华为赛门铁克HSCDA认证培训考试资料

华为赛门铁克HSCDA认证培训考试资料

华为赛门铁克HSCDA认证培训网络课程

•数据通信

HuaweiSymantec

HueveSymtnecTectnoloj>etCo,IM

幻灯片2

数据通信技术原理

-、

E

参考模型介绍

课OSI

程PPP及PPPOE技术介绍

目

以太网技术介绍

录W

-路由协议介绍

-

/

幻灯片3

课程目标

,了斛。SI参考模型及各层次设备和协议

▲学福PPP和PPPOE原理

।学嵬以入网主要技术

1理解路由及路由协议功能

数据通信技术原理

OSI金考模型介绍

课

程PPP及PPPOE技术介绍

目

以太网技术介绍

录

路由协议介绍

y

—

幻灯片5

0sl参考模型

・OSlRM：开放系级互iS参考模•型(OpenSystemInterconnection

ReferenceModel)

.OSlRM定义了网络中设各所遵守的层次结构.

.分层结构的优点：

简化网络的操作

-提供设备间豪容性和标淮接口

-促进标准化工作

-娥构上可以分局

-易于实现和罐护

MeTectrdo®esCo..LM

幻灯片6—

幻灯片7

数据封装

[«]

]:Hlg

±«l交相机踊由■■ISB

・如据封装和解封装过程

MsSymantocTedvdogw9Co.,LtdP®js?

物理层涉及到在通信信道（channel）上传输的原始比特流，它实现传输数据所需要的机械、

电气、功能特性及过程等手段。物理层涉及电压、电缆线、数据传输速率、接口等的定义。

物理层的要紧网络设备为中继器、集线器等。

数据链路层的要紧任务是提供对物理层的操纵，检测并纠正可能出现的错误，使之对网络层

显现一条无错线路，同时进行流量调控（可选）。流量调控能够在数据链路层实现，也能够

由传输层实现。数据链路层与物理地址、网络拓扑、线缆规划、错误校验、流量操纵等有关。

数据链路层要紧设备为以太网交换机。

网络层检查网络拓扑，以决定传输报文的最佳路由，其关键问题是确定数据包从源端到目的

端如何选择路由。网络层通过路由选择协议来计算路由。存在于网络层的设备要紧有路由器、

三层交换机等。后面您将学习到更多关于网络层的知识。

传输层的基本功能是从会话层同意数据，同时在必要的时候把它分成较小的单元，传递给网

络层，并确保到达对方的各段信息正确无误。传输层建立、保护虚电路，进行差错校验与流

量操纵。

会话层同意不一致机器上的用户建立、管理与终止应用程序间的会话关系，在协调不一致应

用程序之间的通信时要涉及会话层，该层使每个应用程序明白其它应用程序的状态。同时，

会话层也提供双工（duplex）协商、会话同步等等。

表示层关注于所传输的信息的语法与意义，它把来自应用层与计算机有关的数据格式处理成

与计算机无关的格式，以保障对端设备能够准确无误地懂得发送端数据。同时，表示层也负

责数据加密等。

应用层是OSI参考模型最靠近用户的一层，为应用程序提供网络服务.应用层识别并验证

目的通信方的可用性，使协同工作的应用程序之间同步。

幻灯片8

TCP/IP协议和OSI参考模型

•TCP/IP协汉枝具有简单的分层设计，与OSI参考模型有清晰的对应关系.

