2網(wǎng)絡(luò)基礎(chǔ)知識(shí)以及網(wǎng)絡(luò)設(shè)備課件

第一部分

網(wǎng)絡(luò)技術(shù)及設(shè)備內(nèi)容1計(jì)算機(jī)網(wǎng)絡(luò)概述OSI參考模型和TCP/IP協(xié)議棧基礎(chǔ)數(shù)據(jù)交換、路由技術(shù)基礎(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)概述計(jì)算機(jī)網(wǎng)絡(luò)的分類按網(wǎng)絡(luò)覆蓋范圍劃分局域網(wǎng)按網(wǎng)絡(luò)所支持的速率10M網(wǎng)絡(luò)100M網(wǎng)絡(luò)1000M網(wǎng)絡(luò)城域網(wǎng)廣域網(wǎng)按拓?fù)漕愋蛣澐挚偩€形網(wǎng)絡(luò)星形網(wǎng)絡(luò)環(huán)形網(wǎng)絡(luò)網(wǎng)狀網(wǎng)絡(luò)按提供服務(wù)的方式對(duì)等網(wǎng)絡(luò)服務(wù)器/客戶端網(wǎng)絡(luò)網(wǎng)絡(luò)通訊的方式單播廣播組播網(wǎng)絡(luò)協(xié)議100085北京市海淀區(qū)上地東路5號(hào)神州數(shù)碼大廈神州數(shù)碼網(wǎng)絡(luò)有限公司負(fù)責(zé)人（收）北京市友華科技公司100088FROM:RoomNo。108,Bldg。F,

HuiyuanInternationalApartment

No。8AnliRoadChaoyangDistrict

Beijing,PRC 100101TO:DigitalChinaUSA5Musick,IrvineCA,92718U.S.A協(xié)議就是一套約定俗成國(guó)內(nèi)信件需要按照此格式美國(guó)的信件需要按照此格式計(jì)算機(jī)網(wǎng)絡(luò)業(yè)界有影響的組織國(guó)際標(biāo)準(zhǔn)化組織(ISO)電子電氣工程師協(xié)會(huì)(IEEE)美國(guó)國(guó)家標(biāo)準(zhǔn)局(ANSI)電子工業(yè)協(xié)會(huì)/電信工業(yè)聯(lián)盟(EIA/TIA)國(guó)際電信聯(lián)盟(ITU)INTERNET行動(dòng)委員會(huì)(IAB)OSI參考模型物理介質(zhì)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層處理網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)格式轉(zhuǎn)換網(wǎng)絡(luò)設(shè)備間通信管理端到端的連接尋址和最短路徑的選擇接入網(wǎng)絡(luò)介質(zhì)比特?cái)?shù)據(jù)流傳送應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)傳輸層與層之間功能相互獨(dú)立（每層遵照自己獨(dú)有的協(xié)議集，與對(duì)方相應(yīng)層次進(jìn)行通訊）上層通訊依賴于下層通訊OSI參考模型應(yīng)用層（L7）應(yīng)用程序接口：http,……

實(shí)現(xiàn)多個(gè)系統(tǒng)應(yīng)用進(jìn)程相互通信,提供應(yīng)用程序接口物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層表示層（L6）數(shù)據(jù)的解碼和編碼數(shù)據(jù)的加密和解密數(shù)據(jù)的壓縮和解壓表示層保證一個(gè)系統(tǒng)應(yīng)用層發(fā)出的信息能被另一個(gè)系統(tǒng)的應(yīng)用層讀出物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層會(huì)話層（L5）會(huì)話的建立、維持、終止系統(tǒng)軟件：Windows2003server、ScoUNIX應(yīng)用軟件：IE、CuteFTP、IIS、SQL管理通信實(shí)體間的會(huì)話物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)的封裝示意用戶數(shù)據(jù)協(xié)議數(shù)據(jù)單元（PDU）數(shù)據(jù)段（Segment）數(shù)據(jù)包（Packet）數(shù)據(jù)幀（Frame）位流（BitFlow）物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)的解封示意物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層用戶數(shù)據(jù)數(shù)據(jù)解封協(xié)議數(shù)據(jù)單元（PDU)7654321數(shù)據(jù)數(shù)據(jù)H4L4數(shù)據(jù)H3L3數(shù)據(jù)H2110000101010數(shù)據(jù)段（Segment）數(shù)據(jù)包（Packet）數(shù)據(jù)幀（Frame）數(shù)據(jù)位（Bits）物理層（L1）線路類型（雙絞線、光纖、Wireless）傳輸速率（bps、Kbps、Mbps、Gbps、10Gbps）傳輸模式（單工、半雙工、全雙工）網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)（星狀拓?fù)?、環(huán)狀拓?fù)洹⒖偩€拓?fù)洌╇p絞線100M雙絞線線序雙絞線的制作過(guò)程如下：1、按照線序圖打開線對(duì)并排列整齊2、小心的將線頭掐平并送入水晶頭的8個(gè)線槽中，按緊3、用專門的卡線鉗子將水晶頭中的線掐緊123網(wǎng)絡(luò)設(shè)備以太口的線序標(biāo)準(zhǔn)PinSignalDescription1RX+ReceiveData+2RX-ReceiveData-3TX+TransmitData+4NotapplicableNotapplicable5NotapplicableNotapplicable6TX-TransmitData+7NotapplicableNotapplicable8NotapplicableNotapplicablePinSignalDescription1TX+TransmitData+2TX-TransmitData-3RX+ReceiveData+4NotapplicableNotapplicable5NotapplicableNotapplicable6RX-ReceiveData-7NotapplicableNotapplicable8NotapplicableNotapplicableMDI-XportMDIportHubUplink，網(wǎng)卡，路由器以太口Hub，交換機(jī)

