学习：以太网源MAC地址不在CAM表中，地址会被添加进去

转发：MAC地址存在，对比出口与接收端口，端口号不同，将帧从出口转发出去

丢弃：端口相同，则会丢弃该帧（因为已经存在正确的网段）

泛洪：目标 MAC 地址不在 CAM 表中，则它将被泛洪或从所有端口发送出去出去。这样做的目的是，即使目的地未知，仍然允许帧到达其目的地。

VLAN(virtual local area network, 虚拟局域网）：是一种在交换机上通过硬件实现的网络分段技术

"VLAN 管理”利用VLAN 进行流量控制以满足安全或性能要求。 VLAN 也可用来隔 离不同网段之间的流量

使用 VLAN 的目的是保证必要的通信，同时阻止／拒绝任何不必要的通，要牢记，“拒绝是常态，允许是例外”

VLAN 用于对网络进行逻辑分段，而不必更改物理网络的拓扑。

VLAN有助于控制和限制广播流星，并且由于交换机将每个VLAN视为分离的网络分区，它还能减少流量嗅探的风险。

广播风暴(broadcast storm)：指大量以太网广播垃圾流量。

关于 VLAN 的部署，另一个要素是端口隔离或专用端口

端口镜像：是受管理交换机上的常见功能；它从一个或多个其他端口复制特定端口的流量。

端口监听(port tap)：是网络通信窃听的一种手段，尤其是当交换机的 SPAN 功能不可用或 不满足当前的侦听需求时。现代的串联监听已经基本取代了抽式监听(vampire tap)

标准以太网报头是：

带有VLAN的以太网报头

带有 VLAN 标记的以太网报头不能由交换机以外的主机解析，而交换机只在中继端口上解析

MAC 泛洪攻击

MAC 克隆

利用 NAT, 整个网络可通过共享一个（或一些）公共 1Pv4 地址接入互联网。

可在内部网中使用 RFC 1918 中定义的私有 IPv4 地址，同时仍能与互联网进行通信

通过NAT 向外部隐藏了内部 1Pv4 地址的划分及网络拓扑。

NAT 对连接做了限制；来自互联网的流星中，只有网络内部受保护连接的流量才被允许通过。这样，大多数入侵攻击会被自动拦截。

NAT 作为基本的单向防火墙，只允许响应内部系统请求的传入流量。

私有 IPv4 地址， RFC 1918

所有路由器与流量定向设备都被默认设置为不转发来自或发往这些 IPv4 地址的数据包。换言之，私有 IPv4 地址在默认情况下是不可路由的

现有网络的 IPv4 地址是 192.168.1.x, 就不能在新 NAT 子网中继续使用该段地址，而需要通过NAT 将新路由器或WAP 的地址转换为不同的地址段，如 192.168.5.x

环回地址：127.0.0.1

NAT 维护了内部用户请求、内部用户 IP 地址以及互联网服务 IP 地址之间的映射表

NAT 将回复信息中的源地址与存储在映射数据库中的地址进行对比，确定该信息所属的 用户地址，再将该回复信息转发给接收者。该过程被称为“状态 NAT", 因为它维护了用户 与外部系统之间的通信会话信息。

自动私有 IP 分配(Automatic Private IP Addressing, APIPA)：也被称为本地链路地址分配（在 RFC 3927 中定义），它在动态主机配置协议(Dynarnic Host Configuration Protocol, DHCP)应用层协议分配失败的情况下，继续为系统分配 IP 地址。

APIPA 通常为 DHCP 分配失败的用户分配 169.254.0.1 到169.254.255.254 地址段的一个 IP 地址，以及 B 类子网掩码 255.255.0.0

电路交换(circuit switching)：最初旨在管理公用电话交换网络中的电话呼叫。在电路交换 中，两个通信实体之间需要建立专门的物理通道

一旦电话接通，两个实体间的链路一直保持到通话结束

电路交换确保了固定或可预知的通信时间，保证了通话质量的一致性、很小的信号损失、几乎不发生通信中断。系统提供的是永久物理连接，PSTN （Public Switched Telephone Network，公共交换电话网络）主要是电路交换

术语“永久“只适用于每 次通信会话。路径断开后，如果通话双方需要再次通信，则会建立起不同路径。

分组交换(packet switching)：技术将估息或通信内容分为很小的段（固定长度单元或可变长度数据 包，具体数值取决于所使用的协议和技术），并通过中间网络将这些分组传送到目的地

每一个数据段都有自己的头部，其中包含源地址及目标地址信息。中间系统忱取头部信息，再选 择合适的路由将数据段发送给接收者

传输通道和通信路径只保留给实际需要传送的分组。分组传送一结束，通道就被提供给其他通信使用

对于分组交换系统，在同一个物理连接中，可能会传输来自不同地址的数据，这就存在泄露、破坏或窃听的风险。所以需要恰当的连接管理、流量隔离以及加密技术，来保护共享物理路径的安全

虚电路（也称通信路径）：是一条逻辑路径或电路，在分组交换网络两个特定端点之间建立

分组交换中存在两种类型的虚电路

虚电路在不使用时是关闭的，但在需要时可随时打开

PVC 类似于一台双向电台或对讲机。需要通信时，按下按钮即可开始对话；电台则自动使用预设的频率（也就是虚电路）。

SVC 更像一台短波或业余电台。每次都必须将发送器和接收机调到相同频率，才能和其他人通信。

专用线路(dedicated line)：（也称为租用线路，或点对点链路）是一直保留给特定用户使用的线路，从 Tl （容量为 l.54Mbps 的电话线 l)到 T3 或 DS3（容量为 44.7 Mbps 的数字服务 3) 。其他选项包括 X.25 、异步传输模式(ATM)和帧中继。专用线路一直处于数据传输或等待数据传输的状态

非专用线路(nondedicated line)： 只在需要传输数据时才建立连接。使用相同类型的非专用线路的任何远程系统都能通过非专用线路连接起来。标准经典调制解调器和 DSL 都是非专用线路。数字用户线路(DSL)使用升级的电话网络，为用户提供 144 Kbps~20 Mbps 或更高的传输速率

透明性(transparency):是服务、安全控制或访问机制的一个特征，确保对用户不可见

透明性常常是安全控制的一项必要特征。安全机制越透明，用户就越不可能绕过它，甚至察觉不到它的存在

传输日志(transmission logging):是一种专注于通信的审计技术

传输日志记录源地址、目标地址、时间戳、识别码、传输状态、报文数量、消息大小等详细信息。对于故障的定位、非法通信的追踪或系统工作数据的提取，这些信息都是十分有用的

传输错误纠正(transmission error correction):是面向连接或会话的协议及服务的内置功能。

该功能要求在确定一条消息的整体或部分受到了破坏、更改或丢失时，能够向信源发送请求，要求重新发送消息的整体或部分

重传控制也用于确定是否多次重复发送哈希值或 CRC（循环冗余校验）值，以及是否使用多数据路径或通信通道。

窃听(eavesdropping)：是指偷听通信过程，以复制并获取通信内容

抵御窃听行为，首先要保证物理访问安全，以防止非法人员接斛 IT 基础设施

篡改攻击(modification attacks) ：捕获的报文经过修改后又被发送给系统