交換機工作原理及端口安全配置

目錄

• 相關概念認識
• 交換機工作原理
• 交換機端口安全

相關概念認識

交換機是一種用于電（光）信号轉發的網絡裝置。它可以為接入交換機的任意兩個網絡節點提供獨享的電信号通路。最常見的交換機是以太網交換機。交換機工作于OSI參考模型的第二層，即資料鍊路層。

沖突域

沖突域是資料必然發送到的區域。

HUB是無智能的信号驅動器，有入必出，整個由HUB組成的網絡是一個沖突域。

交換機的一個接口下的網絡是一個沖突域，是以交換機可以隔離沖突域。

廣播域

廣播資料時可以發送到的區域是一個廣播域。

交換機和集線器對廣播幀是透明的，是以用交換機和HUB組成的網絡是一個廣播域。

路由器的一個接口下的網絡是一個廣播域。是以路由器可以隔離廣播域。

交換機工作原理

1.交換機根據收到資料幀中的源MAC位址建立該位址同交換機端口的映射，并将其寫入MAC位址表中。（學習）

2.交換機将資料幀中的目的MAC位址同已建立的MAC位址表進行比較，以決定由哪個端口進行轉發。（轉發）

3.如資料幀中的目的MAC位址不在MAC位址表中，則向所有端口轉發。這一過程稱為泛洪（flood）。（廣播）

4.更新（老化時間300s）交換機如果發現一個幀的入端口和MAC位址表中源MAC位址的所在端口不同，交換機将MAC位址重新學習到新的端口。

一句話總結：根據MAC位址表轉發資料幀，如果位址未知，則廣播。

交換機主要作用：分割沖突域，實作全雙工通信，存儲，過濾轉發

交換機端口安全

為了防止新加的裝置對交換機進行操作，是以需要對交換機的端口進行安全屬性的配置，進而控制使用者的安全接入。具體有兩種方法，一是限制交換機端口的最大連接配接數，進而控制交換機端口下連結的主機數。二是針對交換機端口進行mac位址，ip位址的綁定，進而實作使用者的嚴格控制。

對安全違例的處理方式有以下3種。

① protect 當安全位址個數滿後，安全端口将丢棄未知名的位址包

② restrict 當違例産生時，将發送一個Trap通知

③ shutdown 當違例産生時，将關閉端口并發送一個Trap通知

交換機端口安全功能隻能在Access接口進行配置

switch>enable
switch#config terminal
switch(config)#int fastethernet 0/1
switch(config-if)#speed 100                 /設定fastethernet0/1端口速率為10Mbit/s
switch(config-if)#duplex full               /設定fastethernet0/1端口為全雙工
switch(config-if)#no shutdown              /啟用端口
switch(config-if)#switchport mode access     /設定目前端口為Access
Switch(config-if)#switchport port-security     /打開目前端口安全功能
Switch(config-if)#switchport port-security maximum 1    /設定端口安全位址的最大個數
Switch(config-if)#switchport port-security mac-address 0001.C7E9.6EC0   /綁定mac位址
Switch(config-if)#switchport port-security violation shutdown   /配置處理違例的方式
           

（shutdown中斷開的是邏輯連接配接，實體連接配接依然開啟。是以要重新開機斷開要先關閉實體連接配接【shutdown】在開啟實體連接配接【no shutdown】就可以了）

在一個簡單的交換式網絡中，交換機所有端口預設情況都在一個網絡（vlan1），隻要将電腦連接配接到交換機并配置同一個網絡内位址，就可以進行通信。

交換機分類：傻瓜交換機、可管理型交換機（二層）、三層交換機（帶路由功能）