切换与配置

交换机是一种独立的硬件设备，用于将多台计算机连接到一个局域网中。在OSI模型中，网络交换机处于第二层（数据链路层）。

• 基于MAC地址，交换机被用来转发数据包。
• 这个开关使得被指定的设备能够接收数据。
• 在正确路由数据包之前，它会先检查目标地址。
• 采用全双工操作方式。
• 由于发送端和接收端是直接进行通信的，因此数据包冲突的情况非常少。
• 由于其带宽有限，因此它无法播放该消息。

切换

当人们从自己所在位置以外的地点，通过互联网或其他计算机网络进行通信时，信息就会通过传输介质在网络上传递。而“切换”则是指将数据在计算机网络之间传输的过程。

以太网

连接到同一以太网段的设备通常会在局域网中使用这种通信方式，以监听网络中的媒体信息，从而判断是否可以发送数据，或者是否需要等待。交换机允许多个设备同时访问媒体资源，而集线器则只允许一个设备同时广播数据。在以太网通信中，有三种不同的数据传输方式：单播、多播和广播。

• 单播在单播传输中，只有一位发送方和一位接收方。在单播传输过程中，数据帧通常是从一个节点发送到特定的目标地址的。这是现代局域网中最常见的通信方式，尤其是在使用HTTP、Telnet等基于互联网的协议时。
• 多播在组播通信过程中，发送方通常会向以太网段上的多个节点发送帧。例如，在电话会议中，一个用户可能需要同时与另外三个用户进行通信。在这种情况下，就会发送组播消息。
• 广播/播放在广播传输中，通常会将一帧数据发送给所有存在的局域网设备。如果传输的数据是面向大量观众的，那么这种通信方式也是非常有用的。

处理/解决

物理地址，通常就是MAC地址，是以太网中使用的地址类型。用于传输帧的地址就是这种地址。当从网络层接收到数据包时，就会生成这些帧。在这个过程中，需要包含源地址和目的地址等信息。

MAC地址

• MAC地址是以太网中使用的地址，它由48位组成，这些位用十六进制数字来表示。
• 在讨论第三层地址分配时，我们指出，IP地址被分为两个部分：网络部分和服务端部分。MAC地址同样也被分为两部分。
  • OUI（组织唯一标识符）
  • 这个数字是由供应商提供的。
• MAC地址的前24位构成了OUI代码。通常，这个代码是由IEEE分配给某个特定供应商的。例如，Cisco交换机的OUI代码就是0009.7C。
• 对于特定设备来说，供应商通常会为接下来的24位分配一个数字。这一数字使得该设备的硬件具有了独特的身份特征。
• 完整的MAC地址通常会被永久地硬编码在交换机的电路结构中。

以太网中的操作模式

以太网网络有两种工作模式。其中，双工模式决定了通信是单向还是双向进行。双工模式有两种：半双工和全双工。

•  半双工模式在这种通信方式中，数据传输只能是单向的。因此，设备只能发送或接收数据中的一种，而无法同时完成这两种操作。这种通信方式在hub网络较为常见的时代被广泛使用。例如，对讲机就属于这种通信方式，因为在这种通信方式下，用户只能同时进行其中一种操作：说话或听对方说话。CSCMA/CD则用于减少冲突现象，因为在半双工通信方式下，冲突是很有可能发生的。
• 全双工模式双向数据流动成为可能，这意味着使用这种模式的设备可以同时发送和接收帧。这通常是现代交换机默认的运作模式。出现冲突的情况非常少。

MAC地址表

路由器所做的路由决策是基于路由表中的数据的。同样地，交换机也包含地址数据库。MAC地址表则是一种用于确定帧的发送方向和目的地的数据库。当交换机想要转发一个帧时，就会使用这个数据库来识别帧的发送者和接收者。以下是交换机在转发帧时所执行的步骤。

