IP網(wǎng)絡(luò)基礎(chǔ)知識及原理PPT課件

1、IPIP網(wǎng)絡(luò)基礎(chǔ)知識及原理網(wǎng)絡(luò)基礎(chǔ)知識及原理中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)概述OSI參考模型TCP/IP協(xié)議 IP地址分類與子網(wǎng)劃分VLAN原理 基礎(chǔ)知識網(wǎng)絡(luò)模型協(xié)議棧IP地址與子網(wǎng)VLAN技術(shù)目 錄2022-7-52路由技術(shù) 路由技術(shù)基礎(chǔ)中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)通信2022-7-53v 通信簡單地講就是信息的相互傳遞。要傳遞信息當(dāng)然會遇到信息怎樣傳輸?shù)膯栴}，這個傳輸手段就是所謂的通信技術(shù)。我們可以通過任何手段傳遞信息，如古代時期的烽火臺、驛站等，現(xiàn)代的電路交換、分組交換和信元交換等。每種傳輸手段都有各自的特點(diǎn)，分別應(yīng)用于不同的領(lǐng)域和實(shí)際業(yè)務(wù)。v 如何更好地利用這些通信技術(shù)傳

2、遞信息呢？這是一個組織問題。我們要更好地傳遞信息就必須有一個有效的組織結(jié)構(gòu)通信網(wǎng)。通信網(wǎng)是利用各種通信技術(shù)而組建的網(wǎng)絡(luò)，有了通信網(wǎng)，人們就可以更加有效地利用各種通信技術(shù)，并且更加有效地傳遞信息，為人類服務(wù)。v 雖然自然界中傳遞信息的方法很多，但作為通信研究，我們只涉及狹義的通信技術(shù)領(lǐng)域，即我們通常使用的通信手段電話、電報、傳真、圖形圖像傳輸?shù)仁褂玫耐ㄐ偶夹g(shù)，它們一般需要通信介質(zhì)（如光纖、電纜等）互連成為網(wǎng)絡(luò)，在網(wǎng)絡(luò)上傳輸信息。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)模擬和數(shù)字2022-7-54v 模擬信號和數(shù)字信號v 信號又分為兩類，一類是數(shù)字信號，另一類是模擬信號。數(shù)字信號是一系列的脈沖，而

3、模擬信號是一個在時間上連續(xù)變化的量。用數(shù)字信號進(jìn)行的傳輸稱為數(shù)字傳輸，用模擬信號進(jìn)行的傳輸稱為模擬傳輸。v 例如我們要傳輸聲音信息，可以直接把聲波變?yōu)殡姴ㄔ谕ㄐ沤橘|(zhì)上傳輸，此時的電波是一個連續(xù)變化的電信號，這時就是模擬信號傳輸；另外，我們也可以把電波進(jìn)行抽樣，轉(zhuǎn)變?yōu)殡x散的數(shù)字信號在物理網(wǎng)絡(luò)上傳輸，這時我們傳輸?shù)木褪菙?shù)字信號；達(dá)對端后再把數(shù)字信號還原為模擬信號。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)信息和數(shù)據(jù)2022-7-55v 信息與數(shù)據(jù)v 要從數(shù)據(jù)中得到有用的信息，一般要經(jīng)過計算機(jī)進(jìn)行數(shù)據(jù)處理；同樣，要想傳輸信息，也要使用計算機(jī)進(jìn)行信息處理，把信息轉(zhuǎn)換為數(shù)據(jù)。v 眾所周知，計算機(jī)只能識別和

4、處理二進(jìn)制數(shù)據(jù)，它通常用“0”，“1”兩種狀態(tài)表示。v 例如，我們要監(jiān)測和控制一個電燈的開關(guān)狀態(tài)，可以用“0”這個數(shù)據(jù)表示電燈的關(guān)閉狀態(tài)，用“1”這個數(shù)據(jù)表示電燈的打開狀態(tài)。這里我們使用“0，1”數(shù)據(jù)來表示電燈開關(guān)的信息，我們在處理和傳輸時，只對表示信息的數(shù)據(jù)進(jìn)行傳輸和處理，最終目的是得到我們想要的信息。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)數(shù)據(jù)的傳輸2022-7-56v 數(shù)據(jù)分為模擬和數(shù)字?jǐn)?shù)據(jù)，它們都既可以用模擬又可以用數(shù)字信號傳輸。數(shù)據(jù)的成功傳輸主要依賴于傳輸信號的質(zhì)量和傳輸媒體的性能，當(dāng)然還取決于發(fā)送和接收設(shè)備的性能。v 數(shù)據(jù)在線路上（連接發(fā)送和接收端的通信媒體，下同）可以有多種傳輸方

5、式，它們是單工方式、半雙工方式和全雙工方式。單工方式指數(shù)據(jù)信號僅沿一個方向傳輸，發(fā)送方只能發(fā)送不能接收，接收方只能接收不能發(fā)送，它類似一個汽車的單行道。半雙工通信是指信號可以沿兩個方向（在同一個線路上）傳送，但同一時刻只允許單方向傳送。它類似于兩個人開討論會，一個人講完，另一個人再講，不允許兩個人同時講話。如果我們在發(fā)送和接收端建立兩個信道，一個用來發(fā)送，一個用來接收，這時就是全雙工通信，它允許數(shù)據(jù)同時發(fā)送和接收（在同一個線路上）。 中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)數(shù)據(jù)交換技術(shù)2022-7-57v 在通信領(lǐng)域，我們不可能對每對需要通信的用戶都建立直接的通信介質(zhì)的連接。為了實(shí)現(xiàn)接入通信網(wǎng)

6、絡(luò)的用戶的連通，我們需要轉(zhuǎn)接設(shè)備，即通信交換設(shè)備。v 在通信領(lǐng)域，常用的交換技術(shù)有三種：電路交換。報文交換和分組交換。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)數(shù)據(jù)交換技術(shù)2022-7-58v 長期以來用于電話網(wǎng)（PSTN）。電路交換在整個通信連接期間始終有一條電路被占用，并且按照時分復(fù)用TDM原理將信息從一個節(jié)點(diǎn)傳遞到另一個節(jié)點(diǎn)。這種技術(shù)也稱為STM。v 在交換節(jié)點(diǎn)內(nèi)部，電路交換可以用空分交換、時分交換或二者的組合來實(shí)現(xiàn)。電路交換很不靈活，一旦時隙的寬度被確定，相對比特率也就固定下來。例如PCM的基本時隙寬度是125us中的8bit，使用信道速率為64kbit/s。由于只有一個基本單元速率（以

