交换机

1.路由器收到二层报文，怎么处理？按收到二层报文是单播、组播、广播来分析 （1）若收到一个二层单播帧，对于路由器来讲，是一个三层设备，当然兼具二层的功能，所以当收到一个单播帧的时候，要判断这个帧的目的mac地址是不是 接口的mac地址，如果是，解封装去看三层的ip地址，再看三层目的ip地址是不是接口的ip地址，如果是，交给接口处理，如果不是，去查找路由表，去 重新去做一个二层帧的封装，继续往下查找。如果目的mac不是接口的mac地址，直接丢掉。 （2）若收到一个二层广播帧，那么是arp广播，它就会解封装，看arp信息里请求的ip地址是谁，如果说请求里的是路由器所在接口的IP地址，一定会去响应； 如果说请求的IP地址不是路由器接口的IP地址，同时路由器没有开启ARP代理，一定会丢弃，如果ARP请求的不是路由器接口的，是后面的网段，并且开启 了ARP代理，路由器去判断有没有去往目标网段的路由，如果有，就去做代理。 （3）若收到一个二层组播帧，要看路由器的接口有没有加入这个组，缺省情况下，路由器接口加入了224.0.0.1、224.0.0.2（使能了组播功能就加入了），如果 路由器接口没有加入到这个组播组，那么丢弃。 2.三层交换机收到二层报文，怎么处理？按收到二层报文是单播、组播、广播来分析 （1）若收到一个二层单播帧，三层交换机需要配置一个vlan interface接口

Vlan是虚拟局域网。用途是在二层可以隔离广播域，从而提高数据传输的效率。 在不同的网络端口划分了Vlan时，二层的数据转发的仅能在同一个vlan下进行通信。从而实现了即使在同一个网段下的广播消息隔离。 为什么要使用vlan隔离广播域，可以先了解下以太网的冲突域与广播域 冲突域 CSMA/CD是以太网采用了随机访问控制协议的带有冲突检测的载波侦听多址访问方法作为多路访问控制协议。形象的说，在此方法下每个接入网络的人都有发送消息的权利，但在同一时间只能有一个人占当前的线路，否则会发生混乱，因此每个人需要在发生前进行载波侦听（是否有人正在占线），如果有则需要等待后才可以发送消息。当两端同时发生冲突时，则会发生冲突检测，会话终止并随机等待一段时间后再开始的判断。 因此，在同一个网络介质下的多个节点按照以上方式进行共享链路带宽的传输任务。而当冲突发生时网络进行随机一段时间的等待（称为回退），此时不进行传输。而当链路中的节点越多冲突的发生概率就会更大，无法保证通信质量。将连在同一介质下的所有节点集合，称作冲突域。此时，总线型的网络方式就不够合适了，于是引入了二层交换机。 二层交换机，工作在数据链路层，是基于MAC地址的基础上对数据包的转发。内部的ASIC的芯片来实现硬件转发。二层交换机的端口发送和接受数据独立，从而可以将各端口归属于不同的冲突域，从而有效的隔离了冲突。 广播域

OVS简介 　　OpenvSwitch ，简称 OVS 是一个虚拟交换软件，主要用于虚拟机 VM 环境，作为一个虚拟交换机，支持 Xen/XenServer, KVM, and VirtualBox 多种虚拟化技术。虽然是虚拟交换机，但是其工作原理与物理交换机类似。在虚拟交换机的实现中，其两端分别连接着物理网卡和多块虚拟网卡，同时虚拟交换机内部会维护一张映射表，根据 MAC 地址寻找对应的虚拟机链路进而完成数据转发。 　　OpenvSwitch 是实现虚拟化网络的重要基础组件，在 OpenStack 中利用 OpenvSwitch 作为底层部件来完成虚拟网络提供和租户网络管理。 OpenvSwitch 可以实现访问控制功能，通过转发规则，可以实现简单的安全行为，包括通过、禁止等。 OVS组件 ovsdb-sever: OVS 的数据库服务器，用来存储虚拟交换机的配置信息。它于 manager 和 ovs-vswitchd 交换信息使用了 OVSDB(JSON-RPC) 的方式。 ovs-vswitchd: OVS 的核心部件，实现 switch 的 daemon ，包括一个支持流交换的 Linux 内核模块；和上层 controller 通信遵从 OPENFLOW 协议，与 ovsdb-server 通信使用 OVSDB 协议，和内核模块通过 netlink 通信，支持多个独立的

网络组： 将多个网卡聚合在一起，从而实现冗错和提高吞吐量  网络组不同于旧版中bonding技术，提供更好的性能和扩展性  网络组由内核驱动和teamd守护进程实现. 有以下不同方式：runner 1.roundrobin 【mode 0】轮转策略 (balance-rr) 特点： 1）从头到尾顺序的在每一个slave接口上面发送数据包，轮询方式往每条链路发送报文，基于per packet方式发送。服务上ping 一个相同地址：1.1.1.1 双网卡的两个网卡都有流量发出。负载到两条链路上，说明是基于per packet方式 ，进行轮询发送。 2）提供负载均衡和容错的能力，当有链路出问题，会把流量切换到正常的链路上。 交换机端需要配置聚合口 2.activebackup【mode 1】活动-备份（主备）策略 特点： 一个端口处于主状态 ，一个处于从状态，所有流量都在主链路上处理，从链路不会有任何流量。当主端口down掉时，从端口接手主状态。 不需要交换机端支持 3.loadbalance【mode 2】限定流量 特点： 该模式将限定流量，以保证到达特定对端的流量总是从同一个接口上发出。既然目的地是通过MAC地址来决定的，因此该模式在“本地”网络配置下可以工作得很好。 如果所有流量是通过单个路由器（比如 “网关”型网络配置，只有一个网关时，源和目标mac都固定了

