计算机网络技术-初级篇

1、计算机网络技术初级篇金融网常见拓扑结构155M CPOS100M 双绞线双绞线2M SDH广域网汇聚区交换机广域网汇聚区交换机上连路由器上连路由器Cisco7507汇聚路由器汇聚路由器千兆光纤千兆光纤LAN OSPFArea 0BGPRIP v2/OSPFR2632VRRPR2632S3750大型网点大型网点R2632S3750小型网点小型网点S2126G中型网点中型网点S3750R2632RSR08ERSR08EOSPF RIP双向重分布提纲第一部分 数据链路层与局域网技术第二部分 三层交换技术第三部分 路由基础及静态路由配置第四部分 访问控制列表（ACL）原理及配置3目标 了解金融系统局域

2、网常用技术 掌握金融网点常见网络配置技术 熟悉常用的网络分析技巧与工具4数据链路层与局域网技术第一部分5数据链路层与局域网技术 - 课程内容 ARP协议与工作原理 以太网与二层交换技术 VLAN技术与基本配置6基础知识BASIC 78IP地址 / MAC地址 32-bit IP地址: 网络层地址 用于使数据报到达目的IP子网 MAC地址(又称LAN、物理、以太网地址) : 用于使数据报从一个接口到达另一个物理连接的接口(同一个网络内) 48 bit MAC地址(对多数LAN) 存储在适配器ROM中9LAN编址 LAN中的每块适配器具有唯一的LAN地址9广播地址 : FF-FF-FF-FF-FF

3、-FF1010LAN编址 (续) MAC地址分配由IEEE管理, 制造商购买部分MAC地址空间(确保惟一性) 类比: 寄挂号信 (a) MAC地址：类似居民身份证号 (b) IP地址：类似邮政地址 MAC地址（扁平地址） 可移动性 能够将LAN卡从一个LAN移动到另一个去 IP地址（层次地址） 不可移动 取决于节点所属的子网1111HA1HA5HA4HA3HA6主机 H1主机 H2路由器 R1硬件地址路由器 R2HA2IP1IP2局域网局域网局域网通信的路径H1经过 R1 转发再经过 R2 转发H2查找路由表查找路由表1212HA1HA5HA4HA3HA6主机 H1主机 H2路由器 R1硬件地

4、址路由器 R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网MAC 帧IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报从协议栈的层次上看数据的流动从协议栈的层次上看数据的流动1313HA1HA5HA4HA3HA6主机 H1主机 H2路由器 R1硬件地址路由器 R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1I

5、P 层上的互联网MAC 帧IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报从虚拟的从虚拟的 IP 层上看层上看 IP 数据报的流动数据报的流动1414HA1HA5HA4HA3HA6主机 H1主机 H2路由器 R1硬件地址路由器 R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网MAC 帧IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2从 HA1 到

6、 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报在链路层上看在链路层上看 MAC 帧的流动帧的流动1515IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网MAC 帧IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报在在 IP 层抽象的互联网上只能看到层抽象的互联网上只能看到 IP 数据报数据报图中的图中的 IP1IP2 表示从源地址表示从源地址 IP1 到目的地址到目的地址 IP2

7、两个路由器的两个路由器的 IP 地址并不出现在地址并不出现在 IP 数据报的首部中数据报的首部中 1616IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网MAC 帧IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报路由器只根据目的站的路由器只根据目的站的 IP 地址的网络号进行路由选择地址的网络号进行路由选择 1717IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网IP

8、2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2MAC 帧从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报而在链路层只能看见而在链路层只能看见 MAC 帧，而看不见帧，而看不见 IP 数据报数据报 1818IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2MAC 帧从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报IP层抽象的互联网模型屏蔽了下

9、层很复杂的细节。在层抽象的互联网模型屏蔽了下层很复杂的细节。在抽象的网络层上讨论问题，就能够使用统一的、抽象抽象的网络层上讨论问题，就能够使用统一的、抽象的的IP 地址研究主机和主机或主机和路由器之间的通信。地址研究主机和主机或主机和路由器之间的通信。 1919IP1HA1HA5HA4HA3HA6HA2IP6主机 H1主机 H2路由器 R1IP 层上的互联网IP2IP4IP3IP5路由器 R2 IP1 IP2IP1 IP2IP1 IP2MAC 帧从 HA1 到 HA3从 HA4 到 HA5从 HA6 到 HA2MAC 帧MAC 帧IP 数据报Question:已知H2的IP地址，怎样获得H2的