直通線和交叉線連接原理圖網(wǎng)絡(luò)傳輸介質(zhì)10MbpsEthernet：10BaseT----使用3/4/5類UTP，距離100米。100MbpsFastEthernet:100BaseTX----使用5類UTP，距離100米。100BaseFX----使用單模和多模光纖（直徑62.5或125um）。多模光纖連接的最大距離為550米，單模光纖連接的最大距離為3000米。網(wǎng)絡(luò)傳輸介質(zhì)1000MbpsGigabitEthernet：1000Base-SX----使用直徑為62.5um或50um的多模光纖，工作波長(zhǎng)為770-860nm，傳輸距離為220-550m。1000Base-LX----使用直徑為9um或10um的單模光纖，工作波長(zhǎng)為1270-1355nm，傳輸距離為5km。1000Base-CX----使用150歐屏蔽雙絞線（STP），傳輸距離為25m。1000Base-T----使用5類UTP，距離100米。物理層設(shè)備-集線器中繼器的一種形式，區(qū)別在于集線器能夠提供多端口服務(wù)，也稱為多口中繼器。所有端口屬于同一個(gè)沖突域所有端口屬于同一個(gè)廣播域所有端口共享總線帶寬以泛洪方式轉(zhuǎn)發(fā)任何形式的數(shù)據(jù)數(shù)據(jù)鏈路層（L2）網(wǎng)段（廣播域）中數(shù)據(jù)通訊的機(jī)制數(shù)據(jù)的差錯(cuò)檢測(cè)指明上層（L3）網(wǎng)絡(luò)協(xié)議IEEE802模型數(shù)據(jù)鏈路層LLC層MAC層MAC：網(wǎng)段（廣播域）中數(shù)據(jù)通訊的機(jī)制和數(shù)據(jù)的差錯(cuò)檢測(cè)LLC：指明上層網(wǎng)絡(luò)協(xié)議(IEEE802.2)以太網(wǎng)幀格式MAC地址:48位二進(jìn)制（以十六進(jìn)制形式表示），設(shè)備的物理標(biāo)識(shí)，其值與設(shè)備的生產(chǎn)廠商有關(guān)TYPE（類型）：指明上層（L3）網(wǎng)絡(luò)協(xié)議DATA（數(shù)據(jù)）：可變于46Byte－1500Byte之間FCS（幀檢測(cè)序列）：CRC校驗(yàn)DSTSRCTYPEDATAFCSCSMA/CD聽PacketPCAPCBPCCPCD空閑當(dāng)PCA要發(fā)一個(gè)數(shù)據(jù)包給PCD的時(shí)候,首先PCA要先聽HUB的鏈路上是否有數(shù)據(jù)在跑,如果有那么PCA等待,如果沒(méi)有那么PCA將數(shù)據(jù)包發(fā)出.這樣的做法是由于HUB上的鏈路是共享的,所以采用了發(fā)數(shù)據(jù)包之前先進(jìn)行沖突檢測(cè)的方法,那么我們稱為CSMA/CD.CSMA/CDHUB上的鏈路是共享的,所以如果HUB上有數(shù)據(jù)在轉(zhuǎn)發(fā),那么此時(shí)PCA需要等待.聽有數(shù)據(jù)在轉(zhuǎn)發(fā)繼續(xù)聽PCAPCBPCCPCDCSMA/CD現(xiàn)在的情況是PCA和PCC都要發(fā)數(shù)據(jù),但是兩人剛才都檢測(cè)到HUB上是空閑的.那么兩人都發(fā).結(jié)果發(fā)生了沖突.兩人都同時(shí)啟動(dòng)BACKOFF動(dòng)作.隨機(jī)的生成一個(gè)秒數(shù),再發(fā)數(shù)據(jù)包.如果再與其他PC發(fā)送的數(shù)據(jù)包沖突.那么再次BACKOFF,BACKOFF一共可進(jìn)行15次.聽PacketPCAPCBPCCPCD空閑聽Packet隨機(jī)秒數(shù)隨機(jī)秒數(shù)二層互聯(lián)設(shè)備-交換機(jī)每端口屬于獨(dú)立的沖突域所有端口屬于同一個(gè)廣播域每端口帶寬獨(dú)立根據(jù)數(shù)據(jù)幀L2報(bào)頭信息轉(zhuǎn)發(fā)數(shù)據(jù)外部網(wǎng)E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4數(shù)據(jù)幀的過(guò)濾及轉(zhuǎn)發(fā)XXF0/1:00d0.f811.1111F0/2:00d0.f822.2222F0/3:00d0.f833.3333F0/4:00d0.f844.4444地址學(xué)習(xí)——MAC地址表形成外部網(wǎng)E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4地址學(xué)習(xí)——MAC地址表形成外部網(wǎng)E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4F0/1:00d0.f811.1111MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444F0/1:00d0.f811.1111F0/2:00d0.f822.2222F0/3:00d0.f833.3333F0/4:00d0.f844.4444ABCDF0/1F0/3F0/2F0/4廣播地址（或未知地址）：擴(kuò)散操作交換機(jī)擴(kuò)散數(shù)據(jù)網(wǎng)絡(luò)層（L3）網(wǎng)段間互連(為互連網(wǎng)中每個(gè)設(shè)備分配邏輯地址)決定數(shù)據(jù)傳輸?shù)穆窂?根據(jù)路由信息)TCP/IP協(xié)議層次結(jié)構(gòu)TCP/IP協(xié)議棧提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問(wèn)二進(jìn)制數(shù)據(jù)流傳輸OSI參考模型物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層TCP/IP協(xié)議棧Internet層應(yīng)用層傳輸層IP、ICMP、ARP網(wǎng)絡(luò)接口層IP地址網(wǎng)絡(luò)位主機(jī)位101011000001000001111010

172

16122204128

64

32

16

8

4

2

1

32比特的二進(jìn)制數(shù)每8比特表示成一個(gè)十進(jìn)制數(shù)IP地址的分類A類:B類:C類:D類: 組播IP地址

E類:實(shí)驗(yàn)研究網(wǎng)絡(luò)位主機(jī)位主機(jī)位主機(jī)位網(wǎng)絡(luò)位網(wǎng)絡(luò)位主機(jī)位主機(jī)位網(wǎng)絡(luò)位網(wǎng)絡(luò)位網(wǎng)絡(luò)位主機(jī)位8888

IP地址的分類A類:B類:C類:0NNNNNNN主機(jī)位主機(jī)位主機(jī)位10NNNNNN網(wǎng)絡(luò)位主機(jī)位主機(jī)位110NNNNN網(wǎng)絡(luò)位網(wǎng)絡(luò)位主機(jī)位8888

(1-126)(128-191)(192-223)私有IP地址（RFC1918)A類:至55B類:至55C類:至55注：RFCRequestForComments,請(qǐng)求注解,Internet標(biāo)準(zhǔn)(草案)IP網(wǎng)段中主機(jī)數(shù)量的計(jì)算計(jì)算公式：2N-2（“N”代表主機(jī)位數(shù)）IP地址當(dāng)中：主機(jī)位全“0”表示IP網(wǎng)絡(luò)編號(hào)主機(jī)位全“1”表示該網(wǎng)絡(luò)中的廣播IP地址IP數(shù)據(jù)包結(jié)構(gòu)Bit0Bit15Bit16Bit31版本(4)總長(zhǎng)度（16）字節(jié)數(shù)標(biāo)識(shí)（16）生存時(shí)間（8）目標(biāo)地址（32）任選項(xiàng)數(shù)據(jù)(上層協(xié)議數(shù)據(jù),可變長(zhǎng))源地址(32)頭部長(zhǎng)度（4）TOS字段（8）標(biāo)志（3）片偏移（13）協(xié)議（8）頭部校驗(yàn)和（16）IPv6vs.IPv4IPv6地址的表示方法IPV6地址的表示采用16進(jìn)制的表示方法。將128bit分為8組，每組16比特，用4個(gè)16進(jìn)制數(shù)表示，各組之間用"："隔開，每組中最前面的0可以省略，但每組必須得有一個(gè)數(shù)，如：

FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

1080:0:0:0:8:800:200C:417AIPv6地址的表示方法在IPV6地址段中有時(shí)會(huì)出現(xiàn)連續(xù)的幾組0，這時(shí)這些0可以用"::"代替，但一個(gè)地址中只能出現(xiàn)一次"::"。如：

1080:0:0:0:8:800:200C:417A=1080::8:800:200C:417A

FF01:0:0:0:0:0:0:101=FF01::101

0:0:0:0:0:0:0:1=::1IPv6地址的表示方法某些情況下，IPV4地址需要包含在IPV6地址中，這時(shí)，最后兩組用現(xiàn)在習(xí)慣使用的IPV4的十進(jìn)制表示方法，前六組表示方法同上，如：

