文章目錄
- 1. vpn虛拟專用通道
-
- 1 簡介
- 2 原理
- 3 加密
- 4 網絡
- 5 身份驗證
- 6 功能與端口
- 7 安全
- 2. 實驗
-
- 1. vpn-server
-
- 1. 安裝軟體
- 2. 腳本路徑
- 3. ca證書和私鑰
- 4. vpnserver端 證書和私鑰
- 5. 從VPNserver上配置client端的證書和私鑰
- 6. 生成字元檔案
- 7. 配置vpnserver
- 8. 修改相關配置資訊
- 9. 啟動vpn
- 2. 配置vpn client端
-
- 1. 修改配置檔案
- 2. 啟動
- 3. 把openvpn的私鑰密碼去掉
- 4. 把client的私鑰密碼去掉
- 3. vpn密碼認證
-
- 1. Linux虛拟機上
-
- 1. vim /etc/openvpn/server.conf 添加以下内容
- 2. vim /etc/openvpn/checkpsw.sh
- 3. 建立使用者名、密碼的清單檔案:/etc/openvpn/psw-file
- 4. 修改vpn用戶端的配置檔案
- 2. windows端的配置
- 3. 擴充内容
-
- 1. 二層網絡和三層網絡差別
- 2. 核心層,彙聚層和接入層
1. vpn虛拟專用通道
1 簡介
VPN直譯就是虛拟專用通道,是提供給企業之間或者個人與公司之間安全資料傳輸的隧道,OpenVPN無疑是Linux下開源VPN的先鋒,提供了良好的性能和友好的使用者GUI。該軟體最早James Yonan編寫。OpenVPN允許參與建立VPN的單點使用預設的私鑰,第三方證書,或者使用者名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫,以及SSLv3/TLSv1協定。OpenVPN能在Linux,xBSD、Mac OS X與Windows 2000/XP上運作。
2 原理
OpenVpn的技術核心是虛拟網卡,其次是SSL協定實作:虛拟網卡是使用網絡底層程式設計技術實作的一個驅動軟體,安裝後在主機上多出現一個網卡,可以像其它網卡一樣進行配置。服務程式可以在應用層打開虛拟網卡,如果應用軟體(如IE)向虛拟網卡發送資料,則服務程式可以讀取到該資料,如果服務程式寫合适的資料到虛拟網卡,應用軟體也可以接收得到。虛拟網卡在很多的作業系統下都有相應的實作,這也是OpenVpn能夠跨平台一個很重要的理由。
在OpenVpn中,如果使用者通路一個遠端的虛拟位址(屬于虛拟網卡配用的位址系列,差別于真實位址),則作業系統會通過路由機制将資料包(TUN模式)或資料幀(TAP模式)發送到虛拟網卡上,服務程式接收該資料并進行相應的處理後,通過SOCKET從外網上發送出去,遠端服務程式通過SOCKET從外網上接收資料,并進行相應的處理後,發送給虛拟網卡,則應用軟體可以接收到,完成了一個單向傳輸的過程,反之亦然。
3 加密
OpenVPN使用OpenSSL庫加密資料與控制資訊:它使用了OpenSSL的加密以及驗證功能,意味着,它能夠使用任何OpenSSL支援的算法。它提供了可選的資料包HMAC功能以提高連接配接的安全性。此外,OpenSSL的硬體加速也能提高它的性能。
4 網絡
OpenVPN所有的通信都基于一個單一的IP端口,預設使用UDP協定通訊,同時TCP也被支援。OpenVPN連接配接能通過大多數的代理伺服器,并且能夠在NAT的環境中很好地工作。服務端具有向用戶端“推送”某些網絡配置資訊的功能,這些資訊包括:IP位址、路由設定等。OpenVPN提供了兩種虛拟網絡接口:通用Tun/Tap驅動,通過它們,可以建立三層IP隧道,或者虛拟二層以太網,後者可以傳送任何類型的二層以太網絡資料。傳送的資料可通過LZO算法壓縮。IANA(Internet Assigned Numbers Authority)指定給OpenVPN的官方端口為1194。OpenVPN 2.0以後版本每個程序可以同時管理數個并發的隧道。
OpenVPN使用通用網絡協定(TCP與UDP)的特點使它成為IPsec等協定的理想替代,尤其是在ISP(Internet service provider)過濾某些特定VPN協定的情況下。
在選擇協定時候,需要注意2個加密隧道之間的網絡狀況,如有高延遲或者丢包較多的情況下,請選擇TCP協定作為底層協定,UDP協定由于存在無連接配接和重傳機制,導緻要隧道上層的協定進行重傳,效率非常低下。
5 身份驗證
OpenVPN提供了多種身份驗證方式,用以确認連接配接雙方的身份,包括:
預享私鑰
第三方證書
使用者名/密碼組合
預享密鑰最為簡單,但同時它隻能用于建立點對點的VPN;基于PKI的第三方證書提供了最完善的功能,但是需要額外維護一個PKI證書系統。OpenVPN2.0後引入了使用者名/密碼組合的身份驗證方式,它可以省略用戶端證書,但是仍需要一份伺服器證書用作加密。
6 功能與端口
OpenVPN所有的通信都基于一個單一的IP端口,預設使用UDP協定通訊,同時也支援TCP。IANA(Internet Assigned Numbers Authority)指定給OpenVPN的官方端口為1194。OpenVPN 2.0以後版本每個程序可以同時管理數個并發的隧道。OpenVPN使用通用網絡協定(TCP與UDP)的特點使它成為IPsec等協定的理想替代,尤其是在ISP(Internet service provider)過濾某些特定VPN協定的情況下。
OpenVPN連接配接能通過大多數的代理伺服器,并且能夠在NAT的環境中很好地工作。
服務端具有向用戶端“推送”某些網絡配置資訊的功能,這些資訊包括:IP位址、路由設定等。
OpenVPN提供了兩種虛拟網絡接口:通用Tun/Tap驅動,通過它們,可以建立三層IP隧道,或者虛拟二層以太網,後者可以傳送任何類型的二層以太網絡資料。
傳送的資料可通過LZO算法壓縮。
7 安全
OpenVPN與生俱來便具備了許多安全特性:它在使用者空間運作,無須對核心及網絡協定棧作修改;初始完畢後以chroot方式運作,放棄root權限;使用mlockall以防止敏感資料交換到磁盤。
2. 實驗
三台虛拟機,一台當作用戶端,一台作為vpnserver,一台作為外網伺服器
1. vpn-server
1. 安裝軟體
yum install epel-*
yum install openvpn
yum install easy-rsa
2. 腳本路徑
cd /usr/share/easy-rsa/3.0.3/