10、MAC地址?20ARP协议与工作原理第一部分 / 第 1 节20ARP - 地址解析协议LAN上每个IP节点(主机、路由器)都有ARP表ARP表: 对某些LAN节点的IP/MAC地址映射 TTL (Time To Live): 地址映射失效的时间长度(通常为20分钟)21Question ：已知H2的IP地址，怎样获得H2的MAC地址?1A-2F-BB-76-09-AD58-23-D7-FA-20-B00C-C4-11-6F-E3-9871-65-F7-2B-08-53 LAN384822ARP协议 : 子

11、网内部的应用A要向B发送数据报, 并且B的MAC地址不在A的ARP表中. (1) A广播ARP 请求分组, 包含B的IP地址 目的地MAC地址 ： FF-FF-FF-FF-FF-FF 在 LAN上的所有机器接收ARP请求 (2) B接收ARP分组，用它的MAC地址回答 A 包含MAC地址的分组发送到A (单播) (3) A在它的ARP表中缓存(保存) IP到MAC的地址对，直到超时 软状态(soft state): ARP信息将会超时，除非在超时时间到达前更新ARP是“即插即用”: 节点创建其ARP表，无需网络管理员干预222323ARP 响应AYXBZ主机 B 向 A 发送ARP 响应分组

12、主机 A 广播发送ARP 请求分组 ARP 请求ARP 请求ARP 请求ARP 请求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是 ，硬件地址是 00-00-C0-15-AD-18我想知道主机 的硬件地址我是 硬件地址是 08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-1824例如 : 从主机 A 到 B 经过路由器 R 发送数据报 注意寻址过程 IP层 (数据报) 和 MAC 层 (帧) 假定 A 已知 B 的 I

13、P 地址 假定 A 已知第一跳路由器 R 的 IP 地址 (如何获知的?) 假定 A 已知 R 的 MAC 地址 (如何获知的?)ARP协议 : 不同子网25IPEthPhyIP src: 11 IP dest: 22v主机A生成一个数据报，包括源IP地址(A)和目的IP地址(B)vA生成以R的MAC地址作为目的地的链路层帧,帧包含A-to-B IP 数据报MAC src: 74-29-9C-E8-FF-55 MAC dest: E6-E9-00-17-BB-4BARP协议 : 不同子网26IPEthPhyv从 A 到 R 传递帧IPEthP

14、hyvR 接收帧，从帧中剥离出数据包并递交给上层(IP层)MAC src: 74-29-9C-E8-FF-55 MAC dest: E6-E9-00-17-BB-4BIP src: 11 IP dest: 22IP src: 11 IP dest: 22ARP协议 : 不同子网27IP src: 11 IP dest: 22vR 转发数据报，其中包含了 IP source A 和 destination B vR 利用 B 的 MAC 地址

15、生成包含 A-to-B IP 数据报的帧，然后发送给 BMAC src: 1A-23-F9-CD-06-9B MAC dest: 49-BD-D2-C7-56-2AIPEthPhyIPEthPhyARP协议 : 不同子网28vR 转发数据报，其中包含了 IP source A 和 destination B vR 利用 B 的 MAC 地址生成包含 A-to-B IP 数据报的帧，然后发送给 BIP src: 11 IP dest: 22MAC src: 1A-23-F9-CD-06-9B MAC dest: 49-BD-D2-C7-56-2

16、AIPEthPhyIPEthPhyARP协议 : 不同子网29vR 转发数据报，其中包含了 IP source A 和 destination B vR 利用 B 的 MAC 地址生成包含 A-to-B IP 数据报的帧，然后发送给 B IP src: 11 IP dest: 22MAC src: 1A-23-F9-CD-06-9B MAC dest: 49-BD-D2-C7-56-2AIPEthPhyARP协议 : 不同子网30ARP报文分析1.自动解析目的IP地址所对应的MAC地址 当李强的PC不知道张磊PC的MAC地址时，就会发出ARP

