计算机网络11讲

1现有5个站分别连接在三个局域网上，并且用两个网桥连接起来（下图）。每一个网桥的两个端口号都标明在图上。在一开始，两个网桥中的转发表都是空的。以后有以下各站向其他的站发送了数据帧，即H1发送给H5，H3发送给H2，H4发送给H3，H2发送给H1。试将有关数据填入下表中。

H1H2H3端口

12B112B2H4H5MAC1MAC2MAC3MAC4MAC5发送的帧网桥1的转发表网桥2的转发表网桥1的处理的(转发?丢弃?登记?)网桥2的处理的(转发?丢弃?登记?)站地址端口站地址端口H1

→H5MAC11MAC11转发，写入转发表转发，写入转发表H3→H2MAC32MAC31转发，写入转发表转发，写入转发表H4→H3MAC42MAC42写入转发表，丢弃不转发转发，写入转发表H2→H1MAC21写入转发表，丢弃不转发接收不到这个帧2课程议题以太网链路聚合3交换网络问题交换网络中的问题对于局域网交换机之间以及从交换机到高需求服务的许多网络连接来说，100M甚至1000M的带宽无法满足用户应用需求。瓶颈100M链路100M/1000M链路4链路聚合定义：端口聚合（又称为链路聚合)，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的端口，可以实现负载分担，并提供冗余链路。IEEE802.3ad定义了以太网端口聚合的标准注意：锐捷交换机最多支持8个物理端口组成一个聚合端口组不同设备支持的最多聚合端口组不定如S2126G支持6组5流量平衡链路聚合的流量平衡：Aggregateport(AG)可以根据报文的源MAC地址、目的MAC地址或IP地址进行流量平衡，即把流量平均地分配到AG组成员链路中去。源MAC流量分配目的MAC流量分配6配置aggregateport的注意事项链路聚合的注意事项组端口的速度必须一致组端口必须属于同一个VLAN组端口使用的传输介质相同组端口必须属于同一层次，并与AP也要在同一层次7配置aggregateport将该接口加入一个APSwitch#configureterminalSwitch(config)#interfaceinterface-type

interface-id

Switch(config-if-range)#port-groupport-group-number如果这个AP不存在，可自动创建AG端口8查看端口聚合的配置查看聚合端口的汇总信息Switch#showaggregateportsummary查看聚合端口的流量平衡方式Switch#showaggregateportload-balance9课程议题交换机端口安全10交换机端口安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定11交换机端口安全安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知12配置安全端口

端口安全最大连接数配置switchportport-security！打开该接口的端口安全功能switchportport-securitymaximumvalue

！设置接口上安全地址的最大个数，范围是1－128，缺省值为128switchportport-securityviolation{protect|restrict|shutdown}

！设置处理违例的方式注意：

1、端口安全功能只能在access端口上进行配置。

2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。13配置安全端口端口的安全地址绑定switchportport-security！打开该接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上进行配置

2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP14案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end15案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end16查看配置信息查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/38117第4章网络层基本内容网络互连的概念，IP协议、IP地址、IP数据报的格式、子网划分及子网掩码的设置、IP地址和物理地址的关系，控制报文协议，路由选择协议：内部网关协议RIP、OSPF，外部网关协议BGP，网络互联设备。重点掌握IP协议、IP地址、IP数据报的格式、子网划分及子网掩码的设置、IP地址和物理地址的关系，路由选择协议：内部网关协议RIP、OSPF，外部网关协议BGP。184.1网络互联的概念多种网络类型的存在不同的应用要求由不同的网络支持处于不同网络上的用户有互相通信的要求处于同一网络上的用户有使用另一网络上资源的需求网络互联的必要性19网络的差异地址方案不同最大报文长度不同网络的存储机制不同超时不同错误恢复不同路由技术不同用户访问控制不同使用的连接方式不同20网络互连设备将网络互相连接起来的设备，称为中继（relay）系统，根据中继系统所处的层次的不同，可有以下五种中继系统：物理层中继系统：转发器（repeater）。数据链路层中继系统：网桥或桥接器（bridge）。网络层中继系统：路由器（router）。网桥和路由器的混合物：桥路器（brouter）。兼有网桥和路由器的功能。在网络层以上的中继系统：网关（gateway）。主要实现高层协议的转换。21路由器在网际互连中的作用路由器的构成

