【CyberSecurityLearning 12】数据链路层 及 交换机工作原理与配置

数据链路层（2层 Data Link Layer）

1、属于2层

2、传输单元：帧

3、帧结构：如下图

  总结：

  帧头：6+6+2=14字节
  MTU值：1500字节（国内）
  帧尾：4字节
  帧头内容：目标MAC、源MAC、类型
  类型的作用：识别上层协议
  0x0800：上层为IP协议
  0x0806：上层为ARP协议
  0x代表16进制

4.工作在数据链路层的设备：交换机/网卡（网卡主要是生成帧，“造”出帧以后给交换机）

5、交换机工作原理（★）

交换机收到一个数据帧后：
1.首先学习帧中的源MAC地址来形成MAC地址表
2.然后检查帧中的目标MAC地址，并匹配MAC地址表：
   如表中有匹配项，则单播转发
   如表中无匹配项，则除接受端口外广播转发
3.MAC地址表的老化时间默认是300秒（可修改）

交换机只认识自己的端口
在一台交换机的MAC地址表中，所出现的端口全是自己的端口

6.交换机的端口：

E  10Mb
F  100Mb
G  1000Mb
Te 10000Mb

F0/1
0模块号
1接口号

接口速率自适应：1000/100/10M自适应
---》速率工作模式可以为10,100,1000任何一种状态

端口状态：up / down
down的3中可能：
1）人工down掉（相当于手工把网卡禁用）
2）速率不匹配
3）双工模式不匹配（双工duplex）【了解】
   双工模式：单工、半双工、全双工

单工（simplex）指仅能单方向传输数据。通信双方中，一方固定为发送端，一方则固定为接收端。信息只能沿一个方向传输，使用一根传输线
半双工（half-duplex）的系统允许二台设备之间的双向资料传输，但不能同时进行。因此同一时间只允许一设备传送资料，若另一设备要传送资料，需等原来传送资料的设备传送完成后再处理。
全双工（full-duplex）的系统允许二台设备间同时进行双向资料传输。一般的电话、手机就是全双工的系统，因为在讲话时同时也可以听到对方的声音。

7.交换机5大基本工作模式及命令

第一次配置网络设备（交换机、路由器、防火墙...），需要使用console线
在PC需要使用“超级终端”软件或其他软件。

基本工作模式：

1）用户模式：
switch>
可以查看交换机的基本简单信息，且不能做任何修改配置！

2）特权模式：（用的多）
switch> enable（关闭输入法!!!）
switch#（主机名后面如果紧跟#，这个组合就叫特权模式）

可以查看所有配置，且不能修改配置
但可以做测试、保存、初始化等操作
3）全局配置模式：
switch# configure terminal（配置终端）
switch(config)#

默认不能查看配置！
可以修改配置，且全局生效！
4）接口配置模式：
switch(config)# interface f0/1
switch(config-if)#    （if就是interface的缩写）

默认不能查看配置！
可以修改配置，且对该端口生效！
5）console口/线/控制台模式：
Switch(config)#line console 0
Switch(config-line)#

默认不能查看配置！
可以修改配置，且对console口生效！

命令：

6）exit退出一级
     end直接退到特权模式
7）支持命令缩写

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/1
Switch(config-if)#exit
Switch(config)#line co 0
Switch(config-line)#exit
Switch(config)#

8） ?的用法

查看以e开头的命令

9）历史命令

按↑或者↓
10）tab补全键

11）配置主机名：
conf  t（先进入全局配置模式）
hostname 设备名

12）设置用户密码：（进入用户的时候用的）
line co 0  （line console 0）
password 密码
login（登录验证）
exit

13）快捷键：
ctrl+u ：快速删除光标全所有字符
ctrl+a ：快速定位光标到行首（a：ahead）
ctrl+e ：快速定位光标到行尾（e：end）

14）
在内存中存在一个文件叫：
running-config（运行配置文件）
这个文件怎么诞生的？
第一次开机，系统会在内存中自动创建一个新的干净的running-config【存储你所有配置的文件】

内存：速度非常快，内存的读取速度要远远高于硬盘；缺点：一断电，数据是保存不住的
所以我们从网上下个电影都放在硬盘上（内存是存不住东西的）

14）保存配置的命令：
en（在特权模式下）
copy running-config startup-config（把running-config文件从内存复制一份到硬盘中的startup-config文件【启动配置文件】）
或
write（一个词就可以，思科的可以，其他的看手册）【缩写wr】

15）交换机开机动作：（理解14↑）
先去硬盘中查找startup-config是否存在，
如果不存在，在内存中创建新的running-config
如果存在，则复制到内存中并改名为running-config

16）查看running-config配置
en（查看命令一律在特权模式）
show running-config
sh run（缩写）

17）查看startup-config配置
show startup-config

18.重启设备：
en（表示在特权模式下）
reload

19）配置特权密码：（进入特权的时候用的）
conf t
enable password 密码  （running-config是以明文显示）
enable secret 密码      （密文）
同时配置的时候明文密码就失效了