17、查询报文来请求张磊PC的MAC地址是多少？Hub李强李强张磊张磊01ARP查询报文查询报文ARP查询报文的内容：1的MAC地址是多少？这个这个ARP查询报文是二层报文还是三层报文？查询报文是二层报文还是三层报文？源源IP和源和源MAC是多少？目的是多少？目的IP和目的和目的MAC是多少？是多少？ca00.1340.0000ca04.0b74.000030ARP报文分析 ARP为数据链路层协议，是一个二层报文，因此没有IP头部及以上的信息 由于不知道目的PC的MAC地址，因此ARP查询报文的目的地址为全F的广播MAC地址31Wir

18、eShark分析结果分析结果2.被请求的PC返回ARP响应报文 同一Hub下PC都会接收李强PC所发出的广播ARP查询报文，那么将由谁来进行回应呢？Hub李强李强张磊张磊01ARP查询报文查询报文1的MAC地址是多少？2ca00.1340.0000ca04.0b74.0000在在ARP报文信息中存在报文信息中存在Target IP Address字段，只有该地址的字段，只有该地址的PC才会进行响应才会进行响应ARP报文分析322.被请求的PC返回ARP响应报文 ARP响应报文的目的MAC为接收到的ARP查询

19、报文的源MAC地址，即为单播报文Hub李强李强张磊张磊01ARP查询报文查询报文1的MAC地址是多少？ARP响应报文响应报文1的MAC地址是ca04.0b74.0000ca00.1340.0000ca04.0b74.0000ARP报文分析33ARP报文分析3. 被请求方收到的ARP请求报文的同时，形成本地的 ARP缓存表项 张磊PC收到了关于自己MAC地址的ARP查询报文，说明两台PC之间将会进行通信，因此在这个过程中，张磊PC会根据ARP报文中的信息Sender IP address和Sender MAC

20、 address字段来更新本地的ARP缓存C:Documents and Settings张磊arp -aInterface: 1 - 0 x2 Internet Address Physical Address Type 0 ca-00-13-40-00-00 dynamic344. 查询PC收到ARP响应报文后，更新自己的ARP缓存Hub李强李强张磊张磊01ARP查询报文查询报文1的MAC地址是多少？ARP响应报文响应报文1的MAC地址是ca04.0b47.0

21、000ca00.1340.0000ca04.0b74.0000C:Documents and Settings李强arp -aInterface: 0 - 0 x2 Internet Address Physical Address Type 1 ca-00-0b-74-00-00 dynamicARP报文分析35 双方通过ARP协议获取对方的MAC，可以完成TCP/IP封装，从而实现数据通讯 此后在数据通讯过程中，就利用ARP缓存中的信息填充目的IP所对应的目的MAC地址Hub李强李强张磊张磊01ca00

22、.1340.0000ca04.0b74.0000应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层源源:0（本地）（本地）目的目的:1源源MAC:ca00.1340.0000（本地）（本地）目的目的MAC:ca04.0b74.0000应用层应用层传输层传输层网络层网络层数据链路层数据链路层物理层物理层源源:1（本地）（本地）目的目的:0源源MAC:ca04.0b74.0000（本地）（本地）目的目的MAC:ca00.1340.0000ARP报文分析36以太网与二层交换技术第一部分 / 第

23、2 节37以太网 “占统治地位的” 有线LAN技术: 广泛使用的LAN技术 成本低 跟上了速率的竞赛: 10 Mbps 10 Gbps 38Metcalfe绘制的以太网原型草图39拓扑结构 20世纪90年代中期，总线拓扑流行 目前以星型拓扑为主 连接的选择: 集线器或交换机3940以太网帧结构发送端适配器在以太网帧中封装IP数据报(或其他网络层协议分组)4041Ethernet : 不可靠、无连接服务 无连接: 在发送和接收适配器之间没有握手 不可靠: 接收适配器不向发送适配器发送应答 传送给网络层的数据报流可能有间隙 如果网络应用使用TCP，间隙将能弥补；否则，应用层将看到该间隙 Ether

24、nets MAC 协议： CSMA/CD414242集线器 采用广播方式发送 来自一条链路的比特从其他所有链路出去 以相同的速率，无帧缓存 在集线器中无CSMA/CD，由适配器检测碰撞集线器本质上是物理层中继器，主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离。43用集线器互联 主干集线器互联LAN网段 扩展节点之间的最大传输距离 但单独的碰撞域将成为一个大的碰撞域 不能互联不同速率的LAN4344链路层交换机 链路层设备 存储并转发以太网帧 检查帧首部，并根据目的MAC地址有选择地转发帧 当帧在网段上转发时，使用CSMA/CD协议 透明 主机不知道交换机的存在 即插即用, 自学