7、64Kbps為基本單元）用來傳遞信息，這種交換技術(shù)不適合用來傳輸綜合業(yè)務(wù)。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)數(shù)據(jù)交換技術(shù)2022-7-59v 分組交換 分組交換工作原理與報文交換相同，但通信的單位從報文變?yōu)榉纸M更小一些的數(shù)據(jù)單元。v 在分組網(wǎng)中，用戶信息被封裝在分組中，分組頭包含了一些附加信息，用于網(wǎng)絡(luò)中的路由選擇、差錯控制、流量控制等功能。v 在分組交換網(wǎng)絡(luò)中可采用兩種方式進(jìn)行分組交換：數(shù)據(jù)報傳輸和虛電路。v 數(shù)據(jù)報：數(shù)據(jù)報方法同報文交換方式相似。每個分組都獨(dú)立地處理。每個分組都包含源地址和目的地址，中間交換節(jié)點(diǎn)存儲分組，并根據(jù)分組中的目的地址進(jìn)行路由選擇并轉(zhuǎn)發(fā)分組。在這種技術(shù)中，把每

8、個獨(dú)立處理的分組稱之為“數(shù)據(jù)報”。中國移動通信集團(tuán)江西有限公司數(shù)據(jù)通信基礎(chǔ)帶寬和速率2022-7-510v 在通信領(lǐng)域我們經(jīng)常會聽到帶寬和速率這兩個專業(yè)名詞，其含義是什么呢？ 帶寬v 帶寬一般用來描述兩種對象，一個是信道（Channel），另一個是信號（signal）。對于信道來說，又可分為兩種，模擬信道和數(shù)字信道。對信號來說，也可分為兩種，數(shù)字信號和模擬信號。v 速率v 衡量信息傳輸速度的指標(biāo)，以每秒傳輸?shù)腷it數(shù)為單位，即bps bit per second。1Kbps代表每秒中傳輸1千個比特；1Mbps代表每秒中傳輸100萬個比特；1Gbps代表每秒中傳輸10億個比特；1Tbps代表每秒

9、中傳輸1萬億個比特。速率的單位關(guān)系如下：v 1Kbps1000bps；1Mbps1000Kbps；1Gbps1000Mbps；1Tbps=1000Gbps網(wǎng)絡(luò)概述v網(wǎng)絡(luò)定義vLAN 和WANv網(wǎng)絡(luò)拓?fù)鋠標(biāo)準(zhǔn)化組織計算機(jī)網(wǎng)絡(luò)SOHOServerIP HotelIntranet移動移動網(wǎng)絡(luò)的演進(jìn)Host主機(jī)網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)低速連接低速連接HostWAN簡單連接簡單連接1960s 1970s基于網(wǎng)絡(luò)的連接基于網(wǎng)絡(luò)的連接1970s 1980s網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)互聯(lián)1980s LAN定義v LAN定義：通常指幾公里以內(nèi)的，可以通過某種介質(zhì)互聯(lián)的計算機(jī)、打印機(jī)、modem或其他設(shè)備的集合。v 特點(diǎn)：距離短、延遲小、

10、數(shù)據(jù)速率高、傳輸可靠。v 標(biāo)準(zhǔn)（standard）：描述了協(xié)議的規(guī)定，設(shè)定了最簡的性能集。LAN常用設(shè)備v LAN的設(shè)計目標(biāo)： 運(yùn)行在有限的地理區(qū)域； 允許同時訪問高帶寬的介質(zhì)； 通過局部管理控制網(wǎng)絡(luò)的私有權(quán)利； 提供全時的局部服務(wù)； 聯(lián)接物理相臨的設(shè)備。HUB交換機(jī)交換機(jī)路由器路由器ATM 交換機(jī)交換機(jī)廣域網(wǎng)定義及分類v WAN定義：在大范圍區(qū)域內(nèi)提供數(shù)據(jù)通信服務(wù)，主要用于互連局域網(wǎng)。v WAN分類： 共用電話網(wǎng)：PSTN 綜合業(yè)務(wù)數(shù)字網(wǎng)：ISDN 數(shù)字?jǐn)?shù)據(jù)網(wǎng)：DDN X.25共用分組交換網(wǎng) 幀中繼：Frame Relay 異步傳輸模式：ATMWAN交換模式v 電路交換：基于電話網(wǎng)的電路交換

11、 優(yōu)點(diǎn)：時延小、透明傳輸； 缺點(diǎn)：帶寬固定，網(wǎng)絡(luò)資源利用率低。v 分組交換：以分組為單位存儲轉(zhuǎn)發(fā) 優(yōu)點(diǎn)：多路復(fù)用，網(wǎng)絡(luò)資源利用率高； 缺點(diǎn)：實(shí)時性差。WAN常用設(shè)備v WAN的設(shè)計目標(biāo)： 運(yùn)行在廣闊的地理區(qū)域； 通過低速串行鏈路進(jìn)行訪問；v 網(wǎng)絡(luò)控制服從公共服務(wù)的規(guī)則； 提供全時的或部分時間的聯(lián)接性； 聯(lián)接物理上分離的、遙遠(yuǎn)的、甚至全球的設(shè)備。Modem/CSU/DSU路由器路由器廣域網(wǎng)交換機(jī)廣域網(wǎng)交換機(jī)接入服務(wù)器接入服務(wù)器帶寬和延遲v 帶寬定義：描述網(wǎng)絡(luò)上數(shù)據(jù)在一定時刻從一個節(jié)點(diǎn)傳送到任意節(jié)點(diǎn)的信息量。v 以太網(wǎng)帶寬：10M、100M、1000M等。v 廣域網(wǎng)各類服務(wù)帶寬。v 延遲：節(jié)點(diǎn)間數(shù)