0:0:0:0:0:0:或::IP的協(xié)議號(hào)表示數(shù)據(jù)包封裝的上層協(xié)議類型Protocol(8)。。。。。。傳輸層互連網(wǎng)絡(luò)層TCPUDP協(xié)議號(hào)IP617ICMP協(xié)議目的不可達(dá)Echo(Ping)其他InternetControlMessageProtocol網(wǎng)間控制報(bào)文協(xié)議網(wǎng)際層的自我檢測(cè)網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接入層Ping功能的實(shí)現(xiàn)ABICMPecho詢問(wèn)B可達(dá)嗎?ICMPechoreply答復(fù)可達(dá)Trace功能的實(shí)現(xiàn)ABC第一跳可達(dá)嗎？ICMPechorequest(TTL=1)ICMPTTL-expired到達(dá)下一跳可達(dá)第二跳可達(dá)嗎？ICMPechorequest(TTL=2)ICMPechoreply順利到達(dá)可達(dá)ARP協(xié)議

IP:0800.115e.1200.45e1我聽到廣播了，是關(guān)于我的信息，這是我的以太網(wǎng)地址IP:=???我需要的以太網(wǎng)地址IP地址映射Ethernet地址本地ARP主機(jī)地址查詢過(guò)程主機(jī)初次與某設(shè)備建立連接時(shí)1. 主機(jī)目前還沒(méi)有IP地址與MAC地址的對(duì)應(yīng)條目2. 當(dāng)與某設(shè)備進(jìn)行過(guò)數(shù)據(jù)傳輸之后在緩沖中即會(huì)保存相應(yīng)條目三層互聯(lián)設(shè)備-路由器每端口屬于獨(dú)立的沖突域每端口屬于獨(dú)立的廣播域每端口帶寬獨(dú)立根據(jù)數(shù)據(jù)包L3報(bào)頭信息轉(zhuǎn)發(fā)數(shù)據(jù)IP數(shù)據(jù)包結(jié)構(gòu)Bit0Bit15Bit16Bit31版本(4)總長(zhǎng)度（16）字節(jié)數(shù)標(biāo)識(shí)（16）生存時(shí)間（8）目標(biāo)地址（32）任選項(xiàng)數(shù)據(jù)(上層協(xié)議數(shù)據(jù),可變長(zhǎng))源地址(32)頭部長(zhǎng)度（4）TOS字段（8）標(biāo)志（3）片偏移（13）協(xié)議（8）頭部校驗(yàn)和（16）路由器轉(zhuǎn)發(fā)數(shù)據(jù)特點(diǎn)02118F1172.161212網(wǎng)絡(luò)主機(jī)..網(wǎng)絡(luò)端口F0F1路由表F0計(jì)算可用的主機(jī)地址

172 1600

16

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

網(wǎng)絡(luò)主機(jī)

......

123655346553565536-...265534N2N-2=216-2=65534子網(wǎng)掩碼1721600255255002552552550網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)子網(wǎng)主機(jī)“/16”表示子網(wǎng)掩碼有16位“/24”表示子網(wǎng)掩碼有24位1111111111111111子網(wǎng)劃分網(wǎng)絡(luò)子網(wǎng)間轉(zhuǎn)發(fā)數(shù)據(jù)02118F1子網(wǎng)/子網(wǎng)掩碼端口/24/24F0F1路由表F0172.16112網(wǎng)絡(luò)主機(jī)子網(wǎng)..IP網(wǎng)段中子網(wǎng)數(shù)量的計(jì)算計(jì)算公式：2M（“M”代表子網(wǎng)位數(shù)）“全0”以及“全1”子網(wǎng)能夠被系統(tǒng)支持IP網(wǎng)段中子網(wǎng)數(shù)量的計(jì)算試求該IP地址所在子網(wǎng)的網(wǎng)絡(luò)編號(hào)試求該IP地址所在子網(wǎng)的廣播地址試求該IP地址所在子網(wǎng)的主機(jī)IP地址范圍網(wǎng)絡(luò)主機(jī)6092子網(wǎng)子網(wǎng)劃分練習(xí)條件：網(wǎng)絡(luò)要求：劃分20個(gè)子網(wǎng)，每個(gè)子網(wǎng)5個(gè)主機(jī)傳輸層（L4）數(shù)據(jù)拆分與重組將上層應(yīng)用加以區(qū)分建立主機(jī)端到端的連接，負(fù)責(zé)數(shù)據(jù)在端到端之間的傳輸差錯(cuò)恢復(fù)流量控制TCP/IP傳輸層建立端到端連接網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接入層TCP協(xié)議：面向連接、可靠UDP協(xié)議：無(wú)連接、不可靠發(fā)送確認(rèn)發(fā)送發(fā)送無(wú)確認(rèn)TCP協(xié)議段結(jié)構(gòu)Bit0Bit15Bit16Bit31源端口(16)目的端口(16)序號(hào)(32)確認(rèn)號(hào)(32)保留(6)代碼位(6)窗口(16)校驗(yàn)和(16)緊急指示符(16)任選項(xiàng)(0or32)數(shù)據(jù)(上層協(xié)議數(shù)據(jù),可變長(zhǎng))報(bào)頭長(zhǎng)度(4)TCP協(xié)議端口號(hào)端口號(hào)傳輸層協(xié)議應(yīng)用層協(xié)議TCPF

T

PT

E

L

N

E

TD

N

SHTTPS

M

T

PNNTP2123255380119220023序號(hào)(32)確認(rèn)號(hào)(32)保留代碼位窗口(16)校驗(yàn)和(16)緊急指示符(16)任選項(xiàng)(0or32)數(shù)據(jù)(上層協(xié)議數(shù)據(jù),可變長(zhǎng))報(bào)頭長(zhǎng)度表示數(shù)據(jù)部分是Telnet協(xié)議數(shù)據(jù)發(fā)送telnet請(qǐng)求確認(rèn)連接建立開放23端口20TCP建立連接順序號(hào)=0應(yīng)答號(hào)=0順序號(hào)=0應(yīng)答號(hào)=1順序號(hào)=1應(yīng)答號(hào)=1123TCP數(shù)據(jù)傳輸和斷開102523149102523249231025492231025493源端口目的端口順序號(hào)應(yīng)答號(hào)順序號(hào)=49應(yīng)答號(hào)=3順序號(hào)=3應(yīng)答號(hào)=50順序號(hào)=3應(yīng)答號(hào)=50順序號(hào)=50應(yīng)答號(hào)=4UDP協(xié)議段結(jié)構(gòu)Bit0Bit15Bit16Bit31源端口(16)目的端口(16)數(shù)據(jù)長(zhǎng)度(16)數(shù)據(jù)校驗(yàn)和(16)非常簡(jiǎn)單的結(jié)構(gòu)沒(méi)有序列號(hào)和控制字段UDP的端口號(hào)端口號(hào)傳輸層協(xié)議應(yīng)用層協(xié)議UDPD