25、习 交换机不必配置4445主机通过独占的链路直接连接到交换机交换机可以缓存数据每一条链路上都运行Ethernet协议，但不存在冲突（全双工） 每一条链路都是一个冲突域交换: 链路A-to-A和 B-to-B 可以同时无冲突地传输数据 Hub无法做到这一点AABBCCswitch with six interfaces(1,2,3,4,5,6) 123456交换机：全双工通信46Q: 交换机是如何知道，通过接口4可以到达 A，而通过接口5可以到达B?A: 每个交换机具有一个交换机表交换机表中的项: 表中的过时项被丢弃 (如TTL为 60mins) 看起来类似于路由表Q: 交换机表中的表项是如何创

26、建并维护的? 交换机中存在类似于路由协议的机制吗？AABBCCswitch with six interfaces(1,2,3,4,5,6) 123456交换机表47 交换机知道通过哪个接口能够到达哪台主机 帧到达交换机时，交换机将“学习”发送方的位置信息 然后将发送方位置信息记录在表中AABBCC123456A ASource: ADest: AMAC addr interface TTLSwitch table (initially empty)A160自学习(self-learning) 48帧的过滤/转发当交换机收到1帧:1. 将发送方位置信息记录在表中2. 使用MAC目的地址，查找交

27、换机表3. if 找到目的表项then if 目的地位于帧到达的段 then 丢弃帧 else 在指示的接口转发该帧 else 洪泛 向所有接口(除了该帧到达的接口)转发该帧49Self-learning, forwarding: exampleAABBCC123456A ASource: ADest: AMAC addr interface TTLSwitch table (initially empty)A160A AA AA AA AA A 帧的目的地未知:floodA Ar目的地A 的位置已知:A460selective send自学习的过程50利用交换机进行互联利用交换机进行互联AB

28、S1CDEFS2S4S3HIGnQuestion: 从A往G发送数据 - S1 如何知道发往G的帧要通过S4和S3 进行转发?nAnswer: 自学习！(工作原理与单个交换机的情形类似)51机构网络示例5252交换机 vs. 路由器 两者都是存储转发设备 路由器: 网络层设备(检查网络层首部) 交换机是链路层设备 路由器维护路由表，实现路由算法 交换机维护交换机表, 实现过滤、自学习算法531层接入交换机层接入交换机RG-S2652G1101室室1102室室HubSwitch：代表：代表1101室两台室两台PC之间利用之间利用FTP来拷贝电影来拷贝电影：代表：代表1102室两台室两台PC之间利

29、用之间利用FTP来拷贝电影来拷贝电影：代表：代表1101室的一台室的一台PC和和1102寝室一台寝室一台PC之间利用之间利用FTP来拷贝电影来拷贝电影在这在这3种情况下，种情况下，ARP协议协议工作过程是一样的吗？工作过程是一样的吗？在这在这3种情况下，数据转发种情况下，数据转发过程是一样的吗？过程是一样的吗？场景描述1101室室Hub1101室两台PC之间利用FTP来拷贝电影这台PC也会接收到“电影数据”，但会将其丢弃掉，相当于是垃圾数据Hub采用广播方式发送会带来什么样的问题采用广播方式发送会带来什么样的问题?PC1PC2PC3当当Hub上连接的上连接的PC越来越多时，所有越来越多时，所有

30、PC发出的发出的数据都以广播方式转发时，网络性能将大幅度降数据都以广播方式转发时，网络性能将大幅度降低，同时广播方式工作也可能导致安全隐患，比低，同时广播方式工作也可能导致安全隐患，比如机密数据很容易被监听到如机密数据很容易被监听到场景描述二层交换机工作原理 MAC地址学习功能 当PC1要发送数据包给PC2时（本地ARP缓存没有相关记录），首先发送ARP查询消息 Switch从端口1接收该报文，将PC1的MAC地址记录在端口1上，形成MAC地址表项1102室室Switch1102寝室寝室PC1和和PC2之间利用之间利用FTP来拷贝电影来拷贝电影PC1PC2PC3123ARP RequestMA