20）查看MAC地址表:
show mac-address-table

21）查看接口状态列表：
show ip interface brief（查看interface接口简要信息）
sh ip int b

22）手工关闭接口
int f0/x
shutdown
exit

23）手工开启接口
int f0/x
no shutdown（no就代表删除一条命令）
exit

24）do的用法
其他模式加do空格可以强制使用特权模式的命令
如：
do sh run
do sh ip int b
do wr
等

25）删除配置
1）在哪配置的，就在哪删！
2）命令前加no空格
3）原命令中有参数，并且参数具有唯一性，则删除时不需要加参数（如删密码：no enable password ，不要写no enable password 123）
如:
conf t
hostname sw1（配置）

conf t
no hostname（删除）

26）清空/擦除/初始化配置
en
erase startup-config（在硬盘里的文件）
回车后的提示中nvram就代表硬盘的意思

小练习：
1.开启一台交换机
2.配置主机名为sw01-01
3.配置用户密码为123.com
4.配置特权密码为456.com
5.通过show命令验证以上配置是否配置成功！
6.重启验证配置是否存在
7.重新做2-4步骤
8.保存配置，并重启，验证是否保存成功
9.连接2台PC，并观察MAC地址表是否形成。

27）为3层端口配置IP：
int f0/0
ip add 10.1.1.254 255.255.255.0
no shut（no showdown缩写）  因为路由器接口默认是关闭的
exit

描述以下接口的两个状态含义：
    物理层                                   数据链路层状态
     1层                                       2层
  1）up                                      up              前面一个up代表人工/物理开启了，同时还插上网线了，后面一个up代表和对方协商成功了
  2）down                                 down         前面的down表示人工开启了但是这个接口没有插网线（没有检测到信号），后面一个down表示没有协商
  3）up                                      down         前面的up表示人工开启并且检测到信号了，后面的down表示协商不成功
  4）administratively down     down         administratively down表示人工down掉了，谈不上协商不协商

1层：没插网线属于物理层的问题、插上网线了但是人为down掉了
2层：属于协商（速率模式是否匹配/双工模式），双方协商成功后面才可能up

记住：
2层接口默认已开启
3层接口默认都是管理down（人工shutdown）
几乎市面上所有的路由器端口买来之后都是shutdown的，你必须人工no showdown开启
市面上买来的交换机插上就能用，因为它在出厂的时候，人工就给你no shutdown了

28）开启远程控制：

conf t
line vty 0 4（vty叫虚拟终端）
【0  4 相当于在这个设备上开了5个虚拟终端（0-4），意思就是说这个公司里面包括世界上任何人都可以远程控制我，而且最多可以有5个人同时控制我】
  transport input telnet/ssh/none/all（不写这条命令默认开23也就是telnet，也可以写这行）
  password  密码【这个密码就叫telnet密码】
  login
  exit

PC（远程控制）

还得配一个全局密码：

conf t
hostname r1 ---》配置主机名
ip domain-name r1.qf.com---》配置域名
crypto key generate rsa  ---》生成密钥对！（配SSH的时候这三行才要写）
line vty 0 4
  transport input telnet/ssh/none/all
  login local  没有写密码
  exit
username xx password 123.com

练习：
1.成功实现在pc上telnet或ssh远程连接到路由器上，其中只做login验证
2.成功实现在pc上telnet或ssh远程连接到路由器上，其中要求做login local验证

---

小实验：
交换机是隔离不了网段的（ 交换机是用来组件同一个局域网的，所以说凡是连在交换机上的所有人，包括网关 ）
路由器是专门用来隔离网段的（ 换句话说，路由器是专门用来连接不同网段的，而且必须连接不同网段 ！）
路由器是不允许它的两个接口都在同一网段的！路由器是专门用来连接不同网段的，而且必须连接不同网段！
网段数量不看交换机，看的是路由器！

交换机只是充当一个交换的作用只是充当一个组件局域网的作用，所以不需要做额外配置
路由器就不一样了，路由器的接口买来是没有配置IP的，而且买来是默认手工down掉的，需要人工开启

不指网关，你的包连发都发不出去

将来PC3想要出这个网段，（就是你要通信的那个人不是20网段）一律要把信息给网关，只有网关才能把你的数据包送给其他网段
现在为止处于全网互通的状态！

现在要求PC1能远程管理路由器：

去PC1上验证：

现在这个这个路由器在整个网络里面有两个名字：当你称呼10.1.1.254和20.1.1.254都是它
所以路由器和PC不一样，PC就一块网卡一个IP，而路由器有两块网卡两个IP，这两个IP在整个网络中都可以代表我

现在左边那台交换机也想被远程控制：

接下来PC1就懵逼了，交换机没ip啊，我telnet谁？
理解图：

29）为交换机配置管理IP:
  conf t
  interface vlan 1   【int f0/1是进物理接口，int vlan 1是进虚拟接口“1表示第一个虚拟接口”】
    ip address 10.1.1.253 255.255.255.0
    no shutdown

验证：switch（config-if）#do show ip interface brief

这个IP可以被ping通

30）为交换机配置默认网关：【可以理解为给交换机里面那个虚拟PC配网关】
   目的：交换机可被跨网段管理！
  conf t
  ip default-gateway 10.1.1.254

31）关闭自动解析功能：
  conf t
   no ip domain-lookup