二层网管交换机应用

前言

为了探求拉跨的校园网络中的AP(RG-MAP852,硬件版本V4)为何不能给部分路由器提供DHCP服务的原因,笔者用电脑开启MonitorMode等注册表项使WireShark能抓VLAN的Tag。现象为DHCP Offer报文中竟带着VLAN为0的Tag,只知道该VLAN是优先级VLAN,不知道这样的报文为什么会从本应为Access口的端口出来。为了验证WireShark采到的802.1q报文正确性,并一直想入手一台网管二层交换机,入手了二手RG-S1930-8GT2SFP,本文针对它展开介绍。

设备信息

  • 设备型号:S1930-8GT2SFP
  • 硬件版本:V1.01
  • 软件版本:ReyeeOS 1.86.2027
  • 其它:还不知道这台没有Console的交换机如何通过终端配置,失去了学命令行配置它的机会,只能用EWEB和MACC配置了。但从MACC平台下发指令得到的信息来看,该软件版本疑似基于OpenWrt。

功能学习&应用场景

VLAN划分

  1. Access端口:交换机内只允许接收一种VLANID,发送数据剥离Tag
    1. Access端口的接收处理:
      • 接收到无Tag的数据帧:将等于AccessVLAN(缺省VLANID)的Tag插入该帧
      • 接收到有Tag的数据帧:若Tag等于AccessVLAN则接收,否则丢弃
    2. Access端口的发送处理:
      • 交换机内数据帧的Tag等于AccessVLAN(缺省VLANID):去除Tag并发送
      • 交换机内数据帧的Tag异于AccessVLAN(缺省VLANID):丢弃
  2. Trunk端口:交换机内允许接收多种VLANID,发送数据最多剥离一种Tag
    1. Trunk端口可以出入的Tag由PermitVLAN决定
    2. Trunk端口的接收处理:
      • 接收到无Tag的数据帧:将等于NativeVLAN(缺省VLANID)的Tag插入该帧
      • 接收到有Tag的数据帧:保持Tag并接收
    3. Trunk端口的发送处理:
      • 交换机内数据帧的Tag等于NativeVLAN(缺省VLANID):去除Tag并发送
      • 交换机内数据帧的Tag异于NativeVLAN(缺省VLANID):保持Tag并发送
  3. Hybrid端口:交换机内允许接收多种VLANID,发送数据可以剥离多种Tag
    1. Hybrid端口可以出入的Tag由PermitVLAN决定
    2. Hybrid端口的接收处理:
      • 接收到无Tag的数据帧:将等于NativeVLAN(缺省VLANID)的Tag插入该帧
      • 接收到有Tag的数据帧:保持Tag并接收
    3. Hybrid端口的发送处理:
      • 交换机内数据帧的VID等于NativeVLAN(缺省VLANID)或UntagVLAN(剥离VLANID):去除Tag并发送
      • 交换机内数据帧的VID不等于NativeVLAN(缺省VLANID)和UntagVLAN(剥离VLANID):保持Tag并发送
    4. UntagVLAN(剥离VLANID)必须包含NativeVLAN(缺省VLANID)

终端管理

  1. 静态MAC地址:手工方式绑定设备下接的网络设备的MAC地址与端口关系。应用于802.1x免认证。
  2. 过滤MAC地址:在配置的VLAN中接收到源地址或目的地址为配置的MAC地址时,将丢弃此报文,不进行转发。应用于ARP攻击阻止。

端口管理

  1. 端口设置:设置端口基本功能,包括开关、速率、流控、EEE(节能以太网)等。
  2. 聚合端口:多个端口逻辑连接,用于负载均衡和冗余备份。

安全管理

  1. DHCP Snooping:为防止非法DHCP server影响网络,过滤非法DHCP server报文,仅转发来自信任口的响应报文。
    • Note:Option 82用于实现DHCP中继。
  2. 风暴控制:可以分别针对广播、多播和未知名单播数据流进行风暴控制,超出限定范围部分的数据流将被丢弃,直到数据流恢复正常。
  3. ACL:俗称防火墙,用来定义一些规则对网络设备接口上的数据报文能否通过进行控制。
    • Note1:序号越小越靠上优先级越高。
    • Note2:如果是黑名单,则最低优先级要有全部允许的规则。
  4. 端口保护:配置端口隔离,让两个端口之间的用户被二层隔离。
  5. IP+MAC端口绑定:指定某个端口上的IP和MAC的对应关系,满足才允许IP报文通过。
  6. IP Source Guard:根据DHCP Snooping学来的IP和MAC的绑定列表,判断IP报文的IP地址是否有效,是则允许通过。
    • Note:IP+MAC端口绑定和IP Source Guard优先级相同,二者有一个满足要求报文即可通过。
  7. 防网关ARP欺骗:在选中的端口上检查ARP报文的源IP地址,过滤源IP地址与配置的IP地址(网关IP地址)相同的ARP欺骗报文,能预防针对网关的ARP欺骗。

高级设置

  1. STP:生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。
  2. LLDP:通过 LLDP 协议能够进行拓扑的发现及掌握拓扑的变化情况。通过 LLDP,网络管理系统可以掌握拓扑的连接情况,比如设备的哪些端口与其它设备相连接,链路连接两端的端口的速率、双工是否匹配等。
  3. RLDP:通过RLDP功能可以防止端口环路导致网络瘫痪问题的出现,可以配置环路发生时端口进入Block还是Down。