S冷考筏位

MgSvmwwecTecMo^esCo.,LM8

OSI参考模型依层次结构来划分：第一层,物理层(3嬴aflayer)；第二层建通路层

(datalinklayer)；第三层,网络层(networklayer)：第四层，传输层(transportlayer)；

第五层，会话层(sessionlayer)；第六层，表示层(presentationlayer)；第七层，应用层

(applicationlayer)。

通常，我们把0S1参考模型第一层到第三层称之底层(lowerlayer),又叫介质层(Media

Layer)。这些层负责数据在网络中的传送，网络互连设备往往位于下三层。底层通常以硬件

与软件相结合的方式来实现。OSI参考模型的第五层到第七层称之高层(upperlayer),又

叫主机层(hostlayer)。高层用于保障数据的正确传输，通常以软件方式来实现。

七层OSI参考模型具有下列优点：

简化了有关的网络操作；

提供即插即用的兼容性与不一致厂商之间的标准接口；

使各个厂商能够设计出互操作的网络设备，加快数据通信网络进展；

防止一个区域网络的变化影响另一个区域的网络，因此，每一个区域的网络都能单独快速升

级；

把复杂的网络问题分解为小的简单问题，易于学习与操作。

需要注意的是，由于种种原因，现在还没有一个完全遵循OSI七层模型的网络体系，但OSI

参考模型的设计蓝图为我们更好的懂得网络体系，学习计算机通信网络奠定了基础。

幻灯片9

TCP/IP协议栈

应用后TTP.Telnet.FTP提供应用程序同终接口

TFTP.Ping、etc

传输层TCPAJDP建立端更站过缓

.pIGMPICMF寻址和路由声择

需密层ARP/RARF

Ethernet*8023、PPP、构现介原访问

数据微路层HDLC»FRxetc

接口和线缆二进制敷弱流传物

幻灯片10

ARP一地址解析协议

10002对成的MAC,

00-E0-FC-00-00-12

地址解析协议ARP是一种广播协议，主机通过它能够动态地发现对应于一个IP地址的MAC

层地址。

每一个主机都有一个ARP高速缓存(ARPcache),有IP地址到物理地址的映射表，这些

都是该主机目前明白的一些地址。当主机A欲向本局域网上的主机B发送一个IP数据报时，

就先在其ARP高速缓存中查看有无主机B的IP地址。如有，就可查出其对应的物理地址，

然后将该数据报发往此物理地址。

也有可能查不到主机B的IP地址的项目。可能是主机B才入网，也可能是主机A刚刚加电，

其高速缓存还是空的。在这种情况下，假定主机A需要明白主机B的MAC地址，主机A

发送称之ARP请求的以太网数据帧给网段上的每一台主机，这个过程称之广播。发送的ARP

请求报文中，带有自己的IP地址到MAC地址的映射，同时还带有需要解析的目的主机的

IP地址。目的主机B收到请求报文后，将其中的主机A的IP地址与MAC地址的映射存到

自己的ARP高速缓存中，并把自己的IP地址到MAC地址的映射作为响应发回主机A。主

机A收到ARP应答，就得到了主机B的MAC地址，同时，主机A缓存主机B的IP地址

到MAC地址映射。

幻灯片11

RARP-反向地址解析协议

你的IP地址是10Q01

在工作站Q的「MyJRZAPServer

我的IP地址是

什么？

RARPRequest?

在进行地址转换时，有的时候还要用到反向地址转换协议RARP。

RARP常用于X终端与无盘工作站等，这些设备明白自己MAC地址，需要获得IP地址。

为了使RARP能工作，在局域网上至少有一个主机要充当RARP服务器。

以上图为例，无盘工作站需要获得自己的IP地址，向网络中广播RARP请求，RARP服务

器接收广播请求，发送应答报文，无盘工作站获得IP地址.

对应于ARP、RARP请求以广播方式发送，ARP、RARP应答通常以单播方式发送，以节约

网络资源。

幻灯片12

二进制与十进制之间的转化

幻灯片13

IP地址的进制转化

・庐地址：192168.111

字节（8位）・字节（8位）•字节（8位）•字节（8位）

11000000101010000000000100001011

尊干

192•168•1・11

7

SymmecTechnologyCo.,LtdP»je13m,rrT1rt1,mi

每个IP地址是一个写成4个8位字节的32比特值。这就意味着存在4个组，每个组包含8

个二进制位，如上图所示。

幻灯片14

数据通信技术原理

、

OSI参考模理介绍

课

程PPP及PPPOE技术介绍

目

录以太网技术介绍

路由协议介绍

M田SvmEecTectnoioaetCo.,LM

幻灯片15

PPP协议简介

•ppp协议的定义：

-pppt力议提供了一种标逑的方式在点对点的链踣上传输多科网

珞层协议的数据报.

PPP陆议与小议桎的对应关系

:MgO；<}PPP惨议

且

32S*KtcTechnolosResCo..Ltd15

幻灯片16

PAP认证(两次握手)

用户名/宝玛

强验证方的证方

-

说由:RA路由器B

接受佻电

.间质：如果路由器A作为脸证方，而路由簿B剜作为被验证

方，那么这个验证过程如何进行？

HSWBe»-,>.：TC3.LM2"'U-'"一"

