交换机

H3C S5024P 交换机第二次 vlan 实验 实验1 与交换机端口G0/1和G0/2相连的PC1与PC2属于VLAN 1，与G0/3和G0/4相连的PC3和PC4属于VLAN 2，PC1、PC2、PC3、PC4在相同的网段。要求PC1、PC2之间能够互相通信，PC3、PC4之间能够互相通信，PC1、PC2和PC3、PC4之间不能通信 接线图 所谓在相同的网段，就是ip地址的网络部分是一样的，这是由子网掩码决定的，由子网掩码和ip地址计算出网络部分，一样的话就叫相同的网段。 1.清除交换机的配置并重新配置交换机的基本信息 Quidway>reboot [Quidway] sysname Switch2 Sw1-Vlan1]display vlan 1 VLAN State: 802.1q VLAN VLAN ID: 1 VLAN Type: static Route Interface: configured IP Address: 10.0.0.2 Subnet Mask: 255.0.0.0 Tagged Ports: none Untagged Ports: GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 GigabitEthernet0/4 GigabitEthernet0/5

多生成树协议MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定义的一种新型生成树协议。简单说来，STP/RSTP是基于端口的，PVST＋是基于VLAN的，而MSTP是基于实例的。与STP/RSTP和PVST+相比，MSTP中引入了“实例”（Instance）和“域”(Region) “的概念。所谓“实例”就是多个VLAN的一个集合，这种通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。MSTP各个实例拓扑的计算是独立的，在这些实例上就可以实现负载均衡。使用的时候，可以把多个相同拓扑结构的VLAN映射到某一个实例中，这些VLAN在端口上的转发状态将取决于对应实例在MSTP里的转发状态。 所谓“域”，由域名(Configuration Name)、修订级别(Revision Level)、格式选择器(Configuration Identifier Format Selector)、VLAN与实例的映射关系(mapping of VIDs to spanning trees)，其中域名、格式选择器和修订级别在BPDU报文中都有相关字段，而VLAN与实例的映射关系在BPDU报文中表现摘要信息(Configuration Digest)，该摘要是根据映射关系计算得到的一个16字节签名

工作队列中，每个任务之分发给一个工作者。如果需要分发一个消息给多个消费者，这种模式被称为“发布/订阅” 交换器(Exchanges) RabbitMQ完整的消息模型 发布者（producer）是发布消息的应用程序 队列(queue)用于消息存储的缓冲 消费者（consumer）是接收消息的应用程序 RabbitMQ消息模型的核心理念是： 发布者(producer)不会直接发送任何消息给队列。事实上，发布者（producer）甚至不知道消息是否已经被投递到队列。 发布者（producer）只需要把消息发送给一个交换器（exchage），然后由它一边从发布者接收消息，一边把消息推入队列。交换器必须知道如何处理它接收到的消息，是应该推送到指定的队列还是多个队列，或者直接忽略消息。这些规则通过exchange type来定义。 交换器类型 1、direct 处理路由键，需要将一个队列绑定到交换机上，要求该消息与一个特定的路由键完全匹配。 是完整的匹配，与routing_key对应。 2、topic 将路由键和某模式进行匹配。此时队列需要绑定在一个模式上。 符号#匹配一个或多个词，符号*匹配不多不少一个词。 例如audit.#能够匹配到audit.irs.corportate,但是audit.*只会匹配audit.irs 类似消息归类 注：多台服务器访问同一个队列时

SVI（switch virtual interface） （使用多层交换机 配置 vlanif接口） 交换机： vlan batch 10 20 interface GigabitEthernet0/0/2 port link-type access port default vlan 10 interface GigabitEthernet0/0/3 port link-type access port default vlan 20 interface Vlanif10 创建交换机虚拟接口(SVI) vlanif 10，属于三层接口，10 代表vlan 10 ip address 192.168.10.1 255.255.255.0 配置ip地址作为vlan 10 用户的网关 interface Vlanif20 ip address 192.168.20.1 255.255.255.0 SVI 通信原理：switch virtual interface ，在多层交换机上创建vlanif 三层虚拟接口，并配置ip地址，形成直连路由。交换机根据目标ip地址，结合路由表替换相应的标签，并从相应接口转发报文。 来源： 51CTO 作者： cheer加油 链接： https://blog.51cto.com/12843522/2073080