12、據(jù)傳送時間。常見網(wǎng)絡(luò)拓樸結(jié)構(gòu)v 拓?fù)浣Y(jié)構(gòu)： 總線、星型、樹型 環(huán)型、網(wǎng)型標(biāo)準(zhǔn)化組織v 國際標(biāo)準(zhǔn)化組織（ISO）v 電子電器工程師協(xié)會（IEEE）v 美國國家標(biāo)準(zhǔn)局（ANSI）v 電子工業(yè)協(xié)會（EIA / TIA）v 國際電信聯(lián)盟（ITU）v INTERNET架構(gòu)委員會（IAB）中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)概述網(wǎng)絡(luò)概述TCP/IP協(xié)議 IP地址分類與子網(wǎng)劃分VLAN原理 基礎(chǔ)知識網(wǎng)絡(luò)模型協(xié)議棧IP地址與子網(wǎng)VLAN基礎(chǔ)目 錄2022-7-522OSI參考模型參考模型路由技術(shù) 路由技術(shù)基礎(chǔ)中國移動通信集團(tuán)江西有限公司OSI參考模型2022-7-523v OSI RM：開放系統(tǒng)互連參考模型（Op

13、en System Interconnection Reference Model）網(wǎng)絡(luò)世界的法律網(wǎng)絡(luò)世界的法律!中國移動通信集團(tuán)江西有限公司七層功能2022-7-524v 分層有什么好處？應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層1234567底層底層:負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸高層高層:負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸中國移動通信集團(tuán)江西有限公司七層功能2022-7-525應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層1234567提供應(yīng)用程序間通信提供應(yīng)用程序間通信處理數(shù)據(jù)格

14、式、數(shù)據(jù)加密等處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會話建立、維護(hù)和管理會話建立主機(jī)端到端連接建立主機(jī)端到端連接尋址和路由選擇尋址和路由選擇提供介質(zhì)訪問、鏈路管理等提供介質(zhì)訪問、鏈路管理等比特流傳輸比特流傳輸中國移動通信集團(tuán)江西有限公司數(shù)據(jù)封裝2022-7-526v 數(shù)據(jù)封裝和解封裝過程。DataDataHDataHH主機(jī)主機(jī)服務(wù)器服務(wù)器交換機(jī)交換機(jī)路由器路由器應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層DataDataHDataHH中國移動通信集團(tuán)江西

15、有限公司物理層2022-7-527v 物理層：定義電壓、接口、線纜標(biāo)準(zhǔn)、傳輸距離等。v 物理層線纜： 同軸電纜（coaxical cable）：細(xì)纜和粗纜 雙絞線（twisted pair）：UTP、STP 光纖（fibre） 無線電波（wireless radio）：無線局域網(wǎng)WLAN中國移動通信集團(tuán)江西有限公司物理層2022-7-528v 局域網(wǎng)與物理層 線纜標(biāo)準(zhǔn)：10Base-T、100Base-T、100Base-TX/FX、1000Base-T、1000Base-SX/LX； 網(wǎng)絡(luò)設(shè)備：中繼器、集線器等。v 廣域網(wǎng)與物理層 DTE設(shè)備：路由器、終端主機(jī)等； DCE設(shè)備：廣域網(wǎng)交換機(jī)、

16、Modem、CSU/DSU等； 常見接口：RS-232、V.24、V.35等。常見的物理層接口2022-7-5v 10M以太網(wǎng)接口v 100M以太網(wǎng)接口v 1000M以太網(wǎng)接口10M以太網(wǎng)接口2022-7-5v 10Base-T 目前使用最廣泛的局域網(wǎng)標(biāo)準(zhǔn)之一 使用雙絞線作為物理傳輸介質(zhì)v 10Base5 曾經(jīng)廣泛應(yīng)用于主干局域網(wǎng) 使用粗同軸電纜作為物理傳輸介質(zhì) v 10Base2 使用細(xì)同軸電纜作為物理傳輸介質(zhì)10Base-T的物理介質(zhì)2022-7-5v 3類雙絞線v 4類雙絞線v 5類雙絞線v 超5類雙絞線v 6類雙絞線有屏蔽與非屏蔽之分有屏蔽與非屏蔽之分均為均為8 8芯電纜芯電纜雙絞線的

17、類型由單位長度雙絞線的類型由單位長度內(nèi)的絞環(huán)數(shù)確定內(nèi)的絞環(huán)數(shù)確定5類雙絞線的線序2022-7-5v直連網(wǎng)線v交叉網(wǎng)線Side 1Side 1Side 2Side 2Side 1Side 1123456781234567812345678123456781=1=白白/ /橙橙2=2=橙橙3=3=白白/ /綠綠4=4=藍(lán)藍(lán)5=5=白白/ /藍(lán)藍(lán)6=6=綠綠7=7=白白/ /棕棕8=8=棕棕Side 2Side 2Side 1Side 1Side 2Side 2Side 1Side 1Side 2Side 2123456781234567812345678123456781=1=白白/ /橙橙2=2

18、=橙橙3=3=白白/ /綠綠4=4=藍(lán)藍(lán)5=5=白白/ /藍(lán)藍(lán)6=6=綠綠7=7=白白/ /棕棕8=8=棕棕1=1=白白/ /橙橙2=2=橙橙3=3=白白/ /綠綠4=4=藍(lán)藍(lán)5=5=白白/ /藍(lán)藍(lán)6=6=綠綠7=7=白白/ /棕棕8=8=棕棕1=1=白白/ /綠綠2=2=綠綠3=3=白白/ /橙橙4=4=藍(lán)藍(lán)5=5=白白/ /藍(lán)藍(lán)6=6=橙橙7=7=白白/ /棕棕8=8=棕棕100M以太網(wǎng)接口2022-7-5v 100Base-TX 物理介質(zhì)采用5類以上雙絞線 網(wǎng)段長度最多100米v 100Base-FX 物理介質(zhì)采用單模光纖，網(wǎng)段長度可達(dá)10公里 物理介質(zhì)采用多模光纖，網(wǎng)段長度最多2000

19、米v 快速以太網(wǎng)由IEEE 802.3u標(biāo)準(zhǔn)定義1000M以太網(wǎng)接口2022-7-5v 1000Base-T 物理介質(zhì)采用5類以上雙絞線，網(wǎng)段長度最多100米v 1000Base-F 物理介質(zhì)采用多模光纖，網(wǎng)段長度最多500米v IEEE 802.3z和802.3ab設(shè)備連接方式2022-7-5主機(jī)路由器交換機(jī)普通口交換機(jī)級連口交換機(jī)光口主機(jī)crosscrossnormalN/ASC/ST路由器crosscrossnormalN/ASC/ST交換機(jī)普通口normalnormalcrossNormalN/A交換機(jī)級連口N/AN/ANormalN/AN/A交換機(jī)光口SC/STSC/STN/AN/A