PPP协议也提供了可选的认证配置参数选项，缺省情况下点对点通信的两端是不进行认证

的。在LCP的Config-Request报文中不可一次携带多种认证配置选项，务必二者择其一

(PAP/CHAP),选择最希望的那一种，通常是在PPP设备互连的设备上进行配置的，但通

常设备会默认支持一个缺省的认证方式(PAP是大部分设备所默认的认证方式)。当对端

收到该配置请求报文后，假如支持配置参数选项中的认证方式，则回应一个Config-Ack报

文；否则回应一个Config-Nak报文，并附带上自希望双方使用的认证方式。当对方接收到

Config-Ack报文后就能够开始进行认证了，而假如收到得是Config-Nak报文，则根据自身

是否支持Config-Nak报文中的认证方式来回应对方，假如支持则回应一个新的

Config-Request(并携带上Config-Nak报文中所希望使用的认证协议)，否则将回应一个

Config-Reject报文，那么双方就无法通过认证，从而不可能建立起PPP链路。

PPP支持两种授权协议：PAP(PasswordAuthenticationProtocol)与CHAP(ChallengeHand

AuthenticationProtocol)»

我们所知两个设备在使用PAP进行认证之前，应该确认那一方是验证方，那一方是被验证

方。实际上关于使用PPP协议互连的两端来说，既可作为认证方，也可作为被认证方。但

通常情况下，PAP只使用一个方向上的认证。通常在两端设备使用PAP协议之前，均会设

备上进行一些相应的配置，关于宽带工程师而言MA5200可谓是大家最熟悉的产品了，它

默认就作为验证方，但可通过使用命令PAPAuthenticationPAP/CHAP来更换认证方式，而

关于被验证方而言只需设置用户名与密码即可。

PAP认证是两次握手，在链路建立阶段，根据设备上的配置情况，假如是使用PAP认证，

则验证方在发送Config-Request报文时会携带认证配置参数选项，而关于被验证方而言则是

不需要，它只需要收到该配置请求报文后根据自身的情况给对端返回相应的报文。假如点对

点的两端设备使用的是PAP双向认证时，也即是它同时也作为验证方，则如今需要在配置

请求报文中携带认证配置参数选项。因此，我们能够总结一下，假如关于点对点的两个设备

在PPP链路建立的过程中使用的认证方式为PAP的话，那么验证方在其Config-Request报

文中务必含有认证配置参数选项，且该认证配置参数选项的数据域为0xC023。

当通信设备的两端在收到对方返回的Config-Ack报文时，就从各自的链路建立阶段进入到

认证阶段，那么作为被验证方如今需要向验证方发送PAP认证的请求报文，该请求报文携

带了用户名与密码，当验证方收到该认证请求报文后，则会根据报文中的实际内容查找本地

的数据库，假如该数据库中有与用户名与密码一致的选项时，则回向对方返回一个认证请求

响应，告诉对方认证已通过。反之，假如用户名与密码不符，则向对方返回验证不通过的响

应报文。假如双方都配置为验证方，则需要双方的两个单向验证过程都完成后，方可进入到

网络层协议阶段，否则在一定次的认证失败后，则会从当前状态返回链路不可用状态。

例10：如图4-1所示，当路由器A（被验证方）收到了路由器B的Config-Ack报文后，

由因此使用PAP认证，因此作为被验证方的路由器A应主动向验证方（路由器B）发送认

证请求报文（PAPAuthenticate）,用户名与密码均为163,报文的内容如下：

7EFF03C0230101000C03313633033136337E

下划线的前四个字节是用户名，后四个字节是密码。

当路由器B收到了该报文后，会向路由器A回应一个PAPAuthenticateAck报文，报文内容

如下：

7EFF03802102010005007E

如今所回应的报文中，并未携带任何数据，假如是认证不通过，则会在返回的报文中指是因

何原因无法认证通过，可能是无此用户名或者密码不匹配。

幻灯片17

CHAP认证（三次握手）

彼猫讦方愉逐方

路山落B

报普而第

・问通：如果路由器A作为验证方，而路由凿8则作为被验证

方，郡么这个验证过程如何进行？

SymirHcTecUrcio®«Co.LW

与PAP认证比起来，CHAP认证函真看安圣性，从前面认证过程的数据初交换过雇中不然

发现，使用PAP认证时，被验证是使用明文的方式直接将用户名与密码发送给验证方的，

而关于PAP认证则不一样。

CHAP为三次握手协议，它只在网络上传送用户名而不传送口令，因此安全性比PAP高。

在验证一开始，不像PAP一样是由被验证方发送认证请求报文了，而是由验证方向被验证

方发送一段随机的报文，并加上自己的主机名，我们通称这个过程叫做挑战。当被验证方收

到验证方的验证请求，从中提取出验证方所发送过来的主机名，然后根据该主机名在被验证

方设备的后台数据库中去查找相同的用户名的记录，当查找到后就使用该用户名所对应的密