N

SSNMPNTPTFTP5369123161220069數(shù)據(jù)長(zhǎng)度(16)數(shù)據(jù)校驗(yàn)和(16)表示數(shù)據(jù)部分是TFTP協(xié)議的數(shù)據(jù)內(nèi)容2：網(wǎng)絡(luò)技術(shù)與實(shí)現(xiàn)VLAN原理及基本配置掌握802.1QTrunk相關(guān)概念及配置掌握不同網(wǎng)段互訪ARP工作方式掌握三層交換基本原理及配置掌握路由表、靜態(tài)路由概念及配置掌握不同網(wǎng)絡(luò)設(shè)備互聯(lián)接口的形式掌握基礎(chǔ)網(wǎng)絡(luò)安全解決方案場(chǎng)景描述學(xué)生寢室所在的網(wǎng)段為/24，導(dǎo)員辦公室的網(wǎng)段為/241層接入交換機(jī)RG-S2652G1101寢室1102寢室HubSwitch宿舍1區(qū)1號(hào)樓導(dǎo)員辦公室/24/24導(dǎo)員PC是否會(huì)經(jīng)常收到來(lái)自學(xué)生網(wǎng)段的廣播信息，如ARP查詢、Netbios廣播報(bào)文等？如何解決這個(gè)問(wèn)題?VLAN原理及基本配置VLAN：VirtualLocalAreaNetworkVLAN是在一個(gè)物理網(wǎng)絡(luò)上劃分出來(lái)的邏輯網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)對(duì)應(yīng)于ISO模型的第二層網(wǎng)絡(luò)。VLAN的劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制。VLAN有著和普通物理網(wǎng)絡(luò)同樣的屬性。第二層的單播、廣播和多播幀在一個(gè)VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會(huì)直接進(jìn)入其他的VLAN之中。

1層接入交換機(jī)1101寢室1102寢室HubSwitch宿舍1區(qū)1號(hào)樓導(dǎo)員辦公室/24/24利用VLAN技術(shù)將這臺(tái)接入交換機(jī)劃分為兩臺(tái)隔離的“交換機(jī)”VLAN原理及基本配置VLAN：VirtualLocalAreaNetworkRG-S2652G1101寢室1102寢室導(dǎo)員辦公室VLAN10VLAN201101寢室1102寢室VLAN20VLAN10導(dǎo)員辦公室利用VLAN技術(shù)將一臺(tái)交換機(jī)劃分為兩臺(tái)邏輯隔離的“虛擬交換機(jī)”，兩臺(tái)“虛擬交換機(jī)”之間類似于物理隔離的兩臺(tái)交換機(jī)廣播報(bào)文廣播報(bào)文VLAN原理及基本配置VLAN的基本配置1.根據(jù)需求在交換機(jī)上創(chuàng)建不同的VLAN2.將相應(yīng)的端口放置在不同的VLAN中RG-S2652G1101寢室1102寢室導(dǎo)員辦公室VLAN10VLAN20sw(config)#vlan10sw(config)#vlan20sw(config)#interfacef0/10sw(config-if)#switchportaccessvlan10sw(config)#interfacef0/1sw(config-if)#switchportaccessvlan20sw(config)#interfacef0/2sw(config-if)#switchportaccessvlan20F0/10F0/1F0/2VLAN原理及基本配置創(chuàng)建VLAN并給VLAN命名Switch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name刪除VLANSwitch(config)#novlanvlan-id將端口分配給一個(gè)VLANSwitch(config)#interfaceinterface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess（可選）Switch(config-if)#switchportaccessvlanvlan-idVLAN原理及基本配置查看VLANSwitch#showvlan

VLANNameStatusPorts

-----------------------------------

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,

Fa0/5,Fa0/6,Fa0/7,Fa0/8,

Fa0/9,Fa0/11,Fa0/12,

Fa0/13,Fa0/18,Fa0/19,Fa0/20,

Fa0/21,Fa0/22,Fa0/24

4xiaoshouactiveFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/20,Fa0/24

10caiwuactiveFa0/10,Fa0/23,Fa0/24Switch#showinterfacesfastethernet0/20switchport

InterfaceSwitchportModeAccessNativeProtectedVLANlists

-----------------------------------------------------------------

Fa0/24EnabledTrunk11Enabled1,3-4094場(chǎng)景描述宿舍1區(qū)1號(hào)樓1101寢室下載1202寢室電影李強(qiáng)要下載王亮PC上的電影1樓接入交換機(jī)RG-S2652G1102寢室1202寢室Switch宿舍1區(qū)1號(hào)樓導(dǎo)員辦公室0/24/24Switch2樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)李強(qiáng)張磊1/24VLAN10VLAN20VLAN20導(dǎo)員辦公室VLAN10/24802.1QTrunk相關(guān)概念及配置數(shù)據(jù)封裝的過(guò)程（TCP/IP協(xié)議棧）李強(qiáng)張磊01應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層將需要傳輸?shù)臄?shù)據(jù)以TCP/IP協(xié)議棧的格式進(jìn)行封裝源:0（本地）目的:1目的MAC如何確定？源MAC:ca00.1340.0000（本地）ca00.1340.0000ca04.0b74.0000還是需要ARP協(xié)議啊！VLAN10VLAN20VLAN20F0/24F0/10F0/20在F0/24口如何區(qū)分VLAN10與VLAN20的ARP數(shù)據(jù)？1樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2樓接入交換機(jī)VLAN10802.1QTrunk相關(guān)概念及配置以太網(wǎng)幀變化：標(biāo)準(zhǔn)以太網(wǎng)幀和IEEE802.1Q幀標(biāo)準(zhǔn)以太網(wǎng)幀：DASATypeDataCRC標(biāo)準(zhǔn)以太網(wǎng)幀802.1QTrunk相關(guān)概念及配置以太網(wǎng)幀變化：標(biāo)準(zhǔn)以太網(wǎng)幀和IEEE802.1Q幀802.1Q以太網(wǎng)幀（TAG幀）：DASATypeDataCRCDASATypeDataCRCtagTPID0X8100PriorityCFIVLAN