官方文档： http://mininet.org/walkthrough/ 翻译的官方文档： https://segmentfault.com/a/1190000000669218 ovs-ofctl相关指令： http://blog.csdn.net/rocson001/article/details/73163041 sudo mn --topo-single,3 --mac --switch-ovsk --controller-remote, ip = 192.168.56.1 运行mininet并创建一个简单的topo（1个switch，3个host）；创建的host拥有的mac地址相当于独立的IP，OpenFlow switch拥有3个端口；创建的switch连接到remote控制器上。 mininet> 1） nodes 　　查看mininet中节点的状态 2） help 　　 获取帮助列表 3） h1 ifconfig 　　查看host1的IP等信息 4） xterm h1 　　打开host1的终端 5） exit 　　退出mininet登录 6） iperf h1 h2 　　测试h1和h2之间的带宽，用TCP 7） net 　　显示link状态 8） h1 ping -c 4 h2 　　检查两个主机间的连通状态 　　解释：该命令只会ping 4次

mininet实验一 参考博客一 参考博客二 实验目的 熟悉Mininet自定义拓扑三种实现方式：命令行创建、Python脚本编写、交互式界面创建。 1.用命令行生成拓扑，并测试连通性，截图 1）最小的网络拓扑，一个交换机下面挂两个主机。 sudo mn --topo minimal 注意：每次要新建拓扑时，需执行以下命令，防止上次操作对本次实验的影响 sudo mn -c 建立后用 exit 来退出。 2）每个交换机连接一个主机，交换机间相连接。本例：4个主机，4个交换机。 sudo mn --topo linear,4 注意：每次要新建拓扑时，需执行以下命令，防止上次操作对本次实验的影响 sudo mn -c 3）每个主机都连接到同一个交换机上。本例：3个主机，一个交换机。 sudo mn --topo single,3 注意：每次要新建拓扑时，需执行以下命令，防止上次操作对本次实验的影响 sudo mn -c 4）定义深度和扇出形成基于树的拓扑。本例：深度2，扇出2。 sudo mn --topo tree, fanout=2,depth=2 注意：每次要新建拓扑时，需执行以下命令，防止上次操作对本次实验的影响 sudo mn -c 2.Python脚本定义拓扑 1）--topo linear,4。 在装有mininet镜像的虚拟机中新建文件linear.py，添加以下内容：

使用Scapy向Mininet交换机注入流量 实验记录 用Python脚本及Scapy库写了一个简单的流量生成脚本，并打算使用该脚本往Mininet中的OpenvSwitch交换机注入流量。拓扑图如下： h1(10.0.0.1) :h1-eth0 <=> s1-eth1: s1 :s1-eth2 <=> h2-eth0: h2(10.0.0.2) 生成流量的目的IP： nw_dst=10.0.0.2/32 ； 注入流量的端口： s1-eth1 ； OVS此时已下好转发该流量的流表，主要作用是匹配该流量的目的IP地址，并转发到s1-eth2口。 然而，脚本往s1-eth1注入的流量全部被交换机丢弃，同时，使用 ovs-ofctl dump-flows s1 查看流表信息发现流表根本没有匹配到该流量。 逐步debug： 1.流量脚本没有问题； 2.下发的流表规则没有问题； 3.Mininet内主机互ping也正常。 随后开始怀疑脚本注入流量的端口不对，使用 ifconfig 查看端口信息，发现s1有三个端口，分别是 s1 ， s1-eth1 和 s1-eth2 。 一试，发现当脚本往端口 s1 注入流量时，流量被s1正常转发，流表也有匹配到流量的数据。算是意外的收获，记之。 2018.1. 来源： https://www.cnblogs.com/qq952693358/p