钥，然后根据这个密钥、报文ID与验证方发送的随机报文用Md5加密算法生成应答，随后

将应答与自己的主机名送回，同样验证方收到被验证方发送回应后，提取被验证方的用户名，

然后去查找本地的数据库，当找到与被验证方一致用户名后，根据该用户名所对应的密钥、

保留报文ID与随机报文用Md5加密算法生成结果,与刚刚被验证方所返回的应答进行比较,

相同则返回Ack,否则返回Nak«

例11：如图4-2所示，当路由器A(被验证方)收到了路由器B的Challenge报文后，报

文内容如下：

7EFF03C2230101001C10FF41CF22AA8EFlB9999A79A75678C4A74d4135

323030417E

下划线的前16个字节是验证方随机产生的一段报文，后7个字节是验证方的主机名

(MA5200A),而且单个字节10表示随机报文的长度。

而如今路由器A会根据用户名所对应的密钥使用报文的ID与该报文的内容生成一个回应报

文，报文内容如下：

7EFF03C2230201001F10188622FFCE81D068FF808500A7E3853570706B69

7373406875617E

我们将这个回应报文与验证方发送的挑战报文进行比较，报文的代码域已由原01改为02,

总报文的长度有变化，要紧后而一个下划线的内容是被验证方的主机名(ppkiss@hua),而

且如今回应的16个字节的报文已经是通过MD5算法加密过的。

当验证方收到了这个回应报文后，会根据报文中被验证方的主机名(ppkiss@hua)在本地的

数据库中去查找密钥，然后再对原发先发送的那段挑战报文进行MD5的算法加密，假如所

得的结果与对方刚发过来的16个字节的加密值一样的话，则就会发送一个报文通知被验证

方，你的认证已经通过，我们能够进入到下一个阶段了。在实际应用当中，我们很多都是使

用PC机来进行拨号这个过程，实际中当验证方发送挑战后，PC机只接收而并不去查本地

数据库，而直接使用在拨号对话框中所输入的密码与报文的ID及报报文的内容进行MD5

算法加密(这个在PC机使用PPPOE软件拨入到MA5200时就是这样的)。

下面来看一下验证通过时，验证方给被验证方所发送的一段报文内容：

7EFF03C2230301001757656c636F6D6520746F204D4135323030412E7E

如今所回应的报文的代码域为03,且报文的实际内容是，WelcomtoMA5200Ao

幻灯片18

PPPoE协议概述

・PPP协议要求进行通信的双方之间是点到点的关系，不

适于广播类型的以太网和另外一些多点访问类型的网

珞,于是就产生了PPPoE协议（Pont-toPointProtocol

overEthernet）

・它不仅为使用桥按以太网接入的用户提供了一

种宽带接入手段,同时还能提供方便的接入控

制和计费.每个接入用户均建立一个温一无二

PPP的会话,会话建立之前必须如道远靖法问

集中设各的MAC地址，PPF正协议可透过发现

协议获取

MsSymEtcTectnoio^etCo.,LMms18

随着宽带网络技术的不断进展，以xDSL、CableModem与以太网为主的几种主流宽带接入

技术的应用已开展的如火如荼。同时又给各大网络运营商们带来了种种困惑，不管使用哪种

接入技术，关于他们而言可盼与可求的是如何有效的管理用户，如何从网络的投资中收取回

报，因此关于各类宽带接入技术的收费的问题就变得更加敏感。在传统的以太网模型中，我

们是不存在所谓的用户计费的概念，要么用户能设置/获取IP地址上网，要么用户就无法上

网。IETF的工程师们在秉承窄带拨号上网的运营思路（使用NAS设备终结用户的PPP数据

包），制定出了在以太网上传送PPP数据包的协议（PointToPointProtocolOverEthernet）,

这个协议出台后，各网络设备制造商也相继推出自己品牌的宽带接入服务器（BAS），它不

仅能支持PPPOE协议数据报文的终结，而且还能支持其它许多协议。如华为公司的MA5200

与ISN8850。

PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的访问集中器（我

们对目前能完成上述功能的设备为宽带接入服务器）上的一种标准。在这种网络模型中，我

们不难看出所有用户的主机都需要能独立的初始化自己的PPP协议栈，而且通过PPP协议

本身所具有的一些特点，能实现在广播式网络上对用户进行计费与管理。为了能在广播式的

网络上建立、维持各主机与访问集中器之间点对点的关系，那么就需要每个主机与访问集中

器之间能建立唯一的点到点的会话。

幻灯片19

数据通信技术原理

rA

POSI参考模型介绍>

•ffi

:9PPP及PPPOE技术介绍

目U以太网技术介绍

'0路由协议介绍

1耶

P9ys19

幻灯片20

以太网的诞生

・以太网锻初是由xerox公司开发的一种基带局城网技术，使用同轴

电缝作为网络墀体，采用筑波多路访问和冲突检割(CSM/VCD)