1. 该交换机从某个端口接收到了该帧。
2. 如果接收到该帧的源端口存在，那么交换机会进行验证。如果不存在这样的源端口，那么交换机就会将该源MAC地址添加到自己的MAC地址表中。
3. 然后，交换机会判断其MAC地址数据库中是否包含该帧的目标端口。如果不存在这样的端口，那么就会将该帧广播到所有端口上，除了接收该帧的端口之外。
4. 当目标节点进行响应时，该交换机会将MAC地址添加到MAC地址数据库中。此后，与该节点的任何通信都将采用单播方式，而不是广播方式。

配置交换机

所包含的多种配置模式包括：接口配置、全局配置模式、特权执行模式、用户执行模式，以及另外几种具体的配置模式。在这里，我们将设置交换机的一些基本参数。

• 主机名
• 密码和横幅
• IP地址管理
• 双工模式的设置
• VTY线路和控制台线路。

我们所使用的配置拓扑结构如下所示。

在这个拓扑结构中，我们有1个交换机和2台主机。我们将使用控制台线来配置交换机。请按照以下步骤在Packet Tracer或物理实验室中创建这个拓扑结构：

主机名、控制台与VTY线路、横幅信息以及密码信息

与Catalyst系列交换机这类较旧的交换机不同，CISCO IOS则被广泛应用于像CISCO 2960这样的现代交换机上。为了在SWITCH 1命令行界面中设置各种参数，我们必须切换到全局配置模式。请输入以下命令来进入该模式。

Switch>enable
Switch#configure
terminal

说明：

虽然第二个命令“configure terminal”可以让我们进入全局配置模式，但第一个命令则允许我们进入特权访问模式。

首先，我们需要在全局配置模式下将交换机的主机名从“switch”更改为“SWITCH_1”。可以通过输入命令“hostname <SWITCH_HOSTNAME>”来实现这一操作。

在我们的场景中，该命令如下所示。

Switch(config)#hostnameSWITCH_1

当执行此命令时，提示符会从 “switch(config)#” 变为 “SWITCH_1(config)#”。

接下来，需要配置五条Telnet线路的设置，包括密码、超时时间以及日志记录方式等。两条线路上的密码都设置为“cisco”，超时时间则设定为15分钟。

SWITCH_1(config)#line console 0
SWITCH_1(config-line)#password cisco
SWITCH_1(config-line)#login
SWITCH_1(config-line)#logging synchronous
SWITCH_1(config-line)#exec-timeout 15 0
SWITCH_1(config-line)#exit
SWITCH_1(config)#line vty 0 4
SWITCH_1(config-line)#password cisco
SWITCH_1(config-line)#login
SWITCH_1(config-line)#logging synchronous
SWITCH_1(config-line)#exec-timeout 15 0
SWITCH_1(config-line)#exit

说明：

当命令记录功能处于同步状态时，打字过程中出现的多余消息就会停止显示，从而不会干扰到命令的执行。

当有人试图访问该交换机时，会弹出一个带有通知信息的横幅。我们已经讨论过一些可能影响到管理员是否选择使用这种横幅的因素。在这种情况下，我们将使用通过以下命令设置的MOTD横幅：

Banner motd#<MESSAGE>#

消息的开头和结尾都用井号来表示。在这种情况下，将会使用“WARNING. AUTHORIZED ACCESS ONLY!!!”这条消息。该消息是通过SWITCH_1来配置的，具体命令如下：

SWITCH_1(config)#Banner 
motd# WARNING. 
AUTHORIZED ACCESS ONLY!!!#

在配置路由器时，我们发现，为了能够远程访问路由器，需要使用IP地址。与PC类似，交换机也需要配置IP地址、子网掩码以及默认网关。IP地址的作用就是用来控制交换机的运行。

• Cisco交换机默认情况下会将VLAN 1设置为管理VLAN。不过，建议不要保持这一设置不变，因为这样做可能会带来安全风险。
• 我们必须创建一个管理VLAN，并为其分配一个管理IP地址，这样就能通过管理界面来管理和控制交换机了。在我们的情况下，我们将使用VLAN 99，并将其分配为IP地址192.168.99.1，从而可以实现对交换机的远程Telnet管理。
• 为了使交换机能够访问来自远程网络的流量，我们还需要配置默认网关。
• 在我们的场景中，默认网关为 192.168.1.1。