IDTCI帶有IEEE802.1Q標(biāo)簽（TAG)的以太網(wǎng)幀802.1QTrunk相關(guān)概念及配置標(biāo)簽封裝的過(guò)程交換機(jī)1交換機(jī)2數(shù)據(jù)幀打上Tag標(biāo)簽去除Tag標(biāo)簽802.1Q數(shù)據(jù)幀只在交換機(jī)的trunk鏈路上傳輸，對(duì)于用戶報(bào)文是完全透明的。默認(rèn)條件下，Trunk鏈路會(huì)轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。Trunk李強(qiáng)0Trunk張磊1802.1QTrunk相關(guān)概念及配置TAGVLAN/802.1QVLANSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLANIEEE802.1Q通過(guò)一個(gè)物理端口傳輸多個(gè)VLAN的信息，實(shí)現(xiàn)同一VLAN跨越不同的物理交換機(jī)802.1QTrunk相關(guān)概念及配置Access接口一般用來(lái)連接用戶終端的接口，承載正常的以太網(wǎng)幀，僅僅屬于某個(gè)特定的VLANTrunk接口常用來(lái)連接網(wǎng)絡(luò)設(shè)備，承載被標(biāo)識(shí)的以太網(wǎng)幀，缺省能夠承載交換機(jī)上所有VLAN的數(shù)據(jù)。李強(qiáng)張磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN20VLAN20F0/24F0/10F0/201層接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2層接入交換機(jī)ACCESSTRUNKTRUNKTRUNKTRUNKACCESS802.1QTrunk相關(guān)概念及配置Access接口一般收到的是不帶tag的幀。從access口發(fā)送出去的幀不帶tag。Trunk接口收到帶tag的幀后，交換機(jī)上存在該VLAN且該接口允許該VLAN通過(guò)，則接收，否則直接丟棄該幀。從Trunk接口發(fā)送出去時(shí)，該接口的nativeVLAN數(shù)據(jù)幀將不帶tag，其他所有VLAN數(shù)據(jù)幀都帶上相應(yīng)VLAN的tag。802.1QTrunk相關(guān)概念及配置NativeVLAN所謂NativeVLAN，也叫缺省VLAN，在這個(gè)接口上收發(fā)的不帶標(biāo)簽的untag報(bào)文，都被認(rèn)為是屬于這個(gè)VLAN的。一個(gè)tag幀經(jīng)過(guò)trunk口時(shí)，如果tagVLAN與trunk口的NativeVLAN相同，則會(huì)剝?nèi)ag標(biāo)記。vlan10vlan20untagTAG20NativeVLAN10vlan10vlan20第87頁(yè)802.1QTrunk相關(guān)概念及配置VLAN修剪/裁剪技術(shù)VLAN的trunk口缺省是能夠轉(zhuǎn)發(fā)所有VLAN幀（1－4096）的流量。從提高安全性和減少不必要的數(shù)據(jù)流量這兩個(gè)角度考慮，我們可以通過(guò)設(shè)置trunk口的許可VLAN列表（allowed-VLANs），來(lái)限制某些VLAN的流量不能通過(guò)這個(gè)trunk口，這也稱為VLAN的修剪。TrunkAllowvlan10,20,40vlan10vlan20vlan10vlan30vlan20vlan40vlan40第88頁(yè)802.1QTrunk相關(guān)概念及配置二層交換網(wǎng)絡(luò)中VLAN連通性

數(shù)據(jù)流路徑上的所有交換機(jī)中必須存在該VLAN。數(shù)據(jù)流路徑上的所有Trunk接口必須允許該VLAN通過(guò)。vlan10,20,40vlan10vlan20vlan10vlan30vlan20vlan40vlan40802.1QTrunk相關(guān)概念及配置創(chuàng)建VLAN并命名配置交換機(jī)接口模式連接用戶的接口綁定VLAN連接交換機(jī)的接口配置為trunk可選定義trunk的許可列表配置nativevlan查看VLAN的相關(guān)信息802.1QTrunk相關(guān)概念及配置創(chuàng)建VLAN10，將它命名為manageSwitch(config)#vlan10Switch(config-vlan)#nametest把接口0/10和VLAN10綁定Switch(config)#interfacefastethernet0/10Switch(config-if)#switchportaccessvlan10將一組接口加入某一個(gè)VLANSwitch(config)#interfacerangefastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20802.1QTrunk相關(guān)概念及配置把Fa0/1配成Trunk口Switch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk把端口Fa0/20配置為Trunk端口，但是不包含VLAN2：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2配置nativevlanSwitch(config-if)#switchporttrunknativevlan20在配置Trunk接口時(shí)，確保連接鏈路兩端的Trunk口屬于相同的nativeVLAN！如何將一個(gè)TRUNK口變更為ACCESS口？802.1QTrunk相關(guān)概念及配置驗(yàn)證配置信息Switch#showvlan

VLANNameStatusPorts-----------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/18,Fa0/19,Fa0/20,Fa0/21,Fa0/224VLAN0004activeFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/205VLAN0005activeFa0/20,Fa0/23,Fa0/24Switch#showinterfacesfastethernet0/20switchport

InterfaceSwitchportModeAccessNativeProtectedVLANlists-----------------------------------------------------------------Fa0/20EnabledTrunk11Enabled1,3-4094802.1QTrunk相關(guān)概念及配置一個(gè)特殊需求李強(qiáng)張磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN30VLAN201樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2樓接入交換機(jī)如何讓李強(qiáng)能訪問(wèn)張磊？場(chǎng)景描述宿舍1區(qū)1號(hào)樓1101寢室下載1202寢室電影不同VLAN/IP間如何通訊？1樓接入交換機(jī)RG-S2652G1102寢室1202寢室Switch宿舍1區(qū)1號(hào)樓0/24Switch2樓接入交換機(jī)李強(qiáng)張磊0/24VLAN20VLAN30/24/24三層交換基本原理及配置不同VLAN三層互訪需求

VLAN隔離了VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信將VLAN和IP子網(wǎng)對(duì)應(yīng)，使用三層轉(zhuǎn)發(fā)技術(shù)，通過(guò)路由將報(bào)文從一個(gè)VLAN轉(zhuǎn)發(fā)到另外一個(gè)VLANVLAN間互訪方法單臂路由（本章不做介紹）三層交換三層交換基本原理及配置/24VLAN10/24VLAN20三層交換：SVI模式三層交換機(jī)上分別創(chuàng)建每個(gè)VLAN的SVI接口在每個(gè)SVI上配置IP地址，作為對(duì)應(yīng)VLAN內(nèi)主機(jī)的網(wǎng)關(guān)在交換機(jī)內(nèi)部利用路由功能解決VLAN間通信三層交換機(jī)和二層交換機(jī)通過(guò)trunk鏈路相連三層交換基本原理及配置SVISwitchvirtualinterface。三層交換基本原理及配置三層交換機(jī)的三層轉(zhuǎn)發(fā)功能默認(rèn)開啟創(chuàng)建VLAN的虛擬接口并配置IP地址Switch(config)#interfacevlanvlan-idSwitch(config-if)#ipaddress

ip-addressmask

配置實(shí)例SVI（switchvirtualinterface）Switch(config)#vlan10Switch(config-vlan)#interfacevlan10Switch(config-if)#ipaddress54255255.255.0下聯(lián)樓層接入口配置為trunkSwitch(config-if)#switchportmodetrunk三層交換基本原理及配置宿舍1區(qū)1號(hào)樓1101寢室下載1202寢室電影在這個(gè)下載的過(guò)程中，李強(qiáng)的PC如何把下載王亮PC上的電影？1樓接入交換機(jī)1102寢室1202寢室Switch宿舍1區(qū)1號(hào)樓導(dǎo)員辦公室0/24/24Switch2樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)李強(qiáng)張磊0/24VLAN10VLAN20VLAN30導(dǎo)員辦公室VLAN10/2454/2454/24三層交換基本原理及配置發(fā)送數(shù)據(jù)前PC要獲取網(wǎng)關(guān)ARP信息ARP查詢報(bào)文54的MAC地址是多少？哪臺(tái)PC需要對(duì)這個(gè)ARP查詢報(bào)文進(jìn)行響應(yīng)?1樓接入交換機(jī)1102寢室1202寢室Switch宿舍1區(qū)1號(hào)樓0/24Switch2樓接入交換機(jī)李強(qiáng)張磊0/24VLAN20VLAN3054/2454/2454的MAC地址是001a.0010.00deARP響應(yīng)報(bào)文宿舍1區(qū)匯聚交換機(jī)李強(qiáng)PC在發(fā)送數(shù)據(jù)前，會(huì)根據(jù)目的IP和掩碼，判斷目的主機(jī)是否和自己在同一網(wǎng)段。以確定是否需要通過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)三層交換基本原理及配置數(shù)據(jù)封裝變化李強(qiáng)張磊00ca00.1340.0000ca04.0b74.0000VLAN30VLAN201樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2樓接入交換機(jī)VLAN1054/24MAC:001A.0010.00DE54/24MAC:001A.0010.00DF源MAC:ca00.1340.0000目的MAC:001a.0010.00de