20、SC/ST中國移動通信集團(tuán)江西有限公司數(shù)據(jù)鏈路層2022-7-536v 數(shù)據(jù)鏈路層分為2個子層：LLC子層和MAC子層。v 數(shù)據(jù)鏈路層的功能： 物理地址定義 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 鏈路參數(shù) 差錯驗證 物理介質(zhì)訪問 流控制（可選）中國移動通信集團(tuán)江西有限公司MAC/物理地址2022-7-537v MAC地址有48位，華為產(chǎn)品前3個字節(jié)是0 x00E0FC。00e0.fc01.2345廠商編號廠商編號序列號序列號24 bits24 bits00e0.fc01.2345RomRam中國移動通信集團(tuán)江西有限公司LAN與數(shù)據(jù)鏈路層2022-7-538v IEEE802標(biāo)準(zhǔn)：當(dāng)今最為流行的LAN標(biāo)準(zhǔn) IEEE80

21、2.1 基本局域網(wǎng)問題 IEEE802.2 定義LLC子層 IEEE802.3 以太網(wǎng)標(biāo)準(zhǔn) IEEE802.4 令牌總線網(wǎng) IEEE802.5 令牌環(huán)網(wǎng)v 以太網(wǎng)交換機(jī)中國移動通信集團(tuán)江西有限公司W(wǎng)AN與數(shù)據(jù)鏈路層2022-7-539v WAN數(shù)據(jù)鏈路層標(biāo)準(zhǔn)： HDLC PPP ISDN X.25 Frame Relayv WAN數(shù)據(jù)鏈路層設(shè)備： Modem、ISDN終端適配器 CSU/DSU、廣域網(wǎng)交換機(jī)中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)層2022-7-540v 編址和路由應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層中國移動通信集團(tuán)江西有限公司網(wǎng)

22、絡(luò)地址2022-7-541v 網(wǎng)絡(luò)層地址由兩部分地址組成：網(wǎng)絡(luò)層地址和主機(jī)地址。網(wǎng)絡(luò)層地址是全局唯一的。IP 地址地址IPX 地址地址網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址主機(jī)地址主機(jī)地址8網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址主機(jī)地址主機(jī)地址1aceb0b1.0000.0c00.6e25中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)層協(xié)議操作2022-7-542網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層表示層表示層會話層會話層傳輸層傳輸層應(yīng)用層應(yīng)用層ABCDERouter ARouter BRoute

23、r C中國移動通信集團(tuán)江西有限公司端到端通信2022-7-543傳輸虛電路傳輸虛電路HostWWW.HUAWEI.COMFTP.HUAWEI.COM應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)WWWFTP傳輸數(shù)據(jù)包傳輸數(shù)據(jù)包211028801027DataData中國移動通信集團(tuán)江西有限公司流量控制2022-7-544v 流量控制的三種方式： 緩存技術(shù)：突發(fā)緩存，空閑發(fā)送。 源抑制報文：利用ICMP協(xié)議向源端發(fā)送source quench報文。 窗口機(jī)制：報文中包含窗口字段，用于控制源端一次發(fā)送數(shù)據(jù)的多少。中國移動通信集團(tuán)江西有限公司會話層、表示層和應(yīng)用層2022-7-545v 會話層協(xié)議： SQL、NFS、RPC等；v

24、 表示層協(xié)議： ASCII、MPEG、JPEG等；v 應(yīng)用層協(xié)議： 文字處理、郵件、電子表格等。中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)概述OSI參考模型TCP/IP協(xié)議VLAN原理 基礎(chǔ)知識網(wǎng)絡(luò)模型協(xié)議棧VLAN基礎(chǔ)目 錄2022-7-546路由技術(shù) 路由技術(shù)基礎(chǔ) IP地址分類與子網(wǎng)劃分IP地址與子網(wǎng)TCP/IP協(xié)議和OSI參考模型2022-7-5v TCP/IP協(xié)議棧具有簡單的分層設(shè)計，與OSI參考模型有清晰的對應(yīng)關(guān)系。應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng) 用 層傳輸層網(wǎng)絡(luò)層7654321物理層數(shù)據(jù)鏈路層OSI參考模型TCP/IPTCP/IP協(xié)議棧的封裝過程2022-7-5 用戶數(shù)據(jù)用

25、戶數(shù)據(jù)Appl首部 應(yīng)用數(shù)據(jù)Tcp首部Ip首部 應(yīng)用數(shù)據(jù)Tcp首部以太網(wǎng)首部 應(yīng)用數(shù)據(jù)Tcp首部Ip首部以太網(wǎng)首部TCP段IP數(shù)據(jù)報14 20204以太網(wǎng)幀46-1500字節(jié)應(yīng)用程序 TCP IP以太網(wǎng)驅(qū)動程序TCP/IP協(xié)議數(shù)據(jù)封裝方式2022-7-5TELNET23FTP20/21SMTP25TFTP69SEGMENTIP PACKETSFRAMESBITSTCP/IP協(xié)議棧2022-7-5HTTP、Telnet、FTP、TFTP、Ping、etcTCP/UDPARP/RARPIPIGMP ICMPEthernet、802.3、PPP、HDLC、FR、etc接口和線纜應(yīng)用層傳輸層網(wǎng)絡(luò)層 數(shù)

26、據(jù)鏈路層提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問二進(jìn)制數(shù)據(jù)流傳輸 物理層傳輸層協(xié)議概述2022-7-5應(yīng)用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接入層TCPUDPTCP/UDP報文格式2022-7-50816243116位源端口16位目的端口32位序列號32位確認(rèn)號URGACKPSHRSTSYNFIN首部長度保留(6位)16位窗口大小16位TCP校驗和16位緊急指針選項數(shù)據(jù)0816243116位源端口16位目的端口16位UDP校驗和數(shù)據(jù)UDPUDP報文格式報文格式TCPTCP報文格式報文格式16位UDP長度端口號2022-7-5v 傳輸層協(xié)議用端口號來標(biāo)識和區(qū)分各種上層應(yīng)用程序。HTTP FT