[[email protected] 3.0.3]# ./easyrsa init-pki 初始化
3. ca證書和私鑰
[[email protected] 3.0.3]# ./easyrsa build-ca 建立ca
[[email protected] 3.0.3]# ls pki/
ca.crt certs_by_serial index.txt issued private reqs serial
[[email protected] 3.0.3]# ls pki/private/
ca.key
[[email protected] 3.0.8]# ls
easyrsa openssl-easyrsa.cnf x509-types
[[email protected] 3.0.8]# ./easyrsa init-pki
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /usr/share/easy-rsa/3.0.8/pki
[[email protected] 3.0.8]# ./easyrsa build-ca
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
Generating RSA private key, 2048 bit long modulus
................................+++
......................+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:vpn
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/usr/share/easy-rsa/3.0.8/pki/ca.crt
[[email protected] 3.0.8]# ls pki/
ca.crt index.txt.attr private revoked
certs_by_serial issued renewed safessl-easyrsa.cnf
index.txt openssl-easyrsa.cnf reqs serial
[[email protected] 3.0.8]# ls pki/private/
ca.key
4. vpnserver端 證書和私鑰
[[email protected] 3.0.3]# ./easyrsa build-server-full vpnserver 生成vpnserver.key
[[email protected] 3.0.3]# ls pki/private/
ca.key vpnserver.key
[[email protected] 3.0.3]# ls pki/issued/ vpnserver.crt證書
vpnserver.crt
[[email protected] 3.0.8]# ./easyrsa build-server-full vpnserver
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating a 2048 bit RSA private key
........+++
...................................................................+++
writing new private key to '/usr/share/easy-rsa/3.0.8/pki/easy-rsa-55880.hiVzH3/tmp.ymHZil'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /usr/share/easy-rsa/3.0.8/pki/easy-rsa-55880.hiVzH3/tmp.AsAAuN
Enter pass phrase for /usr/share/easy-rsa/3.0.8/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'vpnserver'
Certificate is to be certified until Mar 19 09:10:25 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
[[email protected] 3.0.8]#
# 填寫的密碼全是1234
[[email protected] 3.0.8]# ls pki/private/
ca.key vpnserver.key
[[email protected] 3.0.8]#
[[email protected] 3.0.8]# ls pki/issued/vpnserver.crt
pki/issued/vpnserver.crt
[[email protected] 3.0.8]# ls pki/issued/
vpnserver.crt
[[email protected] 3.0.8]#
[[email protected] 3.0.8]# ls -l pki/issued/
total 8
-rw-------. 1 root root 4531 Dec 14 17:10 vpnserver.crt
[[email protected] 3.0.8]# ls -l pki/private/
total 8
-rw-------. 1 root root 1766 Dec 14 17:07 ca.key
-rw-------. 1 root root 1834 Dec 14 17:10 vpnserver.key
5. 從VPNserver上配置client端的證書和私鑰
[[email protected] 3.0.3]# ./easyrsa build-client-full client1
[[email protected] 3.0.3]# ls pki/private/
ca.key client1.key vpnserver.key
[[email protected] 3.0.3]# ls pki/issued/
client1.crt vpnserver.crt
[[email protected] 3.0.3]#