源:0目的:0電影數(shù)據(jù)TAG:20

三層交換基本原理及配置數(shù)據(jù)封裝變化李強(qiáng)張磊00ca00.1340.0000ca04.0b74.0000VLAN30VLAN201樓接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2樓接入交換機(jī)VLAN1054/24MAC:001A.0010.00DE54/24MAC:001A.0010.00DF源MAC:ca00.1340.0000目的MAC:001a.0010.00de

源:0目的:0電影數(shù)據(jù)TAG:20

源MAC:001a.0010.00df目的MAC:ca04.0b74.0000

TAG:30

源:0目的:0電影數(shù)據(jù)源MAC:001a.0010.00df目的MAC:ca04.0b74.0000

三層交換基本原理及配置SVI配置？李強(qiáng)張磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN30VLAN201層接入交換機(jī)宿舍1區(qū)匯聚交換機(jī)2層接入交換機(jī)二層交換機(jī)能否進(jìn)行SVI接口配置？配置的目的是什么？路由基礎(chǔ)概念什么是路由把用戶數(shù)據(jù)從一個(gè)IP子網(wǎng)轉(zhuǎn)發(fā)到另一個(gè)IP子網(wǎng)路由設(shè)備路由器、三層交換機(jī)、防火墻?！奚?區(qū)宿舍1區(qū)核心交換機(jī)導(dǎo)員辦公室宿舍1區(qū)匯聚交換機(jī)1101寢室1102寢室1103寢室1201寢室1層接入交換機(jī)2層接入交換機(jī)宿舍1區(qū)2號(hào)樓2202寢室2201寢室路由基礎(chǔ)概念建立路由建立并維護(hù)路由表數(shù)據(jù)轉(zhuǎn)發(fā)基于路由表進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)。把IP包從出口封裝并轉(zhuǎn)發(fā)出去路由基礎(chǔ)概念路由表路由轉(zhuǎn)發(fā)信息構(gòu)建成一張路由轉(zhuǎn)發(fā)表路由表存儲(chǔ)在路由設(shè)備的NVRM存儲(chǔ)器中，非靜態(tài)存儲(chǔ)。S5750#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,VLAN10C/32islocalhost.C/24isdirectlyconnected,VLAN20C/32islocalhost.路由基礎(chǔ)概念多轉(zhuǎn)發(fā)路徑到達(dá)同一個(gè)目標(biāo)網(wǎng)絡(luò)可能有多個(gè)路由源、多條路徑網(wǎng)絡(luò)號(hào)相同、子網(wǎng)掩碼相同只有最佳路由才會(huì)進(jìn)入路由表路由優(yōu)選先比較管理距離值，越小越優(yōu)先管理距離相等，再比較度量值，越小越優(yōu)先不同路由協(xié)議的度量值不具備可比性路由基礎(chǔ)概念管理距離AD:AdministrativeDistance用于衡量路由源的可信度RIPOSPF路由表R

/24O/24O/24路由基礎(chǔ)概念管理距離取值范圍0－255，數(shù)值越小越優(yōu)先只在設(shè)備內(nèi)部比較時(shí)生效廠商私有可以根據(jù)需要人為修改管理距離，影響路由優(yōu)選路由源缺省管理距離直連0靜態(tài)1RIP120OSPF110IS-IS115EBGP20IBGP200路由基礎(chǔ)概念度量值（Metric)同一路由協(xié)議衡量路徑優(yōu)劣的參數(shù)不同路由協(xié)議關(guān)于度量值的參數(shù)不同，不具有可比性數(shù)值越小越優(yōu)選可以根據(jù)需要人為修改，影響路由優(yōu)選O/16[110/20]via,01:03:01,Serial1/2管理距離度量值路由基礎(chǔ)概念直連路由通過(guò)接口感知到的直連網(wǎng)絡(luò)接口配置IP，該接口的物理層和數(shù)據(jù)鏈路層UP靜態(tài)路由使用命令手工添加到路由表，保持靜態(tài)不變動(dòng)態(tài)路由通過(guò)路由協(xié)議學(xué)習(xí)后自動(dòng)計(jì)算加入路由表，動(dòng)態(tài)變化。RIP、OSPF、IS-IS、EIGRP、BGP如果一個(gè)交換機(jī)SVI所屬的物理接口都沒(méi)有連接任何設(shè)備，交換機(jī)上是否存在SVI對(duì)應(yīng)的直連路由?路由基礎(chǔ)概念數(shù)據(jù)轉(zhuǎn)發(fā)原則基于目標(biāo)IP進(jìn)行轉(zhuǎn)發(fā)最長(zhǎng)匹配原則匹配不到丟棄轉(zhuǎn)發(fā)之前必須先基于出口鏈路進(jìn)行封裝路由基礎(chǔ)概念靜態(tài)路由由管理員根據(jù)網(wǎng)絡(luò)拓?fù)涫止づ渲煤?jiǎn)單，無(wú)開銷拓?fù)浒l(fā)生變化，不能自動(dòng)感知拓?fù)渥兓?，需要管理員人工干預(yù)應(yīng)用場(chǎng)景小型網(wǎng)絡(luò)。拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)穩(wěn)定的環(huán)境數(shù)據(jù)服務(wù)器視頻服務(wù)器用戶數(shù)據(jù)視頻終端宿舍2區(qū)宿舍3區(qū)辦公區(qū)匯聚交換機(jī)

匯聚交換機(jī)核心交換機(jī)路由基礎(chǔ)概念靜態(tài)路由配置思路畫拓?fù)鋱D，分析網(wǎng)絡(luò)情況在源和目標(biāo)之間畫代表數(shù)據(jù)流的線確保在源和目標(biāo)之間的三層設(shè)備上都有關(guān)于目標(biāo)的正確的路由條目靜態(tài)路由配置命令Switch(config)#iproute[網(wǎng)絡(luò)號(hào)][子網(wǎng)掩碼][下一跳路由器的IP地址/本地接口]例：iproute例：iprouteserial1靜態(tài)路由描述轉(zhuǎn)發(fā)路徑的方式有兩種指向下一跳路由器直連接口的IP地址（即將數(shù)據(jù)包交給X.X.X.X）指向本地接口（即從本地某接口發(fā)出）路由基礎(chǔ)概念浮動(dòng)靜態(tài)路由用于路由路徑備份，提高可靠性通過(guò)設(shè)定管理距離值Iproute目標(biāo)網(wǎng)絡(luò)子網(wǎng)掩碼下一跳/本地出口AD路由基礎(chǔ)概念路由等價(jià)負(fù)載均衡將流量均等地分布到多條度量相同的路徑上關(guān)于同一個(gè)目標(biāo)網(wǎng)絡(luò)的多條路由出現(xiàn)在路由表同一個(gè)路由源，管理距離和度量值相等路由基礎(chǔ)概念缺省路由/0可以匹配所有的IP地址，屬于最不精確的匹配當(dāng)所有已知路由信息都查不到數(shù)據(jù)包如何轉(zhuǎn)發(fā)時(shí)，按缺省路由的信息進(jìn)行轉(zhuǎn)發(fā)iproute[轉(zhuǎn)發(fā)路由器的IP地址/本地接口]場(chǎng)景描述1區(qū)匯聚交換機(jī)與1區(qū)核心交換機(jī)如何互聯(lián)？李強(qiáng)要下載王亮PC上的電影AccessTrunk如何互聯(lián)？三層路由口SVI互聯(lián)方式1創(chuàng)建互聯(lián)VLAN100