27、PTelnet SMTPDNSTFTPSNMPTCPUDPIP IP 數(shù)數(shù) 據(jù)據(jù) 包包套套 接接 字字8020/2123255369161TCP連接2022-7-5clientserverSYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=b+1)斷開TCP連接2022-7-5clientserverFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1）ACK(seq=b+1)滑動窗口2022-7-5需要修改窗口大小發(fā)送數(shù)據(jù)太快了！len 1024win4096len 1024win4096len 1024win4096ack 4097win204

28、8len 1024win4096len 1024win4096ack 6145win2048len 1024win4096len 1024win4096len 1024win4096網(wǎng)絡(luò)層協(xié)議概述2022-7-5網(wǎng)絡(luò)接入層應(yīng)用層傳輸層網(wǎng)絡(luò)層 IP ARP RARP ICMP IP報文格式2022-7-5版本報文長度服務(wù)類型總 長 度標(biāo) 識 符標(biāo)志片 偏 移生存時間協(xié) 議報 頭 校 驗 和源 IP 地 址目 的 IP 地 址IP 選 項ARP地址解析協(xié)議2022-7-5需要的MAC地址？IP:/24MAC:00-E0-FC-00-00-11IP:/

29、24MAC:00-E0-FC-00-00-12ARP Request?ARP Reply 對應(yīng)的MAC：00-E0-FC-00-00-12RARP反向地址解析協(xié)議2022-7-5我的IP地址是什么？無盤工作站RARP ServerRARP Request?RARP Reply你的IP地址是ICMP協(xié)議2022-7-5B可達(dá)嗎？ICMP Echo RequestICMP Echo Reply我在。AB模型對比和網(wǎng)絡(luò)安全2022-7-5v TCP/IPTCP/IP模型與模型與OSIOSI模型模型 七層七層 VS VS 四層四層v TCP/IPTCP/IP四層模型四層

30、模型 網(wǎng)絡(luò)接口層；網(wǎng)絡(luò)接口層；(PPP(PPP、ARP)ARP) 互聯(lián)層；互聯(lián)層；(IP(IP、ICMP)ICMP) 傳輸層；傳輸層；(TCP(TCP、UDP)UDP) 應(yīng)用層；應(yīng)用層；(HTTP(HTTP，SNMPSNMP，F(xiàn)TPFTP，SMTPSMTP，DNSDNS，Telnet )Telnet )數(shù)據(jù)封裝與傳送2022-7-5v 所有 TCP, UDP, ICMP 數(shù)據(jù)通過IP數(shù)據(jù)包封裝進(jìn)行傳輸。v IP數(shù)據(jù)報的傳輸是不可靠的。v IP 網(wǎng)絡(luò)是面向無連接的。IP地址濫用2022-7-5v 在同一個網(wǎng)段里，用戶可以隨意改變自己的在同一個網(wǎng)段里，用戶可以隨意改變自己的IPIP地址；黑客地址；

31、黑客可以利用工具構(gòu)建特殊的可以利用工具構(gòu)建特殊的IPIP報，并指定報，并指定IPIP地址。地址。v IPIP偽裝能做什么？偽裝能做什么？ DoS(DoS(主機(jī)、路由器）主機(jī)、路由器） 偽裝成信任主機(jī)偽裝成信任主機(jī) 切斷并接管連接切斷并接管連接 繞過防火墻繞過防火墻v IPIP偽裝給黑客帶來的好處偽裝給黑客帶來的好處 獲得訪問權(quán)。獲得訪問權(quán)。 不留下蹤跡。（不留下蹤跡。（synfloodingsynflooding工具）工具）數(shù)據(jù)報的分片與組裝2022-7-5MTU limiteddatagramsfragments數(shù)據(jù)報到達(dá)目的地時才會進(jìn)行組裝數(shù)據(jù)報到達(dá)目的地時才會進(jìn)行組裝 需要組裝在一起的數(shù)

32、據(jù)分片具有同樣需要組裝在一起的數(shù)據(jù)分片具有同樣的標(biāo)志號的標(biāo)志號通過分片位移位標(biāo)志數(shù)據(jù)分片在的數(shù)通過分片位移位標(biāo)志數(shù)據(jù)分片在的數(shù)據(jù)報組裝過程中的序列位置據(jù)報組裝過程中的序列位置除了最后的數(shù)據(jù)片，其他的數(shù)據(jù)片均除了最后的數(shù)據(jù)片，其他的數(shù)據(jù)片均會置會置“MF”MF”位位receiving computersfragment reassembly bufferPing o Death 攻擊2022-7-5攻擊者構(gòu)建分片目標(biāo)接收分片重組分片Internetbuffer 65535 byteslast frag is too large causing 16-bit variablesto overflo

33、w TearDrop攻擊150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=120150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=80X=(偏移2+包長2)-包長1=?重組重組XX基于ICMP的欺騙2022-7-5v Broadcast ICMP Smurf攻擊，向網(wǎng)絡(luò)的廣播地址發(fā)送echo requset請求，將得到網(wǎng)絡(luò)中所有主機(jī)的echo reply響應(yīng)。v 對策： 根據(jù)具體需要，可將邊界路由器配置deny進(jìn)入內(nèi)網(wǎng)的ICMP echo request； 配置關(guān)鍵的UNIX系統(tǒng)不響應(yīng)ICMP echo request

34、； 配置路由器不響應(yīng)directed-broadcast;Smurf 攻擊2022-7-5攻擊者目標(biāo)發(fā)送一個發(fā)送一個echo request echo request 的廣播包的廣播包源地址偽造成目標(biāo)主機(jī)的地址源地址偽造成目標(biāo)主機(jī)的地址因為中間網(wǎng)絡(luò)的眾多機(jī)器都響應(yīng)廣播包，因為中間網(wǎng)絡(luò)的眾多機(jī)器都響應(yīng)廣播包，目標(biāo)主機(jī)會接收到大量的目標(biāo)主機(jī)會接收到大量的 echo repliesecho replies中間網(wǎng)絡(luò)UDP 協(xié)議2022-7-5v UDP UDP 是不可靠的是不可靠的: : 是指是指UDPUDP協(xié)議不保證每個數(shù)據(jù)報都能到協(xié)議不保證每個數(shù)據(jù)報都能到達(dá)希望的目的達(dá)希望的目的v 端口號區(qū)分發(fā)送

