1. 为什么要有vlan?
分割广播域,避免广播风暴,造成网络资源的浪费
可以灵活的组网,便于管理,同时还有安全加固的功能
2. vlan是怎么实现的?端口的原理?
设置VLAN后,流量之间的转发控制是依赖于标签的
要记住,三层端口是不接受/发送带标签等数据,但是像路由器的子接口是可以的(单臂路由)
Access : 端口VLAN ID 和 标签VLAN ID是相同的
接收数据:接收到的数据没标签就要打标签,接收到的数据有标签,检查标签对应的VLAN ID是否跟端口ID相同,相同则接收,不相同就丢弃;
发送数据:发送时必有标签,而且要剥离标签
Trunk : 首先要设置端口VLAN ID 和 允许放行的ID
接收数据:接收到的数据带VLAN标签 ,就要检查是否在可放行ID列表中,接收到的数据不带VLAN标签,添加上端口VLAN ID ,然后再看是否允许放行;
发送数据:发送的数据的VLAN标签与端口VLAN 相同,剥离标签发送(Trunk ), 与端口VLAN不同,就保留标签发送
下面从PC1 -> 交换机1 -> 交换机2 ->PC2的过程来看(vlan10)
-
PC1发送不带标签的数据给交换机1的Access口,打上VLAN 10标签,查表得通过端口2转发给SW2
-
交换机1的端口2允许放行的VLAN ID 包含vlan 10,放行数据流量(带VLAN10的标签)
-
交换机2的端口1收到了带VLAN10的标签的数据,允许放行,查表得知要通过端口2转发给PC2
-
Access端口允许VLAN 10, 放行,而且在放行时要剥离标签
所以,交换机连接三层设备时,一般使用Access端口(PC也算三层设备,它里面也有路由表)
3. 为什么会产生广播风暴?
二层网络的特点,存在广播,组播,二层交换机执行泛洪
还有ARP, DHCP等等所产生的广播造成
广播传播过程:主机 A 将 ARP 请求封装成以太网帧,目标 MAC 为广播地址FF:FF:FF:FF:FF:FF
4. 什么是ARP协议?
ARP是用来,解决IP地址到MAC地址的动态映射问题,广播请求,单播回应,无认证机制
动态缓存:根据ARP请求/响应自动生成,有计时器
静态缓存:手动配置固定映射,防止ARP欺骗(目标 IP映射到攻击者的 MAC 地址,流量流经攻击者主机)
关键字段:Op Code ---1为请求,2为响应
IPv6可替代:使用 ICMPv6 消息实现地址解析;支持加密认证和无状态地址自动配置,安全性与效率更高