机制，数据传输速率达到10Mbps.

•以太网被设计用来满足非持续性网络数据传输的前要.而EEE

8023规范则是基于最初的以太网技术于1980年制定.以太网版本

20由DigtalEquipmentCorpor^jon,Intd和Xerox三家公司联合

开发，与IEEE802.3规范相互兼容.

O)

SymirHcTechnologyCo,,twP»je20**"****

“以太网”一词是指以CSMA/CD作为MAC算法的一类LAN。

1973年，位于加利福尼亚PaloAlto的Xerox公司提出并实现了最初的以太网。Robert

Metcalfe博士被公认为以太网之父，他研制的实验室原型系统运行速度是2.94兆比特每秒

(3Mb/s)«这个实验性以太网(在Xerox公司中被称之“X-Wire”)用在了Xerox公司早期的一

些产品中，包含世界上第一台配备网络功能、带有图形用户接口的个人工作站一XeroxAlto。

Xerox没能成功地将Alto或者3Mb/s以太网商品化。这两项实验性技术几乎完全保留在

Xerox公司内部，没有向外部传播。

1979年，Xerox与DEC公司(DigitalEquipmentCorporation)联合起来，致力于以太网技术的

标准化与商品化，并促进该项技术在网络产品中的应用。这是一个很理想的组合：Xerox有

专利与技术，而DEC是当时最大的网络计算机供应商。为了能确保容易地将商品化以太网

集成到廉价芯片中，在Xerox的要求下，Intel公司也加入了这个联盟，负责提供这方面的

指导。由它们构成的DEC-Intel-Xerox(DIX)三驾马车，1980年9月开发并公布了10Mb/s版

的以太网标准［DIX80］。这个标准所支持的唯一一种物理介质是粗同轴电缆。1982年，公布

了该标准的第2版。这一版以太网对信令做了略微修改，并增加了网络管理功能。

幻灯片21

从共章表以女网进展到交换式以太网过渡时期，出现了中继器/蔡寤两种互逐的网络设

备。这两种设备基本原理都一样，那么单独讲解一下集线器。

事实上集线器(HUB)与中继器都是物理层上的连接设备，那为什么这样说呢？接下去我

们共同来学习一下集线器的工作原理。

幻灯片22

二层工作模式

・网桥/二层以太网交倏机的工作模式

他*2SvmamecTectnoio^esCo.,LMe522

既然集线器(HUB")看在以上问题，菰们一起来看看以太网交换玩:以太网交换机是我们

现在组建以太网的必备的设备。

接下去讲讲以太网交换机(另称多端口网桥)。

相比较HUB而言，交换机是工作在数据链路层的设备。为什么这么说呢？

要紧是以太网交换机或者者网桥需要完成二个基本功能：

MAC地址学习；

转发与过滤决定；

幻灯片23

什么是三层交换机

•在逻辑上，三层交换和路由是等同的，三层交换的过程就是IP很文选

路的过程.