35、進(jìn)程與接收進(jìn)程端口號區(qū)分發(fā)送進(jìn)程與接收進(jìn)程 DNSDNS、QQQQ、TFTPTFTP、SNMPSNMPclientserverport = 33987/udpport = 53/udpDNSport = 7070/udpport = 7070/udpRealAudioUDP Flood攻擊2022-7-5echoport 7攻擊者攻擊者chargenport 19intermediary目標(biāo)目標(biāo) Network Congestion （udpflooding工具）工具）TCP 協(xié)議2022-7-5v TCP TCP 提供一種可靠的、面向連接的服務(wù)提供一種可靠的、面向連接的服務(wù): : 在規(guī)定的時

36、間內(nèi)沒有收到在規(guī)定的時間內(nèi)沒有收到“收到確認(rèn)收到確認(rèn)”信息，信息， TCP TCP 將重發(fā)將重發(fā)數(shù)據(jù)報。數(shù)據(jù)報。 每個每個TCPTCP數(shù)據(jù)報都有唯一的數(shù)據(jù)報都有唯一的 sequence number sequence number ，用于排序，用于排序與重傳。與重傳。v 與與UDPUDP一樣一樣, ,使用使用 port numbers port numbers 來區(qū)分收發(fā)進(jìn)程來區(qū)分收發(fā)進(jìn)程v 由標(biāo)志位的組合指明由標(biāo)志位的組合指明TCPTCP分組的功能分組的功能正常用戶登錄2022-7-5v 通過普通的網(wǎng)絡(luò)連線，用戶傳送信息要求服務(wù)器予以確定通過普通的網(wǎng)絡(luò)連線，用戶傳送信息要求服務(wù)器予以確定,

37、,v 服務(wù)器接收到客戶請求后回復(fù)用戶。服務(wù)器接收到客戶請求后回復(fù)用戶。v 用戶被確定后，就可登入服務(wù)器。用戶被確定后，就可登入服務(wù)器。 SYN 欺騙2022-7-5v 用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址著這種無用的信息。所有的信息都有需回復(fù)的虛假地址（synflooding工具）工具）SYN 欺騙2022-7-5v 達(dá)到達(dá)到“拒絕服務(wù)拒絕服務(wù)”攻擊的效果：攻擊的效果： 當(dāng)服務(wù)器試圖回傳時，卻無法找到用戶。服務(wù)器于是暫時等當(dāng)服務(wù)器試圖回傳時，卻無法找到用戶。服務(wù)器于是暫時等候，有時超

38、過一分鐘，然后再切斷連接。候，有時超過一分鐘，然后再切斷連接。 服務(wù)器切斷連接時，黑客再度傳送新一批需要確認(rèn)的信息，服務(wù)器切斷連接時，黑客再度傳送新一批需要確認(rèn)的信息，這個過程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)。這個過程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)。SYN flood（洪水攻擊）2022-7-5v 防御辦法：防御辦法： 增加連接隊列大小增加連接隊列大小 縮短建立連接超時期限縮短建立連接超時期限 應(yīng)用廠家的相關(guān)軟件補(bǔ)丁應(yīng)用廠家的相關(guān)軟件補(bǔ)丁 應(yīng)用網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)IDSIDS示例：旁路流量清洗工作過程2022-7-5流量分析系統(tǒng)流量分析系統(tǒng)流量清洗系統(tǒng)流量清洗系統(tǒng)受保護(hù)的服務(wù)器 業(yè)務(wù)管理系統(tǒng)

39、業(yè)務(wù)管理系統(tǒng)1 12.12.1Netflow數(shù)據(jù)輸出正常流量不受影響正常流量不受影響發(fā)現(xiàn)攻擊通知業(yè)務(wù)管理系統(tǒng)通知防御設(shè)備，開啟攻擊防御流量回注3.13.1牽引流量,對異常流量進(jìn)行清洗流量牽引未受保護(hù)的服務(wù)器 受保護(hù)的服務(wù)器 3.2將攻擊的實(shí)時信息通知業(yè)務(wù)管理系統(tǒng)攻擊停止，通知業(yè)務(wù)管理系統(tǒng)4 4示例：黑洞路由2022-7-5v ip route Null0安全要求2022-7-5中國移動通信集團(tuán)江西有限公司IP地址分類與子網(wǎng)劃分OSI參考模型TCP/IP協(xié)議 網(wǎng)絡(luò)概述 基礎(chǔ)知識網(wǎng)絡(luò)模型協(xié)議棧IP地址與子網(wǎng)目 錄2022-7-580

40、VLAN原理VLAN基礎(chǔ)路由技術(shù) 路由技術(shù)基礎(chǔ)二進(jìn)制與十進(jìn)制的轉(zhuǎn)化中國移動通信集團(tuán)江西有限公司812022-7-5111111111286432168421十進(jìn)制總合為十進(jìn)制總合為2552558bit二進(jìn)制與十進(jìn)制之間的轉(zhuǎn)化中國移動通信集團(tuán)江西有限公司822022-7-527262524232221201286432168421111010011*1281*641*320*161*80*40*21*164320233010128+8例子：例子：IP地址的進(jìn)制轉(zhuǎn)化中國移動通信集團(tuán)江西有限公司832022-7-5vIP地址：1 字節(jié)（8位） 字節(jié)（8位） 字節(jié)（8位） 字節(jié)（

41、8位） 2726252423222120 2726252423222120 2726252423222120 2726252423222120 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 1 1 等于 192 168 1 11IP地址介紹中國移動通信集團(tuán)江西有限公司842022-7-5v IP地址唯一標(biāo)示一臺網(wǎng)絡(luò)設(shè)備v 私有IP地址 55 55 55 1120.13

42、0.188.144IP地址分類中國移動通信集團(tuán)江西有限公司852022-7-501 01 1 01 1 1 01 1 1 10Network(7bit)Network(14bit)Network(21bit)組 播 地 址保 留Host(24bit)Host(16bit)Host(8bit)A類 地 址B類 地 址C類 地 址D類 地 址E類 地 址55 55 5555v 55特殊

