点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
交换机(switch)是常见的网络设备,大家在家里面可能用路由器比较多,但是如果你网络设备比较多,需要一些高阶用法,那交换机几乎是你绕不开的。首先需要搞清楚交换机和其他网络设备的区别。
- 集线器(hub):集线器就是将网线集中到一起的机器,它可以对接收到的信号进行同步整形放大,以扩大网络的传输距离,是中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。集线器工作在物理层。集线器可以减少星型拓扑网络的线束,多个主机可以连接到同一个集线器来达到互联互通的目的。当集线器接收到一个端口的数据时,会向其他端口广播。
- 网桥(Bridge):早期的两端口二层网络设备。网桥将两个网络连接起来,不仅可以拓展网络的距离或范围,还可以对网络间的数据流通进行管理。网桥工作在数据链路层。
- 交换机(Swtich):交换机是集线器的升级换代产品。交换机不仅可以减少星型网络的线束,还可以对端口接收到的数据进行精准转发,而不是广播。交换机根据端口接收到数据中的目的MAC地址转发到对应的端口上,避免了和其他端口发生碰撞。交换机工作在数据链路层。
- 路由器(Router):路由器不仅具有交换机的转发功能,还具有路由功能,是不同网络之间连接的枢纽。路由器会根据接收到的数据中的目的IP地址,在路由表中查询中下一节点的端口,然后进行转发。路由器工作在网络层。
交换机
交换机在家庭网络中,主要充当拓展接口的作用。当路由器需要连接的机器数量大于其端口数时,就需要交换机来拓展接口。还要一种应用场景就是有线mesh组网,通过交换机的单线复用功能,解决特定条件下的组网问题。
在汽车电子领域,交换机也有很重要的应用。在具有中央网关功能的域控制器或者中央计算平台上,switch可以大大减少线束,降低成本。
构建互联互通的局域网
如果你想将局域网的每台电脑相互连接,那么交换机将是你不二的选择。由下图所示,使用交换机来构建互联互通的局域网可以大大的减少网线的使用。当然集线器也可以做到这一点,但是集线器只是物理层的设备,如果图(B)中的设备是集线器,那么图(A)和图(B)的功能是完全一样的。但是如果是交换机,那么图(B)中网络的性能要远高于图(A)。
星型网络拓扑
首先交换机是数据链路层的设备,它可以解析端口中输入的以太网报文,将报文中的源MAC地址与端口建立映射。通过这种自学习的过程,建立MAC地址 <=> 端口映射数据库。之后再有报文输入,根据报文中的目的MAC地址进行查表,然后转发。可能你会有疑问,那刚开始还没建立数据库的时候怎么办呢?一开始的报文都是广播的。所以说如何使用的是集线器的话,其实每一帧报文都需要广播给所有链路,这样就增加了网络负载。
总结一下,通过switch构建局域网呢,可以将大量的广播报文,变成精确转发的单播报文,大大优化了网络性能。
虚拟局域网(VLAN, Virtual Local Area Network)
交换机的又一个高阶功能就是,分割局域网。在一个物理连接的大局域网中,我们可以通过配置交换机,来构建多个虚拟局域网。这里就需要网管交换机了,普通交换机就不支持了。网管交换机和非网管交换机的区别在于控制交换机的能力。非网管交换机只能插上电源就可以使用,而网管交换机可以进行配置,监控和管理。一般网管交换机要贵一点。
虚拟局域网
如上图所示,六台电脑(A~F)都连接在一台交换机上,那么它们在物理上是联通的,也就组成了一个大的局域网。现在我想要将其中三台电脑(A,B,D)放在一个局域网中,而其他三台电脑(C,E,F)放在另一个局域网中。那么我就可以通过配置交换机来构建虚拟局域网,比如我把端口0,端口1和端口3配置成vlan-1,把端口2,端口4和端口5配置成vlan-2,这样vlan-1和vlan-2就隔离开了,它们之间数据是不互通的。
vlan的实现是基于IEEE 802.1Q协议的。通过在以太网帧头部加入4字节的协议字段来标识出报文所属VLAN。在报文进入端口时,switch会根据端口配置来给报文加入VLAN协议字段,并标识出VLAN ID。VLAN ID与端口配置相同时才能被转发,不同的报文会被丢弃。我们把添加的4字节协议字段叫做VLAN tag。
802.1Q协议帧
交换机端口配置
对于家用的交换机来说,会使用VLAN相关的配置已经足够了。在交换机内部所有的报文都是有VLAN tag的。即使你没有给端口设置VID(VLAN ID),每个物理端口都有一个PVID(Port-base VLAN ID)。可以将PVID理解为端口的默认VLAN ID。如果端口接收到没有VLAN tag的报文时,并且该端口没有设置VID,那么端口会根据PVID给报文添加VLAN tag。当端口设置了VID之后,端口的行为跟端口类型有关。
Access类型的端口主要用来连接终端设备,因为有些终端设备是处理不了VLAN tag的,Access类型的端口会在输出时去除VLAN tag。Trunk类型的端口主要用来在交换机之间串联,Trunk端口在输出时如果不是PVID,就不会去除VLAN tag,这使得在交换机之间传输数据时可以保留VLAN信息。Hybrid类型的端口主要用来连接大型服务器,它与Trunk类型的区别在于输出时是否去除tag由用户配置决定。
端口类型
来源:来源:知乎 养生飞 ,南京理工大学 光学工程硕士
原文链接:https://zhuanlan.zhihu.com/p/648566519
end
专业社群
精品活动推荐
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