・三层交换机与路由器在转发操作上的主要区别在于其实现的方式：

-三层交换机通过硬件实现查找和首发I

传统路由器通过谢处理器上运行的敦件实现2f找将转发；

三层交换机的转发路由表与路由器一样，第要软件通过踣由协议耒建立和

・在局域网中引入三层交段：

能/更加羟济的皆代传统路由X

幻灯片24

交换机转发流程

H的MAC蜒*目的事n

00-0D56BF8840F0/7

00-0D560F8870E0/3

H的MAC地*目的端口

OOODXBFW10ES

00410568F88-20FQ/6

OO-OD-56-BF-08-2O

且

QemS*«rwecTechnologyCo..Ltd

交换机底MAC地址袤集彳亍病发，MAC地址表是目的MAC地址与目的端口的对应关系。

1：假设PCA向PCB发送一个数据帧，此数据帧的目的MAC地址设置为PCB的MAC地

址00-0D-56-BF-88-20,交换机SWA接收到此数据帧之后，需要查找MAC地址表，根据

MAC地址表中的记录，将数据帧从E0/3口向外转发。

交换机在转发数据帧的时候，对数据帧不做任何修改，假如交换机接收到的是一个广播数

据帧，则向所有端口转发。

2：交换机SWB接收到了此数据帧之后，查找MAC地址表，根据MAC地址表中的记录，

将数据从E0/6端口上转发出去，此次转发仍然不可能对数据帧做任何修改。

3：PCB接收到数据帧之后，查看目的MAC地址，由于目的MAC地址为接收者本身，因

此PCB处理此数据帧并上送上层协议处理数据帧所携带的数据。

幻灯片25

环路引起的问题——广播风暴

假如交换机从一个端口上接收到的是一个广播数据帧，则向所有其它端口转发，而且交换机

在转发数据帧的时候，对数据帧不做任何修改，因此，假如交换网络中有环路，则广播帧会

被无限期的转发，形成广播风暴。

幻灯片26

为什么引入生成树协议

・通过阻断冗余鞋路来消除桥接网络中可能存在的路径回环

•当前活功路径发生独障时激活冗余备份离路恢复网络连通性

S*EecTectnoio^esCo.,LMP9ys26

幻灯片27

生成树协议的基本原理

•基率思想：在网桥之间传递特殊的消息（配置消息），包

含足够的信息做以下工作：

从网络中的所有网桥中，遂出一个作为根河桥（Root）

计算本网桥到根网桥的最短路径

-对每个LAN,选出离板桥最近的那个网桥作为指定网桥,负

费所在LAN上的效据转发

网桥逡择一个报端口，该端口给出的路径是比网桥到报桥的

最佳路径

选择除根端口之外的包含干生成树上的翦口〈指定缱口）

Technology8.Udw?27

幻灯片28

生成树协议的不足

・竭口从阻塞状态进入转发状态必须经历两倍的ForwardDelay时间，所以

网络拓扑结构改变之后需要至少两倍的ForwardDelay时间，才能恢复连

通性.

.如果网络中的拓朴结构变化睡素,网络会负繁的失去连通性，这样用户

就会无法忍受.

S*EecTectnoio^esCo.,LMPWZ?d

幻灯片29

快速生成树协议RSTP

.快速生成树协议是从生成树林议发展而来，实现的基本思想一致；

.快速生成树具备生成树的所有功能；

・快速生成可改进目的就是当网络拓扑结构发生变化时，尽可陡快的恢复

网络的连通性.

7

Technology8,Ud

幻灯片30

RSTP交换机端口角色

端口角色描述

根端口，是所在交换机上寓根交换机最近的端

RootPort

口，稳定时处于转发状态.

指定端口，转发所连接的网段发往根交换机方向

Designated

的数据和从交帙机方向发往所连接的网段的数

Port

据，稳定时处于转发状态，

备份端口，不处干转发状态，所属交换机为端口

BackupPort

所连网段的指定交换机.

颈备蜩口，不处于转发状态，所属交换机不是蜩

AlternatePort

口所建网段的指定交换机.

rueEko.,\.xnkr加

如前所述，关于物理层与数据链路层能够正常工作，同时开启了RSTP的交换机端口，RSTP

共定义了四种端口角色，稳固时处于转发状态的有根端口与指定端口。

底层没有开启的端口称之Disable端口。

幻灯片31

RSTP的改进一选举新的根端口

R00t-二2768OOeO-fc16-ee43

LANA的指定端口LANB的指定端口

.LANA

根端口

SWB/

3276832768

OOeO-fc41-4259KjLANC00e0-fc41-43b9

颈南端口

LANC的斩根埸口

指定端口立即转发

e•4S*EecTecWMwsCo..LtdET31

一个非根交换机选举出一个新的根端口之后，假如往常的根端口已经不处于Forwarding状

态，则新的根端口立即进入转发状态。

本例中：SWC上与LANB相连的端口为根端口，假设此端口断开，即不再处于转发状态，

则SWC需要重新选择一个根端口，与LANC相连的端口因此从预备端口成为新的根端口。

由于旧的根端口已经不再处于转发状态，因此网络中没有环路风险，因此新的根端口能够立

即进入转发状态。

幻灯片32

选举新的指定端口(边缘端口)

SWA

根交换机

t533276800e04cl6-ee43

LANA

SWBZ

32768的032768

OOeO-fc4M25900e0-fc41-43b9

­

LAND

遥)