43、IP地址中國移動通信集團(tuán)江西有限公司862022-7-5網(wǎng)絡(luò)部分 主機(jī)部分地址類型用 途127any全“0”全“1”Any全“0”Any全“1”網(wǎng)絡(luò)地址代表一個網(wǎng)段廣播地址特定網(wǎng)段的所有節(jié)點(diǎn)環(huán)回地址環(huán)回測試廣播地址本網(wǎng)段所有節(jié)點(diǎn)所有網(wǎng)絡(luò)華為Quidway路由器用于指定默認(rèn)路由子網(wǎng)掩碼介紹中國移動通信集團(tuán)江西有限公司872022-7-5v 網(wǎng)絡(luò)設(shè)備使用子網(wǎng)掩碼（subnet masking）決定IP地址中哪部分為網(wǎng)絡(luò)部分，哪部分為主機(jī)部分。v 子網(wǎng)掩碼使用與IP地址一樣的格式。子網(wǎng)掩碼的網(wǎng)絡(luò)部分和子網(wǎng)部分全都是1，主機(jī)部分全都是0。缺省狀態(tài)下，如果沒有進(jìn)行子網(wǎng)劃分，A類網(wǎng)絡(luò)的子網(wǎng)掩碼為255.0

44、.0.0，B類網(wǎng)絡(luò)的子網(wǎng)掩碼為，C類網(wǎng)絡(luò)子網(wǎng)掩碼為。利用子網(wǎng)，網(wǎng)絡(luò)地址的使用會更有效。對外 仍為一個網(wǎng)絡(luò)，對內(nèi)部而言，則分為不同的子網(wǎng)。網(wǎng)絡(luò)地址與子網(wǎng)掩碼中國移動通信集團(tuán)江西有限公司882022-7-5IP地址：192 . 168 . 1. 100子網(wǎng)掩碼：網(wǎng)絡(luò)地址：192 . 168 . 1. 0255.255.255. 0子網(wǎng)掩碼的表示方法中國移動通信集團(tuán)江西有限公司892022-7-5IPIP地址地址子網(wǎng)掩碼子網(wǎng)掩碼子網(wǎng)掩碼比特數(shù)子網(wǎng)掩碼比特數(shù)子網(wǎng)掩碼表示子網(wǎng)掩碼表示11111111 11111111 11111111 1111000011

45、000000 10101000 00000001 000001118 + 8 + 8+ 4 = 28網(wǎng)絡(luò)地址的計算中國移動通信集團(tuán)江西有限公司902022-7-5IPIP地址地址子網(wǎng)掩碼子網(wǎng)掩碼網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址( (二進(jìn)制二進(jìn)制) )網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址11111111 11111111 11111111 1111000011000000 10101000 00000001 0000011111000000 10101000 00000001 00000000IPIP地址為地址為: /19: /19主機(jī)數(shù)的計算中國移動通信集團(tuán)江西有限公司912022-7

46、-5主機(jī)數(shù)為：主機(jī)數(shù)為： 2 2n n可用主機(jī)數(shù)為可用主機(jī)數(shù)為 : 2: 2n n - 2 - 2子網(wǎng)掩碼子網(wǎng)掩碼N主機(jī)位主機(jī)位1111111111111100000000000000主機(jī)數(shù)計算舉例中國移動通信集團(tuán)江西有限公司922022-7-5IP地址為：00/28 /28=40該子網(wǎng)掩碼二進(jìn)制表示為：11111111，11111111，11111111，11110000 28bits 網(wǎng)絡(luò)位4bits主機(jī)位主機(jī)總數(shù)為： 24 可用主機(jī)數(shù)為: 24 -2子網(wǎng)數(shù)計算舉例中國移動通信集團(tuán)江西有限公司932022-7-5IP地址為：192.168.1

47、.100/28 /28=40該子網(wǎng)掩碼二進(jìn)制表示為：11111111，11111111，11111111，11110000 28bits 網(wǎng)絡(luò)位4bits主機(jī)位子網(wǎng)總數(shù)為： 28-4可用子網(wǎng)數(shù)為: 28-4-2子網(wǎng)規(guī)劃舉例中國移動通信集團(tuán)江西有限公司942022-7-5v 例子：某公司分配到C類地址。假設(shè)需要20個子網(wǎng)，每個子網(wǎng)有5臺主機(jī)，我們該如何劃分？486484255.255.

48、255.24824848748548348C類子網(wǎng)規(guī)劃示例對于圖中對于圖中 C 類網(wǎng)絡(luò)來說，如果子網(wǎng)有五位，則能提供類網(wǎng)絡(luò)來說，如果子網(wǎng)有五位，則能提供 30 個子個子網(wǎng)，每個子網(wǎng)可容納網(wǎng)，每個子網(wǎng)可容納 6 臺主機(jī)。臺主機(jī)。子網(wǎng)位數(shù)子網(wǎng)位數(shù)子網(wǎng)掩碼子網(wǎng)掩碼子網(wǎng)數(shù)子網(wǎng)數(shù)每一子網(wǎng)主機(jī)數(shù)每一子網(wǎng)主機(jī)數(shù)2922623255.255.255

49、.2246304401414548306652622常用的網(wǎng)絡(luò)測試工具PINGv Ping是測試網(wǎng)絡(luò)聯(lián)接狀況以及信息包發(fā)送和接收狀況非常有用的工具，是網(wǎng)絡(luò)測試最常用的命令。Ping向目標(biāo)主機(jī)(地址)發(fā)送一個回送請求數(shù)據(jù)包，要求目標(biāo)主機(jī)收到請求后給予答復(fù)，從而判斷網(wǎng)絡(luò)的響應(yīng)時間和本機(jī)是否與目標(biāo)主機(jī)(地址)聯(lián)通。v 如果執(zhí)行Ping不成功，則可以預(yù)測故障出現(xiàn)在以下幾個方面：網(wǎng)線故障，網(wǎng)絡(luò)適配器配置不正確，IP地址不正確。如果執(zhí)行Ping成功而網(wǎng)絡(luò)仍無法使用，那么問題很可能出在網(wǎng)絡(luò)系統(tǒng)的軟件配置方面，Ping成功只能保證本

50、機(jī)與目標(biāo)主機(jī)間存在一條連通的物理路徑。常用的網(wǎng)絡(luò)測試工具 Ping的使用v 命令格式：v ping IP地址或主機(jī)名 -t -a -n count -l size v 參數(shù)含義： -t不停地向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)； -a 以IP地址格式來顯示目標(biāo)主機(jī)的網(wǎng)絡(luò)地址 ； -n count 指定要Ping多少次，具體次數(shù)由count來指定 ； -l size 指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小。常用的網(wǎng)絡(luò)測試工具 Ping的舉例v 測試本機(jī)與移動網(wǎng)站是否連接v ping v 測試本機(jī)與移動網(wǎng)站的網(wǎng)絡(luò)連接狀況v ping -n 10000常用的網(wǎng)絡(luò)測試工具 Tracertv Tracert命令用來顯示數(shù)據(jù)包到