当主机A要向另一个主机B发送数据报时，先要检查目的主机B是否与源主机A连接在同一个网络上。如果是，就将数据报直接交付给目的主机B而不需要通过路由器。但如果目的主机与源主机A不是连接在同一个网络上，则应将数据报发送给本网络上的某个路由器，由该路由器按照转发表指出的路由将数据报转发给下一个路由器。这就叫作间接交付。22直接交付和间接交付间接交付间接交付间接交付ABC直接交付直接交付直接交付不需要使用路由器但间接交付就必须使用路由器23典型的路由器的结构路由选择路由选择处理机路由选择协议路由表3输入端口3交换结构输入端口输出端口分组转发转发表分组处理输出端口……11133122223——网络层2——数据链路层1——物理层24“转发”和“路由选择”的区别“转发”(forwarding)就是路由器根据转发表将用户的IP数据报从合适的端口转发出去。“路由选择”(routing)则是按照分布式算法，根据从各相邻路由器得到的关于网络拓扑的变化情况，动态地改变所选择的路由。路由表是根据路由选择算法得出的。而转发表是从路由表得出的。在讨论路由选择的原理时，往往不去区分转发表和路由表的区别，2526输入端口对线路上收到的分组的处理数据链路层剥去帧首部和尾部后，将分组送到网络层的队列中排队等待处理。这会产生一定的时延。物理层处理数据链路层处理网络层处理分组排队

交换结构

输入端口的处理从线路接收分组查表和转发27输出端口将交换结构传送来的分组发送到线路当交换结构传送过来的分组先进行缓存。数据链路层处理模块将分组加上链路层的首部和尾部，交给物理层后发送到外部线路。物理层处理数据链路层处理网络层处理分组排队

输出端口的处理向线路发送分组缓存管理交换结构28分组丢弃若路由器处理分组的速率赶不上分组进入队列的速率，则队列的存储空间最终必定减少到零，这就使后面再进入队列的分组由于没有存储空间而只能被丢弃。路由器中的输入或输出队列产生溢出是造成分组丢失的重要原因。29当中继系统是转发器或网桥时，一般并不称之为网络互连，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。网关由于比较复杂，目前使用得较少。互联网都是指用路由器进行互连的网络。由于历史的原因，许多有关TCP/IP的文献将网络层使用的路由器称为网关。网络互连使用路由器30互连网络与虚拟互连网络网络网络网络网络网络(a)互连网络(b)虚拟互连网络路由器

虚拟互连网络（IP网）31虚拟互连网络的意义所谓虚拟互连网络也就是逻辑互连网络，它的意思就是互连起来的各种物理网络的异构性本来是客观存在的，但是我们利用IP协议就可以使这些性能各异的网络从用户看起来好像是一个统一的网络。使用IP协议的虚拟互连网络可简称为IP网。使用虚拟互连网络的好处是：当互联网上的主机进行通信时，就好像在一个网络上通信一样，而看不见互连的各具体的网络异构细节。324.2因特网的网际协议IPIP协议因特网控制报文协议

(ICMP)地址解析协议

(ARP)逆地址解析协议

(RARP)应用层传输层网络层接口层硬件33网际协议IP及其配套协议各种应用层协议

网络接口层(TELNET,FTP,SMTP等)物理硬件运输层TCP,UDP应用层ICMPIPRARPARP与各种网络接口网际层IGMP34IP地址的编址方法分类的IP地址。这是最基本的编址方法，在1981年就通过了相应的标准协议。子网的划分。这是对最基本的编址方法的改进，其标准[RFC950]在1985年通过。构成超网。这是比较新的无分类编址方法。1993年提出后很快就得到推广应用。35net-id24bithost-id24bitnet-id16bitnet-id8bitIP地址中的网络号字段和主机号字段0A类地址host-id16bitB类地址C类地址011host-id8bitD类地址1

1

1

0多播地址E类地址保留为今后使用1

1

1

1

00136点分十进制记法10000000000010110000001100011111机器中存放的IP地址是32bit二进制代码10000000000010110000001100011111每隔8bit插入一个空格能够提高可读性采用点分十进制记法则进一步提高可读性1128

11331将每8bit的二进制数转换为十进制数3738394041根据高位比特判断地址类型高位比特十进制地址类型010110111011111–126128–191192–223224–239240–255ABCDE42网络留作广播用，地址常用来指本地主机43网络和主机号地址类型网络号码主机号码ABC12616,3842,097,15216,777,21465,534254网络126=27-1(Reserved)16384=2142,097,152=221主机16,777,214=224-265,534=216-2254=28-244AddressClassNetworkHost004620ABCCB6

4

00

Nonexistent00000000~11111111(二进制)–––0~255(十进制)练习：IP地址分类45网络主机0主机5IP地址举例0546内部网络地址

被划分为内部Intranet专用的IP地址由A类、B类和C类地址空间中3个地址段组成，这些地址可以满足任何规模的企业和机构的应用。具体如下：

10．0．0．0～10．255．255．255，24位，约700万个地址。

1