[[email protected] 3.0.8]# ./easyrsa build-client-full client1
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating a 2048 bit RSA private key
.................................+++
...........+++
writing new private key to '/usr/share/easy-rsa/3.0.8/pki/easy-rsa-56043.8pf48z/tmp.TmcnGw'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /usr/share/easy-rsa/3.0.8/pki/easy-rsa-56043.8pf48z/tmp.wrLwiZ
Enter pass phrase for /usr/share/easy-rsa/3.0.8/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'client1'
Certificate is to be certified until Mar 19 09:15:19 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
[[email protected] 3.0.8]#
[[email protected] 3.0.8]# ls -l pki/private/
total 12
-rw-------. 1 root root 1766 Dec 14 17:07 ca.key
-rw-------. 1 root root 1834 Dec 14 17:15 client1.key
-rw-------. 1 root root 1834 Dec 14 17:10 vpnserver.key
[[email protected] 3.0.8]# ls -l pki/issued/
total 16
-rw-------. 1 root root 4403 Dec 14 17:15 client1.crt
-rw-------. 1 root root 4531 Dec 14 17:10 vpnserver.crt
[[email protected] 3.0.8]#
6. 生成字元檔案
[[email protected] 3.0.3]# ./easyrsa gen-dh
# 運作完上面的指令,終端會一直被占用
[[email protected] 3.0.3]# ls pki/dh.pem
pki/dh.pem
7. 配置vpnserver
[[email protected] 3.0.3]# cp pki/ca.crt pki/private/vpnserver.key pki/issued/vpnserver.crt /etc/openvpn/
[[email protected] 3.0.3]# cp pki/dh.pem /etc/openvpn/
[[email protected] openvpn]# cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn/
[[email protected] openvpn]# mv /etc/openvpn/server.conf /etc/openvpn/service.conf
[[email protected] ~]# vim /etc/openvpn/service.conf
[[email protected] ~]# grep '^[^#]' /etc/openvpn/service.conf
local 20.20.20.1 #公網通路位址
[[email protected] ~]# vim /etc/openvpn/service.conf
8. 修改相關配置資訊
port 1194 #端口
proto udp #協定
dev tap
;tun:點對點的裝置,tun裝置模拟網絡層裝置,處理三層封包,如IP封包。tun裝置完全不需要實體位址的。它收到和發出的包不需要arp,也不需要有資料鍊路層的頭。
;tap:是一個普通的以太網裝置,tap裝置模拟鍊路層裝置,處理二層封包,比如以太網幀。tap裝置需要有完整的實體位址和完整的以太網幀
;TUN用于路由,而TAP用于建立網橋。
ca ca.crt
cert vpnserver.crt
key vpnserver.key
dh dh.pem
server 10.8.0.0 255.255.255.0
#配置VPN使用的網段,OpenVPN會自動提供基于該網段的DHCP服務,但不能和任何一方的區域網路段重複,保證唯一server端ip預設會設為.1的位址
ifconfig-pool-persist ipp.txt
# 維持一個用戶端和virtual IP的對應表,以友善用戶端重新連接配接可以獲得同樣的IP
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push "route 192.168.2.0 255.255.255.0"
# 為用戶端建立對應的路由,以另其通達公司網内部伺服器 但記住,公司網内部伺服器也需要有可用路由傳回到用戶端
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway"
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
;client-to-client
duplicate-cn
keepalive 10 120
# 設定服務端檢測的間隔和逾時時間 每10秒ping一次,如果120秒沒有回應則認為對方已經down
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
# 使用lzo壓縮的通訊,服務端和用戶端都必須配置
max-clients 100
user nobody
group nobody
persist-key
persist-tun
# 重新開機時仍保留一些狀态
status openvpn-status.log
log openvpn.log
verb 3
# 設定日志要記錄的級别。0隻記錄錯誤資訊。4能記錄普通的資訊。5和6在連接配接出現問題時能幫助調試。9是極端的,所有資訊都會顯示,甚至連標頭等資訊都顯示(像tcpdump)
mute 20