我们执行以下步骤来配置管理界面。

注意：SVI（交换式虚拟接口）是通过使用“interface VLAN”命令来配置的。

步骤1：将VLAN 99设置为管理VLAN接口。我们将使用以下命令：

SWITCH_1(config)#interface vlan 99

步骤2：使用“no shutdown”命令来激活该接口，使其在获得IP地址和子网掩码后处于活动状态。

SWITCH_1(config-if)#ip address 192.168.99.1 255.255.255.0
SWITCH_1(config-if)#no shutdown
SWITCH_1(config-if)#exit

步骤3：我们必须将其中一个交换机接口连接到VLAN 99管理VLAN上，如下所示。

SWITCH_1(config)#interface fa0/5
SWITCH_1(config-if)#switchport mode access
SWITCH_1(config-if)#switchport access vlan 99
SWITCH_1(config-if)#end
SWITCH_1#copy runing-config startup-config

命令“IP default-gateway IP address”用于设置IP默认网关，这样，通往远程网络的流量就可以被重新定向。该命令的执行方式如下：在这种情况下，使用IP地址192.168.1.1作为默认网关来设置默认网关。

SWITCH_1(config)#ip default-gateway 192.168.1.1

根据这一安排，所有联网的设备都应该能够在不进行任何额外配置的情况下相互通信。

双工设置

双工模式决定了通信是单向还是双向进行。在Cisco交换机上，默认情况下，双工模式被设置为自动模式。因此，如果其中一方使用半双工模式，那么该端口也会采用半双工模式。

该交换机的端口可以被硬编码为仅使用全双工模式，因为这是推荐的做法。所需的命令可以在交换机的接口配置模式下实现，如下所示。

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#duplex<full>

港口安全

交换机容易受到各种攻击，其中包括：

• MAC地址泛洪：在这种攻击方式中，通常会使用某个节点来允许对交换机的访问。 之后，他们使用某种设备来向交换机发送虚假的源MAC地址。 MAC地址会被添加到mac地址表中。不过，该表只能存储有限数量的MAC地址，这样才能确保交换机的正常运作。 当该数据库已满时，交换机就会开始以集线器的方式工作，即将所有帧从端口中发送出去。这样一来，交换机就无法再使用单播方式来转发流量了。 这意味着，网络中每个节点的每一帧数据都可以被攻击者看到。
• MAC地址欺骗：在这次攻击中，黑客假装成DHCP服务器，回复一个地址。通过这种方式，他们能够查看来自某个特定节点的流量情况，而合法客户端则继续向该服务器请求地址。
• 其他常见的袭击行为可能会针对 CDP、Telnet 或其他可能被交换机利用的技术缺陷进行攻击。

防御此类攻击的一种方法是使用端口安全功能。在启用交换机之前，所有的端口或接口都应被保护起来。能够使用某个端口的合法MAC地址数量是由端口安全功能来限制的。

保护 Cisco 交换机的一种方法是使用端口安全功能。采用端口安全功能的以下配置方式，能够有效地保护交换机的安全。

1. 使用静态配置的MAC地址意味着需要将在交换机上每个端口对应的用户节点的MAC地址硬编码到该端口中，从而将某个端口分配给特定的用户节点。这意味着只有那些具有与配置一致的MAC地址的设备才能进行通信。这是一种很好的安全机制。不过，考虑到网络的规模，将客户端的MAC地址配置到交换机上可能会带来巨大的管理负担。
2. 确保交换机安全的一种有效方法是使用动态安全的MAC地址。用户节点的MAC地址会被交换机端口所捕获并存储起来。
3. sticky MAC地址可以用来确保只有那些被动态获取到的MAC地址才能使用该交换机。由于这些地址被保存在交换机的运行配置文件中，因此当重新启动后，这些地址就会丢失。
4. 还可以指定一个特定端口可以使用的MAC地址的最大数量。这是一种有效的防止MAC地址欺骗的方法。