Access接口類型：將物理接口分配到VLAN100S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由創(chuàng)建互聯(lián)VLAN1OOSwitch(config)#vlan100Switch(config-vlan)#interfacevlan100Switch(config-if)#ipaddress255255.255.252將互聯(lián)接口劃入VLAN100Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportaccessvlan100三層路由口SVI互聯(lián)方式2創(chuàng)建互聯(lián)VLAN100

Trunk接口類型：互聯(lián)接口承載VLAN100，900S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由創(chuàng)建互聯(lián)VLAN1OOSwitch(config)#vlan100Switch(config-vlan)#interfacevlan100Switch(config-if)#ipaddress255255.255.252互聯(lián)接口只承載VLAN100,900Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowedvlanremove1-99,101-899,901-4094三層路由口路由口方式將一個(gè)物理接口設(shè)定為非交換口在該物理接口下直接配置IP地址S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由創(chuàng)建路由口Switch(config)#interfacefastethernet0/24Switch(config-if)#noswitchportSwitch(config-if)#ipaddress255255.255.252設(shè)備自環(huán)解決方案接入層可能存在設(shè)備自環(huán)不可控區(qū)域可控區(qū)域需要部署生成樹協(xié)議設(shè)備自環(huán)解決方案設(shè)備自環(huán)的三種情況BPDUBPDUBPDU如何解決單端口下的環(huán)路呢?fa0/24fa0/24fa0/24124設(shè)備自環(huán)問(wèn)題解決方案設(shè)備單端口自環(huán)現(xiàn)象啟用生成樹功能能否解決單端口下自環(huán)問(wèn)題？只要接收到BPDU報(bào)文，關(guān)閉端口！Switch(config)#interfastEthernet0/1//進(jìn)入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打開該端口的的BPDUguard功能。Switch(config-if)#spanning-treebpduguarddisable//關(guān)閉該端口的的BPDUguard功能。不要在上聯(lián)口配置生成樹解決設(shè)備單端口自環(huán)設(shè)備自環(huán)問(wèn)題解決方案設(shè)備自環(huán)解決方案單端口下的環(huán)路檢查方法環(huán)路消除后的恢復(fù)方法手動(dòng)恢復(fù)自動(dòng)恢復(fù)sw#shintstatusInterfaceStatusVlanDuplexSpeedType----------------------------------------------------------FastEthernet0/1errdisable1UnknownUnknowncopperFastEthernet0/2down1UnknownUnknowncopperFastEthernet0/3down1UnknownUnknowncopperFastEthernet0/4down1UnknownUnknowncoppersw(config)#errdisablerecoverysw(config)#errdisablerecoveryinterval120設(shè)備自環(huán)解決方案單端口下的環(huán)路解決產(chǎn)生的效果BPDUfa0/24fa0/24fa0/24可能存在的問(wèn)題?默認(rèn)開啟生成樹的非網(wǎng)管交換機(jī)BPDU概述基于二層或者三層地址制定一組安全規(guī)則，對(duì)數(shù)據(jù)進(jìn)行安全過(guò)濾，防止非法用戶接入網(wǎng)絡(luò)，保護(hù)合法用戶措施ACL保護(hù)端口端口安全802.1x全局地址綁定128√××接入層端口安全技術(shù)端口相關(guān)安全功能概述禁止交換機(jī)端口之間的通訊（二層）保護(hù)端口角色保護(hù)口非保護(hù)口保護(hù)端口規(guī)則保護(hù)口之間禁止通訊保護(hù)口允許與非保護(hù)口通訊129protectedprotected×√√接入層端口安全技術(shù)－保護(hù)端口端口相關(guān)安全功能保護(hù)端口配置sw(config)#intrange

fa0/1-24sw(config-if-range)#switchportprotected級(jí)聯(lián)情況下的配置保護(hù)端口可以跨交換機(jī)使用連接外界的交換機(jī)中，級(jí)聯(lián)其他交換機(jī)的端口應(yīng)配置為保護(hù)口130protectedprotected接入層端口安全技術(shù)－保護(hù)端口配置端口相關(guān)安全功能概述基于端口制定接入規(guī)則接入規(guī)則端口MAC最大個(gè)數(shù)端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN131

001a.a900.0001VLAN100001a.a900.0002VLAN10√×F0/1F0/2F0/3F0/4√×√端口相關(guān)安全功能接入層端口安全技術(shù)－端口安全打開端口安全功能sw(config-FastEthernet0/1)#switchportport-security配置最大MAC地址數(shù)sw(config-FastEthernet0/1)#switchportport-securitymaximum3配置MAC地址綁定sw(config-FastEthernet0/1)#swpomac-address001a.a900.0001sw(config-FastEthernet0/1)#swpomac001a.a900.0001vlan10配置IP地址綁定sw(config-FastEthernet0/1)#swpobinding配置IP+MAC綁定sw(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10配置違例處理方式sw(config-FastEthernet0/1)#swpoviolation{protect|restrict|shutdown}132接入層端口安全技術(shù)－端口安全配置端口相關(guān)安全功能內(nèi)容缺省設(shè)置端口安全開關(guān)關(guān)閉最大安全地址過(guò)濾項(xiàng)個(gè)數(shù)（MAC）128安全地址過(guò)濾項(xiàng)無(wú)違例處理方式保護(hù)(protect)133接入層端口安全技術(shù)－端口安全端口安全規(guī)則處理規(guī)則MAC最大數(shù)量MAC綁定MAC+VLAN綁定如果MAC最大數(shù)量>MAC綁定：自動(dòng)學(xué)習(xí)“MAC最大數(shù)量-MAC綁定”個(gè)MAC作為IP/MAC過(guò)濾項(xiàng)如果MAC最大數(shù)量=MAC綁定：只有被綁定的MAC才能合法接入網(wǎng)絡(luò)IP綁定主機(jī)符合被綁定的IP才能合法接入網(wǎng)絡(luò)IP+MAC+VLAN綁定主機(jī)符合被綁定的IP+MAC+VLAN才能合法介入網(wǎng)絡(luò)端口相關(guān)安全功能交換機(jī)一個(gè)端口最大只能接入1臺(tái)主機(jī)sw(config-FastEthernet0/1)#switchportport-securitymaximum1交換機(jī)一個(gè)端口最大只能接入4臺(tái)主機(jī)，但其中有一臺(tái)主機(jī)是合法保障的sw(config-FastEthernet0/1)#switchportport-securitymaximum4sw(config-FastEthernet0/1)#swpomac-address001a.a900.0001交換機(jī)一個(gè)端口只能是合法的IP接入sw(config-FastEthernet0/1)#swpobinding交換機(jī)一個(gè)端口只能是合法的IP且合法的MAC接入sw(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10134接入層端口安全技術(shù)－端口安全應(yīng)用案例端口相關(guān)安全功能概述FastFilterProcessor，快速過(guò)濾器交換機(jī)種一種高效的硬件過(guò)濾引擎，其基本功能就是根據(jù)報(bào)文的特征篩選出符合一定規(guī)則的數(shù)據(jù)流，并對(duì)數(shù)據(jù)流實(shí)施策略，不依賴CPU安全功能的核心FFP資源是有限的依賴FFP的功能ACL端口安全全局地址綁定Dot1x……135端口相關(guān)安全功能接入層端口安全技術(shù)－FFP芯片實(shí)現(xiàn)136111111010IP:MAC:001a.a900.0001報(bào)文⑤①②③④Permit/Deny1：安全功能配置2：安全功能下發(fā)FFP3：數(shù)據(jù)報(bào)文進(jìn)入交換機(jī)4：匹配FFP內(nèi)的策略5：決策FFP接入層端口安全技術(shù)－FFP工作邏輯端口相關(guān)安全功能137網(wǎng)關(guān)PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bPC與設(shè)備之間相互通信后形成的ARP表ARP交互回顧ARP欺騙原理及防ARP欺騙解決方案ARP