# 相同資訊的數量,如果連續出現20條相同的資訊,将不記錄到日志中。
# explicit-exit-notify 1 # UDP協定開啟
9. 啟動vpn
[[email protected] openvpn]# systemctl start [email protected]
錯誤:
cat /etc/openvpn/openvpn.log
cat /var/log/messages
問題1:
配置檔案名稱必須為 service.conf
問題2:
#explicit-exit-notify 1 配置項必須是udp協定
問題3:
ta.kay 注釋掉
問題4:
由于ca.crt需要密碼問題,要重新啟動2次服務
2. 配置vpn client端
[[email protected] pki]# cd /usr/share/easy-rsa/3.0.3/pki
[[email protected] pki]# scp ca.crt private/client1.key issued/client1.crt client.com:/etc/openvpn/
[[email protected] openvpn]# cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/client.conf /etc/openvpn/
[[email protected] openvpn]# vim /etc/openvpn/client.conf
[[email protected] openvpn]# grep '^[^#]' /etc/openvpn/client.conf
1. 修改配置檔案
client
dev tap
;tun:點對點的裝置,tun裝置模拟網絡層裝置,處理三層封包,如IP封包。tun裝置完全不需要實體位址的。它收到和發出的包不需要arp,也不需要有資料鍊路層的頭。
;tap:是一個普通的以太網裝置,tap裝置模拟鍊路層裝置,處理二層封包,比如以太網幀。tap裝置需要有完整的實體位址和完整的以太網幀
;TUN用于路由,而TAP用于建立網橋。
;dev-node MyTap
proto udp
remote 172.25.3.31 1194 //撥号位址
;remote-random
nobind
user nobody
group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client1.crt
key client1.key
;ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
mute 20
2. 啟動
[[email protected] openvpn]# openvpn --config /etc/openvpn/client.conf --askpass /etc/openvpn/passwd.txt --daemon
3. 把openvpn的私鑰密碼去掉
openssl rsa -in vpnserver.key -out vpnserver.key
4. 把client的私鑰密碼去掉
openssl rsa -in client1.key -out client1.key
openvpn --config /etc/openvpn/client.conf --daemon
在windows下使用vpn進行登入
上ftp上下載下傳Windows版本的openvpn,安裝
重新使用指令生成一個新的client證書密鑰,然後從虛拟機上傳到Windows機器上,
[[email protected] 3.0.8]# ls
easyrsa openssl-easyrsa.cnf pki x509-types
[[email protected] 3.0.8]# cd pki/
[[email protected] pki]# ls
ca.crt index.txt index.txt.old private revoked serial.old
certs_by_serial index.txt.attr issued renewed safessl-easyrsa.cnf
dh.pem index.txt.attr.old openssl-easyrsa.cnf reqs serial
[[email protected] pki]# sz ca.crt
[[email protected] pki]#
[[email protected] pki]# cd private/
[[email protected] private]# ls
ca.key client1.key client2.key vpnserver.key
[[email protected] private]# sz client2.key
[[email protected] private]#
[[email protected] private]#
[[email protected] private]# cd ../issued/
[[email protected] issued]# ls
client1.crt client2.crt vpnserver.crt
[[email protected] issued]# sz client2.crt
将用戶端的配置檔案傳至windows上,修改配置檔案,将client1修改為client2
然後将導到windows是上的整數和密鑰拷貝至openvpn config目錄下。以管理者身份運作。
測試效果:打開xshell的新終端,可以直接通過xshell ssh連結server 10.10.10.100/24
3. vpn密碼認證
1. Linux虛拟機上
1. vim /etc/openvpn/server.conf 添加以下内容
#########auth password########
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
client-cert-not-required
username-as-common-name
#verify-client-cert none
script-security 3
##############################