MsSvmMUtcTectnoiog*tCo.,Ltd

边缘端口(EdgePort)是指不连接任何交换机的端口。

当把一个交换机端口配置成为边缘端口之后，一旦端口被启用，则端口立即成为指定端口

(DesignatedPort),并进入转发状态。

幻灯片33

VLAN的产生原因一广播风暴

传统的局域网使用的是HUB,HUB只有一根总线，一根总线就是一个冲突域。因此传统的

局域网是一个扁平的网络，一个局域网属于同一个冲突域。任何一台主机发出的报文都会被

同一冲突域中的所有其它机器接收到。后来，组网时使用网桥(二层交换机)代替集线器

(HUB),每个端口能够看成是一根单独的总线，冲突域缩小到每个端口，使得网络发送

单播报文的效率大大提高，极大地提高了二层网络的性能。假如一台主机发出广播报文，设

备仍然能够接收到该广播信息，我们通常把广播报文所能传输的范围称之为广播域，网桥在

传递广播报文的时候依然要将广播报文复制多份，发送到网络的各个角落。随着网络规模的

扩大，网络中的广播报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，

这就是所谓的广播风暴的问题。

由于网桥二层网络工作原理的限制，网桥对广播风暴的问题无能为力。为了提高网络的效率,

通常需要将网络进行分段：把一个大的广播域划分成几个小的广播域。

幻灯片34

VLAN的优点

・相对与传统的LAN技术，VLAN真有如下优势:

-隔高广播域.抑制广播报文

减少移动和改变的代价

-创建虚拟工作组.超越传统网络的工作方式

-增强遇讯的安全性

增强网络的健壮性

J\g.,LKIkFK

VLAN与传统的LAN相比，具有下列优势：

限制广播包，提高带宽的利用率：

有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域，同一个

VLAN成员都在由所属VLAN确定的广播域内，那么，当一个数据包没有路由时，交换机

只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，

就将数据包限制到了一个VLAN内。在一定程度上能够节约带宽；

减少移动与改变的代价：

即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置时，他的网络属性

不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者与使用者都带来了极大

的好处，一个用户，不管他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好

的。当然，并不是所有的VLAN定义方法都能做到这一点；

创建虚拟工作组：

使用VLAN的最终目标就是建立虚拟工作组模型，比如，在企业网中，同一个部门的就好

像在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在

该虚拟LAN上，而不影响其他VLAN的人。一个人假如从一个办公地点换到另外一个地点，

而他仍然在该部门，那么，该用户的配置无须改变；同时，假如一个人尽管办公地点没有变,

但他更换了部门，那么，只需网络管理员更换一下该用户的配置即可。这个功能的目标就是

建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面

的支持。用户不受到物理设备的限制，VLAN用户能够处于网络中的任何地方，VLAN对

用户的应用不产生影响；

增强通讯的安全性：

一个VLAN的数据包不可能发送到另一个VLAN,这样，其他VLAN用户的网络上是收不

到任何该VLAN的数据包，确保了该VLAN的信息不可能被其他VLAN的人窃听，从而实

现了信息的保密；

增强网络的健壮性：

当网络规模增大时，部分网络出现问题往往会影响整个网络，引入VLAN之后，能够将一

些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分，组网方案灵活,

配置管理简单，降低了管理保护的成本。

接入链路指的是用于连接主机与交换机的链路。通常情况下主机并不需要明白自己属于什么

VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送与接收的帧都是没

有打上标记的帧。

接入链路属于某一个特定的端口，这个端口属于一个同时只能是一个VLAN。这个端口不能

直接接收其它VLAN的信息，也不能直接向其它VLAN发送信息。不一致VLAN的信息务

必通过三层路由处理才能转发到这个端口上。

干道链路是能够承载多个不一致VLAN数据的链路。干道链路通常用于交换机间的互连，

或者者用于交换机与路由器之间的连接。干道链路的英文叫做“trunklink”。

数据帧在干道链路上传输的时候，交换机务必用一种方法来识别数据帧是属于哪个VLAN

的。IEEE802.1Q定义了VLAN帧格式，所有在干道链路上传输的帧都是打上标记的帧

(taggedframe)»通过这些标记，交换机就能够确定什么帧分别属于哪个VLAN。

与接入链路不一致，干道链路是用来在不一致的设备之间(如交换机与路由器之间、交换机

与交换机之间)承载VLAN数据的，因此干道链路是不属于任何一个具体的VLAN的。通

过配置，干道链路能够承载所有的VLAN数据，也能够配置为只能传输指定的VLAN的数

据。

干道链路尽管不属于任何一个具体的VLAN,但是能够给干道链路配置一个pvid(portVLAN

ID).当干道链路不论由于什么原因，trunk链路上出现了没有带标记的帧，交换机就给这

个帧增加带有pvid的VLAN标记，然后进行处理。

幻灯片36

VLAN的帧格式

这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)与2个字节的标签操

纵信息(TCI)o

TPID(TagProtocolIdentifier)是IEEE定义的新的类型，说明这是一个加了802.1Q标签的

帧。TPID包含了一个固定的值0x8100。

TCI是包含的是帧的操纵信息，它包含了下面的一些元素：

Priority：这3位指明帧的优先级。一共有8种优先级，0—7。IEEE802.1Q标准使用这三位

信息。

CanonicalFormatIndicator(CFI)：CFI值为0说明是规范格式，1为非规范格式。它被用在

令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。

VLANIdentified(VLANID):这是一个12位的域，指明VLAN的ID,从0到4095,共4096

个，每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明自己属于哪

一个VLANo

在一个交换网络环境中，以太网的帧有两种格式：有些帧是没有加上这四个字节标志的，称

之未标记的帧(ungtaggedframe),有些帧加上了这四个字节的标志，称之带有标记的帧

(taggedframe)。

幻灯片37

以太网交换机的端口分类

・AccessiR口:

一戢用于按用户计算机的m口.acces总口只能属于1个VLAN.

•TnjnEi口；

一般用于交施机之间连接的端口，trunk端口可以属于多个VLAN,可以

接收和发送多个VLAZ的报文.

・Hybrid端口：

可以用于交换机之间连接，也可以用于按用户的计算桃hybngW口可

以属于多个VIAN.可以接收和发送多个VLAN的板文.

SyizntocTectrdoj^sCo.,LUms37

Hybrid端口与Trunk端口的不一致之处在于hybrid端口能够同意多个VLAN的报文不打标

签，而trunk端口只同意缺省VLAN的报文不打标签。在同一个交换机上hybrid端口与trunk

端口不能并存。

幻灯片38

802.1Q的转发原贝ij—Access-Link

・当Access端口收到帧时

如果该帧不包含802.1Qtagheader,将打上端口的PVIQ如果该帧包含

8021Qtagheader.交换机不作处理,直搂丢弃.

・当Access端口发送帧时

到离802IQtagheader,发出的帧为普通以太网帧

技收方向

PVID1

.发送方向

I1

HuatAeiSymartecTechnologiesCo.,Ltdpage38

当Access端口收到帧时

假如该帧不包含802.IQtagheader,将打上端口的PVID；假如该帧包含802.IQtagheader,

交换机不作处理，直接丢弃。

当Access端口发送帧时

剥离802.1Qtagheader,发出的帧为普通以太网帧

幻灯片39

802.1Q的转发原贝ij—Trunk-Link

・当Trunk端口收到帧时

如果该帧不包含802.1。tagheader,将打上端口的FMd如果该帧

包含80Z1Qtagheader,则不改变。

・当Trunk端口发送帧时

当该帧的VSNI口与端口的PVID不同时,直接透传；为该帧的VLAN

ID与端口的PVI口相同时，则剥者802.1Qtagheader

接收方向

runK

PVID1□in।■

发送方向

PVID2|

口o

HuaMSymartecTechnologietCo..Ltd

当Trunk端口收到帧时

假如该帧不包含802.IQtagheader,将打上端口的PVID；假如该帧包含802.IQtagheader,

则不改变。

当Trunk端口发送帧时

当该帧的VLANID与端口的PVID不一致时，直接透传；当该帧的VLANID与端口的PVID

相同时，则剥离802.1Qtagheader

幻灯片40

802.1Q的转发原则一HybiM・Link

・当Hybird端口收到帧时

-如果该帧不包含802.1。tagheader,将打上端口的PVID,如果该帧

包含802IQtagheader,则不改变。

・当Hybird端□发送帧时

判断VLAN在本端口的属性。用“disinterface-可看到该端口对哪些

VLAN是untag,哪些VLAN是tag,如果是untagJW剥离802.1Qtag

header再发送.如果是ta觊直接遗传.

…_______一，速

HuaMSymartecTechnologyCo.,Ltdpage40*****

Hybird端口收到帧时的