20199301 2019-2020-2 《网络攻防实践》 第四周作业 一、实践内容 1、网络嗅探 网络嗅探技术定义：网络嗅探（Sniff）是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的内容进行监听类似，网络嗅探利用计算机的网络接口目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。 网络嗅探技术与工具分类：按照所监听的链路层网络进行分类，以太网（Ethernet）与Wi-Fi是目前有线局域网（Local Access Network，LAN）与无线局域网（Wireless Local Access Network，WLAN）最流行的链路层协议，也是目前的网络嗅探器主要监听对象。按照实现形式分为软件嗅探器和硬件嗅探器两种。 2、网络嗅探的原理 以太网工作原理：共享通信信道，它采用了载波侦听/冲突检测技术(CSMA/CD)避免共享链路的通信冲突。以太网中传输的数据是以“帧”为单位，帧头中包含发送源和目标的MAC地址。共享信道中，网卡在收到数据时只会收到与网卡自身的MAC地址匹配的数据。 共享式网络嗅探：主要是用集线器（Hub）连接，其网络拓扑是基于总线方式，物理上是广博的。 交换式网络嗅探：主要是用交换机组建，所以数据帧都通过交换机进行数据转发。 MAC地址洪泛攻击；是指向交换机发送大量含有虚构MAC地址和IP地址的数据包，致使交换机的

学习总结 Sniffer（嗅探器） 嗅探器是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫做杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在HUB下就能接收到这个网段的所有包，但是交换机下就只能是自己的包加上广播包。 要想在交换机下接收别人的包，那就要让其发往你的机器所在口。交换机记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换机维护一个物理口与MAC的表，所以可以欺骗交换机的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换机就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以Sniffer到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。

ACL的inbound/outbound都是对交换机而言 inbound是从外向交换机方向的流量,outbound是交换机发往外部的流量. 以连接服务器的GE0/0/2端口来说,inbound是服务器到交换机的流量,outbound则是交换机到服务器的流量. END 来源： https://www.cnblogs.com/leoshi/p/12563711.html

双绞线 包含直通线、交叉线、全反线（console线） 直通线 （straight-through）：不同设备的连接使用直通线， 计算机（PC）—交换机（Switch） 交换机（Switch）—路由器（Router） 交叉线 （crossover）：相同设备的连接使用交叉线 计算机（PC）—计算机（PC） 交换机（Switch）—交换机（Switch） 路由器（Router）—路由器（Router） 全反线 （rollover）：配置路由器或者交换机使用线，通常只有2米 同轴电缆 由于双绞线的普遍应用，制作成本高，目前很少使用 光纤 传输距离长，速率高（千兆），抗干扰强，所以是高安全网络的理想选择 无线网络 采用微波、红外线传输。 来源： https://www.cnblogs.com/unixcs/p/12558603.html

如果你拥有了交换机的控制权限，就可以检查这个交换机是否支持端口镜像。如果支持这个功能，就无需对网络进行任何线路上的改动。简单来说，端口镜像就是将交换机上一个或者几个端口的数据流量复制并转发到某一个指定端口上，这个指定端口被称为“镜像端口”（如图所示）。目前很多交换机都具备了端口镜像的功能。例如我们就可以将其中的一个端口设置为“镜像端口”，然后需要监视的流量都转发到这个镜像端口，这样我们将监控的计算机A连接到这个端口就可以对目标进行监控了。图中给出了一个端口镜像的实例。 交换机端口监听、交换机端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。 如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过PC上安装的网络分析软件来查看， 科来网络分析系统 通过对数据的分析就可以实时查看被监视端口的情况。如下图所示： 参考： 《wireshark网络分析从入门到实践》 http://www.colasoft.com.cn/support/port_mirroring.php 来源： https://www.cnblogs.com/cyx-b/p/12556928.html

RYU 灭龙战 third day 前言 传统的交换机有自学习能力。然而你知道在SDN的世界里，脑子空空的OpenFlow交换机是如何学习的吗？今日说法带你领略SDN的mac学习能力。 RYUBook 从中学习 场景描述 传统交换机原理 学习连接到传统交换机的主机的mac地址，并把其存在mac地址表中 对于已经记录下来的mac地址，若是收到送往该mac地址的数据包时，就往对应的端口进行转发 对于mac地址表中没有的数据包，则进行flooding OpenFlow交换机实现传统交换机功能 对于接收到的数据包针对指定的端口转发 把接收到的数据包发送给控制器（Packet-In) 把从控制器接收到的数据包转发到指定的端口（Packet-Out) 图示 1.初始状态 mac地址表和交换机的流表均为空的表项 2.Host A -> Host B 当Host A 向 Host B 发送数据包时。这个时候会出发PacketIn消息。Host A的mac地址以及对应的端口会记录到mac地址表内。然后由于Host B的mac不在mac地址表内，此时会flooding 3.Host B -> Host A 数据包从host B回复给Host B时，在Flow table上新增一条流表，讲数据包转发给端口1 4.Host A -> Host B 再次由主机A向主机B发送数据包，新增流表