数据链路层和交换机的工作原理

数据链路层

数据链路层封装为数据包加头加尾，称数据帧。主要数据帧有两种如下：

1. Ethernet_II 帧
   
   最大传输单元（MTU）:中国常用1500字节。
   最大帧长：1518 B

2. IEEE802.3
   

交换机工作原理

工作在数据链路层的主要设备：交换机、网卡。

交换机原理：
1.收到数据帧后，学习帧中的源MAC地址，记录MAC表。
2.交换机查询MAC地址表，若无相应母大MAC对应端口，进行广播。
3.交换机MAC地址默认老化时间是300s，更新MAC地址表。
4.若MAC地址表中有对应地址记录，进行转发。

交换机转发记录过程：

PC0与PC2通信时：
1.PC0发出信息，首先switch0接收到信息，未有MAC记录，将除fa0/1的接口发送广播。
switch0 MAC地址表记录：
MAC0 fa0/1
2.PC1接收到信息，非自己信息，丢弃。
3.switch1接收到信息，未有地址记录，进行广播，并来源MAC。
switch1 MAC地址表记录：
MAC0 fa0/4
4.PC3接收信息，非自己，丢弃。
5.PC2判断目的地址是自己，接收。

PC2再次回复信息给PC0：
1.switch1接收信息查询MAC表，找到PC0，将信息通过fa0/4端口（单播）发送给switch0。
switch1 MAC地址表记录：
MAC0 fa0/4
MAC2 fa0/5
2.switch0接收到信息查询MAC表，找到PC0，将信息发送给fa0/1端口（单播）。
switch0 MAC地址表记录：
MAC0 fa0/1
MAC2 fa0/3
3.PC0接收到信息。

MAC地址泛洪

1. 泛红原理
   中间主机通过macof MAC生成工具迅速填满交换机MAC地址表。当用户主机登录ftp并获取文件时，交换机MAC地址表就不能再更新了，交换机查询不到数据帧对应的MAC端口将帧进行广播。这时候交换机所关联的所有接口会收到该数据帧，攻击者通过wireShark等抓包工具将可以获取登录者的账密等信息。

2. 过程实现
   
   同一局域网内：
   1.PC1首先通过macof发动攻击，MAC地址表满，接口指示灯闪烁。并开启wireShark准备抓包。
   2.PC0用户登录。
   3.PC1分析已抓获数据包，获取账号和密码。
   

3. MAC地址泛红攻击防范
   第一种：可以限定交换机接入的端口数量。但实际场景中应用较少。
   具体代码如下：

switch>enable
switch#config t
switch(config)#interface fa0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport port-security maximum 5
switch(config-if)#switchport port-security violation shutdown
switch(config-if)#end
switch#

第二种：给端口绑定MAC地址，实际应用较少。

switch(config-if)#switchport port-security mac-address XXXX.XXXX.XXXX