收藏：全解以太网交换机知识

交换机（Switch），就是进行数据交换的机器，任何数据的相互转发都可以称之为数据交换，网络数据经过交换可以到达指定的端口。

而交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。意思是说交换机可以“学习”MAC地址，并将其存放在内部地址表中，通过在帧的始发者和接受者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

顾名思义就是当网络设备（如路由器、上层交换机）端口不够使用时，可以扩展端口。

在设备间使用交换机延长传输距离。

常用的交换机分类主要是按照两种分类方法：

可划分为：非网管交换机、网管交换机。主要区别在对于高级网络管理功能的支持。

网管型交换机以基于交换地址的不同而分为二层和三层。

二层交换机是基于MAC地址进行数据转发的交换设备，它位于OSI模型的第二层——数据链路层；

三层交换机可以基于IPC地址进行交换，即OSI模型的第三层——网络层。

通过浏览器访问交换机的Web配置页面对交换机进行各项功能的设置和管理。WEB管理方式简单、方便、易操作，适合各类交换机管理人员。

CLI（Command-Line Interface，命令行界面）管理，即通过终端工具访问交换机的命令行界面对交换机进行各项功能的设置和管理。

CLI管理有多种实现方式，常见的主要有以下三种：

CLI管理方式相对而言比较复杂、不易操作，但比较高效，适合专业网络管理人员。

SNMP（Simple Network Management Protocol，简单网络管理协议）是一组协议和服务。SNMP管理能够让网络管理员在网络上的任何节点进行设备信息查询、修改，寻找故障节点，完成故障诊断。

SNMP管理便于获取整个网络的拓扑信息和故障排查，适合管理中大型的网络。

TP-LINK具有丰富的核心层、汇聚层、接入层交换机系列，适合各大酒店、校园、工厂、宿舍及中小型企业组建经济、高效、稳定的一体化网络解决方案。

①三层网管交换机

● 支持静态路由、动态路由功能
● 完备的网络安全接入策略
● 丰富的VLAN特性
● 多层次、多元化的访问控制策略

如TL-SH7428、TL-SG6428Q、TL-SG5428……

②二层网管交换机

● 全面的安全防护体系
● 多层次的访问控制策略
● 安全的网络管理和维护

例如TL-SG3428、TL-SG2224P……

③非网管交换机

● 不同端口速率满足不同使用环境
● 即插即用，无需管理，可上机架
例如：TL-SG1226、TL-SG1016T……

①中小型交换网络
中小型交换网络的特点：
● 网络结构简单
● 接入终端数量多，一般在100-500个左右
● 需要划分多个网段，不同VLAN不同网段

②大中型交换网络
大中型交换网络的特点：
● 网络结构复杂，需要冗余备份
● 接入终端数量较多，一般超过500个
● 需要划分多个网段，不同VLAN不同网段

②城域网

城域网属于城市骨干网络，覆盖面广，接入方式多样，承载了大量的数据转发业务。除了基础的数据转发以外，还要支持三层服务质量控制（QoS）、MPLS VPN等。

VLAN（Virtual Local Area Network，虚拟局域网），逻辑上将设备隔离成不同局域网，不受物理线路的限制。不同VLAN之间互相隔离

优点

• ①、有效控制广播域范围；

• ②、增强局域网的安全性；

• ③、灵活构建虚拟局域网。

端口隔离功能可以限制一个端口到其他端口的数据转发。

端口隔离可以实现基于端口用户的控制，避免不必要的网络流量转发，提升网络的稳定性。

端口隔离可以灵活限制同一个VLAN下的不同端口之间的通信。

应用背景：核心链路网络带宽不足，容易造成交换网络拥塞，影响整体网络的稳定性。

应用场景：

注：应用端口汇聚功能时，一定要先配置好交换机再连接线路，防止形成环路。

典型环路场景： 

设备或者网络环路会加剧广播风暴，影响整个网络的数据转发性能，严重的甚至会导致整个交换网络陷入瘫痪。

处理方法：

交换机检测到端口存在自环路时，需要对此端口进行相关处理。

• ①、警告：当检测到端口出现环路时，只发送告警信息，不对该端口进行其他任何处理。

• ②、阻塞端口：当检测到端口出现环路时，除了发送告警信息以外，还会阻塞该端口，使其不能收发报文。

ACL（Access Control List，访问控制列表）通过配置报文的匹配规则和处理方式，来实现对数据包的过滤功能，从而有效防止非法用户对网络的访问。

在交换机中，ACL功能可以在设定的时间范围内对数据包的L2-L4层的相关协议字段进行匹配。 

CL根据不同过滤字段分为以下三类：MAC ACL、标准IP ACL和扩展IP ACL。

• ①、MAC ACL：MAC ACL根据数据包的源MAC、目的MAC、VLAN、二层协议类型等二层信息制定匹配规则，对数据包进行相应的分析处理。

• ②、标准IP ACL：标准IP ACL根据数据包的源IP、目的IP地址信息制定匹配规则，对数据包进行相应的分析处理。

• ③、扩展IP ACL：扩展IP ACL根据数据包的源IP、目的IP、IP承载的协议类型、协议的特性等信息来制定匹配规则，对数据包进行相应的分析处理。

ARP欺骗是指利用ARP协议的漏洞，发送虚假的ARP请求报文或者响应报文，欺骗局域网中的其他主机，以此来获取被攻击主机的流量信息。

IP源防护是指交换机通过四元绑定的条目来验证数据包的源IP地址或者源IP+源MAC地址，与绑定条目不匹配的数据包将被丢弃，以此来防止非法主机伪造IP地址访问网络，保证局域网通信的安全。

现实的网络环境中，经常有遇到一种情况：主机自动获取到IP参数了，但是却上不了网。此时，就需要考虑一个问题：给主机分配地址的DHCP服务器是否合法？

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议），是一种能够为网络中的主机分配TCP/IP参数的应用层协议。

DHCP基于C/S模型，三层交换机支持充当DHCP Server的角色。

DHCP服务器为不同VLAN的主机分配各自网段的IP参数。

动态路由：无需手动配置，通过路由协议自动学习生成的路由条目。

常见的路由协议有RIP、OSPF等。

静态路由设置简单，但维护麻烦，比较适合小型交换网络。

动态路由能够自动发现和计算路由，适合大中型的复杂交换网络。