Request報(bào)文更新ARP表的條件ARP報(bào)文中TargetIP為自己用ARP報(bào)文中的SenderMAC與SenderIP更新自己的ARP表138網(wǎng)關(guān)PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（ARPRequest）ARP交互回顧－

ARPRequestARP欺騙原理及防ARP欺騙解決方案139網(wǎng)關(guān)PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（ARPReply）ARP

Reply報(bào)文更新ARP表的條件ARP報(bào)文中TargetIP為自己當(dāng)前ARP表中已存在SenderIP的表項(xiàng)用ARP報(bào)文中的SenderMAC與SenderIP更新自己的ARP表ARP交互回顧－

ARPReplyARP欺騙原理及防ARP欺騙解決方案140網(wǎng)關(guān)PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（

GratuitousARP）GratuitousARP報(bào)文更新ARP表的條件GratuitousARP是一種特殊的ARPRequest/Replay報(bào)文，即SenderIP與TargetIP一致ARP報(bào)文中TargetIP為自己用ARP報(bào)文中的SenderMAC與SenderIP更新自己的ARP表ARP交互回顧－

GratuitousARPARP欺騙原理及防ARP欺騙解決方案InvalidARP表項(xiàng)ARP表中的MAC地址為全零（Windows主機(jī)）或“Nocompleted”（網(wǎng)絡(luò)設(shè)備）產(chǎn)生原因發(fā)送ARPRequest后，為接收ARPReply做準(zhǔn)備大量存在的原因同網(wǎng)段掃描（主機(jī)）跨網(wǎng)段掃描（網(wǎng)絡(luò)設(shè)備）141ARP交互回顧－

理解invalidARP表項(xiàng)ARP欺騙原理及防ARP欺騙解決方案IP地址發(fā)生沖突的條件收到GratuitousARP報(bào)文，且Sender/TargetIP與當(dāng)前IP一致，但SenderMAC與當(dāng)前MAC不同當(dāng)針對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備發(fā)送上述報(bào)文時(shí)，即為IP沖突攻擊142網(wǎng)關(guān)PC2PC100d0.f800.000100d0.f800.0002GratuitousARPGratuitousARP主機(jī)或網(wǎng)絡(luò)設(shè)備怎樣判斷IP沖突ARP欺騙原理及防ARP欺騙解決方案主機(jī)型ARP欺騙欺騙者主機(jī)冒充網(wǎng)關(guān)設(shè)備對(duì)其他主機(jī)進(jìn)行欺騙143網(wǎng)關(guān)欺騙者嗨，我是網(wǎng)關(guān)PC1ARP欺騙攻擊分類-主機(jī)型ARP欺騙原理及防ARP欺騙解決方案網(wǎng)關(guān)型ARP欺騙欺騙者主機(jī)冒充其他主機(jī)對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行欺騙144網(wǎng)關(guān)欺騙者嗨，我是PC1PC1ARP欺騙攻擊分類-網(wǎng)關(guān)型ARP欺騙原理及防ARP欺騙解決方案為什么產(chǎn)生ARP欺騙攻擊？表象：網(wǎng)絡(luò)通訊中斷真實(shí)目的：截獲網(wǎng)絡(luò)通訊數(shù)據(jù)145PC1網(wǎng)關(guān)主機(jī)型網(wǎng)關(guān)型欺騙者ARP欺騙攻擊目的ARP欺騙原理及防ARP欺騙解決方案怎樣判斷是否受到了ARP欺騙攻擊？網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)或網(wǎng)速特別慢在命令行提示符下執(zhí)行“arp–d”命令就能好上一會(huì)在命令行提示符下執(zhí)行“arp–a”命令查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址發(fā)生了改變146判斷ARP欺騙攻擊-主機(jī)ARP欺騙原理及防ARP欺騙解決方案網(wǎng)關(guān)設(shè)備怎樣判斷是否受到了ARP欺騙攻擊？ARP表中同一個(gè)MAC對(duì)應(yīng)許多IP地址147判斷ARP欺騙攻擊-網(wǎng)關(guān)設(shè)備ARP欺騙原理及防ARP欺騙解決方案安全地址主機(jī)真實(shí)的IP與MAC地址在主機(jī)發(fā)送ARP報(bào)文前獲得ARP報(bào)文校驗(yàn)檢查ARP報(bào)文中Sender’sMAC與安全地址中的MAC是否一致，否則丟棄檢查ARP報(bào)文中Sender’sIP與安全地址中的IP是否一致，否則丟棄148防ARP欺騙－兩個(gè)基本概念A(yù)RP欺騙原理及防ARP欺騙解決方案149流程圖安全地址獲取丟棄轉(zhuǎn)發(fā)ARP報(bào)文校驗(yàn)ARP報(bào)文S/T字段是否與安全地址一致ARP報(bào)文是否安全地址的獲取是防ARP欺騙的前提，ARP報(bào)文校驗(yàn)是防ARP欺騙的手段防ARP欺騙原理ARP欺騙原理及防ARP欺騙解決方案定義主機(jī)的真實(shí)信息IP+MAC地址組成獲取方式手工指定port-security自動(dòng)獲取DHCPSnoopingDot1x認(rèn)證150防ARP欺騙原理－安全地址ARP欺騙原理及防ARP欺騙解決方案什么是ACE交換機(jī)端口形成的硬件資源表項(xiàng)通過(guò)硬件對(duì)報(bào)文的轉(zhuǎn)發(fā)進(jìn)行判斷端口策略未配置安全地址