31、C地址地址端口号端口号Ca00.1340.00001ca00.1340.0000ca04.0b74.0000二层交换机工作原理 交换机的转发 当从一个端口接收到一个目的MAC为广播地址（或者未知地址）的报文（即在MAC地址表中没有表项与该报文的目的MAC地址匹配），将向所有其他端口进行泛洪该报文（除了接收该报文的端口）1102室室SwitchPC1PC2PC3123ARP RequestARP RequestARP Requestca00.1340.0000ca04.0b74.0000MAC地址地址端口号端口号Ca00.1340.00001二层交换机工作原理 交换机的转发 PC2返回ARP响应

32、报文（目的MAC为PC1的MAC地址）到交换机，交换机根据MAC地址表从端口转发出去PC2的ARP响应报文，同时学习PC2的MAC地址1102室室SwitchPC1PC2PC3123ARP Responseca00.1340.0000ca04.0b74.0000MAC地址地址端口号端口号Ca00.1340.00001源MAC:ca04.0b47.0000目的MAC:ca00.1340.0000ARP ResponseCa04.0b74.00002二层交换机工作原理 交换机在PC1和PC2交互ARP信息阶段在相应端口记录了两台PC的MAC地址 交换机后续收到的两台PC之间交互的报文根据形成的MA

33、C地址表来进行转发1102室室SwitchPC1PC2PC3123ca00.1340.0000ca04.0b74.0000MAC地址地址端口号端口号Ca00.1340.00001Ca04.0b74.00002二层交换机工作原理 源MAC地址的学习 实际上，不仅仅是ARP报文，只要是PC发出的所有报文都会触发交换机进行源MAC地址学习。 当PC从交换机的一个端口迁移到另外一个端口时，MAC地址表项也会随之发生变化Switch12PC1ca00.1340.0000Hub1Hub2MAC地址地址端口号端口号Ca00.1340.00001在在PC1从从hub1迁移到迁移到hub2下时，交换下时，交换机

34、的机的MAC地址表不会进行更新，只有当地址表不会进行更新，只有当PC1再次发出报文时，交换机会更新再次发出报文时，交换机会更新PC1的的MAC地址表项即更新端口地址表项即更新端口2二层交换机工作原理 源MAC地址的维护与老化 当交换机的接口DOWN掉后，与该接口相关的MAC地址都会被清除SwitchPC1PC212ca00.1340.0000ca04.0b74.0000MAC地址地址端口号端口号Ca00.1340.00001Ca04.0b74.00002二层交换机工作原理 源MAC地址的维护与老化 当PC一段时间内（即MAC地址的老化时间，默认为5分钟）没有发送任何报文时，交换机会将该PC的M

35、AC地址表项自动删除SwitchPC1PC212ca00.1340.0000ca04.0b74.0000MAC地址地址端口号端口号Ca00.1340.00001Ca04.0b74.00002PC2在在5分钟内没有发出任何报文分钟内没有发出任何报文VLAN技术与基本配置第一部分 / 第 3 节62VLANs 的提出考虑下面的问题：部门A的职员将办公室调整到部门B的办公场地，但仍需要连接到部门A的交换机?单一的广播域 所有的链路层广播流量(ARP、DHCP等)将跨越整个LAN 安全、隐私以及效率问题部部门门A部部门门B部部门门CVLANs(Virtual Local Area Network)VL

36、AN是在一个物理网络上划分出来的逻辑网络。基于端口的VLAN : 利用交换机管理软件对端口进行分组，从而将物理上的单一交换机变成逻辑上的多个虚拟交换机。基于端口（Port-based）的 VLANv 流量隔离 端口1-8与9-15之间相互隔离 也可以基于MAC地址来定义 VLAN189161027金融处(VLAN ports 1-8)人事处(VLAN ports 9-15)15v动态的成员关系 端口可以动态分配routervVLAN之间的数据转发 利用路由功能实现实际上，设备制造商通常会将路由器和交换机合并起来。VLANS 可以跨越多个交换机 Trunk 端口： 在跨越多个交换机的VLAN之间