51、達(dá)目標(biāo)主機(jī)所經(jīng)過的路徑，并顯示到達(dá)每個節(jié)點(diǎn)的時間。命令功能同Ping類似，但它所獲得的信息要比Ping命令詳細(xì)得多，它把數(shù)據(jù)包所走的全部路徑、節(jié)點(diǎn)的IP以及花費(fèi)的時間都顯示出來。該命令比較適用于大型網(wǎng)絡(luò)。常用的網(wǎng)絡(luò)測試工具 Tracert 舉例v 測試本機(jī)到江西移動網(wǎng)站所經(jīng)過的路徑 tracert 中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)概述OSI參考模型TCP/IP協(xié)議 IP地址分類與子網(wǎng)劃分VLAN原理 基礎(chǔ)知識網(wǎng)絡(luò)模型協(xié)議棧IP地址與子網(wǎng)VLAN技術(shù)目 錄2022-7-5101路由技術(shù) 路由技術(shù)基礎(chǔ)VLAN的產(chǎn)生原因廣播風(fēng)暴廣廣 播播 域域通過路由器將網(wǎng)絡(luò)分段廣播域廣播域廣播域廣播域廣播 通過V

52、LAN劃分廣播域廣播域廣播域廣播域廣播域Port 1 : VLAN-1Port 2 : VLAN-2VLAN的優(yōu)點(diǎn)v 相對與傳統(tǒng)的LAN技術(shù)，VLAN具有如下優(yōu)勢： 隔離廣播域，抑制廣播報文. 減少移動和改變的代價 創(chuàng)建虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式 增強(qiáng)通訊的安全性 增強(qiáng)網(wǎng)絡(luò)的健壯性VLAN的劃分方法基于端口的VLAN主機(jī)主機(jī)A主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)DVLAN表表Port 1Port 2 Port 7Port 10端口所屬VLANPort1VLAN5Port2VLAN10Port7VLAN5Port10VLAN10VLAN的劃分方法 基于MAC地址的VLANVLAN表表MAC地址

53、所屬VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DVLAN10主機(jī)主機(jī)A主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)DVLAN的劃分方法基于協(xié)議的VLANVLAN表表協(xié)議類型所屬VLANIPX協(xié)議VLAN5IP協(xié)議VLAN10主機(jī)主機(jī)B主機(jī)主機(jī)C主機(jī)主機(jī)DVLAN的可跨越性VLAN3VLAN5VLAN3VLAN5v VLAN數(shù)據(jù)可以跨越多臺交換機(jī)被轉(zhuǎn)遞SWASWBVLAN的鏈路類型接入鏈路Access-Link干道鏈路Trunk-LinkSWASWB以太網(wǎng)交換機(jī)的端口分類v Access端口：一般用于接用戶計算機(jī)的端口，access端口只能屬于1個VLAN。v Trunk端口

54、：一般用于交換機(jī)之間連接的端口，trunk端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文。v Hybrid端口：可以用于交換機(jī)之間連接，也可以用于接用戶的計算機(jī)，hybrid端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文。端口的缺省ID（PVID）v Access端口只屬于一個VLAN，所以它的缺省ID就是它所在的VLAN，不用設(shè)置。v Hybrid端口和Trunk端口屬于多個VLAN， 所以需要設(shè)置缺省VLAN ID，缺省情況下為VLAN 1。Access-Link配置v 默認(rèn)情況下，交換機(jī)所有端口都是Access-Link端口，并屬于VLAN-1，即PVID (Po

55、rt VLAN ID)為1Port-0/2 : VLAN-5配置端口類型Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2port link-type access創(chuàng)建VLAN，并向VLAN中添加端口Switchvlan 3Switch-vlan1port ethernet 0/1Switchvlan 5Switch-vlan2port ethernet 0/2另外的一種向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vl

56、an 5SWATrunk-Link配置v 負(fù)責(zé)傳輸多個VLAN的數(shù)據(jù)v Trunk-Link端口PVID默認(rèn)為1配置端口類型Switch-Ethernet0/3port link-type trunk配置Trunk-Link所允許傳遞的VLANSwitch-Ethernet0/3port trunk permit vlan all配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1Port-0/3Port-0/3SWASWBIEEE802.1Q概述VLAN架構(gòu)VLAN提供的服務(wù)VLAN涉及的協(xié)議和算法IEEE 802.1QVLAN

57、的幀格式DASATYPEDATACRCDASATAGTYPEDATACRC標(biāo)準(zhǔn)以太網(wǎng)幀帶有IEEE802.1Q標(biāo)記的以太網(wǎng)幀0 x8100PRICFIVLAN IDTPIDTCI802.1Q的轉(zhuǎn)發(fā)原則Access-Linkv 當(dāng)Access端口收到幀時 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，交換機(jī)不作處理，直接丟棄。v 當(dāng)Access端口發(fā)送幀時 剝離802.1Q tag header，發(fā)出的幀為普通以太網(wǎng)幀1.主機(jī)只能處理標(biāo)準(zhǔn)以太幀2.交換機(jī)內(nèi)部的數(shù)據(jù)幀都是帶標(biāo)簽802.1Q的轉(zhuǎn)發(fā)原則Trunk-Linkv 當(dāng)

58、Trunk端口收到幀時 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。v 當(dāng)Trunk端口發(fā)送幀時 當(dāng)該幀的VLAN ID與端口的PVID不同時，直接透傳；當(dāng)該幀的VLAN ID與端口的PVID相同時，則剝離802.1Q tag header Port-0/3Port-0/3802.1Q的轉(zhuǎn)發(fā)原則Hybird-Linkv 當(dāng)Hybird端口收到幀時 如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。v 當(dāng)Hybird端口發(fā)送幀時 判斷VLAN在本端口的屬性。用“dis interface”可看到該端口對哪些 VLAN是untag，哪些VLAN是tag，如果是untag則剝離802.1Q tag header 再發(fā)送，如果是tag則直接透傳。幀在網(wǎng)絡(luò)通信中的變化SWASWBVLAN 2中國移動通信集團(tuán)江西有限公司網(wǎng)絡(luò)概述OSI參考模型T