網橋(二層交換機)工作原理與安全威脅
集線器現在用的比較少了。
網橋的知識要重視。
網橋與二層交換機的特點
- 劃分衝突域
- 利用CAM表選路
- 兩個主機可以同時發送
- 它的優勢也是安全漏洞
什麼是衝突域
雖然集線器組織的是一個星型結構的網絡,但是這個所謂的“星型網絡”實際上是一個物理環境連接的星型。並不是訪問介質協議(以太網的訪問介質協議就是CSMA/CD)上的星型,從訪問介質的邏輯角度理解:凡是利用集線器組織網絡都應該是衝突型的網絡,具體示意圖如下:
=
abcd共享着一個CSMA/CD。
=
=
=
=
=
=
基於MAC地址表進行選路
=
CAM表
=
=
CAM如何構成---MAC地址自學習(網橋的功能)
=
=
=
=
=
=
=
=
=
具體如何劃分衝突域
=
假設共有10M。
集線器:平均才2.5M。
網橋則每個都享受10M。
=
=
網橋與二層交換機面對的網絡安全威脅
網橋與二層交換機的工作原理事實上是一回事,他們都利用
MAC地址自學習來構建MAC地址表,然後數據包通過MAC地址表進行二層選路,從而
提高網橋或者二層交換機的數據轉發速度,以不至於將數據廣播到網橋或二層交換機的每一個端口上,對安全也有所增加的效果。
但是網橋或二層交換機的MAC地址表是有容量限制的,MAC地址表也叫做CAM表,它受網橋或者二層交換機的內存限制,一般CAM表的容量可以
容納幾千至幾萬條MAC記錄,這會因不同的交換機品牌與等級的差異而有所不同。如果這些CAM表在幾秒鐘的時間內被攻擊入侵者充滿,那麼就會造
成交換機CAM表溢出事件,正常的CAM無法被交換機成功的學習到,交換機就無法執行正常的MAC地址與端口對應關係的選路,進入交換機的數據包
就會被廣播到每一個端口,這時交換機與集線器就變成了同一種網絡設備,入侵者只要將計算機接入到交換機的任何端口上就可以成功的偵聽交換機
的所有數據。
二層交換機速度要比網橋要快。工作原理是一樣的。
網橋與二層交換機面對的網絡安全威脅
=
=