37、传递帧 不能采用通常的802.1格式帧（必须携带VLAN ID信息） 802.1q 协议将添加额外的头部字段来处理Trunk链路上的帧连接两个跨越交换机的VLANa. 线缆方式67b. Trunk方式802.1Q VLAN 帧格式 Tag Protocol Identifier : 2-byte (value: 81-00) Tag Control Information : 12 bit VLAN ID 字段，3 bit 优先级字段(类似IP TOS) VLAN基本配置 - 场景描述 1102和1102室所在的网段为/24，行长办公室的网段为/24

38、1层接入交换机层接入交换机RG-S2652G1101室室1102室室HubSwitch行长办公室行长办公室/24/24行长行长PC是否会经常收到来自其是否会经常收到来自其他科室网段的广播信息，如他科室网段的广播信息，如ARP查询、查询、Windows操作系统发出操作系统发出的诸如的诸如Netbios广播报文等？广播报文等？如何解决这个问题如何解决这个问题?VLAN基本配置 - 场景描述 1102和1102室所在的网段为/24，行长办公室的网段为/24楼层接入交换机楼层接入交换机RG-S2652G1101室室

39、1102室室HubSwitch行长办公室行长办公室/24/24利用利用VLAN技术将这台接入交换技术将这台接入交换机划分为两台隔离的机划分为两台隔离的“交换机交换机”VLAN基本配置 How To RG-S2652G1101室室1102室室行长办公室行长办公室VLAN 20VLAN 101101室室1102室室VLAN 10VLAN 20行长办公室行长办公室利用利用VLAN技术将一台交换机划分为两台技术将一台交换机划分为两台逻辑隔离的逻辑隔离的“虚拟交换机虚拟交换机”，两台，两台“虚拟虚拟交换机交换机”之间类似于物理隔离的两台交换之间类似于物理隔离的

40、两台交换机机广播报文广播报文广播报文广播报文1.根据需求在交换机上创建不同的VLAN2.将相应的端口放置在不同的VLAN中RG-S2652G1101室室1102室室行长办公室行长办公室VLAN 20VLAN 10RG-S2652G(config)#vlan 10 / 创建创建VLANRG-S2652G(config)#vlan 20RG-S2652G(config)#interface f0/10RG-S2652G(config-if)#switchport access vlan 20 /将该接口分配进将该接口分配进VLAN 20RG-S2652G(config)#interface f0/

41、1RG-S2652G(config-if)#switchport access vlan 10 /将该接口分配进将该接口分配进VLAN 10RG-S2652G(config)#interface f0/2RG-S2652G(config-if)#switchport access vlan 10F0/10F0/1F0/2默认情况下，不进行任何配置的时默认情况下，不进行任何配置的时候，所有接口都属于默认存在的候，所有接口都属于默认存在的VLAN 1。注，。注，VLAN1 无法删除无法删除VLAN基本配置 How To VLAN的配置结果查看 使用show vlan命令来查看VLAN信息及各VLA

42、N中包含的端口信息RG-S2652G1101室室1102室室行长办公室行长办公室VLAN 20VLAN 10F0/10F0/1F0/2Ruijie#sh vlanVLAN Name Status Ports - - - - 1 VLAN0001 STATIC Fa0/3 Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/25,

43、 Gi0/26 10 VLAN0010 STATIC Fa0/1, Fa0/2 20 VLAN0020 STATIC Fa0/10VLAN基本配置 How To VLAN的配置结果查看 使用show mac-address-table命令来查看各VLAN的MAC地址表RG-S2652G1101室室1102室室行长办公室行长办公室VLAN 20VLAN 10F0/10F0/1F0/2Ruijie#sh mac-address-table Vlan MAC Address Type Interface- - - - 10 001a.a919.414d DYNAMIC FastEthernet 0/

44、1 10 000d.9dd2.6587 DYNAMIC FastEthernet 0/2 20 0016.d32c.2070 DYNAMIC FastEthernet 0/10 VLAN基本配置 How To VLAN 802.1Q Trunk 的配置 - 场景描述李强和王刚之间需要互传数据李强和王刚之间需要互传数据 1楼接入交换机楼接入交换机RG-S2652G1102室室1202室室张科长办公室张科长办公室/24Switch2楼接入交换机楼接入交换机RG-S2652G汇聚交换机汇聚交换机RG-S5750李强李强1/24VLAN 20VLAN 10V