以上三行的内容分别表示:指定使用者的認證腳本;不請求客戶的CA憑證,使 用User/Pass驗證,如果同時啟用證書和密碼認證,注釋掉該行;使用客戶提供 的UserName作為Common Name
2. vim /etc/openvpn/checkpsw.sh
添加以下内容
#!/bin/sh
########################################################
# checkpsw.sh (C) 2004 Mathias Sundman <[email protected]>
#
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
########################################################
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username= \"${username}\"." >> ${LOG_FILE}
exit 0
fi
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE} exit 1
[[email protected] openvpn]# ll checkpsw.sh
-rwxr--r-- 1 root root 1191 Sep 17 23:52 checkpsw.sh
[[email protected] openvpn]# chmod u+x checkpsw.sh
[[email protected] openvpn]# chown nobody.nobody checkpsw.sh
3. 建立使用者名、密碼的清單檔案:/etc/openvpn/psw-file
檔案的格式:使用者名<Tab>密碼
user1 pass
user2 pass
[[email protected] openvpn]#chmod 400 /etc/openvpn/psw-file
[[email protected] openvpn]#chown nobody.nobody /etc/openvpn/psw-file
4. 修改vpn用戶端的配置檔案
一是注釋掉 (當然也可以不注釋證書加密)
;cert client1.crt
;key client1.key
二是增加驗證時詢問使用者名和密碼
auth-user-pass
注:當服務啟動後沒有出現IP解決方法:
将openvpn關閉systemctl stop [email protected]
然後重新開機systemctl restart [email protected]
如果ip還沒有出現,則使用reset指令
然後在檢視ip
2. windows端的配置
用戶端的配置檔案注釋掉以下兩行,然後重新開機openvpn進行輸入使用者密碼登入成功,可以使用xshell本地直接進行連接配接。
cert client1.crt
key client1.key
安裝WidnowsVPN用戶端
1、 從http://openvpn.se/files/上下載下傳與openvpn伺服器版本一緻的Windows 用戶端“OpenVPN GUI For Windows” a) 例如, 伺服器裝的是 OpenVPN 2.09, 那麼下載下傳的 OpenVPN GUI fow windows應該是: openvpn-2.0.9-gui-1.0.3-install.exe
2、 執行openvpn-2.0.9-gui-1.0.3-install.exe。一切采用預設設定。
3、 将ca.crt、client1.crt、client1.key複制到C:\Program Files\OpenVPN \config。(不同使用者使用不同的證書,每個證書包括.crt和.key兩個檔案,如 client2.crt和client2.key)
4、 在/root/openvpn-2.0.9/sample-config-files/client.conf 的基礎上建立客戶 端配置檔案,改名為C:\Program Files\OpenVPN\config\client.ovpn,即先在服務 器上建立配置檔案,然後再上傳改名到客戶機上。
a) proto udp改成proto tcp
b) remote那行改成 192.168.1.103 1194
c) ca那3行改為
ca ca.crt
cert client1.crt
key client1.key
d) 注釋掉comp-lzo 連接配接:在右下角的openvpn圖示上右擊,選擇“Connect”。正常情況下應該能 夠連接配接成功,配置設定正常的IP
3. 擴充内容
1. 二層網絡和三層網絡差別
二層、三層是按照邏輯拓撲結構進行的分類,并不是說ISO七層模型中的資料鍊路層和網絡層,而是指核心層,彙聚層和接入層,這三層都部署的就是三層網絡結構,二層網絡結構沒有彙聚層。
1、二層網絡僅僅通過MAC尋址即可實作通訊,三層網絡需要通過IP路由實作跨網段的通訊,可以跨多個沖突域。
2、二層網絡的組網能力非常有限,一般是小區域網路;三層網絡則可以組大型的網絡。
3、二層網絡基本上是一個安全域,也就是說在同一個二層網絡内,終端的安全性從網絡上來講基本上是一樣的,除非有其他特殊的安全措施;三層網絡則可以劃分出相對獨立的多個安全域。
4、很多技術相對是在二層區域網路中用的多,比如DHCP、windows提供的共享連接配接等,如需在三層網絡上使用,則需要考慮其他裝置的支援(比如通過DHCP中繼代理等)或通過其他的方式來實作。
三層交換機和二層交換機:
普通的交換機是二層交換機,二層交換機隻識别MAC位址,不識别IP位址(IP位址由電腦負責轉換),不能路由,是以叫二層交換機。
三層交換機不但能識别MAC位址,還能把MAC位址中的IP位址識别出來,進行路由。
2. 核心層,彙聚層和接入層
接入交換機一般用于直接連接配接電腦,彙聚交換機一般用于樓宇間。彙聚相對于一個局部或重要的中轉站,核心相當于一個出口或總彙總。接入層目的是允許終端使用者連接配接到網絡,是以接入層交zd換内機具有低成本和高端口密度特性。
彙聚層交換層是多台接入層交換機的彙聚點,它必須能夠處理來自接入層裝置的所有通信量,并提供到核心層的上行鍊路,是以彙聚層交換機與接入層交換機比較,需要更高的性能,更少的接口和更高的交換速率。容
核心層的主要目的在于通過高速轉發通信,提供優化,可靠的骨幹傳輸結構,是以核心層交換機應擁有更高的可靠性,性能和吞吐量。