实验目标：ASA 5545防火墙一端作为外网入口，一端连接3750交换机。由于办公设备比较少，交换机3750作为核心交换机，没有再接其他交换机了。 为了做实验，在没有外部ISP外网的情况下，使用现有办公网地址192.168.1.71作为5545防火墙的外网IP，外网网关是192.168.1.1 在核心交换机3750上创建两个vlan 50和vlan 60 地址分别是192.168.50.0 和192.168.60.0 防火墙与核心交换机直连，防火墙端配置IP地址为11.0.0.1，核心交换机端配置ip地址为11.0.0.2 配置完毕后，笔记本配置192.168.50.10IP地址后，可以上外网。 一、在核心交换机上进行配置 1、在三层交换创建vlan50 vlan60 。设置相应的配置： Vlan50 Vlan60 为每个vlan配置主机的网关： Switch(config)#vlan 50 Switch(config-vlan)#inter vlan 50 Switch(config-if)# *Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan50, changed state to down Switch(config-if)#ip address 192.168.50.254

网络隔离：把两个或者两个以上可路由的网络（如：TCP/IP） 通过不可路由的协议（如：IPX/SPX、NetBEUI等） 进行数据交换 而达到隔离目的。主要原理是使用了不同的协议，故也叫协议隔离。 网络隔离主要目的：将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。 一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。 网络隔离技术分类 物理隔离 物理隔离：两个网络物理上互不连接。 物理隔离需要做两套或者几套网络，一般分为内外、外网。客户端需要安装隔离卡，隔离卡有两种，数据隔离和电源隔离。 数据隔离：硬盘电源接口接主板电源，数据接口接隔离卡。 电源隔离：硬盘电源接口接隔离卡，数据接口接主板电源。 逻辑隔离 逻辑隔离：一般两套或者几套网络共用一套网络设备，在网络设备上做配置，各个网络不能互相访问。这种隔离技术非常不安全，容易泄漏数据。 逻辑隔离主要技术 虚拟局域网VLAN 工作在第二层。支持VLAN的交换机可以借由使用VLAN标签的方式将预定义的端口保留在各自的广播区域中，从而建立多重的逻辑分隔网络。 虚拟路由和转发 工作在第三层。允许多个路由表同时共存在同一个路由器上，用一台设备实现网络的分区。 多协议标签转换（MPLS） 工作在第三层，使用标签而不是保存在路由表里的网络地址来转发数据包

实验涉及命令以及知识补充 连线 PC和交换机FastEtherNet接口 交换机和路由器FastEtherNet接口 路由器和路由器Serial接口 serial是串行口，一般用于连接设备，不能连接电脑。 fastethernet是以太口，平时PC用的就是这种口。 串口 用于接串口设备或者pcm等 以太口 传统的网线口，插网线用的不解释 GBIC/sfp口 光模块接口，大的是GBIC模块；小的接GLC销模块 堆叠口 比如3750的堆叠口，在交换机背面，用于堆叠 路由器之间必须配置时钟才可以通信【只有DEC接口才可以配置时钟】 DTE ： 数据终端设备。如计算机 DCE： 数据通信设备。如modem 路由器接口重命名同交换机 为路由器各接口分配IP R1(config)# interface serial 0/0 R1(config-if)# ip address 192.168.100.1 255.255.255.0 ；设置路由器serial 0/0的IP地址为192.168.100.1，对应的子网掩码为255.255.255.0 R1(config-if)# no shutdown ；启用端口 配置时钟【为什么之配置了一个接口】 R1(config-if)clock rate 64000（必须配置时钟才可通信）注意只有DCE接口才可以设置时钟。（相关命令：show