45、LAN 10赵科长办公室赵科长办公室VLAN 20/240/24王刚王刚Switch两个科长两个科长PC之间需要互传数据之间需要互传数据 在本场景下结合基础篇中介绍的在本场景下结合基础篇中介绍的ARP协议工作原理以及协议工作原理以及交换机的交换机的VLAN工作原理，能否实现两组工作原理，能否实现两组PC之间的通信？之间的通信？76VLAN 802.1Q Trunk 的配置 - 场景描述李强和王刚之间需要互传数据李强和王刚之间需要互传数据 1楼接入交换机楼接入交换机RG-S2652G1102室室1202室室张科长办公室张科长办公室

46、/24Switch2楼接入交换机楼接入交换机RG-S2652G汇聚交换机汇聚交换机RG-S5750李强李强1/24VLAN 20VLAN 10VLAN 10赵科长办公室赵科长办公室VLAN 20/240/24王刚王刚Switch两个科长两个科长PC之间需要互传数据之间需要互传数据 该上联接口为该上联接口为VLAN 10、VLAN20内的内的PC发出的发出的ARP报文的必经之路，报文的必经之路，但一个接口只能属于一个但一个接口只能属于一个VLAN，无法实现同时传输两个，无法实现同时传输两个VLAN内的数据，内的数据，可是在实际中这

47、样的场景肯定是存在的，那如何来解决这个问题呢？可是在实际中这样的场景肯定是存在的，那如何来解决这个问题呢？77VLAN 802.1Q Trunk 的配置 - 场景描述可能存在的解决方法可能存在的解决方法VLAN 20VLAN 10VLAN 10VLAN 20switchport access vlan 20switchport access vlan 10在交换机之间为每一个在交换机之间为每一个VLAN增加一条互联线路，这样增加一条互联线路，这样实现不同的实现不同的VLAN从不同的线路上进行传输互不干扰，从不同的线路上进行传输互不干扰，但是在实际中，这样的做法是否可取呢？但是在实际中，这样的做

48、法是否可取呢？ 78VLAN 802.1Q Trunk 的配置 在一条线路上可以同时传输多个VLAN数据 这是最佳的解决办法，因为实际项目中接入交换机上可能会存在很多VLAN，不可能在接入交换机和汇聚交换机之间为每一个VLAN增加一条互联链路，这样做的成本较高而且扩展性较差VLAN 20VLAN 10VLAN 10VLAN 20在一条线路上同时传输在一条线路上同时传输多个多个VLAN的数据的数据在一条线路上同时传输在一条线路上同时传输多个多个VLAN的数据的数据79VLAN 802.1Q Trunk 的配置Q : 如何实现在一条线路上可以同时传输多个VLAN数据A : 将交换机互联的端口配置为

49、Trunk接口VLAN 20VLAN 10VLAN 10VLAN 20switchport mode trunkswitchport mode trunkswitchport mode trunk80VLAN 802.1Q Trunk 的配置 - How To 将交换机互联的端口配置为Trunk接口 标准的以太网数据包经过Trunk接口传输出去后会变成802.1Q数据帧Dest.MACSrc.MACLen/typeDataFCS标准以太网数据帧标准以太网数据帧802.1Q数据帧数据帧switchport access vlan 10switchport mode trunkDest.MACSr

50、c.MACLen/typeDataFCSTAGTPIDpriorityCFIVLAN ID16bits3bits1bits12 bits0 x81000 x00A从不同从不同VLAN的的access接口接收并转发接口接收并转发出去的出去的802.1Q帧的帧的VLAN ID是不同的是不同的为接收标准以太网数为接收标准以太网数据帧的接口所属的据帧的接口所属的VLAN，即，即access命命令指定的令指定的VLAN ID81VLAN 802.1Q Trunk 的配置 - How To Trunk接口的工作过程 VLAN 20内的PC A和PC B需要交互数据 VLAN 10内的PC 1和PC 3需要

51、交互数据VLAN 20VLAN 10VLAN 10VLAN 20switchport access vlan 20switchport access vlan 10switchport mode trunk1/240/24/24/24/24PC1PC2PC3PC APC B82VLAN 802.1Q Trunk 的配置 - How To Trunk接口的工作过程 VLAN 10内的PC 1 发出ARP查询报文以查询PC 3的MAC地址 广播报文除了向本VLAN内的其他端口转发，也会从T

