
 桥ID：8个字节（优先级0-65535）默认为32768；

11. STP-端口状态机

五种：disable，blocking，learning，listening，forwarding

12. 三层交换机（二层交换，三层转发）

 SVI 虚拟接口（一个svi对应一个vlan）
1.SVI接口由多个物理接口组成，但在逻辑上，可把它理解为一个3层口。
2.每个SVI接口可用于连接一个子网，SVI接口的IP地址就是该子网的网关。
3.组成SVI的物理接口都必须是Access接口，不能是3层口。
 https://blog.csdn.net/xlh1991/article/details/12676531
 标签重写，实现不同vlan间的通信。

13. 分层框架

 控制层面：控制和管理所有网络协议的运行，并且提供了数据平面数据处理转发前所必须的各种网络信息和转发查询表项。
 数据层面：处理和转发不同端口上各种类型的数据。

14. RSTP 802.1w

1.1 端口状态机制

Discarding；learning；forwarding。

1.2 端口角色

 根端口（Root Port）
 指定端口（Designated Port）
 替代端口（Alternate Port）：这是RSTP特有的一种端口角色。该类端口为当前"根端口"到"根网桥"提供一条替代路径。
 备份端口（Backup Port）：这是RSTP特有的一种端口角色。该类端口为"指定端口"到达生成树叶提供一条备份路径。"备份端口"仅当两个端口在一个由一个点对点链路组成的环路上连接时，或者当交换机有两个或多个到达共享LAN网段的连接时可以存在。
 禁用端口（Disabled Port）：这也是STP中就有的一种端口角色。该类端口在生成树操作中没有担当任何角色，不参与RSTP运算。
 http://book.51cto.com/art/200911/163605.htm

1.3 链路收敛

P/A机制：1.根桥发送proposal；2.增加新链路的交换机向其他交换机发送sync；3.交换机发送agreement到根桥，新增加的端口转变为forwarding。（收敛的时候只是暂时的阻塞端口，并不影响发送BPDU）

1.4 链路类型

以太网一般配成点对点类型，进入端口中进行配置。

1.5 快速原因

1. 端口角色：减少为三个
2. 端口状态机制：PA机制：6s内完成
3. 链路收敛：6s内完成
4. 拓扑变更：都是发送TC包

1.6 兼容性：向下兼容。

15. MSTP 802.1s

1.1 包含多个进程，一个交换机最多可配置0-15个进程
1.2 默认进程0关联1-4094vlan
1.3 域与域之间用进程0来交互。相同的进程号对应相同的vlan（多个vlan划到一个进程instance里面）
1.4 CIST：公共内部生成树，即是进程0

16. STP、RSTP、MSTP的区别

STP的端口角色只有三种：禁用端口，根端口和指定端口。而RSTP有五种。
上行链路发生问题，802.1d：发送的是TCN包；802.1w：发送的是TC包。
骨干链路发生问题：802.1d和802.1w发送的都是TC包。

17. STP稳定机制

 Portfast：直接进入转发状态。
 BPDUGuard：（保护接口，不会产生环路）当portfast端口收到BPDU的时候，将被自动关闭。
 BPDUFilter：抑制端口的BPDU报文收发。Portfast+ BPDUFilter
 RootGuard：阻止外部交换机称为根桥。（STP防环）
 LoopGuard：当替换端口或根端口没有收到BPDU报文时，阻止它们成为指定端口。
 Uplinkfast：上行链路故障，迅速收敛。
 Backbonefast：骨干链路故障，减少20s时间。

18. UDLD单项链路检测

 启用udld端口会每15s发送一次udld报文；若45s未收到回应，则认为链路出现单向故障。
 常规模式和激进模式

19. 交换冗余

1.1 HSRP（不支持负载均衡）热备份路由协议

报文封装 ![](https://s4.51cto.com/images/blog/201809/23/7fb6ee83df6910fd0b6c3fad277c4202.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
虚拟mac地址（组号——1-255）

Hello发送时间：每3.3s一次，holdtime时间：9.9s
状态：initial，learn，listen，speak，standby，active
所有节点：224.0.0.1；所有路由器：224.0.0.2（standby监听224.0.0.2的周期性hello报文）
Active选举：1.比较优先级（默认为100）越高越优（范围：0-255）；2.比较本身接口的IP地址，越大越优先
需开启抢占，默认为非抢占
报文类型：1、hello报文：active/standby路由器周期性发送；2、coup（政变）报文：在优先级高的路由器需要抢占active时才发送；3.resign（退休）报文：在一个路由器退出备份组时发送。

1.2 VRRP（不支持负载均衡）华为，虚拟路由冗余协议，公有协议

一个组内一个master和一个backup
虚拟IP地址可以使主用路由器接口地址（当使用接口地址作为虚拟IP时，该路由器就是master，优先级为255，默认为100）
VRRP默认可被抢占。
仅支持object跟踪，不支持接口跟踪。
Hello包每1s发送一次，仅master发送。

1.3 GLBP（支持负载均衡）

AVG：活跃虚拟网关：优先级高的；
AVF：活跃虚拟转发器：虚拟mac地址
一个GLBP组最多4个路由器，一个AVG，多个AVF
自动检测活跃网关故障，切换到冗余路径，且无需配置多个组进行负载均衡

20. 协议安全 https://blog.csdn.net/zc19930620/article/details/61642372/

• Vlan×××
   ×××在PC上安装一个×××软件，把PC变成交换机，其连接交换机之间使用了trunk链路，通过打两层vlan标签进行欺骗。（trunk链路可以打两层标签）
   解决办法：http://netsecurity.51cto.com/art/201010/229058.htm
   Vlan跳跃×××：利用DTP
• DHCP spoofing
   DHCP欺骗的原理是将×××者的本机伪装成DHCP服务器，代替真实的DHCP服务器给新接入网络的受害主机动态分配IP。这样的缺点是可能会与真实的DHCP服务器重复分配IP造成冲突，而且只能针对新接入网段的主机，难以影响到之前的主机。
   解决办法：DHCP snooping，非信任接口：只可以接收discovery和request，只可以发送offer和ack。
   Discovery×××：该PC是×××，不断发送dhcp请求，以此来消耗dhcp服务器可分配的ip地址。解决办法：配置非信任接口。控制discovery报文发送的个数。Ip dhcp snooping
• ARP spoofing×××（中间人×××）
   ARP数据包是在信任端口上接收到的，交换机不会做任何检测直接转发ARP数据包。如果是从不信任端口上接收到ARP数据包，交换机只会转发合法的数据包。Ip ARP inspection
   解决办法：开启DAI和DHCP snooping（有IP和MAC之间的绑定信息）
  http://netsecurity.51cto.com/art/201003/186461.htm

21. 流量安全

Storm-control：在交换机上限制流量占用接口的带宽。
SPAN端口镜像技术：给某种网络分析其提供数据流

 原理：交换机某接口收到数据后，将该接口的数据复制一份发送到某一连接着分析服务器的接口给该服务器进行流量分析。
 类型：LSPAN;RSPAN
PVLAN（用于IDC机房）私有vlan：交换机必须是透明模式。
 隔离：隔离vlan之间不能互访，只能访问主vlan
 混杂：可以访问所有端口
 团体：团体vlan仅能访问同子vlan及主vlan
 主vlan可以访问所有关联子vlan
Port blocking：开启拒绝泛洪未知目标mac的单播和组播流量。

22. 接入安全

AAA：认证，授权，审计

 Tacacs+：网管；radius：数据
 Aaa new-model：该命令保护所有需要使用密码登录的应用。