52、runk接口转发出去，在这个过程中会变成802.1Q数据帧（从不同VLAN的access口接收到的标准数据帧会变成不同的802.1Q数据帧（Tag字段的VLAN ID部分不同）VLAN 20VLAN 10VLAN 10VLAN 201/240/24/24/24/24PC1PC2PC3PC APC BARP查询查询ARP查询查询VLAN 10ARP查询查询switchport access vlan 20switchport access vlan 10switchport mode t

53、runk83VLAN 802.1Q Trunk 的配置 - How To Trunk接口的工作过程 当汇聚交换机从一个Trunk接口接收到一个802.1Q报文时，会从其他Trunk接口转发出去的条件如下： 1.交换机本地创建了所接收到的802.1Q帧中的VLAN ID 2.在出接口上没有将接收到的802.1Q帧中的VLAN ID修剪掉VLAN 20VLAN 10VLAN 10VLAN 201/240/24/24/24/24PC1PC2PC3PC APC BARP查询查询VLAN 10s

54、witchport access vlan 20switchport access vlan 10switchport mode trunk84VLAN 802.1Q Trunk 的配置 - How To Trunk接口的工作过程 当接入交换机接上联Trunk接口接收到一个802.1Q帧时，查看该帧的TAG字段中VLAN ID是多少，并将其转发到相应的Aceess接口，在从Access接口转发出去的时候，会剥离TAG字段VLAN 20VLAN 10VLAN 10VLAN 201/240/24/24/2419

55、/24PC1PC2PC3PC APC BARP查询查询VLAN 10ARP查询查询switchport access vlan 20switchport access vlan 10switchport mode trunk85VLAN 802.1Q Trunk 的配置 - How To VLAN 20VLAN 10VLAN 10VLAN 201/240/24/24/24/24PC1PC2PC3PC APC Bswitchport access vlan 20swit

56、chport access vlan 10switchport mode trunk Trunk接口的工作过程 PC3收到PC1发出的ARP查询报文，并进行响应。返回的ARP响应报文经过Trunk接口的处理过程与前面描述的过程一致 同理，VLAN 20内的A和B在通信之前的ARP交互过程也是一样的。 需要相互通信的PC都已经产生了相应的ARP缓存，可以完成二层数据封装86VLAN 802.1Q Trunk 的配置 - How To 交换机的源MAC地址学习 在ARP的交互过程中，所有交换机都会进行源MAC地址学习以生成MAC地址表项，来指导后续的报文转发。 在本节所描述的场景中，交换机的MAC

57、地址表项除了包含源MAC和接口信息外，还将包含VLAN信息。VLAN 20VLAN 10VLAN 10VLAN 201/240/24/24/24/24PC1PC2PC3PC APC B1234switchport access vlan 20switchport access vlan 10switchport mode trunkMAC地址表地址表VLANMAC地址地址端口端口20PC A MAC110PC 1 MAC220PC B MAC410PC 3 MAC487VLAN 802

58、.1Q Trunk 的配置总结 交换机上连接主机的接口配置为Access接口 access接口收发的数据帧都为标准以太网帧，即非802.1Q帧 从access接口接收的标准以太网帧，会从同一VLAN的其他access接口转发出去，同时也会从Trunk接口转换为802.1Q帧转发出去VLAN 20VLAN 101234Switch(config)# vlan 10Switch(config-vlan)# name student-vlanSwitch(config)# vlan 20Switch(config-vlan)# name teacher-vlanSwitch(config)# int

59、erface fastethernet 0/1Switch(config-if)# switchport access vlan 20Switch(config)# interface range fastethernet 0/2-3Switch(config-if)# switchport access vlan 10Switch(config)# interface fastethernet 0/4Switch(config-if)# switchport mode trunk88VLAN 802.1Q Trunk 的配置总结 接入交换机上连接主机的接口配置为Access接口，上联汇聚交换

60、的接口为Trunk接口配置结果查看 1. VLAN 1是默认存在的，并且无法删除，所有接口缺省情况下都属于VLAN1 2. Trunk接口包含在交换机上所创建的所有VLANRuijie#sh vlanVLAN Name Status Ports - - - - 1 VLAN0001 STATIC Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa